张英理
在一个充满不确定性的市场经济环境中,如何识别和控制风险成为企业生存与发展的重要一环,在很多情况下,往往决定了企业的成败。内部风险控制的疏漏导致1995年英国霸菱银行的破产、2001年美国安然公司的倒台和2002年世通公司的丑闻,这些血淋淋的例子促使企业对风险控制的重视程度显著提高,投入了大量的资源改造和完善内部控制的流程、操作、监督和评估。企业管理者在公司治理、经营管理和技术创新等方面下了很大的功夫去控制风险,但是公司治理结构:“形似神不似”的问题依然普遍存在,内部控制和风险管理依然是“阿客琉斯之锺”,制约着企业的长远健康发展。我们时常在思考,为什么会出现这样的情况呢,企业的管理者也常常在头痛着这样的问题。企业所制定的内部控制体系没有办法确保公司得到有效的控制。
2007年,美国次贷危机在不经意之间扩散到全球,造成了象雷曼兄弟这样的世界知名的破产清算,引起了极大的经济恐慌。全球资本市场的信心也由此遭到了沉重的打击,而世界经济发展的前景也就此被蒙上了一层浓厚的阴影。究其原因是内部控制制度出现了问题。内部控制制度是企业的一项基本制度,是约束企业行为的一种规范,是国家政策、法律法规在内部管理中的具体体现,内部控制制度的建立、健全及实施情况的好坏,是企业生产经营成败的关键,加强企业内部控制制度建设,不仅是《会计法》、《公司法》的基本要求,而且是企业规范创新的要求。随着美国次贷危机引发的全球金融危机,内部控制对企业而言变得越来越重要,企业要生存、发展已离不开内部控制。内部控制已成为企业很重要的工作。
那么我们应该如何进行控制、如何发现威胁、如何建立有效地监督和控制经营活动的程序?换言之我们如何来建立一套适合自己企业生产和发展的有效内部控制体系呢?个人以为要建立适合自己企业内部控制体系应从以下三方面的内容来考虑:
1、发现、评估和确认潜在的风险。
2、明确每名管理者负责的业务流程。
3、找出薄弱环节。
发现、评估和确认潜在的风险 风险意识的淡薄常常为企业的发展带来巨大的隐患,风险管理的落后更是阻碍了企业发展的进程。企业生产经营情况不同,所要面对的风险也不同。如果我们没有办法了解自己企业在生产经营活动中所要面临到的风险,那么我们也就不会想到要去预防,更不可能会采取保护的措施。所以我们在制定内部控制体系前的第一步就是发现本企业在生产经营过程中潜在的风险。国资委将企业风险定义为未来的不确定性对企业实现其经营目标的影响,一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等,并将风险分为纯粹风险和机会风险。那么我们如何来发现企业的潜在的风险呢。首先我们来看看企业在生产过程中都存在哪些方面的风险,根据国务院国有资产监督管理委员会《中央企业全面风险管理指引》,企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。《中央企业全面风险管理指引》对企业广泛、持续收集风险初始信息也提出了明确的要求,并详细列举了企业管理战略、财务、市场、法律四类常规风险所需的重要基础信息,例如财务方面,建议企业收集偿债能力、现金流、资金周转率、盈利能力、成本核算、行业会计政策等信息。这些初始信息是风险评估活动的基础,能帮助企业分析风险的动因、风险影响目标的路径、风险事件的表现、各类风险之间的相互关系等,为企业管理者制定和实施内部控制明确目标和确定内部控制的重点。
公司面临着种种风险,几乎每一天都会有新的风险出现,这么多的风险如果光靠某一个管理者是没有办法应对的。从实际企业的操作业务层面来看,也并不是每个管理者都需要应对公司遇到的所有风险。如果我们能对这些风险的表现形式和危害有所了解,可以使管理者更清楚地明白自己在整个控制流程中所起的作用。需要强调的是并不是每个管理者都能够出色的应对任何风险,我们要做的是弄清楚每个风险由谁管理,以及这些管理者如何应对风险进行评估和汇报。也就是说我们把发现的所有潜在风险根据其风险的性质以及所在的业务流程进行分解,具体落实到每一个管理者身上。比如说:负责销售的管理者负责销售与收款业务流程中的风险;负责采购的管理者承担采购与付款业务流程的风险等等。
