风险管理与内部控制
一、CFO在企业内部控制与风险管理中的角色与使命
中国总会计师协会常务副会长董锋认为,建立风险管理体系,设计好内部控制制度,首先,要把握好CEO与CFO的关系。CEO是企业行政负责人,是班长,CFO作为企业财务负责人,是领导班子成员;CEO是风险管理和内部控制第一责任人,CFO是风险管理和内部控制的具体执行人,因此国外有人比喻CEO是船长,CFO是舵手。其次,要完善公司的管理结构,明确CFO的职责和定位。总会计师在本单位风险管理与内部控制体系中应确定自己的责任、职权和地位的对称与平衡,但这并非是为自己去争权力、争地位;CFO所管理的财务等部门应是一个完整的管控体系,CFO的影响力与控制力必须一杆到底。第三,CFO要自觉执行风险管理和内部控制,同时也要提醒和促使CEO执行。作为领导班子成员,CFO理所当然要全力支持CEO的工作,但在工作中如果发现领导班子成员特别是主要负责人违背企业风险管理与内部控制制度时,也要及时提醒,要有敢于干预的勇气。
原江苏省副省长吴瑞林强调,CFO要树立以爱国主义为核心的民族精神和以改革开放为核心的时代精神;要提高自身的业务修养以适应新时代的要求;要发挥好生财聚财和用财管财这两大职责;要从本轮金融危机中吸取经验教训,履行好内部控制和风险管理的职责。
二、正确认识风险管理和内部控制
内部控制与风险管理既有区别,又有联系。南京审计学院副院长时现认为,对于同一个企业来说,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理都以企业法人为边界,从这点来说,不能将二者截然割裂开来。二者的区别主要表现在:内部控制的重心在企业高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策);内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性;内部控制是风险管理的主要机制,但不是全部;当出现合谋舞弊时,内部控制往往无效,需要风险管理辅之。上海财经大学教授朱荣恩认为,内部控制与风险管理并非平行的关系,内部控制是风险管理的一个重要组成部分,
而风险管理则是内部控制的发展和延续,是一个比内部控制更为宽泛的概念。
高级国际注册内部控制师张玉指出,COSO的内部控制与企业风险管理两个框架实现了内部控制五要素与风险管理八要素的有机结合,而我国财政部等五部委联合发布的《企业内部控制基本规范》与国资委发布的《中央企业全面风险管理指引》并未能进行有效整合。对此,董锋则认为,财政部等部委的规范与国资委的指引虽然没有形成系统,但却有着内在联系,企业应结合自身实际深刻体会两个规范的精神,将风险管理与内部控制结合统一,而不应搞两套机制。
现阶段很多企业认为风险管理是内部审计应该履行的职责,但时现认为,为保证独立性与客观性,企业在构建风险管理过程时,内部审计不应承担原本属于管理层的风险管理责任,而应就企业风险管理过程的有效性提供确认服务,即担任监督者的角色。对于目前我国企业内部控制系统的设计形式,张玉将其总结为三种:外包给会计师事务所;企业自行设计;自行设计与外包相结合。第一种形式耗资巨大,导致合规性成本过高,而采用后两种形式时,由于企业缺乏内部控制设计专业人才,内部控制系统的设计大多由内审人员牵头负责,这导致了“运动员和裁判员角色不分”的问题,因此需要专业人士进行内部控制系统的设计,未来内部控制师这个职业将会得到快速发展。
南京大学会计与财务研究院副院长李心合指出,审计意义上的内部控制与CEO、CFO需要的内部控制有很大区别,而主要区别在立场与出发点上。审计师是站在财务报表可靠的角度,希望内部控制尽可能完备,以便将审计风险降到最小,但企业的目标是价值最大化,过于复杂的控制流程也会损害利润创造。因此企业需要选择好的出发点,优化内部控制体系,既不能过于简单,也不能过于复杂。
三、加强和完善企业风险管理和内部控制建设
对于如何加强企业内部控制建设,朱荣恩认为,实施内部控制的难点主要体现在七个方面:一是正确认识内部控制五要素的内在联系。二是正确理解内部控制的要素、目标及实施主体的关系。三是正确认识内部控制与风险管理的关系。四是正确认识内部控制与企业管理制度的关系。五是正确认识内部控制与外部环境。外部环境如股权
结构、干部管理制度和政府政策取向等因素都会直接或间接地影响我国企业实施内部控制的效果。六是正确认识内部控制需求内因不足的问题。由于内部控制的效益难以衡量、成本与效益不匹配等原因,部分企业的管理层认为只要企业不出事就可以了,只要达到法律法规的最低要求就行了,并没有将内部控制作为企业管理的内在要求。七是正确认识IT平台在内部控制中的应用。
