作者:冯巧根
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
风险管理与内部控制试读:
前言
随着全球经济一体化的深入,企业与外部组织的联系日益密切。跨国经营和国际竞争进一步加剧了企业环境的不确定性,复杂的内外部环境使企业的经营活动受到多种不同因素的影响,迫使企业寻求更为有效的管理方式来预防和控制风险,并采取诸如降低损失发生的概率等控制措施来保障企业的经营活动正常、有序地运行。
风险管理离不开完善的内部控制。建立和健全内部控制体系,一方面能够提升企业高层管理者应对各种风险的能力或风险管理水平,避免各种内部舞弊行为的发生;另一方面,能够为审计师提供有效的企业内部控制信息,提高审计报告的质量,进而降低审计风险。根据发起人委员会(Committee of Sponsoring Organizations of the Treadway Commission,COSO) 2004年颁布的《企业风险管理框架》中的观点,风险管理是在内部控制的基础上衍生发展而来的,内部控制是企业风险管理的有机组成部分。然而在现实中,风险管理与内部控制是相互嵌套、趋于融合的结合体。风险管理与内部控制是现代企业加强经营管理,提高经济效益,保障财务报告真实、可靠和完整,以及实现企业战略目标的有效手段或重要的管理工具。
2006年是我国“风险管理与内部控制”的制度元年。这一年,国务院国有资产管理委员会(以下简称国资委)发布了《中央企业全面风险管理指引》;同年,上海证券交易所(以下简称上交所)、深圳证券交易所(以下简称深交所)颁布实施了《上市公司内部控制指引》;这一年也是财政部研究与制定《企业内部控制基本规范》及《企业内部控制应用指引》的起始年份。十多年的实践表明,建立一套适合中国情境特征的“风险管理与内部控制”规范体系,是广大投资者和监管机构优化公司治理的客观需要,也是企业强化经营管理的内在要求。本书尝试从全新的视角向读者诠释企业的风险管理与内部控制,具体的特色和优势表现如下。(1)探索新的理论框架。本书在梳理国内外相关前沿理论的基础上,博采众长、兼收并蓄。在不失理论前瞻性的基础上,突出方法体系的完整性与科学性,试图更好地展示风险管理与内部控制的本质属性。(2)体现风险管理与内部控制的共生性。在企业持续经营的过程中,经营者最关注的是生存与发展的风险。风险管理应当贯穿于企业经营活动的始终,必须在企业的全过程加强与之相关的内部控制。企业风险的动态性与复杂性已经成为一种常态,没有一个企业能够在系统风险面前独善其身。风险管理与内部控制已经形成一种有机的共生系统。(3)增强阅读的趣味性。本书采用理论分析与案例解析相互交织的形式进行阐述,即应用简短的小案例呈现或说明风险管理与内部控制的内在规律或应对机理,力求在理论与实践相结合的同时,提高读者理解相关技术或方法的动力,促进企业在加强风险管理的同时,更好地运用内部控制理论与技术方法提升其自身价值。(4)编写体例的灵活性。本书在编写过程中,视“风险管理”为一种“硬”的管理手段,将“内部控制”作为一种“软”的载体予以描述,试图说明柔性管理在风险管理与内部控制活动中的重要性与必要性,以增强实施主体对组织或组织之间开展风险管理与内部控制行为的主动性与积极性。同时,引导读者结合自身的学习和工作实践灵活地思考风险管理,提高实务工作者对内部控制制度体系建设的复杂性与异质性的认识。
本书从风险管理与内部控制的关系入手,在企业风险的多层视角下诠释内部控制的范式。本书基于上市公司的内部控制框架构建企业主体的风险管理体系,并以风险为导向设计企业内部控制机制的优化路径,具体包括运行机制、约束机制和评价机制等。同时,本书结合资本市场对内部控制信息的需求,提出了改进内部控制信息披露的技术方法。此外,在概括与梳理风险管理要素特征的基础上,本书对风险管理在内部控制中的地位进行定位并构建相应的风险控制规范体系。例如,基于风险控制目标,本书进一步探讨了风险报告的模式并提出了相应的改进建议。风险控制作为保证组织实现特定目标的一个风险管理过程,它贯穿于企业经营活动的各个方面。基于此,本书在传统风险管理理论的基础上,对风险控制体系进行了扩展;在“互联网+”“智能制造”等企业新的经营情境下探讨风险控制的创新实践,吸收了最新的案例研究成果,力求反映实务发展的新动向。
本书由南京大学冯巧根教授担任主编,负责全书内容和章节体系的设计。全书共分十章,具体分工如下:第一章由李凯风、王蓓琪执笔;第二章由邵留洋执笔;第三章由朱琦执笔;第四章由陈静执笔;第五章由杨红娟执笔;第六章由徐攀执笔;第七章由冯圆执笔;第八章由张艳执笔;第九章由张毓婷执笔;第十章由施然、夏范社、宋良仪执笔。在编者完成的各章书稿的基础上,由冯巧根教授对全书进行总纂定稿。本书在具体编写过程中参考了国内外许多相关的教材、著作和论文,除一些可以直接引用的资料已做说明外,其他间接引用或借鉴的资料因受条件限制暂未列出,在此对该部分资料的作者表示衷心的感谢。
由于“风险管理与内部控制”的相关理论与实践仍处于不断发展变化之中,加之编者水平有限,书中难免存在疏漏或不妥之处,恳请读者不吝指正,以便本书再版时做出更具针对性的修订与完善。编者2018年10月第一章 风险管理与内部控制概述本章结构图本章学习目标● 掌握风险的含义,了解企业风险的基本类型。● 理解风险管理的内涵,掌握风险管理的框架体系和方法。● 理解内部控制的定义和本质,了解内部控制发展的5个阶段。● 把握内部控制的方法,认识内部控制的作用和局限性。● 理解风险管理与内部控制之间的区别与联系。
随着社会的不断进步,企业管理已经发展成为高度智能化的综合控制体系。内外部环境的复杂性决定了企业正常的生产经营活动始终暴露于一定风险之下,因此,企业如何做到及时有效地对风险进行识别、评估和管理,进而顺利实现企业经营目标,成为现代企业管理的重要课题之一。内部控制作为确保实现企业目标而实施的一系列程序和政策,与风险管理有着十分密切的联系。本章以现代企业作为研究对象,对风险管理的内涵与体系结构、内部控制的作用与局限性,以及风险管理与内部控制之间的区别与联系等基本问题加以阐述,以帮助读者初步认识企业风险管理与内部控制的基本框架。第一节 企业风险与风险管理
