前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇内部控制与企业风险管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
要对风险进行有效的管理,必须基于企业目标,对风险进行分析和评估,进而采取积极、全面的内部控制措施。
一、风险的评估:风险管理的起点
1、风险类别。风险往往被多数人作为经营中的一项负面因素,是应当回避或消除的危险事项,这是有失偏颇的,是混淆了风险和危险的概念。风险中不仅有危险,也孕含着机会。风险是随着企业经营倾向、经营方式、管理内容等的变化而在可能的损失或收益区间浮动的函数。见下图:
在这里我们是按效用对风险进行了分类。风险是长期存在的,不总是能够消除的,风险必须与机会进行权衡。所谓纯风险,是指只会产生恶性结果而不会产生收益的风险,如经营管理人员违规侵占公司财产、恶意歪曲财务信息等,是“坏的风险”;战术性风险是指企业为达到经营目标,对经营和财务杠杆程度、技术选择等进行的权衡,是“不确定的风险”;战略性风险则是由于政策、环境及产生趋势发生重大变化或革新,在经营中面临的重大机会选择。
显然,上述三种风险最终产生收益或损失的效用是不同的,在评估时应予区分。
国际内审协会从经营实务角度,列出了企业经营中的9个重要的风险点,分别是:管理层能力、管理层道德观、系统性变化、组织规模、资产流动性、变革、复杂程度、快速增长、制度健全性。这些风险点较好地概括了企业在不同层面的关键性挑战。
在不同企业战略目标之下,上述各项风险因素的重要程度可通过下表的星号简单反映:
注:*表示重要,**表示非常重要
管理层道德观、制度健全性属纯风险因素,与企业发展目标无关。其他几项战术性或战略性等变动风险因素则与经营取向密切相关。总体来讲,变动风险程度是与企业发展的速度、规模及变革激烈程度呈正相关的。同时,收益的预期也是与风险程度正相关的。评估风险,必然要求将企业各层面的风险因素归类,纳入整体的风险管理框架之内,然后对照企业的经营目标,逐项进行风险识别。
2、对风险的评估。在完成风险归类后,应依次进行下列风险评估:
(1)企业是否建立了明确并上下一致的发展目标。如果企业或组织尚未建立明确的目标,或虽然有目标但是未能自上而下地贯彻,内部愿景不一致,这本身就是企业面临的最大的风险。这意味着企业内部必然缺乏有效的风险管理系统。
(2)风险环境。对于纯风险层面,主要是指外部监管环境、法律政策环境、公司监察审计工作力度等。在通常情况下,外部监管环境越严格,相关政策要求越清晰,内部纯风险程度越低。但是在目前情况下也出现了许多反例。以财务管理规定为例,相关规定对各行业的成本、费用明细项目作了细致的规定,如某项成本的控制比例、某项费用的计提限制等等。这些规定虽然明确,也是监管的重点,在执行中绝大多数企业也看似遵从了这些要求,但是实际上却形成了较大的财务风险,即真实性风险。当实际业务经营中的需求无法在真实性财务环境下满足苛刻的政策要求时,必然会产生“合规”的虚假信息。目前监管层已经注意到这一现象,如最新出台的《金融企业财务规则》就对监管的范围和重点作了很大的调整,重新对监管者和市场化环境下的经营者重新定位,这对于企业降低财务风险是积极的。
战术性风险面临的外部风险非常广泛,以财务类风险为例,在以快速扩张为目标的企业中,筹资活动及筹资风险是战术性风险的重要内容,此时资本市场的资金成本、国家的货币政策、政府对行业发展的态度、以及资本市场的发展水平等等,都是影响战术决策的重要外部条件。而战略性风险,由于其本身就是依存重大外因在产生的机会,因而与重大政策性推动和支持、重大科技进步和新的巨大的市场需求的出现相关联。在对风险与机会的评估时,必然要全面考虑上述因素。
3、风险评估。从管理的每一层组织开始,结合外部环境风险因素,自下而上地进行。以前述9类风险点为基础,逐层细化,逐项分析每个风险环节。
对每个风险环节的分析,都应当以公司及本部门的关键目标为导向,开展主动的、定向性的思考,并且在必要时对风险程度进行量化描述。
(1)在进行风险评估时应当回答的问题。需要分析的核心问题是:存在哪些可能会妨碍本部门实现其关键业务目标的障碍因素(直接障碍)?要克服这些障碍,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢(间接障碍)?这些风险中,哪一个最可能发生(最大风险概率因子)?哪些风险将对本部门实现其预定目标的能力产生最重大的影响(最大风险程度因子)?有什么有效的控制机制可以减少这些风险及其影响(内部控制措施)?
