構建內部控制體系防范企業(yè)風險

1、構建內部控制體系防范企業(yè)風險內部控制是企業(yè)為了達到某個或某些目的而實施相關措施的過程,包含內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督五大要素。內部控制源于企業(yè)風險,財務舞弊、經(jīng)營失敗使內部控制成為全球的主題。本文從內部控制產(chǎn)生的原因、固有風險和存在的問題出發(fā),探索構建內部控制系統(tǒng)應注意的問題及企業(yè)構建內部控制體系、規(guī)范經(jīng)營、防范風險的有效措施。上世紀80年代,美國虛假財務報告丑聞層出不窮,許多大公司突現(xiàn)經(jīng)營失敗,美國注冊會計師協(xié)會(AICPA)等發(fā)起成立的“反對虛假財務報告委員會”調查發(fā)現(xiàn),將近50%的財務舞弊事件可以全部或部分歸咎于內部控制失敗。1992年9月,5個發(fā)起組織成立的委員

2、會即COSO公布了內部控制綜合性框架(COSO報告)。2001年11月,安然公司財務丑聞曝光,6個月后,世通公司再度爆發(fā)丑聞,美國這一期間有338家上市公司,總計4093億美元的資產(chǎn)申請破產(chǎn)保護。2002年7月30日,美國緊急出臺公司改革法案薩班斯奧克斯利法案(Sarbanes-OxleysActs)。2008年6月28日,醞釀兩年之久的中國版“薩班尼斯-奧克斯利法案”企業(yè)內部控制基本規(guī)范發(fā)布,并將于2009年7月1日起在上市公司正式實施,鼓勵非上市公司的大中型國有企業(yè)執(zhí)行。建立內部控制,是企業(yè)應對風險、加強管理、規(guī)范經(jīng)營策略的主要措施。一、內部控制產(chǎn)生的原因內部控制源于企業(yè)風險。企業(yè)風險是影

3、響企業(yè)目標實現(xiàn),可能為企業(yè)帶來損失甚至生存危機的各種不確定因素和潛在可能。企業(yè)的生產(chǎn)經(jīng)營時刻處于在風險中,企業(yè)風險無時不在、無處不在。從企業(yè)風險內容的表現(xiàn)形式看,現(xiàn)代企業(yè)面臨的主要風險主要表現(xiàn)為經(jīng)營風險和管理風險。1、經(jīng)營風險如經(jīng)營環(huán)境、行業(yè)的風險、企業(yè)所處的金融市場風險、產(chǎn)品的開發(fā)能力等等這些不受企業(yè)完全支配的因素。一是供應方面的風險,如原材料供應方面的政治經(jīng)濟環(huán)境變化。二是生產(chǎn)方面的風險,它主要來源于生產(chǎn)過程中諸因素的不確定性,在生產(chǎn)過程中,企業(yè)所擁有的原材料、機器設備以及人力資本等經(jīng)濟資源的配置和使用會隨著生產(chǎn)經(jīng)營的不斷變化而進行調整,使企業(yè)預期收益具有不確定性。特別是新產(chǎn)品開發(fā)過程中,

4、當企業(yè)將一個尚未經(jīng)市場進一步檢驗的新產(chǎn)品作為主要產(chǎn)品而大量投資生產(chǎn)時,企業(yè)的生產(chǎn)經(jīng)營就具有了高風險性。三是銷售方面的風險,是指由于市場上消費者偏好與消費結構的變化、同行業(yè)競爭對手策略的改變以及市場總體需求變動等因素給企業(yè)銷售帶來的風險。此外,外部環(huán)境還存在一些風險因素,例如戰(zhàn)爭、內亂、暴動、罷工等所引起的社會環(huán)境的變化;勞動力市場供求關系的變化;通貨膨脹的發(fā)生;產(chǎn)業(yè)競爭的加劇;國家產(chǎn)業(yè)政策、稅收政策、貨幣金融政策的調整以及其他宏觀經(jīng)濟政策的變化等,這些因素的不確定性都會直接或間接地影響企業(yè)的生產(chǎn)經(jīng)營活動,引起企業(yè)經(jīng)營收益的變化,從而給企業(yè)帶來經(jīng)營上的風險。2、管理風險包括經(jīng)營和財務信息的不足;

