内控合规与风险管理的关系
内控合规与风险管理的关系范文第1篇
关键词:企业 全面风险管理 内部控制 体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
内控合规与风险管理的关系范文第2篇
【关键词】 内部控制;公司治理;风险管理;“大”风险管理
自企业诞生之日起,舞弊、欺诈频频发生,起初人们认为是内部控制出了问题,制定了一系列内部控制规范和措施;但事实证明大部分公司经营失败不是权力制衡出现问题,而是由于公司治理中的决策机制存在问题、决策过程缺乏监督机制,无法及时纠正错误的决策(John Pound,1995),管理层有机会和能力凌驾于内部控制之上,因而,人们开始以公司治理作为突破点研究内部控制。此后,巴林银行倒闭、安然和世界通信等一系列的财务丑闻爆发,企业面临的风险因素日益复杂,对传统的内部控制理论提出了新的挑战。此时,理论界和实务界纷纷认为内部控制应与企业的风险管理相结合(Stephen J. Root,1998)。
当前,国内也是内部控制、公司治理、风险管理规范并存:内部控制的主要依据是财政部、证监会、审计署、银监会、保监会2008年联合的《企业内部控制基本规范》;公司治理的依据是证监会2001年颁布的《上市公司治理准则》;风险管理的依据则是国资委2006年出台的《中央企业全面风险管理指引》。近年来,国内财务舞弊、欺诈、内部人控制现象越发严重,理论上、实践上都急需对三者的关系有明确的界定。
一、内部控制、公司治理与风险管理的关系:研究回顾
关于内部控制、公司治理、风险管理之间的关系,学者们分别从经济学、管理学原理等方面进行了解释,其中,多数学者以内部控制与公司治理关系、内部控制与风险管理关系进行分析。《企业内部控制基本规范》前后,少数学者开始将三者的关系纳入研究范围。
关于内部控制与公司治理的关系主要有三种观点:一是环境控制论,认为内部控制与公司治理的关系是主体与环境的关系,如阎达五(2001)指出内部控制框架与公司治理机制是内部控制管理监控系统与制度环境的关系;二是嵌合论,李连华(2005)在对公司治理结构和内部控制的各种理论元素进行对比分析的基础上,将两者的关系描述为嵌合关系;三是内部控制是公司治理的基础,如杨雄胜(2005)认为,内部控制是实现公司治理的基础设施建设。
关于内部控制与风险管理的关系,目前代表性的观点有三种:一是认为风险管理包含内部控制,COSO《企业风险管理——整合框架》(2004)中明确指出,风险管理包含内部控制,企业风险管理比内部控制范围广得多;二是认为内部控制包含风险管理,加拿大COCO报告(1995)认为,风险评估与风险管理是控制的关键要素;三是认为内部控制就是风险管理,Matthew Leitch (2004)认为,从理论上讲,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
将三者置于同一框架内进行研究的文献不多见。谢志华(2007)认为,内部控制、公司治理、风险管理三者本质上具有相同性。马正凯(2008)认为,内部控制、公司治理、风险管理都属于企业管理的范畴,都是为了进行风险控制。
从上述回顾中能够看出,理论界已经公认三者关系密切,但是对于三者在概念的外延方面没有统一的观点,更没有形成内在一致的概念体系,这种状况阻碍了内部控制、公司治理、风险管理理论和实务的更高、更深层次发展。
二、我国企业内部控制、公司治理与风险管理实务中存在的问题
自20世纪90年代起,我国开始在企业大力推行内部控制,目前的研究大部分都是集中在规范设计方面,这在一定程度上反映出我国对内部控制的研究还停留在内部控制制度或者内部控制结构阶段(张立民、唐松华,2007)。现阶段,企业内部控制、公司治理、风险管理规范大体可以分为五个层次:一是基础性法规(财政部《内部会计控制规范》);二是证监会的上市公司内控工作指引(《上市公司治理准则》);三是各行业监管机构的内部控制制度(中国人民银行《商业银行内部控制指引》);四是国资委针对中央企业颁布的内部控制框架指引(《中央企
业全面风险管理指引》);五是财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》。
我国频繁颁布的有关内部控制的法律规范说明,一方面,我国对内部控制的重视程度达到了前所未有的高度;另一方面,我国在这方面还未形成有效的系统性法律规范。我国的内部控制制度“救火式”的较多,对未来风险考虑不足,主要存在以下问题:
(一)现有规范不成体系
从上述企业内部控制、公司治理、风险管理规范可以看出,规范的制定主体不同,面向的具体对象也不一致,导致有的企业无规范可依,有的企业需要遵从两个甚至多个内部控制相关规范,可能使企业在遵循时变得无所适从。
(二)公司治理存在缺陷
公司治理是内部控制制度设计、运行的制度环境,也是管理层超越内部控制的重要约束机制。从公司治理结构来看,目前主流公司治理结构应该设有股东大会、董事会、监事会及公司管理层,但我国很多公司的董事长与总经理由一人担任,董事会与经理层是“一套人马,两块牌子”,导致对公司治理层面的风险缺乏关注。另外,我国由于国有资产所有者缺位问题的存在,由管理层实际控制企业,出现了较为严重的“内部人”控制现象。
(三)内部控制责任主体单一
目前,公司内部控制制度往往都是由经理层制定的,这种情况下经理层往往会出于自身利益的考虑制定出对自己有利的内部控制制度,而且,这本身就不符合不相容职务相分离原则。由于我国企业受体制等多方面因素的影响,董事会形同虚设,监事会也是如此,更使经理层成为唯一的内部控制责任主体,导致公司一切决策都由总经理一人拍板。因此,有必要让企业所有的利益相关者尤其是公司的股东和董事会意识到内部控制的重要性,加强对内部控制的制定和监督。
