浅谈企业基于风险管理的内部控制构建
自从安然公司等国际知名企业相继爆出震惊世界的财务丑闻后,现代企业风险管理成为国际上普遍关注的焦点问题。为了应对安然财务丑闻及一系列上市公司财务欺诈事件所造成的美国股市危机,重树投资者信心,2002年7月,美国国会通过了《萨班斯-奥克斯法案》,该法案要求所有在美国上市的公司建立风险内部控制机制。近年来我国企业多次发生重大的风险事故,如海南发展银行、天同证券等几家券商相继破产。特别是自2008年金融危机以来,无论是金融机构、企业还是监管机构,由于在不同程度上忽视了风险管理的作用,导致风险没有及时化解,反而迅速扩散,因此造成巨大的影响。加强企业的风险管理成为人们关注的热点,在当前人们开始更加清楚地意识到,仅仅从财务角度出发来实施内部控制已无法适应现代企业管理变革的需要,良好的内部控制体系才是落实风险管理的重要手段,有利于提高企业的管理水平。
内部控制体系是企业自我调节和自我约束的内在机制,为了保证企业经济活动的正常运转,保护企业资产的安全、完整与有效运用,提高经济核算的正确性与可靠性,推动与考核企业各项方针、政策的贯彻执行,提高企业经营管理水平,企业必须结合自身的特点制定一套切实可行的内部控制体系,并将其贯穿于企业经营管理活动的各个方面。如何构建企业内部控制制度呢?
一、重视内部控制环境建设
(一)培育良好的风险管理观念。风险管理观念是风险管理生存的土壤,同时也是内部环境的因素之一。管理者要树立风险管理理念,从总体上来管理企业面对的风险,才能使企业有立于不败之地的可能。企业的风险管理理念实质上反映在管理当局在经营该企业过程中的每一件事上。管理者的道德素质、经营风格和管理理念,包括对待风险的态度、对外部环境因素变化的反映、企业的管理方式、在建立一个有利的控制环境中起者关键性的作用。所以,企业的管理层应提高风险意识,树立风险管理理念,对企业所从事的经营活动涉及到的风险因素要有清晰的认识。
(二)加强道德与行为准则体系建设提高内控建设自觉性。建立一套被公司员工广泛接受的道德规范和行为准则标准体系,对员工的行为进行约束和激励是非常重要的
(三)完善公司法人治理结构。公司法人治理结构是指股东大会、董事会、监事会、经理层之间形成的一种权责明确、激励与约束、权力制衡的契约关系,他们各司其职,相互制衡,协调运转。
二、明确企业的战略目标
企业目标就是尽可能地创造价值,使企业价值最大化。战略目标是企业高层次的目标,是企业管理层为它的利益相关者期望创造的价值。战略目标的设定,同时也是企业宗旨的展开和具体化,是企业宗旨中确认企业经营目的、社会使命的进一步阐明和界定,也是企业在既定战略经营领域展开战略经营活动所要达到的水平的具体制定。战略目标设定不仅是企业战略管理的核心内容之一,也是企业新战略制定的基础。战略目标为经营、合规和报告目标奠定了基础,同时,目标也应与企业的风险偏好和风险可接受程度相协调。
三、充分的信息与沟通
企业处在一个开放的社会中,为了自身的发存与发展,需要不断地研究和了解复杂的多变的外部环境,并结合自身的情况制定目标,在这个过程中企业离不开信息与沟通。企业得到的信息包括数据、实事和知识等通过信息系统来识别、掌握、加工和报告。先进的信息系统可以实现企业内部之间、内部和外部之间的信息交换与传递,是企业内外部信息环境形成统一平台,实现内部各个业务部门及内外部信息共享。信息对一个企业是至关重要的,企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
四、完善风险管理监控体系
监控是我们基于风险管理构建的企业内部控制框架中的重要组成部分。内部控制作为一项复杂的企业运作保证机制,要能够被切实地执行且执行的效果良好,并能够随时适应新情况,内部控制就必须被监控。监控包括监督和评价两个方面:监督是一项能够经常性的持续活动,可以分为内部监督和外部监督。
(一)内部监控。企业的内部监控是通过由内部专门机构或指定的专门人员对本单位内部控制的建立健全及执行情况进行监督检查与评价,及时发现企业内部控制与风险管理上的缺陷,提出和实施改进方案,确保内部控制的有效运行与贯彻实施。在内部监控过程中,必须着重注意要发挥经营管理部门自身和内部审计部门的作用。企业经营管理部门首先要注重内部控制与风险管理,将其是为本身的基本职责。经营管理部门常用方法是“控制自我评估”。企业进行这种自我评估要规范化、制度化、必要时应实行离岗检查和交叉检查的制度,以便经常发现内部控制过程中出现的问题,还应进一步提出改进控制和化解风险的措施,并交由上级主管部门验证。内部审计是内部控制的“再控制”以风险管理、控制和治理过程为作用点,以监督、评价和咨询为职能,促进内部控制、公司治理持续有效运行。因此,内部审计活动应该评价组织控制的效果和效率,促进控制的持续改进,以帮助组织保持有效的控制。根据风险评估的结果,内部审计活动应该评价围绕组织的治理、运营和信息系统控制的适当性和有效性。内容包括财务和运营信息的可靠性、完整性;运营的效果和效率;资产的安全保障;法律、法规及合同的遵守情况。
(二)外部监控。通过财政部门或行政部门,或聘请中介机构或相关专业人员,对单位内部控制与风险管理的建立健全及执行情况进行检查,对涉及内部控制与风险管理的各项经济业务、内部机构等存在的缺陷提出改进意见,是使内部控制与风险管理更加完善、更加适当和更加有效属于企业的外部监控。外部监控的必要性是政府更好地履行经济管理职能和弥补内部监控不足的需要。以及外部信息使用者对企业内部控制与风险管理的关注。