风险是指在特定环境、特定时间段内,某种损失发生的可能性。风险的形成原因是多种多样的,一般可以概括为主观原因和客观原因两方面。由于形成原因不同,风险也可以分为不同的类型。针对不同类型的风险,风险管理的程序也不尽相同。本节将从风险的含义与分类、风险管理的目标和基本方法等视角,简要介绍企业日常生产经营中面临的风险以及风险管理的基本内容。一、风险的含义与分类(一)风险的含义
企业做出某项生产经营决策,其结果可能对企业的发展产生积极影响,也可能产生消极影响,或者兼而有之。产生消极影响的决策将给企业带来风险损失。因此,风险就是指某个事项的不确定性及其对目标对象产生消极影响的可能性。
经济学中一般将风险定义为“事件或经济结果的不确定性”或“发生危险、损失或其他不利结果的概率和程度”。尽管经济学家们可能会对风险做出不同的定义,但风险一般都具有以下3个特征:一是风险是关乎未来的,已经发生的事实不能算作风险;二是风险表现为不确定性,事先不能完全确定其结果;三是风险意味着事件或结果的不确定性可能会导致损失的发生。(二)风险的形成
企业风险的形成原因是多种多样的,既可以来自外界不确定性等客观因素,也可以来自内部管理等主观因素。例如,2008年全球金融危机对于企业来说是外部客观因素带来的风险。2009年三鹿集团破产则与生产者道德伦理缺失、管理当局不注重诚信密切相关,属于内部主观因素带来的风险。
1. 风险形成的主观因素
一般来说,企业风险形成的主观因素一般包括以下几个方面。(1)企业风险意识的缺乏。市场本身并不完善,身在其中的企业也会深受其影响。由于市场变化的不规则性、经济活动的复杂性以及企业自身经验和能力的局限性,使得企业不能准确预见外界市场环境的变化,缺乏相应的风险意识,从而面临风险。(2)企业内部管理的失衡。企业生产经营涉及诸多环节,任何一个环节出现故障,企业如果不能及时纠正,都会影响到企业的正常运行。例如,生产运转、质量管控的不确定;研究开发、战略选择的不确定;产品生命周期、员工行为的不确定等。企业的内部管理如果不够有效,将会大大增加企业决策者甄别和防范风险的难度。(3)企业资金管理能力有限。如果企业拥有足够多的周转资金,那么就拥有了一定的风险防御能力。事实上,不论是大企业还是小企业,对资金的管理能力都是有限的。某些大企业虽然资金规模庞大,但是一旦发生风险损失,就会在一夜之间化为乌有。
2. 风险形成的客观因素
除了主观因素,企业风险形成的客观因素一般包括以下几个方面。(1)企业经营环境的不确定性。这是导致企业风险的直接原因。经营环境的不确定性包括多个方面,如政治的不确定性、政策的不确定性、宏观经济状况的不确定性和自然环境的不确定性等,这些都会使企业暴露在一定的风险之下。(2)市场运行的复杂性。社会生产和再生产过程,以及相应的经济活动运行都是极其复杂的。行业结构在变化,产品投入市场后的竞争环境面临着巨大的不确定性。特别是在市场经济条件下,市场更加呈现出了自身的不规则性,不可避免地会给企业带来风险。(3)科学技术的飞速发展。21世纪是一个信息时代,是知识经济的时代。企业在享受科技进步带来的前所未有的便利和福利的同时,也不可避免地面临着科学技术带来的一些负面影响。现代科技的风险不仅来自技术发展的不确定性,还来自人们对高新科技的高度依赖。科技失效或者技术使用不当等都会使企业面临风险。(4)经济全球化的影响。经济全球化使得企业获得更多的发展机遇,同时也使得企业面临更大的挑战,这同样大大加剧了企业生产经营面临的风险。(三)风险的分类
由于企业风险及其特征非常复杂,风险承受主体又各不相同,因此关于风险的认定、分类一直没有权威的定论。这里,我们列举几种常见的企业风险的分类方法。
1. 按风险的来源分类
按风险的来源可将其分为商业风险、管理风险、财务风险、操作风险、自然风险等。商业风险是指由于商业、法律、经济环境等的变化而引起的风险,通常又可以细分为市场风险、信用风险、经济风险、法律风险等。管理风险是指由于管理制度欠缺、决策失误或者信息失真而引起的风险,包括财务和经营信息的不足、决策计划的失败、资源的浪费等。财务风险主要体现在企业资产和现金流的充足性是否有保障,即企业是否有充足的资产偿还债务,是否有足够的现金流来满足日常生产经营所需的支出。操作风险是指企业由于内部程序不完善,人员、系统及运营过程中的错误和疏漏而可能引致潜在损失的风险。自然风险是指自然因素的不确定性给企业带来的风险,如洪水、风暴、地震等;这种风险通常是灾难性的,多数情况是人力所无法抗拒的。
2. 按风险的形成原因分类
按风险的形成原因可将其分为主观风险和客观风险。主观风险是指由于主观决策失误所带来的风险,它是由主观认识的局限性造成的。客观风险是指由于外界客观条件影响而构成的风险,它虽不是由企业主观因素引起的,但企业可以及时主动地预测客观情况的变化趋势,以便及时采取应变措施。
3. 按风险的结果分类
按风险的结果可将其分为纯粹风险和投机风险。纯粹风险是指只有损失机会而无获利机会的风险。纯粹风险导致的后果只有两种:损失,或者无损失也无获利。有形资产的毁损、贬值就属于纯粹风险。投机风险是指既存在损失可能性,也存在获利可能性的风险。它导致的结果有3种可能:损失、收益或是无损失也无收益。购买股票带来的风险就是一种典型的投机风险。纯粹风险和投机风险一般是同时存在的。纯粹风险可以重复出现,企业可以预测其发生的概率,从而采取防范措施。投机风险重复出现的概率小,因而预测的准确性相对较差。
4. 按风险的形态分类
按风险的形态可将其分为静态风险和动态风险。静态风险是指由于自然力的不规则变化,或由于企业决策失误导致的风险。从风险结果来看,静态风险多属于纯粹风险。动态风险是由于企业需求的改变、制度的改进,以及政治、经济、社会、科技等环境的变迁导致的风险。从风险结果来看,动态风险既属于纯粹风险,又属于投机风险。
5. 按风险的影响范围分类
按风险的影响范围可将其分为局部风险和全局风险。局部风险是指由某个特定因素导致的风险,其损失的影响范围较小,只在某一局部范围内存在,未波及总体。总体风险是指在一个整体内涉及全局的风险,影响范围大,其风险因素往往无法加以控制,如经济、政治等因素。