(四)监管者内部控制的强制性
由于监管者的内部控制要求具有强制性,但实际上与管理者对内部控制的需求又存在明显的不一致性,所以,从实施的后果来看,管理者在企业内部控制建设上的努力在很大程度上成了一种对监管者要求的遵循,而对企业自身经营管理的意义有限。
寻求上述问题的原因,主要在于内部控制、公司治理与风险管理三种理论“各自为政”,既在一定程度上相互重叠、相互协调,又在一定程度上相互独立、相互矛盾,可能导致对同一问题有不同的规范或者出现监督真空,阻碍了三者在理论上的发展与实务中的应用。倘若存在一种能够融合内部控制、公司治理与风险管理三者的理论,则可以解决上述问题。
三、内部控制、公司治理与风险管理的整合——“大”风险管理概念
在早期的企业中,为了保证财物安全以及会计信息的真实性,产生了内部牵制,内部牵制本身就是控制风险,而控制风险就是风险管理,所以内部控制是以风险管理为起点的(谢志华,2007)。随着企业由自然人企业向公司制企业过渡,由于所有权与经营权相分离,企业组织结构也日益复杂,相应的风险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理。尽管理论和实务界单独研究和实践了公司内部治理,但本质上仍然是为了控制风险,只是这种风险控制是基于新出现的公司组织层次,以及这些层次所要进行的行为,通过内部控制目标拓展和控制层次的提升就可以达成公司内部治理的要求,两者可以合二为一。并且在企业较高层次,企业面临的主要风险已经转变为市场竞争风险,所以风险控制就更加关注战略和经营风险。因而,笔者认为,内部控制与公司治理的实质都是风险控制,风险管理伴随二者的始终。因而可以对三者进行整合,形成一个“大”风险管理概念。
(一)董事会与经理层是内部控制与公司治理对接的
载体
公司治理和内部控制产生的基础都是委托,具有同源性。但公司治理是基于所有权和控制权分离而建立的约束和激励的制度安排,主要包括所有者、董事会和经理层之间的关系;而内部控制基于分权管理而产生的不同层次人委托问题,主要解决企业内部董事会、经理层和各下级执行机构之间的关系。董事会和经理层是公司治理和内部控制的共同组成部分,是两者有机对接的载体。所以,当管理层超越内部控制时,对董事会和管理层的控制问题必须依赖公司治理的约束。公司治理与内部控制的关系如图1所示:
(二)内部控制与风险管理整合的可行性
1.从内容上看,企业有效的内部控制应包括内部环
境、风险评估、控制活动、信息与沟通、内部监督等五个要素。风险管理不仅包括了内部控制的五个要素,而且增加了目标设定、事件识别以及风险对策三个要素;风险管理将控制活动提到了战略层面,提到对治理层、管理层的行为也要管理的层面,侧重于围绕目标设定对风险的识别、评估和应对处理;从二者的框架结构来看,风险管理不仅包括内部控制的三个目标,而且增加了战略目标。
2.从目的说,风险管理的目的是要及时地发现风险、
预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理,主要是通过事后和过程的控制来实现其自身的目标,内部控制制度制定的主要依据是风险。
(三)“大”风险管理概念的提出
根据上述分析,内部控制与公司治理的实质都是风险控制,因企业制度、经营模式、环境的不同,风险管理具体目标、内容和层次不同,董事会与经理层是内部控制与公司治理的衔接点。在内部控制与风险管理的关系上,笔者认为从整体上来说,风险管理涵盖了内部控制,内部控制为风险管理的一方面。这三者实质、根本目的是相同的,因而可以建立一个“大”风险管理概念,这个概念包括了内部控制、公司治理以及传统的风险管理。
四、内部控制、公司治理与风险管理:改进措施
基于上述分析,笔者认为,在现代社会经济生活中,企业的内部控制、公司治理都应以风险管理为核心,以“大”风险管理概念为指引,建立健全风险管理体系。具体措施如下:
(一)建立完善的内部控制体系
目前我国对企业内部控制的认识还停留在内部控制制度或内部控制结构阶段。考虑到内部控制建设的现状及内部控制标准的指导性和可操作性,我国内部控制标准可分为基本规范和具体规范两个层次来构建:基本规范应是一套类似于COSO《企业风险管理——整合框架》那样的概念性的制度框架,具有强制力;具体规范可以是类似于COSO《企业风险管理——应用技术》,是参照性的,企业可以根据自己的情况遵照执行,这两个层次缺一不可。
(二)完善公司治理,加强治理层面的内部控制
内部控制中强化公司治理的作用在我国显得尤为重要。由于我国证券市场尚处于新兴加转轨阶段,公司治理形备而实不至,惟有强化公司治理,才能净化控制环境。我国应加强公司治理建设,使股东、董事会和管理层相互制衡,防止管理层超越内部控制。
(三)加强企业各阶层诚信教育,搭配高效的激励机制
完善的监督体系能从总体上提高公司内部控制的质量,但这是一种强制性的规范结果,只有通过提高全员的文化素质、职业道德和诚实品质,才能改变他们被动遵守公司规章的观念,形成一种自觉遵循与完善内部控制的氛围。良好的激励机制是企业发展的动力,只有调动、诱导和激发出人的自觉性、主动性,再配以科学合理的激励、监督体系,才能使内部控制制度得到遵守,使其发挥最大效用。
【参考文献】
[1] 阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,(2):9-14.
