1、淺談企業(yè)內(nèi)部控制與風險管理    摘要:從構(gòu)建風險管理體系入手,分析完善的內(nèi)部控制系統(tǒng)是防范經(jīng)營風險的有效途徑,針對企業(yè)內(nèi)部控制失效是導致經(jīng)營風險發(fā)生的重要原因,從中剖析并提出加強內(nèi)部控制、防范經(jīng)營風險的基本策略。 關(guān)鍵詞:風險管理;內(nèi)部控制;企業(yè) 中圖分類號:F720.7文獻標志碼:A文章編號:1673-291X(2010)01-0028-03 目前, 風險管理是企業(yè)管理中的一個相對薄弱環(huán)節(jié), 風險意識不強, 風險管理工作薄弱, 是企業(yè)發(fā)生重大風險事件的重要原因。2006年6月,國資委制定并發(fā)布了中央企業(yè)全面風險管理指引, 對于建立健全風險管理長效機制

2、, 推動風險管理工作具有重要意義。2008年6月財政部發(fā)布企業(yè)內(nèi)部控制基本規(guī)范, 將于2009年7月1日起在大中型企業(yè)實施, 該規(guī)范強調(diào)企業(yè)應當建立和實施風險評估程序。然而, 縱觀中國企業(yè)內(nèi)部控制與風險管理, 尚存在許多問題, 在新的經(jīng)濟形勢下需要以新的措施和方法予以改進。 一、風險管理概念 1.風險。風險是傷害、損毀或損失的機會,或是損失的可能性程度。我們可以推而廣之,風險就是由某種不利因素產(chǎn)生并可能造成實際損失,致使組織目標無法實現(xiàn)或降低實現(xiàn)目標的效率的可能性。企業(yè)風險除涵蓋一般的風險項目外,更包括了財務風險、形象風險、營運風險、環(huán)境風險、法律風險、人力風險、業(yè)務風險等等,而根據(jù)美國損失控

3、制協(xié)會對于美國企業(yè)18 000例巨災的統(tǒng)計,其中70%未設(shè)置風險管理系統(tǒng)的企業(yè),在遭受巨災后五年內(nèi)會結(jié)束營業(yè)。 2.風險管理。全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中,用于識別那些可能影響企業(yè)的潛在事件和管理風險,使之在企業(yè)的風險偏好之內(nèi),從而合理確保企業(yè)取得既定的目標。從某種角度來說,風險管理是企業(yè)通過對潛在意外或損失的識別、衡量和分析,并在此基礎(chǔ)上進行有效的控制,用最經(jīng)濟合理的方法處理風險,以實現(xiàn)最大的安全保障的科學管理方法。 二、風險管理系統(tǒng)構(gòu)建 根據(jù)風險管理理論,風險管理系統(tǒng)的構(gòu)建主要有以下幾個方面: 1.內(nèi)部環(huán)

4、境。企業(yè)的內(nèi)部環(huán)境是所有風險管理要素的基礎(chǔ),為其他要素提供規(guī)則和結(jié)構(gòu)。企業(yè)的內(nèi)部環(huán)境不僅影響企業(yè)戰(zhàn)略目標的制定、風險的識別、評估和對策,還影響企業(yè)內(nèi)部控制活動、監(jiān)督行為的制定和執(zhí)行。 2.目標制定。根據(jù)企業(yè)的愿景,管理者制定企業(yè)的戰(zhàn)略目標,選擇戰(zhàn)略并確定其他與之相關(guān)的目標并在企業(yè)內(nèi)層分解和落實。 3.事項識別。事項識別是確定哪些因素會給經(jīng)營管理帶來風險。有來自于企業(yè)外部的因素和內(nèi)部的因素。內(nèi)部因素反映了管理層的選擇,包括基礎(chǔ)設(shè)施、員工、流程和技術(shù)等。同時還要關(guān)注企業(yè)的過去和未來。 4.風險估測和評價。風險估測和評價模塊主要是在風險識別的基礎(chǔ)上,對風險進行量化,預測和評估風險大小,為風險控制提供

5、依據(jù)。風險評估主要包括兩個方面:風險損失頻率估計和風險損失程度估計。估計風險損失頻率,主要是通過計算損失次數(shù)的概率分布,這需要考慮三個因素:風險暴露數(shù)、損失形態(tài)和危險事故,三項因素的不同組合,影響著風險損失次數(shù)的概率分布。如果企業(yè)建有完善的風險管理信息系統(tǒng),也可根據(jù)信息系統(tǒng)提供的歷史數(shù)據(jù)來估計損失頻率。一般依據(jù)風險發(fā)生的可能性可將風險分成五類: (1)幾乎不發(fā)生,約每一百年或更長時間發(fā)生一次;(2)可能但未曾發(fā)生,約每二十年發(fā)生一次;(3)發(fā)生過數(shù)次,約每五年發(fā)生一次;(4)經(jīng)常發(fā)生,每兩年發(fā)生一次;(5)絕對發(fā)生,一年發(fā)生一次或幾次。不同的企業(yè)還可予以細分。 5.風險控制。風險管理是一項系統(tǒng)