6. 按风险的可控程度分类
按风险的可控程度可将其分为可控风险和不可控风险。可控风险是指企业对风险形成的原因和条件认识较为清楚,并能通过采取相应的措施,把风险控制在一定的范围内。不可控风险主要是由于自然因素和外界因素的影响而导致的风险。企业对这类风险形成的原因和条件认识不清,或者即使有较为清楚的认识,也无力改变外界的条件,因而失去预测和控制能力。二、风险管理概述(一)风险管理的起源与发展
风险管理思想起源于德国。第一次世界大战之后,德国出现了严重的通货膨胀,经济严重衰竭。企业如何摆脱困境、恢复正常生产经营,成为当时德国企业面临的重要问题。人们开始思考,当企业遇上重大消极事件,或者财务出现严重危机时,企业应当如何应对。因此,企业界提出了包括风险管理在内的一系列经营管理问题。
1929年,美国爆发了资本主义经济史上最持久、最深刻、最严重的周期性世界经济危机。美国出现了经济大萧条,随后时任总统罗斯福开始实行新政,提出了许多至今仍在发挥巨大作用的法律法规,如《证券法》《证券交易法》等。这对美国后来的发展起到了推动作用,更使得风险管理问题成为许多经济学家研究的重点。
20世纪50年代中期,“风险管理”这个术语出现在美国。最早的文献之一是加拉格尔于1956年发表于《哈佛商业评论》上的一篇文章。加拉格尔认为,组织中应当有专人负责管理风险,这样的人应当被称为全职风险经理。同一时间,企业界发生的两件大事更使风险管理问题在企业界引起了极高的重视并得到推广:一是美国钢铁行业发生了长达半年的大罢工,给国民经济造成了难以估量的损失;二是通用汽车的自动变速装置引发火灾,造成巨额经济损失。这两件大事促进了风险管理在企业界的推广,风险管理由此得到了蓬勃发展。
随着科技、生产和贸易的迅猛发展,企业生产经营面临更多新的不确定性因素,经济活动的竞争性进一步加强。企业面临的风险日趋复杂,包括环境风险、经营风险、技术风险、财务风险、人员风险等,任何风险处理不当都可能给企业带来巨大经济损失。在拥有了较多管理科学知识和工具如运筹学、统计学、计量经济学等之后,企业开始用资产组合理论做指导,来分散企业所面临的风险。资产组合理论提出:“不要把鸡蛋放在同一个篮子里。”即将资金投资于不同资产结构的组合中可以有效降低风险。
20世纪80年代以后,风险管理取代了过去的保险管理。人们不仅希望预防风险损失,而且希望从风险管理中获利。因此,风险管理除了估计单一风险发生的可能性和风险的复杂性之外,还要分析风险可能导致的后果,分析哪些风险可以控制,从而使企业对风险进行系统的安排和处理。此时,“全面风险管理”思想应运而生。通过识别和评价所面临的风险,企业可以避免一些风险损失并从风险管理中获利,从而使得损失的影响最小化。风险管理真正演变成为一门研究风险变化规律,并在此基础上采取优化组合化解风险,从而以最合理的成本和最安全的保障实现企业目标的管理学科。(二)风险管理的含义与作用
企业进行风险管理,意味着要把握机会、处理风险,以便创造价值。企业进行风险管理是一个系统的过程,由相关人员负责组织实施,并贯彻于企业的战略之中,及时识别出可能会影响企业正常生产经营的潜在事项,及时对风险进行管理以使其在可控范围之内,为企业目标的顺利实现提供保障。因此,风险管理可以定义为:企业围绕总体发展战略与经营目标,通过在企业管理的各个环节和生产经营过程中执行风险管理的基本流程,树立良好的风险管理理念,建立健全的风险管理体系,包括策略、措施、组织、信息系统和内部控制系统等,为风险管理的总体目标提供合理保证的流程和方法。
1. 风险管理的含义
企业风险管理的含义包括以下几个方面。(1)风险管理是一个动态的过程。风险管理不是一成不变的,而是渗透于企业的各项生产经营活动中,这些活动彼此相互影响、相互作用,共同影响着企业总体战略目标的实现。(2)风险管理影响企业各项战略决策的制定。企业设定其目标,并为了实现该目标而制定各项战略决策。管理当局制定各项决策时,应当充分考虑可能面临的风险以及相应的风险管理方法。(3)风险管理应当立足于企业整体视角。在应用企业风险管理时,企业应当充分考虑到各个层级的全部活动。例如,从战略规划和资源配置到公司层次的活动,再到财务管理、市场营销、人力资源管理等业务单元层级的活动,以及生产加工、供应商选择、客户信用评价等经营流程。(4)风险管理应当由专门人员组织负责实施。企业风险管理通常由董事会、管理当局和其他专门人员实施。风险管理人员制定风险管理使命、战略和目标,使得公司风险管理得以顺利实施。
2. 风险管理的作用
有效地对各种风险进行管理,对企业来说具有重要的意义。其作用主要体现在以下几个方面。(1)风险管理有利于保护企业资产的安全和完整。企业可以通过风险管理以最小的损耗把风险损失减少到最低限度,达到最大限度的安全保障,从而为企业提供了安全的生产经营环境,有效地减少了企业和员工的后顾之忧,使其全身心地投入生产经营活动之中,保证了企业各项活动的正常进行。(2)风险管理有利于促进企业决策科学化。风险管理利用科学系统的方法,预防和管理各种风险,有利于企业做出正确的决策,帮助企业减少和消除生产风险、经营风险、决策失误风险等。这对于企业的科学决策、正常经营具有重大意义。(3)风险管理有利于保障企业经营目标的顺利实现。风险管理的有效实施,能够使企业增加收入、减少支出,使企业风险损失大大降低,并且能使企业在损失发生后及时、合理地得到经济补偿,这就直接或间接地减少了企业的费用支出,使得企业盈利建立在更为稳定的基础上,保障了企业生产经营目标的顺利实现。
风险管理不仅对企业具有重大意义,而且影响着整个社会的经济发展。风险管理有利于消除或减少风险所带来的社会资源的浪费,有利于提高社会资源的利用效率。风险管理对整个经济、社会的正常运转和健康发展起到了重要作用。它通过风险预测、风险规避、风险转移等方式,为社会提供最大的安全保障,有助于社会安定和谐,经济健康发展,促使人民生活水平不断提高。(三)风险管理的目标
