发布时间 : 星期四 文章王戡硕士毕业论文更新完毕开始阅读eac7264daaea998fcc220e8f
重庆理工大学硕士学位论文
一个环节或者说是治理活动。在具体运营过程中,内部控制是依靠事后控制来实现其效应。而后者就不同了,它是渗透于整个企业管理的各个阶段各个环节的,事前预防、事中监督、事后控制等,每个环节都要求面面俱到。起到了预测和控制的双重作用。因而,在目标的设定上,风险管理较之内部控制就更加全面。
(2)两者的分工不同。虽然风险管理者在内涵上较内部控制更为广泛,但是两者在企业治理过程中是各有分工的,一方无法取代另一方。具体来说,当前的风险管理所要负责的领域包括了战略的设定、人事聘用政策、预算等决策活动。而内部控制所要涉及到的活动主要是在风险管理活动过程中以及之后的关键时段的控制活动,譬如:信息沟通、监督、评估、缺陷纠正等一些活动。此外,内部控制是不参与企业的经营目标的制定的。
(3)两者在对风险概念设定上不同。COSO风险管理框架中,认为风险是指企业在经营活动中遇到的对企业产生不利后果的事件发生的可能性。它只针对不利影响,称会产生有利结果的事件为机会。但在其内部控制框架中,并没有将风险和机会分而论之。在这点上,两者是明显不同的。 2.2.3 内部控制和风险管理的融合
自从风险管理框架产生以来,人们就在争论一个话题,那就是究竟内部控制和风险管理哪个范围更大些。一部分人认为风险管理涵盖内部控制,另一部分人则坚持风险管理只是内部控制的一个控制程序。本人以为,两者之间有相互渗透的部分,联系紧密,但目前我们最重要的工作应该是区分两者之间的差别从而让两者在企业治理中各自发挥自己的作用。至于究竟两者谁包括谁这个话题,应该是随着理论和实践不断发展到一定程度,才会有较为明确的答案。
风险管理框架产生以来,对内部控制和风险管理的探讨就未曾停止,人们尝试用不同的视角和方式来将两者结合到一起。BCBS(巴塞尔委员会)认为,董事会有责任对银行的战略目标及内部规章进行检查,并根据市场情况和经济环境对银行可能面临的风险进行评估,设定风险可接受度,以便管理者能够据此设置合理的程序去辨别、评价、规避这些风险。BCBS已经把风险管理的思想融入到内部控制过程中。加拿大COCO委员会也指出,控制涵盖风险识别、评估及规避,同时风险不仅仅是对经营造成不利后果的可能性,也包括企业不能发现并把握机会,从而在市场中保持随机应变,不失时机得创造价值。2004年,“商业银行风险管理与内部控制论坛 ”的举行,表明我国理论界也开始探讨将内部控制和风险管理相融合之路。
从目前国内外理论界以及实务届的实际操作来看,内部控制和风险管理的融合只是雷声大雨点小,在企业实际的运营过程中,通常内部控制和风险管理的结合只是在少数的部门或是控制活动中体现。例如:基本上仅是在审计部门才会涉及到风险管理。
11
2 内部控制相关理论基础
笔者认为,随着公司治理水平的继续发展,随着对内部控制和风险管理理论探讨的继续深入,有朝一日,内部控制和风险管理定能实现实质性的融合。
2.3 COSO内部控制及企业风险管理框架
2.3.1 COSO内部控制框架
(1) COSO委员会对内部控制的定义
20世纪20年代末,AAA(美国会计师协会)出台的《会计报表验证》中首次涉及到内部控制这个概念。同样,也是美国的COSO委员会首次在其《内部控制整体框架》中对内部控制给予准确而完整的定义。目前,COSO委员会依然是世界上在内部控制研究领域最为权威的组织,由它发布的众多关于内部控制的理论在各国被广泛推崇和应用。它将内部控制定义为:一个由董事会、管理层以及企业其他员工来共同实施,主要目标是设法保证和实现经营活动的效率及效果,保证财务报告的可靠性,保证企业在经营过程中严格遵循法律法规的程序。
(2)内部控制框架五要素
《COSO内部控制整合框架》中把内部控制概括成五个的因素:控制环境,风险评估,控制活动,信息与沟通以及监控。
① 控制环境
组织的控制环境设定了它的基调,会决定组织中个体的控制意识。它是内部控制中其他四个因素的根基,为它们奠定秩序保障。控制环境主要涉及到:组织中个体的个人道德、能力及诚信;管理层的战略眼光和个人管理风格;董事会的关注程度。归结起来,控制环境可以说由两个大的部分组成:一是企业人员的思想素质、管理哲学及人品等在内的“软件”,它们构成内部控制的氛围。第二就是组织的所有权结构、治理结构体系、权责分配等在内的“硬件”。
② 风险评估
风险评估是对经营活动中有可能出现的影响到经营目标实现的不利事件的排查过程,毋庸置疑它是企业采取措施规避风险实施控制的前提。风险评估可以让管理层提前了解到企业可能会面对的风险因素,从而及早根据风险因素做出相关预防措施,最大限度降低风险对企业带来的危害。实现风险评估发挥其作用的前提是,要在不同层面上制定企业的相互继承、一致的目标。而风险评估的作用其实就是提前得对风险进行分析,弄清楚风险的性质、大小以及其他相关因素,从而帮助管理层制定出科学、合理的应对措施。在企业中,要做到有效的风险评估,需要相应地建立合理的评估机制和程序,来支持评估活动。
