公司内部管理风险
公司内部管理风险范文第1篇
关键词:保险公司;风险管理;内部控制
一、保险公司风险管理与内部控制的关系
风险管理是指从公司整体目标出发,通过识别和评估影响公司价值目标实现的因素,将这些因素纳入到整体框架内进行系统管理,积极探寻风险与收益的最佳平衡点,降低风险给公司带来的负面影响,为公司创造最优化的价值;内部控制是指公司为了完成预定目标而采取的程序和措施。对于保险公司而言,其内部控制是指为了防止公司偏离经营目标而采取的措施,目的在于有效控制和防范公司面临的各种风险。由此可见,保险公司风险管理与内部控制存在着必然联系,具体从以下两个方面进行分析。
(一)风险管理与内部控制的内在联系
从保险公司实施风险管理和内部控制的目标上来看,均是通过一系列程度和措施,对公司经营管理活动进行全面控制,以降低公司面临的风险,为实现公司经营管理目标提供保障。在全面风险管理框架下,内部控制是强化风险控制的重要手段,并且风险管理渗透于内部控制五大要素中,为实现内部控制目标指明了方向。
(二)风险管理与内部控制的差异
1.作用时点不同。对于保险公司而言,内部控制会贯穿于其全寿命周期,自公司成立之日起,便为内控机制作用的发挥提供了充足的条件,其作用对象主要是公司的各个部门及相关人员。风险管理必须在对各类风险进行有效识别的基础上才能发挥出应有的作用,这一特点限制了其作用发挥的及时性。保险公司的风险虽然会在其全寿命周期内存在,但风险的形成与发展是需要一个过程的,由此造成了风险管理的滞后性。2.限制条件不同。在风险管理中,风险的识别、评估等环节都需要借助相应的技术方法,在此基础上,才能对风险有一个全面的了解和认识,进而针对不同的风险,采取切实可行的措施,上述过程是风险管理作用得以发挥的关键。内部控制的最终目的在于对影响经营效率、成本的因素进行控制,实现公司整体效益的提升。换言之,所有可能导致经营效率降低和成本增加的因素都是内部控制的目标,并针对这些因素提出控制措施。3.控制内容不同。在保险公司中,风险管理主要包含以下几个方面的内容:确立风险管理目标、设置实施战略、风险识别、风险评估、制定风险管理措施等等。而保险公司的内部控制则涵盖了从上层治理结构到公司内部管理体制再到基层作业的所有流程,其中不但包括战略目标的制定,也涉及实现目标的过程,还包括对公司内部经济活动及风险环节的控制。由此可见,后者包含的内容要比前者更加广泛。
二、基于风险管理的保险公司内部控制体系构建
由于保险公司风险管理和内部控制均是基于公司面临的风险而实施的一系列措施,所以保险公司可将两者进行融合,建立起一套以风险为导向、以制度为框架的内部控制体系,促进保险公司内部控制活动有序开展。
(一)优化内部控制环境
在保险公司中,内部环境的良好与否,不但直接关系到内部控制作用的发挥,而且还对员工的风险意识有着一定程度的影响。为此,应当对内部控制环境进行不断优化,具体可采取如下措施:首先,要对公司的内部治理结构进行完善,在结构的设置上,可以采取分权制衡机制,并对董事会及监事会的职责加以明确,使其职能作用能够获得充分发挥。其次,要对公司的组织结构进行优化调整,从而使各部门、各岗位之间可以相互监督、彼此制约。再次,基于以人为本的原则,制定人力资源管理政策,主要包括人员招聘制度、员工绩效评价考核体系、薪酬制度等,以此来调动员工的工作积极性,为内控环境的优化奠定基础。
(二)健全风险管理机制
保险公司应将风险管理覆盖到公司日常经营管理的各个环节之中,完善风险管理机制,强化风险控制。首先,建立风险预警机制,找出影响保险公司经营目标实现的内外部因素,确定风险预警标准。其次,实施风险评估,既要对保险公司面临的操作风险、信用风险、市场风险、决策风险、金融风险、政策风险等多种风险进行评估,又要对公司内部控制程序对风险的控制能力进行评估。再次,采取风险应对措施,根据风险评估结果,采取风险转移、规避、保留、降低等措施。最后,持续监察已识别和已采取应对措施的风险,审查风险管理效果,并关注新风险的发展。
(三)有效开展控制活动
想要使保险公司管理层下达的指令能够在公司内部得到贯彻落实,就必须构建起有效的控制活动。首先,在过程控制方面,公司应当建立健全岗位责任制,并对员工的职责加以明确,使员工在岗位工作中能够各司其职,分工协作。同时还应对风险控制关键点进行明确,对公司日常经济活动影响较大的风险要进行重点监控,降低风险的影响及其所造成的损失。其次,在业务控制上,公司应当对产品开发、售后理赔等关键环节进行有效控制,以此来保证公司能够正常运营。再次,在财务控制上,应对相关的制度、报告、系统等进行严格控制,由此可以保证会计信息的真实性、可靠性、准确性。最后,在资金控制上,要加强对重大项目投资决策及风险的管控,确保公司资金的安全性。
(四)完善信息沟通机制
为了及时获取全面、准确的信息,保险公司应当构建起完善的信息沟通机制,通过该机制的建立,能够增进公司各部门及人员之间的沟通,有利于实现信息共享,不但可以进一步提升保险公司经营管理的透明度,而且还能有效避免舞弊行为的发生。首先,公司内部的人员可从管理层获取到明确的信息,进而了解自己在公司内控体系中的作用。其次,员工可将从经营活动获得的有价值信息传递给公司管理层,同时还为员工汇报工作提供了一个有效的途径。最后,公司管理层与董事会之间也可借助该机制进行有效沟通,有利于董事会监督职能的行使。
(五)加强内部监督
保险公司要重视内部审计体系的建设,将其作为强化内部监督的重要手段。首先,在保险公司董事会下设置审计委员会,在公司总部和分支机构分别设置一级、二级审计部门,保证审计部门的独立性和权威性,对公司实行分级审查监督,构建全方位的监管体系。其次,审计部门要持续监督保险公司日常经营活动,定期检查财务信息,评价各部门执行和完成内部控制目标的情况,并提出有价值的改进建议。最后,审计部门要将保费收入、保险理赔、保险资金运作作为审点,确保保险公司各项经济活动合理、合法,及时纠正违规操作行为,从而提高内部控制效果。
三、结论
总而言之,保险公司风险管理与内部控制存在着多重交叉之处,其管理控制目标均为降低风险对公司的负面影响。为此,保险公司可根据自身经营的特殊性,构建起以风险管理为导向的内部控制体系,将风险管理贯穿于内部控制的五大要素之中,为突出内部控制重点指明方向,从而提高保险公司内部控制水平,提升风险防范与控制能力。
作者:邢喆 单位:中国人民健康保险股份有限公司山东分公司
参考文献:
[1]晋晓琴.全面提升我国保险公司的内部控制水平———解读《保险公司内部控制基本准则》[J].商业会计,2011(02).
[2]张建.基于制度设计与措施选择论保险公司全面风险管理[J].保险研究,2013(08).
[3]徐文魁,李作家.新华保险公司内部控制存在的问题及成因[J].经济研究导刊,2011(08).