顾名思义,风险管理的主要目标是预测、防范和控制风险,降低损失发生的概率和程度,保障企业生产经营和各项活动的顺利进行。风险管理的目标通常可以按照其发生的时点分为两个部分:损前目标和损后目标。损前目标是避免或降低损失发生的概率和程度;损后目标则是促使企业尽快恢复正常状态,保障企业生产经营活动的顺利进行。损前目标和损后目标共同构成了企业风险管理的目标体系。
1. 风险管理的损前目标
风险管理的损前目标通常包括以下几个方面。(1)降低损失发生的概率。所谓风险管理,应当以预防为主,而预防的精髓就在于采取有效措施降低损失发生的可能性。(2)减轻风险带来的损失规模。风险管理应当能够有效地降低风险发生后给企业带来的损失,如投资组合就可以在相当程度上降低投资不利时的损失程度。(3)经济可行性。风险管理者应当用最经济的手段为可能发生的风险做好准备,运用最佳技术手段降低管理成本。在决定对风险采取措施之前,应综合权衡所需要的成本,以及由此取得的收益,即风险管理从经济角度看是可行的。(4)合理合法性。企业采用适当的方法进行风险管理时,必须符合相关法律法规。例如,董事为了弥补风险给企业带来的损失,隐瞒股东挪用企业的盈余公积,虽然出发点是为了管理风险,但是不符合法律规定,是不可取的。(5)减少忧虑心理。某些风险,尤其是生产安全隐患,给员工带来了精神上和心理上的紧张、不安,这将严重影响劳动生产率,造成工作效率低下。因此,损前风险管理应当能够有效缓解人们的焦虑情绪,提供心理上的安全感和有利于生产顺利进行的宽松环境。
2. 风险管理的损后目标
风险管理的损后目标同样也包括多个方面。(1)维持生存。企业的两大根本问题就是生存和发展。对企业而言,生存是第一位的,只有先生存,才能谈发展。因此,风险损失后的第一目标就是生存,即企业在经济社会中仍能作为一个经营实体继续存在。(2)恢复正常生产经营。损失发生后,实施风险管理的第二个目标就是尽快恢复正常生产经营,尽快将各项指标恢复到损失前的水平。在市场竞争日趋激烈的今天,企业发生的风险,很可能就是竞争对手的机会,这对企业的影响十分巨大。(3)实现稳定的收入。收入的稳定与维持正常生产经营并不是同一个概念,生产经营的正常进行可能是以牺牲收入为代价获得的。在成本费用不增加的情况下,企业通过持续的生产经营活动,或者通过资金补偿,都可以达到实现稳定收入这一目的。(4)实现持续增长。创造价值是企业经营的最高目标,也是风险管理的最高目标,而这个目标的实现离不开收入的持续增长。因此,对于企业而言,持续增长能力是最重要的目标之一。(5)处理好与各利益主体的关系。维护企业形象和品牌,处理好与各利益主体的关系,这一点在发生重大风险事件和危机事件后显得尤为重要。另外,企业应当积极履行社会责任。有效地处理风险事故所带来的损失,减少损失造成的种种不利影响,可以使企业更充分地承担社会责任,树立良好的社会形象,获得良好的公众反映。(四)风险管理的体系
从结构性视角考察,风险管理是一种集方法、模型、管理制度、组织架构、组织文化于一体的综合系统。完整的风险管理体系应当包括8个相互关联的构成要素,它们源于高层管理者经营企业的方式,并与管理过程紧密结合在一起。
8个构成要素如图1-1所示。图1-1 企业风险管理体系(1)内部环境。内部环境为企业组织中的人如何看待风险和着手控制风险奠定了基础。它不仅包括完善的企业组织结构,还包括相应的风险管理组织,及专门为企业从事风险管理活动而成立的机构,是风险管理的执行者。(2)目标设定。只有围绕既定目标,管理者才能识别影响该目标顺利实现的潜在风险。管理者应当采取恰当的方式设定目标,确保所设定的目标支持并契合企业的总体战略和使命。(3)政策制度。政策制度包括财务运营和公司运营的政策、制度、程序等。例如,随着某项业务的财务金额的增加,审批领导的级别也必须相应地提高,这就是一个典型的财务决策制度。只有具备完善的政策制度,才能保证企业的正常运营。(4)风险识别。风险识别是指在风险事故发生之前,企业管理者运用各种方法,系统而连续地认识所面临的各种风险,以及分析风险事故发生的潜在原因。风险识别是风险管理的基础。企业只有在正确识别出自身所面临的风险的基础上,才能采取有效的方法进行处理。(5)风险评估。风险评估是指对识别出的风险因子进行分析,以便确定对它们进行管理的措施和方案。管理者不仅要对企业固有的风险进行评估,也要对剩余风险进行合理评估,充分考虑到风险发生可能性的大小以及风险的影响程度。(6)风险管理。在风险识别和风险评估之后,企业管理者应当拟定相应的风险管理方案,采用适当的管理方法,如风险规避、风险降低、风险转移、风险留存、风险对冲等,使得企业的风险容限和风险容量相协调。(7)风险监控。风险监控是指对企业风险管理进行全面监控,必要时加以修正。风险监控能够动态地反映风险状况,企业可以根据风险损失情况的变化及时调整风险监控的策略,及时纠正风险管理方案的不合理之处,确保企业生产经营的正常进行。(8)信息与沟通。企业主体的各个层级都必须借助信息来识别、评估和应对风险,这就使得信息的有效沟通变得尤为重要。信息必须在企业主体的上行、下行、平行中快速流动,确保员工明确他们自身的职能和责任,为风险管理提供保障。(五)风险管理的方法
上述内容提到,风险管理的目标可以按照其发生的时点被分为损前目标和损后目标两类。事实上风险管理的方法也可以按照发生时点分为损前和损后两类,即控制法和财务法。
1. 控制法
所谓控制法,就是在损失发生之前,通过各种管理和组织手段,力求消除各种风险隐患,降低风险发生的概率,将可能发生的损失减少到最低。例如,财务部“管钱不管账,管账不管钱”,即将出纳和会计的职责划分开,就是对财务舞弊的一种事前控制。常见的控制方法有风险规避策略和风险降低策略。(1)风险规避策略
风险规避策略是指在风险预测的基础上,对于已存在的风险和其发生损失的可能性,采取不承担风险或者放弃已承担风险的方式,来规避损失发生的可能性。风险规避一般包括3种情况:改变条件、中途放弃和彻底避免。改变条件是指改变生产经营活动的性质、生产流程或者工作方法等,通常不属于根本性的变化。例如,工厂生产某产品时,以惰性材料取代易燃易爆材料,可以避免爆炸风险。中途放弃是指在生产经营过程中,出现了新的不利因素,经过利弊权衡之后,决定放弃。例如,开发出的新产品试销情况不理想,于是中止试验和研究,以避免承受更大的风险。彻底避免即企业拒绝承担某种风险。例如,某化工厂拟进行一个新项目,经过分析,发现该项目对环境危害很大,违背了国家相关法律法规,于是决定放弃该项目。
