完善企业内控体系 加强风险管理
企业内部控制与风险管理在人们的认识上有很大差别,在实际的经营过程中,风险管理与内部控制是密不可分的,一直以来内部控制与风险管理是关系密切又容易混淆的两个概念,它们之间有区别也有联系。COSO委员会在1992年提出了报告《内部控制——整体框架》,之后在2004年在内部控制的内容框架上发布了《企业风险管理——整合框架》,在这两份报告中可以看出两者之间的共同点。
(一) 内部控制与风险管理的相同点
第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
(二)内部控制与风险管理的联系
第一,内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”
第二,内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障, 而真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。
第三,技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
近年来,由于内控体系缺失或内控漏洞而导致企业陷入危机的案例不胜枚举,几乎所有的企业都已经认识到了健全的内部控制体系对企业的重要性,中国财政部等五部委联合发布的《企业内部控制基本规范》,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行,鼓励非上市的大中型企业执行,这标志着中国版的“萨奥法案”已正式启动。在工作中,您是否遇到过以下问题:
1、内控建设花费巨大,花大力气建的内控会有什么收益?
2、 内控会不会成为束缚企业发展的绳索,怎么才能平衡好企业发展过程中安全与效率的难题?,
3、 为什么看起来健全的内控制度仍然出问题,内控的责任应该归属与谁?
4、企业面临的风险复杂多变,如何能够通过内控体系加强风险管理?
艾赛尔根据多年为各类企业提供风险管理和内部控制服务的实践总结,从实际操作角度出发,推出《内部控制与企业风险管理》课程,详细介绍COSO内控框架精髓,并配以国内外典型案例讲解,来说明内控体系构建的具体步骤,以及如何结合内控活动防范企业风险,学员能够结合企业自身现状寻求解决内控系统问题的方法。
