楊秀忠

摘 要：全面風險理念是在傳統(tǒng)內(nèi)部控制無法滿足企業(yè)需要基礎上產(chǎn)生的，但全面風險管理不能完全取代內(nèi)部控制。內(nèi)部控制與全面風險管理之間既存在著聯(lián)系又有區(qū)別，只有充分了解二者之間的關(guān)系，才能更好的構(gòu)建內(nèi)部控制體系，從而提高企業(yè)全面風險管理水平。

關(guān)鍵詞：內(nèi)部控制；風險管理；建議

中圖分類號：F23

文獻標識碼：A

文章編號：16723198（2014）12012501

1 引言

內(nèi)部控制是一種企業(yè)內(nèi)部活動，它是通過組織機構(gòu)、組織制度和組織指令來完成的。內(nèi)部控制有三項目標，一是保證財務報告的可靠性，二是提高經(jīng)營的效果和效率，三是保證企業(yè)經(jīng)營的合法合規(guī)性。同時企業(yè)內(nèi)控應具備五個要素：信息與交流、風險評估、控制環(huán)境、監(jiān)控、控制活動。全面風險管理，是由一個企業(yè)的董事會、管理當局和其他人員實施，應用于企業(yè)戰(zhàn)略制定并貫穿于企業(yè)各種經(jīng)營活動之中的過程，目的是識別可能會影響企業(yè)價值的潛在事項，管理風險于企業(yè)的風險容量之內(nèi)，并為企業(yè)目標的實現(xiàn)提供保證。1995年美國COSO委員會發(fā)布了《內(nèi)部控制—綜合框架》，給企業(yè)和其他實體評估和提升內(nèi)部控制系統(tǒng)提供了極大幫助。但隨著經(jīng)發(fā)展，傳統(tǒng)內(nèi)部控制已力不從心，風險管理的理念開始受到學者們的廣泛關(guān)注，在這一背景下，美國COSO委員會于2004年底發(fā)布了全新的COSO報告，即《企業(yè)風險管理（ERM）—綜合框架》。全面風險管理框架提出后，我國也開始注重推行全面風險管理，國資委2006年6月發(fā)布了《中央企業(yè)全面風險管理指引》。

雖然全面風險管理理念出現(xiàn)晚于內(nèi)部控制理念，但美國《企業(yè)風險管理（ERM）—綜合框架》明確指出內(nèi)部控制是風險管理不可分割的一部分，但同時又強調(diào)風險管理框架“的確沒有取代內(nèi)部控制框架”，因此二者之間的關(guān)系成為許多學者研究的熱點，實務中就內(nèi)部控制與風險管理的認識上有一定的誤區(qū)，導致對提升內(nèi)控體系執(zhí)行的有效性和全面風險管理水平帶來一定的影響。這些誤區(qū)主要表現(xiàn)在，一是認為內(nèi)部控制和全面風險管理是相互獨立的，認為二者雖然具有共同點，但是二者在方式手段上具有本質(zhì)區(qū)別，得出這一結(jié)論的依據(jù)主要是認為二者管控的目的不完全一直，且二者的業(yè)務關(guān)注重點不同。二是內(nèi)部控制和風險管理的作用被夸大，認為只要企業(yè)建立了內(nèi)部控制體系和風險管理框架，企業(yè)就可以高枕無憂。三是內(nèi)部控制和風險管理的重要性被忽視，認為傳統(tǒng)的管理模式就可以達到目的。四是認為內(nèi)部控制和風險管理體系的建設僅僅是整章建制。五是認為內(nèi)部控制和風險管理理念難以適應很多企業(yè)的現(xiàn)狀，認為其與企業(yè)原有的管理體系間存在較大差距。出現(xiàn)上述認識誤區(qū)的原因在于對二者的關(guān)系理解不夠，因此了解二者的聯(lián)系與區(qū)別，才能更好的構(gòu)建內(nèi)部控制體系，從而提高企業(yè)全面風險管理水平。