风险规避策略有着较大的局限性。对于一些风险较大的项目,企业可以采用风险规避的方法。但是对于大部分经营决策,采用该方法在避免风险的同时,也意味着损失了企业的利润。事实情况是,企业的生产经营活动不可能完全避免风险。但是,对于部分项目的部分风险,如果风险较大,企业可以采用风险规避的方法,主动放弃经营。(2)风险降低策略
风险降低策略是指企业主动采取控制策略,在风险事故发生之前,尽量消除损失可能发生的根源,努力降低风险发生的可能性,并在损失发生之后,尽量减少风险损失程度的一种对策。一方面,企业在风险发生之前,采用预防策略,提高风险识别和度量的科学性,为预测风险提供可靠的基础,同时科学地分析风险因素,从源头处对风险进行治理,防止风险事故的发生。另一方面,风险事故发生后,企业应当积极采取各种措施,如风险救护、应急计划、风险分离、总结经验教训等,最大限度地降低风险损失程度。企业应当积极总结风险事故发生的教训和降低损失的经验,力求探索出其中的规律,增强风险防范意识和能力,真正做到全面风险管理。“风险降低策略”的基本落脚点是遏制风险因素,减少风险损失。风险降低策略是企业风险管理中最积极主动也是最常采用的方法,这种方法可以克服风险规避方法的局限性。企业并不完全放弃某一特定项目或战略,而是把它们可能带来的风险发生的可能性降到最低,把风险发生后可能带来的不利影响降到最小。这样既不会损害企业的利润,又可以很好地防范风险。
2. 财务法
如上文所说,风险按照其可控程度可以划分为可控风险和不可控风险。许多风险是不可避免的,其损失也是难以预料的。因此,当企业面临风险带来的损失时,如何有效运用各种财务工具,及时进行经济补偿,以减少财物损失带来的不利影响,是风险管理的重要内容。财务法通常是指损失发生后的管理,即风险已经发生,已经给企业带来一定损失,企业如何运用各种财务工具,尽快恢复正常生产经营,对损失后果进行弥补。例如,风险自保资金、风险准备金等,都属于事后防范措施。常见的财务方法包括风险转移策略、风险留存策略和风险对冲策略。
风险转移策略是指企业将其损失有意识地转嫁给和其有经济利益关系的另一方承担,通常是因为另一方更有承担该风险的能力和意愿。转移风险并不是一种不道德或不合法的行为,相反地,它不仅是企业防范风险的合法手段,也是企业进行风险管理的重要策略。企业实施风险转移策略一般包括合同转移和保险转移。合同转移是指企业以签订合同、协议等形式将风险转移给对方。而保险转移是最常见的一种风险转移策略。企业通过签订保险合同,向保险公司缴纳一定的保险费用,当风险事故发生时,企业就能获得保险公司的赔偿。
风险留存策略是指企业自行设立基金,自行承担风险损失发生后财务后果的处理方式。企业运用风险留存策略必须具备两个条件:一方面,风险带来的损失金额可以直接预测;另一方面,企业的财务能力足以承担风险带来的最坏后果。风险留存策略实质上是企业在某种风险无法回避也不能转移或因冒风险可获得较大的利益时,自行承担风险及损失发生后的财务后果。许多情况下,风险留存策略是与风险转移策略结合起来运用的。
风险对冲策略是资本市场和金融市场中的常见方法,即运用金融财务工具、金融衍生工具等来降低风险损失。例如,跨国公司的经营十分分散,在各个分部的功能货币可能并不相同,这就使得公司财务状况因外汇波动而不稳定。跨国公司可以采用期权策略来对冲外汇风险,即买进某种货币在将来以某固定价格卖出的权利;也可以采用期货策略,即预计未来某种货币的收入情况,然后做相同币种外汇期货的空头。企业通过风险对冲策略,同样可以有效地降低风险带来的损失。第二节 内部控制的形成与发展
所谓控制,是指行为主体为了保证在不断变化的条件下既定目标仍然能顺利实现,按照事先拟订的计划和标准,通过一系列手段和方法,对影响目标完成的可控因素进行管理,以保证目标实现的管理活动。大至国家的社会、经济活动,小至一家小企业的业务活动和收支情况,都需要进行合理的控制。企业的内部控制实质上也是一种控制,是企业有效执行其战略决策的必备工具。本节将从内部控制的发展阶段、方法等角度,简要介绍企业内部控制的基本内涵。一、内部控制的基本概念(一)内部控制的含义
内部控制是指为了确保实现企业目标而实施的程序和政策。不同的组织和机构基于不同的角度与层次,对内部控制的定义有着不同的理解和认识。针对内部控制的不同理解,内部控制大致有以下几种典型的定义。
1. 美国注册会计师协会(AICPA)对内部控制的定义
美国注册会计师协会所属的审计程序委员会,于1949年首次提出“内部控制”这一概念,并将其定义为:“内部控制包括经济组织的计划以及经济组织为了保护其财产、检查其会计资料的准确性和可靠性,提高经营效率,保证既定的管理政策得以实施而采取的所有方法和措施。”
2. 美国COSO对内部控制的定义
目前,国际上认同度最高、最具有权威性的内部控制概念框架当属1992年9月美国COSO提出的《内部控制整合框架》,现已更新至2013年版本。该报告认为,“内部控制是为了达成某些特定目标而设计的过程;内部控制是一种由企业董事会、管理阶层与其他人员执行,由管理阶层所设计的为达成经营管理的效果及效率,为财务报告的可靠性和相关法律的遵循提供合理保证的过程”。
3. 加拿大COCO委员会对内部控制的定义
COCO委员会是加拿大特许会计师协会(CICA)下属的控制规范委员会,专门对控制系统的设计、评估和报告进行研究,并发布相关指南。COCO的报告中认为,“内部控制是为了支援组织成员达成经营管理的效率和效果,保证内部与外部报告的可信度,遵循相关法规以及内部政策、办法等目标,而由组织资源、系统、过程、文化、结构与作业等元素组成的框架”。
4. 我国对内部控制的定义