公司内部管理风险范文第2篇
随着市场经济制度的不断完善,公司在壮大发展的同时仍然面临着社会经济环境所带来的冲击,这就导致公司在自身的发展过程中并不能够根据实际的经济冲击准确地开展各项经营活动,这就很容易导致公司内部所存在的财务管理风险暴露出来,例如,企业投资并没有得到既定发展计划的收益,容易导致公司的经济投资计划受阻,增加了公司的实际损失,甚至发生破产倒闭等。公司在发展过程中容易陷入财务危机,公司内部并不能够作出科学合理的管理措施,在日常的管理中并没有形成有效地财务风险管理手段。
二、内部控制与财务风险管理的关系
自《萨班斯法案》出台以来,公司的内部控制数据得以公开,有相关的学者在研究中发现,公司内部控制的不足容易导致财务风险的发生,但内部控制管理能够有效地减少财务风险的发生,具体如下。
1.内部控制与财务风险管理的主要目的是确保公司盈利
在案例研究中发现,在经济形势下,内部控制与财务风险管理的发展理念是一致的,都是为了追求公司利润的最大化,通过内部控制及有效的财务管理措施以达到公司在经营上的财务收益。在公司经营过程中,公司为了实现经济创收,获得较高的经济收益,就必须要能够在经营发展过程中具备较高的经营管理水平,通过合理的内部控制及管理措施形成对生产及销售售后等经营环节的有效监控管理措施。能够在确保公司收益的同时有效地控制公司财务风险的发生。
2.内部控制能够有效地加强财务风险管理
在公司中,内部控制系统的有效构造能够有效地加强财务风险管理的实际展开。通过有效的风险分析能够发现除市场经济不景气、市场动荡等宏观因素外的公司内部隐患。通过对内部管理系统的有效把握能够促进公司内部各环节的协调运作,而对财务风险的发现与规避,财务风险将得到有效的控制管理,能够避免财务风险扩大化。在公司中,财务风险管理的主要目的即是要防范财务风险的发生,减少财务风险所带来的经济损失。在管理过程中,通过有效的管理手段及时地发现潜在的财务风险,通过合理地数据分析,进行对财务风险预测,并设法把财务风险所造成的不良影响控制在最低程度。而内部控制就是基于公司内部风险管理,从而达到监控风险规避风险的目的。
3.内部控制与财务风险管理的侧重不同但在发展中有融合趋势
公司内部系统的有效构造是为了通过合理的管理制度规避公司风险;而财务风险管理是通过在市场经济竞争过程中通过合理合法的自由竞争及市场交易来规避风险。在公司管理活动中,财务风险管理作为其重要组成部分尤为突出,但公司的内部管理只是管理的一部分,这就使内部控制局限于与财务相关部门的管理。而公司的内部控制系统规划完善能够有效地实现公司风险管理的一体化。在现有管理基础上,为适应公司发展趋势,公司风险管理制度已经逐渐结合传统的内部控制系统形成了新的内部控制制度,已通过对公司的强化决策、通过对财务投资的有效管理控制,对公司的发展投资战略作出风险评估能够有效地实现对公司资源的合理调度与分配。通过内部控制系统与财务风险管理能够有效地实现对公司的规划管理。
三、内部控制与财务风险管理的融合框架
为了实现公司的持续发展,就必须要结合公司内部管理实际进行内部控制与财务风险管理的融合,具体措施如下。
1.完善财务风险管理的相关制度
为实现内部控制与财务风险管理的框架融合就必须完善现有的财务风险管理制度。这就要基于公司发展实际建立具有活力、符合公司实际的财务风险管理制度,通过对风险管理目标的合理划分,达到对财务投资风险的评估与分析,通过有效的预警手段发现公司所存在的风险,针对财务风险制定恰当的决策,进行风险处理。
2.完善相关内部管理措施
“无规矩,不成方圆”,公司在自身的发展壮大过程中必须要制定制度完善的财务风险管理制度及内部控制体系。通过健全各项管理制度,加强对财务工作的监督管理,加强对公司资金流向的监督控制,建立合理的资金使用制度,通过债务的偿清以提高公司自身的信用度,为后期的资金筹备做好准备,能够有效地规避财务风险所造成的影响。
3.建立以财务风险防范为主的内部控制体系
为有效地预防财务风险发生及财务损失的扩大,就必须基于现有的内部管理系统进行革新。建立对财务风险控制岗位的有效授权,明确规定授权对象及资金额度。建立财务风险的报告制度,通过专业的报告流程达到财务风险第一时间预警,对重大的财务风险进行合理的披露,明确相关管理负责人。通过有效的责任制度建立及奖惩制度实施,实现各部门对财务风险的有效管理。建立相关的风险控制委员会及法律顾问能够有效地保证公司的重大决策不受财务风险影响。
公司内部管理风险范文第3篇
【关键词】 风险管理; 内部审计; 作用
一、公司的风险及管理
公司的主要风险大致可以分为以下几类:
1.决策风险。决策风险是最大的风险。公司董事会对企业的决策起着至关重要的作用,一个有效可行的决策直接关系到企业的命运。上至国家对企业的决策,下到企业内部对某一个项目的决策,都会对企业的生存和发展产生很大的影响。
2.经营风险。经营风险主要表现在企业整个经营运作中,无论是市场环境、产品结构、签订合同、合同纠纷的处理等,处理的合适与否直接关系到企业管理中经营风险的大小。
3.财务风险。财务风险主要表现在财务制度、资金运作、成本控制、汇率风险等方面。其中,资金链条的断裂是最大的财务风险,经常导致企业的破产。财务风险还表现在货币风险,现金流量的波动直接影响企业的业绩;信用风险,客户长期拖欠货款,造成企业现金被大量挤占;税务风险,缺乏比精通税法的管理者,在税收筹划工作中容易产生税务风险。
其他风险包括管理制度、监督体系、人员素质等多个方面的风险,当然也包括内部审计风险。
风险管理因风险而生。风险管理包括风险识别、评估、控制等内容,就是要认识有哪些风险,风险程度有多大,如何把风险控制在最低程度。但是,风险并不等同于危害,有时甚至可以从风险中获得机遇。
对企业实际存在的各种风险,国家、上级公司和企业内部都比较重视。内部审计监督就是其中很重要的方面。
二、内部审计在公司风险管理中的重要性
内部审计,已经从单纯的财务收支审计,逐步向以财务收支审计为基础,经济责任审计、经济效益审计、内部控制审计等方面的同步发展转变。在全球化、信息化程度不断加深的时代背景下,人才、技术、资本、商品等要素的流动日益加快,经济社会中不确定性因素越来越多,因此组织面临的风险也越来越大,影响了组织目标的实现。面对这样的环境,要让组织增强应对风险的能力,从而掌握主动权,将风险的影响控制在可接受的范围内,就必须强调风险管理。现在风险管理已经成为许多国际性大公司管理活动的重点。以内部控制为主要对象的内部审计也必须对其进行审查和评价。一方面有助于对组织风险管理状况作出评价并提出可行建议;另一方面系统反映了现代风险管理的全过程,对组织的风险管理实务起到借鉴作用。
公司的风险是客观存在的事实,风险管理必然成为应对风险的必由之路。作为公司管理监督控制的内部审计部门,通过风险管理审计对风险管理进行监督,应该是顺理成章的事情,也是义不容辞的责任。
风险管理内部审计的责任就是要对企业的风险管理体系进行有效的再监督。负责建立健全内部控制机制并使之有效运行,按照“全面监督,突出重点”的原则,监督的重点是风险管理方面的各项管理制度和工作程序,以及这些管理制度和工作程序的实际运行情况和效果。通过和整个系统的协调一致,达到协调增效的目的。