[2] 李连华.公司治理结构与内部控制的链接与互动[J].会计研究,2005,(2):64-69.
[3] 杨雄胜.内部控制理论研究新视野[J].会计研究,2005,(7):
49-55.
[4] 张立民,唐松华.内部控制、公司治理与风险管理——《托普典章》为什么不能拯救托普[J].审计研究,2007,(5):35-41.
[5] 谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,(10):37-45.
[6] 马正凯.《企业内部控制基本规范》解读[J].财会通讯,2008,
(10):80-82.
[7] John Pound. The Promise of the Governed Corporation. Harvard Business Review, 1995, March.
内控合规与风险管理的关系范文第3篇
近年来,世界上陆续发生了美国安然事件、丰田汽车召回事件、墨西哥湾原油泄漏事件、TCL国际收购失误案等,这些知名企业内发生的事件,给企业利益、声誉造成了巨大打击,甚至是致命的。分析发生原因,之前都有征兆,但风险管理没有落实到位,有关责任人不执行相关制度,内部控制体系不健全,造成企业内部管理失控,是产生风险事件的内在因素。人们在风险管理实践中逐渐认识到一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,通过强化内部控制体系建设,从贯穿整个企业生产经营过程的视角管控风险,也就是要实行全面风险管理。
1 全面风险管理的主要内容
全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理体系由风险战略、风险管理职能、综合内控、风险理财及风险管理信息系统5个模块组成。风险战略是指导企业风险管理活动的指导方针和行动纲领,是针对企业面临的主要风险设计的一整套风险处理方案;风险管理组织职能是风险管理的具体实施者,通过合理的组织结构设计和职能安排,可以有效管理和控制企业风险;内部控制作为全面管理体系的一部分,是通过针对企业的各个主要业务流程设计和实施一系列政策、制度、规章和措施,对影响业务流程目标实现的各种风险进行管理和控制;风险理财是指企业运用金融手段来管理、转移风险的一整套措施、政策和方法;风险管理信息系统是传输企业风险和风险管理状况的信息系统,其包括企业信息和运营数据的存储、分析、模型、传送及内部报告和外部的披露系统。
2 内部控制体系与全面风险管理的关系
在全面风险管理的5个模块中,综合内控是承上启下、贯穿整个过程的组织行为,能否建立起有效的内控体系,是实现全面风险管理目标的关键,核心关注的企业内部控制是 “管理内控”而不是狭义的“财务内控”,关注的是“与全面风险管理配套运行的企业内控”而不是传统的独立强调用企业内控而试图解决企业风险管理所有问题的内控,事实上企业综合内控是企业风险管理最佳的解决方案之一。综合内控系统指围绕风险管理策略目标,针对企业的战略、规划、投资、市场运营、财务、内部审计、法律事务、人力资源、物资采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理和其中的重要业务流程,通过执行风险管理基本流程,制定并执行的一系列的规章制度、程序和措施。综合内控系统是风险管理的基础,它既能对不适于转移的风险进行有效控制并减轻其影响,而且也能为制定风险战略提供风险信息。综合内控系统包括保证风险得到有效控制的一系列政策和程序,完整的内部控制体系和完善的内部控制制度是约束、规范企业管理行为的准则,是减少风险的重大措施。有效的内控可以保证明确授权,对风险做到提前预防、适时管理和及时反馈,能保证管理行为的效率和效果,保证信息的准确性。内部控制活动是风险管理的关键环节之一,是风险管理实际操作的核心,内控体系的完整性、准确性和有效性直接决定到具体风险管理的效果。
3 内部控制体系建设的重要内容
企业综合内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。企业内部控制在定义和内涵上,属于全面风险管理系统的子系统,涵盖在全面风险管理的范畴内,隶属与其中的一个重要部分。综合内控体系主要包括5个模块:
(1)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、社会责任等。
(2)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(3)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受限度之内。
(4)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
(5)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,包括日常监督检查和专项检查,以此评价内部控制的有效性,针对发现的内部控制缺陷,及时加以改进。
内部控制是对经营活动的一项干预措施,是一个需要企业全体成员持续参与的过程,是一种流程的控制。通过内控实现企业的经营合法合规、企业资产安全完整、企业财务报告的信息(财务信息)和其他信息要真实可靠完整,最终达到通过内控提高企业的经营效率和效果,促成企业实现战略目标。内部控制就是通过管理要效益,内部控制体系是现代企业管理的重要手段,建立起以源头治理和过程控制为核心的内控体系,通过理顺工作流程,完善管理制度,加大监控力度,是规范企业管理行为的基本准则,是规避经营风险的重要措施。
4 结束语
总之,全面风险管理是战略层面的管控,综合内控体系的建设则是运营层面的执行过程。构建切实有效的综合内控体系是落实全面风险管理目标的必然选择和最佳途径。
主要参考文献
[1]刘明伦.强化风险意识 夯实经营基础[J].湖北农村金融研究,2008(6).
