内部控制如何做好风险管理
一、风险的定义及表现
在企业中,内部控制的实质是风险管理。控制风险的目的包括两个方面:降低风险发生的频率和降低风险带来的损失。
【案例】
美国雷曼公司内部控制失败
债权之王美国雷曼公司在2008年开始倒下,一周内其股票暴跌77%,直至最后破产。导致雷曼公司破产的根本原因是内部控制制度流失,尤其是缺乏有限的风险管理。
雷曼公司内部控制失败,具体表现在:
第一,一味追求所谓的“金融创新”,忽视风险控制,包括债权、刺激债等,最后因为泡沫过大而破产;
第二,杠杆率过高,无法有效规避风险。很多企业的资产负债率高达70%~90%,在经济情形好的时候不会出现太大问题,但是一旦经济紧张就会导致连锁反应。
由此可见,财务杠杆是一把双刃剑,用得好能够让企业效益更好,用得不好会把企业推向生死悬崖,随时可能走向失败。
1.风险的定义
风险是客观存在的没有被认识的变量或者事件。风险不会被消除,企业只要存在经营、存在赊销管理行为,那么就一定存在坏账风险;企业只要有库存商品没有被卖掉,就会存在库存跌价的风险。
风险无处不在,企业不需要想办法消灭风险,但需要应对和管控风险,降低风险发生的概率和降低风险带来的损失,这才是风险管理的终极目标。
由于风险的不确定性会给企业造成经济损失,这类损失称为风险损失。例如,企业一旦发生坏账,企业的应收账款、利润会降低。有人曾提出:“生活的全部内容在于管理风险,而不是消除风险”,所以,风险内部控制主要是指管控风险而不是消除风险。
2.风险的表现
企业风险无处不在,表现在各个方面:在公司管理的治理结构方面,风险包括组织架构、社区责任、监察与沟通等;在营销环境方面,风险包括竞争对手、市场变化、国家情况、经济情况、市场结构以及股东、顾客、政府和供应商之间的利益关系等。
营销环境带来的风险体现在日常运营过程中,体现在生产与流通、市场与销售中,因为对市场预计不足,对市场过分乐观地预计会带来很多风险。此外,在商品与服务开发中具有合同风险、法规风险等,这些是企业营运环节;在企业财务方面、资信管理方面和交易流程方面等也都具有风险。
3.财务管控的目标
通常来说,企业管理就是财务管理,财务管理就是风险管理,所以企业管理等于风险管理。
一般来说,企业的财务管控具有三大目标:
安全
安全是指,通过财务管控保证企业经营健康化,保证企业经营安全。
增值
增值是指,通过财务管控,让企业的资源价值利用达到最大化。通过财务管控,可以使应收账款回收加快,减慢资产的贬值速度,从而使企业增值。
顺畅
顺畅是指,通过财务管控使企业的控制流程、应收账款、资金、存货、固定资产和人力资源等各方面顺畅周转。
企业成本主要发生在企业流程中,流程运转越顺畅,发生的成本越小;流程运转越不顺畅,沉淀的成本会越大。控制成本就是要控制流程,精简不合理流程才能降低成本。
二、风险管理的基本流程
风险管理是指,通过对风险的识别、衡量和控制,以最少的成本将风险导致的不利后果减少到最低程度所采用的科学的管理方法。
1.风险的识别、衡量和控制
2008年,中央国资委颁发了《央企全面风险管理》,对风险的管控流程做出了明确界定。
识别
识别是指发现风险发生的症状,识别出企业会发生风险的业务流程环节。
衡量
衡量是指衡量风险的大小。
控制
控制是指很多风险可以控制,控制建立在成本效益的原则上:
第一,采用最少的成本把不利的后果减少到最低程度,所以需要思考投资的成本是否是最少;
第二,考虑风险的损失控制是否是最低。
2.股东对风险管理关心的四个问题
一般而言,股东对风险管理主要关心四个问题:所面对的主要风险
作为优秀的管理者,需要具备自省的特质,懂得自我反省,也就是要具备危机意识。例如,张瑞敏曾说:“我永远战战兢兢,永远如履薄冰。”比尔·盖茨曾说:“我距离破产只有18个月。”
管理者具备危机意识,就会自省检讨,发现面临的主要风险以及风险产生的环节和时间。世界上最大的风险就是不知道风险。
是否对风险设置内部控制
在企业中,很多人会发现问题,但是很少有人能够解决问题,很多人会知道某些环节存在风险,但很少有人对风险进行针对性的控制。
内部控制是否有效
在企业中,常常不确定所采用的内部控制是否有效,即使制定出制度流程,并且拥有预警系统等工具,也不能确定内控的实施效果,需要通过圈套性测试才能确定。
内部控制必须不断改进
企业的内部控制制度必须与时俱进,不断改进。随着外在环境和内部结构状况的改变,企业的很多制度会落伍,所以企业的内部控制体系不能固定不变,应该随着内部员工的成长和组织规模的改变及时更正内部控制体系。
3.风险管理的框架
风险管理的框架包括一个基础和“三道防火线”。
一个基础
基础是指,企业的治理机构与组织架构。如果企业的骨架很好,那么企业的治理结构就是良性的,也就具备了天时和地利,而人和是“三道防火线”。
三道防线
企业中的三道防火线如下所示,企业中的控制分为三个境界。
第一道防火线是业务部门。业务部门的自我控制是控制的第一境界,第一道防火线的效率最高,但是效果不一定最好。
第二道防火线是企业中的专职部门。这类专职部门就是风险管理委员会,例如企业中的财务部门就是第二道防火线,这类部门的控制称为他控。他控的效率比较高、效果适中,因为在他控类企业中,如果出现问题,首先会追究风险管理委员会的责任,很多人惧怕承担过失不会上报风险。
