基于风险管理的企业内部控制体系构建分析由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“公司风险管理控制体系”。
基于风险管理的企业内部控制体系构建分析 文章出处:网责任编辑:作者:人气:10发表时间:2013-12-01 10:26:00
“基于风险管理的企业内部控制体系构建分析”这篇风险管理论文发表在2011北大中文核心期刊上。
摘要:近年来,国外基于风险管理的企业内部控制框架研究与实务建设已日趋完善,而我国在上述问题的理论研究和实务操作方面还存在一定差距。本文就风险管理观念导向下的内部控制体系的构建进行了研究,对我国企业内部控制现状及其成因进行了分析,并在此基础上提出了构建基于风险管理的内部控制体系的基本措施及其应包含的内容,以期对改善我国企业内部控制现状,提升企业风险管理能力提供有益借鉴。
关键词:风险管理,内部控制,COSO框架
企业内部控制是指以控制环境为基础,以防范风险、有效监管、实现经营目标、提高组织经营效果及效率为目的,通过建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的各种政策和程序。加强企业内部控制是公司治理的重要工具之一,也是企业经营管理的关键组成部分之一。2008年6月,我国财政部、审计署、证监会、保监会、银监会等五部门联合发布了《企业内部控制基本规范》,标志着我国企业内部控制基本框架的建立和实施,由此也拉开了全面系统完善内部控制管理制度的序幕。2010年4月上述五部门又联合发布《企业内部控制配套指引》。但如何保证内部控制有效的执行仍是现阶段急需研究和解决的问题。在企业经营环境日趋复杂的今天,建立有效应对风险的内部控制体系更尤为重要。
一、文献综述
内部控制思想产生于18世纪产业革命后,其理论与实践自20世纪中后期开始迅速发展。20世纪90年代以后,内部控制的研究逐渐跳出了会计、审计的狭隘视角,模糊了内部控制与管理理论的界限,融入了风险管理的先进理念,对内部控制的研究自此进入了一个新的阶段。1992年,美国COSO委员会提出了专题报告《内部控制-----整合框架》,得到世界范围内的广泛认同,该框架一度成为西方其他国家制定类似框架体系所借鉴和引用的标准模版。该报告明确了内部控制的责任,强调了内部控制与企业管理相结合的必要性,揉和了管理和控制的界限,并首次将风险评估列为内部控制的组成要素之一。2004年,COSO委员会在原有的内部控制框架的基础之上,结合《萨班斯--奥克斯法案》的相关要求,又发布了《企业风险管理--总体框架》——由此拓展了内部控制,对企业风险管理这一更宽泛的主题作了更全面地关注,将内部控制框架融入企业的风险管理框架——被认为是内部控制走向风险管理的里程碑。英格兰和威尔士特许会计师协会于2005年颁布了《内部控制董事会在综合章程方面的指南》并指出,风险管理在企业目标实现的过程中具有重要作用,企业的内部控制系统在风险管理中至关重要,企业高层应把内部控制看作是范围更广的风险管理的必要组成部分。加拿大特许会计师协会也于1998年对风险管理与控制二者之间的关系进行了阐释,认为“当您在抓住机会和管理风险的同时您也正在实施控制”。
目前,国内对内部控制与风险管理的相关研究还基本停留在解读、评价美国COSO报告的基础之上,但随着部分学者开始从风险管理的视角研究内部控制,基于风险管理的内部控制研究也取得了一定的成果。杜滨、李若山(2002)认为,企业在设计内部控制制度时应根据对风险的评估、内部结构以及成本效益原则来综合考虑。吴水澎、陈汉文(2002)等在对COSO报告进行分析和研究的基础上,提出了我国企业内部控制实务的改进建议,例如:完善企业的内控环境、进行全面的风险评估、建立良好的控制活动、加强信息流动与沟通、加强企业的内部监督等,并建议有关部门和团体制定企业内部控制准则或指南,为企业内部控制建设提供一个标准框架和依据。陈关亭(2005)指出企业层次内部控制是在企业高层和综合管理活动中确立的控制环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监督机制,其通常体现为企业的关键管理制度。石爱中(2006)认为,美国COSO委员会2004年发布的ERM框架提出的八要素内控理论,是从企业风险管理的角度提出,而不是从内部控制角度提出的;同时认为,八要素理论与内部控制整合框架报告五要素理论基本上是一致的,只是因为八要素理论突出了风险管理,才将风险评估内容细化。谢志华(2007)认为,内部控制和风险管理是控制风险的两种不同语义表达形式。李春瑜(2007)则指出了基于风险管理内部控制建设的基本要点,即:要以控制活动为落脚点,以企业原有的各类政策和程序为基础,以流程为主要形式,企业层内部控制和交易层内部控制并举,重中之重是要完善对外披露报告真实性相关的内部控制。古淑萍(2009)提出,要通过完善控制环境、完善风险评估体系、设立良好控制活动、建立广泛的信息与沟通、加强内部控制的监督与评审等五方面来构建以风险管理为导向的内部控制制度。