[2]宋海军.浅议现代企业内控与风险管理——内控应融入企业的日常管理[J].科技信息:科学·教研,2008(13).
内控合规与风险管理的关系范文第4篇
一、《指引》、《基本规范》、COSO新旧报告主要内容比较
《指引》、《基本规范》、COSO新旧报告的主要内容见表1所示。
第一,定义上的比较分析。从定义上看,四者都强调了内部控制或风险管理是一个过程,而且是一个持续改进的过程,是实现目的的手段而非目的本身;都是为企业目标的实现提供“合理而非绝对”的保证。参与主体方面,《基本规范》与COSO两报告都要求 “企业董事会、管理层以及其他人员共同实施”,这既明确了参与主体,也强调了“全员控制”。而《指引》在全面风险管理定义中虽未直接指明主体,但《指引》第四十二条指出:企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。可以看出,《指引》中的全面风险管理也是“全员性”的,董事会、管理高层、各职能部门、企业员工均要全员参与。
第二,目标上的比较分析。《指引》中未涉及企业目标,但提出了风险管理的五个总体目标:确保将风险控制在与总体目标相适应并可承受的范围内;确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;确保企业遵守有关法律法规;确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
《基本规范》提出了由五个目标构成的完整目标体系,其中战略目标是内部控制最终的目的和最根本的目标。COSO新报告在原来三目标的基础上增加了战略目标,这意味着风险管理不仅仅应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。另外,COSO新报告还将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
第三,要素上的比较分析。《指引》没有直接引入要素概念,仅从全面风险管理内容看,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统五个方面。《基本规范》的五要素是借鉴COSO旧报告的五要素,并根据我国实际情况作了一些调整。如《基本规范》将控制环境和监督要素限定为内部环境和内部监督,突出了内部控制的“内部”特征;在风险评估引入了风险承受度,明确了风险识别、风险分析、风险应对策略;把控制活动界定为控制措施,并提出了具体的控制措施,更具可操作性;在信息与沟通要素中加入了反舞弊机制。当然,我国《基本规范》中存在着要素划分不够清晰的问题,如将内部审计作为内部环境的构成部分,而又规定内部审计在内部监督中的职责权限,同一个内容出现在了两个不同的要素之中。与此类似,机构设置、治理结构、权责分配和人力资源政策也同时具有内部环境和控制活动的特征。COSO新报告在原有旧报告的基础上新增了三个风险管理要素――目标设定、事项识别和风险应对。另外,COSO新报告对相关要素的内涵进行了扩展。
第四,风险管理理念上的比较分析。在风险管理理念上,COSO旧报告中的内部控制强调的是对单个风险或业务单元的风险进行管理,而《指引》和《基本规范》都有风险组合观的思想,其中,《指引》还明确界定了风险偏好的概念,并定义了风险承受度。
COSO 新报告明确提出了风险组合观,要求企业管理者以风险组合的观点看待风险、从企业整体层面上总体把握风险。针对企业目标实现过程中所面临的风险,COSO新报告对企业风险管理提出了风险偏好和风险容忍度两个概念。
可见,我国《基本规范》科学地界定了内部控制的内涵,准确定位了内部控制的目标,统筹构建了内部控制的要素,同时也吸收了COSO新报告的精神实质,在一定程度上强调了内部控制与风险管理的统一,在所有重大方面基本与美国COSO报告保持一致,同时在某些地方也体现了中国特色。从内部控制与风险管理整合的角度看,《基本规范》与《指引》有很强的关联性,而相关概念和规范内容又不尽相同,两者未进行有效的统一协调,因此势必会增加国有企业实施《指引》和《基本规范》的难度和成本,影响企业实施效果。而美国COSO成功地将内部控制融入到企业风险管理之中,新报告基本涵盖了旧报告的所有合理内容。
二、我国内部控制体系建设建议
