论文部分内容阅读
【摘要】史学家汤因比曾说过:“一个国家乃至一个民族,其衰亡是从内部开始的,外部力量不过是其死亡前的最后一击”。 一个集团只有从加强内部控制做起,通过风险意识的提高,尤其是提高集团中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行,否则,处于失控状态的企业最终将被激烈竞争的市场经济大潮淹灭。本文从风险管理的角度论述了集团内控体系的建设。
【关键词】内部控制COSO模型内控体系建设
2001年以来,我国上市公司重大违法、违规事件频繁发生,这与内部控制的风险管理水平有待提高的状况有直接关系。 1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。有鉴于各国重大违法、违规事件频繁发生状态, 健全的内部控制机制对于加强企业管理水平的稳步提升,已日益凸显迫切与必要。
1 内部控制的演变:
从内部控制的发展来看,内部控制经历了内部控制牵制理论、内部控制制度理论,内部控制结构理论,内部控制整体框架理论和全面风险管理为导向的内部控制体系理论五个发展阶段,由此可见以风险管理为基础的内部控制是历史发展的必然趋势。
2 COSO框架概述:
1994年COSO报告《内部控制——整体框架》中,内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上,内部控制是为了确保组织的最高层参与到整个机构的运作中,以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。
为了实现内部控制的有效性,需要下列五个方面的要素支持:
控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需要对文件控制系统做出承诺。
风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然,多年来,美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte?Carlo模拟”和“风险价值”法)测算风险,但把风险评估作为要素引入到内控领域,这还是第一次。
相比之下,控制活动则是人们较早关注的方面,它包括确保管理层指令得以实施的政策和程序:批准、授权;核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则。
信息与交流是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。但受成本效益原则的约束,内控实际上是一个无止境的过程。
监测,意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的实施途径可以是内部审计,也可以是内部控制自我评估。内部审计是先依据审计章程,确定审计单位的独立性及其作用。然后将称职的工作人员分成三个主要单位,分别承担财务、操作和电子数据处理的工作。再根据机构的主要业务风险编写审计计划,密切和平衡的关注计划、实地工作、报告以及每次审计的后续工作。审计委员会监督内部审计的过程,采用外部审计评估控制系统,就财务报表的真实性和公正性提出意见。
3 以COSO为导向的集团公司内控体系建设思路
以全面风险管理为导向的内部控制体系,是集团公司进行安全生产合规经营的保证,是防范风险、杜绝隐患的“防火墙“,是实现全面风险管理、增强风险控制能力的平台,是保证各项业务健康发展和实现公司战略目标的基础。
3.1 传统的集团内控体系存在的问题
虽然各集团公司执行了内控制度,但仍然无法完全解决内部控制的有效性,有以下一些问题:首先对内控体系管理和体系建设认识不够,以各项制度代替内控机制,没有统一性,规划性不强;其次局限于内部控制管理的事前预防的滞后性和事后纠正的补救性。内部控制的核心内容是事先预防性,是一个从高层到员工全员参与的过程,正确的经营理念,是让员工从被动的接受监督上升到自我约束,自我完善和自我管理;难以彻底解决操作风险管理的薄弱环节,信息沟通不充分,业务范围和解决事项不明确,一些好的方法和理念没有在内控体系中得到应用等等,这些都是实施内控体系的不利因素。
3.2 通过以下步骤建设个性化、针对性、具有动态性的内控体系。
3.2.1内部控制、风险管理与集团管控现状的调研诊断。
