摘要:完善的内部控制是企业风险管理的基础,同时,内部控制也是风险管理不可或缺的重要组成部分。本文基于此,详细分析了企业内部控制与风险管理之间的差异点及其共同点,并根据上述分析,提出了企业在实施内部控制与风险管理时应注意的问题。
关键词:全面风险管理 内部控制 企业
一、引言
美国次贷危机引发了全球金融危机后,投资者对企业内部风险管理机制是否真正发挥作用的产生了质疑。当然,这种质疑初源于亚洲的金融危机。尽管亚洲金融危机当时波及范围相对狭小,但世界各国还是充分意识到风险管理的重要性,并纷纷建立了各种风险管理机制。这是不是说明风险管理能够在企业界得到更好的执行呢?然而此次美国的金融危机说明现有的风险管理模式仍然存在诸多不足,这对学术界和实务界提出了更为严峻的挑战。
2004年,COSO委员会在内部控制框架的基础上,发展形成了企业风险管理的整合框架。该框架说明了“内部控制是风险管理不可分割的一部分,但同时又强调风险管理框架并没有完全取代内部控制框架”。这一概述给理论界留下了一个问题:内部控制与风险管理究竟是什么关系?内部控制与风险管理之间的关系又是如何?他们之间差异在何处,相同点又有哪些?实施风险管理与内部控制时,企业应注意哪些问题呢?
在实务界,这些疑问得到了一定程度的体现,近年来愈来愈多的企业的确意识到全面风险管理的重要性,但对内部控制与风险管理之间的关系缺乏深刻的认识,更有甚者将二者混为一谈。当然,这可能来是理论上的不清晰导致了实务界对风险管理和内部控制认识上存在一些误解。从理论上,界定风险管理与内部控制之间的关系,也成为指导实务界实施风险管理与内部控制的重要课题。面对日益激烈的市场竞争,现代企业应当建立完善内部控制制度与风险管理制度,这对于防范舞弊、减少损失、提高资本获利能力都具有积极的意义。由此,本文以内部控制与风险管理为切入点,详细的探讨了内部控制与风险管理的关系,同时给出了提高内部控制和风险管理水平的相应措施。
二、内部控制与风险管理的内涵
(一)内部控制的定义
2004年,美国COSO委员会在《内部控制―――整体框架》中对内部控制的定义得到广泛认可并沿用至今,其对内部控制定义的描述如下:内部控制是由企业董事会、管理层和其他员工实施的,为保证运营的效率和效果、提供可靠的财务报告、遵守相关法律等目标的过程。可见,内部控制是指企业的董事会、经理层以及全体员工共同实施的,为保证实现经营活动的效果与效率、财务信息的准确性、相关规章制度的遵循等目标而设计的过程。
(二)风险管理的定义
《全面风险管理框架》是COSO委员会在2004年颁布的,它将风险管理定义为:全面风险管理器执行人是企业的董事会、管理层以及其它人员,其主要目的在于能够识别影响企业的各种潜在事件,同时能够按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。
三、内部控制与风险管理的关系
(一)内部控制与风险管理的不同点
1、内部控制与风险管理内涵与外延不同
内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素是企业有效内部控制应包括的主要要素。风险管理在内部控制的基础之上增加了目标设定、事件识别以及风险对策三个要素。可见,风险管理的层面更高,它将控制活动提高到了战略层面,风险管理包括了内部控制的三个目标,且增加了战略目标。
2、内部控制与风险管理执行方式不同
内部控制负责事中和事后的控制,其中包括对报告的评估、对信息交流的监督、对错误的纠正等先关内容。而风险管理执行上述业务后,还包括制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节。可见内部控制不会涉及到企业目标,仅仅是控制企业目标,而风险管理则涉及到企业目标的制定。
3、内部控制与风险管理的侧重点不同