第一,积极借鉴外部经验。欧美国家,特别是美国,无论是在内部控制理论上,还是在内部控制规范化建设方面,都比我国起步要早,已经研究和制定出了一系列的规范。因此,学习和借鉴国外先进的内部控制规范是我国内控建设过程中的一个必要阶段。但我国企业在法治意识、制度基础、风险理念、经营风格等方面与欧美企业存在较大差异,因此照抄照搬的内控规范可能不适合我国国情。我国的内部控制规范比较接近于美国模式,即采用的是规则导向型的内部控制。但是,美国模式有一个前提,即:如果通过内部控制的评价和报告暴露出管理层不能履行对内部控制的责任,那么管理层会受到董事会、市场和监管部门的惩罚。但是,我国对管理层的责任追究机制远没有美国有效,因此这个前提在我国目前的情况下还没法成立,如果直接效仿美国模式,将很难看到基本规范实施的效果。所以,我国的内部控制规范可以适当采取原则导向和规则导向相结合的方式,以原则为基础,以规则为指导。
第二,加快内部控制规范创新。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,提供的仅仅是个原则性的框架,这就造成我国企业在具体实施的过程中面临难题――企业应当如何结合自身情况实施内部控制?所以,我国应进一步制定保护基本规范顺利实施的细则,包括企业如何有效地执行规范、如何准确评价本企业内部控制状况、中介机构如何客观评价内部控制的有效性并出具审计报告等。另外,对于《基本规范》中存在的某些问题,如:要素划分不够清晰,对内部控制整体的关注不够等,应进一步得到规范。
第三,对内部控制和风险管理进行整合。虽然新颁布的《基本规范》与《指引》有很强的关联性,但两者未进行有效的统一协调,这一问题有待迫切解决。正是因为有风险才需要控制,控制的最终目的是为了降低风险,所以,应尽快将内部控制与风险管理进行有效整合,以减少企业实施成本和监管成本。
内控合规与风险管理的关系范文第5篇
关键词:内部控制;企业管理;公司治理;风险管理
中图分类号:F253.7 文献标识码:A 文章编号:1005-0892(2008)03-0108-05
安然、世通等知名公司会计丑闻引起了美国社会各界对上市公司内部控制的高度关注,美国国会很快于2002年7月25日通过了一部旨在提高上市公司财务报告质量、重振投资者信心的《萨班斯一奥克斯利法案》 (以下简称“SOX法案”)。这一事件直接推动着世界各国企业内部控制建设再上台阶。当前,我国上市公司内部控制建设正在快速推进,上海证券交易所、深圳证券交易所、中国财政部、中国银监会先后推出了自己的内部控制标准。然而,言必称美国SOX法案、一味强调内部会计控制的论调和偏重形式忽视实际效果的实践模式亟待系统思考和辨证思维。本文旨在对西方主要国家、地区和国际组织在SOX法案颁布以后内部控制所取得的最新进展进行较为系统的梳理和简要的评述,在此基础上就我国上市公司内部控制的改进,确保内部控制与外部环境的高度契合,并由此获得理想执行力提供几点建议。
一、美国COSO《企业风险管理-整合框架》
1992年9月,特拉德维委员会发起组织委员会(COSO)了《内部控制一整合框架》。推出之后,它很快成为广为认可的内部控制标准。在安然事件特别SOX法案颁布以后,人们对于一个能够提供重要原理与概念、通用语言、明晰方向与指引的企业风险管理框架的需求变得越来越强烈。基于此,COSO在2001年发起一个项目,专门聘请普华永道会计师事务所开发一个易于公司管理层使用、评估和改进风险管理的整合框架。SOX法案后,该框架草案得到了进一步的修改与完善,2004年COSO了最终报告《企业风险管理一整合框架》 (以下简称“新框架”)。 毋庸置疑,新框架聚焦于企业风险管理这一更广泛的主题,扩展了内部控制的含义,因而在一定程度上弥补了SOX法案的缺陷,填补了有关各方对企业风险管理的迫切需求。新框架认为,内部控制是企业风险管理的一个组成部分,新框架包含了内部控制的内涵,形成了一项更为概念化的管理工具。企业可以使用《企业风险管理一整合框架》来满足他们对内部控制的需求,并进行更为全面的风险管理(图1)。
COSO新框架指出,企业风险管理是一个受公司董事会、管理层、其他人员影响,应用于公司战略设定,在全公司范围内发现那些影响公司经营的潜在事件并将其风险控制在可接受的风险偏好内,以便为实现公司经营目标提供合理保证的过程。它由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八项元素组成(图2)。一个公司的风险管理是否有效,也正是从这八个元素的运行是否有效来判别评估的。它的功能可以被概括为: (1)矫正公司策略与风险偏好; (2)强化风险应对决策;(3)减少经营中的突发事件及相关损失; (4)识别并管理多种类交叉影响风险;(5)抓住各种机会;(6)改善资金配置。公司管理层在选择公司的经营策略、设定相关经营目标及制定相关风险管理机制时,须考虑公司的风险偏好。风险管理机制要求公司在多种风险应对决策面前,严格识别最佳选择,降低突发事件与可能的相关损失。每个公司都会面临多种风险,这些风险将影响不同的部门,并对公司的经营产生综合的影响。所以,一个良好的风险管理机制可以促进对相关影响的有效应对,以及对多种不同风险的综合应对。公司管理层在经营管理过程中必须前瞻性地发现潜在于经营事件中的各种机遇和风险,进而全面评估公司的资金需求,强化资金配置。总的来说,风险管理将为企业实现如下目标提供合理保证:(1)战略目标;(2)经营目标,即有效合理使用其资源;(3)报告目标,即确保报告的可靠性; (4)合规目标,即遵守适用的法律法规(图2)。