明确每名管理者负责的业务流程 通过发现、确认和评估潜在的风险,我们知道了本企业需要注意哪些风险,每位管理者负责控制哪些风险。企业面临的潜在风险种类很多,是方方面面的,这些潜在的风险不可能有某一个管理者来全部监控,他也没有这个能力了解和知道所有的事情,这就需要我们明确每名管理者负责的业务流程。一般企业的管理者不仅对主要业务流程负责,而且还对各种辅助业务流程有决策权。例如,很多管理者还要审批发放给新雇员的工资,或则向相关部门提交办公用品采购申请。辅助业务也有风险,辅助业务上的疏忽同样会给企业带来巨大的风险和损失。比如说业务经理虚增佣金获得额外的收入,或以公司的名义购买私人物品等等。因此,我们在制定内部控制体系时,要对每位管理者所拥有决策权的所有业务了如指掌,洞察业务流程中的每个漏洞和威胁。以此来保证我们在明确各个部门的岗位、职责和权限时,有相应完善的业务操作程序和监控流程。
找出薄弱环节 我们找到了各种风险,制定了风险的责任人,并且确定了每位管理者拥有决策权的业务流程。现在企业的管理者对公司的业务以及每一个业务流程中的具体环节也已经相当了解了。这样我们就能分析公司管理者的职责范围内的风险,同时我们也可以分析、找到业务流程中控制的漏洞和潜在的风险,然后来明确各个流程以及各个岗位的负责人所要控制的重点。很多时候我们单纯从业务流程上,未必能够发现一些控制的薄弱环节,或则我们可以自问自答一些问题,如:某个流程的记录、保管和审批职能是否由同一个人全权负责?
如果有人想从公司偷东西,如何能察觉?
如果控制失灵,最大的损失是什么?损失程度不同是否有相对应的措施?等等。
通过回答这些简单的问题,可以让我们了解该流程中存在的薄弱环节。
要特别强调的是这一部分内容一定要根据本身企业生产以及业务流程的特点来进行分析、评估和判断,然后根据我们得出的结论来确定控制范围和改进控制系统。
在这里我们也有必要明确“控制”的含义。内部控制被定义为一个过程,这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证
经营的效率和效果
财务报表的可靠性
相关法律法规的遵循
确切的说“企业内部”是由公司主要执行官、财务官或履行类似职责的人员设计或监管,受公司董事会、管理层和其他人员的影响,为财务报告的可靠性和外部财务报表编制符合企业会计准则提供合理保证的流程,具体包括以下政策和程序:
三、保留详略程度合理的会计记录,准确客观地放映资产的交易和处理情况。
四、为下列事项提供合理的保证:公司对发生的交易进行了必要的记录,从而使财务报表的编制满足企业会计准则的要求;公司所有的收支活动均有公司管理层和董事的合理授权。
五、为防止或及时发现未经授权的资产采购、使用和处置提供合理保证,这种未经授权的采购、使明和处置资产的行为可能对财务报表发生的重大影响
这段传实际上是说,完善的内部控制系统能够保证会计记示完整,保证财务报告准确且符合公认的标准,以及保证公司的资产不被任意利用。证券交易委员会着重强调了对财务报告的内部控制;但由于任何形式的控制漏洞,不管是财务、运营还是监管,若未能及时发现,都可能导致严重的财务损失,因此我们在制定企业的内部控制体系时,一定要根据本身企业的生产经营特点,从本身企业所面临的潜在风险出发,制定适合本企业的内部控制体系,来合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
参考文选:
1、《中央企业全面风险管理指引》
2、胡为民《内部控制与企业风险管理一一实务操作指南》