企业研究论文-从内部控制到风险管理的认识.doc

企业研究论文-从内部控制到风险管理的认识【摘要】本文试图浅谈在熟悉了内部控制概念的同时，引入风险管理的观念，从而达到使企业管理者和全体员工更加重视内部控制及风险管理。【关键词】内部控制风险管理认识一、我国企业内部控制的现状1.公司内部治理结构及内部控制制度的不完善，导致内部控制的失效目前我国许多公司，尤其是原国有制企业改制而成的公司，法人治理结构普遍存在问题，例如：股东大会、董事会和监事会等治理机构形同虚设，经营者行为得不到有效控制和监督，导致公司内部人员之间无法形成有效的牵制，影响内部控制的实施和发挥效力。董事会、监事会和经理层之间没有形成权力制衡的关系，无法保证治理公司的权力不被滥用。在我国企业管理高层中的职位重叠现象较为普遍，这将严重地影响公司决策执行质量和市场经营风险的分散2.公司外部治理缺乏规范导致内部控制的失效公司内部控制体系的建立和完善，需要规范合理的公司外部治理环境作基础，否则公司很难自觉地建立与实施有效的内部控制系统。任何有利于经济发展的措施的执行，都需要有外部规范的推动与监督。比如，对上市公司，我国只要求提交年度审计报告，不作公开披露，这无形中减少了公司管理者来自于外界的压力，从客观上对其内部控制松弛现象起到了纵容作用。由此可以看到我国在公司治理与内部控制领域还存在许多问题，与国际先进水平还有较大的差距。当然这既是我国公司制企业改革的压力也是动力。3.缺乏有效经营者交流的平台根据现代企业所有权与经营权分离原则，通常由董事会按照法定程序，在经理市场上通过考核录用公司经营者。而我国并没有形成一个能够提供、监督与考核经理能力与业绩的经营者市场，企业经营人员的产生基本上由作为所有者的政府部门按照计划经济体制的人事录用方法进行，使得经营者的形成机制失常。再加上治理结构上的缺欠，造成了长期无法形成有效的经理市场并使经理们的行为得不到应有的市场约束。如今更流行内部控制将向更全面的风险管理扩展的理论，那么再来看看什么是风险管理？美国COSO委员会提出：企业风险管理是一个过程，是由企业的董事会、管理层和其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素，内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从这个定义可以看出，风险管理是一个系统过程，包括风险的识别、衡量和控制等环节，也就是前面所说的是识别风险并设计控制风险的方法，其核心目标是将没有预期到的未来事项的影响控制在最低程度。再简单说，风险管理就是组织或个人对可能发生的意外或损失的识别、衡量、分析，并能用最经济合理的方法控制处理风险。因此，要想将传统的内控思想向风险管理扩展，就应该认识到以下几点：（1）风险管理是一个系统过程，包括对风险的识别、衡量和控制等。（2）风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果。（3）风险管理是一种管理方法。（4）这种管理方法渗透到管理过程的各个环节。二、内部控制国内财政部在内部控制规范的企业内部控制规范基本规范中对内部控制的定义是：由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业绽裂、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整。国资委中央企业全面风险管理指引中关于全面风险管理的定义是：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理侧裂、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。但是在国内的内部控制和风险管理运用方面，却存在很多误区。国内企业往往把内部控制和全面风险管理体系的建设理解为建章立制。其实，从COSO的定义中，可以看出它们应该是一个“过程”，不能只做静态处理，编编制度文件、做做技术模型，搞搞单独或额外的活动、检查评比。而是应该将其置于企业日常管理过程之中，作为一种常规运作的机制来建设。而实践中内部控制和风险管理也是比较难以落实的。大多数企业管理者还不能在框架和日常经营行为之间建立联系，造成了企业在这方面的理解和关注不够。可是从前面提到的我国企业管理现状来看，内部控制和风险管理又是势在必行。我们先抛开以往较为熟悉的内部会计控制，也暂不去探究无法主动控制的外部治理环境，先来看一看除了内部会计控制外的其他内部控制环境，这也是从内部控制到风险管理更进一步认识的体现。首先，要大力倡导的是企业的风险文化建设。企业的管理者和全体员工是所有治理措施实施的最终执行者，是治理效果的直接控制者。他们对风险的认识和应对风险的素质是企业治理的不可或缺的软件。在我国企业管理者习惯用一些书面化的规章制度，来规范企业员工的行为。其实让全体员工都体会到企业提倡风险管理的要求，企业管理者应该鼓励员工反映公司内部的一些风险隐患，尤其是领导者难以探究到的更基层更隐蔽的风险因素。形成一个较为开放的风险管理文化环境，管理者也可以获得更多的风险控制信息，以便更好的治理企业风险。企业管理者的身体力行，对员工心声的重视和采纳，会加强企业的凝聚力，促进企业治理结构的完善。如果一个企业的文化建设，能使每个员工都对实现企业的目标有所贡献，让员工对企业的底层和高层风险都有焦灼感和危机感，那这种文化就是一种有效的企业文化。其次，在内部控制部门设置的时候，要注重各个部门应该承受的风险，岗位的设计也要有责任风险的规定，然后才是赋予权力，责权必须对等。只有权力，没有风险责任，不必承担风险，只能导致更深的腐败和不作为。而且在部门及岗位风险估计的时候，要注意风险控制的主动性。事中和事后的控制，只是一种预防，更像是传统的内部控制，起到的作用微乎其微。事前的参与，严格的风险控制程序，让风险在一开始就没有发展起来的机会，这才是有效的风险管理。内控部门的全程参与，控制风险的权力和风险失控的责任，这些都是有效的风险管理的保证。始自西方社会的金融体系经济危机，已经波及到了世界的每个角落。实体经济也在承受着冲击，社会主义的市场经济已经融入世界经济的大潮，受到威胁和损害也是无可避免的。即便是国有企业，也不可能在全球性的金融危机面前遁形。何况，就算没有经济危机，国有企业、改制企业、所有的企业都只能在经济全球化的趋势下，接受市场的考验和挑战。抱守传统管理观念，不对市场风险和企业风险认识做更深的探讨，以致无法应对和排解风险，只能使企业在竞争中走向被淘汰的泥沼。