综上所述,国外内部控制框架的制定过程中都己逐步将风险管理理念融入其中,显示了内部控制理论走向全面风险管理的国际趋势。虽然我国现代意义上的内部控制理论和实践落后于西方国家,对构建基于风险管理导向的内部控制发展趋势的把握是建立在对国外先进理论框架的学习和评价基础之上的,但随着越来越多的学者将风险管理思想引入内部控制理论的研
究,国内对风险管理导向的内部控制体系的研究也取得了一定的成果,但仍需不断深入。维护投资者利益、保全企业资产,并创造新的价值是内部控制和风险管理所共有的目标。从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。内部控制已进入风险管理导向的新时期,与风险管理的融合已成为内部控制发展的国际趋势。
二、基于风险管理的企业内部控制建设现状分析
任何制度都是由人在一定条件下和一定环境中进行准确的理解和执行才能够保证实施的。就内部控制制度而言,实践中不难发现,有的企业能够认识到加强内部控制有助于企业防范风险,为正常运营提供合理保证,但也有企业会认为与徒增的成本和费用相比较,实施内部控制不一定能收到提升效率的作用,因而只是为了满足监管的需要才被动的进行内控建设。与此同时,我国企业在风险管理方面的意识方面也相对淡薄,普遍未进行实质的风险管理,更没有对企业面临的风险设置专门的机构进行辨认、评估和管理。
有鉴于上述情况,能够将风险管理因素融入企业内部控制体系的构建当中的企业更是少之又少,由此也导致很多企业在管理与业务实践过程中缺乏有效的预防及风险管控手段。因而,笔者认为,应以风险管控为逻辑起点,将风险管理理念镶嵌到内部控制流程中,从而构建以风险为导向、价值增值责任为主线的内控体系基础框架。具体而言,就是要通过构建以风险为导向的内控制度体系来支撑企业的正常运营,由此将风险控制在可接受的范围内,将风险应对策略和方法嵌入到企业各业务流程的具体业务活动中,融入内部控制体系的各项规章制度,从基本制度管理办法、操作细则及流程图等三个层级着手,不断完善并优化内控制度体系,使企业在正常运营过程中有效防范风险、提高运营效率,从而为企业实现战略目标提供强有力的制度保障。
三、基于风险管理的企业内部控制体系构建措施
(一)完善内部环境
内部环境是企业风险管理所有其他组成部分的基石。完善内部环境首先要坚持以人为本,充分发挥员工的主观能动型,注重人力资源的开发,对企业管理人员的素质、水平、能力等各个方面进行全面的测试、调查、使用,实行多位一体的管理模式,树立关注风险意识等。同时还必须加强企业文化建设,通过培育员工的认同感和归属感,使每个员工的行为、思想、情感、信念以及沟通方式与企业有机结合,形成相对稳固的文化氛围,凝聚成一种无形的合力,以激发员工的主观能动性,为实现企业目标而努力。其次,要完善企业治理结构。内部控制是董事会和管理当局建立的内部管理制度,是管理当局对企业生产经营和财务报告产生过程所施加的控制。完善的企业治理是内部控制顺利运行的前提,又是内部控制有效运行保证,而良好的内部控制则是企业正确处理各利益相关者关系、实现企业治理目标的重要保证。再次,要建立良好的组织结构。具体要考虑组织结构的适当性及顺畅性,有利于应对内外部环境的变化给企业带来的影响。特别要设立专门的风险管理部门,对风险进行辨别、评估和管理。最后,要培养诚信和道德价值观。内部控制的建立健全都无法超越制订者的诚信和道德价值观。企业管理当局的行为对全体员工起到榜样和示范的作用,前者应诚信并自觉遵守道德规范,借以培育员工的诚信意识,引导员工形成正确的道德价值观,提升整个企业信誉。
(二)确定合理的企业战略目标
