基于企业内部控制的国有资本安全管理体系框架构建及实证研究

基于企业内部控制的国有资本安全管理体系框架构建及实证研究

近年来，在国内外管理理论和实践的发展中，包括美国、英国以及欧盟在内的主要市场经济国家都在不断加强对企业内部控制的研究和规制，以求改进、提高企业内部控制的有效性。健全有效的内部控制越来越被视为是一种解决企业诸多潜在问题的有效方法。国际著名的权威内部控制标准研究机构(COSO)在其报告中指出内部控制“是由董事会、管理当局和其他职员实施的一个过程，旨在为实现经营效果和效率、财务报告的可靠性以及遵循适用的法律和法规等目标提供合理保证”。在其2004年的报告中更加明确地指出，包含内部控制的企业安全管理“是一个由主体的董事会、管理当局和其他人员实施的，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险以使其在该主体的风险容量之内，为主体目标的实现提供合理保证的过程”。从国有资本出资人的角度来看，有效的企业内部控制能够在加强企业的经营管理、提高企业的经营效率和经济效益、实现国有资本的保值增值、维护国有出资人的权益等方面发挥非常重要作用的必须实施的现代管理方式。怎样从企业自身角度减少国有资本运营风险从而实现国有资本的保值增值，国有资本运营所在企业的内部控制，即内部监管，是关键。本文从企业内部控制视角研究国有资本安全管理体系基本框架的构建。一、构建基于内部控制的国有资本安全管理体系遵循的原则1.收益、风险均衡原则风险均衡原则要求集团不能只追求收益，而不考虑发生损失的可能，集团进行的每一项具体的财务活动，要全面分析其收益性和安全性，按照风险和收益适当均衡的要求来决定采取何种行动方案，趋利避害，争取获得较多的收益。财务风险的存在是一个普遍的事实，但必须正确及时的识别风险，控制风险，并明确最大的风险限度，保证企业的正常安全运营。2.成本、效益原则成本效益原则有两层含义：一是进行财务风险控制的成本应该低于不建立财务风险控制体系进行财务风险控制的预期损失。二是当这种预期损失过大时，建立财务风险控制体系，进行财务风险控制的预期收益应高于不建立财务风险控制的预期收益。3.超前预警、有效规避的原则风险的出现具有预示性，企业集团必须建立健全风险识别系统、预警系统和财务风险的管理系统，从而有效规避风险。4.分级、分权管理的原则对财务风险的管理与控制要在集团统一领导的前提下，实行分级分权的管理办法。以集团现有的管理体制，按照集团的母子公司分级管理和控制的思想，建立合适的财务管理模式，发挥有效的财务治理功能，是基于内部控制的国有资本安全管理体系有效运行的前提。5.责、权、利相结合的原则企业集团在选择合适的财务管理模式后，应建立责、权、利相结合的机制。在企业集团的组织结构体系中，各企业具有不同的分工和职能，在生产、技术和经济等诸多方面存在差别，这种差别要求我们必须针对不同的职能部门规定不同的经济责任，划分不同的经济职能。这既是防范与化解财务风险的重要措施，也是确保企业财产安全和财务活动合法性的有效手段。而且，在集团内部，不管是哪一职能部门或职能部门中的哪一个管理人员，又均与经济利益相关。因而只有将权、责、利有机地结合起来，才能使其有外在压力，内在动力，从而提高企业整体抵御财务风险的能力。6.协同性、战略性并重的原则安全管理的协同性与风险控制的战略性相对于单体企业，企业集团不但要注意单个企业投资、融资、资金运作等方面的安全管理，而且要充分考虑旗下不同单位在业务、产品、地域、财务等方面的协同效应，通过成员企业的有效协同与配合，实现整个集团的价值最大化和财务风险的有效控制。二、基于内部控制的国有资本安全管理体系的总体设计思想构建合理的企业集团基于内部控制的国有资本安全管理体系的根本目的是提升企业集团财务安全管理水平，增强企业集团整体抵御风险的能力，从而实现企业集团价值最大化。集团安全管理是关系集团发展战略，贯穿集团成长全过程的战略性的动态管理活动。因此，集团安全管理模式的构建必须实现以下几个具体目标：首先，必须有助于集团从战略的高度控制企业集团的风险，避免由于集团面临来自外部环境的威胁而导致经营失败的风险；其次，避免由于集团内部的管理风险、子公司的经营风险导致集团整体风险扩大化；最后，通过各级公司和各级管理阶层运用具体的风险控制手段将风险控制和消化在萌芽阶段。