2 內(nèi)部控制與全面風險管理的區(qū)別與聯(lián)系

2.1 內(nèi)部控制與全面風險管理的區(qū)別

（1）二者范圍不同。

內(nèi)部控制重點在與進行事中和事后控制，其是企業(yè)的一種管理職能，而全面風險管理則貫穿于企業(yè)的生產(chǎn)經(jīng)營活動的全過程，兼具事前、事中、事后控制功能，因此全面風險管理的范圍大于內(nèi)部控制的范圍。

（2）二者管理理念不同。

風險管理把機會風險視為企業(yè)的特殊資源，通過對其管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標的實現(xiàn)。而內(nèi)部控制則是以專業(yè)管理制度為基礎，實施的遵循性控制活動，它無法防范管理層非理性風險和凌駕于管理制度以上的決策風險。內(nèi)部控制解決的是“正確地做事”，不僅要解決“正確地做事”，關(guān)鍵要解決“做正確的事”。

（3）二者目標范圍不同。

風險管理增加了戰(zhàn)略控制目標，這意味著風險管理不僅僅是確保經(jīng)營的效率與效果，而且介入了企業(yè)戰(zhàn)略的控制。

（4）二者環(huán)境覆蓋面不同。

全面風險管理工作綜合考慮了內(nèi)部環(huán)境和外部環(huán)境，把風險管理的要求融入企業(yè)管理和業(yè)務流程中，而內(nèi)部控制考慮更多的是企業(yè)內(nèi)部環(huán)境。

（5）二者執(zhí)行方式不同。

全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關(guān)戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)。這其中的很多管理活動都是不需要內(nèi)部控制來完成的，內(nèi)部控制更多的是傾向于對企業(yè)經(jīng)營流程的事中和事后進行控制，其中包括對信息交流進行監(jiān)督、對不規(guī)范的操作流程糾正、對財務報告的評估等。

（6）二者對于風險的管理不同。

全面風險管理體系包括風險預警、風險偏好、風險對策等方法及概念，所以全面風險管理體系能夠?qū)ζ髽I(yè)的戰(zhàn)略目標和發(fā)展方向進行指引，而內(nèi)部控制體系不涉及此類功能。

2.2 內(nèi)部控制與風險管理的聯(lián)系

（1）二者的驅(qū)動因素是一致的。

無論是風險管理還內(nèi)部控制，最初的驅(qū)動因素在于滿足監(jiān)管要求。隨著認識上的不斷創(chuàng)新，驅(qū)動因素增加了規(guī)模風險，從而減少風險帶來的損失。

（2）二者的主體是一致的。

二者實施的主體都是企業(yè)董事會、管理層以及其他人員，均強調(diào)了全員參與的理念。

（3）二者都均是動態(tài)的管理過程。

二者均是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的不斷修正、循環(huán)往復的過程，并滲透于企業(yè)各項經(jīng)管理活動中。

（4）二者的目標有共同點。

都是為企業(yè)實現(xiàn)目標提供合理保證。風險管理的目標有四類，其中三類與內(nèi)控控制相重合，即報告類目標、經(jīng)營類目標、和遵循類目標。

（5）二者的作用是一致的。

都是為了防范風險。內(nèi)部控制的最重要目的之一就是防范風險，沒有風險防范這一既重要又明確的目的，內(nèi)部控制的存在就大打折扣，至少發(fā)揮作用的空間會受到極大的限制。

（6）組成要素有重合。

風險管理與內(nèi)部控制的組成要素有五個方面是重合的，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。風險管理增加了目標設定、事件識別、和風險對策三個要素，增加了戰(zhàn)略目標，對內(nèi)部控制框架進行拓展，把內(nèi)部控制帶到了一個更加寬泛的管理視角。

