第 2 章风险控制程序和方法
2.1、风险管理程序和方法
人类对风险管理理论的研究始于 20 世纪初。企业风险管理(Enterprise RiskManagement,ERM)大致分为三个阶段:第一阶段以“安全与保险”为特征的风险管理;第二阶段以“内部控制和控制纯粹风险”为特征的风险管理;第三阶段以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。在第三阶段,企业风险管理(ERM)涉及的风险和机会影响价值的创造或保持,它是一个从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目标提供合理的保证。
风险管理程序要求制定风险管理计划和认识、识别风险,具体包括:确定风险管理人员的职责、确定风险管理部门的内部组织结构、落实与其他部门的合作事宜、风险管理计划的控制、编制风险管理方针书、认识潜在的损失、识别风险的方法、衡量估价风险、选择应对风险的方法、贯彻和执行风险管理决策、对决策执行的检查与评价。
企业风险管理的构成要素:内部环境,它是确定企业对待风险的态度和可能采取的应对策略,主要包括人员的道德观和胜任能力、董事会提供的指示、管理的效率、组织机构、权利和职责的分配等;目标设定,企业风险管理确保管理当局采取恰当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相一致;事项识别,涉及从影响目标实现的内外部原因中识别潜在的事项;风险评估,分成三步,第一步是估计风险的重要性,第二步是评估风险发生的可能性或频率,第三步是考虑如何对风险进行管理以及采取何种行动;风险应对,可选的应对策略包括避免风险、损失管理、转移风险、保险选择、自担风险,即风险回避、风险降低、风险分担和风险承受,考虑成本效益、企业风险偏好和风险容量,管理者可以选择一个或多个策略结合使用;控制活动,包括组织控制、职责划分、调解和复核、实物控制、授权和批准、计算和会计、人员控制以及监督管理控制等;信息与沟通,在人员能够履行责任的方式和时间范围内识别、取得和报告经营、财务及遵守法律的相关资讯的有效程序和系统;监控,它是不断对内控系统的表现进行评估的过程,可以通过持续的监察活动或单独的评估来实现。
2.2、内部控制制度原则、程序和方法
企业内部控制理论的发展经历四个阶段:第一阶段内部牵制阶段,它基本是以査错防弊为目的,以岗位分离和账目核对为手段,以钱、账、物等会计事项为主要控制对象;第二阶段内部控制制度阶段,内控分为内部会计控制制度和内部管理控制制度,内部控制的目标除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定管理方针;第三阶段内部控制结构阶段,将内部控制环境纳入内部控制范畴,同时不再区分内部会计控制和内部管理控制,内部控制是为合理保证企业特定目标的实现而建立的各种政策和程序,由内部控制环境、会计制度和控制程序三个要素组成;第四阶段内部控制整合框架阶段,内部控制是受企业董事会、管理层和其他人员影响,为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。
内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制原则:全面性原则,即全过程、全员性控制;重要性原则,关注重要业务事项和高风险领域,确保不存在重大缺陷;制衡性原则,要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节,履行内部控制监督职责的机构或人员具有良好的独立性,在治理结构、机构设置及权责分配等方面形成相互制约、相互监督,同时兼顾运营效率;适应性原则,内部控制应与企业经营规模、业务范围和风险水平等相适应,并随情况的变化加以调整;成本效益原则,以适当的成本实现有效控制。
内部控制要素:内部环境,它规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础,主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等;风险评估,是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内控的重要环节,主要包括目标设定、风险识别、风险分析和风险应对;控制活动,根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内控的具体方式,主要有不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制等;信息与沟通,及时、准确地收集、传递与内控相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,是实施内控的重要条件,主要包括信息质量、沟通制度、信息系统、反舞弊机制;内部监督,对内控建立与实施情况监督检查,评价内控的有效性,对于发现的内控缺陷及时加以改进,是实施内控的重要保证。
随着经济和企业实践地不断发展,企业内部控制向风险管理领域拓展,两者越来越趋向于融合。内部控制是实现企业风险管理的重要手段,企业风险管理的风险识别和风险应对策略是实施内部控制的重要环节,是制定控制活动的基础。1992年 美 国 COSO ( Committee of Sponsoring Organizations of the TreadwayCommission,COSO)委员会发布了《内部控制——整合框架》,2004 年 COSO委员会发布了《企业风险管理——整合框架》,强调企业风险管理包括内部控制,是比内部控制更为强健的武器。