谈到责任,根据笔者的实践经验和教训,风险管理审计应该承担的责任是“有限责任”,而不是“无限责任”,这是规避审计风险的重要原则。
三、内部审计在公司风险管理中的作用
内部审计在风险管理中的作用就是对公司的风险管理体系、管理制度及运作过程进行评价和有效监督,协助公司改进风险管理的控制措施和管理方法,达到提高运作效率和增加价值的目的。内部审计是一种独立、客观的监督、评价活动,内部审计的对象是经营活动和内部控制。内部审计人员既可以对组织整体风险管理进行审查与评价,也可对部门风险管理进行审查与评价。由于组织目标层次的多样性,组织面临的风险也包括各个层面的内容。风险管理不能仅针对影响组织整体目标、高层目标以及战略远景目标的风险进行,还必须针对影响各种经营目标、短期目标、部门目标的风险进行。组织目标是自上而下分解到不同层次去的,低层次目标的实现是高层目标实现的基础。
内部审计是公司内部的一种独立的经济监督机构,其基本职能理所当然应是经济监督。通过审计监督来规范公司的经营行为,使公司自身的经济活动与国民经济整体运行协调一致,从而实现自我约束。公司风险管理体系审计监督中发现的问题进行及时分析和研究,提出审计建议,作为高层领导改进风险管理的参考意见,为公司的风险管理作出实实在在的贡献。公司内部审计监督的着眼点,主要是保护股东或企业的利益,维护企业的合法权益。
在市场经济中企业面对日益变化的环境,经常会遇到改制、重组等问题,此时,审计可以利用对政策和企业内部经营比较熟悉的优势,在企业改制重组等经营决策中发挥参谋作用;内审在项目实施过程中,对查出的问题予以揭示并提出整改建议,为领导决策提供依据;通过对领导关心的热点问题、管理的薄弱环节和单位开展的审计调查,为领导决策提供有价值的信息;利用内部审计接触面广的特点,发挥承上启下的纽带作用,及时把下属单位或有关部门的困难、问题和意见公正地反馈给领导,发挥上下之间信息沟通的作用;在对下属单位实施审计过程中,对存在的经营和管理方面的问题向下属单位提出审计建议。
四、确保内部审计的独立性是实现公司风险管理的重要环节
(一)建立完善的公司治理结构,合理设置内部审计机构
随着我国社会主义市场经济体制改革的逐步深入,公司法人治理结构也逐步健全完善,内部审计已成为法人治理结构的有机组成部分。因此,建立完善的公司治理结构,合理设置内部审计机构,是企业领导者经营管理理念成熟的表现。健全的内部审计机构,必须是一个独立的、直接隶属于企业法人的监督管理机构。内部审计机构在企业中处于较高的层次,可以保证内部审计充分发挥职能作用,内部审计的独立性、权威性才能得到真正体现。
(二)加强内部审计的法制建设,提高内部审计工作地位
抓紧制定内部审计的法规条例,将内部审计制度用法律法规的形式固定下来,用法律规定内审机构的地位、结构、层次,使内部审计纳入法制化轨道,用法律保障内部审计的独立性,用法律的形式明确内部审计人员的法律责任和权利。只有内部审计的法制建设完善了,内部审计的独立性才能得到真正的保障。
(三)加强内部审计队伍建设,提高内部审计人员素质
首先,必须对内部审计人员进行职业道德教育,提高其道德修养和政策水平,牢固掌握国家财经法纪和企业规章制度,才能对企业财务收支和经营管理活动进行有效审计和客观、公正的评价,为企业经营管理者提供生产经营决策的科学依据。其次,要使其有较强的业务能力。内部审计人员必须熟悉会计、审计、法律、税务、外贸、金融、基建、企业管理等方面的知识,要将实践经验丰富,业务水平较高的人员充实到内部审计队伍中。
(四)内部审计独立性的增强,重在自身的有所作为
公司内部管理风险范文第4篇
【关键词】内部控制 公司治理 风险管理 关系 整合。
一、导论。
随着公司制企业的建立,频频爆发舞弊丑闻。同时,公司面临的经营和财务风险不断增加,风险程度不断提高,以致公司破产不断出现。在现代企业制度的建立与发展的同时,公司舞弊防范、经营和财务风险的防范就成为了现代企业制度所必需面临和解决的问题。为此,理论界和实务界提出了内部控制、公司治理和风险管理的各种控制规范和控制措施。这些控制规范和控制措施不仅在企业层面也在国家层面、甚至国际层面制定,制定的主体也出现了企业、民间和政府同心协力的局面,在我国主要采取政府以行政法规的形式制定。但根本的问题仍然在于内部控制、公司治理、风险管理这三者到底是何种关系,如果这三者所要解决的问题从根本上说是一致的,就没有必要制定三种控制规范,只会导致企业控制重复进行,并使企业控制成本增加。特别当三个规范的制定主体不相同时,还会导致企业遵循这些规范时变得无所适从;如果这三者所要解决的问题从根本上说是不一致的,那么在制定这三种规范时必须找到他们的边界,这意味着每一种控制的对象不可以交叉,也不可以留下控制真空。所以研究三者的关系对于建立有效的企业控制体系,或者更直接的说对于建立和完善现代企业制度关系重大。
二、内部控制、公司治理、风险管理:三者关系论争的回顾。
关于三者的关系,学界已经进行过一些研究与探讨,归结起来主要有以下结论:
1.内部控制是公司治理的基础,而风险管理包含内部控制。杨雄胜(2005)认为,没有系统而有效的内部控制,公司治理将成为一纸空文,而内部控制是实现公司治理的基础设施建设。在2004年的美国银行管理学会(BankAdministration Institute)信托风险管理年会上,联邦储备委员会(Governor ofFederalReserve Board)理事Susan SchmidtBies在题为“公司治理中的当前问题”的发言中谈到,董事有责任监督内部控制过程,唯此才能去合理预期他们的指示是否得到完全的遵循(Susan SchmidtBies, 2004)。她认为进行公司治理的前提是落实内部控制。
而认为风险管理包含内部控制则在COSO的最新报告中得到了明示:风险管理包含内部控制;内部控制是风险管理不可分割的一部分。COSO认为风险管理有八个要素组成:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。而内部控制有五个要素组成:控制环境、风险评估、控制活动、信息与沟通、监督。显然内部控制包含在风险管理之中。英国Turnbull委员会(2005)认为,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。①南非的King IIReport (2002)认为传统的内部控制系统不能管理许多风险,譬如政治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。英国内部审计师协会(1999)、Campion、Antita (2000), Gerrit Sarens、Ignace De Beelde(2005),澳大利亚证券交易所(Australian Stock Exchange)也明确提出了风险管理包含内部控制的观点。
不难看出,内部控制是公司治理的基础,没有内部控制,公司治理无从谈起,而风险管理又包含内部控制,进一步推论也就是风险管理是公司治理的基础。从理论上说,基础相对于建立在基础之上之物是须臾不可分离的,就像墙基与墙体的关系一样,实质上他们是一体的。
