三、内部控制要素
借鉴COSO(Committee of Sponsoring Organizations of the Treadway Commission,全美反欺诈财务报告委员会下属的发起人委员会,该委员会于1992年颁布了《內部控制—整体框架》,提出了五要素的观点。COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架,同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。)报告框架,我国《企业内部控制基本规范》将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。
(一)内部环境
企业作为一个系统,总是在一定的环境下运行的。环境分为外部环境与内部环境,无论是制定战略还是实施内部控制,企业都需要首先对内、外部环境进行认真深入的审视。
外部环境对企业内部控制的影响更多体现的是约束和规范,但不能把它作为内部控制系统的组成部分,因为它超出了企业的控制能力。
内部控制应当是一种内部行为,加强内部控制的原动力应当来源于企业自身,企业外部任何试图促使企业加强内部控制的影响因素,在企业不具备原动力的情况下,都很难取得好的效果。因此,内部环境是直接造成各企业内部控制形式和内容差异的根本原因。
内部环境规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
1.治理结构
公司治理结构指的是内部治理结构,又称法人治理结构,是根据权力机构、决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。
治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,减少代理成本。
2.机构设置与权责分配
公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。
所采用的组织结构应当有利于提升管理效能,并保证信息通畅流动。
3.内部审计机制
内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释,内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。
4.人力资源政策
人力资源政策是影响企业内部环境的关键因素,它所包括的雇用、培训、评价、考核、晋升、奖惩等业务,向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与公司员工密切相关,而员工正是公司中执行内部控制的主体。
一个良好的人力资源政策,能够有效地促进内部控制在企业中的顺利实施,并保证其实施的质量。
5.企业文化
企业文化体现为人本管理理论的最高层次。企业文化重视人的因素,强调精神文化的力量,希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范,凝聚企业员工的归属感、积极性和创造性,引导企业员工为企业和社会的发展而努力,并通过各种渠道对社会文化的大环境产生作用。
企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。
企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
一般而言,董事会及企业负责人在塑造良好的内部环境中发挥关键作用。
(二)风险评估
风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
1.目标设定
风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
企业开展风险评估,应当准确识别与实现控制目标相关的内部风险与外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
2.风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。
3.风险分析
风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上,对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
4.风险应对
企业应当在分析相关风险的可能性和影响程度基础上,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。
企业管理层在评估了相关风险的可能性和后果,以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有:
(1)风险规避。
风险规避,即改变或回避相关业务,不承担相应风险,是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如:由于雨雪天气,航空公司取消某次航班;企业拒绝与不守信用的厂商有业务来往;新产品在试制阶段发现问题而果断地停止研发。
(2)风险承受。
风险承受,即比较风险与收益后,愿意无条件承担全部风险,是企业在权衡成本效益之后,对风险承受度之内的风险,不准备采取控制措施降低风险或者减轻损失的策略。例如:企业设有一个小型仓库,平时就存放一些待处理的设备(市场价值很小),如果为了防止这些设备被盗偷而专门雇佣一个保管员,那么这时支付保管员的费用要远高于设备的价值,显然,不符合成本效益原则,因此,对于这种存在的失窃风险企业就应该采用风险承受策略。
(3)风险降低。
风险降低,即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略,包括两类措施:风险预防和风险抑制。
(4)风险分担。
风险分担,即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如:大学里学生宿舍的管理外包给物业公司负责,这是由于大学本身不具有物业管理的能力,通过外包的方式转移了与物业相关的风险;公司给某些关键设备购买财产保险来转移风险。
风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
