内部控制与企业风险防范
一、内部控制概述
内部控制是由企业董事会、经理阶层以及其他员工实施的,旨在为营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。
(一)选题背景及目的
2001年,美国安然、世通等大公司曝露出的财务丑闻震惊世界资本市场,严重冲击了美国乃至国际资本市场的正常秩序,打击了投资者对美国资本市场的信心,同时内部控制存在重大缺陷所造成的公司高管舞弊令华尔街陷入了严重的信任危机。这些事件的发生与国际环境,例如国际经济与金融的联系不断加强,环境变化也日趋剧烈,信息时代的到来,企业生产力不断提高有密切的关系。但是导致这些事件发生最主要的原因是企业内部控制存在的缺陷。美国国会为了挽回投资者的信心,保护投资者的利益,改善美国上市公司的内部控制状况,于2002年通过了《萨班斯—奥克斯利法案》,并且强制性要求企业依据COSO委员会的《内部控制—整合框架》建立健全内部控制制度,加强企业风险管理,同时要求管理层对公司内部控制的有效性负主要责任。
就我国目前的情况来看,许多企业的内部控制都很薄弱,企业风险没有得到很好的控制和预防。在2001年,我国加入WTO之后,我国经济的发展更加、科技发展速度加快,更多的企业走出国门、步入世界,所以我国企业都面临的竞争压力和风险更加巨大,为此遭受重大风险的企业不在少数,2004年的中航油事件是其中的典型。中航油因为石油衍生品交易失败出现了约5.5亿美元的巨损,究其原因是中航油的内部控制失效和管理当局的风险管理意识不足导致的。不难看出,风险严重危害了企业的发展,为保证企业的生存和发展,识别和控制风险就变成了很重要的一环。因此,这也引起了我国政府的重视,为了给企业顺利开展风险管理工作提供指引,促进企业稳步发展,我国国资委在2006年发布了《中央企业全面风险管理指引》。两年后,五部委发布了《企业内部控制规范》,为我国企业在建立内部控制体系时提供了一个标准和规范,为建立健全我国企业内部控制打下了一个良好的基础。之后,又出台了一系列相关的配套指引,包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,具体而又详细的让企业了解如何操作,进一步完善了我国内部控制规范体系。本文的目的在于通过对内部控制理论、发展、我国企业在内部控制方面存在的问题、造成这些问题的原因进行分析,最终寻找适合解决我国企业在内部控制上存在问题的方法和措施。
第1页 共17页
湖南商学院毕业论文
(二)内部控制理论基础
内部控制理论的发展是一个渐进的演变过程,可以分为内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。近年来,一些大公司破产的丑闻爆出,让内部控制吸引了大家的眼球,各个公司对内部控制也越来越重视,还有一些专家学者对内部控制的理论进行了研究,并形成了一定的理论体系。
1.内部控制整合框架
《内部控制整合框架》又称COSO报告,COSO委员会在1992年9月对其进行发布,并且在1994年进行了修改。现在,这个内部控制整体框架是业内最权威的框架,也受到了各个企业的推崇,因为该报告是结合了内部控制理论和发展实际。在《内部控制整合框架》中,对内部控制的定义是:由企业董事会、经理阶层以及其他员工实施的,旨在为营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。
内部控制整合框架把内部控制的要素分为五个相互关联的部分,分别是:内部环境、风险评估、控制活动、信息与沟通、内部监督。每个要素都要承载三个目标:经营目标、报告目标、战略目标。这五个要素和三个目标贯穿于企业的各个部门和各个业务活动中。内部控制的五个要素之间和三个目标之间的关系分别用图表示如下。
内部监督 信 息 与 沟通 信 息 与 沟 通风 险 评 估控制活动内 部 环 境
图1 内部控制五要素框架图
第2页 共17页
湖南商学院毕业论文
战略目标 企业生存与发展物质前提 分解保证合规目标资产安全目标经营目标 成果反映报告目标 图2 内部控制目标关系图
2.企业风险管理整合框架
因为在企业的决策中越发的发现风险决策的重要性,所以COSO委员会于2004年,在内部控制整合框架的基础上提出了《企业风险管理整合框架》又称ERM框架,来给董事会和管理层分析和评价企业的风险。ERM框架认为企业风险管理是一个过程,它是由董事会、管理当局和其他人员共同实施,应用于战略制定并贯穿在企业之中,目的是识别可能会影响主题的潜在事项,管理风险以使其在该主体的风险容量范围之内,并为主体目标的实现提供合理保证。相比于内部控制整合框架,ERM框架的要素增加了到了八个,分别是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