5、政策、計劃、程序、法律和標準貫徹失敗;資產(chǎn)流失;資源浪費和無效使用;不能達到企業(yè)的目的和目標等等。企業(yè)風險會給企業(yè)經(jīng)營帶來嚴重后果:競爭失敗會使企業(yè)遭受諸多的不利;經(jīng)營中斷使企業(yè)的目標將無法達到;法律訴訟會給企業(yè)帶來損失和信譽的破壞等;商業(yè)欺詐可能會給企業(yè)帶來難于承受的損失;無益開支使得企業(yè)的收益能力下降;決策失誤可能使企業(yè)一蹶不振;國內外經(jīng)濟環(huán)境、自然災害可能使企業(yè)損失巨大。如2008年,年初的冰雪災害及汶川“5.12”大地震,使鐵路基礎設施遭受巨大破壞,金融危機使鐵路運輸特別是貨物運輸大幅下降。風險影響企業(yè)的生存和競爭能力。很多風險并不為企業(yè)所控制,但決策層應當識別這些風險并采取一定的應對

6、措施。內部控制由此產(chǎn)生。二、內部控制的固有風險無論內部控制制度被設計得多么完美,運行得多么符合設計者的預期,都不是萬能的,因為其自身存在著固有的內生性局限,具體表現(xiàn)為以下幾方面。第一,人為疏忽、分心、疲憊、誤解指令、判斷失誤等,可能使健全有效的內部控制失靈。第二,內部控制一般是為經(jīng)常發(fā)生的經(jīng)濟業(yè)務而設計的,因此,一旦發(fā)生異?；蛭搭A計到的業(yè)務,就會有失控或原有控制不適用的可能性。第三,管理階層為粉飾企業(yè)財務業(yè)績或遵循法令狀況等目的,不遵守已經(jīng)明確制定的政策或程序。美國Treadway委員會曾指出,至少有66%的欺詐性財務報告訴訟案,與最高管理當局逾越內部控制有關。第四,控制成本與效益都是難以確切

7、計量的,因此需要運用主觀判斷做出決策。三、我國國有企業(yè)內部控制存在的主要問題1、控制環(huán)境方面組織結構相對分散,控制及管理缺乏集中;對非正式的管理程序習以為常;難以制定細化的業(yè)績考核指標,激勵機制不完善;高層的管理基調不清晰;缺乏懲防并舉的系統(tǒng)的反舞弊機制;現(xiàn)存制度有沖突或覆蓋不全;公司的制度和程序沒有能夠有效的傳達。2、風險評估方面缺乏完美的風險管理機制及組織架構;對潛在的風險缺乏整體的認識和系統(tǒng)性的歸類;缺乏對風險評估方式、方法、程序的系統(tǒng)理解;缺乏對重大風險預警機制及突發(fā)事件應急處理機制;信息技術方面的風險管理薄弱;缺乏風險管理及內部控制的專業(yè)人才。3、控制活動方面缺乏完整、統(tǒng)一和具體操作

8、的“標準工作流程”;長期形成的過度集權或分權體系;現(xiàn)有的職責分離的不健全;大量且繁雜的手工控制或手工流程;復雜的關聯(lián)方交易;對信息系統(tǒng)相關的控制活動往往缺乏應有的重視。4、信息與溝通方面信息管理系統(tǒng)常常分散或過時;往往缺乏以關鍵業(yè)績指標為基礎的定期匯總的管理報告提交和分析機制;常常過度依賴書面報告中的數(shù)字,而忽視對業(yè)務實際情況的定期考查。5、監(jiān)控方面習慣于以人際關系或非正式手段進行監(jiān)控;內審職能還停留在傳統(tǒng)的合規(guī)性稽核審計;內審人員配備不足,職能缺乏獨立性;審計委員會的監(jiān)督作用常常較為薄弱。四、構建內部控制系統(tǒng)應注意的問題1、以預防為主、查處為輔企業(yè)建立內部控制制度主要是為了防止單位的經(jīng)營管理

9、發(fā)生無效率和不法行為,即防止錯弊發(fā)生和對已發(fā)生的不法事件的揭露和處理情況,查處只是維護內控制度嚴肅性的手段而非內部控制的目的。2、注重選擇關鍵控制點內部控制工作的效率性和成本效益原則決定了管理者應當也只能將注意力集中于業(yè)務處理過程中發(fā)揮作用較大、影響范圍較廣、對保證整個業(yè)務活動的控制目標至關重要的關鍵控制點上,不可祈求面面俱到。3、做到適度控制即控制的范圍、程度和頻度要恰到好處。為此,控制過程中要注意既能滿足對企業(yè)經(jīng)營管理活動監(jiān)督和檢查的需要,又要防止與企業(yè)成員發(fā)生強烈的沖突。適度的控制應能同時體現(xiàn)這兩個方面的要求:一方面要注意到過多的控制會扼殺企業(yè)成員的積極性、主動性和創(chuàng)造性,從而影響個人能