根据企业集团发展要求和企业集团财务风险的特征，我们构建基于内部控制的国有资本安全管理体系时应建立在如下思想的基础之上：1.整体观首先，从风险控制目标出发，建立以总体经营目标为核心的风险整体观。由于企业已成为财务风险、产品风险、市场风险及供应风险的集合体，风险控制目标的复杂性和波动性增加，根据全面安全管理目标确定的原则，并未将风险控制目标局限在战略、经营、报告以及合规等具体目标上，而是以整体经营目标为核心的风险控制。2.战略观为确保企业集团价值最大化的财务目标，集团财务安全管理应上升到战略管理层面。要在全面了解集团发展目标和总体风险的基础上，着力协调统一不同公司的尤其是母子公司发展目标，形成协调一致的安全管理机制和策略。加之现在理财环境下，企业集团财务安全管理不能单纯注重财务安全管理的具体方法与手段，应该吸收、借鉴战略管理的原理与方法，从企业集团内外部环境出发，重视集团财务风险的战略设计和谋划。从集团战略全局出发，建立相应的安全管理体系。3.系统观我国已有的财务安全管理研究比较重视方法和程序，忽略了组织机构及机构的职责权限等对实践有特别重要意义的课题的探讨，从某种程度上造成了理论研究与实践的脱离。事实上，公司财务安全管理是一项系统管理活动，不仅需要先进的技术、复杂的数量模型，而更需要公司组织机构、管理机制和业务流程的密切配合。4.动态观风险的本质是不确定性，企业的内外部因素都处在变化之中。企业在不同发展阶段不同经济政治环境下，面临的财务风险可能是不同的，不可能存在一种安全管理系统能应付所有风险。我们在构建基于内部控制的国有资本安全管理体系时要有动态观，根据系统运行反馈情况，及时做出调整以适应系统新的环境，这样才可能使系统发挥最佳的风险控制功能。三、基于内部控制的国有资本安全管理体系基本框架我国已有的财务安全管理研究比较重视方法和程序，忽略了组织机构及机构的职责权限等对实践有特别重要意义的课题的探讨，从某种程度上造成了理论研究与实践的脱离。事实上，公司财务安全管理是一项综合管理活动，不仅需要先进的技术、复杂的数量模型，而更需要公司组织机构、管理机制和业务流程的密切配合。企业集团安全管理体系作为一个系统，其构建包括三个相互作用的基本要素：安全管理控制组织架构、安全管理控制机制和安全管理控制流程。架构、机制和流程这三要素构成了企业安全管理体系的一个完整的有机体，如图1a所示。图1a基于内部控制的国有资本安全管理体系基本框架如果把组织架构、管理机制和管理流程及实时信息系统看作基于内部控制的国有资本安全管理体系的硬件组成部分的话，那么企业集团文化就是安全管理体系运行的软件环境。通过企业集团有关安全管理机制制定和实施，向集团的母公司及其成员企业的各层管理人员灌输风险意识，明确集团有关重大事项的决策权限、程序和报告程序。企业集团应定期由集团安全管理组织机构拟定议题，举行集团公司管理人员会议，讨论其他公司所犯的严重过失教训，包括了解事件经过，分析犯错的原因，估计对该公司财务与业务造成的损失，提出避免类似事件发生在本公司身上的措施和方案。以及时沟通方式，鼓励员工对企业集团的风险因素直抒己见。形成集团的安全管理文化，可以培养员工严格遵守安全管理制度的自觉性，既可以及早发现集团财务风险苗头，及时加以解决，还可以在吸取其他公司教训中提高防御风险的能力。基于内部控制的国有资本安全管理体系由三个相互联系的有机部分组成，即：组织架构、安全管理控制机制、安全管理控制流程。三者通过集团价值管理及价值信息流程从而实现企业集团价值最大化这个目标，三者本身之间通过企业集团的安全管理及风险信息流程而结合形成企业集团的基于价值的财务安全管理控制体系。组织架构、机制、流程构成了企业集团基于内部控制的国有资本安全管理体系的一个完整的有机体，可以通过形象的比喻来描述三个基本维度在基于价值的企业集团财务安全管理控制中的作用，如图1b。组织架构好比是人体的骨骼系统，流程好比人体的神经系统，有了神经系统，人才能指挥身体的各项运动，有了流程的指导，企业集团的基于内部控制的国有资本安全管理体系才能有效地运转起来，而机制好比是集团组织的肌肉系统，有了它，企业集团才能更加有效的管理控制其面临的风险尤其是财务风险，企业集团也才能更加有效的运作。下面就分别分析企业集团基于内部控制的国有资本安全管理体系三个核心要素的构建，包括安全管理组织架构、安全管理机制和安全管理流程。