第 2 章 相关理论概述
2.1 内部控制理论概述。
2.1.1 内部控制的含义。
内部控制理论在 20 世纪 40 年代兴起,该理论经过多年的发展和应用,其理论内涵得到了不断地发展和完善。欧美国家的研究学者提出内部控制的多种定义,其中普遍认可的是 COSO 委员会于上世纪九十年代在关于内部控制整体框架的报告中阐述的定义:所谓内部控制,是由公司高层管理者发起,主要是为了实现公司发展目标、提升财务数据的准确性以及遵纪守法而进行保证的活动[38].
在 2008 年,我国财政部与其他相关部门进行合作,共同制定了国内企业内部控制的管理标准,对内部控制进行了如下定义:内部控制是为了实现公司控制目标而由整个公司自上而下共同参与的管理活动,进行内部控制的目的是保证公司各项管理活动遵纪守法,提升公司财务数据准确性,使公司管理工作水平得到极大提升,从而推动公司战略目标的实现[39].从上述内容可知,我国关于内部控制的概念,是对美国在内控管理框架报告中所提出的内部控制概念的继承和发展,在此基础上融入了风险管理的内容。通过对国内外专家对内部控制所述概念的研究分析,论文将内部控制定义如下:内部控制是由公司各级工作人员共同参与完成的控制程序,其目的是提升公司财务数据的准确性和真实性,保护公司财产安全,保证公司各项管理活动依法进行,实现公司管理工作水平的提升,推动公司整体发展战略的实现。
通过以上分析可知,理论界对于内部控制概念的认识是在不断发展的,由局部认识到整体理解,经历了发展演变的过程。在初期,对内部控制的认识只是局限于内部控制的实施标准及流程,现在已经贯穿于内部控制实施的全过程。
2.1.2 COSO 内部控制框架。
(1)内部控制目标。在理论界,不同学者对内部控制目标的解读也不同,但最基本的还是通过对核算和审核的有效控制,帮助企业实现经营活动的可持续性,保护资产安全,完善管理措施,提高企业的运转效率,从而提高企业创造财富的能力。
1)经营管理目标。主要是公司的发展目标,由公司业绩、利润水平和资产安全等因素构成。
2)财务报告目标。编制内容详实、准确的财务报表,能将财务信息及时传达,这主要是为了满足公司外部投资人等受益人全面了解公司信息的需要。
3)合规性目标。公司各项经营管理活动必须严格遵守各项法律法规,照章做事。
此项目标的实现受外因的影响程度较大,例如劳动合同法、公司法等法律法规。
(2)内部控制要素。美国 COSO 委员会在上世纪九十年代关于内控框架的报告中提出了内部控制的概念,受到了国际理论界的一致认可。该委员会认为内部控制是由控制环境、风险评估、控制活动、信息与沟通和监控五个密切联系的要素构成[40].上面各要素相互联系,相互融合,构成具备整合功能的系统。对于公司经营管理环境的变化,该系统能及时应对并长期产生效果,同时可对变化的环境做出动态地积极反应,在公司运行的整个过程中发挥作用。
1)内部控制的建立正是基于公司内部环境,公司对风险问题的控制程度取决于内部环境因素,这对于风险问题的辨别、评估活动有很大程度的影响。除此之外,它还会对内控其他要素产生影响,促进公司内控管理活动的实施进度,推动公司战略发展目标的实现。
2)实施内控管理的关键步骤是风险评估,它影响着管理工作的开展。为了准确把握公司内控管理,需要对公司发展的各项内外影响因素进行评估分析,这关系到公司发展目标的实现。
3)控制活动是内部控制的重要手段,是实现内控管理的重要途径。实现控制活动,在对公司风险进行评估的基础上,通过对核心风险点的分析,认定内控管理的关键步骤,在此基础上制定相关的制度并有效实施。
4)在公司内控管理的整个过程都需要信息的交流和共享,这种沟通活动能有效推动公司管理活动的顺利开展。在公司运营过程中,公司内部各个部门能进行顺畅的沟通交流,并将公司运营状况及时传递给公司的外部利益相关者,这是保证内控管理顺利开展的重要条件。
5)充分发挥核查部门的监督作用,对内控体系的运营情况进行全方位监控,在此基础上评定现行制度的有效性。全面开展流程监督工作,对公司的监督制度进行改进和优化,提高制度的有效性,实现对公司内控管理体系各要素进行改善和调整。
2.2 风险管理理论概述。
2.2.1 风险管理的含义。
公司内外环境一直处于不断变化发展的过程中,这是导致企业风险问题出现的重要原因,从而阻碍了公司整体目标的实现。随着市场经济的发展,产品生产技术的进步,各种监督制度不断发生改变,公司发现风险控制风险的能力产生质的飞跃。所谓企业风险管理,是指由于行业法律法规政策的变动、新技术的出现和应用以及经济市场化程度的提升,这必然会不利于公司的发展,加大了公司运营管理工作的不确定性,增加了公司运营的风险系数。
美国理论研究委员会对风险管理给出了明确的定义:企业风险管理是企业各个层级的工作人员共同参与实行的管理过程,共同制定公司发展战略,通过对内部因素施加影响来控制风险数量和程度,最终保证企业整体战略目标的实现[41].这一概念将风险管理视为一个管理过程,与过去认为公司管理工作包括公司各项行为的理论是一样的。在公司内部开展风险管理活动,有利于公司高层领导的科学决策,减少公司经济损失,提升公司效益。2006 年,国资委出台关于央企风险管理的政策,通过规范公司管理工作流程、培养公司风险管理文化和提升公司风险管理层次来实现公司发展战略目标。公司风险管理系统由五部分构成,分别是风险管理制度、风险理财措施、职能部门建设、信息管理体系以及内控体系,从而保证了公司整体战略目标的顺利实现[42].
