您现在的位置:ITGov-IT治理研究中心>> 研究>> 信息安全管理>>正文内容
我国企业应加强对合规性风险的管理
发布时间:2006年05月23日点击数: 作者:赵善强 来源:国际商报
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
目前,我国企业风险管理普遍比较薄弱,相对比较重视的是金融、保险等高风险行业,大部分企业尚处于加强内部控制建设的阶段。然而,近期的中航油(新加坡)事件、中石油吉林石化公司发生的爆炸事故,煤矿安全事故等诸多事件,说明风险管理对企业越来越重要,加强风险管理越来越紧迫。但是,当企业认识到风险管理的重要性,实际着手准备风险管理时却仍然会问:“究竟应该怎样管理风险以更好地保护我们”本文结合国际领先企业的实践和我国企业的实际情况,分析存在的差距,探讨目前我国企业应采取的风险管理策略。

以立法的形式促进企业加强内部控制
针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出,又被称作《2002年萨班斯—奥克斯利法案》(Sarbanes—Oxley Act,以下简称SOX法案)。法案的核心在于促进企业完善内部控制,加强信息向公众披露的质量和透明度,并对公司管理层提出了明确的责任要求。尤其是该法案的第404节,要求所有在美国证券交易委员会(SEC)备案的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,企业的管理层需要对内部控制系统的有效性进行报告,其中,上市公司还须负责保持内部控制系统的有效运行。

    目前,受该条款影响的我国企业,主要是数十家已在美国证券市场挂牌的公司,其首要的影响主要是报告其内部控制系统的有效性:管理层需要投入大量的时间和资源建立健全内部控制系统,以确保公司内部控制系统的合规性;管理层必须每年评估并报告内部控制对财务报告的有效性;外部审计师必须对公司管理层有关财务报告之内部控制的有效性的评估结果出具审计师意见;公司董事会和审计委员会应对管理层制定和执行404条款的计划程序、发现和改进工作进行监督等。然而,更深层次的影响来源于对公司董事会和管理层的巨大挑战:

    SOX法案大大的改变了在美国上市公司的商业环境。对公司管理和内部控制的强制性关注,使公司内各个阶层都涉及到一定的程序中并承担一定的责任,而且,该法案很有可能对今后数十年的商业习惯产生影响。

    在法案遵循的第一年,有关各方忙于迎合法规的要求。然而,在接下来的年度里,企业如何设计出持续的遵循框架,形成最佳的内部控制治理结构,来帮助企业发展更加合理和有效的程序并减少总体的遵循成本则非常重要。

    同时,S0X法案还将影响到公司的各项管理行为,公司的会计和财务、内部审计、风险管理、人力资源政策和程序、公司治理等诸多方面,均将面临在萨班斯—奥克斯利时代的最优化选择问题。

    可见,以立法的形式来要求企业加强其内部控制,其影响和意义是深远的。但是,与之相比较,我国企业的内部控制体系建设尚存在许多差距:尽管财政部已经颁布若干内控规范,如贷币资金、采购与付款、销售与收款、工程项目、对外投资、预算、担保、成本费用、固定资产、存货、筹资等内控规范,证监会、银监会等监管机构按照行业.如商业银行、证券公司等,发布了若干分行业的内控指引,但从整体上缺乏如COSO(美国反欺诈性财务报告委员会)——《内部控制——整体框架》那样的统一框架。也没有如SOX法案那样的法律强制性要求企业加强内部控制。

    而从我国企业的实际情况分析,企业内部控制的不足主要表现在:内部控制过分关注如何达到财务报告目标的要求,忽视内部控制的经营目标和满足法律法规要求的目标,并受限于会计控制;在内部控制的整体结构上,重视业务层面控制,忽略公司层面和信息系统层面的控制:缺乏完整的内部控制文档,以及对主要业务环节/程序/目标/风险/控制的全面分析;内部控制按传统的职能部门开展,缺乏流程观,内部控制不系统化;缺乏正式的内部控制测试方法,管理层内控报告依据不充分等。正如COSO在其《企业风险管理——整体框架》中所指出的那样,内部控制是企业风险管理必不可少的一部分,风险管理框架建立在内部控制框架的基础上。我国企业要加强风险管理,首先从内部控制人手,而通过立法的形式子以强化,将推动我国企业的内部控制体系的建设。