图1b基于内部控制的国有资本安全管理体系三维关系图1.国有资本安全管理组织架构组织是由具有互动关系的人群构成的社会实体。巴纳德在其名著《经理人的职能》中认为组织是两个或两个以上有意识的行为及合作系统，特定正式的组织有三个基本要素即：共同的目的；相互沟通；协作意向。企业集团财务风险管理组织架构指企业集团风险管理的依托对象，即公司治理结构中拥有风险管理职能的权力机构和岗位安排。企业集团一旦确立了财务风险管理目标，管理层一定要保证建立起相应的组织结构以便对财务风险进行管理和监督。我国的企业集团目前缺乏专门的机构和人员进行系统的财务风险管理活动，“各自为政”现象大量存在。公司管理层面上如何建立支持风险管理的组织架构呢？关于组织架构，现代风险管理建立了几个基本原则：一是要有高层的介入。董事会要为风险负最终责任，董事会要下设风险管理委员会。经营层也可以设风险管理委员会，至少要有执行副总裁主管。我们应逐步推广首席或高级风险官(CRO)制度，设置首席风险官这一职位专门负责风险管理。二是风险管理部门要有独立性。即风险管理部门不应受到生产经营或交易部门的影响，包括主管生产经营或交易的高层领导的影响。三是实行集中管理原则。金融机构和企业面临多种风险，而各种风险交互作用，将各种风险集中到一个部门管理可以提高效率降低成本。现构建如下企业集团财务风险管理组织架构图2a、2b。图2a、2b中与风险管理相关的机构、部门包括：(1)董事会、监事会。完善集团公司和上市公司治理结构，力促股东(大)会、董事会、监事会、经理层依法履行职责，形成高效运转、有效制衡的监督约束机制，是构建有效财务风险管理体系的前提。现在，绝大多数国有企业集团公司都没有设立股东会和有外部董事、独立董事参与的董事会。股东会职能可以由国资委履行，但董事会和内部监事会职能就不能由国资委履行，而建立外部董事和独立董事过半的董事会、合理的监事会已成为完善公司治理机制的需要。除此，现阶段完善集团内部治理机制的关键是如何发挥监事会和独立董事、外部董事的监督作用以及二者职能间的协调。监事会应构建全过程监督的体系，经常性监督、事后性监督，实现对公司财务以及公司董事、经理和其他高级管理人员履行职责的合法合规性进行监督，维护公司及股东的合法权益。独立董事应加强事前监督、内部监督、与决策过程密切结合的监督，对公司的内部控制进行监督，增强会计处理程序和对舞弊性财务报告的防范能力；对重大关联方交易、收购、合并、担保、风险投资等事件予以重点关注；防止公司进行财务造假。(2)董事会下增设风险管理委员会。一般来说，董事会在风险管理中起总览全局的作用，它了解重大风险、批准风险管理政策并决定风险是否得到了有效的管理。在董事会中应下设风险管理委员会(成员有运营主管、财务主管、信息主管和风险主管，可以指定或聘请风险专家为首席风险官)。风险管理委员会主要是制定或审核公司风险管理原则、流程和公司所允许承受的最大风险。风险管理委员会的主要成员之一风险主管的职责主要有：监视公司所承担风险，使之不超过既定限额；批准公司所承担风险在一定范围内限额；评估重大的市场、信用和流动性风险；与审计委员会一起就公司风险管理过程的效果进行评估。集团及其重要的子公司应设立风险管理组织，内部设置风险管理委员会、操作和信息技术控制组等内部风险管理组织。这些组织确保本单位内的风险管理政策和流程的顺利开展。(3)专设风险管理职能部门。公司控制组包括市场风险管理部、财务风险管理部、经营风险管理部、战略风险管理部、法规部和信息部等，它独立于其他的业务部门，职责是通过一定的控制流程，帮助公司的高层管理人员和风险管理委员会控制和管理公司风险。母子公司各风险管理部门要支持风险管理委员会的各项工作。(4)董事会下设审计委员会。审计委员会的作用在于保证子公司的财务信息和业务信息的充分可靠性。具有提议聘请或更换外部审计机构，监督公司的内部审计制度及其实施，负责内部审计与外部审计之间的沟通，审核公司的财务信息及其披露和审查公司的内部控制制度等权利。审计委员会主要是监督公司重大的财务、运营和其他特定风险，如对新推出的产品进行评估、有重大风险交易的审核等。(5)内部审计职能部门和外部审计机构。企业集团在进行风险管理的同时由审计委员会下属的集团内部审计机构定期对风险主管和集团及其重要子公司的风险管理组织进行监督，并向审计委员会提供独立的风险控制评估报告。