摘 要:當前市場競爭日趨激烈,企業生存環境也時常會出現新的變化,這就客觀上要求企業必須以風險管理為導向,通過對風險事項的全面識別,有重點、有針對性地采取有效應對措施,并不斷改進企業管理,以提高企業風險意識及抗風險能力,從而達到加強內部控制的目的。本文分析了企業在內部控制中普遍存在的一些風險管理問題,提出了以風險管理為導向的內部控制完善措施,并最終實現“風險可控制、管控軌道化”這一管理要求。
關鍵詞:風險管理內部控制閉環管理
如今企業面臨的市場環境千變萬化,管理層對企業面臨的各種風險也越來越重視。一般都會想方設法通過完善內部控制制度,來達到管理風險之目的。但良好的內部控制只能規避企業經常出現的風險及錯誤,不能消除企業所面臨的全部風險,更不能分散、轉嫁、化解風險。不過內部控制制度的這些局限性并不意味著是不可逾越的,應當深知,企業風險管理是一個內容不斷變化的動態管理過程。風險管理旨在識別可能會影響企業經營成果的各種潛在風險事項,并根據企業管理層風險偏好來管理風險,以便企業戰略的制定及各層次目標的實現。因此,針對企業面臨的風險進行詳細地分析,并建立健全以風險為導向的內部控制制度是擺在大家面前急需解決的一個重要課題。
建立以風險為導向的內部控制體系的必要性
所謂以風險為導向的內部控制是指以風險識別和風險評估為基礎,繼而對內部控制的全過程進行再分析、設計和實施,目的是降低風險以實現企業的既定目標。目前我國只有少數與國際接軌的大型企業在實踐中樹立了風險意識,理解了內部控制與風險管理內在統一性,初步建立了風險識別與風險分析系統。而大部分企業仍只注重整體資源的統籌分配及資金的日常管理上,對風險管理依然認識不到位,這使得企業在激烈的競爭環境中與國際上成功的企業相比仍處于劣勢。2004年COSO發布了《企業風險管理—整合框架》,新框架強化了風險管理,又涵蓋了原有內部控制的合理內容。此后,2007年,中國財政部出臺了《企業內部控制(征求意見稿)》,認為“完善內部控制制度必須以風險控制為目標”。可見,風險管理即是企業管理的重要組成部分,也是建立健全內部控制體系的源動力。因此,加強以風險管理為導向的內部控制,是提升企業管理水平和經營績效,建立現代企業制度的重要途徑。另一方面,過去由于思想認識及內部控制執行上偏差,致使企業內部控制往往流于形式。內部控制制度的制定普遍認為是為保障企業生產經營的正常運轉,保證企業資產的安全、增值和有效運用,提高經營成果核算的正確性與可靠性,很少有企業從風險導向來制定相關內部控制制度。因此,提高會計信息質量,強化經營管理水平,控制經營風險,防止錯誤和舞弊的發生,這些都迫切要求企業以風險管理為導向建立內部控制體系。
風險管理控制存在的問題
風險管理意識淡薄
企業缺乏風險意識和系統的風險管理能力。主要表現在以下兩個方面:一是風險往往是瞬時出現或間斷性發生的,導致管理者對風險管理經常會忽略或偶然意識到了才進行突擊管理,平時管理并未將其作為日常管理活動之一;二是企業缺乏對風險進行系統全面的分析,很少進行定期的復核和再評估,從而大大降低了企業適應環境變化、管理風險和規避風險的能力。
風險管理理念參差不齊
我國風險管理人員的風險管理理念存在明顯的滯后性,往往跟不上業務發展速度和風險管理環境變化的步伐。在風險管理的具體實施過程中,未針對不同種類的業務、不同地區的現狀分別實施符合其特點的風險管理,而是統一操作,這樣一來對于跨區經營尤其是跨國經營的企業不能很好控制業務風險,新的風險還容易隨之產生。另外,風險管理人員往往側重于信用風險管理,而輕視對市場風險、經營風險的管理,導致風險管理的片面性和非系統化。
缺乏獨立的風險管理組織
在企業的內部控制中,風險管理職責分散,缺乏專門的風險管理部門。不同部門內部所出現的風險,一般由不同的部門自行負責處理,這種分散管理有時還會讓有些風險因無人管理而陷入真空狀態。因此,由專門部門或人員來協調、控制風險的管理方式,容易使企業統一風險管理戰略和政策,高層管理者也能及時了解企業所面臨的整體風險狀況。
風險管理預警機制不完善