江苏高科技投资集团董事长徐锦荣介绍了其所在企业的风险管理及控制经验。一是加强组织建设。集团董事会是风险管理的第一责任主体,董事会下设的审计与风险控制委员会具体负责风险管理工作。二是加强制度建设。把管理制度、业务流程再造作为风险管理的重要基石,建立符合创业风险投资特点的业务运作流程和与之配套的一系列管理制度和风险控制制度,目前已经形成了由制度、流程、关键控制点三个层次组成的制度体系。三是创立符合国情和创投业务特点的风险控制工具。建立风险管理信息系统,对所有项目的财务、管理信息进行定期的汇总、分析,动态监测项目运作情况。并实行定性和定量指标相结合,对投资项目定期进行ABC(正常、次级、警示)分级,及时采取风险防范措施。四是构建符合实际的风险管理评价机制。根据市场环境、金融工具、法律法规等因素的变化及发展情况,不断调整和改善风险管理制度,并通过对业务流程关键控制点的及时介入,实行持续的检验测试,以确保制度执行充分有效。
徐州矿务局副总会计师张锦河介绍了徐矿集团在投资风险控制方面的教训和经验。以前徐矿集团曾因盲目多元化而导致公司经营管理的巨大失利,在总结教训和经验后建立了归核化的投资战略和投资风险控制模式,即在投资活动中围绕煤炭产业这个“核”进行综合开发,同时围绕核心竞争力的形成与提高这个“核”进行风险控制。经过六年的实践,徐矿集团的经济效益和经营规模快速增长,逐渐步入良性发展的快车道。其风险控制的具体做法有:采取全面预算管理,将“物本管理”与“人本管理”相结合,不仅对集团公司投资所形成的项目、资产、资金进行管理,而且通过激励与约束制度的建立,将个人价值与企业价值进行整合统一;通过集团制定统一的目标和战略规划与投资政策,规范集团内各成员单位的投资行为,以实现资源聚合效应与管理协同效应;围绕提高集团公司核心竞争力这个目标,制定多元化标准,而不仅仅是单一的财务标准。
四、IT环境下内部控制体系的建设
与传统意义上的内部控制体系建设相比,IT环境下的内部控制体系建设具有其独到的特点,参会的企业详细介绍了其各自的做法。
江苏国信集团财务部总经理王家宝认为,集团管控应以资金集中管理为核心,而IT环境下企业开展资金集中管理应从四方面入手:一是构建资金集中管理组织和账户体系,协同管控、实现资金统一运作。二是设计资金集中管理的关键流程和制度,实行资金计划流程管理、自动零余额的资金归集上收、动态掌控资金流向的资金下拨、内部各成员单位之间的统一结算管理。三是通过网络实时监控资金流量,动态平衡资金需求,统一调度资金。四是创新内部资金计息管理机制,充分调动成员单位参与集中管理的积极性。他进一步指出,资金集中管理首先要有一把手的推动,其次要设计出互利共赢的方案,最后还要有必要的技术、人员、相关部门的支持。
东风悦达起亚汽车股份有限公司总会计师生育新详细介绍了其所在企业的内部控制体系,具体分为内部会计控制、生产管理控制和质量控制三大部分。内部会计控制主要包括现金收支业务控制、应收应付控制、固定资产控制、成本控制和投融资控制。生产管理控制主要包括开发采购控制、生产物流控制、销售流程控制和人力资源控制。质量控制包括ISO9000、14000质量认证体系、部品质量控制、C-audit评审(整车质量评审)、质量成本控制和质量实名控制。在IT环境下,该公司从健全全面预算管理体系、整合ERP系统、强化内部稽核机制、狠抓作业、成本费用和管理标准化建设四个方面加强内部控制建设。生育新认为,实施ERP是企业适应市场竞争、强化核心竞争力的有力工具,而健全的内部控制才能使ERP的功能得到全面发挥,因此应大力建设IT系统,但IT系统的实施并不能取代管理和控制。
从企业的实践中可以看出,IT能在多方面提升内部控制和风险管理水平,但朱荣恩认为,IT平台仅仅是内部控制实施的一个硬件保障,
而非必备条件,它只能代替内部控制中的沟通等某些环节,却代替不了管理基础和监控,更不能完全代替内部控制。
五、内部控制审计与风险管理审计
时现认为,随着企业风险管理的推进,在内部审计中需要进行风险管理审计来评价并改善风险管理、控制和治理过程的效果。因此她提出了一种以风险为导向,对企业的风险管理进行审计的风险管理审计模式—审计客体和审计流程双轮驱动的风险管理审计。首先,以风险为导向制定内部审计计划;其次,基于风险矩阵图实施审计;再次,进行数字化的风险测试与风险评价;最后,出具前瞻性的风险管理审计报告。与内部控制审计相比,风险管理审计更关注控制的结果,即风险是否得到了有效控制,而内部控制审计更关注控制的过程,即控制环境和控制活动。风险管理审计与内部控制审计并不是截然不同的,二者在整个审计系统框架中具有诸多相似之处,只是重点和审计角度在一定程度上有所不同而已,可以说,企业风险管理审计是企业内部控制审计的发展和延伸。