内部审计部门承担了集团主要的内部审计工作。科学合理的内部审计，可以提高内部会计控制制度的评审效率，判断识别潜在的隐性财务风险，提醒监督经营者正确履行职务，增强风险防范意识，并促进企业集团公司内部控制制度进一步完善。在对重大决策和关键业务审计时，可聘请外部审计机构和内部审计机构一同审计。总而言之，国有资本安全管理控制组织架构可以从组织机构上营造风险防火墙，在集团公司和重要子公司尤其是上市公司设立风险管理部门、内部审计部门，在其董事会设立风险管理委员会和审计委员会分别履行风险管理专职和风险管理监督专职。这样具备风险管理组织架构的集团可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。2.国有资本安全管理控制流程风险管理业务流程，就是指风险管理的程序和方法。主要包括环境分析、目标设定、风险识别、风险评估、风险反应、风险控制、信息和沟通等六大步骤(见图3)。图3国有资本安全管理控制流程(1)环境分析环境分析就是要了解企业所处的环境正在发生哪些变化，这些变化给企业带来更多的机会还是更多的威胁，同时还要了解企业自身所处的相对地位，具有哪些资源与能力。环境分析包括外部环境和内部环境分析。外部环境分析主要是分析集团面临的全球经济环境、所处行业环境。全球经济环境包括宏观经济发展趋势、资源禀赋、全球化竞争和文化冲突等；所处行业状况包括行业竞争状况、行业价值链地位、市场需求状况和行业进入壁垒等。内部环境主要是指企业经营环境，主要包括组织结构、企业文化、核心竞争力、业务流程和领导风格等。环境分析有利于企业制定各种正确的目标，并可以通过事项识别发现机遇和挑战(即风险的潜在表现)。其中对外部环境的分析尤为重要，外部环境对企业集团具有不可控性，因而企业只能对不断变化的外部环境进行认真的分析研究，把握其变化趋势与规律，制定多种应变措施，适时调整企业战略，以降低因环境变化给企业带来的财务风险。企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结合起来。(2)目标设定目标设定就是在环境分析的基础上，制定切实可行的长短期目标。制定的目标合理，可以有效防范财务风险。例如资本结构目标的设定，要结合企业经营状况，拟定有利于企业长远发展的资本结构，并在安全性、灵活性和有效性之间寻求最佳结合点。目标设定既是环境分析的结果，也是风险识别的依据。企业根据内外环境的分析，制定与企业远景相适应的战略目标，在战略目标的指导下制定企业的经营目标、各项财务或经营报告目标以及指导企业业务活动符合相关法规制度的合规目标。(3)风险识别通过内外环境的分析和企业制定的各种长短目标可能或已经实现的程度，动态地对风险进行识别，及时发现对目标实现有影响的现实或潜在的风险。这些风险涉及经济、政治、社会、自然、技术等各方面，因此，企业必须根据自身情况和经济效益原则对风险识别的深度、广度和时间进行决策。风险识别的方法：风险识别没有一个单一的方法和工具，是一个充满智慧的知识管理过程，每个公司需要把企业管理的知识和经验逐步地积累起来，形成自己的管理知识库。下面是风险识别过程中经常使用的方法：列举清单：在实际的企业战略目标实施过程中，需要不断搜集并分析常见的实施改进点、应用操作错误(和解决办法)清单，对照检查潜在的风险。专家判断：向该领域专家或有经验人员了解实施过程中会遇到哪些困难，更加有效的方法是德尔菲法。对详细计划的分析：找出依赖关系、时间长度和资源可用性等，特别是分析工作分解结构WBS。历史数据分析：通过查阅历史资料了解可能出现的问题，在实践中我们将不断积累经验和数据。头脑风暴法：管理者、外聘专家、客户等各方人员组成小组，根据经验列出所有可能的风险。流程图和鱼刺图：鱼刺图清晰地指出造成问题的原因和子原因，帮助人们把问题追溯到它们最根本的原因上。(4)风险评估风险评估主要是分析评价潜在风险可能对目标实现产生的影响程度，企业应当采用定性与定量相结合的方法，从风险发生的可能性和影响角度进行分析。企业风险管理需要管理者建立一种企业总体层面上的风险组合观。对各业务单位、职能部门、生产过程或相应的其他活动负责的各层管理者对其负责的部门或单位的风险应进行复合式评估，而企业高层管理者也应从企业总体层面上考虑相互关联的风险和企业的总风险。