風險預警是指通過事先確定風險監測指標,由內部控制部門進行追蹤監測,對監管對象可能出現的風險,及時發現、及時向上級有關部門及風險部門傳輸預警信號,并提醒采取相應的對策措施,提前做好防范和化解風險的工作過程。建立企業風險預警系統,其目的在于:在風險尚未影響企業生產經營之前,通過風險預警,風險管理機構及上級有關部門能實時跟蹤并重視風險苗頭,便于對風險主動采取化解措施,使已形成或即將形成的風險得到適時、穩妥地化解,以避免企業經營業績出現大幅波動。另外,通過風險預警,使企業可警惕出現的新風險,讓潛在的風險被消滅在萌芽之中,同時也強化了企業管理層的風險意識和風險防范意識。反之,如果企業風險預警機制不完善,必將導致企業無法有效防范經營風險和財務風險。
完善以風險為導向的內部控制對策
風險管理要求企業按照既定的經營戰略,通過內部控制制度對一般風險進行常規化控制,對系統風險利用風險識別及分析技術,尋找出業務風險點,并采取有效應對方法來化解風險。企業風險管理一般以預防為主,對企業管理高風險區域需經常進行檢查,以便及時發現、及時轉嫁、化解風險。總之,以風險管理為導向,對內部控制制度要從以下幾個方面進行完善。
積極培育企業良好的內部控制環境
控制環境是內部控制的核心,也是其他四個內控要素存在的基礎。企業若想改善內部控制環境,首先需建立健全公司治理結構,以保證內部控制能順利運行。而內部控制順利運行還取決于良好的內控氛圍。因此,營造良好的內控氛圍需做好以下三方面工作:首先:必須加強管理層內部控制意識,改變以前意識淡薄的現狀,使內部控制成為管理層的自覺行為。其次:內部控制還必須做到全員培訓到位,使全體員工認識到內部控制不再是管理層的事,內部控制與他們息息相關。最后:要倡導企業文化,強化企業責任感和使命感,將企業員工的思維方式、思想理念與其實際工作行為能統一和融合,在員工內心能形成一種企業目標的實現是自我價值實現的觀點。
完善企業風險評價體系
企業面臨的風險具有很多不確定性,對于這些不確定性因素,企業應通過風險評價體系來進行風險管理,為以后消除、化解風險提供依據。企業進行風險評估,首先要明確、識別風險目標。對那些影響企業目標實現的風險,通過評估風險可能會產生的影響程度,積極采取有效的應對措施,才可保證企業按既定目標實現。因此,企業內部控制必須建立風險評估機制,最大限度避免或降低各種財務風險和經營風險,使企業經營管理過程能持續健康發展。
強化風險控制活動,建立完善的風險控制機制
為加強風險管理能力,應建立責、權、利相統一的風險管理機制,各級對風險權限之內的風險應嚴格控制,謹防越級控制,并將風險管理成效與管理層的績效考核相結合,進行利益約束。企業進行風險控制,尤其要注意對可能發生的重大風險進行動態監控,提前制定應急預案,這樣才可根據風險變化隨時調整措施,以提高風險應對能力。在日常風險管理中,應對各個風險控制點進行常規化風險分析。通過對風險的識別分析,逐步形成風險管理基本流程及風險管理理念。在風險管理方面,力求最大限度地挖掘員工的積極性、創造性和思維性,從而追求企業全方位、多角度、綜合化的風險內控制度,將各類風險防范措施切實貫徹到每個風險點。
加強內控信息管理與溝通
良好的內控信息管理與溝通可以讓企業員工明確自己在內控體系中的位置及所承擔的職責。有效的溝通可以讓員工在其操作業務時,一旦有非預期的風險事項發生,可以及時采取行動,并能及時向上級匯報。而自上而下順暢傳遞信息,可使管理層的意圖及時傳達給企業每位員工,為其準確地履行職責指明方向。另外,信息橫向傳遞暢通,可以減少各部門間的誤解,加強配合,提高工作效率。因此,企業加強內控信息管理與溝通可以使每位員工能夠進行自我控制,實現自我管理,將有形的控制形式轉化為全體員工的自覺行動,這樣可以防止串通舞弊,減少信息不對稱現象,提高內部控制的效率和效果。
加強內部控制監督
內部控制監督是對內部控制過程及結果進行全過程、全方位的監督。對其控制過程進行恰當的監督,是貫徹落實內部控制的有力保證。在內部控制監督中,內部審計是實現控制活動成敗的關鍵。因此,企業應建立相對獨立的內部審計機構,內部審計的作用也不再局限查錯糾弊,而是拓展了內審的領域,它不僅可以監督企業內部控制的執行情況,還可以在日常工作中監督評審內部控制的總體效果。
總之,建立健全以風險管理為導向的內部控制制度,有利于平衡效益與風險,提高企業經營管理水平,使風險管理融入到企業業務發展的各個環節,達到內部控制與風險管理統一融合,真正實現內部控制閉環管理。