10、力的發(fā)揮和工作熱情的提高,最終影響單位的效率;另一方面也要注意到過少的控制將不能使企業(yè)經(jīng)營管理活動有序地進行。4、設立補救措施現(xiàn)代企業(yè)是由人、財、物、信息技術等要素構成的復雜有機整體,其受時空變化和環(huán)境影響較大,加之隨機因素較多,既定的內部控制制度也就難以按照預期的目標發(fā)揮功效。內部控制必須保證在發(fā)生了一些未能預測的事件情況下,如環(huán)境突變、計劃變更、計劃失敗等,控制工作仍然有效,不受劇烈影響。五、構建內部控制體系的有效措施1、優(yōu)化內部控制環(huán)境(1)健全機構,完善公司治理架構。股東大會、董事會、監(jiān)事會、經(jīng)理層之間應形成權責分配、激勵與約束、權力制衡關系。內部控制的具體做法屬于管理措施問題,但內部

11、控制機制的設計則屬于公司治理的范疇,如董事長與總經(jīng)理的分工既是公司治理中的權利制衡問題,又是內部控制中的不相容職務分工問題。(2)形成適合企業(yè)發(fā)展的管理哲學與經(jīng)營風格。管理哲學與經(jīng)營風格表現(xiàn)為管理者的各種偏好,對企業(yè)的影響是無形的,包括企業(yè)接受風險的程度(如資產(chǎn)負債率的高低);關鍵崗位的人員輪換;管理當局的態(tài)度(即對數(shù)據(jù)處理和會計職能的態(tài)度以及對財務報告可靠性和安全性的關心程度);對財務報告的態(tài)度(是否有操縱利潤的動機)。管理者有風險投資型,也有保守型;有突出主營業(yè)務,也有熱衷于多元化經(jīng)營。(3)設置合理的組織結構。組織結構在于提供規(guī)劃、執(zhí)行、控制和監(jiān)督活動的框架。良好的組織必須以執(zhí)行工作計劃

12、為使命,并具有清晰的職位層次順序、流暢的意見溝通管道、有效的協(xié)調與合作體系。在公司制企業(yè)中,股東大會是權力機構,董事會是決策機構,監(jiān)事會是監(jiān)督機構,經(jīng)理層是日常管理機構,各司其職,各負其責,相互協(xié)調,相互牽制。(4)突出董事會的獨立作用。董事會對股東有信托責任,擁有決策控制權,是企業(yè)內部控制系統(tǒng)框架的核心。目前,我國的現(xiàn)狀是董事會不獨立,形式上“三會”健全,實際中存在許多誤區(qū)。如董事會與經(jīng)理層高度重疊,缺少權力制約,一人決策失誤,影響一個企業(yè),這在我國頗為常見。(5)提高經(jīng)營者素質和職業(yè)道德。素質不僅指知識與專業(yè)技能,還包括操守、道德觀、價值觀與世界觀。職業(yè)道德是造就職業(yè)經(jīng)理、造就大企業(yè)的基石

13、。西方有職業(yè)經(jīng)理人市場,能選擇企業(yè)合適的管理人才。(6)培育企業(yè)文化。企業(yè)文化是企業(yè)在經(jīng)營管理過程中創(chuàng)造的具有本企業(yè)特色的精神財富的總和,它融合了優(yōu)秀的民族文化源和企業(yè)家的優(yōu)秀素質。企業(yè)文化是一種無形的力量,影響企業(yè)成員的思維方法和行為方式,它貫穿于企業(yè)活動的全過程,甚至決定著一個企業(yè)的興衰和成敗。企業(yè)文化能夠提升企業(yè)形象。我國古有浙商、晉商,今有海爾,都是以企業(yè)文化提升企業(yè)品牌的典型案例。(7)抓好人力資源政策與實務。人力資源政策與實務就是企業(yè)有能力招聘并保留一定數(shù)量有勝任能力和責任心的員工,簡單地說,即留住能人、補充能人。COSO報告特別強調“人”在內部控制中的作用。海爾的人才觀是“人人是

