构建内部控制体系防范企业风险(一)

1、构建内部控制体系防范企业风险(一)    内部控制是企业为了达到某个或某些目的而实施相关措施的过程,包含内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素。内部控制源于企业风险,财务舞弊、经营失败使内部控制成为全球的主题。本文从内部控制产生的原因、固有风险和存在的问题出发,探索构建内部控制系统应注意的问题及企业构建内部控制体系、规范经营、防范风险的有效措施。 上世纪80年代,美国虚假财务报告丑闻层出不穷,许多大公司突现经营失败,美国注册会计师协会(AICPA)等发起成立的“反对虚假财务报告委员会”调查发现,将近50%的财务舞弊事件可以全部或部分归

2、咎于内部控制失败。1992年9月,5个发起组织成立的委员会即COSO公布了内部控制综合性框架(COSO报告)。2001年11月,安然公司财务丑闻曝光,6个月后,世通公司再度爆发丑闻,美国这一期间有338家上市公司,总计4093亿美元的资产申请破产保护。2002年7月30日,美国紧急出台公司改革法案萨班斯奥克斯利法案(Sarbanes-Oxleys Acts)。2008年6月28日,酝酿两年之久的中国版“萨班尼斯-奥克斯利法案”企业内部控制基本规范发布,并将于2009年7月1日起在上市公司正式实施,鼓励非上市公司的大中型国有企业执行。建立内部控制,是企业应对风险、加强管理、规范经营策略的主要措施

3、。 一、内部控制产生的原因 内部控制源于企业风险。企业风险是影响企业目标实现,可能为企业带来损失甚至生存危机的各种不确定因素和潜在可能。企业的生产经营时刻处于在风险中,企业风险无时不在、无处不在。从企业风险内容的表现形式看,现代企业面临的主要风险主要表现为经营风险和管理风险。 1、经营风险 如经营环境、行业的风险、企业所处的金融市场风险、产品的开发能力等等这些不受企业完全支配的因素。一是供应方面的风险,如原材料供应方面的政治经济环境变化。二是生产方面的风险,它主要来源于生产过程中诸因素的不确定性,在生产过程中,企业所拥有的原材料、机器设备以及人力资本等经济资源的配置和使用会随着生产经营的不断变

4、化而进行调整,使企业预期收益具有不确定性。特别是新产品开发过程中,当企业将一个尚未经市场进一步检验的新产品作为主要产品而大量投资生产时,企业的生产经营就具有了高风险性。三是销售方面的风险,是指由于市场上消费者偏好与消费结构的变化、同行业竞争对手策略的改变以及市场总体需求变动等因素给企业销售带来的风险。此外,外部环境还存在一些风险因素,例如战争、内乱、暴动、罢工等所引起的社会环境的变化;劳动力市场供求关系的变化;通货膨胀的发生;产业竞争的加剧;国家产业政策、税收政策、货币金融政策的调整以及其他宏观经济政策的变化等,这些因素的不确定性都会直接或间接地影响企业的生产经营活动,引起企业经营收益的变化,

5、从而给企业带来经营上的风险。 2、管理风险 包括经营和财务信息的不足;政策、计划、程序、法律和标准贯彻失败;资产流失;资源浪费和无效使用;不能达到企业的目的和目标等等。 企业风险会给企业经营带来严重后果:竞争失败会使企业遭受诸多的不利;经营中断使企业的目标将无法达到;法律诉讼会给企业带来损失和信誉的破坏等;商业欺诈可能会给企业带来难于承受的损失;无益开支使得企业的收益能力下降;决策失误可能使企业一蹶不振;国内外经济环境、自然灾害可能使企业损失巨大。如2008年,年初的冰雪灾害及汶川“5.12”大地震,使铁路基础设施遭受巨大破坏,金融危机使铁路运输特别是货物运输大幅下降。风险影响企业的生存和竞争

6、能力。很多风险并不为企业所控制,但决策层应当识别这些风险并采取一定的应对措施。内部控制由此产生。 二、内部控制的固有风险 无论内部控制制度被设计得多么完美,运行得多么符合设计者的预期,都不是万能的,因为其自身存在着固有的内生性局限,具体表现为以下几方面。 第一,人为疏忽、分心、疲惫、误解指令、判断失误等,可能使健全有效的内部控制失灵。第二,内部控制一般是为经常发生的经济业务而设计的,因此,一旦发生异常或未预计到的业务,就会有失控或原有控制不适用的可能性。第三,管理阶层为粉饰企业财务业绩或遵循法令状况等目的,不遵守已经明确制定的政策或程序。美国Treadway委员会曾指出,至少有66%的欺诈性财