3.萨班斯—奥克斯利法案
2001年,美国安然公司(Enron)、施乐(Xerox)、世通(WorldCom)、默克(Merck)等一大批知名企业接连发生财务丑闻,暴露出了美国公司制度中普遍存在的种种问题,让民众对美国金融市场及政府经济政策失去了信心。所以在2002年7月,美国国会通过了萨班斯—奥克斯利法案(又称SOX法案)。该法案不仅要求对公司的治理结构进行完善,同时还要对渎职和做假账的企业主管实行严厉的制裁,对上市公司实行更为严格的监管。SOX法案的颁布和实施,给审计方法带来了一系列的变革,对公司内部控制方面也提出了新的要求。
第3页 共17页
湖南商学院毕业论文
(二)我国内部控制的发展
我国的资本市场从某种程度上来说的确落后于发达国家的资本市场,特别是近几年来,我国频频发生一些上市公司的重大违规、违法事件,这些事件从某些角度上来说与内部控制制度缺失和不够完善、风险管理手段落后有关,这也引起了我国的监管当局对内部控制和企业风险管理建设的重视。由于我国起步晚,所以相比美国等发达国家来说,我国出台关于内部控制和企业风险管理方面的法律法规的密度和力度引人瞩目。
1999年,全国人民代表大会通过了《中华人民共和国会计法》,这部法律让企业内部控制制度作为保障会计信息真实和完整的一种手段,体现了内部会计控制思想。这是我国对内部控制的最高法律规范,但只限于会计控制,与管理控制无关。
2004年2月1日,《审计机关内部控制测评准则》被要求实施。该准则主要规定了内部控制在测评方面的方法与程序。这一准则的颁布,不仅仅规范了审计人员在审计过程中对被审计单位内部控制的测评行为,也保证了审计工作质量。
2006年,上交所和深交所先后发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,指引给各公司建立健全内部控制体系提供指导,并要按照规定披露内部控制体系建立和实施的状况。
2006年6月20日,国资委出台了《中央企业全面风险管理指引》。指引借鉴了发达国家在企业风险管理方面的法律法规,详细阐述了中央企业在开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理文化、风险管理策略、风险管理解决方案、风险管理信息系统、监督与改进等。
2010年4月26日,《企业内部控制配套指引》发布。这一指引的颁布,标志着企业内部控制体系建设目标的成立。同时也为企业更深刻的理解内部控制规范要求、防范企业面临的各种风险、保障企业能持续发展提供了指引。
二、目前我国企业内部控制的现状及原因分析
国外发达国家通过长时间的摸索,在内部控制方面已经比较成熟和完善,其理论和经验也主导了国际内部控制发展方向。然而我国在内部控制领域起步较晚,对内部控制的全面认识也才刚刚开始,所以我国企业目前在内部控制上还存在着诸多问题。这就对我国快速建立和完善内部控制相关法律,企业寻求和制定更为合适的内部控制制度提出了更迫切的要求。
(一)我国企业内部控制与风险防范存在的问题
在上文,笔者论述了我国内部控制与风险管理理论的发展状况,也知道了内部控制对于一个企业顺利运行的重要性,同时我们也知道了国家现在对内部控制方面的重视。
第4页 共17页
湖南商学院毕业论文
那么,目前我国企业在内部控制方面还存在哪些问题呢?我国企业是否真正了解了监督管理机构在内部控制方面对他们的要求?如果了解了,那么我国企业真正按照要求来做的又有多少呢?德勤在2007年就对这些问题展开了调查,总共有86家企业参与并提供了相关信息。调查结果显示有将近一半的企业表示自己清楚的了解监督管理机构对内部控制的要求,然而只有五分之一的企业认为已有的内部控制体系能满足监管机构的要求。75%的企业认为不了解或者不知道如何对风险进行一个有效的管理。还有72%的企业认为企业本身没有建立一个有效地、持续的对企业内部进行监控的机制。所以在风险管理方面的情况也同样糟糕。
出现上述的现象,与我国在内部控制领域起步较晚、法律体系不够完善、相关人才缺失、企业组织架构混乱和社会信用缺失等外部因素有关之外,在公司实施内部控制方面,也存在诸多的问题,主要有以下几个方面:
一是企业对内部控制和风险管理的认识还不够全面和深入。随着全球信息化进程的不断深入,很多企业都有了内部控制的思想,很多企业还组织员工进行学习,在整体让员工形成内部控制意识的同时,也形成、完善了企业的内部控制制度,并应用于日常的管理活动中,也取得了较好的效果。但是,我国仍然有很大一部分企业对内部控制的理解过于片面,还停留在内部控制制度阶段,把重心放在内部会计控制,把目标定位为防止会计信息失真和保护公司资产,从而忽略了内部控制的本质,就是制衡和监督。在风险管理方面,大部分的企业都还不了解如何建立风险管理体系,对如何防范风险还是凭经验和运气。笔者认为,观念决定行为,如果我国企业高层管理人员不能对内部控制和风险管理尽快有个准确而又全面的认识,那么企业的内部控制制度再完善也无法有效的运行。
二是企业的治理结构不合理,导致内部控制失效。我国的企业治理结构是“三会四权”式的结构,即由股东大会、董事会、监事会构成。“三会”和行使最终控制权、经营决策权、监督权和经营指挥权“四权”构成的制衡机制。公司治理的作用是协调不同产权主体之间的经济利益矛盾,克服或减少代理成本。我国企业在治理结构上普遍存在的问题主要有:高管人员具有绝对的控制权,使得股东大会的职能得不到发挥;监事会的功能有限;债权人对公司实施的监控作用较小等。
三是内部控制和风险管理没有联系到一起,使得效果减半。随着对内部控制研究的升入,内部控制的重要性被得到了解,许多企业也越来越重视内部控制制度的建立和实施。然而,在对风险进行管理和防范方面,许多企业还不是很了解,所以内部控制的重心也并没放到对风险的管理上来,导致出现了一些企业的悲剧。
第5页 共17页
湖南商学院毕业论文
(二)我国企业内部控制与风险防范存在问题的原因分析
导致我国企业出现这些问题的原因有很多方面,下面笔者通过对COSO报告中的五个要素的分别分析来阐述。
从控制环境方面来看。控制环境又分为外部环境和内部环境。外部环境主要包括经济、政治、法律等方面的。目前我国企业所面临的外部环境确实不是很有利。在经济环境方面,我国的经济体系是不完美的,我国企业在这种不完美下建立的内部控制系统对来自市场的各种风险无法有效防范。在法律方面,尽管我国颁布了很多相关法律,却没有形成一个完善的法律体系。同时相关部门对已有法律的执行不到位、惩罚力度也不够。在监督方面,政府审计对企业内部控制的监督不到位,没有形成完善的奖惩机制。证监会对上市公司的监管不到位和为违规行为的惩处力度也不大。相比于外部环境,改善内部环境对于企业来说更加重要,不仅因为企业能改变的只有内部环境,也因为内部控制环境是内部控制的基础。内部控制环境主要是指企业的核心人员以及这些人的个别属性和所处的工作环境。从企业治理结构上来说,导致董事会的职能缺失,监事会形同虚设是因为原本应该是企业的决策机构,在内部控制中处于核心地位,维护股东权益和约束高级管理人员行为的董事会,在我国却出现了董事会成员和高级管理人员重叠的现象,使得董事会对高级管理人员的行为无法进行约束。虽然近几年引入了独立董事,然而独立董事在董事会中所占的比例很小,且往往就职于多家企业,对公司的情况无法进行全面的了解,所以在董事会中的影响也很小。所以在一些企业会存在几个集决策权、监督权、执行权为一身的几个人,内部控制制度对他们来说是形同虚设,根本没法对他们起到约束作用。而监事会在我国很多企业当中更像是形同虚设。我国《公司法》规定,监事会应当由适当比例的股东代表和职工代表组成。但我国企业常选一些有资格无能力的股东为监事,这些来自股东的监事们又自然代表少数大股东的利益,虽然有一定比例的职工代表,可在现实中,这些职工代表也无法摆脱听命大股东的命运,使得监事会很难正常发挥真正的监督职能,形成了恶性循环,。
从风险评估方面来看。风险评估分为目标设定、风险识别、风险度量、风险应对几个方面。目标的设定是基础,一旦设定,就不能轻易改变,如果没有经过授权就随意更改目标会使企业面临的风险增加。例如中航油总裁陈久霖并不满足单纯的油品现货交易,在董事会不知情的情况下,擅自将企业战略目标移位于不合规的风险极大的投机性期权交易,这种随意更改目标的行为最终给中航油带来了毁灭性的打击。在风险识别这个方面,最重致命的是我国现在一部分的企业高层管理人员没有从观念上树立起风险意识,盲目乐观,忽视了市场中随时潜伏的巨大风险。有了观念之后,正确使用应对风险
第6页 共17页
湖南商学院毕业论文
的方法也很重要。风险应对方法主要分为风险规避、风险降低、风险转移、风险承担四种。金融衍生工具也是风险降低、风险转移的具体方法之一,然而,在使用衍生工具时,需要记住的是金融衍生工具的首要功能是避险,而不是一种投机手段。
从控制活动方面来看。控制活动主要是采取不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等措施来实现的。但是我国很少有企业针对每项企业的业务活动都设立了必要而又恰当的政策和程序。还有一些企业对于已经确定的流程和控制行为都没有恰当执行。