2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称《规范》)。《规范》指出,“内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程”。由此可见,我国对内部控制的定义主要借鉴了COSO报告的相关内容。
总之,在企业管理实践中,人们逐渐认识到内部控制是一种管理体系,是整个经营管理过程中的一个重要组成部分和手段,是实现组织管理高效化、专业化、规范化和信息化的最基本条件。
内部控制的概念可以进一步分为控制主体、控制客体、控制范围和控制手段。内部控制的主体是内部控制制度设计、执行和考核评价的主体。区分内部控制与外部控制的标准就是控制主体,只要控制主体属于组织内部,这种控制就是内部控制。内部控制的客体是企业组织内部的经济、业务管理活动,即企业内的一切生产经营活动、财政收支活动、行政业务活动等。
内部控制的范围可以是部分的,也可以是全局的。部分控制是指内部控制只包括和处理与经济业务有关的内部会计控制,内部控制只与资产管理、资金管理有关,而与企业性质、业务等无关;全部控制是指内部控制应当包括企业全部管理控制,超越会计、财务的范畴,渗透经营的各个方面和管理的整个过程。
内部控制的手段,主要有牵制论和组织方法论两种观点。牵制论认为,内部控制只包括相互联系、相互牵制的管理制度或职责分工制度。组织方法论认为内部控制不仅包括牵制论的范畴,还包括组织、方法、手续等其他手段。(二)内部控制的本质
企业内部控制的本质与企业组织管理有着密切的联系,企业内部控制就是为了维护企业内部相关各方的利益关系,它要求各方按照预先设定的规则行事。因此,内部控制的本质包括3层含义。(1)制衡。企业组织在设立时会形成一种契约关系,此时所形成的企业内部控制的本质是制衡。企业设立时,企业所有者、企业经营者、企业员工和政府这4种不同主体提供了4种不同要素,每种要素都是不可或缺的,共同维持着企业的存在和正常运转。(2)监督。企业组织在运行时会形成科层的等级制度,此时所形成的企业内部控制的本质是监督。监督是单向的,是高层对低层的控制。从决策人和执行人的关系来看,这也是委托代理关系的一种表现。内部控制产生的本源就是委托代理关系。(3)激励。如上文所述,内部控制产生的本源就是委托代理关系。内部控制要解决的核心问题是信息的不对称。要解决这个问题,除了采取监督的方式,还可以采取激励的机制。例如,对经营者实行股票期权或年薪制度,使执行人能够主动有效地执行决策。(三)内部控制的内容
内部控制制度按其内容的不同一般可以分为两大类:一类是内部管理控制制度,这是与管理方针的程序和方法、企业的经营效率有关的控制制度;另一类是内部会计控制制度,这是与财产保护和财务记录真实可靠有关的组织、计划、程序及方法相关的控制制度。管理控制制度是建立会计控制制度的基础。一般来说,管理控制职能有4个系统,即生产经营所属控制系统、财务会计控制系统、行政所属控制系统和人事所属控制系统。
内部管理控制一般包括业务流程控制、生产流程控制、技术管理控制、信息系统处理控制、行政制度控制、人事关系控制等。内部会计控制一般包括货币资金控制、实物资产控制、对外投资控制、工程项目控制、采购与付款控制、筹资控制、销售与收入控制、成本费用控制等。二、内部控制的演变与发展(一)内部控制的发展阶段
内部控制理论与实践随着社会、经济和技术等环境的变化经历了漫长的过程,是逐步发展和完善起来的。在动态发展过程中,内部控制从最初的内部牵制发展为内部控制制度,以及后来的内部控制结构,一直到今天的COSO内部控制整合框架和企业风险管理整合框架。我们可以从总体上将内部控制分为5个阶段。在每个阶段,理论界对内部控制都有不同的定义。
1. 内部牵制阶段
从原始的组织诞生开始,直至20世纪40年代,内部控制的发展基本停留在内部牵制阶段。内部控制的主要内容是账目间的相互核对,内部控制的主要方式是设立不兼容岗位。这在早期被认为是确保所有账目正确无误的一种理想控制方法。内部牵制的方式一般包括实物牵制、机械牵制、体制牵制、簿记牵制等。
实物牵制是指由两个或两个以上人员共同掌握必要的实物工具,共同操作才能完成某个程序的牵制。例如,保险柜的钥匙交给两个人员持有,只有两把钥匙同时使用才能打开保险柜。
机械牵制是指利用既定的标准或业务处理程序对各个部门、岗位或人员进行控制。例如,对会计凭证处理程序和处理路线做出规定,将单据、凭证、账簿、报表记录系统连接起来。
体制牵制是指通过组织规划与结构设计,把各项业务活动按其作业环节划分后交由不同的部门或人员,实行分工负责,形成相互制约。例如,将会计岗位和出纳岗位分由不同的人员担任。
簿记牵制是指利用复式记账原理和账簿之间的钩稽关系,做到相互制约。例如,原始凭证与记账凭证进行核对、记账凭证与账簿进行核对、总分类账与明细分类账进行核对等。
2. 内部控制制度阶段
20世纪40年代至70年代,内部控制的发展进入了内部控制制度阶段,内部控制的重点是建立健全规章制度。内部控制制度的形成是传统的内部牵制思想与古典管理理论相结合的产物。而企业规模的不断扩大、审计模式的不断变革,共同推动了内部控制制度的发展和完善。
内部控制制度开始出现了内部会计控制和内部管理控制的划分,内部控制制度主要通过形成和推行一整套内部控制制度来实施控制。内部控制的目标除了保护企业的资产安全之外,还包括增强会计信息的可靠性、提高经营效率等。
3. 内部控制结构阶段
20世纪80年代至90年代,内部控制的发展进入内部控制结构阶段。内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内部控制环境、会计制度和控制程序3个方面。
内部控制环境是指对建立、加强或削弱特定政策和程序效率产生影响的各种因素,包括企业文化、组织架构、人事政策和程序、经营计划、利润预测、内部审计等。
会计制度是指规定各项经济业务的鉴定、分析、归类、登记和编报,明确资产与负债的经营责任的方法,包括鉴定和登记一切合法的经济业务、对各项经济业务进行合理的分类,并以此作为编制报表的依据等。
控制程序是指企业管理者所指定的用以保证达到一定目的的方针和程序,包括经济业务的审批权、明确岗位职责分工、充分的凭证账单设置和记录等。
