风险管理与内部控制

风险管理与内部控制

一、内置企业日常管理中的内部控制从规范的角度来看，内部控制对规范组织行为、加强公司管理具有重要意义：内部控制制度是企业的组织制度，对应于企业的所有权结构。通过建立适当的“代理推荐”合同关系，我们可以确保外部投资者的利益得到有效维护。内部控制制度是企业管理制度。通过相关管理政策和程序，有效控制企业运行，不断完善企业经营效率和效率，实现投资者的投资增值。(2)内部控制制度是企业的会计制度,它通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法,保证企业经营和财务状况信息的可靠性,保障投资人财产安全。风险管理同内部控制一样,也是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点;也都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设;为企业目标的实现提供合理的保证。从当前我国企业的实际情况来看,其内部控制和风险管理的水平和效果尚不容乐观。现阶段我国绝大多数公司,尤其是由原来国有企业改制而成的公司,其法人治理结构普遍存在问题,主要表现在股东大会、董事会和监事会等核心机构虚设,经营者行为得不到监控,并由此导致了公司内部人员之间无法形成有效的牵制,进而影响内部控制的实施和健全。2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场及经济,同时也集中暴露了美国公司在内部控制上存在的问题,由此导致美国通过了《萨班尼斯——奥克斯利法》(THESARBANES-OXLEYACT)。该法案明确了公司管理者CEO及财务主管CFO对内部控制负直接责任,并将承担经济与刑事后果;大幅度提高了对会计舞弊的处罚力度;强化了内部审计、外部审计及审计监管。此次立法代表着资本市场制度的一次大的进步,也使人们对内部控制乃至风险管理的重要性有了更深刻的认识。尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。二、风险组合与风险管理国有企业改革是我国经济体制改革的中心环节,企业体制则是整个经济体制的一个重要组成部分和中心问题,当前国有企业的改革已经发展到建立现代企业制度的攻坚阶段,如何搞好企业内部管理,提高企业自身的生存能力,是建立现代企业制度的关键问题,也是影响我国企业内部控制的关键因素。在2004年年底,国际著名的反虚假财务报告委员会针对国际企业界频繁发生的高层管理人员舞弊现象,结合美国2002年颁布的《萨班斯—奥克斯法案》的相关要求,颁布了一个概念全新的COSO报告,即《企业风险管理——总体框架》(EnterpriseRiskManagement,ERM)。这份全新的报告提出了风险组合与整体风险管理(integratedriskmanagement)的新观念,借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,注意到影响风险管理的以上这些关键因素,统筹制定风险管理方案。目前我国许多企业的内部控制还相当脆弱,主要体现为:客观环境的局限性、投资者风险意识淡薄、对内部控制的重要性缺乏认识、企业内部缺乏制衡机制、对管理系统缺乏控制力等等。这就要求企业内部控制必须有所创新和发展。ERM将内部控制的目标分为四种类型:战略目标、经营目标、报告目标和遵循性目标,明确提出终极目标为增加利益相关的价值。由此可见,随着内部控制目标日益扩展,层次也由管理的业务层上升到自战略层而下的整个管理过程。因此,ERM框架使董事会在企业风险管理方面扮演更加重要的角色(董事会既是内部控制的重要因素,也是风险管理的重要因素)。企业的资源是有限的,控制也是需要成本的。如果将企业的主要精力放在所有细小的、微不足道的控制上,就往往会舍本逐末。所以,ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上。这就要求将内部控制和风险管理有效地结合起来,使企业能够更加有效地加强内部控制和规范风险管理。ERM框架的信息沟通和监控两要素中,再一次强调了通过控制活动的设置,建立独立的监督部门来保证框架实施的可行性。控制活动在整个组织的各个层级和各种活动中都发生,包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等。而监控则指企业整个风险管理过程均应被监督,并且在必要时对所发现的偏离进行必要修正,或者通过正在实行的管理活动以及分别评价风险管理过程,双管齐下来监督其他要素的有效性。其实,随着技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业为了应对这新产生的关键因素需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,为了加强风险管理与企业内部控制,应把维护与促进价值创造这一根本功能作为两者规范的主要内容。只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。ERM无疑是明确了内部控制与风险管理的关系,要求将两者有效地结合起来,认为只有这样才使企业能够更加有效地加强内部控制和规范风险管理。三、报告主导性顺序通过分析,我认为在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。在一定的时期,考虑到新的技术与市场条件,为了更有效地保护投资者利益,又需要在内部控制的基础上发展更主动、更全面的风险管理。(一)财务主席制度1.实施财务委派管理。随着集团母子公司体制的建立,集团公司主要对二级单位和子公司财务负责人进行委派,各子公司内部再对分支机构(分厂、分公司)实行财务委派,形成链式财务委派模式。集团公司对委派人员进行统一管理,统一制定财务委派管理制度。2.强化出资人代表的集中式管理。(1)事前报告制度;(2)述职报告制度;(3)重大事项报告制度。另外,还有检查报告制度、监督评价制度和奖惩制度等。3.向子公司派驻内部监事会。采取“全员驻点、分片监管”的方式,对子公司进行全方位的实地监督检查。这种内部控制活动帮助是帮助保证风险反映方案得到正确执行的相关政策和程序,强化了风险管理。(二)资系统的风险控制1.实施全面预算管理。通过建立预算管理机构、科学编制预算、严格预算的执行与监督、进行预算分析和评估这一程序来控制风险,强化风险管理。2.实施资金集中管理。从建立高效的筹融资系统开始加强资金使用过程及外汇风险的管理来降低和规避风险。3.加强对外投资控制。实现有效的事前控制和跟踪管理。不同的风险需要采取不同的风险管理方法。风险管理体系包括风险管理组织体