从信息与沟通方面来看。企业要以某种特定形式和在一定时间内获取和识别广泛的信息,这些信息又分为内部信息和外部信息。企业不仅要能及时获得信息,还要检测信息的准确性和保证这些信息能够有序的自上而下、自下而上的流通于整个企业。现在已经是一个信息时代,信息的重要性已经不言而喻,完善的信息系统是企业建立有效地内部控制体系的前提。然而我国部分企业仍存在信息系统不健全的问题。
从监控方面来看。首先,内部控制的执行情况也需要定期的进行监督检查。而我国很多企业就是缺少了这个步骤,使得管理人员就无法及时了解内部控制系统是否还有效运行和随着环境的变化内部控制系统是否应该进行改进的情况,那么在做决策时就会出现失误,从而导致企业面临风险。其次,企业内部审计本应该站在一个第三者的客观角度来监督企业的内部控制活动情况,对内部控制进行再控制。然而目前我国企业审计活动也大多是在经理人的授权下进行,其独立性得不到体现。同时部分审计人员的素质也不是很高。这些问题都导致了内部审计职能得不到良好发挥,监控不能发挥到位。
三、基于风险管理的内部控制重构
内部控制建设需要政府和企业的共同努力。政府可以从完善法律体系、加强监管、加大惩罚力度等方面来为企业建立一个完善的内部控制体系提供一个良好的外部环境。但是一个有效的内部控制体系的构建最重要的是企业自身的努力,企业才是主体,起决定性作用。
(一)内部控制与风险管理的关系
我们回顾国内和国外内部控制的发展历程,不难发现内部控制和风险管理已经趋向结合。在西方发达国家,特别是美国,都越来越重视内部控制中的风险管理,COSO报告和ERM框架成为了应用最广泛的内部控制权威指南。在我国,不少的专家学者和政府部门也都开始意识到风险管理思想对内部控制制度建设的重要性,并且也开始逐渐向这方面展开积极的探索和努力。要想真正掌握结合两者的方法,那就要先了解这两者之间的异同和关系。
第7页 共17页
湖南商学院毕业论文
有些人把内部控制和风险管理混为一谈,大抵是因为两者的目标是相同的,都是为增加企业的价值而服务的。然而,内部控制和风险管理又有很多的不同之处。首先,从职能上来说,风险管理要多于内部控制,因为内部控制只是风险管理的一部分,它没有包含事前制定目标时对风险的管理控制。其次,两者的活动范围不同。这个差异最明显是表现在目标制定上面。内部控制不负责企业经营目标的具体设定,其活动范围主要是在对目标的制定过程进行评价和风险评估。
内部控制和风险管理都是属于微观经济管理的范围内,在企业风险管理整合阶段,内部控制和风险管理被同时列到了一起,而在风险导向型审计这种方法开始使用后,内部控制更是成为了风险管理的手段。同时,良好的内部控制可以保证企业合规和有效率的运行、财务报告真实可靠,也可保证相关法律法规可以得到遵循。而企业合规运行、财务报告真实可靠、法律法规得到遵循也都是风险管理应该达到的基本状态。所以,从这个方面看,内部控制也是企业风险管理的一个必不可少的部分,内部控制的动力来源于企业对于风险的认知和防范。我们可以看到,内部控制和风险管理是可以相互融合的,原因在于:
第一,两者的目标基本一致。内部控制的目标与风险管理的目标有所重合,从表1中就可以看出。风险管理独有的战略目标是指企业在实现其使命过程中所追求的长期结果,它反映了企业在一定时期内经营活动的方向和所要达到的水平。在风险管理的目标体系中,所有的目标都要与战略目标这一最高层次的目标相一致,并为其服务。资产安全与保护这个目标虽然一直是内部会计控制的一个主要目标,但在内部控制整合框架保护资产只是控制程序组成要素的一个子集。我国的《企业内部控制基本规范》重新将其作为内部控制目标的一部分是因为我国的产权多元化,国有资产流失现象严重,保护资产安全与完整对于资产所有者来说具有特别紧迫的现实意义。所以资产安全目标是实现其他目标的物质前提。
表1 目标比较
内部控制目标 企业经营合法合规 财务报告真实可靠 提高经营效率效果 资产安全与保护 第8页 共17页
风险管理目标 合规目标 报告目标 经营目标 战略目标 湖南商学院毕业论文
第二,两者构成要素所反映的内容基本一致。COSO报告中把内部控制的要素总结成五个相互关联的部分,而ERM框架则把风险管理的要素总结为内八个部分。从表2中我们可以看出,风险管理的构成要素就是内部控制上扩展开来的,只是风险管理吧风险评估这一要素给细化了(见表2)。
表2 构成要素比较
内部控制五要素 内部环境 风险评估 控制活动 信息与沟通 内部监督
风险管理八要素 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控 根据前面的分析我们可以看到,内部控制与风险管理有着十分紧密的关系,无论是从目标来看,还是从构成要素来看,两者都有许多相似之处。同时,在企业经营管理的实践过程中,两者的区别也不明显,所以,将两者隔离来看是不行的。随着我国内部控制和风险管理理论的不断完善和成熟,两者必然走向融合,我们也只能将两者统一起来,将我国的内部控制转化为风险管理导向型才能实现最佳效果。