风险偏好、风险预警、风险对策等方法在全面风险管理框架都得到了体现,在风险度量的基础上,该框架可促使企业发展战略向风险偏好靠拢。这些功能都是内部控制无从体现的,可见内部控制与风险管理的侧重点是有所不同的。
(二)内部控制与风险管理的共同点
1、内部控制与风险管理有共同目标与作用
从内部控制设计的最初目的来看,内部控制就是为防范企业运行中潜在的各种风险。从控制所要实现的目标看,二者内部控制和风险管理的目标都是为保护企业资产与投资、支持企业在不利的条件下能够很好地实现预期的目标。两者的作用都可以体现在渗透在企业日常经营管理活动中一系列行为,其主要目的都为合理保证企业目标的实现,从而实现其终极目标:保护资产完整、维护投资者利益,并不断创造价值。
2、内部控制与风险管理有相同的实施主体
两者实施的主体都是由董事会、经理层以及全体员工组成,均强调了全体参与性,同时明确了企业内部各方在风险管理和内部控制中的应承担的职责。涉及范畴不同内部控制是一种管理职能,主要作用于事中与事后的控制,而全面风险管理则是贯穿于整个过程的各个环节,尤其是在事前就有了一定的预见性的风险考虑。而且全面风险管理的管理范围要大于内部控制。
3、内部控制与风险管理的组成要素大部分重合
控制环境、风险评估、控制活动、信息与沟通和检查与监督是风险管理与内部控制的五个一致的构成要素。风险管理在此基础上还增加了目标设定、事件识别和风险反应等三个要素。当然在这些重合要素中风险管理的内涵更为延伸和扩展的相对较远一些。
(三)内部控制与风险管理相互补充的发展趋势
风险管理所识别和评价的是企业实际和潜在的风险,当风险管理识别出这些风险后,企业才能借助内部控制等手段消除、转移、和降低风险的影响。二者的内涵与外延虽有不同,但可以看出内部控制是风险管理的关键环节,对完成它们共同的组织目标具有重要的意义;而良好的内部控制系统又依赖于彻底规范地对企业所处的风险性质和范围的评价。因此,二者在发挥作用的过程中是相互促进、相互补充的。
四、企业实施内部控制与全面风险管理应注意的问题
(一)内部控制与全面风险管理不是相互独立的
内控制度的建设和风险管理的实施同属于一个系统工程,并不是互相独立的。企业可综合自身性质、发展程度、科技条件以及外部环境等因素,合理选择建设重点。经营风险较大的企业可以以风险管理主导内部控制,而对于经营风险较小、企业管理相对重要的企业,可以内部控制为主导、兼顾风险管理。
(二)内控与全面风险管理不是一成不变的
一些企业的管理者对内部控制与风险管理的体系有一定的错误认识,这些错误认识主要体现在将两者有固化的趋势,认为两者是一成不变的。然而,事实并非如此。从外部环境看,当前的经济形势瞬息万变,需要内部控制与风险管理作出相应变化。从内部控制与风险管理自身来看,随着理论和实践的发展,两者沿着其理论轨迹在不断前进、发展中,不能认为其是一成不变的。
(三)建立风险导向型的内部控制
公司应该借鉴国际成功的公司内部管理的经验,对公司治理和机制进行创新,尤其要重视防范与化解各种风险,以此来完善管理制度的建设。例如,可以借鉴风险预警机制,强化风险管理,在公司组织机构、战略绩效、销售渠道、人力资源及公司价值等诸多方面的管理实现内部控制与风险管理的全面融合。
五、结论
以上论述可以看出内部控制与风险管理既有区别又有联系。内部控制是企业风险管理迫切需要的辅助条件,风险管理的实施需要良好的内部控制提供环境与制度保障。如果内部控制不善,风险管理不但无法实现既定目的,还可能会对企业发展形成严重影响。另一方面看,内部控制能够达到既定目的,需要风险管理控制好企业的风险因素。因此,只有二者共同作用,才能更好的为企业的可持续发展保驾护航。
参考文献:
[1]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,(10)
[2]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009,(5)