6、工程,對風險的控制應該貫穿于整個風險系統(tǒng)之中。風險控制包括實施風險管理方案以便在項目過程中對風險事件做出回應。當變故發(fā)生時,需要重復進行風險識別,風險量化以及風險對策研究一整套基本措施。 6.風險管理評價。由于市場條件不同,各主體面臨的風險也是不同的。為了對風險進行及時的控制和管理,必須對風險的識別、估測、評價及管理方法進行定期檢查、修正,以保證風險管理方法適應新的狀況。 三、風險管理與內(nèi)部控制的關(guān)系 內(nèi)部控制關(guān)注的是經(jīng)營中的風險。內(nèi)部控制評估管理活動中突出的是風險點,負責重要的風險控制活動,在風險管理中居于十分重要的地位,沒有內(nèi)部控制,風險管理無從談起。內(nèi)部控制只能提供合理的保證而不是絕對的

7、保證。內(nèi)部控制框架的新發(fā)展是建立企業(yè)風險管理框架。 四、企業(yè)實施內(nèi)部控制防范經(jīng)營風險過程中存在的問題 中國企業(yè)內(nèi)部控制與風險管理運行中主要存在以下方面的問題: 1.內(nèi)部控制對控制環(huán)境的關(guān)注不夠。內(nèi)部控制理論認為, 內(nèi)部環(huán)境對于企業(yè)戰(zhàn)略目標的制定、業(yè)務活動的組織以及風險的識別都有著非常深刻的影響。中國主要是從會計控制的角度來規(guī)范內(nèi)部控制,而一些企業(yè)的內(nèi)部控制之所以失效,很大程度上緣于缺乏良好的內(nèi)部控制環(huán)境。例如,中國企業(yè)缺乏有效的現(xiàn)代企業(yè)治理機制,很多公司雖然形式上設(shè)立了董事會、監(jiān)事會、審計委員會等,但實際中,因一股獨大、內(nèi)部人控制等原因,中小股東利益得不到切實保護。 2.內(nèi)部控制不能應對凌駕于

8、內(nèi)部控制之上的風險。內(nèi)部控制主要側(cè)重于服務高層管理者控制資產(chǎn)、業(yè)務的需要,側(cè)重于對企業(yè)中層管理者和員工的控制,對于高層管理者如總經(jīng)理、執(zhí)行董事缺乏制約能力,而企業(yè)往往會因為缺乏對公司高層管理者的有效控制和監(jiān)管而帶來風險。 3.中國企業(yè)風險管理水平較低,風險管理手段落后。風險管理思想和理論尚未融人中國企業(yè)管理過程中,重收益、輕風險企業(yè)風險管理技術(shù)水平低,風險識別、風險評估、風險應對等風險管理技術(shù)手段落后。 4.風險管理中過多強調(diào)傳統(tǒng)的內(nèi)部控制風險,對傳統(tǒng)內(nèi)部控制之外的風險關(guān)注不足。目前中國企業(yè)對于傳統(tǒng)意義上的內(nèi)部控制比較重視,強調(diào)分工和牽制,但對于內(nèi)部控制之外的風險卻缺乏關(guān)注,如外部重大不利事件

9、、法律變化、技術(shù)變化、收購兼并等風險游離于內(nèi)部控制之外。 5.未能建立起有效的風險管理信息系統(tǒng),風險管理決策缺乏定量依據(jù)。各類風險數(shù)據(jù)、損失數(shù)據(jù)是企業(yè)經(jīng)營管理的重要決策基礎(chǔ),在一定程度上,通過擴充豐富這類資源,可以提高企業(yè)的經(jīng)營水平和經(jīng)營彈性。因此,實踐上就要求中國各類企業(yè)建立一個完整的信息系統(tǒng)對這類資源進行收集、挖掘和利用。由于缺乏這類基礎(chǔ)數(shù)據(jù)的支持,使企業(yè)的經(jīng)營決策依據(jù)不足,帶來企業(yè)風險管理的被動狀況。 五、改進內(nèi)部控制與風險管理框架的措施 加強內(nèi)部控制,從而防范經(jīng)營風險,其重點就應是會計系統(tǒng)和控制程序建立健全。應考慮交易授權(quán);職責隔離;對財產(chǎn)的有形控制以保證其安全;精確記錄交易數(shù)據(jù)及匯總保存;周期性地核對和分析數(shù)據(jù);有規(guī)律地將經(jīng)過分析數(shù)據(jù)得到的信息與預期結(jié)果進行比較。控制程序和活動應由職員的日常職責構(gòu)成,通過財務會計控制,及時發(fā)現(xiàn)企業(yè)的經(jīng)營風險。另外,會計系統(tǒng)和控制程序的設(shè)計應特別關(guān)注收入和費用循環(huán),因為大多數(shù)欺詐行為都發(fā)生在這些環(huán)節(jié)上。具體從以下幾個方面得以加強: 第一,構(gòu)建起健全、有效的經(jīng)營風險控制機制。經(jīng)營風險控制機制是指在經(jīng)營風險管理中所形成的互相聯(lián)系、互相制約的功能體系。構(gòu)建完善的經(jīng)營控制機制是防范經(jīng)營風險的關(guān)鍵所在。(1)建立起經(jīng)營風險的全過程控制機制。(2)建立和完善經(jīng)營風險預警機制。規(guī)避資本營運和資金管理風險最為有效的是建立經(jīng)營預警系統(tǒng),加強