(二)完善我国企业内部控制体系来防范企业风险的建议
上文中我们已经了解了内部控制和风险管理的相关理论和两者之间的关系,同时我们也分析了我国企业目前在内部控制和风险防范上存在的问题和原因。那么,我们研究如何建立一个风险管理导向型的内部控制体系来解决目前我国企业存在的普遍问题就十分必要了。笔者将利用COSO报告和ERM框架这两个理论来综合分析。
1.改善我国企业内部控制环境
控制环境是内部控制的构成要素中最基础的,相当于企业内部控制和风险管理的土壤,直接决定内部控制和风险管理的好坏,其重要性不言而喻。控制环境主要由外部控
第9页 共17页
湖南商学院毕业论文
制环境和内部控制环境构成。然而外部控制环境是企业所无法自主控制的,所以对于我国企业而言,笔者认为,首先应该改善的就是内部控制的内部环境。这就需要我们完善企业治理结构,各部门各司其职。
我国的企业治理结构有着与其他国家不同的模式。无论哪个模式,都是根据本国国情来决定的,都有其合理之处。对于一个公司来说,建立一个治理结构是第一步,有了第一步之后,接下来就要保障其有效运行了。首先,在治理结构建立之后,企业应该在公司章程中明确规定各个部门的职能,保证各部门了解自己的工作范围。其次,要引进相关专业人才,确保各部门都能有专业的眼光看待问题的人。再次,也要建立一个长效的奖惩激励机制,让企业核心人员的利益与企业利益紧密联系在一起,防止利己伤企的事情发生。具体来看,可以从以下几个方面着手:
第一、加强董事会的建设
董事会是企业治理结构的核心机关,它代表股东行使职权,同时也负责监督和聘任 高级职员,是股东会和经理人的连接者。从内部控制的角度来看,董事会还是企业内部控制系统的最高层,对内部控制的有效性和健全性负最终的责任。所以说,只有董事会的职权得到很好的发挥,企业内部控制系统的功能才会得到体现,企业风险才能被有效防范。
可是就我国企业目前的状况来看,董事会内部人控制的情况还是很严重,董事会的独立性并没有得到很好的体现。笔者认为要解决这个问题,首先我们在人数的构成上应该进行调整。我国目前也引进了独立董事,可是少数几个独立董事根本无法改变董事会的决定,独立董事并没有发挥其应有的效果。所以我们可以加大独立董事在董事会所占的比例,真正提高董事会的独立性。其次在人员选择上应该更加专业化和公正化。特别是董事会成员的选择,因为董事会在内部控制和风险管理中十分重要。在人员选择上应该挑选有专业知识和经验丰富的股东来担任董事,而不是单一的按照持股比例来决定,同时在董事会人员选举中,每位投票人员都只能投一票,避免按照少数股东的意愿来选择董事的事情发生。最后建立一个合理的激励与约束措施也很必要。要想让董事都发挥其效用,就必须对他们实行必要的激励与约束政策。企业可以改变以往的让独立董事拿固定报酬的方式,把独立董事的报酬与是否履行职责挂钩,这种额外的报酬可以是给独立董事一些股票期权,让独立董事自身的利益与企业紧密联系起来,这样,在董事会做出一些不利于企业利益的决定时,独立董事就不会再“事不关己高高挂起”了。
第二、强化监事会的监督职能
在文章的第二章已经提到,我国企业的监事会功能有限,目前我国更加重视的是董
第10页 共17页
湖南商学院毕业论文
事会中独立董事的监督作用。所以,要想强化监事会的监督职能,就得与独立董事的监督职权相协调。我国企业的监事会成员可以在股东代表和职工代表这两部分的基础上,再引入一些其他相关利益人员,如公司债权人等。这样,这些人会更加关注公司运营的效果,和管理是否规范,比起独立董事们来说不仅与公司利益更密切,还能得到更多与公司有关的信息,恰好填补了独立董事在监督上的一些空白。
2.加强对企业风险的管理和防范
在企业运行和发展的过程中,时刻面临着一些未知的风险,这也对企业造成了一定的威胁。一些企业正因为没有建立良好的风险管理体系,导致了风险防范的失败,给企业造成了巨大损失甚至破产。这也引起了大家对风险管理的关注。目前,国际上一些大公司已经把风险管理纳入了公司的战略计划,成为了内部控制的一部分。我国的企业也可以借鉴这些优秀企业的经验,提高企业风险防范能力。
第一、建立健全企业风险管理组织体系
组织体系明确了企业内部各成员的权责关系,所以它的建立是战略实施与计划落实的有力保障。因此,我国也要求上市公司不需要建立健全风险管理的组织体系。这个风险管理组织体系主要由五个部门组成(企业风险管理组织框架见图3)。这个风险管理组织体系的作用主要有风险识别、风险预警、风险决策、风险避险、风险监控等。