第三道防火线是第三方独立控制。第三方独立控制是控制的第三境界,通常是企业的
内部审计人员,其效率最差,但是效果最好。做为独立的第三方,暴露企业存在的问题后,不会被追究责任,如果不暴露存在的问题,反而会被追究责任,因而独立的第三方非常敢于暴露企业存在的问题。当内部审计暴露出企业存在的重大虚假行为后,内部审计人员会受到嘉奖,而董事长、总经理和财务总监却需要反省。
在企业中,独立的第三方监控非常关键,做为小企业可以只设立审计专员,审计专员一定要独立于企业的各个职能部门,或者直属于董事会或者总经理,不能放在财务部下面;对于大一些的企业,为了保证审计部门的独立性,可以将其放在董事会下面。
4.风险管理的流程
风险管理的基本流程主要包括: 风险的识别
风险管理的第一道流程叫做风险识别,也就是收集风险管理的基本信息,既包括企业内部信息也包括企业外部信息,在很多企业中也被称为风险管理内部控制。其中的重要环节是建设案例库,包括成功的案例和失败的案例。
通常来说,风险识别主要包括三个环节:
识别内部的风险要素。企业的内部风险包括人力资源方面用人不当、采购管理的因素、生产管理的因素等。例如,采购环节中供应商选择不当,销售环节中客户选择不当或者新客户评估不当、出货流程设置不当,财务环节中财务资金控制不当等各个方面,都有可能为企业带来重大经济损失。
识别外部的风险要素。企业的外部风险包括经济风险,例如,汇率风险中人民币升值对出口型企业造成的影响,法律因素中国家政策法规对企业的影响,社会因素中消费者的消费习惯和购买能力对企业产生的影响等。
如何识别企业的风险。识别企业风险主要包括以下方法:
第一,邀请相关专家。即邀请相关专家和企业相关的管理当局座谈讨论。
第二,调查问卷。设计调查问卷有针对性地进行调查,包括市场动态、未来的销售状况等,可以为客户发放开放式或者封闭式调查问卷。
第三,案例分析。案例分析包括行业内外的成功案例或者失败案例。
第四,列表法。列表法比较普遍实用。
企业的管理层要结合业务形态和管理流程分析各环节的风险会产生哪些影响、涉及哪些部门、如何控制以及控制目标等。例如,针对销售流程不只涉及销售部门,还会涉及财务部门、法务部门、信用管理部门、仓储部门和物流部门等。
【案例】
各行业的主要风险因素
德勤公司对目前的很多行业做过分析,发现各行业前三位的风险包括:
第一,内部控制的质量。在证券和制造行业等行业中,内部控制的执行程度和发挥的作用非常重要。
第二,人的因素,主要是指管理人员的能力。
第三,管理人员的正直程度。
对于这三个风险,各行各业面临相同的挑战。
要点提示
风险管理的基本流程:
① 风险的识别;
② 风险的评估;
③ 制定风险管理策略;
④ 监督与跟进。
风险的评估
风险管理的第二道流程叫做风险的评估,主要是指分析和辨认实现有关目标可能发生的风险,以确定进行管理的依据。风险评估在风险管理中起承上启下的作用,需要将风险识别环节确定因素逐一进行评估,并为风险管理的策略和风险应对的方案提供重要的信息支持。
风险评估包括两个方面的内容。
风险发生的可能性。首先需要评估风险发生的可能性,也就是风险发生的概率,是极有可能发生还是基本不发生,对于基本不发生的风险可以减弱控制,对于发生可能性高的风险可以加强控制。
风险影响程度的高低。对于不会产生重大影响的风险,可以容忍忽略,例如员工的偶尔迟到行为;对于产生重大影响的风险,应该加强控制,例如重大投资行为,一旦决策失误,后果不堪设想。
三、风险应对策略
依据风险发生的可能性和影响程度的高低,可对风险实施四种应对策略:
1.转移
转移策略,包括套期、保险和策略联盟等。例如,为了防止存货发生毁损,可以向保险公司购买保险,当存货发生毁损时,保险公司会承担一部分损失。
2.避免
避免策略,包括禁止交易、减少或限制交易量等,离开市场环境,从而避免风险。
3.可接受
可接受策略,即对于产生的没有重大经济影响或者损失的风险可以接受,包括自我保险、预留储备和增加监督等。例如,企业经营中难免发生亏损,可以用储备资本包括盈余公积弥补亏损;企业中的自我储备包括坏账准备、存货跌价准备等,可以为企业中的这类必然风险做准备,这也体现了财务的稳健性原则。
4.小心管理
小心管理策略,包括广泛地保护安排投资和定价反映风险程度等。
企业针对不同的风险,需要采用不同的策略,并要提高企业业务形态与风险管理策略的组合。
风险评估图中的横轴代表影响程度,纵轴代表发生的可能性,共分为五个级别:极低、低、可能、极有可能和几乎肯定。矩阵图中分为四个模块,每个模块代表风险发生的程度,对于几乎肯定发生的风险也就是蓝色区域的风险,企业需要高度关注。
制定风险管理策略
风险管理的第三道流程叫做风险的管理策略,对于某个风险到底是接受、避免,还是转移、分享,在制定好策略后开始实施。
监督与跟进
风险管理的第四道流程叫做监督与跟进,很多企业花费巨资制定出制度流程,只是将这些制度存放在抽屉里或者挂在墙上,并没有对执行进行监督跟进。所以,企业需要通过内部审计,对风险进行监督与改进。
- 上一篇:审计全覆盖实践中的问题及对策建议
- 下一篇:高校基建工程内部审计问题及对策研究