企业内部控制的风险识别和评估
一、内部控制要素
内部控制,在内部牵制的基础上,由企业管理人员在经营管理实践中创造;并由审计人员理论总结而逐步完善的自我监督和自行调节体系。内部控制是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略的重要手段。对内部控制的认识,经历了一个逐渐发展的过程。内部控制经历了从内部牵制一要素法到二要素法、三要素法到五要素法,日趋完整和深入,最终发展为全面风险管理框架模式。
内部控制“一要素“阶段――内部牵制阶段,以账目间的相互核对为主要内容,并实施岗位分离,在减少错误和舞弊问题上起了十分重要的作用。内部控制“二要素”阶段――内部控制制度阶段,为了适应经济的发展和企业组织规模的扩大,美国注册会计师协会的审计程序委员会于1958年10月发布的《审计程序公告第29号》将内部控制划分为会计控制和管理控制,内部控制划分为二要素形式。内部控制“三要素”阶段――内部控制结构阶段,1988年美国注册会计师协会的审计准则委员会发布的《审计准则公告第55号》,该公告以“内部控制结构”代替“内部控制制度”,具体包含三个要素:控制环境、会计制度、控制程序。内部控制“五要素”阶段――内部控制整合框架阶段,1996年美国注册会计师协会发布《审计准则公告第78号》,全面接受COSO报告的内容,新准则将内部控制定义为“由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性、经营的效果和效率以及符合使用的法律和法规。”该准则将内部控制划分为五种要素:控制环境、风险评估、控制活动、信息与沟通、监控。内部控制后成熟期――全面风险管理框架,2004年4月正式颁布,其涵盖了内部控制框架的内容,其范围和内容比内部控制框架的范围更广泛。将企业风险管理的构成划分为内部环境、目标制定、事项识别、风险评估、风险反映、控制活动、信息和沟通、监控等八个相互关联的要素,贯穿于企业风险管理的过程中。
内部控制细化、明确之后最大的变化就是将内部控制更名为企业风险管理。事实上,不论中航油公司还是伊利股份、创维数码,几乎所有的公司都有一整套管理制度。从投资到报销,事无巨细,应有尽有,在表面上控制得很好,其实却忽视了企业重大风险的存在。ERM框架要求管理层将精力主要放在能产生重大风险环节上,而不是所有细小环节上,将风险管理作为内部控制的最主要内容。中航油曾在2003年被新加坡证券监督部门列为最透明的企业,说明企业确实是在内部控制的细节上做得非常密实,然而,正是忽视了风险管理,才使中航油事件从一个不很大的失误开始,酿成为石破天惊的大案、要案。可见,关注企业风险控制比关注企业细节控制更能使内部控制发挥重大的作用。
二、内部控制风险识别
企业风险,指未来的不确定性对企业实现其经营目标的影响。企业开展风险评估,应当准确地识别与控制目标相关的外部风险和内部风险,确定相应的风险承受度。建立企业风险管理三道防线:其一,各有关职能部门和业务单位设为第一道防线;其二,风险管理职能部门和董事会下设的风险管理委员会为第二道防线;其三,风险审计部门和董事会下设的审计委员会为第三道防线。只有在全面了解各种风险的基础上,才能够预测风险可能造成的危害,从而选择处理风险的有效手段。风险识别是风险管理的首要环节,也是风险管理的基础。风险识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和风险事故的纪录来分析,归纳和整理,以及必要的专家访问,从而找出各种明显的和潜在的风险及其损失规律。目前主要的识别方法一是对企业整个生产经营过程进行全面分析,制成生产流程图,找出各种潜在的风险因素。二是通过企业的资产负债表、损益表、营业报告书及其他有关资料进行分析,从而识别和发现企业现有的财产、责任等面临的风险。风险的识别还有其他方法,诸如环境分析、保险调查、事故分析等。企业在识别风险时,应当交互使用各种方法。风险是多样的,具有可变性,既有当前的也有潜在于未来的;既有外部的也有内部的;既有动态的也有静态的。风险识别的任务就是从错综复杂的环境中找出所面临的主要风险。因而风险识别不是一次就能完成的事,而是一种持续性和系统性的工作,要求风险管理者密切注意原有风险的变化,并随时发现可能出现的新的风险。
三、内部控制风险评估
对风险的评估首先需要对风险量化,来衡量风险概率和风险对项目目标影响程度。风险量化的基本内容是确定需要对那些时间制订应对措施,对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。进行风险定量评估时,应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果和实际效果对比,据此对有关参数进行调整和改进。企业在评估多项风险时,应根据对风险发生可能性的高低和对目标影响程度的评估,绘制风险坐标图,对风险造成的影响进行坐标分析,使得风险在一定程度上由不可控制变为可以控制。在此过程中,应当把握以下原则。
全面评估与重点评估相结合,注重评估指标的导向性。要突出关键指标,确保评估指标的可操作性。定性与定量相结合,注重评估方法的科学性。要根据评估内容与指标功能,量身定制不同的评估标准。内部评价与外部评价相结合,注重评估结果的有效性。既要引导企业通过对照评估标准,自我改进、自我完善,不断激发企业的积极性、主动性和创造性,又要兼顾社会公众以及企业利益相关者,借助专业机构力量,提升文化评估专业水平和公信力。企业文化对风险控制起着至关重要的作用,它是无形的,也可以是有形的,企业文化常常深深地扎根在企业精神中;我国中医药行业的著名老字号――北京同仁堂,之所以经久300多年经久不衰,不可否认的是其拥有“核心”技术,但同样重要的在于历代同仁堂人前赴后继、不懈追求,始终格守和培育“炮制虽繁必不可省人工,品味虽贵必不敢减物力”、“修合无人心,存心有天知”的文化传承。
对于已量化的风险为降低项目风险的负面效应需要制定相应的应对策略和应对计划,每个措施都必须有明确的人员来负责,要求完成的时间以及进行的状态。制定需要应对的风险清单;形成一致意见的应对措施;实施所选应对策略所采取的具体行动;明确风险管理人和分配给他们的责任;风险发生的征兆和预警信号;实施所选应对策略需要的预算和进度计划活动;设计好要准备的符合有关当事人风险承受度地用在不可预见事件上的预留时间和费用;应急方案和要求实施方案的引发因素;要使用的退出计划,它作为对某个已经发生,并且原来的应对策略已被证明不当的风险的一种反应;对于特定的风险,如果它们可能发生,为了规定各方的责任,可以准备用于保险、服务或其它相应事项的合同。
内部控制虽然是一套完善和严格的管理程序和制度,但仍存在一些局限性。首先,内部控制的设计和运行成本受成本效益因素的制约;其次,内部控制可能因有关人员相互勾结或滥用职权而失效;再次,内部控制一般仅针对常规业务活动而设计;最后,内部控制可能会应经营环境或业务性质的改变而发生削弱或失效。
综上所述,企业的风险大多随着企业规模和交易规模的扩大而被不断地放大,必须通过事先安排或主动干预,以最小的代价去最大限度地降低风险造成的损失和其他消极影响。风险无时不在,无处不在,企业必须清醒、全面地意识到所面临的风险,才有机会以最小的代价加以事前控制。这是促进资本市场健康发展的客观需要,是稳定稳固强大的国家财政的必然要求,也是完善单位治理机构、建立惩治和预防腐败体系的重要举措。