企业的战略目标应与企业的风险偏好相一致,反之则可能导致企业不能接受足够的风险来实现目标,也可能导致企业为完成目标而接受不适当的风险。有效的企业风险管理要求将企业的战略目标和风险相匹配,再根据战略目标确定经营目标、报告目标和遵循性目标。企业的每个业务单元、分部、子企业也应识别各自的目标,并与企业的总体战略目标相关联,也就是要对企业战略目标进行目标分解,使目标落实到具体的人——这是内部控制的关键,因为内部控制的其他方面都是为实现企业的战略目标服务的,实现企业战略目标是所有控制活动的出发点和归宿点。
(三)建立和完善风险管理系统
COSO框架提出,企业一旦设定了目标,管理层就需要识别风险、影响事项和评估风险并采取控制措施。与此同时,COSO框架引入了风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。COSO框架建议从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析。此外,COSO框架还要求董事会在风险管理方面承担总体责任,保持充分的警惕性;并认为企业风险管理方面的成功与否在很大程度上依赖于董事会,取决于董事会的风险偏好。企业要建立与内部组织架构相适应的多层次风险管理框架,包括从董事会、管理层、各业务部门或从职能部门一直到各个风险控制单元或关键控制点的多级控制结构,同时也包括企业之间的风险管理架构。其中最重要的是在董事会中设立风险管理委员会,作为企业风险管理系统的领导机构和核心,并明确工作职责、议事范围、程序和规则,负责对企业风险的全方位防范和控制,负责企业日常的风险管理工作以及与企业内部稽核部门的沟通。
(四)构筑有效执行的控制活动
控制活动是内部控制的核心内容和企业具体实施的过程,旨在帮助企业保证达到其目标所采取的必要的行动。控制活动出现在整个企业的各种职能部门,主要涉及企业日常的生产经营活动的控制与约束,包括核准、授权、复核以及职务分工等多种活动。它直接影响到企业的效益和效果,影响到企业目标的实现。良好的控制过程包括:梳理工作流程,建立明确的岗位责任制,实现定岗、定人、定责,使每个员工各司其职、分工协作、互相监督;明确关键控制点,对在业务流程中起着重要作用的控制环节进行重点监控;实行授权授信控制,明确授权批准的范围、层次、责任与程序;建立事前、事中、事后监督体系;完善文件记录控制,建立全员岗位说明书、业务操作规程手册、授权审批权限等文件,对要求进行内部控制的各个环节和措施都形成文字材料,做到有据可查。
(五)优化信息与沟通体系
建立一个统一、高效、开放的信息与沟通系统,是其他一切控制运行的平台,应当成为企业内部控制的重中之重。信息与沟通在任何一个经济组织中都起着至关重要的作用,良好的信息与沟通渠道系统有助于提高内部控制的效率和效果。任何的信息流都要沟通才能被共享,才能被各层级管理者使用。因此,没有信息与沟通就没有内部控制的实施,更谈不上有效性。在信息技术高速发展的今天,管理当局可以通过建立信息系统来提供、采集、处理、分析和报告相关的信息。上述信息系统(通常是电算化也包括手工录入或连接)通常在处理内部生成数据的情况下发挥作用。良好的信息系统要建立多维度的沟通方式,如COSO框架中指出的:有效的沟通方式包括企业内自上而下、自下而上以及横向的沟通,和企业内外部的信息与沟通。而通过信息的传递与沟通,也可以让企业中的每个员工都清楚的知道自己在内部控制中的定位,所承担的特定职务以及该职务职责等。
参考文献:
毕 业 论 文学生姓名: 汪渠 学 号: 20092783 学 院: 商学院 专业年级: 2009级会计学 设计(论文)题目:中小企业内部控制体系的构建 指导教师: 蒋丽斌 副教授 评阅教师: 张昌文 副......
企业内部控制与风险合规管理_陈光_诺达名师企业内部控制与风险合规管理【课程目标】●通过生动的案例分析帮助学员建立对内部控制制度完整而系统的认识●掌握快速诊断企业内......
企业内部控制与风险管理摘 要:企业内部控制与风险管理二者互为前提,相辅相成。当下我国企业内部控制与风险管理过程中存在风险管理与内部控制体系难以满足企业经营发展的需要......
企业内部控制与风险管理主讲:杨立国一、财务风险是企业风险的核心 1.一个深奥理论和一个通俗的故事 2.什么是企业风险 3.什么是财务风险 4.财务风险种类5.财务风险发展的四个......
刀豆文库小编为你整合推荐3篇企业内部控制评价体系论文分析,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