综上所述,通过对国内外风险管理理论的研究分析,可以总结出,风险管理是指公司通过积极使用不同形式的管理策略和工作方法,能够及时发现公司潜在的风险问题并有效解决。从本质上来讲,风险管理是一门工作管理艺术,也属于理论知识的范畴,兼具全面整体性和知识性。风险管理的狭义概念是指,为了达成公司整体发展目标而使用不同类型的管理方法和策略,同时对风险问题及时有效处理,它贯穿于管理活动的全过程。
2.2.2 COSO 企业风险管理框架。
(1)风险管理目标。通过风险管理,公司各级人员可以更加清晰地识别和应对企业内外部环境变化带来的潜在风险,并开发和利用各种有效资源使企业顺利地实现其整体战略目标,提高业务水平和经济效益,保证企业的各项业务合规合法并确保财务报告的真实有效性。
1)战略目标。企业所追求的最高等级目标,是企业各项活动的最高方针,有最高的指导作用。
2)经营目标。企业的管理工作水平和成果,要求企业最大程度的开发各种资源。
3)报告目标。企业必须保证对内外公开报告的准确性和真实性。
4)合规目标。为尊重和谋求公司各利益相关者的经济利益,公司的经营活动必须做到遵纪守法。
(2)风险管理要素。在 2004 年中下旬,美国反舞弊财务委员会制定了关于风险管理的整体框架文件,它是对公司内控框架的继承和完善,文件指出整体风险管理是由内部环境、目标设定、事项辨别、风险评估、风险处理、控制活动、沟通交流以及活动监控等要素构成[43].
1)内部环境。公司整体特征主要通过内部环境表现出来,内部环境是企业风险管理的基础要素,对员工的风险意识产生重要作用。公司的内部环境对企业发展有重要作用,一方面会对公司整体战略目标的设定、公司内部风险管理问题的认定、分析和应对产生影响,另一方面还会对公司内控管理、沟通交流以及监督行为产生影响。公司内部环境还包括决策者,他们的主要工作内容是创建明确风险管理概念,创造良好的企业风险管理文化。
2)目标设定。企业在发展过程中会出现各种风险问题,为了能快速识别风险问题,并做好风险应急准备工作,这就需要设定合理的目标。目标的设置必须从战略层面来进行,还要充分考虑管理活动方面的情况。企业管理者对于公司会有一定的期望,他们制定公司发展的整体战略目标并进行分解,将目标分配给各个职能部门,各部门必须在遵照公司整体战略目标的前提下开展工作。管理者必须依照合理的流程制定目标,保证所制定的发展目标是从公司战略层次出发并符合公司整体发展利益,不会出现较大风险管理方面的问题。
3)事项识别。内控管理和风险管理理论都认为公司风险问题源于公司内外环境条件的变化,风险在公司管理工作的各个阶段都会出现,企业管理层应当识别影响企业战略实施和目标实现的潜在事项。利用风险管理理论对潜在事项进行探讨时,将其定位于会对公司战略目标的实现构成影响的各种事项。这种影响因素有积极方面的,也有消极方面的,分别代表着机遇和风险,公司管理者必须进行科学评估并积极应对。
4)风险评估。公司管理者必须通过潜在事项发生的几率和影响程度开展分析活动。
内控管理理论认为,进行风险评估要根据具体的风险发生的可能性和影响程度进行分析。对此,风险管理理论有不同的观点,认为评估风险问题必须运用更加全面的视角来进行。公司管理者开展工作必须以大局为重,讲求工作层次,用组合方法对企业风险进行评估,要符合公司整体发展战略。
5)风险应对。公司领导者在完成风险评估工作后,必须采用合理办法来解决问题,处理风险问题的方法有多种,主要包括弱化、分散以及面对等。关于如何选择正确的方式来应对风险,必须考虑公司经济效益、风险承载量等方面因素来进行科学决策。