2.公司治理是内部控制的环境要素之一,是内部控制的前提,而风险管理包含内部控制。阎达五、杨有红(2001)认为随着公司治理机制的完善,内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。黄世忠(2001)提出,如果不强化公司治理结构的基础建设,要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈。吴水澎和陈汉文等(2000)、张安明(2002)、李明辉(2003)、程新生(2004)在相关研究中均持相似观点。
正如上述,由于风险管理包含内部控制,也就进一步推论公司治理也是风险管理(含内部控制)的前提。如果公司不强化治理结构的基础建设,就很难有效地进行风险管理。实际上,公司治理不完善有效本身就是一种风险。
3.内部控制与公司治理是你中有我、我中有你的嵌合关系,而风险管理包含内部控制。王蕾(2001)认为,内部控制与公司治理具有高度的相关性,一个健全的内部控制机制实际上是完善的公司治理结构的体现。反过来,内部控制的创新和深化也将促进公司治理的完善和现代企业制度的建立。李连华(2005)指出,内部控制与公司治理这两个管理系统在主体、目标和内容上有着很多重合点,将二者的关系理解为主体与环境的关系,是不符合他们彼此之间的依赖性、重合性的特征的。他认为内部控制与公司治理不是内部与外部、主体与环境的关系,而是“你中有我、我中有你”的相互包含关系,因此“嵌合论”更能准确地描述公司治理结构和内部控制的相互关系。
由于风险管理包含内部控制,就可以进一步推论公司治理与风险管理的关系是你中有我、我中有你的相互包含关系。
就内部控制与风险管理的关系而言,也有内部控制包含风险管理的观点。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”。
COCO的报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。这种认识与前述内部控制与公司治理的三种关系相匹配,可以得出与前面三者关系基本类似的结论。
此外内部控制与风险管理的关系还有第三种观点,即内部控制就是风险管理。Blackburn (1999)认为风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Matthew Leitch(2004)认为,理论上,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。正由于内部控制就是风险管理,所以与上述内部控制与公司治理的三种关系想匹配,可以得出与前者完全相同的结论。
从上面论争的回顾中可以看出,内部控制、公司治理与风险管理三者的关系是密不可分的,它又表现为三种形态:第一种是互为前提关系,第二种是相互包含关系,第三种是等同关系。既然三者的关系是如此之密切,甚至是完全等同,这就向我们提出了一个重要的问题:如果我们在制定三种规范时,由不同的主体来制定并各自为政,就会在企业执行层面造成制度的重叠和执行的反复。为此,如果我们能证明这三者确实具有基本的相似以致完全的相同性,我们就有必要对这三种规范进行整合。
三、内部控制、公司治理、风险管理:三者关系是异是同
尽管对三者的关系有各种不同的看法,但理论界和实务界都基本一致地认为,三者是密不可分甚至是完全相同的。我们认为尽管三者在文字表述上存在差异,但就其实质而言是相同的。为了说明这一点有必要从历史和逻辑的统一中进行论证。
从历史的演变来看,三者具有同一性。按照历史演变的时间顺序,先有内部控制,而后出现公司治理,最后提出风险管理。与公司治理相比,内部控制思想和实践历史更悠久,它是伴随着企业的实践而产生的。
在早期的企业中,由于群体劳动和分工的结果,为了保证财物的安全,在企业内部实行了相互牵制,从而形成了内部牵制的实践。在15世纪,随着资本主义企业的发展和复式记账法的出现,以账目间的相互核对为主要内容、实行职能分离的内部牵制开始得到广泛应用,内部牵制不仅保证财物的安全,也保证会计信息的真实性。由于早期的内部牵制主要是指企业的业务活动必须经过两个或以上的分工的部门,以及两个或以上的权力层次,以形成相互制衡。这时的内部牵制的内涵和外延相对狭小。
内部控制作为一个专门的术语是基于审计实践的需要,由审计人员从评价企业的控制活动中抽象出来的,并受到人们的广泛重视。1949年,美国注册会计师协会(AICPA)的审计程序委员会首次对内部控制进行了定义,此后,该委员会又多次对内部控制的内涵和外延进行定义,但整体上看,这时的内部控制主要是从财务审计的角度立足于查错防弊的目的进行定义的,尽管如此,此时的内部控制本身已经超出了内部牵制的内涵和外延,包涵了一些属于管理控制的内容。
20世纪60年代以来,大量公司倒闭或陷入财务困境,诱发了审计“诉讼爆炸”,导致了审计风险大大增加以及对“内部控制”的怀疑,这使得审计不仅仅利用内部控制作为审计重点的选择方法,而且要对企业内部控制制度本身进行评价。这就使得内部控制不仅停留在其内涵和外延的定义上,更要确定内部控制的基本结构,以此才能对企业的内部控制进行评价。AICPA于1988年正式以“内部控制结构”这一概念代替了“内部控制”,提出了内部控制结构三个基本要素:控制环境、会计制度和控制程序。这一发展使内部控制的研究重点从一般涵义引向具体内容,从而更加反映了内部控制自身的性质。不难看出,这个时期对内部控制的研究进入了其具体内容,同时有关管理控制的内容也不断完善。
为了进一步提高财务报告的质量,探讨舞弊性财务报告包括内部控制制度不健全的问题, 1985年,由美国会计学会(AAA)、美国注册会计师协会(AICPA)、财务经理协会(FEI)、国际内部审计人员协会(IIA)及管理会计师协会(IMA)共同赞助成立了“反对虚假财务报告委员会”(Treadway委员会),之后在Treadway委员会的建议下,又组成了一个专门研究内部控制问题的机构——— “发起组织委员会”(COSO)。1992年, COSO了《内部控制———整体框架》的研究报告,将内部控制定义为由董事会、经理层和其他员工共同实施的,为营运效率、财务报告的可靠性和相关法规的遵守等目标的达成而提供合理保证的过程,并把内部控制整体框架区分为控制环境、风险评估、控制活动、信息与沟通、监督等五个互为关联的组成部分。显然,这个内部控制的整体框架,在控制实施主体上不仅关注企业的员工,而且更加关注董事会和经理层(控制实施的主体可以理解为控制主体和受控主体,在内部控制中这两者是不可分割的);在控制范围上不仅关注企业内部控制,也关注控制环境;在控制的目标上不仅是财产的安全、财务报告的可靠性和相关法规的遵循性,而且更加关注营运效率的提高;在控制的内容上不仅关注会计控制,而且更加关注管理控制;在控制的框架的分类上,也由过去的按控制的内容分类转换为按控制的过程分类,在控制过程的每一环节,又按财物安全、报告真实、行为合规、经营有效等控制目标分类。