(2)风险的量化描述。风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。通过量化描述,对每个风险在既往的发生概率及其影响进行精确描述,了解风险概率和程度,作为下一步内部控制措施的依据。
例如,会计部门在对某个项目的检查中出现的会计风险(风险a、b、c、d)进行如下描述:
其中重要性项目:1为稍有影响,2为比较重要,3为非常严重;频率项目:1为偶然存在(0.5%以下),极少发生(0.5-1%);较少发生(1%-5%以下);经常发生(5%-30%);总是发生(30%-100%)
分析结果是,对abcd四个项目,会计部门存在较高的风险,特别是a、b两个非常重要的项目差错率较高,而重要性程度较高的d项目差错率极高,显示该部门某一类业务的管理和控制中存在较大的风险隐患。
二、内部控制:风险管理的支点
即便我们对风险作出详尽而确切的评估,如果没有严密的内部控制及其有效执行,就无法对风险进行持续有效地管理。
风险评估是风险管理的起点,而内控制度的建立和执行是风险管理的支点。我认为,内部控制是管理者为有效减少和控制内外部各类风险及影响,确保企业决策和运作的科学合理,确保企业安全,达到企业预期目标而采取的计划、监督和行动。
根据美国“反虚假财务报告委员会”下设的专门从事内部控制研究的“发起组织委员会”(即COSO)的一体化控制理论,内部控制包括五大部分内容:控制环境、风险评估、控制行动、信息与交流和监督评审。笔者认为,控制环境本身是风险评估的重要内容,除风险评估这一风险控制的起点之外,内部控制工作的核心是三个方面,即内部控制制度、控制行为、和对内部控制的监督管理。
1、内部控制制度。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据。
(1)内部控制制度的制定者。内部控制制度不应是由某一个专门的内控或风险管理部门制定的,也不应是自上而下制定的,相反,它应当是以企业目标为导向,由具体的业务操作部门、管理部门在风险识别和评估的基础上,由下而上制定形成的。内控制度的制定者应当是风险的识别评估者、内控制度的执行者和风险责任的主要承担者。
(2)内部控制制度的分类。根据风险的分类,内部控制制度也应该分为针对纯风险的合法合规安全性内部控制制度、针对战术或战略性风险的经营决策内部控制制度。
安全性内部控制制度主要包括财务安全性内部控制制度、信息安全性内部控制制度等。这里主要探讨财务安全性内部控制制度。其内容主要包括:审批和资格审查制度、授权制度、对帐及检查制度、资产安全规定、岗位分离和制约制度等等。
经营决策内部控制制度的主要目的是确保企业各类决策的有效性和科学性。当前企业的规模越来越大,内部分工十分细致,部门职能划分也很明确,这种情况下,如果没有系统的决策内部控制制度,很容易陷入各自为政、各自从自己利益出发的“盲人摸象”似的决策风险中。事实上,这种情况目前十分普遍,尤其是在战术层面的大量日常决策中。
比如,营销部门策划了一个促销活动,并作了详细预算。由于该活动未纳入年初的预算,且金额较大,所以提交公司预算委员会审批。这时,对于预算监控部门来讲,是否审批这笔预算的关键,往往是公司整体预算能否得以控制,如果答案是肯定的,那么这笔预算很可能被通过。而对于营销部门来说,这次活动很可能只是一次积极的尝试而已。而对于更为重要的因素,即这次促销活动能够为企业达成其经营目标产生多少贡献,则未必被各方给予充分的重视。
如果常规性决策行为经常脱离企业的总体目标,则说明经营决策内部控制制度失效。因此,必须建立以总体目标为指导的决策控制制度。这一制度的核心,是对经营目标直接负有责任的部门对直接影响经营目标的事项负责。
在上例中,如果对经营效益直接负有责任的事业部参与决策的制定,或负责预算控制的部门承担利润监控中心的职责,控制的有效性将会大大加强。这就是为什么高效的大型企业都倾向于采取划分事业部模式或利润中心模式管理的原因。如下图,对企业核心目标直接负责的部门A或B,应当参与对其收入或成本可能产生较大影响的决策过程。
内部控制制度的范围不仅是维持组织的正常运行,也涵盖了组织设计本身。一般来讲,对于重大战略性风险的决策,企业往往都会充分重视,但对于大量常规决策,却往往忽略了制度建设的重要性,而这恰是企业高效运行的关键。
2、控制行为。内部控制决不仅仅是企业中某个部门的责任,它应当贯穿到企业每个部门和员工的日常行为中。控制行为应当基于完善的控制制度,并且由各部门、各员工共同执行。就是说,控制行为应当是以“共同控制”为其核心的。
有力的控制行为来源于风险意识的建立。应当把对风险的敏感和不断认识发展成企业文化的一部分。在员工中提倡风险意识,把简单告诉员工应该怎样做和不应该怎样做,转变为对员工的风险教育,使员工对各个业务环节形成自然的风险评估习惯,这是避免机械性错误和管理低级失效的重要方式。
控制行为的几项要点:①员工应当很清楚地说明企业的目标、部门的目标是什么,必须对其岗位所负担的工作中的主要风险有清析的了解;②除了风险培训之外,企业必须给员工设立一个及时而畅通的反映其遇到新的风险进而及时处理的渠道,并有一个互相沟通的平台。③员工在职责范围内减少风险的表现应当作为年度工作业绩考核中的一个重要指标。④各部门都专设风险检查人员,即新的风险的发现人员,彻底调查每一项不正常的事项,并进行深入沟通和研究。