新框架明确指出,风险管理是多方共同努力与履行责任的结果。公司董事会与高管负责讨论公司风险管理的现状并提供必须的监控,通过向内部审计师、外部审计师和其他人员搜集各种信息,确保公司的风险管理能为公司发现符合重要性水平的风险,确保采取相应的举措来控制风险,进而确保风险管理的有效性。公司高管必须召集公司各业务单元和部门人员一起对企业风险管理能力及其有效性进行初始评估。公司的中低层管理人员以及其他人员则必须认真考虑如何根据该框架来正确履行自己的责任。
二、英国Tumbull指南
20世纪90年代,英国曾借鉴COSO报告(1992),结合其追求最佳公司治理实践的思想,将内部控制内生于公司治理之中,形成了英国特色的内部控制模式。根据英国的监管体制,其公司治理(包含内部控制)的法律框架主要包括四个部分:(1)公司法和普通法;(2)上市登记规则;(3)联合规则;(4)Tumbull指南。其中,公司法和普通法规定董事的受托责任,要求董事编制真实、公允,且经过独立审计的财务报表。上市登记规则进一步对上市公司提出相应的要求,联合规则主要就上市公司的公司治理提出相应的要求。其中的原则C.2指出,“董事会应当维持一套健全的内部控制系统,以保护股东的投资和公司的资产”,而规定C.2.1则要求,“董事应当至少每年对内部控制系统的有效性进行一次审查,并向股东报告他们已经这样做了,这项审查应当涵盖所有重要的控制,包括财务、经营和遵从控制以及风险管理系统”。Tumbull指南的作用在于为上述原则和规则提供进一步的应用指导。
1999年,以Tumbull为主席的“公司内部控制小组”了名为《内部控制――关于董事应用“联合规则”的指南》的报告。该报告极力主张将风险管理、内部控制和商业目标结合起来。在SOX法案颁布之后,英国有关部门开始思考其内部控制的有效性问题。2004年7月,英国财务报告委员会(FRC)邀请Tumbull评估小组对Tumbull指南自1999年采用以来的影响进行评估,结果认为:(1)Tumbull指南不需要做出重大改变;(2)Tumbull指南应当涵盖所有内部控制;(3)Tumbull指南的改变不应当限制公司以适合其特定情况的方式应用指南的能力;(4)应当给指南增加一个前言,它将鼓励董事会持续地评估对指南的应用,并把内部控制报告视为与股东沟通其如何有效管理风险的机会。
根据新的上市登记规则和联合规则,2005年10月,FRC了最新的Tumbull指南,该指南以英格兰一
威尔士注册会计师协会(ICAEW)1999年的Tumbull指南为基础,继续秉持Tumbull指南(1999)的如下特点: (1)将内部控制扩展到所有的重要控制,而不仅仅是财务方面; (2)指南是高级的、弹性的、原则导向和风险导向的; (3)内部控制应是全员内部控制; (4)内部控制应嵌入公司的经营过程,并成为其文化的一部分; (5)将内部控制并ASE常的管理和治理过程,而不应当将其看成是为了满足监管要求而采取的一项单独的活动; (6)在相关附录部分提供一些可供参考的评估内部控制系统的具体问题或指南。此外,它还强调“建立一个有效的内部控制系统不是一蹴而就的事情,它应该考虑新出现的风险,控制缺点、市场预期、公司环境或经营目标的变化,因而强调定期、系统地评价企业所面临风险的重要性和把风险管理和内部控制系统嵌入到经营过程中的价值”、“与公司经营和财务审查结合在一起,内部控制声明为董事会提供了一个帮助股东理解公司所面临风险,解释公司如何维持一个内部控制框架以处理这些问题的,以及董事会是如何审查这个框架的有效性的机会”。根据Tumbull指南(2005),内部控制系统包括公司的政策、过程、任务、行为和其他方面。它们综合在一起,有助于公司对重大的商业风险、经营风险、财务风险和其他风险做出适当的反应,并促进其有效经营,有助于确保内部和外部报告的质量,有助于确保遵守相关的法律和规章制度。
根据Tumbull指南,董事会对公司的内部控制系统负责。董事会应当制定适当的内部控制政策,并确保这些政策能够使内部控制系统的运行达到满意水平。在确定内部控制政策,评价健全的内部控制系统构成要素的过程中,董事会应当考虑下列因素:(1)公司所面临风险的性质和程度;(2)公司能承担的风险的程度和种类;(3)风险转化为现实的可能性;(4)公司减少那些确实会发生的风险的概率,降低其对经营的影响力;(5)在管理有关风险时,运行某些控制的成本以及由此取得的收益。管理层的职责是实施董事会有关风险和控制的政策。管理层应当根据董事会的考虑来识别和评价公司面临的风险,设计、运行和监督一个适当的内部控制系统来实施董事会的政策。所有员工对内部控制均负有一定的责任,他们应当具有建立、运行和监督内部控制系统所必需的知识、技能、信息和权力。
