| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
[提要] 进入21世界以来,信息化逐渐成为社会发展趋势,促使企业对于内部控制的关注重心转向信息化以及时效性,尤其是企业风险管理已经提升到企业战略高度,对于企业的发展和生存起着决定性的影响。但是,在人们的认识中却存在着很大的差别,他们之间既有联系又有区别,不能简单地在他们之间画上等号。本文将就两者之间的区别以及联系和两者在企业中的应用展开论述。
关键词:内部控制;风险管理;区别与联系
中图分类号:F27 文献标识码:A
收录日期:2015年3月12日
一、内部控制与风险管理定义
内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
1996年底美国审计委员会认可的COSO的研究成果提出内部控制包含的五大要素:1、内部环境。是影响、制约企业内部控制制度建立与执行的各种内部因素的总称、是实施内部控制的基础;2、风险评估。是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节和内容;3、控制措施。是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式和载体;4、信息与沟通。是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件;5、监督检查。是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证,监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查。对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。
企业风险管理是由企业董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业风险偏好管理风险,为企业目标的实现提供合理的保证。是一个实施过程而不是一个结果,风险管理框架包括了八大要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、内部控制与风险管理比较
(一)两者具有相同的管理层和实施群体,都提倡整个企业全员参与并且各有分工在内部控制与风险管理中都各司其职,分工明确。
(二)两者均是一种进行着的状态,是实现结果的一种方式。并不是单纯的某种结果,企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
(三)为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
(四)风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵循性目标。但报告目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅是确保经营的效率与效果,而且介入了企业战略制定过程。
(五)通过上文的论述我么不难发现风险管理与内部控制的组成要素有五个方面是重合的,即环境、风险评估、控制活动、信息与沟通、监督。这些重合充分表明他们具有相同的管理目标以及类似的实现机制。这向我们充分的证明了他们的密不可分性。
三、我国就内部控制与全面风险管理运用的一些误区
(一)把内部控制与全面风险管理体系建设理解为建章立制。在我国很多企业都单纯的认为只要在企业的管理制度中对内部控制与风险管理进行提及便是对其的运用,但是通过我们对于coso的学习我们可以很明确地学习到,这是一个过程而非结果,不能单纯的靠进行制度规定,而是要融入到企业的日常管理实践中去,来进行不断的运行和建设。
(二)内部控制体系和全面风险管理体系没有联系起来。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(三)企业高估内部控制和全面风险管理的作用。在我国很多企业对内部控制和风险管理体系的建设由于认识不到位,导致他们对于两者期望过高,盲目的认为只要运行例内部控制和风险管理肯定会让企业摆脱失败,然而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。
(四)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。
四、提出相关建议
(一)完善公司治理结构。公司治理结构是现代企业在组织管理的核心。现代企业组织管理使所有权与经营权相分离,在这种分离的基础上,由于所有者和经营者之间的信息不对称,导致各相关利益主体的地位及其所拥有的信息量的不同,最终决定了契约各方的不对等。会计控制作为企业组织内部控制的重要组成部分,是在一定控制环境中,由内部控制人依据一定的理念和一定的程序对企业组织的重要经济活动和重要环节进行监管的过程。良好的会计控制也是企业组织正确处理利益相关方关系,完善公司治理的重要保证。风险管理型会计控制信息系统作为风险管理型内部控制系统的主要组成部分,而不同的控制环境,其内部控制的方法和措施是不同的。同时,完善的企业治理结构是企业内部控制有效运行的环境保证。对内部控制的监督也是监事会的职责,通过独立董事和监事会的沟通和协调,相互交换信息,达到对内部控制的双重监控。
(二)规范控制活动。内部会计控制规范指出电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施;同时,加强对电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。在操作系统控制方面,要提高操作系统的安全可靠性。在会计数据资源控制方面,应合理定义应用子模式,根据不同的应用项目分别定义面向用户操作的数据界面。在组织控制方面,合理设置工作站点,并通过操作系统和数据库管理系统实现对各工作站的职责分工控制。
(三)完善并加强监督。信息的流通有利于提高企业运行的效率和效果,给企业管理者提供全面、及时、正确的管理信息,有助于各个部门及时沟通加强配合。管理者应当制定有关方面制度,使信息能够及时准确地为信息需要者所用,进而提高企业运行的整体效率。在信息技术环境下,应更注重对内部控制的监督,由适当的人员及时评估控制的设计和运作情况。在进行社会审计时,可以借鉴西方国家对内部控制审计的一些做法,要求企业对外界公众出具内部控制报告,并要求注册会计师对其进行审计,出具审计报告。这就加强了企业管理当局和注册会计师的责任,既可以降低企业的营运风险,提高企业经营效益进而保护投资者的权益,又提高了企业对外出具的财务报告及其他披露信息的可靠性。同时,应加大对审计人员的培养力度,提高审计人员的专业素质,壮大审计专业人员的队伍。
(四)加强相关工作人员的教育培训,提高其业务技能。内部控制与风险管理对于每个企业而言都是非常重要的,因此就要求工作人员具有很高的专业素养,而不是单纯的规划部门进行简单的分工,企业的管理者应该聘请具有专业知识和专业技术的人员进行内部控制和风险管理的工作,并定期对其进行培训不断提高更新知识体系。
五、结束语
在不断变化发展的当今社会中每个行业都具有其独一无二的侧重点,即使在同一行业,在企业不同的发展时期,风险管理与内部控制对企业所产生的效果也是不同的。在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。许多企业在积极探索两者在实际的应用,虽然风险管理与内部控制还具一定相对独立性,但随着内部控制或风险管理的不断完善和变得更加全面,它们未来一定是既具有交叉性,又具有独立性,最后走向融合。因此企业不能将二者分开的运用进行企业的管理,需要各个企业用联系的眼光的看问题,只有恰到好处的运用内部控制与风险管理才能将企业做大做强,才能促使各个企业的发展达到企业经营者的经营目标,但是同样企业的经营者不能盲目融合二者这样反而会让企业的经营发展遇到困难。
(作者单位:大连财经学院风险管理与内部控制研究中心)
主要参考文献:
[1]周兆生.C0SO企业风险管理框架(中文版).华融资产管理公司,2004.
[2]牛成.coso内部控制框架.东北财经大学出版社,2004.
[3]卓继民.现代企业风险管理审计.中国财政经济出版社,2005.
[4]黄国轩.基于风险管理的内部控制创新[J].财会通讯,2008.3. |
|
|
|