股东大会 董事会 审计委员第二道防线
风险管理委员 风险管理职能部门 第一道防线
图3 企业风险管理组织框架图
监事会 第三道防
董事会对企业风险管理负有最终的责任。它的职责主要是:创造良好的风险控制环
第11页 共17页
湖南商学院毕业论文
境;确定风险管理目标、偏好与承受度;控制重大企业风险管理流程;实现风险管理有效信息沟通。建立风险管理组织体系也是由董事会负责,董事会在企业风险管理中的重要性由此可见。
风险管理委员会主要对董事会负责,是这个体系的核心。它的主要负责提交全面风险管理年度报告、审议风险管理策略和重大风险管理解决方案、对企业的风险和管理状况进行评价并提出建议等等。这些职能都对每位风险管理委员会的成员提出了很高的要求。
监事会的主要职能是监督董事会和高管人员的行为,确保内部控制和风险管理政策能合理制定和有效实施。
审计委员会是董事会的一个专设机构。审计人员主要负责研究提出风险管理监督评价体系、展开监督和评价、定时出具审计报告。一旦发现问题,审计人员就要及时向审计委员会报告,有重大问题还应向董事会报告,保证问题能够及时的解决。
风险管理职能部门的工作主要是根据上级部门指示执行一些具体的、日常的监督评价工作。
这个企业风险管理组织对风险的防范还建立起了三道防线。第一道防线是风险职能管理部门所建立起的防线。主要负责执行企业的具体工作,在工作当中对风险进行检测和防范,一旦发现问题就向上级报告。第二道防线是审计委员会建立起来的。这是一个独立于业务单位的部门,因此可以独立、客观的进行审查和咨询活动。第三道防线是监事会。监事会对企业内部控制的过程进行全程监督,并把意见反映给董事会。在两者意见不统一时,监事会可以召开临时股东大会,由股东来表决。
第二、对企业面临的风险进行全面评估
这种对企业风险全面评估的过程主要包括风险识别、风险分析、风险反应。由于目前我国企业所处的环境变幻莫测,使得时刻面临着风险的侵袭。只有企业的各个风险管理部门及时的对企业面临的风险进行识别、评估,才能确定采取何种措施来规避风险,减少损失。
在风险识别的过程中,要想准确的识别风险,那么不仅要考虑单个事件,还要考虑事件与事件之间的关系;不仅要考虑过去和现在所发生的事件,也要考虑将来可能发生的事件。在对已经识别出的风险进行分析时,企业需要注意的是可能某个单独的风险对企业的危害不是很大,然而一系列的风险一同爆发对企业的威胁可能是致命的。所以在对风险进行分析时,一定要有大局观,可采用定性、定量两者结合的方法来对企业风险进行分析。在对风险制定应对策略时,管理部门要从企业的整体利益出发,综合考虑所
第12页 共17页
湖南商学院毕业论文
有风险后制定一个最优的风险应对方案。
3.提高企业信息与沟通能力
在上文中我们提到了信息的重要性。如果内外、上下信息流通不顺畅,必然给企业有效实施内部控制和风险管理带来阻碍。因此,企业只有提高信息与沟通能力,挖掘和充分利用有用信息,加强内外沟通,企业的内部控制才能更好地应对和防范风险。然而我国很多企业目前对这个方面不是很重视。笔者认为我国企业要想改善这部分存在的问题,可以从以下两个方面着手:
第一、信息的合理利用
我国企业在信息方面目前存在的最大问题就是利用不充分。要想合理、充分的利用信息,首先就要对信息进行收集和储备。企业可以建立一个信息库,用于储存收集来的各种信息。然后在需要信息的时候可以去信息库对信息进行筛选,选出对处理该项事件有用的信息。最后,对筛选出来的信息进行深入分析,得出能支持决策的证据。在这一过程中,合理利用高科技很重要。现在企业面对庞大的信息量,还要在短时间做出反应,这就对企业信息处理的效率提出了更高的要求。这就必须依靠计算机来对信息进行搜索、整理、处理、分析,这说明了计算机技术是目前合理有效利用信息的关键。
第二、沟通的有效进行
在企业人员取得信息之后,各部门之间,或者与外部团体间要进行信息的交流才能得出最后的结论。因此,沟通的有效进行是确保内部控制有效性的重要因素。而企业信息系统的建立给沟通也建立了良好的基础。
信息沟通包括了内部信息沟通和外部信息沟通。内部沟通包括了向上沟通、平行沟通和向下沟通。向上沟通指职工要向上级汇报自己的工作情况,让高管人员能及时了解工作完成情况和企业运作状况,便于管理人员对企业方针政策的正确性进行检测,有不对的地方及时进行调整。向上沟通最重要的部分是管理部门对董事会的汇报,沟通越好,董事会对管理部门的监督才越有效,企业治理结构对内部控制的效用才能更好的体现。平时沟通是指各个部门之间信息的相互传达,每个部门都不是完全独立的,很多工作的开展需要多部门共同合作,只有平行沟通顺畅,做到信息互通有无,才能使内部控制和风险防范工作更好的开展。向下沟通主要是指管理人员向下传达公司的政策和任务的布置。向下沟通的顺畅才能保证每项工作及时准确的完成。