“细节决定成败”。控制行为关注的是每一个细节。科学的风险评估和合理的内控制度,都需要风险意识强、高度负责的员工的逐项实施,也需要管理者不断的予以关注。但这也还是不够的。真正完善的内控系统应当是确保企业随时处理出现的不利情况、随时依照正确的程序作出相对合理的决策,从而提高企业效率,增强企业对外部的反应能力和生存能力。对于内部控制而言,由于每一个控制主体具有特定的立场和视角,因此它很难作到自我完善、自我监控,还需要一个独立的监控系统。
3、对内部控制的监督管理。要确保内控的长期有效性,除了制定完善的内控制度外,必须建立强大而独立的内控监督机制。这项任务通常是由公司内部审计部门承担的。对内控的监管,主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查,了解掌握企业内部控制的各主体是否出现缺位,内部控制流程是否得到有效的执行,内部控制流程是否能够很好地适应外部环境的发展变化,其效率能否得到提高,内控环境的变化情况和企业的风险管理状况等,提出完善内部控制的建议措施,并监督这些措施的落实和贯彻。
正如Minhael Hammer所说,内审机构应当将自己看成是公司的一项资源。在帮助管理当局达到预期控制目标的过程中发挥作用。内部审计师的使命将从简单的“我们实施审计”向“我们创建一些程序,以期达到组织成功所需要的内部控制水平。”
很显然,对内部控制的监督管理是一项重要而且繁重的工作。涉及面广,而且非常重要,但内部审计部门一方面力量不足,另一方面往往缺乏独立性,难以独立承担内控监管的完整责任。因此,目前国内已有许多企业建立了风险管理委员会,综合协调各方力量加强内控制度的建设和监督,进而加强企业的风险管理工作。
三、建立系统化的风险管理和内部控制体制
【关键词】企业 内部控制 风险管理 问题 反思
企业风险的管理是在企业目标的基础上,实施的分析风险和测评风险,再通过积极有效的措施进行内部控制。内部控制机制的主要作用就是在内部控制主体所设立的行为规范上,进行内部控制主体行为的调整,能够使企业顺利进行各项经济活动,使企业内部在经济交易中产生的不同行为得到限制和激励,从而使交易的成本大大节省。由此可见,企业加强风险管理和内部控制对促进企业的发展具有重要的意义。
一、企业风险管理和内部控制中存在的问题
(一)风险管理意识淡薄,不能很好地预测风险
企业目前所面临的风险主要包括市场风险、运营风险、法律法规风险等。运营风险在所有的风险中是最重要的一个。企业要建立一个能够辨别风险和控制管理风险机制,且高风险的范围要明确,从而加强管理。可这种机制正是我国企业所缺少的,管理风险的意识相当淡薄,没有辨认风险、评估风险的相应机制。
(二)风险的有效防范措施力度不够
风险和收益在有效资本市场的条件中是成正比关系的,风险低则收益低,风险高则回报必丰厚。可从内部控制的层面来讲,企业在辨认和分析过风险之后,理应通过一些积极又有创新意义的管理风险的措施,使企业能够接受这样的风险。不少企业为了获得更高的经济效益,冒着风险进行违法运营,让股东承担负债风险和公司破产的风险,造成了风险资产的不断增加,也加大了经营的风险和财务的风险,结果损害了公司和股东的利益。
(三)内部控制的制度没有执行力,缺少机制的评价
我国有不少企业把内部控制的制度都贴在墙上或写于纸上,没有切实的执行力,也很少有企业进行评价其内部控制的制度,大多数都是走于形式。此外,长时间以来,企业管理者考核的根据主要是以利润为主,其方式也非常单一,鲜有内部控制的综合评价。
二、加强企业风险管理和内部控制的对策
(一)健全内部控制组织机构,注重内部审计工作
为了提高内部控制制度的执行力,就要不断完善内部控制制度的组织结构,把内部审计机构的工作提升。内部审计机构的地位,企业要有明确的说明,赋予审计机构部门一定的权威性和独立性,使企业的审计部门成为企业内部控制制度执行的主要监督机构,且赋予各监督部门进行考核评价其控制制度的执行效果,这样,才能切实有效地执行企业内部的控制制度。
(二)强化内部控制执行部门的防范风险意识
在加强内部审计监管的同时,也要提高每个执行部门自身的防范风险的意识,执行部门必须根据规定的具体制度进行执行,避免出现由于执行力度不够、把关不紧而导致的经办部门和个人为一己之利而给企业带来整体利益谋私的行为风险。尤其是在信息化的今天,企业的外部环境更是千变万化,企业如果对内部网络数据的风险控制不予以重视,那么就有可能导致企业内部人员出现道德风险或者是系统性的风险,从而造成泄露商业数据的风险。所以,执行内部控制的工作人员一定要把泄露商业信息的风险意识加强,以此杜绝为企业带来巨大的损失。
(三)风险评估要做好,内部控制制度要健全
企业有效进行内部控制的基础的根据就是企业风险的评估。企业要按照实际工作情况,根据内部控制制度的标准依法建立与企业实际情况相符且有较强操作性的科学合理的制度,要做好风险的评估以及内部控制制度的完善就要从制定制度、执行制度、评估制度和改善制度等方面入手。如果企业的风险评估能够做好,再依照实际情况进行设立内部控制制度和有关程序,这样在很大程度上能使人为带来的风险和制度上风险等得到有效防范。