12
重庆理工大学硕士学位论文
③ 控制活动
控制活动指那些确保高管层在风险评估的基础上所作出的相关应对措施得以有效实施的程式。控制活动涉及的范围和层次比较广泛,它渗透在组织的每个细胞中,上至高管层下到普通员工。存在于企业的所有智能中,诸如合同签订、审批、验证、调节、绩效考核及职权分离等一系列的活动中。
④ 信息与沟通
信息的具有时效性,因此企业的相关信息必须得及时地传达到相关人员那里,以便及时作出决策,如果信息不能在正确的时间里传达到正确的人,那么信息的价值就会丧失。所以信息与沟通在企业内部控制运营过程中至关重要。
⑤ 监控
监控对企业内部控制运行时十分有必要的,通过监控,管理者可以及时得了解到企业内部控制在每个环节的具体执行情况,以便采取相应的对策。对内部控制的监控应该贯彻在内部控制的每个环节、每个部门中。
以上五个要素是内部控制框架的必要组成部分,缺一不可。五个要素环环相扣,相互联系。控制环境约束了内部控制的运行空间,风险评估能促进内部控制活动的有效运行,控制活动保证了内部控制制度的有效执行,信息沟通是内部控制顺利进行的桥梁,监控则对内部控制中出现的问题的及时解决提供了保障。 2.3.2 COSO企业风险管理整合框架
安然、时代华纳、默克药厂等一批大型企业的财务造假事件,促使世界各地企业相继开始加强内部控制的研究和施行。与此同时,COSO委员会于2001年也开始酝酿着发布相关风险管理方面的公告,在2003年结合萨奥法案发出风险管理框架讨论稿,2004年正式发布了《企业风险管理--整合框架》。从此,企业界有了实施风险管理的理论支撑。它成为众多企业衡量自身风险管理实施效果的依据。
(1)企业风险管理
COSO委员会对企业风险管理的定义是,“由企业董事会、管理层以及全体员工一起施行的,并且要求企业各个部门都要参与的,旨在发现潜在的对企业有利或是不利的事件,并评估该事件的发生概率,以给企业提供可靠信息,帮助管理层及时作出应对措施。
这里我们需要注意的是,企业的风险管理是贯彻在企业经营管理的整个过程中的程序,而不是仅仅指风险管理结果。企业风险管理的执行好坏在很大程度上影响到企业目标甚至是战略目标能否实现。所以,在运用企业风险管理框架的时候,关键是要针对其中的八个要素具体详细得制定规则,在执行制度时,确保企业全员都要参与,确保董事会和高管层要对风险管理的有效性负责。
13
2 内部控制相关理论基础
(2) 风险管理八要素
COSO企业风险管理整合框架中,包含:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监督等。
① 内部环境
内部环境体现的角色类似于控制环境在内部控制框架中的作用。它承载着企业风险管理活动实施的条件,为风险管理的进行奠定了基础。一个好的内部环境对企业的内部控制活动、风险管理有很大的帮助,能大大地提高风险管理实施的效率。在内部环境中,董事会、高管层是其关键作用的部分,董事会对企业文化以及风险理念的构建负有直接责任,在一定程度上决定了一个企业风险管理活动的方向。
② 目标制定
在这个要素中,企业根据自身发展需要及其在市场中的地位,需要制定出自身的经营目标以及战略目标。在制定出既定目标之后,管理层就可以根据目标的实际情况及周边环境,分析要实现目标有可能会面临的不确定事项,并确定这些事项的性质,分析是有利的或是不利影响,由此制定相关对策。在这个过程中,目标的制定要和其他各种风险因素相联系,它是一个复杂的博弈过程而并非仅仅是一个结果。
③ 事项识别
既然风险的特点是不确定性,那么事项识别就有了存在的必要性。在企业实现目标的过程中,会碰到很多不确定事项,那么这些不确定事项有可能是不利的亦可能是对企业有利的机会。对不同的事项就要采取不同的措施加以应对,这个要素就要求企业管理层根据具体事项的特点识别出是否对企业有利,对于企业有力的机会,管理层应该抓住机遇,以实现机会效益的最大化。反之,如果是不利影响,企业管理层需要根据相关风险事项的特点以及企业的自身情况制定出科学的应对策,把风险的不利影响降到最小。
④ 风险评估
风险评估是指:对某一个或多个风险事项对企业造成的不利影响,以及该事件发生的概率进行量化。风险评估过程中要做到的是对以下三个方面进行有效的量化:一是对风险本身的界定、二是风险的作用方式、三是风险可能会带来的后果。风险评估的三个方法通常是:基线评估、详细评估、组合评估。通过对风险发生的方式以及后果的及时、有效的评估,有利于管理层针对评估结果做出合理的处理方式。
⑤ 风险应对
风险应对是指在上述的事项识别、风险评估之后,了解了风险的作用方式、可能的后果之后,根据组织对风险的承受能力及态度而指定的对策,具体包括:规避风险、承担风险以及分散风险。规避风险主要是指企业根据公司情况和风险状况作出的退出相关领域以避免风险的举措,如:制定相关投资政策、规章、制度等,限制企业经营
14