14、人才,賽馬不相馬”,賽馬機制具體而言,包含三條原則:公平競爭,任人唯賢;職適其能,人盡其才;合理流動,動態(tài)管理。2、建立風險評估制度(1)采用科學方法。企業(yè)應當采用定性與定量相結合的方法,按照風險發(fā)生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關注重點和優(yōu)先控制的風險。(2)利用專業(yè)人員。企業(yè)進行風險分析,應當充分吸收專業(yè)人員,組成風險分析團隊,按照嚴格規(guī)范的程序開展工作,確保風險分析結果的準確性。(3)制定應對策略。第一,根據(jù)風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。第二,合理分析、準確掌握董事、經(jīng)理及其他高級管理人員、關鍵崗位員工的風險偏好,采取適當?shù)目?/p>

15、制措施,避免因個人風險偏好給企業(yè)經(jīng)營帶來重大損失。第三,綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略,實現(xiàn)對風險的有效控制。風險規(guī)避是企業(yè)對超出風險承受度的風險,通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。風險降低是企業(yè)在權衡成本效益之后,準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失,將風險控制在風險承受度之內的策略。風險分擔是企業(yè)準備借助他人力量,采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧?將風險控制在風險承受度之內的策略。風險承受是企業(yè)對風險承受度之內的風險,在權衡成本效益之后,不準備采取控制措施降低風險或者減輕損失的策略。3、規(guī)范控制活動(1)不相容職務

16、分離。不相容職務分離可以防止員工通過偽造記錄的方式來掩蓋他們對于所保管財物的盜用;防止批準虛假或不正確的交易,隱瞞對公司財產(chǎn)的侵占;防止以偽造的會計記錄來掩蓋未被授權的虛假交易。企業(yè)應當全面系統(tǒng)地分析、梳理業(yè)務流程中涉及的不相容職務,實施相應的分離措施,形成各司其職、各負其責、相互制約的工作機制。不相容職務分離控制是控制活動的重中之重,此項控制缺失將給企業(yè)帶來巨大損失,巴林銀行、中航油、興業(yè)銀行都有過不相容職務分離的慘痛教訓。(2)嚴格授權審批。授權審批控制要求企業(yè)根據(jù)常規(guī)授權和特別授權的規(guī)定,明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。(3)實施綜合控制措施。有效的控制活動應該具

17、效果性和效率性,即這些控制活動能有效地降低風險,易操作、成本低。企業(yè)應當根據(jù)內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業(yè)務和事項實施有效控制。(4)建立風險預警系統(tǒng)。企業(yè)應當建立重大風險預警機制和突發(fā)事件應急處理機制,明確風險預警標準,對可能發(fā)生的重大風險或突發(fā)事件,制定應急預案,明確責任人員,規(guī)范處置程序,確保突發(fā)事件得到及時妥善處理。4、建立信息系統(tǒng)和溝通機制(1)企業(yè)應當建立信息與溝通制度,明確內部控制相關信息的收集、處理和傳遞程序,確保信息及時溝通,促進內部控制的有效運行。一方面要利用信息技術促進信息的集成與共享,充分發(fā)揮信息技術在信息與溝通中的作用;另一方面要加強對信息

18、系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入和輸出、文件存儲與保管、網(wǎng)絡安全等方面的控制。(2)內部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間,以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面需要對內部控制相關信息及時傳遞給董事會、監(jiān)事會和經(jīng)理層。5、強化內部監(jiān)督(1)建立內控監(jiān)督制度。內控監(jiān)督包括日常與專項監(jiān)督兩類。日常監(jiān)督是指企業(yè)對建立與實施內部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查,例如定期對重大投資結果與決策時假設進行對比分析,經(jīng)營中的問題向高一級管理人員跟進與反饋。專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結構、經(jīng)營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調整或變化的情況下,對內部控制的某一或者某些方面進行有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率應當根據(jù)風險評估結果以及日常監(jiān)督的有效性等予以確定。(2)制定內控缺陷認定標準。標準又包括設計與運行標準。企業(yè)應制定內部控制缺陷認定標準,對監(jiān)督過程中發(fā)現(xiàn)的內部控制缺陷應當分析缺陷的性質和產(chǎn)生的原因,提出整改方案,并及時向董事會、監(jiān)事會和經(jīng)理層報告。同時,內部