(四)企业各部门间的执行要相互配合,取得内部控制制度的高效执行
各个部门的工作程序对企业来说都非常重要,尤其是作为内部控制制度的每个执行部门和个人,要把整体利益作为出发点,内部控制决不能把部门利益和个人利益当作自己工作的出发点,每个执行部门之间的信息要及时沟通,信息要及时共享,这样更有利于工作的相互配合,能够快速发现存在的问题,一起分析解决,以避免管理不足,从而使企业整体效益得到提升,企业内部控制的程序也能很好的协作,更加高效地使企业内部的控制制度得以执行,把内部控制制度的意义发挥至极致。
(五)设立内部控制执行的考核与监督激励的机制
在建立健全了内部的控制制度之后,最重要的问题还是各部门的执行和个人的执行,所以,企业在根据国家法律和企业有关规定的制度运营的同时,也要设立对应的考核机制以及激励机制,直接影响到执行人员的工作业绩,从而使风险防范意识能力得以提高。内部控制制度能够安全可靠地运行,其可靠的考核机制和工作激励是重要的保障。
(六)通过市场杠杆的途径来使企业风险管理水平提高
在企业进行风险管理时,要把市场杠杆所带来的积极作用发挥至极致,对于企业风险的控制、转移均可以通过期货、保险等一些金融手段来实现,但要注意的是操作必须安全规范,同时,还要及时建立健全各种措施策略,以此使风险的发生比率大大降低。比如,为了对付多种不同的且无法事先预测的自然灾难,就可以采用购买商业保险的方法进行应对,在风险管理中,其作用是十分明显的。
【关键词】信息系统;内部审计;风险管理
当前,SAP系统在油田全面实施。审计活动要在以前单纯面向财务与会计部门之外更多地发挥作用,必然要求审计人员要将复杂的财务数据与具体的业务相联系,与生产、营销、采购、信息技术和经营等部门相联系,运用系统化、规范化的方法,找到生产经营过程中的薄弱点,最终为企业增加价值并提高企业的运做效率,实现企业的生产经营目标。如何适应审计对象信息化所发生的变化,内部审计如何参与风险管理,本文将对此问题进行探讨。
一、风险管理
风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法;(4)风险管理是一种特殊的管理功能。
二、ERP环境下内部审计参与风险管理的动因
ERP环境下内部审计之所以涉足风险管理领域,主要有以下几个原因:
1、对审计质量产生了重大影响
ERP环境下审计面临的固有风险、控制风险和检查风险均发生了显著变化,审计风险中检查风险发生的变化对审计工作影响最为深刻。表现为:①对SAP系统缺乏足够理解。当信息系统成为审计对象的一部分时,为了评估风险,内审人员必须对信息系统有足够的理解,但是,对大多数内审人员而言是一件困难的事情。另外审计人员在理解信息系统时需要一定的时间、文档资料、外部技术咨询、人力资源等,但在审计过程中,这些资源往往很难获得。②技术不成熟。内审人员采用计算机技术辅助审计以降低审计风险,但其本身就引入了风险,尤其是没有经过严格测试的技术。例如,审计人员自己编写的程序,往往没有经过认真的测试就投入使用。很多应用的审计软件也存在缺陷。例如,在导入数据时丢失记录,数据处理结果错误。③对技术的依赖性。由于信息技术的使用确实能够有效地提高审计质量和效率,审计人员很容易对技术产生过分的依赖。例如,期望通过电子数据分析来发现所有审计线索,忽略其他审计方法,如调查询问、实物盘点、函证、现场观察等。过分依赖信息技术可能导致检查效率减低,取证范围变得狭窄,以至于审计证据的充分性得不到保证。
2、内部审计自身发展的要求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。面对SAP系统的全面应用,内部审计参与风险管理,正是审计对象信息化的迫切要求及深化审计工作的必然选择。
三、ERP环境下内部审计如何参与风险管理
(一)强化内部审计部门自身管理
1、在评价ERP环境下企业风险的基础上合理安排审计资源。内部审计部门积极开展以风险评估为基础的审计,根据企业不同业务、以及风险大小分配审计资源,例如可以建立ERP环境下业务类型网络,在该网络中,可以集定业务方面的有专长的审计人员,以更好地理解各种风险,审计工作结束后,仍然存在资源配置问题。内部审计并不仅仅只做合规性审计,如果在审计报告递交后没有人执行,内部审计没有促进任何变化的发生,那么内部审计就没有起到其应有的作用。由于内部审计的一个重要作用是促进变化,既要告诉被审计单位问题出在哪,以及这些问题可能给企业带来的影响,还要提出解决问题的建议,并为了确保问题得到正确、及时解决,还要在审计结束后进行合理的资源配置,派出合适人选对该审计项目进行跟踪,并对高风险的领域提供持续的有价值的建议和监督。对审计项目的后续跟踪,并不意味着内部审计有失独立和客观。相反,如果内部审计部门能够监控被审计的全过程,并可能在跟踪的过程中发现新的问题,以便使审计部门进一步研究问题的所在。
2、不断更新内部审计的方法。实施ERP后,企业安全将面临更大的挑战,内部审计部门除了运用传统审计方法外,还应借助信息技术开展信息系统审计。主要内容是:一是对整体计算机控制环境审计。主要包括:检测网络与系统的安全性、检测是否有入侵行为、评估系统风险控制点,对系统设备、操作系统、无线网络、防火墙等方面的审计。二是对应用系统控制审计。包括:数据源和验证控制,输入环节控制,处理环节控制,输出环节控制,边界控制等。三是应用中石化开发的SAP审计查证系统进行计算机辅助审计。