评估内部控制的有效性是董事会责任的重要组成部分。董事会应当确定其评估内部控制有效性所要采取的程序。管理层向董事会提交的报告应在其涵盖的范围内均衡地评价重大风险和内部控制系统在防范这些风险过程中的有效性。应当在报告中讨论已识别出的重大控制缺陷或弱点,包括对公司已经产生或可能产生的影响以及正在采取的纠正措施。在审查年度报告时,董事会应当:(1)考虑什么是重大风险,并评价风险是如何被识别、评估和管理的;(2)评价相关内部控制系统在管理重大风险过程中的有效性,尤其是已被报告过的所有重大内部控制缺点或弱点;(3)考虑是否正在及时地采取必要行动以纠正所有的重大缺点或弱点;(4)考虑调查结果是否表明需要更加深入地监督内部控制系统。
为了对内部控制公开声明,董事会应当进行年度评估。在董事会有关内部控制的声明中,年度报告和说明应当包括一些有意义的、高级的信息,董事会认为这些信息对帮助股东理解公司的风险管理过程和内部控制系统的主要特征来说,是必要的,而且不应当给出令人误解的印象。
总体而言,Tumbull指南以其弹性、原则导向、风险基础特征,力图实现其如下目标:(1)反映良好的经营实践,由此将内部控制系统嵌入公司用来实现其目标的经营过程当中;(2)与不断变化的经营环境保持相关性;(3)使每一个公司能够根据其特定情况,在运用判断的基础上应用指南。
三、IFAG《企业治理》
2002年10月,国际会计师联合会(IFAC)理事会要求商界职业会计师专门委员会(PAIB)展开对企业治理框架(Enterprise Governance Framework)这一新课题的研究,分析公司治理为什么会以失败而告终,并探讨应采取什么样的措施才能使事情回到正确的轨道上来。作为IFAC《重建公众对财务报告的信心:国际观点》的补充,IFAC于2004年2月发表了题为“企业治理一实现最佳平衡”的报告。
通过对10个国家和地区数个代表性行业的27家公司案例的分析,PAIB发现,好的公司治理本身并不能使公司成功,不仅如此,在现代商业环境下公司往往会面临比较大的变化,公司战略也必须跟随着做出变化,如果战略风险管理不当,必将导致公司的失败。所以,PAIB建议,公司应该在公司治理合规和公司绩效之间寻求最佳平衡。
由PAIB完成的这份报告沿用了信息系统审计与控制基金会的企业治理定义,即“企业治理是一由董事会和高级管理人员承担的,以提供战略方向、确保其目标得以实现、保证其风险得到合适地管理,并承诺’组织资源被负责地使用为目的的责任和实践”。的研究结果指出,企业治理框架包含公司治理和经营治理两个大的方面,它们各有各的关注点和主要问题(图3,图4)。其中,合规维度坚持历史观,而绩效维度则面向未来。优良的公司治理只是企业成功的一面,战略同样重要。而要实现稳定的公司治理与战略成功之间的平衡,以下三个方面非常重要:(1)企业风险管理;(2)并购过程;(3)董事会绩效。为此,PAIB建议采用毕马威的战略记分卡(即战略定位、战略选择、战略实施与战略风险矩阵)来:(1)帮助董事会尤其是独立董事更好地监督公司的战略过程;(2)很好地处理战略抉择和转型变革;(3)为公司的战略定位和发展给出一个真实、公允的图像;(4)更好地记录战略的进入和退出行动。PAIB认为,只有将更多的注意力放在战略监控、企业风险管理、并购过程和董事会绩效上,才能有效协调公司治理和公司绩效的关系。按照PAIB的观点,企业治理是一个能将公司治理、绩效管理、内部控制和企业风险管理熔于一炉的框架,它将有助于公司治理合规与公司绩效的最佳平衡。
四、FEE《风险管理与内部控制》
面对SOX法案对内部控制要求的日益具体化和全球对企业风险管理的高度重视,欧洲会计师联合会(FEE)于2005年3月了题为“欧盟的风险管理和内部控制”的讨论稿。该报告认为。由于欧盟及各国的法律体系将众多权利赋予给了股东,欧盟不需要类似于美国SOX法案302条款和404条款的法律及规定。风险管理和内部控制应重点关注公司股东的委托责任,而不是证券市场监管当局的某些要求上。而且,信息披露将会是比风险管理和内部控制要求更优的工具。
FEE提出相关的风险管理和内部控制建议所依赖