从整体运作的系统高度进行全面诊断,对集团本部、业务板块上的各个子集团、重点子公司的各方面经营管理、内部控制与风险管理进行系统的诊断,分析存在的各种问题,深入剖析其背后原因,对现在行制度进行梳理,并对其完备性进行评价,并对集团公司现行的制度执行情况开展学入调研和评价,提升效率和风险可控双重目标。
3.2.2风险事项的识别。
对照《中央企业全面风险管理指引》《企业内部控控制基本规范》等规范文件要求,查找集团总部及各重点单元、经营活动及其重要业务流程中风险事项。根据风险的性质,对风险进行分类梳理,梳理的范围包括:集团公司本部,以及所有的业务。根据调研诊断与问卷调研,广泛收集与集团公司本部及所属业务风险管理相关的初始信息,建立集团公司本部等的风险。
3.2.3风险分析与评价与,并建立风险数据库。
通过对识别出来的风险事项进行详细分析,明确识别风险事项的发
生可能性与潜在影响。以风险识别和风险分析成果为基础,根据对风险发生可能性的高低和对目标的影响程度的评佑,绘制风险评价表,对各项风险进行比较,确定对各项风险的管理的优先顺序和策略,采取“悲观原则”对风险可能产生的后果和程度进行判断,并形成管理层面的风险管理数据库,控制数据库缺陷建立,内控制度缺陷数据库的建立,子公司数据库的建立。为持续改进公司风险控制绩效提供基准。
3.2.4内部控制薄弱点与修订。
根据风险分析与评价结果,并基于《企业内部控制具体规范》等文件,内部控制度
体系的优化重朔,达到对风险有有效监控与防范,针对内部控制制度薄弱点,提出切合实际的措施和修订建议,对流程的流程风险点、控制点提炼与描述。并基于集团管控的流程的挖掘与流程优化,制度条款的补充与修订。
3.2.5编写体系文件与内控体系的普及。
对管控权限指引表编制与修订,尽可能的采用标准的,权威的定义,描绘
所涉及的概念,对概念进行分类,提出明确有方向,或禁止要求。组织培训学习和掌握内控体系基本知识,组织人员进行流程图绘制。这主要包括:内控体系内容、内控体系理念、流程管理、风险培训。
参考文献
[1] 吴水澎,陈汉文,邵贤弟.论改进我国企业内部控制——由’亚细亚’失败引发的思考[J].会计研究,2000,9.
[2] 胡为民,<内部控制与企业风险管理>.电子工业出版社,2007.
[3] 陈少华.内部会计控制[M].厦门:厦门大学出版社,2004.
[4] 企业集团财务公司经营运作研究,中国财务公司协会编,2010.
[5] 杜志丽,姚卫东.如何建立健全投资公司的全面风险控制机制.集团经济研究.
【关键词】内部控制COSO模型内控体系建设
2001年以来,我国上市公司重大违法、违规事件频繁发生,这与内部控制的风险管理水平有待提高的状况有直接关系。 1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。有鉴于各国重大违法、违规事件频繁发生状态, 健全的内部控制机制对于加强企业管理水平的稳步提升,已日益凸显迫切与必要。
1 内部控制的演变:
从内部控制的发展来看,内部控制经历了内部控制牵制理论、内部控制制度理论,内部控制结构理论,内部控制整体框架理论和全面风险管理为导向的内部控制体系理论五个发展阶段,由此可见以风险管理为基础的内部控制是历史发展的必然趋势。
2 COSO框架概述:
1994年COSO报告《内部控制——整体框架》中,内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上,内部控制是为了确保组织的最高层参与到整个机构的运作中,以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。
为了实现内部控制的有效性,需要下列五个方面的要素支持:
控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需要对文件控制系统做出承诺。
风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然,多年来,美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte?Carlo模拟”和“风险价值”法)测算风险,但把风险评估作为要素引入到内控领域,这还是第一次。
相比之下,控制活动则是人们较早关注的方面,它包括确保管理层指令得以实施的政策和程序:批准、授权;核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则。