在内部控制结构的内容中,会计制度是内部控制结构的关键,控制程序是保证内部控制结构有效运行的机制,内部控制环境是实现内部控制目标的环境保证。
4. 内部控制整合框架阶段
20世纪80年代,美国发生了一系列财务报告舞弊和企业突发性破产事件,引起了社会各界对上市公司财务报告真实性问题的普遍关注,同时也引起了人们对内部控制的重新思考。对内部控制的权力配置机制的忽视,是影响内部控制功能发挥的重要因素。内部控制整合框架阶段就是在之前内部控制结构阶段的基础上,把内部控制要素整合成5个相互关联的部分:控制环境、风险评估、控制活动、信息与沟通、监督。
控制环境就是塑造企业文化并影响企业员工个人的控制意识,是所有其他内部控制组成要素的基础。控制环境要素包括员工的价值观、员工的胜任能力、组织结构的合理性、管理哲学和经营方式、人力资源政策等。
风险评估就是指分析和辨认实现有关目标可能发生的风险,从而形成风险管理的基础。风险评估涉及评估风险的重大程度、风险发生的可能性大小等。由于经济、产业、法律法规和经营环境的不断变化,企业需要确立一套机制来识别和应对由这些变化带来的风险。
控制活动是确保管理层指令一致性的政策及程序,如核准、授权、验证、调节、复核经营绩效、保障资产安全以及职责分工等。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。
信息与沟通是为了员工能够执行其职责,企业必须识别、捕捉、交流外部和内部的信息。从广义上来说,有效的沟通是信息的自上而下、横向以及自下而上的传递。除了上层命令的及时下达,员工也必须有向上传递重要信息的有效途径。同时,企业与外部客户、供应商、企业所有者之间也需要有效的信息沟通。
监督是由专门人员评估控制的设计和运转情况的过程。监督活动由持续监督、个别评估所组成,以确保企业内部控制能够持续有效地运转。独立的监督和评估活动的广度与频率有赖于风险预估及日常监控程序的有效性。
这5个部分既相互独立又相互联系,形成一个有机的统一体。控制环境是其他控制成分的基础。在规划控制活动时,管理人员必须对企业可能面临的风险有细致的了解和评估。风险评估和控制活动必须借助企业内部信息的有效传递和沟通。最后,实施及时有效的监督是内部控制质量的有效保证。
5. 企业风险管理整合框架阶段
1992年,COSO在广泛吸收各国学者的理论观点并综合实务界的研究成果的基础上,公布了《企业风险管理整合框架》。报告中指出,企业风险管理是一个企业的董事会、管理层和其他员工共同参与的,应用于企业的战略制定和企业内部各个层次及部门的,用于识别可能对企业造成潜在影响的事项,并在企业风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。企业风险管理整合框架包括4个目标和8大要素,如图1-2所示。图1-2 企业风险管理整合框架
这一阶段是在内部控制整合框架阶段基础上的一次拓展,8个相互关联的要素统一成一个整体,内部控制与风险管理理念贯穿其中,内部控制是企业风险管理必不可少的一部分。因此,这一阶段被称为“企业风险管理整合框架”。
2013年5月,COSO在1992年版框架的基础上更新了企业风险管理整合框架。因为,自COSO发布1992版框架以来,现今的商业环境已变得大为不同。新生产技术和复杂组织结构的不断涌现,以及愈加严格的监管要求,促使企业在满足旧框架运营、合规、财务报告内部控制目标的基础上,越来越关注公司治理和风险管理,越来越重视非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也进一步要求企业加强和完善内部控制标准。以上这些因素都推动了COSO对已颁布20年之久的原框架做出相应更新,以帮助企业能够高效果、高效率地制定内部控制系统,实现重要的业务目标并持续优化企业绩效;适应日益复杂和不断变化的商业环境,将风险降至可接受的水平并提高决策信息的可靠性。(二)我国内部控制的发展阶段
企业内部控制是相对于外部控制而言的,是由于企业内部管理的需要而产生的。20世纪90年代后期,我国就开始加大对企业内部控制的推行力度。自1996年起,财政部、中国人民银行、保监会、证监会、中国注册会计师协会等先后颁布了20多项法律法规或行业准则,确定了企事业单位内部控制制度建设的目标、原则、内容、方法和监督检查等,建立了相应的内部管理和内部控制制度。
1999年颁布的新的《中华人民共和国会计法》(以下简称《会计法》)是我国第一部体现内部会计控制要求的法律,该法将企业及单位内部控制制度作为保障会计信息“真实和完整”的基本手段之一。虽然条款内没有直接提到内部控制,但是其具体监督内容都符合内部控制的基本要求。这是我国对内部控制的最高法律规范。但因为是《会计法》,规范的内容局限于内部会计控制方面,没有涉及内部控制的全部内容。
2004年,为了规范审计人员在审计过程中对被审计单位内部控制的测评行为,保证审计工作的质量,审计署根据《中华人民共和国国家审计准则》制定了《审计机关内部控制测评准则》,并规定自2004年2月1日起实行。该准则主要规定了内部控制测评的基本程序与方法。
2004年8月20日,中国银行业监督管理委员会(以下简称银监会)第25次主席会议通过了《商业银行内部控制测试评价试行办法》(以下简称《办法》)。该《办法》自2005年2月1日起施行。该《办法》明确商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展调查、测试、分析、评估等系统性活动。2007年7月26日,银监会发布《商业银行内部控制指引》,首次以法规的形式明确了商业银行内部控制。
财政部同样发布了相关的基本规范以及配套指引。2001年6月22日,财政部发布了《内部会计控制规范——基本规范(试行)》《内部会计控制规范——货币资金(试行)》等。2007年3月2日,企业内部控制标准委员会公布了《企业内部控制基本规范》和17项具体规范的征求意见稿。2008年6月12日,财政部发布了《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》,对企业在开展各项业务过程中如何建立和实施内部控制做出具体规定。2008年6月28日,《企业内部控制基本规范》正式发布。此次基本规范的印发,标志着我国企业内部控制规范体系建设取得重大突破。三、内部控制的作用与局限(一)内部控制的目标
