內部控制和風險管理建設中的誤區或問題
我國參照利用美國 COSO 的內部控制和風險管理框架並結合具體國情,制定了壹系列內部控制和風險管理制度及規範,為企業內部控制和風險管理提供了行動指南,但在理論認識和實際操作中,還有
不少問題值得我們思考。
2.1把內部控制和風險管理體系建設簡單地理解為立章建制
實際上,內部控制和風險管理並不僅僅是壹種規章制度,如文件法規、技術規範和應用模型等,也不是額外單獨的控制活動,如信息交流、評審監督和風險評估等,所以不能把內部控制和風險管理看作壹種靜態的東西,而應把它們內置於企業的日常管理活動之中,形成壹種常規的管理和運行機制。可以說,內部控制和風險管理既是壹種制度安排、也是壹種管理過程,更是壹種自律行為。
2.2認為內部控制和風險管理是相互獨立的
雖然內部控制和風險管理的內涵有很多重合之處,如要素很多相同、方法很多相似,但內部控制和風險管理的具體運用需要根據企業自身的特點、發展階段、行業特性、技術條件、外部環境等要求來執行。比如,某企業生產醫療設備或藥品,因為涉及到人的生命健康問題,而且政府管制非常嚴格,風險管理的迫切性相對較強,此時企業以風險管理來主導內部控制比較合適;如果某企業是為了使自己的財務報告及信息披露合法,此時企業當然以內部控制為主導、同時兼顧風險管理更為合理。
2.3過分誇大了內部控制和風險管理的作用
不管是內部控制還是風險管理,它們都是企業的管理活動,無論它們的方法多麽先進、系統多麽完善,都只能為企業向目標邁進提供相對合理而非絕對的保證。尤其當企業的品性、信仰、能力、責任等出現缺失時,決不能把企業的成功寄望於內部控制和風險管理上。
2.4理論與實際脫節
風險管理理念是從西方國家引進的,與我國傳統的理論觀點和制度建設存在很多差異或差距,使得企業管理人員很難把這些概念和框架融入到日常的管理活動之中,語言和行為之間很難建立直接的聯系,只有理論說教,缺少實際行動。
2.5制度執行不力
制度的關鍵在於執行,沒有執行或執行力度不夠,再先進的制度也不起作用。影響內部控制和風險管理執行力度的因素很多,其中,企業組織結構不合理、執行人員素質偏低、企業文化落後、資源配置不當是主要因素;制度本身的局限性及制度與制度之間的不協調性也給內部控制和風險管理的執行帶來困難。內部控制針對的是“事”而不是“人”,是壹種“非人格”的控制機制,其控制對象不限於受控方,施控方也是內部控制的控制對象。內部控制需要全員參與、平行參與和平等參與,這與我國傳統的等級制、科層制是大不相同的。