3、培训专门的信息系统审计人员。内审人员的职业技能及职业判断能力将直接影响审计风险的评估和控制,并决定审计质量。无论从内审人员个人的职业发展,还是专业胜任角度考虑,都必须定期的、有计划的对审计人员开展培训,审计人员也应自觉不断的更新知识和技能,保持自己的专业竞争力。在信息系统环境下,除了一般审计人员要掌握一定的计算机知识之外,还应有一批专门的计算机信息系统审计人员。审计与计算机毕竟是两个不同的专业,要求每一名审计人员了解计算机信息系统的每一个细节是不现实的,也不符合社会分工的发展趋势,油田内部审计机构也应随着对计算机信息系统审计工作的不断深入,逐步建立起专门的信息系统审计部门,信息系统审计人员的加入,将使审计队伍的构成更加丰富,也将大大提高我们的审计质量和整体审计能力。
(二)内部审计实施风险管理的原则与步骤
ERP环境下内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:1、评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业在实施ERP后正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。2、评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。3、评估风险防范措施的充分性,并提出改进措施。风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,以强化企业的风险管理,降低风险损失。
四、ERP环境下参与风险管理要注意的几个问题
1、充分认识到,当前条件下ERP系统建设中还存在着比较突出的风险控制问题。目前,油田企业对信息系统的掌握和认识还不那么全面,加上对信息系统下的风险控制的作用还认识不够。许多企业引进ERP系统的目的就是提高业务运做效率和管理控制。由此带来两方面的问题:①传统的管理控制在信息系统环境下没有被合理更新。②信息系统下典型的技术控制还没有具体的实施程序。如安全程序变更、灾难防御等。
2、对内审人员应用计算机技术参与风险管理,要加强控制
摘要:外贸企业风险包括战略层面风险、经营环节风险和财务风险。外贸企业内部控制是企业风险管理的核心机制,其目标在于合理保证外贸企业财务报告等经济信息的真实、完整,合理保证外贸企业战略和经营活动的效率、效果,合理保证外贸企业财务收支活动的合法、合规,合理保证外贸企业各项资产的安全以及促进外贸企业实现其发展战略。外贸企业内部控制的核心要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。基于内部控制有效性视角,外贸企业风险的控制对策包括优化内部环境、加强风险评估、健全控制活动、强化信息与沟通和完善内部监督。
关键词:外贸企业风险 内部控制 风险管理 控制对策
一、外贸企业核心业务和关键风险
外贸企业是指专门从事对外贸易(进出口)的企业,在国家规定的注册地,这些企业对产品和服务有合法的进出口经营权。它的业务往来重点在国外,通过市场调研,把国外商品进口到国内来销售,或者收购国内商品销售到国外,从中赚取差价。外贸企业的核心业务主要由出口和进口两部分组成,简称进出口业务。笔者认为,外贸企业风险是指外贸企业作为一个社会经济主体,在存续期间内受所面临的政治、经济、社会和技术等环境因素的影响,其真实业绩与企业目标发生偏离的可能性。关于外贸企业风险,现有文献的梳理如表1所示。
由此可见,外贸企业面临的风险主要包括两大类,一是经营风险,二是财务风险。
(一)经营风险。经营风险是指外贸企业经营目标无法实现的可能性。经营风险的极端形式是经营失败。从广义上分析,外贸企业经营风险包括:(1)战略层面风险。是指外贸企业在战略制定和实施过程中,其战略目标无法实现的可能性,包括政治风险、贸易壁垒风险、政策风险、投资风险和自然灾害风险等。(2)经营环节风险。即狭义上的经营风险,它是指外贸企业经营环节目标无法实现的可能性,包括信用风险、结算风险、汇率风险、利率风险、法律风险和道德风险等。
(二)财务风险。董峰(1996)认为,外贸企业财务风险按其财务活动的基本内容来划分,可分为筹资风险、汇率风险、投资风险、资金回收风险与收益分配风险。朱威(2005)认为,我国外贸企业财务风险主要包括筹资决策风险、投资决策风险、股利决策风险、外汇风险(交易风险、折算风险、经济风险)、衍生金融工具风险、企业重组风险等。吴晓庆(2010)认为,外贸业务财务风险主要包括信用风险、外汇风险、结算风险、现金流风险、反倾销风险。葛维璐(2012)认为,外贸企业面临的财务风险主要有信用风险、汇率风险、流动性风险、非关税壁垒风险。张小宇、王庆敏(2016)认为,中小外贸企业财务风险包括信用风险、融资风险、流动资金不足风险、汇率风险等。笔者认为,从狭义上理解,外贸企业财务风险是指外贸企业由于负债融资而形成的风险,或称资不抵债风险。而从广义理解,外贸企业财务风险是指外贸企业财务管理目标无法实现的可能性,它包括资不抵债风险、坏账风险、流动性风险和现金流风险等。 除此之外,外贸企业风险还可以区分为系统风险(市场风险)和非系统风险(企业特有风险)。外贸企业风险的存在往往会给外贸企业各项目标的实现带来很大的不确定性。因此,如何基于内部控制有效性视角,加强外贸企业风险管理的理论与实务研究非常重要。