1992年COSO提出的整体框架在内部控制的内容和程序上已经相对完善,但理论界与实务界还是认为其对风险强调不够,无法使得内部控制与风险管理很好地结合。1999年的特恩布尔报告在COSO报告的基础上,分析了合理的内部控制系统应具备的特征和包含的要素,在此基础上设计了评价内部控制系统要素有效性的一系列标准,使得公司能够按照适合外部环境的方式构建和实施内部控制。为了适应21世纪企业环境对内部控制的要求以及风险管理的需要, COSO于2004年9月正式颁布了《企业风险管理———整体框架》,其中指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个(比内部控制)更为广泛的管理概念和工具”。比之于1992年的《内部控制———整体框架》
发生了以下变化:在内部控制目标上增加了战略目标;在控制内容上增加了风险控制;在控制的环节上将原来的“风险评价”被拓展为“目标设定、风险识别、风险评估和风险应对”四个。不难看出,新框架直接凸显风险管理。对风险的控制不仅面向过去,而且也面向未来,使得风险管理不仅贯穿于作业层次也贯穿于管理层次,不仅贯穿于战术层次也贯穿于战略层次,不仅贯穿于执行层次也贯穿于决策层次。可以认为《企业风险管理———整体框架》是涉及到企业全要素、全过程、全层次的风险控制。
从内部控制的历史变迁中可以看出,最早的内部牵制本身就是基于企业财物的安全性和信息的真实性的需要而产生的,而财物不安全和信息不真实正是当时企业面临的基本风险。相对而言,当时的市场变化较小,市场结构相对单一,企业规模也相对较小,企业经营结构相对单一,这意味着当时企业的经营风险包括战略风险都不是主要的风险。尽管如此,至少仍然可以看出,内部牵制是基于对财产不安全和信息不真实风险的控制需要而产生的,内部牵制本身就是控制风险,而控制风险就是风险管理。所以内部控制是以风险管理为起点的。在后来的发展中,内部控制几经变迁,其控制的目的由财物的安全性、信息的真实性进一步扩展至经营效率以至战略的正确性;其控制的层次由企业员工层面向经理层和董事会(甚至包括股东大会)提升。但无论怎样变化风险管理是贯穿内部控制的核心主线,只是其风险管理的目标、内容和层次伴随企业的环境、企业经营的模式以及企业制度的变迁而变化。
自19世纪末以来,公司制企业成为了发展最快、数量最多的企业形式之一。公司制企业比之自然人企业,在组织架构上必然设立股东大会、董事会和经理层,如果说在自然人企业内部控制的对象是企业内部的员工,那么在公司制企业中由于组织层级的增加,使得控制的对象必然由员工层次上升到经理层、董事会以至股东大会。事实上,在20世纪公司制企业的发展过程中的,发达国家公司的内部人控制相当严重,经理人背德、逆向选择、决策失误、以及大股东一股独大导致决策非理性、侵占小股东利益等问题使得大量公司失败,为了解决这一问题,理论和实务界提出了公司治理的理论与方法,形成了公司治理的规范。公司治理包括外部治理和内部治理,这里的公司治理规范主要是就内部治理而言的。公司治理的目标也是要保证各层次的受托者不得背叛委托者,这里的背叛包括侵吞财物、信息欺诈;公司治理的另一目标也是要保证各层次的受托者理性地决策,这里的理性决策首先要求受托者不得逆向选择,也要求在识别企业各种风险的基础上做出正确的战略选择和经营决策。所以非常巧合的是,公司制企业内部控制制度的控制目标拓展和控制层次提升的趋势与公司内部治理的治理目标和治理层次具有几乎完全拟合的特征,也就是由于公司制企业的特点使得内部控制必须适应这种特点。尽管理论和实务界单独研究和实践了公司内部治理,但本质上仍然是为了控制风险,只是这种风险控制是基于新出现的公司组织层次,以及这些层次所要进行的行为(战略选择与经营决策)的。通过内部控制目标拓展和控制层次的提升就可以达成公司内部治理的要求,两者可以合二为一。
此外,现代内部控制更加关注内部控制环境,历史地看,从内部牵制开始至今,内部控制环境本身都是内部控制所要考虑的因素,只是伴随现代公司制企业的出现,企业越来越成为一个开放系统,外部环境对公司的影响越来越至关重要,影响的内容、影响的方式也发生了重大变化。外部环境的影响对公司的风险、特别是内部风险的形成的密切程度和作用程度不断上升,所以现代内部控制为了有效地控制风险,必然更加关注风险的形成源头,进而把外部环境分析作为内部控制的重要一环。
最后,《内部控制———整体框架》升级为《企业风险管理———整体框架》,之所以能够发生这种转化,根本原因在于内部控制的最终目的就是为了控制风险,从语义上说,内部控制就是控制风险,控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。内部控制主要是从风险控制的方式和手段说明风险控制的,风险管理就是从风险控制的目的来说明风险控制的。内部控制所描述的风险控制的方式和手段已经内含了风险控制的目的,没有目的的控制方式和手段是毫无用处的;风险管理所描述的是风险控制的目的也内含了风险控制的方式和手段,没有控制方式和手段的控制目的是无法实现的。事实上,从《内部控制———整体框架》和《企业风险管理———整体框架》的内容看,他们就是控制目的、控制方式和控制手段的统一。当然,《企业风险管理———整体框架》作为《内部控制———整体框架》更高阶段的规范,一定会有其新的内容,就是凸显风险管理自身,这表现在该框架的内容上就是将原来的“风险评价”拓展为“目标设定、风险识别、风险评估和风险应对”。这表明风险管理确实把风险本身作为一个特定的要素进行管理,而以前的内部控制只是把风险控制作为一个控制目标。既然把风险本身作为一个特定的要素进行管理,就必然涉及风险管理目标的设定(风险的容忍度)、风险识别、风险评估和风险应对一个完整的风险管理过程。事实上,在内部控制中,每一个被控风险要素都必须经历这四个风险管理的环节,也就是风险管理程序。除此而外,现代公司制企业面临的风险是过去的自然人企业所无法企及的,特别是战略风险和经营风险。在长期的风险控制的实践中,企业发现,有的风险可以避免,有的风险可以消除,有的风险只能控制在合理水平,有的风险只能承受(单个企业承受或多个企业分担)。
由此,在《企业风险管理———整体框架》中明确指出,管理当局必须采取一系列行动,以便把风险控制在主体的风险容忍度之内。之所以产生风险的容忍度主要是基于风险产生的成本与收益之间的比较。由于风险容忍度的形成,风险控制就不仅仅是让风险不能发生,而是在一定的条件下允许存在一定的风险,这样就产生了把风险作为一个单独的管理要素的必要,以至企业必须设定风险管理的目标即风险的容忍度,并以此来进行风险识别、风险评估和风险应对。
纵观历史的发展过程,无论是内部控制、公司治理还是风险管理,都是为了控制企业可能面临的各种风险而产生的,伴随企业由自然人企业向公司制企业过渡,企业的组织层次发生变化,相应的风险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理;并且,在企业较高层次,其主要的职责是经营决策,所以公司治理更多地关注决策理性,也就是决策非理性的风险;早期企业面临的主要风险是财物侵吞和信息欺诈风险,风险控制的主要任务是保证财产安全和信息真实,而现代企业财物的安全控制体系和信息体系不断地建立健全,企业面临的主要风险已转变为市场竞争风险,所以风险控制就更加关注战略风险和经营风险;同时,长期的企业实践使人们相信,企业不可能完全避免和消除风险,企业必须承担某些风险,有的风险只能控制在可容忍的水平,风险控制的目标就不再仅仅是避免和消除风险,而是要事先设定风险容忍度,企业只是对超过这一容忍度的风险进行控制。