四、案例分析——中国航油(新加坡)股份有限公司破产事件
在上文中,我们分析了目前我国企业在内部控制构建和风险防范上存在的问题和出现这种问题的原因,并且提出了一些解决这些问题的建议。然而在实际操作过程中,我
第13页 共17页
湖南商学院毕业论文
国企业应该遵守马克思主义的具体问题具体分析的方法,根据企业自身状况来改善已有的内部控制和风险管理体系。下面,笔者将对中国航油(新加坡)股份有限公司在内部控制和风险管理上失败的这一案例进行分析,结合实际进一步论述我国企业应当如何建立和完善内部控制体系来防范风险。
(一)案例介绍
1993年,中国航油(新加坡)股份有限公司在新加坡成立,是一家由中国航空油料集团有限公司控股的石油类跨国公司。公司在成立之后就一直出去亏损状态,在陈久霖接手之后,公司很快有了起色,由亏转盈,同时还垄断了中国国内在航空油品市场的采购权。不仅如此,公司还于2001年12月6日在新加坡股票交易所主板挂牌上市。由于该公司在业绩上的出色表现,由亏转盈的速度之快,引起了国内外的广泛关注,获得了多项荣誉,在2002年,公司作为唯一入选的中资公司,被新交所评为“最具透明度的上市公司”奖,公司总裁陈久霖还被知名杂志选为“亚洲经济新领袖”。 这样的一家明星公司从2003年起开始进行投机期权交易,由于总裁陈久霖的错误判断,在2004年1月,石油价格大幅上涨,期权交易出现了亏损,再进行两次错误操作后,亏损的数额越来越大。同年的12月1日,公司不得不向法庭申请破产保护令。这一事件成为中国海外公司中最大的丑闻,而公司总裁陈久霖也被逮捕,按照有关的法律法规接受惩罚。
(二)案例分析
中国航油(新加坡)股份有限公司在进行投机期权交易失败,导致公司停牌并申请破产之后,引起了国内外广泛的关注,很多专家学者从各个方面也对这一事件进行了分析和研究。本文,将联系内部控制的控制环境和风险防范方面的理论来对这一事件进行剖析,并从中得到一些启示。
从控制环境方面分析。中航油有着较为完善的内部控制系统,在2002年还被评为最具透明度上市公司。造成这一现象的原因不仅仅是作为总裁的陈久霖有违商业道德进行违规操作有关,与控制环境更是有很大的干系。控制环境又分为外部环境和内部环境。从外部环境来看,不难看出,中国企业普遍对法律风险的不重视,和对在海外的子公司管理的松懈。这一状况的造成很可能是中国的企业在国内时长期处于一个低风险状态,在步入国际大舞台时不适应所致。但起到主要作用的还是内部环境,在中航油这家公司,由于从成立起,一直到陈久霖接手前都是处于亏损,只有在陈久霖上任后,公司不仅有了盈利,还得到了多项大奖,这不免使得公司上下对陈久霖形成了一种盲目崇拜。这种盲目崇拜让陈久霖的个人权利超出了内部控制的监控,使得公司治理结构的监督作用得不到有效发挥,导致在重要时刻内部控制体系没发挥作用。中航油公司在新加坡进行投
第14页 共17页
湖南商学院毕业论文
机交易,还是场外期货交易,且期货交易量与同期现货交易量不相适应这三个方面违反了国家的明文规定。恰巧陈久霖的风险意识淡薄而且过于自信,使得他没有正视中航油出现的风险,甚至还有过“亏损是指实际亏损而不是账面亏损,我们只是账面亏损”的言论。这种队风险的漠视使得中航油公司承担了更多的不可控风险。如果公司能够抛开对陈久霖的盲目崇拜,让制度对他的行为也有约束,那么中航油的悲剧可能不会发生。
从风险防范方面分析。首先笔者认为控制企业风险环节比关注企业细节更为重要。企业风险管理整合框架吧风险管理列入了内部控制的主要内容,要求企业把主要精力放在可能产生重大风险的环节上,而不是所有的细小环节上。中国航油(新加坡)股份有限公司能够被新加坡证券监督部门评为最具透明度上市公司,足以证明中航油确实在内部控制制度的细节方面做得非常周到。可是,很讽刺的是,在事情发生之后,专家们通过对这次事件的分析得出,这一结果的形成恰恰是在风险管理上出了问题,总裁陈久霖在董事会不知情、没有经过授权的情况下就随意更改经营目标,把单纯的油品现货交易变为了不合规的投机性期权交易,这使得经营风险变大,并最后导致了中航油的悲剧。这也让我国企业明白了目标的重要性,明白了设定的目标要在支持企业发展使命的同时与风险偏好也要一致,且不可随意变更,以免破坏企业发展的稳定性。当然,能在关键时刻通过事项识别区分机会与风险也是很重要的。2002年,在中国航油(新加坡)股份有限公司的年报中显示了当年的投机交易是有盈利的,在2003年的下半年,中航油公司进入了石油期权交易市场,一直到年底也是盈利状态,所以在2003年,中航油公司第二次被评为了最具透明度上市公司。正是这种看似形势大好的状态,让公司的高管层没有及时的意识到风险,一直到公司亏损5亿多美元,集团才意识到事情的严重性。事项识别,能引导管理层战略或者目标始终能保持不被偏离。如果当初中航油公司的高管层能及时分辨机会和风险、及时看清楚公司内外部面临的风险,也许这一悲剧就不会发生。
