浅议企业内部控制和风险管理体系的重要性
内容摘要:2008年6月,财政部会同、审计署、银监会、发布《企业内部控制基本规范》,2010年4月26日,五部委又联合发布了《企业内部控制配套指引》(包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》)。实施时间表明确规定:自2011年1月1日起首先在境内外同时上市的公司施行;自2012年1月1日起扩大到在上海、深圳交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
关键词:内部控制 风险控制
一、内部控制定义和要素
(一)内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。
分公司建立内部控制体系,不是管理层或一个部门的工作,是全体员工的共同的责任,而且随着各种环境变化,分公司应持续改进,才能真正发挥内部控制的作用。
(二)公司内部控制包括五要素。
1、内部环境是基础。通过制定内部控制管理办法,对基础的内部控制环境进行梳理,建立规范的公司治理结构和议事规则,明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制;
2、风险评估是依据。
公司首先要对风险进行识别,不仅要识别内部风险,还要识别与控制目标相关的各类外部风险.企业识别内部风险,一般关注:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素等。企业识别外部风险,一般关注:经济形势、产业、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素等。
分析了相关风险发生的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略,采取风险规避,即改变或回避相关业务,不承担相应风险;风险承受,即比较风险与收益后,愿意无条件承担全部风险;风险降低,即采取措施降低发生不利后果的可能性;风险分担,即通过购买保险、外包业务等方式来分担一部分风险。根据不同风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。风险应对策略往往需结合运用。
3、控制活动是手段。
控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。常见的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制.
4、信息沟通是载体。
信息与沟通是企业及时准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,是实施内部控制的重要条件。信息与沟通的要件主要包括:信息质量、沟通制度、信息系统、反舞弊机制.
5、内部监督是保证。
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷,及时加以改进,是实施内部控制的重要保证。内部监督包括日常监督和专项监督。
二、内部控制建立的必要性
1、国际环境:2001年安然事件后,以《萨班斯—奥克斯利法案》(即《2002年公众公司会计改革和投资者保案》,简称SOX)的公布为标志,全球掀起了企业内部控制和上市公司监管的浪潮,世界进入企业内部控制时代。
2、在国内资本市场中,由于一些上市公司内部控制意识淡薄,出现了一些企业内部控制失效甚至舞弊的案件,损害了投资者利益,在市场上造成了恶劣的影响。此外,由于企业内部控制不规范而使银行产生大量不良贷款的现象也屡见不鲜。
3、随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面临的市场风险,会计控制必须向风险控制发展.
4、对“云铜”窝案的反思.在“云铜案”查处过程中,云南省纪委作出了“邹韶禄、余卫平、汪建伟等人严重违纪违法问题,既是个人造成的,也和企业内部管理制度不健全、监督机
制缺失等原因有密切关系”的结论。发展理念和发展思路出现偏差,出现了规模递减效应,企业发展战略出现风险;组织架构设置不合理,管控模式不科学,管理链条长成本高,组织架构出现风险;制度不完善,将决策权、批准权、监督权和制约权同时集中在一个人手中,没有真正形成科学的投资决策机制、风险防范和控制机制、权力监督和制衡机制;大额资金的支、付、融、拨调没有经过相关部门负责人和财务中心联审会签,再报送企业领导层认可的审批管理。
三、建立内部控制应坚持的原则
1、全面性原则。内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制,不存在内部控制空白点。
2、重要性原则。内部控制应当在兼顾全面的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷.重要性原则的应用需要一定的职业判断,企业应当根据所处行业环境和经营特点,从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。
3、制衡性原则.内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率.制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节;同时,还要求履行内部控制监督职责的机构或人员具有良好的性。
4、适应性原则.内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整.适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救.
5、成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制.成
本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
四、内部控制的设计程序
1、对企业的组织体系、机构设置、营业范围、经营方式、主要业务、营运情况、管理水平、员工情况、财务状况、经营成果以及所处的外部环境等进行全面总结和分析。
2、按照一定的方法,合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统,包括组织架构、发展战略、人力资源、企业文化、社会责任等内部环境系统;资金活动、采购业务、资产管理、销售业务、研究开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等业务活动系统。
3、对各相关子系统进行认真研究和梳理,确定各子系统运行过程中的主要风险、关键环节和关键控制点,并针对每一个关键环节和关键控制点制定有效的控制措施.