6)控制活动。为保证公司管理者能顺利推行风险应对措施,严格遵照既定流程而进行的管理行为,该活动在公司全部职能部门和管理活动中都会出现。
7)信息和沟通。为保证公司风险管理工作的顺利开展,公司必须对内部各种数据信息进行记录和分析,并及时地向全体员工进行公开。在公司各个管理层级都要进行顺畅交流,实现信息资料的共享,保证沟通交流的有效性,使得所有职工对于自己在风险管理工作中所发挥的作用有清醒地认识,提升公司风险管理的有效性。
8)监督。企业风险管理活动应当建立监督机制,这种监督是对企业风险管理现状进行评价的过程。为保证公司风险管理的有效性,需要对工作开展情况进行分析并实现持续有效的监督。
2.3 内部控制与风险管理的关系。
2.3.1 内部控制与风险管理的区别。
(1)目的不同。内部控制的目的是通过在公司内部开展内控管理工作,从而提升公司经营活动的合法性,维护公司资产安全,提升公司财务数据信息的准确性和有效性,促使公司的管理水平和经济效益再上新台阶,最终保证公司整体战略目标的实现。开展风险管理工作,对公司风险问题的出现几率进行分析,形成预防机制,最大程度地减少风险问题的危害性,从公司风险中发现机遇,促进公司的发展。
(2)侧重点不同。从理论内容角度分析,内控管理和风险管理都属于企业管理方式。前者的意义在于在企业运转活动中以及活动后期总结能实现计划的目标。而后者是对管理活动全程中出现的风险问题进行管理,要求在管理工作开展之前就要设置合理的目标,在管理活动实施全过程中完成控制管理。通过对公司风险问题所产生的影响进行分析总结,提出高效合理的措施来处理潜在事项。从提升公司管理水平角度而言,开展风险管理工作具有更重要的作用。
(3)应用环境不同。内部控制的制定和实施主要都是在一个内部环境下进行,公司高层领导制定内控管理制度,必须充分把握公司性质和行业属性,保证内控管理制度的顺利实行。进行风险管理,首先要分析公司内外所面对的各种潜在风险,在公司的日常管理和业务开展活动中,积极开展风险管理活动。
2.3.2 内部控制与风险管理的联系。
(1)风险管理理论涵盖了内部控制理论。不管是风险管理理论还是内控理论,都认为公司的经营目标、报告目标以及合规目标三者构成了公司整体的管理目标,在风险管理理论中增加了战略目标的内容。从构成要素的角度来分析,这两种理论都包含了内部环境、控制活动、风险评估、沟通交流以及监督五个部分的内容。与之相比,风险管理系统由八个要素组成,新增的要素为目标制定、风险辨别以及风险应对。所以风险管理理论内涵大于内控管理。
(2)内部控制是风险管理的必要环节。风险管理理论的观点是,公司实行内控管理是实行风险管理的前提和基础,只有开展了内控管理工作,才能保证公司风险管理的顺利开展。在公司内部实行风险管理,必须提升内控管理工作,使公司所有员工尤其是公司高层领导者的风险管理意识上升一个台阶,对公司内部风险问题有清晰地认识,这才能保证公司的风险管理有效性有显着地提高。在公司的日常经营过程中,会出现一些风险问题,为有效解决这些风险问题,必须建立科学的内控管理体系。
上文中对这两种管理理论的内在联系进行了深入分析,从本质上来讲,它们都属于企业管理的范畴,它们的最终意义都是为了最大程度降低企业风险的影响程度。现阶段,我国经济社会发展迅速,可是企业的内控管理工作还不是很完善。因此在公司发展过程中,管理工作要具备前瞻性,注重内控管理体系的创建和完善。也就是说,公司内控管理系统的建设,必须充分发挥风险管理理论的指导作用,创建内控管理系统不能单纯为了促进经济发展,要尽早着手制度方面的构建和完善,缩短与发达国家在企业管理水平上的差距。