首先，应对企业的固有风险进行评估。确定对固有风险的风险反应模式就能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。通过风险识别过程所识别出的潜在风险数量很多，但这些潜在的风险对企业目标影响是各不相同的。风险评估即通过分析、比较、评估等各种方式，对确定各风险的重要性，对风险排序并评估其可能的后果，从而使管理者可以将主要精力集中于为数不多的主要风险上，从而使整体风险得到有效的控制。(5)风险反应风险反应可以分为规避风险、减少风险(或称控制风险)、共担风险(亦称转移风险)和接受风险(亦称自留风险)四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选择某一风险控制方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并确定相应的风险反应方案。(6)风险控制企业集团财务风险控制就是企业集团在识别、评估和确定风险反应方案的基础上有效控制与处理财务风险，用最经济的方法把财务风险可能导致的不利后果减少到最低限度的管理方法。风险控制是保证风险反应方案得到有效执行的相关政策和程序和对已经形成的风险损失的一种补救措施的实施。控制活动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。风险控制程序具体包括两方面内容：一是要在财务风险发生前，采取各种措施最大限度地防止风险的发生或者把风险控制到最低程度，即财务风险的预防；二是对无能为力、不能预防的财务风险，要采取控制措施，力求在财务风险发生后把风险损失降到最低，或者通过其他途径把风险损失弥补回来。根据选择的风险反应方案，财务风险控制的方法相应的分为四类：风险规避、风险减少、风险共担和风险接受。风险反应方案和风险控制方法决策过程如图4所示。图4风险控制决策过程(7)信息和沟通企业风险管理流程包括企业风险信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据，其收集数据的详细程度则视企业风险识别、评估和反应的需要而定，并保证将风险维持在风险偏好的范围内。风险信息和沟通还有助于增强风险意识，提高风险的免疫能力，逐渐在企业形成风险文化。3.国有资本安全管理控制机制现代财务是指企业生产经营过程中的财务活动(财务价值角度)及其所形成的特定的财务关系(财务权力角度)。然而，传统财务理论的研究框架和思路基本上遵循的是新古典经济学的研究范式，把企业作为一个追求利润最大化和成本最小化的整体，将制度和结构假定为既定，侧重从数量层面对财务的经济属性进行分析，没有把制度纳入财务行为的解释框架，轻视对财务社会属性的研究。新制度经济学告诉我们，一个节省交易成本的制度安排、制度框架和制度创新是至关重要的。特别是随着现代企业制度的建立(两权分离)，企业内部形成了多环节、多层次的委托代理关系，这就需要建立一系列机制来协调各方利益，抑制个体的“机会主义”倾向，使个体理性尽量服从集体理性。四、基于内部控制的国有资本安全管理实证分析1.假说研究内部控制是企业先进有效管理体系中一个重要的部分。然而我国国有企业内部控制薄弱、形同虚设导致企业会计信息失真、经营风险上升，进而影响我国国有资本安全性，导致了国有资本的严重流失。本文认为我国国有企业无论是在内部控制制度制定还是在执行方面都存在着一系列需要改进的问题。本文主要从内部控制的以下几个方面来考察其与国有资本安全性的关系：(1)内部财务控制内部财务控制是内部控制的重要组成部分，企业通过建立、健全财务预算制度，货币资金收支制度等一系列财务制度，保证会计信息的真实性、公允性。同时我国国有企业高管层的薪酬通常与企业的经营业绩挂钩，因此当企业盈利状况不佳无法实现预期目标时管理层会利用财务控制的薄弱环节，进行财务造假，粉饰财务报表来追求个人的短期利益最大化，而不是从企业经营管理层面进行改革，来提高企业核心竞争力，真正提高企业盈利水平。从而导致企业竞争优势下降，盈利能力下降，甚至破产。而且企业的内部财务控制越薄弱，高管层进行财务舞弊的可能性越大，企业被出具非标准审计意见的概率越高。据此笔者提出以下假设1：企业被出具非标准审计意见次数越多，国有资本的安全性越低。(2)国有企业中内部人控