的主要基础包括:(1)理解公司风险管理和内部控制的最佳实践; (2)评估各成员国的监管变迁; (3)评估欧盟(Eu)的思考和公司治理的相关建议; (4)对监管要求进行相应的调查。总体而言,FEE赞成董事会向股东编报信息的会计责任,认为公司应建立和维持有效的风险管理和内部控制,以确保股东的投资安全。其具体建议包括: (1)风险管理和内部控制的目的是管理风险,而不是消除风险; (2)任何风险管理和内部控制的监管发展都应该有相应的原理做支撑;(3)风险管理和内部控制应关注各国的既有要求;(4)相关欧盟指令的修改应确保报告的一致性; (5)风险管理和披露可以通过诸如公司自愿采用的政策、与股东的对话以及根据自愿原则所做的“合规,解释”报告等机制来实现,过于详细的法律条款可能不是很合适; (6)外部审计师有关风险管理和内部控制的鉴证服务要求不应超过公司治理所作的要求,审计师不需要签发另外的内部审计报告,而且审计师的义务应设定得比较公允和合理。
五、内部控制国际进展的基本趋势
以上论述表明,随着人们对内部控制认知和实践的深入,西方各国与国际组织的内部控制呈现出了如下基本趋势:
第一,国际化与本土化兼顾。无论是美国SOX404条款,还是COSO(2004)都因应了美国成熟的资本市场和会计行业等诸多环境特点。英国目前运行良好的内部控制模式显然契合了它的法律传统与原则导向思维。欧盟的风险管理与内部控制更是较好地照顾了其内部各成员国的监管差异。
第二,原则导向与规则导向融合。美国一开始倡导的规则导向只会降低从业人员的职业判断动机,无法实现内部控制实质与形式的高度统一。英国的原则导向获得了比较大成功。原则导向与规则导向的有机融合成为一种必然趋势。
第三,规范主体统一化权威化。一个国家要提高其内部控制的效率和效果,必须首先明确自己的内部控制监管框架,从法律、行政法规、部门规章、相关指引这一基本逻辑着手,确认适度统一、高度权威的规范主体,在此基础上制定统一而预留弹性的内部控制标准体系。
第四,内部控制内生化有机化。国际趋势表明,内部控制越来越内生于企业管理(包括战略管理)、公司治理和风险管理。当内部控制内生于公司治理和风险管理,并成为企业文化一部分的时候,内部控制才能取得实质效果,而不仅仅是应付监管的一种形式。
第五,内部控制风险导向、全员化动态化。风险导向方法论能有效降低内部控制建设的相关成本,而内部控制的全员化与动态化则能提高内部控制的收益。更为重要的是,风险导向、全员化和动态化足以应对环境变化后的各种控制风险。
第六,强制要求与自愿创新结合。国际经验表明,对财务报告和信息披露内部控制宜采取强制措施,而其他内部控制则允许特定主体根据自己所处的行业、规模、业务复杂性程度、企业生命周期组合、选择自己的内部控制模块、机制和方法。这也为内部控制取得实际效果奠定扎实的制度基础。
六、我国上市公司内部控制建设的未来方向
目前,企业内部控制问题越来越受到市场有关各方的关注。2006年财政部了《企业内部控制规范――基本规范》和17项《企业内部控制规范――具体规范》(征求意见稿),2004年银监会了《商业银行内部控制评价试行办法》,2006年上海与深圳证券交易所各自推出了不同版本的《上市公司内部控制指引》。正是因为如此,不少跨市场挂牌的上市公司要同时适应内地、香港或纽约证券交易所的内部控制要求。结果是,不少上市公司在内部控制建设方面陷入了无所适从的困境。另一方面。内地内部控制标准建设过程中要么照搬美国模式,或要么坚持内部控制就是内部会计控制,缺乏内在逻辑一致的理论框架。在上市公司内部控制实践中,不少上市公司推行内部控制建设仅仅是为了满足监管要求,而不是将内部控制建设内生于企业管理、公司治理和风险管理,内部控制的实际效果无法得到充分体现。
综观西方内部控制的最新进展及其基本趋势,以下几个方面可能代表着我国上市公司内部控制建设的基本方向:
(1)强调环境分析,确保国际化与本土化的有机协调。在上市公司内部控制建设过程中,首先要深入分析我们的法律传统、思维习惯、企业管理基础、管理体制和会计行业从业人员的平均素质等,否则,再多再细的内部控制标准也仅仅是赋予了内部控制的外在形式。
(2)调动各方积极性,确保原则导向与规则导向的有机融合。要使内部控制与我国环境保持良好的契合度,使内部控制获得比较理想的执行力,在内部控制标准或指引制定上,我们必须持原则与规则相结合,确保既给操作者留下一定的弹性空间,以保持其与环境变动之间的相关性,又为具体操作提供一些切实指导。
(3)加强理论研究,尽早形成中国的内部控制理论框架。我们必须在国情与环境分析的基础上,探讨内部控制与会计规范、企业管理、公司治理与风险管理的关系,厘清内部控制的融合型角色定位,找到收益大于成本的契合点,并由此形成中国内部控制理论整合框架。
(4)加强沟通协调,尽早组成权威标准制定机构。这无疑能打破当前政府有关部门、有关组织各自为政的僵局,尽可能减少内部控制建设中多头管理给上市公司带来的无所适从和遵从合规中的高成本。