7、务报告诉讼案,与最高管理当局逾越内部控制有关。第四,控制成本与效益都是难以确切计量的,因此需要运用主观判断做出决策。 三、我国国有企业内部控制存在的主要问题 1、控制环境方面 组织结构相对分散,控制及管理缺乏集中;对非正式的管理程序习以为常;难以制定细化的业绩考核指标,激励机制不完善;高层的管理基调不清晰;缺乏惩防并举的系统的反舞弊机制;现存制度有冲突或覆盖不全;公司的制度和程序没有能够有效的传达。 2、风险评估方面 缺乏完美的风险管理机制及组织架构;对潜在的风险缺乏整体的认识和系统性的归类;缺乏对风险评估方式、方法、程序的系统理解;缺乏对重大风险预警机制及突发事件应急处理机制;信息技术方面的

8、风险管理薄弱;缺乏风险管理及内部控制的专业人才。 3、控制活动方面 缺乏完整、统一和具体操作的“标准工作流程”;长期形成的过度集权或分权体系;现有的职责分离的不健全;大量且繁杂的手工控制或手工流程;复杂的关联方交易;对信息系统相关的控制活动往往缺乏应有的重视。 4、信息与沟通方面 信息管理系统常常分散或过时;往往缺乏以关键业绩指标为基础的定期汇总的管理报告提交和分析机制;常常过度依赖书面报告中的数字,而忽视对业务实际情况的定期考查。 5、监控方面 习惯于以人际关系或非正式手段进行监控;内审职能还停留在传统的合规性稽核审计;内审人员配备不足,职能缺乏独立性;审计委员会的监督作用常常较为薄弱。 四

9、、构建内部控制系统应注意的问题 1、以预防为主、查处为辅 企业建立内部控制制度主要是为了防止单位的经营管理发生无效率和不法行为,即防止错弊发生和对已发生的不法事件的揭露和处理情况,查处只是维护内控制度严肃性的手段而非内部控制的目的。 2、注重选择关键控制点 内部控制工作的效率性和成本效益原则决定了管理者应当也只能将注意力集中于业务处理过程中发挥作用较大、影响范围较广、对保证整个业务活动的控制目标至关重要的关键控制点上,不可祈求面面俱到。 3、做到适度控制 即控制的范围、程度和频度要恰到好处。为此,控制过程中要注意既能满足对企业经营管理活动监督和检查的需要,又要防止与企业成员发生强烈的冲突。适度

10、的控制应能同时体现这两个方面的要求:一方面要注意到过多的控制会扼杀企业成员的积极性、主动性和创造性,从而影响个人能力的发挥和工作热情的提高,最终影响单位的效率;另一方面也要注意到过少的控制将不能使企业经营管理活动有序地进行。 4、设立补救措施 现代企业是由人、财、物、信息技术等要素构成的复杂有机整体,其受时空变化和环境影响较大,加之随机因素较多,既定的内部控制制度也就难以按照预期的目标发挥功效。内部控制必须保证在发生了一些未能预测的事件情况下,如环境突变、计划变更、计划失败等,控制工作仍然有效,不受剧烈影响。 五、构建内部控制体系的有效措施 1、优化内部控制环境 (1)健全机构,完善公司治理架

11、构。股东大会、董事会、监事会、经理层之间应形成权责分配、激励与约束、权力制衡关系。内部控制的具体做法属于管理措施问题,但内部控制机制的设计则属于公司治理的范畴,如董事长与总经理的分工既是公司治理中的权利制衡问题,又是内部控制中的不相容职务分工问题。 (2)形成适合企业发展的管理哲学与经营风格。管理哲学与经营风格表现为管理者的各种偏好,对企业的影响是无形的,包括企业接受风险的程度(如资产负债率的高低);关键岗位的人员轮换;管理当局的态度(即对数据处理和会计职能的态度以及对财务报告可靠性和安全性的关心程度);对财务报告的态度(是否有操纵利润的动机)。管理者有风险投资型,也有保守型;有突出主营业务,

12、也有热衷于多元化经营。 (3)设置合理的组织结构。组织结构在于提供规划、执行、控制和监督活动的框架。良好的组织必须以执行工作计划为使命,并具有清晰的职位层次顺序、流畅的意见沟通管道、有效的协调与合作体系。在公司制企业中,股东大会是权力机构,董事会是决策机构,监事会是监督机构,经理层是日常管理机构,各司其职,各负其责,相互协调,相互牵制。 (4)突出董事会的独立作用。董事会对股东有信托责任,拥有决策控制权,是企业内部控制系统框架的核心。目前,我国的现状是董事会不独立,形式上“三会”健全,实际中存在许多误区。如董事会与经理层高度重叠,缺少权力制约,一人决策失误,影响一个企业,这在我国颇为常见。 (5)提高经营者素质和职业道德。