从逻辑的推理来看,企业风险表现为企业收益(成本)的不确定性,企业经营就是经营风险,企业管理就是管理风险,企业一旦设立就必然与风险相伴。企业控制(或者经营、管理)风险就是要使收益(成本)达成企业设定的目标,企业经营管理过程,就是为了达成设定的收益目标,选择企业经营方向,围绕经营方向有效配置资源,使资源得到充分利用的过程。在配置和运用资源过程中,由于两权分离和分层管理形成了多层的委托关系,由于人的私利性很容易造成受托人背叛委托人,这种背叛主要表现在侵吞委托人的财物、对委托人进行信息欺诈以及违背委托人所确定的各种行为规则。当受托人进行这些行为时,不仅会使委托人遭受损失,更使企业难以为继,必然最终遭致破产风险。所以对受托人的这些行为进行控制,就是进行风险管理;在配置和运用资源的过程中,由于分工分权管理形成了多个决策与执行主体,这些决策与执行主体是否能真正做到科学决策、有效执行,必然直接影响企业的战略选择和经营效率,从而直接影响企业的收益。从理论和实践的角度看,由于人的有限理性以及事物的复杂性,使得决策难以完全科学,执行难以完全充分有效,这必然导致企业经营和财务风险的发生,及致企业陷于破产。既然在企业中存在背德和非理性两种风险,所以企业必须对这两种风险进行有效地控制。从理论上说,只有把风险降至零的状态才是最理想的,但是任何风险控制都将发生成本,并非任何因风险控制而发生的成本都是有效的,这就使得企业必须在风险控制成本与风险控制效益之间做出权衡,权衡的结果无非是当风险控制成本高于风险控制效益时,企业就会选择回避风险(回避风险也就是不作为,不作为也就是无收益,无收益也无成本),或者允许一定程度的风险发生(这是风险容忍度形成的理论基础)。总之企业设立就与风险相伴,而风险是否发生则与人相关,所以企业经营管理就是要进行风险控制,或者说企业经营管理就是经营管理风险。从这个意义出发内部控制、公司治理、风险管理都属于企业管理的范畴,它们都是为了进行风险控制。
公司内部管理风险范文第5篇
关键词 中国跨国公司 风险管理 内部问题
一、引言
对全世界而言,跨国公司是国际经济的行为主体和世界经济增长的引擎。根据目前联合国跨国公司中心的统计,跨国公司年生产总值占整个世界生产总值的50%,它们控制了世界生产的40%,国际贸易的60—70%,国际技术贸易的60—70%,对外直接投资的90%;对一个国家而言,跨国公司是一个国家国民经济的支柱,是国家综合实力的重要标志之一。培育和发展中国跨国公司是我国政府提出的“走出去”战略的重要组成部分,对促使我国从经济大国向经济强国的转变和增强我国的综合国力具有极其重要的作用。据联合国贸易与发展会议(UNCTAD)的数据统计,中国大陆已有2000家跨国公司母公司,海外分支机构有21.5万家。
当前,国际金融危机虽然没有继续蔓延加剧,但也远远没有结束,这导致世界经济剧烈的变动,跨国公司的经营环境不断恶化。多数发达国家跨国公司的风险管理已经步入全面风险管理阶段,《财富》世界500强企业中已有40%实施了全面风险管理,有30%实施了部分风险管理。虽然中国跨国公司的发展速度非常快,和发达国家跨国公司相比而言,其风险管理仍处于风险管理的策划实施阶段向部分风险管理阶段的过渡过程之中。“企业风险管理现状调查”则从另一个侧面,说明了包括各类跨国公司的我国企业还处于风险管理建设的初级阶段:有71%的企业只是建立了一定的风险管理流程,但流程缺乏相互的约束机制;有15.79%的企业“已建立完整的风险管理体系,但体系尚未全面开始运作”;另外还有5.26%的企业“没有建立风险管理方法和制度,风险的防范只依赖于员工的责任心和个人行为”。面对此次危机的冲击,世界企业500强类跨国公司尚且力不从心;我国的跨国公司须减少其风险管理过程中不利因素的影响,进一步提升其风险管理能力,以应对此次危机。
二、中国跨国公司的风险分析
分析和识别风险的范围和类别,是跨国公司实施风险管理的基本前提。我国跨国公司从事跨国经营活动,所面临的是与国内完全不同的、更为复杂的、全球化的不确定性约束。从不同角度出发,按照不同的标准,对我国跨国公司面临的风险可以采取不同的分类法分析。本文以目前学术界普遍采用的风险分类法并结合Miller风险一体化管理的研究框架来进行分类分析:即按照风险的可控程度,将我国跨国公司面临的风险分为跨国公司自身几乎无法控制的一般环境风险(宏观环境风险);跨国公司自身虽然不能控制但可以施加影响以改变风险影响程度的行业环境风险(中观环境风险);跨国公司自身可以控制的企业变量风险(微观环境风险)。
(一)宏观环境风险(一般环境风险)
宏观环境风险或一般环境风险是指那些影响各行业跨国经营环境的因素,包括一是政治风险,即指政治不稳定性与政治制度的主要因素变化相联系,其中的因素包括政治稳定性、意识形态等内容。二是政府政策风险,指影响商业环境的政府政策的不稳定性,其中包括无法预期的财政和货币改革、政府规章制度的变化以及收入汇出限制等。三是宏观经济风险,指包括经济活动水平、价格水平、汇率和利率水平的不确定性波动;四是社会风险,指当人们面对与他们自身价值观不相符的信仰和价值观时,可能会产生社会危机。社会风险可能是政治风险的前身,当然两种风险分属于两个不同的利益相关者集团——社会和政府。五是自然条件风险,是指影响经济产出的自然现象。如地理位置因素对跨国公司国际化区位因素选择的影响。六是文化风险,学者何曼青认为,不同的文化背景决定了供应者、竞争者、顾客与跨国公司发生业务往来的方式和偏好,以及与跨国公司进行竞争的战略、策略和技巧,同时还到跨国公司的其国际经济合作2009年第8期他环境因素如政治、法律、经济等发生作用。
(二)中观环境风险(行业环境风险)
中观环境风险或行业环境风险是指各行业内影响跨国经营的因素。一是投入物市场风险,指围绕着获取充足数量和质量的投入物,并投入到生产过程中的行业不确定性,主要包括技术、原材料品质、数量和价格等。二是产品市场风险,是指对行业产出需求无法预料的变化。这种改变可能因为消费者品味的变化,因替代品的可获取性的变化,因互补品供应的变化,或者因国内外政府政策对进口货物的不可预知性需求变化而变化。三是竞争风险,指由于无法预测产品市场中可获取的产品数量和类型,企业可能遭受来自同行业厂商的竞争压力,主要包括竞争者的价格、经营战略、其选择的市场的不稳定性,以及对本国和外国新进入者的威胁。四是技术风险,Miller认为技术创新影响着一个行业的产品或生产过程,同时也对这个行业构成了威胁,因为它可能会使行业内已经建立起的竞争和协作模式产生混乱。学者许晖认为技术风险还应包括由于跨国公司在行业个某些方面的技术领先性,导致专有技术有可能遭到窃取和非法占有的可能性。
(二)微观环境风险(企业变量风险)