（7）內(nèi)部控制是實現(xiàn)風險管理的重要手段。

內(nèi)部控制是通過全方位建立過程控制體系，這恰好為風險信息的收集提供了極大的方便，可見內(nèi)部控制是作為風險管理的一種重要手段而存在的。

3 實施內(nèi)部控制促進風險管理有效性的建議

3.1 創(chuàng)造良好的控制環(huán)境

縱觀國內(nèi)外許多風險案例，即是因為董事會對公司運營風險重視不夠、缺乏有效的監(jiān)督。董事會、管理層的風險管理政策、風險偏好、公司結(jié)構(gòu)、企業(yè)文化的價值觀直接影響著企業(yè)的內(nèi)部控制與風險管理，因此只有建立良好的內(nèi)部控制環(huán)境，才能為實現(xiàn)全面風險管理提供良好的基礎。

3.2 注重企業(yè)風險文化建設

首先，公司董事會、管理層和全體員工必須熟悉企業(yè)業(yè)務相關(guān)的風險。其次，要關(guān)注重大風險。董事會與管理層將主要精力放在可能產(chǎn)生重大風險的環(huán)節(jié)上。再次，要深化企業(yè)風險管理文化。在有良好的風險意識的團隊中，風險在形成或變?yōu)橹匾L險之前，都會被及時識別，及時規(guī)避。

3.3 構(gòu)建責任保障機制

企業(yè)應在風險管理委員會的領導下，建立“統(tǒng)一管理、分級負責”的管理體制，建立“誰執(zhí)行誰負責”的責任機制。建立以“業(yè)務主導、部門牽頭、審計監(jiān)督”的職責體系?！皹I(yè)務主導”是指產(chǎn)品研發(fā)、市場開發(fā)、生產(chǎn)運營、財務管理等業(yè)務部門負有內(nèi)控與風險有效運行的管理責任；“部門牽頭”是指內(nèi)控與風險管理部門統(tǒng)籌管理企業(yè)全員、全過程、全方位的風險管理工作，對業(yè)務部門負有組織、檢查、評價的職能；“審計監(jiān)督”是指內(nèi)部審計負責見管理過程的充分性和有效性進行檢查、評估、報告，并提出改進意見。

3.4 建立監(jiān)督檢查機制

一是著重落實業(yè)務部門的運行監(jiān)督責任，負責體系運行情況的日常監(jiān)督檢查，特別強調(diào)業(yè)務主管部門對本專業(yè)從上到下管理和監(jiān)督職責。二是周密安排測試工作，以測試促執(zhí)行、促有效性。三是編制內(nèi)部控制有效性報告與風險管理報告，通過編制報告披露問題，分析差距，查找原因，制定應對措施。

3.5 建立考核評價機制

在建立考核評價辦法時，重點要關(guān)注基礎工作部分的考核，包括內(nèi)控與風險管理委員會的成立及履責情況、機構(gòu)及崗位人員的配置情況、宣貫培訓情況、制度建設情況、測試檢查開展情況、考核兌現(xiàn)情況等，同時要關(guān)注實質(zhì)性的內(nèi)容，如風險識別、風險分析、風險評價、管控措施的制定、實質(zhì)性漏洞及重大缺陷的發(fā)現(xiàn)等。將考核評價結(jié)果納入對各級管理人員的業(yè)績考核，獎罰兌現(xiàn)，形成正向激勵的考核方法，促進執(zhí)行力的提升。

參考文獻

[1]閏金萍.論現(xiàn)代企業(yè)內(nèi)部控制機制[J].現(xiàn)代管理科學，2009，（1）.

[2]仇穎.基于戰(zhàn)略控制的內(nèi)部控制模[J].經(jīng)濟導刊，2008，（5）.

[3]肖凌.企業(yè)風險管理 ERM一個概念框架[J].經(jīng)濟師，2006，（3）.

[4]詹姆斯林著.黃長全譯.企業(yè)全面風險管理從激勵到控制[M].北京：中國金融出版社，2003.

[5]胡昌紅.現(xiàn)代企業(yè)風險管理框架研究[D].合肥：安徽大學，2007，（4）.