对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行,监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度是根据企业的规模、经营的复杂性和其他因素的影响而有所不同。
企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是,适当的记录通常会使风险管理的监控更为有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
即使企业的内部控制体系很完善,但仍然出现问题,就是因为缺少监控。就像中航油新加坡公司是国有企业走出去的一面旗帜,陈久霖先生也曾经是中国企业海外发展的一个楷模,被评为亚洲经济的领袖,这是中国人的骄傲,也是亚洲人的骄傲。但是他没有在企业内实行有效的内部控制,四大会计师事务所之一给企业做的内部控制和风险管理的体系非常完整,但是没有在企业内部得到执行,最终成为企业里的一个摆设而已。
所以说,内部控制的实质和内部控制的形式要合一,通过加强监督与控制,保证内部控制的有效性。
1.持续的监督活动
持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其他员工为履行职务所采取的行动。持续的监督活动主要包括以下几方面的内容:
①管理层取得能使内部控制系统持续发挥功能的资料。当营运报告、财务报告与他们所得到的资料有大偏离时,可对报告提出质疑;
②来自外界团体的沟通,可以验证内部信息的正确性,并能及时反映问题的所在;
③适当的组织机构及监督活动,可用来辨识缺失;
④各个职务的分离,使不同员工之间可以彼此相互检查,以防止舞弊;
⑤把信息系统所记录的资料同实际资产核对;
⑥内、外部稽核人员定期提出强化内部控制系统的建议;
⑦通过培训课程、规划会议和其他会议,可把控制是否有效的重要信息反馈给管理阶层;
⑧定期要求员工陈述他们是否了解企业的行为准则,遵守情况如何。对于负责业务和财务的员工,则要求他们陈述某些特定控制是否都予执行,管理层或内部稽核人员还必须验证这些陈述是否确实。
持续的监督活动里面包含两层意思,第一个是持续改进,第二个是监督作用。
Æ持续改进
随着企业不断发展,控制措施要不断提升和跟进,要不断改进和完善。例如企业在前年被骗了两百万,去年被骗了一百八十万,如果今年只被骗五十万就算是有改进。可能有人会说怎么总被骗?事实上不是企业中人的无能,而是骗子太狡猾,每次都使用新的花招,虽然在不断进行防范工作,但是道高一尺魔高一丈,社会环境是这样,企业只有想办法进行不断认识,不断提升,这才是持续改进。
Æ监督作用
在改进过程中企业还需要对提升改进措施的进程实行进行监督,反映流程的效率效果。俗话说“千斤重担人人挑,人人身上有指标”。如果没有衡量评价的指标,工作就没有效果,最后都是不了了之,只是浪费资源、精力和感情而已。所以任何事情都要有评价,都要有效率效果性的体现。
我们在对很多在美国、香港或者国内上市的企业的内部控制进行测试评价的时候,就是逐条去做,把企业按照一个主体的业务分成一级流程,每一个一级流程里面又分几个业务的点,分业务的过程就是二级流程,每一个业务过程的方式和方法是三级流程,每一个三级流程里面再对一个业务的衡量是四级流程,业务衡量之间的计量,具体措施、各种处理的原则和对策是五级流程。横向上要考察流程间的对接,进行各种横向关系的印证。把对企业的监督措施体现到每个业务环节当中。
2.个别评估
尽管持续监督程序可以有效地评价内部控制体系,但企业有时需要组织例外评估以直接监视控制系统的有效性,这种做法可评估持续性监督程序。评估的范围和频率,视风险的大小及控制的重要性而定。
理顺整个内部控制体系之后,就要开始对里面的每一个业务环节进行测试评价。这里面哪些业务是重要的呢?