微观环境风险或企业变量风险是指企业自身可以控制的,影响跨国经营的因素。一是生产风险,指跨国公司生产运营的不确定性,包括劳动力不确定性、公司投入物供应的不确定性以及生产不确定性。二是责任风险,指跨国公司在生产、销售过程中因担负产品质量、环境污染、人身安全等责任而面临的风险。三是研发风险,Miller称研发行为的不确定性结果就是对当公司投资于研发过程中出现的完成项目及项目产出特性的时间框架的不确定。四是信用风险,指企业面临的应收账款回收等涉及资金回收的问题。五是行为风险,指公司管理者或员工的本位主义行为,Miller在研究中认为,公司层面风险中的行为风险与公司内的关系有关。六是人力资源风险,或称劳动力不确定性,指员工生产率的变化、训练员工的有效性、员工和工会问题等风险。七是交易风险,指汇率风险对特定的、可识别的外币交易的现金流所产生的影响。八是投资风险,即跨国公司投资于东道国面临的经济状况、政治条件和政府政策的持续不确定性的集中体现。九是财务风险,指在跨国公司各项财务活动中,由于内外部各种不确定性因素的作用,使财务系统运行偏离预期目标而形成的经济损失的机会性或可能性。
三、中国跨国公司风险管理的内部问题
根据统计资料显示:有50%的企业风险来源于企业各级管理层,有30%的企业风险来源于自企业员工,只有20%的企业风险来源于企业外部。因此,分析企业风险管理的问题必须从企业风险管理的内部问题入手。与我国跨国公司的微观环境风险(企业变量风险)不同的是,风险管理的内部问题应该是微观环境——企业变量的核心因素,这同时也是与《内部控制——整体框架》(Inter, nal Control Integrated Frame—work,ICIF)框架和《企业风险管理——整体框架》(Enterprise Risk
Management-Integrated Framework,ERM)框架的内部问题都密切关联的核心因素——“内部环境”。
继美国发起机构委员会(Committee of Sponsoring Orga-nization)COSO于1992年发表《内部控制——整体框架》报告之后,又于2004年9月发表了《企业风险管理——整体框架》。与ICIF相比,由于ERM是ICIF某种程度上的拓展和延伸,这暗示着现代企业管理的风险管理与内部控制有密切的相关性。学术界对于风险管理与内部控制这二者的关系持两类意见:第一种观点认为风险管理包含在内部控制中,理由是ICIF中将风险评估作为企业内部控制的一个组成要素;第二种观点认为内部控制是风险管理的一部分,理由是ERM在借鉴ICIF的基础上发展起来,并在框架中明确指出风险管理包含内部控制。鉴于风险管理与内部控制二者的特殊关系,以及我国学者还没有将“内部控制”与“风险管理”进行逻辑统一并运用于跨国公司这一特殊企业组织。因此,可以将ERM框架与内部控制框架进行逻辑统一,然后再来分析我国跨国公司风险管理的内部问题。
从COSO的ERM框架来看,企业风险管理包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八个相互关联的构成要素。由于“内部环境”影响着企业风险管理战略和目标的制定、风险的识别和控制活动、信息与沟通体系以及监控措施的设计与运行,因此根据ERM框架,可以确定“内部环境”就是企业风险管理的核心因素,它是所有其他构成要素的基础;从国内外权威机构的内部控制框架的时间顺序来看,在1988年美国注册会计师协会《会计准则公告第55号》(SASNO,55)公告中,提出了内部控制结构由三部分组成,它们是控制环境、会计系统、控制程序。该公告首次将控制环境正式纳入内部控制范畴,凸显对环境控制的重要性认识。1992年美国COSO发表的《内部控制——整体框架》(ICIF)在内部控制理论的发展史上占有非常重要的地位,其提出的内部控制系统由五部分组成:控制环境、风险评估、控制活动、信息与沟通和监督。2007年我国企业内部控制标准委员会的《企业内部控制规范——基本规范》中提出,内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。美国的SASNO,55和ICIF都始终把“控制环境”放在首位,说明其居于整个内部控制的核心地位;结合我国的基本规范可以看出,内部控制中强调的“控制环境”主要是指对企业内部环境的控制上,强调的是内部环境问题,这与ERM框架中强调的“内部环境是企业风险管理的核心”实质上是一致的。因此对我国跨国公司风险管理的内部问题分析就应该从我国跨国公司“内部环境”的内容要素人手。ERM框架、SASNO,55、ICIF和基本规范关于内部环境的内容要素的提法各有差别但是基本上一脉相承的,概括起来,内部环境的内容要素主要包括企业文化、治理结构、内部监督和管理方法等四个方面。这四个方面的不利因素构成了其风险管理内部问题的主要原因:
(一)从企业文化角度来看:我国跨国公司缺乏科学的、统一的风险管理价值观。
一方面,风险管理理念是风险管理价值观的核心要素,而我国跨国公司管理者和员工的风险管理理念都存在非科学性。COSO报告曾明确指出,企业里的每个人对企业风险管理都有责任。但是,我国多数跨国公司的管理者的风险管理理念落后,导致其行为常常凌驾于风险管理规则之上,甚至有一些管理者还存在道德风险问题。这些跨国公司的员工工作时只凭领导意识办事,对风险管理的准则和制度也是一种选择性遵守。另一方面,我国跨国公司整体缺乏统一的风险管理价值观。近年来我国跨国公司的风险管理意识得到了一定的增强,但仍缺乏将风险管理意识上升为统一的风险管理价值观。这集中体现在,我国跨国公司母、子公司风险管理价值观的不统一。母公司的管理人员往往认为整个跨国公司的风险管理就是各个子公司各项制度、规章的统一和各方面资料、数据的汇总,忽视了研究子公司的业务营运风险及其与跨国公司整体风险的相关性;同时,子公司的管理人员也仅仅认为只要遵照母公司的规章制度即可,忽视了应与母公司形成互动式的风险管理。这种不统一的、非互动式的风险管理导致跨国公司整体风险管理能力长期低于应有的水平。这反过来又会加深子公司对母公司风险管理能力的怀疑,从而形成恶性循环。
(二)从公司治理结构角度来看:我国跨国公司的治理结构不规范。
企业风险管理的建设及有效运行,有赖于企业良好的公司治理结构。然而,我国跨国公司虽然形式上也建立了法人治理结构,具有了现代企业的形式,但远未达到内部权力相互制衡的效果,这是导致企业“一把手”的行为凌驾于风险管理制度之上的根本原因。问题最为突出的方面表现在:股东大会流于形式、董事会作用严重弱化、监事会的权力虚置。
首先,我国大多数跨国公司在历史发展过程中最大的一个特点,就是其大多由国有企业股份化、集团化改造而成,政府在公司形成过程中扮演了很重要的角色,股权过于集中,国有股“一股独大”,使股东大会流于形式。这使得我国跨国公司占比重最大的国有跨国公司风险管理设计与实施的依据不明,不能充分代表全部产权人的利益,造成终极所有国际经济合作2009年第8期者缺位,“内部人控制”现象严重。其次,我国国有跨国公司股东会(国资委)和董事会的公司法地位很高,但实际上高级管理人员的推荐、任免权,均由上级组织人事部门代为行使,这使董事会对经理人员的监管作用难以发挥。股东会和董事会在公司治理结构上被悬空,在地位上被下置,充其量只有具体经营事项的部分决策价值和应付外部监管的形式价值。这使得公司管理当局长期处于一些政府官员的直接干预之下,董事会不可能对政府的不当干预进行法律上的阻隔。因此,外部行政风险在这种董事会的构架下无法防范,从风险成因上来讲,这种权力缺陷是我国国有跨国公司各类风险事件发生的主要诱因。再次,我国跨国公司监事会的作用被严重弱化。2006年版《公司法》规定:董事会对股东会负责,但《公司法》却只规定了监事会的职权规定,却并没有明确它到底对谁负责,监事会地位尚不明确。在实践中,由于监事对董事会的依附性较强和缺乏监督手段,其主要职责限于事后的检查,基本不具备实时监控的职能,“监事会不监事”的现象比比皆是。