二、外贸企业内部控制的目标和要素
(一)外贸企业内部控制的涵义和目标。关于内部控制理念的演变,经历了内部牵制(20世纪40年代以前)、内部控制制度(20世纪40―70年代)、内部控制结构(1988―1991年)、内部控制――整体框架(1992年至今)等阶段(宋夏云,2003)。1992年,美国反欺诈财务报告全国委员会下属发起机构委员会(COSO)了“内部控制――整体框架”,并指出:企业内部控制是指由企业董事会、管理层和其他员工实施的,旨在为达成以下目标而提供合理保证的过程:(1)财务报告的可靠(可靠性);(2)经营的效率、效果(效率效果性);(3)法律和法规的遵循(合规性)。我国《企业内部控制基本规范》(2008)指出,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现以下目标的过程:(1)企I经营管理的合法合规;(2)资产的安全;(3)财务报告及相关信息的真实完整;(4)提高经营效率、效果;(5)促进企业实现发展战略。
外贸企业内部控制目标是指外贸企业内部控制机制运行的预期效果或理想状态,是构建外贸企业内部控制框架的逻辑起点。笔者认为,外贸企业内部控制可以定义为受外贸企业治理层、管理层和其他员工的影响,旨在实现以下目标而提供合理保证的一种过程:(1)外贸企业财务报告等经济信息的真实、完整;(2)外贸企业战略和经营活动的效率、效果;(3)外贸企业财务收支活动的合法、合规;(4)外贸企业各项资产的安全;(5)促进外贸企业实现其发展战略。它们相互联系、相互影响,共同构成一个完整的外贸企业内部控制的目标体系。
(二)外贸企业内部控制的要素。COSO(1992 & 2013)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通,以及监控。我国《企业内部控制基本规范》(2008)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。以下笔者分别对其进行讨论。
1.内部环境。内部环境设定了外贸企业实施内部控制的基调,直接影响到企业治理层、管理层和其他员工对外贸企业内部控制的功能定位。良好的内部环境是内部控制机制有效运行的基础。外贸企业内部环境包括治理结构与权责分配、管理层的理念和经营风格、治理层对内部控制的重视程度、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调以及企业人力资源政策与实务等。
2.风险评估。风险评估是指外贸企业选用定量和定性指标,在风险预警模型构建和优化基础上,对外贸企业所面临的战略层面风险、经营环节风险和财务风险进行有效识别和科学评估,并及时外贸企业风险的预警信息。即风险评估过程的作用是识别、评估和管理影响外贸企业经营目标实现的各种不确定因素。
3.控制活动。控制活动是指外贸企业根据风险评估结果,采取有针对性和灵活性的措施和方法,努力将外贸企业风险降低至可接受的范围之内。控制活动有助于合理保证外贸企业治理层和管理层提出的风险管控指令得到充分执行,其内容包括授权、职责分离、业绩评价、信息处理和实物控制等。
4.信息与沟通。信息与沟通是外贸企业及时、准确地收集、整理、加工、汇总和传递与企业内部控制及风险管理有关的信息,确保各种控制指令在企业内外部之间进行有效传播和沟通。其中与外贸企业财务报告等信息可靠、相关的信息系统通常包括以下职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易;(3)恰当地计量交易;(4)正确确定交易生成的会计期间;(5)在财务报表中恰当地列报交易的结果等。
5.内部监督。内部监督是对外贸企业内部控制制度的建立与实施情况实施监督检查,评价内部控制机制运行的有效性。外贸企业可以授权内部审计机构等职能部门对内部控制的设计和执行进行专门的评价,找出内部控制机制运行的优势和缺陷,并提出补救建议。
三、基于内部控制有效性视角的外贸企业风险的控制对策
(一)优化内部环境。外贸企业内部环境直接影响到内部控制机制运行的有效性以及企业战略目标、经营环节目标和财务管理目标的实现程度。外贸企业风险管理的核心环节包括风险识别、风险评估和风险应对。理想的风险管理模式,需要外贸企业按照风险发生的轻重缓急进行有效排序。例如,对于战略层面的风险,外贸企业治理层和管理层应该高度关注,一旦决策失误,其前景堪忧。对于经营环节风险和财务风险,企业管理层应该高度重视内部环境的优化,采取合理的措施和方法,及时找出关键风险因素,按照风险程度高低进行正确处理。笔者认为,内部环境属于外贸企业内部控制的核心要素,是内部控制机制有效运行的关键影响因素。因此,外贸企业应该采取必要的措施,不断优化内部环境,其内容包括治理结构与权责分配、治理层对内部环境的重视、管理层的理念和经营风格、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调、人力资源政策与实务等,并确保外贸企业内部控制机制得到有效运行,进而合理控制其风险。