逐步推行全面风险管理

    与国际领先企业相比,除了我国的金融、保险等高风险行业非常重视风险管理外,大部分企业尚没有引起应有的重视,风险管理尚处于起步阶段,在企业风险管理方面存在诸多差距:董事会和管理层对企业风险管理缺乏统一的认识或认识不够,普遍存在以内部控制替代风险管理的现象;缺乏如COSO《企业风险管理——整体框架》那样的权威框架对企业风险管理的指导;由于有的风险是可以计量的,因此,部分企业重视采取大量复杂的技术来管理这些风险。但是,一些定性的风险却被忽视,如声誉风险、管制风险、遵循风险、安全风险和政治风险等。企业缺乏系统和全面的风险管理。

    过分强调企业的增长和效益,没有处理好增长、效益和风险之间的平衡。因此,要提高和改进我国企业的风险管理,需要从如下方面进行努力:政府或有关机构应积极推动制定如COSO《企业风险管理——整体框架》那样的框架,以指导我国企业的风险管理;我国企业应积极借鉴国外先进的企业风险管理理念和方法,建立和完善全面的风险管理体系,通过持续地的风险管理来评估决策和交易中的风险,计算实行风险管理所取得的报酬和不实行风险管理所得到的惩罚。其目的是发现和处理好企业在减轻财务、经营和战略风险与为股东创造竞争价值之间的恰当平衡。

    对于我国企业来说,具体的步骤是:第一,非常简单,立即动手。即使你不能识别全部的风险管理任务,但你不得不开始着手风险管理工作。第二,整合风险管理到企业所做的每件事情之中,即通常所说的将企业风险管理“植入”到企业从组织高层到业务程序和系统之中。第三,一旦管理风险时,必须正确面对而不回避。

目前应首先加强台规性风险管理

    每个企业由于所处发展阶段不同,因而面临的最大风险也存在差异。有的企业是战略风险问题,有的企业是经营风险问题,也有企业是财务风险问题。但我们认为,我国企业目前普遍面临的最大风险问题是法律法规的遵循风险,也就是合规性风险。它主要是由于企业无法满足法律、法规、规则要求,也没有遵循自己制定的标准,以及运作的行为准则,而造成企业面临着财务损失的风险或者声誉风险。

    合规性风险主要体现在两个方面:
    常见的是有“规”不“循”。比如中国航油(新加坡)股份有限公司就是典型的实例,其内部控制体系在形式上一直存在,《风险管理手册》与其他国际石油公司操作规定基本一致。中航油(新加坡)内部设有风险管理委员会。每名交易员亏损20万美元时必须向风险管理委员会汇报;亏损37.5万美元向CEO汇报;亏损50万美元时,必须斩仓。但是,这些制度却没有执行,最终导致企业濒临破产。

    更重要的是有“循”无“规”。比如近期中石油吉林石化公司发生的爆炸事故,中石油集团重庆开县特大并喷事故,煤矿安全事故等,大家的视线通常是关注企业存在安全风险。其实,从企业风险管理角度分析,企业如果没有一套完整的风险管理体系,也就无法发现其高风险领域,更无法利用风险管理原理对这些风险进行管理,对这些企业无法控制和管理的风险,应采取措施利用保险机制进行转移和分散。进一步从风险预防的角度分析,如果缺乏完整的风险管理体系,公司董事会和高管层就没有意识在其预算中安排风险管理准备金.对安全生产和管理的设备和人员培训投入不足,安全风险也就在所难免。

    因此,当前我国企业应首先强调合规性风险的管理。合规在企业文化里非常重要,强调诚信和正直,这点需要从董事会和高层领导做起,这也是我国企业规避风险的必要措施。合规关系到企业内的每一位职员。企业在经营时,必须以高标准来要求每个职员,确保所有行为达到合规的要求。一旦违规操作,将对股东、客户、职员以及市场带来严重的负面影响,并将影响企业的声誉。
分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计