浅谈风险管理在内控体系中的应用
2014-07-20别怀刚
别怀刚
浅谈风险管理在内控体系中的应用
别怀刚
随着企业发展及证券市场的日益成熟,企业各类经济舞弊案件日益明朗化。面对这一现状,企业必须建立健全成熟完善的内部控制体系,使一切管理活动都无法游离之外,使经济舞弊行为无处藏身。本文对基于风险管理的现代企业内部控制的构建进行了探讨。
现代企业;内部控制;经济舞弊
在内部控制和风险管理的研究上,我国起步较晚也较薄弱,大多是借鉴美国的管理模式,洋为中用。在法律建设方面,我国出台了《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》、《中央企业全面风险管理指引》、《企业内部控制基本规范》和《企业内部控制配套指引》等一系列的法规条文,这一系列的规范与指引为我国内部控制和风险管理指明了方向,但时代在发展,管理理论在不断变化,目前内部控制实践已经发展到与风险管理、公司治理等相融合的新时代。面对这种情况,许多企业无法适应,面临着无所适从的窘境。所以我们必须深刻认识两者的关系,并将其提升至符合时代发展要求的轨道上来。
一、内部控制与风险管理的关系
(一)内部控制与风险管理的融合
一直以来,内部控制与风险管理之间的博弈就没有停止过,目前主要形成两种观点:一种认为二者是两个完全不同的概念,相互之间不可以取代;另一种认为二者只是术语不同,其实基本没有区别。之所以产生对立观点,是因为相关学者对内部控制和风险管理的内涵与外延办公室不同,或将内部控制作为实现风险管理的步骤与手段,或将风险管理作为内部控制的组成。但无论是何种观点,目前风险管理与内部控制有一个趋同的倾向,也就是说它们在渐渐的融合之中。据IFAC的一项调查显示,全球超过600学者反馈表示,应加强内部控制与风险管理的一致性工作。我国相关法规条文也体现了融合的理念,如《企业内部控制基本规范》将内部控制作为一个较大的概念,风险管理被囊括其中,而《中央企业全面风险管理指引》又将风险管理作为一个较大的概念,内部控制是重要的实现手段。其实,无论是内部控制还是风险和管理,其作用都是为了防范企业风险,所以它们走向融合也是必然的。理论上讲,内部控制与风险管理融合具有一定科学性:①概念虽未形成共识,但实现目标过程的一致性得到人们的广泛认可;②目标一致,都是为了将风险控制在可控范围之内;③程序一致,虽然叫法有所不同,但程序的本质有高度的一致性;④方法互用,两者经常可以替换使用。
(二)内部控制与风险管理的协同
就拿监管机构来说,眼下已经形成了一个稳定的系统,现在又要将其融合在一起,肯定很难实现,这对于内部控制和风险管理领域的专家来讲,也是无法接受的。在实践之中,为了促进两者的融合,可以通过协同方法来实现。企业没必要为实现同一目标而制定两套手册或指南,也没必要建立一个内部控制部门,再加上一个风险管理部门,企业应该将其整合起来,同时将风险控制整合到公司治理、战略及运营之中。理顺各种关系,使两者相互促进、相互融合,形成一个良性循环,才能控制企业持续健康地向前发展。
二、基于风险管理的企业内部控制建设策略
(一)构建以“现金流量”为核心的内部控制模式
企业内部控制是一项复杂而系统的工程,涉及到企业所有的生产经营环节,寻找一个合理的切入点十分必要。资金作为企业赖以生存和发展的基础,是企业生命的源泉。生产经营其实是人力资源作用于物质资源的过程,在这个过程中货币体现了核心作用,所以货币也是危险等级最高的资源,能够安全有效地运行,也决定了风险评估中财务风险的高低。因此,加强“现金流”的内部控制可以促进主体正常组织资金活动,防范和控制资金风险,保证资金安全,提高资金使用效益,而建立和完善以现金流为核心的内部控制和风险管理体系可以为企业高速、持续的发展保驾护航。
(二)加强关键环节的风险控制
企业经营活动是由一系列的业务节点构成的,各个节点环环相扣构成了企业活动的整体。业务流程中实现节点的优化和风险因素的控制是提高风险管理能力的根本所在。业务流程的梳理及改革体现在内控上,设置关键控制点并选择相应的控制手段,以实现对操作行为的制衡。收集企业经营过程中的各种信息,进行风险评估与识别,对关键风险控制点进行严格把关,制定风险管理解决预案,从而保证内部控制的顺利进行。关键环节所涉及到的人员要进行严格的培训,提高风险管理意识,使其从思想上重视内部控制,重视内部风险管理,其意识对风险管理成败有直接影响。风险控制具有很强的系统性和联系性,各单位和部门要权责明确,加强沟通,保证企业运营系统高效运行。优化企业管理功能,实行精细化管理,据此分析企业的关键控制环节和风险点,编制企业的风险管理预案。
(三)建立风险预警体系
实践表明,只有把握风险管理先机,才能发挥风险管理的效用,只有及时、准确掌握经济动态信息,才能采取针对性的风险管理措施,取得应对风险的主动权。这就要求企业必须适应时代发展的要求,将先进的信息技术引入其中。一是建立完善、成熟的企业信息管理系统,实现对企业运营数据的收集、存储、处理和披露,利用先进的算法实现业务信息向会计信息的转化;二是从风险监控和预警角度出发,建立风险预警分析系统,利用科学、先进的计量模型,实现对企业偿债能力、运营能力、获利能力等状况的分析,预测企业的风险可能性及大小,随时做好应对风险的准备。企业要上下协同,提高风险应急能力,一旦触发风险信息就应该立即向上级汇报,立即组织攻关小组研究应对策略和组织实施,由被动变主动,尽可能避免风险发生,无法避免时尽可能将风险降到企业可接受范围之内,从而保证企业生产经营活动的维持和正常运转。
(四)提高员工内部控制意识,让其主动参与进去
近年来,全员参与是各类管理实践强调的重点之一,它可有效提高员工的积极性,对积淀企业文化、提高经营效益有重要意义,基于风险管理的内部控制也强调全员参与的重要性。内部控制涉及到企业的每一个生产经营环节,而每一个环节都与员工联系在一起,所以强调全员参与,通过员工将各个环节有机联系在一起。让员工参与控制是内部控制未来发展的趋势。将企业员工看成是企业的一部分,要充分尊重人才,建立吸引人才、留住人才的激励机制,并探索出“感情留人、事业留人、制度留人”的特色之路。以此来改变传统的员工被动接受的局面,进而形成良好的内部控制文化,为企业健康可持续发展奠定坚实的基础。
[1]刘霄仑.风险控制理论的再思考:基于对COSO内部控制理念的分析[J].会计研究,2010(03).
[2]张立民,唐松华.内部控制、公司治理与风险管理——《托普典章》为什么不能拯救托普[J].审计研究,2014(05).
[3]姜明群.中美风险管理框架对比分析及对我国企业风险管理的建议(上)[J].国际商务财会,2011(03).
[4]赵闽.企业内部控制与风险管理融合的路径选择[J].财会通讯(理财版),2013(07).
(作者单位:日照方大有限责任会计师事务所)