4、用文字、流程图、风险控制文档等多种形式将各相关子系统及其业务和事项的风险类型、控制目标、关键控制点、控制措施、控制频率加以规定和说明,形成与经营管理制度有机结合的内部控制.
运用计算机信息技术手段实施内部控制的企业,在建立健全本企业内部控制时,应当充分考虑手工控制与计算机信息技术控制的特点和差异,但不得因实行计算机信息技术控制而免除或减少必要的控制程序。
五、分公司内部控制体系包括的内容
(一)公司层面控制
企业层面控制,是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。
2010年4月财政部等五部委发布了《企业内部控制应用指引》,应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引.
企业层面控制根据环境类指引即《企业内部控制指引第1号—-组织架构》、《企业内部控制指引第2号——发展战略》、《企业内部控制指引第3号——人力资源》、《企业内部控制指引第4号——社会责任》、《企业内部控制指引第5号——企业文化》撰写。
根据分公司的定位,分公司主要是搞好生产,带好队伍,打造一流的磷复肥制造能力,同时按照本部“六统一”的要求,结合本部的内部制制体系来制定分公司企业层面的内控体系。
1、组织架构。应该依据本部对分公司的定位制定分公司的组织架构。
2、发展战略。本部的发展战略内部控制办法就是分公司的发展战略内部控制管理办法。
3、人力资源。按本部的人力资源制定分公司的人力资源内部控制管理办法。
4、社会责任。分公司应结合公司生产经营的特点,所处的地域环境,如分公司是磷复肥生产企业,地处安宁市,制定分公司的社会责任内控管理办法。履行社会责任中的主要风险包括:
(1)安全生产措施是否不到位,责任是否落实,可能导致企业发生安全事故。
(2)产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产.
(3)环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业。
(4)促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定.
对过对上述风附表进行识别后,制定分公司社会责任内部控制管理办法。
5、企业文化。按照国际“一个公司、一种文化”要求,本部的企业文化内部控制管理办法就是分公司应执行的企业文化内部控制管理办法。
(二)业务层面控制,是指综合运用各种控制手段和方法,针对具体业务和事项实施的控制.
业务层面控制根据《企业内部控制应用指引》中的控制活动类指引、控制手段类指引撰写,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项.其中控制活动类应用指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等9项指引;控制手段类指引包括全面预算、合同管理、内部信息传递和信息系统等4项指引。
根据分公司的定位,制定业务层面内部控制管理办法是分公司内部控制的重点,根据分公司的业务特点,应该制定以下内部控制办法:
1、资金活动
2、采购业务
3、资产管理、
4、研究与开发
5、工程项目
6、业务外包、
7、财务报告等9项指引;
8、全面预算、
9、合同管理
10、内部信息传递
11、信息系统
可以看出,由于分公司的定位,主产品销售是本部对市场销售,所以分公司不需制定销售业务内部控制管理办法,同时分公司也没有对外进行担保的权限,所以也不需要制定担保业务的内部控制管理办法。
六、分公司内部控制体系建立的方法
(一)、根据分公司实际,建议设立内部控制及风险管理委员会,委员会主任由总经理担任,下设办公室,办公室由各单位第一责任人组成,各部门内设有风险职能的岗位.
(二)明确各层级人员的职责,包括风险管理委员会职责,全面风险管理办公室职责,各职能部门职责.