(二)加强风险评估。在日趋激烈的国内外市场竞争环境下,我国外贸企业风险不断凸现,时刻威胁着外贸企业的安全。对于战略层面风险,应该引起外贸企业治理层和管理层的共同关注。外贸企业可以采用PEST分析法、SWOT分析法和Porter五力分析法,对外贸企业的战略及其潜在的风险进行诊断与分析;对于经营环节风险,外贸企业各个职能部门可以采用定量指标和定性指标相结合的方法,通过构建不同经营环节的风险预警模型,对其风险进行评估和应对;对于财务风险,外贸企业可以采用财务指标为主、非财务指标为辅的评估模式,在指标选取和指标赋权基础上,合理构建企业财务风险预警模型,对外贸企业财务风险进行动态、精准评估。笔者认为,风险评估是外贸企业内部控制和风险管理的核心环节,是外贸企业风险有效应对的关键。在条件允许情形下,外贸企业可以成立专门的风险管控机构,对外贸企业所面临的各种风险进行动态评估,及时提交高质量的风险预警报告,以最大可能减少外贸企业的损失。
(三)健全控制活动。控制活动是指外贸企业对其风险进行正确识别和评估后,制定科学的风险应对政策、程序、机制和措施,对其风险进行有效应对,其最终目的在于将外贸企业风险降低至可以接受的水平。例如,对于外贸企业的系统风险,企业治理层和管理层应该事前评估和科学应对。对于系统风险或市场风险,必须承受的,坚决承受,不能承受的,可以选择放弃,或者退出战略;而对于外贸企业的非系统风险或企业特有风险,外贸企业管理层可以考虑事先设定一个合理的风险承受水平,选择风险分担或者风险转移策略。笔者认为,控制活动属于外贸企业风险应对的重要机制,其关键要素包括授权、职责分离、业绩评价、信息处理、实物控制等。为了有效降低外贸企业风险,企业可以考虑建立以下控制机制:(1)对于重大投资活动,应该由企业治理层和管理层共同做出科学、民主的决策;对于企业的日常经营活动,可以由企业管理层进行自主决策;(2)对于企业各项业务活动,外贸企业应坚持责分离的原则,尽量避免出现失误,甚至欺诈行为;(3)为了避免出现人才流失、业务流失等风险,外贸企业可以建立科学的员工激励机制。外贸企业可以适时构建合理可行的业绩评价体系,对外贸企业业务人员进行定期考核,做到赏罚分明,并努力留住人才;(4)对于外贸企业,尤其是外贸上市公司财务报表等信息披露,其管理层应该承担应有的法律责任;(5)外贸企业应该建立、健全实物资产的有限接触制度,以确保外贸企业重要资产的安全、完整。
(四)强化信息与沟通。良好的信息与沟通机制是外贸企业内部控制机制有效运行的重要条件。在外贸企业的风险管理中,企业治理层、管理层和其他员工应该精诚团结,共同肩负着各自的职责。为了有效识别、评估和应对外贸企业风险,企业应该强化信息与沟通过程,做到企业各个层次的人员都能清晰地认识到自己肩负的责任,包括对战略层面目标、经营环节目标、财务管理目标及其潜在的风险进行有效识别,了解与认识外贸企业内部控制各个构成要素及其相应的功能,并能够积极参与到企业内部控制与风险管理活动中。在企业风险管理中,尤其需要外贸企业治理层、管理层和其他员工清晰地认识与理解企业风险控制活动的目的、机制、模式和方法,而如何强化外贸企业的信息与沟通能力,是实现企业风险控制目标的关键。
(五)完善内部监督。企业风险管理是一个持续发展的动态过程,企业战略层面目标、经营环节目标、财务管理目标及其风险都会随着环境的变化而调整,这要求外贸企业的治理层和管理层及时监控企业风险管理的运行状况。内部监督是内部控制的必要环节,外贸企业应设置独立的机构,配备专门人员,科学、有效地评估内部控制机制的运行状况,及时发现和报告内部控制机制运行的重大缺陷,督促相关职能部门及时修补。外贸企业的内部监督包括主管部门的监督、外部审计的监督和内部审计的监督。其中内部审计监督在整个内部控制系统中发挥着基石作用。内部审计可以合理保证外贸企业遵循国家的政策与法规、财务报告的真实性、企业投资和经营管理活动的效率效果性,以及企业战略目标、经营环节目标和财务管理目标的实现程度等。正因为如此,外贸企业应当不断拓展和强化内部审计职能,增强其独立性,提升专业胜任能力,督促外贸企业优化内部控制的运行机制,以合理保证外贸企业的健康、高效发展。X
参考文献:
[1]胡通海.试论外贸企业经营风险类型及内部控制的建立[J].国际商务财会,2013,(10).
[2]刘永泽,张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究,2012,(1).
[3]钱剑婉.外贸企业风险控制与全面预算管理研究[J].国际商务财会,2010,(2).
[4]宋夏云.刍议内部控制的运作机制[J].审计与理财,2003,(9).
[5]吴晓庆.我国企业外贸业务的财务风险管理研究[D].郑州大学硕士学位论文,2010.
[6]徐芳.外贸企业内部控制与风险管理――基于宁波地区的研究[D].宁波大学硕士学位论文,2009.