如果要销售一个产品,形成应收账款或者赊销的时候,其中一点就是对客户的信用进行调查,这就是个关键点。看对应收账款的管理,先看有没有对客户进行信用调查,通过这一点去判断应收账款的风险,测试评价就落实到每一个点。一个企业里面的测试点多的有五六千个,少的也有两三千个。
例如内部控制有八大要素,每个要素下面的关键点都需要被监控测试。在对控制环境里面的法人治理进行内控评价的时候,要看董事会的独立董事是否独立,独立董事是否跟其他领导有关系,如果是战友或者同学,就是不独立的表现。除了评价独立性还要对独立董事的有效性做出评价,就是看董事的个人能力和经历是否符合企业生产经营的要求。有的董事既不懂事,又不独立,就可以说企业在内控环境里面关于法人治理这一块是负分,或者是0分。第三个衡量标准看在董事会里面,独立董事怎样发挥作用,对所有的项目是否提出质疑和改进意见。如果他从来没有对企业的经营管理提出过任何疑义,这个法人治理就是无效的。
上面说明再复杂的东西,都可以用指标把它进行分解,做个别的评估。内部控制当中对业务活动的监控更是这样,例如对食品和药品的安全控制,企业都知道该怎么去做,先做什么后做什么,有规范的程序可以遵循。企业做管理也要向做食品安全和生产安全一样,对管理工序进行科学的分解和划分,把每一个检测点和评价指标的工作落到实处。内部控制的测试与评价就是要给企业一种压力,不按照相关合乎规则的做法来就会受到惩罚,这也是对企业进行规范化管理的办法之一。
3.报告缺陷
一个主体的企业风险管理的缺陷可能会通过多个来源表现出来,包括主体的持续监控程序、个别评价和外部方面。缺陷是企业管理中值得注意的一种情况,它可能表示一个已察觉到的、潜在的或实际的缺点,或者一个强化企业管理以便提高主体目标实现的可能性的机会。内部控制的缺失应由下往上报告,某些缺失应报告给高层管理阶层及董事会知道。
【案例】
《中央企业总会计师工作职责管理暂行办法》
国务院国有资产监督管理委员会令第13号
二OO六年四月十四日
第二十五条 总会计师对企业做出的重大经营决策应当发表独立的专业意见,有不同意见或者有关建议未被采纳可能造成经济损失或者国有资产流失的情况,应当及时向国资委报告。
点评:国家通过法令把会计师的报告质疑进行了明确的规定,对企业的会计工作人员来说具有工作指导和规范作用。
企业内部控制要发挥作用,就必须得到有效的反应,同时要及时地采取补救措施。千里长堤溃于蚁穴,如果突然发现没有把作废的支票及时交回,他肯定是想办法把钱弄出来。如果任其为之,到最后有可能酿成大祸。
所以有了缺陷要及时报告,例如销售部门好不容易把货销售出去了,留给财务部应收账款一千万,后来发现这笔钱超过了账期,本来应该在账期之内通知资产管理部门或者信用管理部门采取法律等相关的措施,可是财务部门为了整销售部门,死活都不说这件事情,结果销售部出了问题被批评,财务部也无资格笑话别人,因为没有做到及时的报告,这是财务部应当承担的责任。
美国时代周刊有一期曾经刊登了三位美国妇女的照片,这三个人有个共同的特点就是都在公司的财务部门工作,这三个公司分别是安然、世通和FBI。三位女士都是财务部门或审计部门的领导,她们站出来揭露企业内部的财务问题,还世界以公平,还世界以清白。
【案例】
中航油新加坡公司财务总监林中山先生在事件中被判了几年的有期徒刑。在量刑的时候就问他:“你作为一个财务总监有不可推卸的责任,在那种情况下你采取了措施没有?”他说:“采取了措施,第一个措施就是跟陈久霖汇报过,但是没有向审计委员会报告。”他以为只要跟上级汇报就可以了,但是在法人治理里面财务总监的职责是双向报告,你在向总经理报告的同时,还要向审计委员会报告,如果当时他实行了这种双向报告,即可以免除责任。
点评:林先生因为没有切实履行报告制度才最后落得判刑的结果。可能他本人没有要违反相关法规的意愿,但是由于自己对业务不熟悉,专业知识掌握得不够彻底,才会在工作中有疏漏,而这种疏漏造成的后果可能十分严重,是个人无法承担的。
最近更新