(三)从内部监督角度来看:我国跨国公司的内部审计不到位。
风险管理过程必须被施以恰当的监督。通常,企业的专项监督职能由内部审计来完成,内部审计是风险管理内部监督的主要内容,其作用发挥的好坏直接影响到风险管理的效果。而我国跨国公司的内部审计大多是应国家审计的需要而建立起来的,国家对公司内部审计机构实行双重领导体制,在行政上由企业主要负责人直接领导,在业务上接受国家审计机关的指导。由于这种审计制度的建立带有明显的外部政府压力的倾向,会导致以下问题:监事会内部审计模式的低效,内部审计局限于财务职能,内审人员缺乏风险管理的专业知识。
首先,我国跨国公司一般采取的是以监事会为中心的内部审计模式,而监事会往往只有监督权和建议权,对董事和经理并没有直接的制裁权,一般要通过股东大会才能执行,从而在客观上削弱了监督效率。有实证研究表明,监事会领导的内部审计模式的公司规模最大,但公司业绩最差。其次,我国跨国公司的内部审计仅是作为一个财务领域的职能部门,重点集中在检查会计报表等财务数据的真实性上面,很少触及经营管理的其他领域,没有发挥出世界500强公司的风险导向型内部审计对风险管理做出整体的分析、评价以及建议。据调查,现阶段我国企业有18.29%的被调查单位的内部审计机构在风险管理中不发挥任何作用;再次,世界500强公司实施的风险导向型内部审计,对具体实施人员有着很高的要求,要求他们精通于常规的审计程序的基础上,还应该具备风险管理的专业知识和经验。当前,我国跨国公司的内部审计人员大都是财会人员出身,其中少有接受过风险导向型内部审计的专业训练,缺乏相关的知识与经验,因此难以充分发挥内部审计在风险管理中的重要作用。
(四)从管理方法角度来看:我国跨国公司风险管理方法较为落后。
据ERM所述,企业风险管理各环节都需要一定的方法来支持。首先,跨国公司是一个多分支的组织系统,母公司与子公司之间的信息常常是不对称的,这可能会产生子公司提供不完全信息、虚假信息和延缓信息的提供等行为,而信息的真实性、及时性直接影响到风险管理的准确性和及时性。由于我国多数跨国公司内部在风险管理信息系统建设方面的滞后,导致其母公司与子公司之间不能形成有效的风险管理信息共享与互换,甚至有的子公司的下属部门即便发现了风险也没有相应的渠道向母公司汇报。其次,与发达国家跨国公司大量运用数理统计模型等先进计量方法进行风险管理相比,由于风险管理信息上的不完全等各种现实原因,我国多数跨国公司还仍是采用定性分析等较为落后的方法进行风险管理。这直接导致我国跨国公司不能准确地预测风险、识别风险和评估风险,进而影响我国跨国公司风险管理目标的顺利实现。
四、中国跨国公司风险管理内部问题的对策
(一)培育风险管理的企业文化环境。
从本质上讲,企业风险管理是培育在一种文化背景下具有统一认知和行为的模式。因此,我国跨国公司应将风险管理作为企业文化的重要内容并贯穿企业文化建设始终,以培养和加强管理层及普通员工科学的、统一的风险管理价值观,并自觉地落实风险管理的各种准则和制度到日常各项工作中;要通过企业风险管理文化的培育,将风险管理自然渗透到母公司和子公司以及跨国公司的各个业务单元、各个岗位和各个工作环节,使每个岗位和每个人在开展每项业务时都要考量上、下游风险及其相关性因素,以形成防范风险的互动式风险管理。在营造企业风险管理文化环境方面,我国跨国公司可以依靠书面形式的行为准则和规章制度来规范员工的行为,可以举办针对全体员工的风险管理培训,还可以在企业内部组织包括普通员工在内的风险管理工作内部评价,形成一个开放的风险管理文化环境,以发现更多的隐患。
(二)改进公司治理结构。
有研究表明,只有建立以科学的现代治理结构为基础的权力产生和运行机制,才可以理顺企业内部的各种权力结构,提升企业的风险管理能力。首先,在股东大会建设方面,要使股东大会真正成为代表全体股东利益的机构就要完善征集股票表决权办法和分类表决制,并通过一定切实可行的措施保障中小股东在股东大会上行使权力。其次,在董事会建设方面,一是完善独立董事制度,发挥其在决策中监督,在管理中监督的作用,并使独立董事的收入不与所任职的企业直接相关,防止独立董事作用异化,最终达到防止大股东操纵董事会。二是在董事会内部设立专门委员会——风险管理委员会,使董事会通过风险管理委员会的指导与推动作用,来实现企业的风险管理战略。三是针对我国国有跨国公司股东会和董事会在公司治理结构上被悬空的问题,在现有组织人事管理体制不发生重大变化的前提下,国有跨国公司应在治理结构上要利用权力整合与制衡原则,将政府组织人事部门和国资委“设定”为两家不同的“股东”。组织人事部门以人事权力为基础享有“股东会”的部分权利,包括董事长(兼党委书记)和董事会高管资格审查委员会主任(兼主管组织工作的副书记)的两名董事高管间接任命权(依公司法应通过国资委履行董事任命,因为国资委是法律上的唯一股东):国资委以资产管理权为基础,经组织人事部门的授权,享有部分人事任免权利,包括任命董事总经理和董事常务副总经理。这样就可以在董事会层面产生了权力的制衡效果,同时没有回避实际治理过程中的干部管理权问题。最后,在监事会建设方面,必须保证监事会责权利的完整性,应从相关法规和制度上规定监事会履行职责的人员编制、资金来源,确保监事会责权利的落实。同时,强化监事会权力和责任,并通过相关的实施细则或条例、办法对监事会的职责予以细化,明确监事会失察的法律责任,使风险控制真正落到实处。如果能建立起监事会领导下的风险管理制度,通过事前介入、事中参与和事后监督也能在很大程度上降低企业风险。
(三)强化内部审计。
鉴于我国跨国公司还处于建立风险管理流程的阶段,其内部监督的主要内容——内部审计并没能在风险管理中真正发挥出作用。因此,现阶段我国跨国公司的内部审计在企业风险管理中应定位于建议者、协调者和监督者的角色,主要通过管理咨询和建议、管理协调和管理监督途径来参与风险管理。首先,对于内部审计模式,由于监事会的非有效监督,以监事会主导的内部审计有职能缺陷。审计模式可以调整监事会领导内部审计为以董事会领导内部审计。实践证明,董事会领导内部审计,在发现问题及时性、信息传递速度方面的效率较高,对提高风险管理决策科学性和风险管理效率非常重要;其次,对于内部审计职能,由于我国会计标准的变化,现代企业的财务资料操作会越来越规范,企业所有者真正关心的是如何实现企业价值最大化,如何有效防范风险。这就要求内部审计工作重点必须从传统财务领域的“查错防弊”扩展到企业内部的管理、决策及效益服务等企业经济管理和业务活动的各个层面、各个方面,内部审计的职能也应从审查的监督向评价、咨询、建议和协调等方面拓展;最后,对于内审人员的素质,内审部门要努力按照国际内部注册审计师协会审计准则的要求建立内部审计质量控制制度,强化审计的风险管理意识,提高内审人员的业务素质。其途径的选择,包括多专业地选拔内审人员,优化内审人员的知识结构,注重对其综合能力(审计、风险管理等)的培养和考核,加强对内审人员的后续教育和岗位培训,必要时可成立有关业务方面的专家小组,参与内审工作等等。