[7]徐珂.基于企业财务视角的外贸经营风险防范研究[D].东华大学硕士学位论文,2007.
[8]袁玉霞,张璐,王霞.外贸企业风险管理与控制[J].国际商务财会,2010,(10).
[9]朱威.我国外贸企业财务风险管理研究[D].中南大学硕士学位论文,2005.
关键词:企业内部控制风险管理
一、企业内部控制与风险管理运行中存在的问题
(一)内部控制没有注重对环境的控制
在企业中的管理过程中,企业的管理者在对内部控制管理的过程中往往会忽视对环境的控制,以至于由于企业的一些外部环境影响了企业的内部控制。同时,企业的内部控制不仅涉及到企业的日常管理,同时还是提高企业竞争力的基本保障。而在一些企业中,企业的管理者往往会把企业的内部控制划分到企业的会计部门,在管理的过程中没有整体的考虑到企业的各个因素,以至于在内部控制管理无法正常的运行。
(二)内部控制无法应对高于内部控制的风险
由于企业的内部控制得不到有效的管理,在企业今后的运行中,无法应对高于企业内部控制的风险,由此给企业带来巨大的经济损失。其主要原因是在企业的内部控制中,主要针对企业的管理者以及企业的员工进行控制,而针对企业的高层管理者却缺乏一定的束缚力,以至于企业的高层管理者在对企业进行管理的过程中出现工作疏忽,从而给企业带来风险。
(三)企业风险管理水平较低
在企业的管理过程中,企业的整体风险管理水平较低,同时管理手段落后。主要包括以下三个方面的内容:首先,企业的风险管理得不到企业管理者的重视。在企业管理的过程中,往往是重收益轻管理,在管理的过程中,往往只顾眼前利益,从而忽略了企业今后的生存发展。其次,风险管理人员的专业水平没能达到相应的要求。在对风险预测以及防范的过程中,由于管理人员对风险的预测意识弱,从而不能正确的预测以及防范风险。最后,企业的风险管理手段落后。在对风险管理的过程中,无法正确的对风险进行识别、评估以及应对等。
(四)没有一套完善的风险管理信息系统
在大多数的企业风险管理中,都没有建立起完善的风险管理信息系统。同时在风险管理的决策上也缺乏一定的依据。因此在对风险的防范以及预测中,不能及时的掌握相关数据及信息,从而大大降低了企业风险的防范水平,以至于在今后的企业竞争中企业处于被动的状况,在影响企业正常运行的同时还给企业来带巨大的经济损失。
二、企业内部控制与风险管理的改进措施
综上所述,企业的内部控制与风险管理对企业的日常运行以及企业今后的市场竞争有着重要作用,不仅能使企业在今后的发展中有效的避免因风险带来的损失,还能在一定程度上促进企业的生产发展。针对企业内部控制与风险管理中存在的一些问题,提出以下几种改进措施:
(一)完善风险控制机制
在企业的生产经营中,完善的经营控制机制是防范经营风险的关键所在,与企业的风险管理是相辅相成、相互制约的。因此,在完善风险控制机制的过程中,首先应完善经营控制机制。主要包括以下三个方面的内容;首先,要建立起经营风险的全过程控制机制。从而使企业在经营的过程中能及时的对风险有所防范,从而能及时的避免风险。其次,建立和完善经营风险预警机制。在企业经营的过程中,能及时的避免企业的资金受到损失。最后,实行全员风险管理,健全风险控制的动力机制。实行全员管理,将风险机制引入企业的内部,从而使企业的全体员工能共同承担风险责任。
(二)建立科学的内控制度体系
在加强企业的内部控制时,首先要建立起科学的内控制度体系。科学的内控制度体系,不仅能束缚企业的全体员工,同时在管理的过程中运用科学的方法,使内控管理更为规范。在建立科学的内控制度体系时,就需要企业的管理者能提高内控管理意识,加强内控管理制度。在制定的同时还要充分的考虑时展以及企业的实际状况。
(三)推行内部控制评价制度
在加强企业内部控制的同时,也应在企业内部推行内部控制的评价制度。使企业的员工能清楚的了解企业的内部控制管理,同时能及时的提出不同的管理方案以及内部控制中存在的问题,在一定程度上能集思广益,从而使企业的内部控制管理得到完善。同时,也加强了企业员工的责任观,增强了企业的凝聚力。
(四)强化内控制度考核,推行有效的激励机制
检验内内部控制管理的最有效方法就是对内控制度的考核,通过一定的考核,找出管理中存在的不足,以便及时的改进,从而及时的避免因管理上的缺陷给企业带来损失。同时,在强化考核的过程中,也要推行有效的激励机制,对于能及时完成内部控制工作的员工,要给予一定的奖励,反之,要给予严厉的惩罚。
三、总结
综上所述,在企业今后的生存发展中,企业的内部控制与风险管理将起着决定性作用,不仅关系着企业能否在今后的竞争中立足,同时还关系着企业的正常营运。因此就需要企业的管理者注重对企业的内部控制与风险管理,使企业能在今后的发展中能更好的预测风险,从而做到有效的抵御风险,为企业今后的发展奠定结实的基础。
参考文献:
[1]丁友刚,胡兴国.内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J]. 会计研究, 2007,(12)