从内部控制的演变与发展过程来看,早期人们对内部控制的理解仅限于内部牵制,重点关注的是资金与财产的保全,因此,内部控制的主要目标是防止欺诈与舞弊的发生。随着内部控制理念的演变与发展,其目标也在不断延伸。
1992年的COSO报告中提出了内部控制的3个目标:一是经营目标,即保障资产安全,使其免受损失,提高企业资源的使用效率和效果,获得最佳业绩和盈利水平;二是报告目标,即增强财务报告的可靠性,避免对外公布的财务报告与企业实际生产经营状况不符;三是合规目标,即企业应当严格遵守相关的法律法规,同时也受外界法律法规的保护。
2008年6月28日,我国财政部等五部委发布了《企业内部控制基本规范》。其中第三条指出,内部控制的目标是保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高企业的经营效率和效果,促进企业实现发展战略。
由此可见,在现代企业组织中,内部控制的目标已经不是传统意义上的查错和纠弊,而是涉及组织管理的方方面面,呈现出多元化、纵深化的趋势。我国的《企业内部控制基本规范》所规定的内部控制目标与COSO报告中的3个目标基本相同。我国企业内部控制目标应当包括以下5个方面。(1)战略目标。任何组织都有其特定的目标。组织要有效地实现其目标,就必须及时对财务资源、人力资源、知识资源、信息资源等进行合理的组织、整合和利用。企业应当将短期利益与长远利益充分结合,在企业经营管理过程中充分利用所拥有的各项资源,做出符合战略要求、有利于提升企业可持续发展能力和创造长久价值的经营策略。(2)经营目标。经营目标即实施内部控制要提高经营的效率和效果。企业的根本目标应该是实现资本保值增值,维护企业所有者的利益。经营目标是企业实现战略目标的核心和关键,战略目标的实现需要通过分解和细化为经营目标才能得以落实。没有经营目标,战略目标便失去了意义。(3)报告目标。报告目标即内部控制要保证企业提供真实、可靠的财务报告及其他信息。它是内部控制目标体系中的基础目标,包括内部报告目标和外部报告目标。内部控制与信息是密不可分的,管理者需要利用信息来监督和控制组织的行为,同时决策信息系统也需要内部控制系统来确保能提供相关可靠、及时的信息。另外,企业保证对外披露的财务报告的真实、完整,有利于提升企业的诚信度和公信力,维护企业良好的声誉和形象。(4)合规目标。企业必须服从政府制定的各项法律法规、职业道德规则以及利益集团之间的竞争因素等所施加的外部控制;内部控制系统必须保证企业遵循各项法律法规和政策程序等。逾越法律法规的短期发展,最终会使企业付出沉重的代价。(5)资产安全目标。这是内部控制的最传统的目标。只有保证了企业的资产安全,才能使投资者、债权人和其他相关者的利益得到保护。资产安全也是企业可持续发展的物质基础。良好的内部控制应当为资产安全提供坚实的制度保障。
上述内部控制5个目标之间的关系可以用图1-3表示。图1-3 企业内部控制目标之间的关系(二)内部控制的意义
随着市场竞争的日趋激烈和竞争环境的日趋复杂,各种潜在风险也日益显现。尽管加强企业内部控制并不能完全杜绝企业因风险而亏损、失败甚至破产倒闭,但是缺乏有效的内部控制是万万不能的。企业只有建立且有效实施科学的内部控制体系,才能夯实内部管理基础,提升风险控制能力。内部控制的积极意义主要体现在以下5个方面。
1. 内部控制是企业实现管理现代化的科学方法
企业所追求的目标是生存、发展和获利。生存是前提,获利是最终目标,发展是实现最终目标的有效途径。企业要想在市场中生存下去并不断发展壮大,最终实现获利,就需要建立现代企业管理制度。而严密的内部控制制度是企业进行现代化管理的可靠保证。科学的内部控制制度,能够合理地对企业的各职能部门及人员进行分工控制、协调和考核,促使企业各部门人员履行职责、明确目标,保证企业生产经营活动能有序、高效地进行。因此,内部控制是企业实现管理现代化的科学方法。
2. 内部控制是保护企业资产安全的重要手段
内部控制的一个重要原则就是明确企业在经济业务处理过程中各职能部门、工作人员之间的相互联系、相互制约的职责分工制度。这类制度严格地规定了在处理经济业务过程中各职能部门的权力与职责,使得各部门各司其职,这样不仅可以提高工作效率,而且保证了业务处理的正确性和财产的安全性。内部控制制度对财产物资的保管包括采取各种控制手段,以防止和减少财产物资被破坏,杜绝浪费、贪污、盗窃、挪用等现象的发生。由此可见,内部控制是保护企业资产安全的重要手段。
3. 内部控制是防范会计信息失真的有效途径
在市场经济环境中,会计信息的重要性已经日益为人们所认识。无论是国家宏观经济调控和监督、投资者的投资决策,还是企业管理当局的管理决策,都要以会计信息为基础。因此,会计信息的真实性成为相关各方利益的焦点。如上文所述,内部控制体系包括会计控制和管理控制。而会计控制运行的有效性与会计信息的质量直接挂钩,会计信息的失真必然伴随着内部控制的失效,内部控制是防范会计信息失真的有效途径。
4. 内部控制是保护投资者利益的客观要求
现代企业管理制度的一个显著特征是企业的所有权和经营权相分离。由于企业所有者和管理当局所拥有的关于企业生产经营状况的信息并不对称,由此容易引发逆向选择和道德风险。部分企业管理者损害投资者的利益从而为自己谋私利的现象时有发生,这都是内部控制薄弱的表现。企业必须高度重视财务管理与内部控制制度的建立健全,运用内部牵制、授权管理、岗位轮换、回避等有效措施,强化制约和监督。只有严格实施内部控制,才能保护投资者的利益。
5. 内部控制是应对国际化挑战的迫切需要
在21世纪的今天,企业之间的竞争已经不仅仅是技术和资本方面的竞争,管理方式的竞争也日趋激烈。我国企业管理要接近国际先
试读结束[说明:试读内容隐藏了图片]