□ 孙 刚
近年来,内部控制理论一直是研究热点,而财务丑闻与金融危机又突出了风险管理的重要性,内部控制应以风险管理为导向的观点已得到公认。但对很多企业管理者而言,还是很难透过内部控制的复杂理论来快速掌握风险管理的基本方法:该如何进行风险分析,可以采取哪些控制措施,该注意哪些问题等等。本文以简单的日常生活问题为案例进行分析,希望对企业管理者进行风险管理有所禆益。
一、风险管理流程解读
什么是风险呢?风险是指未来不确定性事件对影响企业特定目标实现的可能性。风险管理的流程包括三项:风险识别、风险分析、风险应对。
以小明上学出门是否应带伞这个日常生活问题为例,阐述风险管理的流程。
首先,风险识别。小明的目标是平安、顺利的到达学校,因为天气因素,他可能面临的风险有:书包或衣服被雨淋湿,影响学习;衣服被雨淋湿导致生病;遭遇山洪暴发,危及生命安全。
其次,风险分析。风险分析要求结合具体环境分析每一项风险出现的可能性及该项风险的影响大小,风险值=风险发生的可能性×风险影响程度。小明出门前,在决定是否带伞时,首先就要分析当天下雨的可能性有多大。在判断下雨的可能性时,小明可以采用定性分析的方法(抬头看天空),也可以采用定量分析的方法(统计一下最近一段时间下雨天的比例),当然还可以利用外部专家的意见(查询天气预报信息)。在分析每一项风险的影响程度时,需要做具体分析:通常来说,如果不带伞,下小雨会淋湿书本,影响较小;下大雨可能导致生病,影响较大等等。
最后,风险应对,即根据风险分析结果,运用不同的风险管理策略:(1)风险规避,即完全避免风险发生的可能性。(2)风险降低:即降低风险的影响程度,在小明具有一定的风险承受度的情况下,可以选择带雨伞出门、选择防水的书包和衣服等。(3)风险分担,即通过付费让其他人分担一部分风险,对小明来说,可以购买医疗保险。(4)风险承受,即不采取控制措施,遇到风险就认了。
二、风险管理过程中可采用的内部控制方法与措施
运用于风险管理的内部控制方法包括手工控制与自动控制、预防性控制与发现性控制等。这几种方法各有优缺点,需要综合运用。
内部控制措施包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。(1)不相容职务相分离:不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务。(2)授权审批控制:小明妈妈要求小明只有在得到允许之后才能花钱买零食,这是审批控制;小明妈妈说如果遇到下雨又没带雨伞,可以直接去买把雨伞用,这就是授权控制。(3)会计系统控制:小明妈妈要求小明对于零花钱的使用要记流水账,定期提供给妈妈检查,这就是一种会计系统控制。(4)小明迷上了打电子游戏,整天不思学习,于是小明妈妈没收了小明的全部零花钱,这个叫做财产保护控制。可见,各项控制措施适用于不同的控制环境与管理要求,内部控制的目标在于有效管理各项风险,确保企业经营与战略目标的实现,为此需要综合运用上述内部控制措施。
三、内部控制设计与实施过程中需要注意的两个问题
首先,内控体系的设计要做到完整科学。(1)内控体系要具备完整性,企业生产经营活动的所有业务与全部环节要都要纳入内部控制体系,即要尽量做到所有业务都“有法可依”,对于非常规业务及突发性事件,也要预先约定处理原则及报告程序,这样可以减少公司员工的“自由裁量权”,提高控制效率。(2)内控体系的设计要具有科学性,通过严谨的制度设计来抑制员工的机会主义行为。举个分蛋糕的例子:三个人分一个蛋糕,怎样做才能实现控制目标(公平)呢?如果让一个人先切蛋糕,然后再让他拿第一份,这个人很可能会投机,切一块最大的给自己;如果一个人切,再选一个人来监督,这样成本又会很高,还不能排除两人串通作弊的可能性。最好的做法就是让一个人来切,同时让他拿最后一份,那么他就会竭尽全力把三份蛋糕分成一样大小。
其次,内部控制执行有效依赖于优秀的企业文化。内部控制制度作为一种正式的控制机制,在设计时需要尽量做到科学完整,但由于内外环境的复杂性与不确定性、制度制定者的有限理性及成本效益原则等因素,内部控制制度永远不可能做到尽善尽美。而良好的企业文化,作为一种非正式的控制机制,能够有效地弥补内控制度的不足,从而保证企业内部控制的有效性。