每个公司都有不同的情况,但无论怎样,从中航油的例子中我们不难看出内部控制和风险防范的重要性。特别是只建立起一个完善的内部控制体系和风险管理体系还不够,最重要的是要合理的利用它,让它发挥出其应有的效果。但从中航油的例子上来看,我过企业应该汲取一下几个方面的教训。第一,企业必须要完善内部控制与风险管理体系,特别是要走入国际市场的中国企业,建立一套严格的企业治理结构给企业防范各种风险建立了一个“保护层”。第二,在观念上,企业管理层和交易人员必须要强化风险意识,必须知道金融衍生工具的首要功能是避险,而不是投机。同时也要加强风险评估的能力,及时发现在盈利表象下隐藏的风险,把危机排除。
第15页 共17页
湖南商学院毕业论文
综上所述,在现代的企业竞争中,内部控制成为了永恒的话题。内部控制不仅是企业实现管理现代化的科学方法,同样也是防治会计信息失真的有效途径,还是遏制经济犯罪的必要手段,所以建立健全和实施内部控制是企业稳步发展的重要因素,也是社会进步、经济发展的必然趋势。随着社会经济发展的日趋复杂,企业所处的环境也更加多变,企业面临风险的不确定性和多样性的特点更加明显,为了防范风险对企业造成伤害,就要求企业对风险进行管理。风险管理是在内部控制的基础上进行的融合和扩展。企业只有将内部控制和风险管理融合起来,形成风险管理导向型的内部控制体系才能更好的进行经营活动。
第16页 共17页
湖南商学院毕业论文
参考文献:
[1]李仲飞,颜至宏,姚京,樊婷婷,常琳.从风险管理视角解析中航油事件[J].系统工程理论与实践,2007,(1),23-32.
[2]骆飞群.对内部控制的几点思考[J].北方经贸,2010,(3),83-84
[3]杜轩.内部控制与风险管理的关系理论研究综述[J].现代商业,2010,(4),84 [4]吴群.内部控制是防范企业风险必要环节[J].中外管理导报,2002,(5),30-33 [5]张晓丽.加强内部控制 防范企业风险[J].商场现代化,2007,(4),79-80
[6]龚静萍,利用内部控制体系防范企业风险的探讨[J].西北煤炭,2008,(6),69-72 [7]何庆光,王玉梅.内部控制与企业风险的防范和化解[J].经济与社会发展,2004,(8),98-101
[8]吴春梅.企业内部控制与风险管理[J].经管视线,2011,(10),31
[9]冯薇.中外风险管理的发展历程与比较[J].东方企业文虎,2010,(7),166-167 [10]胡为民.内部控制与企业风险管理[M].北京:电子工业出版社,2007.22-29. [11]企业内部控制编审委员会.企业内部控制配套指引解读与案例分析[M].上海:立信会计出版社,2010.1-18.
[12]杜莹芬.企业风险管理[M].北京:经济管理出版社,2008.26-34.
[13]蒙丽珍.内部控制与风险管理{M}.大连:东北财经大学出版社,2011.32-43. [14]郑石桥.内部控制实证研究[M].北京:经济科学出版社,2006.54-62. [15]李凤鸣.内部控制学[M].北京:北京大学出版社,2002.24-30. [16]孙妍.基于风险管理的内部控制研究[D] .河北:河北大学,2008. [17]陈岚.基于财务风险的内部控制研究[D].贵州:贵州大学,2009.
[18]陈兴琼.基于风险管理视角的内部控制问题研究[D].四川:西南财经大学,2008. [19]Committee of Sponsoring Organizations of the Treadway Commission (COSO).Internal Control—Integrated Framework[R].1992
[20]Committee of Sponsoring Organizations of the Treadway Commission (COSO).Enterprise Risk Management—Integrated Framework[R].2004
[21]Maijoor.S. The internal control explosion[J].International Journal of Auditing,2000
第17页 共17页
因篇幅问题不能全部显示,请点此查看更多更全内容