信息与交流是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。但受成本效益原则的约束,内控实际上是一个无止境的过程。
监测,意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的实施途径可以是内部审计,也可以是内部控制自我评估。内部审计是先依据审计章程,确定审计单位的独立性及其作用。然后将称职的工作人员分成三个主要单位,分别承担财务、操作和电子数据处理的工作。再根据机构的主要业务风险编写审计计划,密切和平衡的关注计划、实地工作、报告以及每次审计的后续工作。审计委员会监督内部审计的过程,采用外部审计评估控制系统,就财务报表的真实性和公正性提出意见。
3 以COSO为导向的集团公司内控体系建设思路
以全面风险管理为导向的内部控制体系,是集团公司进行安全生产合规经营的保证,是防范风险、杜绝隐患的“防火墙“,是实现全面风险管理、增强风险控制能力的平台,是保证各项业务健康发展和实现公司战略目标的基础。
3.1 传统的集团内控体系存在的问题
虽然各集团公司执行了内控制度,但仍然无法完全解决内部控制的有效性,有以下一些问题:首先对内控体系管理和体系建设认识不够,以各项制度代替内控机制,没有统一性,规划性不强;其次局限于内部控制管理的事前预防的滞后性和事后纠正的补救性。内部控制的核心内容是事先预防性,是一个从高层到员工全员参与的过程,正确的经营理念,是让员工从被动的接受监督上升到自我约束,自我完善和自我管理;难以彻底解决操作风险管理的薄弱环节,信息沟通不充分,业务范围和解决事项不明确,一些好的方法和理念没有在内控体系中得到应用等等,这些都是实施内控体系的不利因素。
3.2 通过以下步骤建设个性化、针对性、具有动态性的内控体系。
3.2.1内部控制、风险管理与集团管控现状的调研诊断。
从整体运作的系统高度进行全面诊断,对集团本部、业务板块上的各个子集团、重点子公司的各方面经营管理、内部控制与风险管理进行系统的诊断,分析存在的各种问题,深入剖析其背后原因,对现在行制度进行梳理,并对其完备性进行评价,并对集团公司现行的制度执行情况开展学入调研和评价,提升效率和风险可控双重目标。
3.2.2风险事项的识别。
对照《中央企业全面风险管理指引》《企业内部控控制基本规范》等规范文件要求,查找集团总部及各重点单元、经营活动及其重要业务流程中风险事项。根据风险的性质,对风险进行分类梳理,梳理的范围包括:集团公司本部,以及所有的业务。根据调研诊断与问卷调研,广泛收集与集团公司本部及所属业务风险管理相关的初始信息,建立集团公司本部等的风险。
3.2.3风险分析与评价与,并建立风险数据库。
通过对识别出来的风险事项进行详细分析,明确识别风险事项的发
生可能性与潜在影响。以风险识别和风险分析成果为基础,根据对风险发生可能性的高低和对目标的影响程度的评佑,绘制风险评价表,对各项风险进行比较,确定对各项风险的管理的优先顺序和策略,采取“悲观原则”对风险可能产生的后果和程度进行判断,并形成管理层面的风险管理数据库,控制数据库缺陷建立,内控制度缺陷数据库的建立,子公司数据库的建立。为持续改进公司风险控制绩效提供基准。
3.2.4内部控制薄弱点与修订。
根据风险分析与评价结果,并基于《企业内部控制具体规范》等文件,内部控制度
体系的优化重朔,达到对风险有有效监控与防范,针对内部控制制度薄弱点,提出切合实际的措施和修订建议,对流程的流程风险点、控制点提炼与描述。并基于集团管控的流程的挖掘与流程优化,制度条款的补充与修订。
3.2.5编写体系文件与内控体系的普及。
对管控权限指引表编制与修订,尽可能的采用标准的,权威的定义,描绘
所涉及的概念,对概念进行分类,提出明确有方向,或禁止要求。组织培训学习和掌握内控体系基本知识,组织人员进行流程图绘制。这主要包括:内控体系内容、内控体系理念、流程管理、风险培训。
参考文献
[1] 吴水澎,陈汉文,邵贤弟.论改进我国企业内部控制——由’亚细亚’失败引发的思考[J].会计研究,2000,9.
[2] 胡为民,<内部控制与企业风险管理>.电子工业出版社,2007.
[3] 陈少华.内部会计控制[M].厦门:厦门大学出版社,2004.
[4] 企业集团财务公司经营运作研究,中国财务公司协会编,2010.
[5] 杜志丽,姚卫东.如何建立健全投资公司的全面风险控制机制.集团经济研究.