(三)、第一次建立内控体系时,本人认为还是聘请专业的会计事务所为公司进行初始建立咨询,各部门配合,把内控体系及全面风险管理系统先建立起来。
(四)各部门认真做好风险管理初始信息的收集工作,为公司开展风险管理工作夯实基础。
收集风险管理初始信息是整个风险管理的第一步,是公司全面风险管理的首要环节,其目的在于及时发现企业可能面临的各种风险,为公司风险评估提供依据。
各职能部门的主要负责人是该部门风险管理工作的第一责任人.在与专业咨询机构充分沟通的基础上,各部门要制定出相应的工作计划,明确收集初始信息的内容范围、渠道来源、方法工具等,建立信息收集的汇报与监督机制,并把收集初始信息的职责落实到相关的工作人员,明确由谁负责对初始信息进行必要的筛选、提炼、对比、分类、组合,为开展下一步风险评估工作做准备.并按照本部门的管理职责,广泛、持续不断地收集与本部门风险和风险管理相关的内部、外部信息,包括历史数据和未来预测,作为风险管理的基础和依据.
在专业咨询机构的指导下,各职能部门要逐步探索建立风险管理信息子系统,按照信息的采集、存储、加工、分析与测试、传递的管理环节,不断改善,持续改进.各职能部门要严格把关,确保进入信息系统的业务数据等信息的一致性、准确性、及时性、可用性和完整性;对已经输入系统的信息,未经批准,不得更改。同时,各职能部门要严格保密,确保风险管理信息系统的安全,
并根据实际需要进行及时的更新、改进和维护。
(五)认真梳理业务流程,切实抓好风险评估
在风险评估前,各部门应按照本部门的管理职责,广泛、持续不断地收集与本部门风险和风险管理相关的内部、外部信息,包括历史数据和未来预测,作为风险管理的基础和依据。
在流程梳理与风险评估中,各职能部门要首先对本部负责和参与管理的业务流程进行充分梳理,并且运用各种风险评估方法,认真查找、梳理本部门职责范围内的各项业务流程中是否有风险,有哪些风险?
各职能部门应当持续关注本部门管理业务面临的风险,结合实际,定期不定期对各种风险进行识别、分析和评价,并对已经识别的各项风险进行比较,确定对各项风险的管理优先顺序,明确现阶段面临的重大风险。原则上各职能部门每年至少进行一次系统的风险辨识和评价,但各职能部门应对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。
(六)结合公司实际,制定风险管理策略
风险管理策略在整个风险管理体系中具有统领全局的地位。制定风险管理策略是利用前一阶段风险评估的结果,为下一步制定解决方案奠定基础。各职能部门要在充分调研、认真查找、科学评估的基础上,根据公司当期的风险偏好和风险承受度,逐一对照在风险评估阶段开具出的风险清单,综合运用风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等风险管理工具,确定风险的预警线及相应采取的对策。
在实践过程中,各职能部门应根据风险与收益相平衡的原则以及风险对企业战略的影响程
度,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。同时,各职能部门要逐步建立衡量风险管理是否有效的标准,这一有效性标准要针对公司重大风险,能够反映公司风险管理的现状;应当对照公司全面风险管理的目标,保证企业的运营效果;应当在风险管理全过程中应用,并根据风险变化随时调整。
(七)、完善各项内控系统,强化内控制度建设。
内部控制以流程为基础。各职能部门要在积极配合专业咨询机构完善、优化内部控制系统的同时,重点梳理现有的管理和业务流程,深入查找风险控制的漏洞,进而健全、完善、优化相关的控制措施,完善各项内控系统。
内控制度是建立内控系统的重要手段和必要措施。各职能部门要按照系统性原则,根据风险管理的构成要素,全面修订和完善内部规章制度和业务流程,强化事前防范、事中监控和事后管理,明确操作流程各个环节、有关岗位的衔接方式及操作标准,在公司内部形成“分工明确、制衡”的机制.
总之,内控建设是一项系统工程,各职能部门要按照系统性原则,根据风险管理的构成要素,全面梳理流程,识别风险,修订和完善内部规章制度和业务流程,强化事前防范、事中监控和事后管理,明确操作流程各个环节、有关岗位的衔接方式及操作标准。同时,内控建设不是一蹴而就,是一个持续的过程,在经营管理过程中需动态地识别、评估、防范和管理风险,需要随着各种环境的变化不断的做出持续的改进,确保风险管理工作持续有效。
