内部控制与全面风险管理的关系【论内部控制与全面风险管理】

　　概要：由于存在认识上的误区，内部控制和风险管理在实践上存在重视不够，执行力不强，考核评价不严，风险管控不力等问题。正确认识内控体系与风险管理的联系与区别，把握体系建设的核心问题是体系建设和运行成败的关键。
　　关键词：内部控制;风险管理
　　按照国资委2006年6月发布的《中央企业全面风险管理指引》，财政部等五部委2008年6月发布的《企业内部控制基本规范》，笔者所在单位深入开展了全面风险管理，发布了《全面风险管理报告》、《内控控制管理手册》。然而，在工作实践中，就内部控制与风险管理的认识上有一定的误区，导致对提升内控体系执行的有效性和全面风险管理（以下简称风险管理）水平带来一定的影响。
　　一、内控控制与风险管理的认识误区
　　1.认为内部控制与风险管理是相互独立的。认为二者虽有共同点，但是从方式方法手段上看仍有本质的区别；有的认为从管控的目的上看，不完全一致；还有的认为，从企业的业务上看，二者关注的重点不一样，据此认为是相互独立的。
　　2.内部控制和风险管理的作用被夸大。认为有了内控体系和风险管理体系，企业就可以高枕无忧，希望内部控制和风险管理可以确保企业的成功，确保企业法律法规的遵循性、确保财务报告的可靠性。
　　3.内部控制和风险管理的重要性被忽略。认为传统的企业管理模式，就可以解决内部控制和风险管理所要达到的目标，而无须另立理论与方法，他们主张应该看到与原有的传统管理模式的差异，应该看到新的管理模式带来的风险和巨大成本。
　　4.认为内部控制和风险管理体系的建设就是整章建制。认为内部控制和风险管理体系建设，就是建章立制，理解为简单的制度建设。
　　5.认为内部控制和风险管理理念难于适应企业现状。新的管理理念和技术，与企业原有的管理体系和观点之间存在较在的差距，认为在COSO理念下建立的内部控制和风险管理模式不适合于企业现状。
　　二、内部控制与风险管理的联系
　　1.二者的驱动因素是一致的。无论是风险管理还是内部控制，从其在中西方的发展史上我们可以看出，最初的驱动因素在于满足监管要求。随着认识上的不断创新，越来越多的企业认识到内部控制与风险管理的重要性，驱动因素变为首先在于规避风险管理失效会导致难以预计的损失，其次才是为了满足监管要求。
　　2.二者的主体是一致的。它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观念，指出各方在内控控制或风险管理中应有的角色与职责。
　　3.二者都是一个“动态的管理过程”。二者的有效性都是在某一时点的一个状态，不能当做某种静态的东西，也不是单独或额外的活动。是一个发现问题、解决问题、发现新问题、解决新问题的不断修正、循环往复的过程，并渗透于企业各项经管理活动中。
　　4.二者的目标有共同点。都是为企业实现目标提供合理保证。风险管理的目标有四类，其中三类与内控控制相重合，即报告类目标、经营类目标、和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内外发布的非财务类报告准确可靠。
　　5.二者的作用是一致的。都是为了防范风险。内部控制的最重要目的之一就是防范风险，没有风险防范这一既重要又明确的目的，内部控制的存在就大打折扣，至少发挥作用的空间会受到极大的限制。
　　6.二者的组成要素上看，风险管理与内部控制的组成要素有五个方面是重合的，即控制环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别、和风险对策三个要素，增加了战略目标，对内部控制框架进行拓展，把内部控制带到了一个更加宽泛的管理视角。
　　7.从二者的方法上看，企业的风险普遍存在于生产经营的各个环节，风险信息的取得是实施风险管理的前提，收集不到风险信息，风险管理就无从谈起。而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。这恰好为风险信息的收集提供了极大的方便，可见内部控制是作为风险管理的一种重要手段而存在的。
　　三、内部控制与风险管理的区别
　　1.在定义上不一致。在COSO委员会的全面风险管理框架中，把风险定义为“对企业的目标产生负面影响的事件发生的可能性”，将风险与机会区分开来。而在C O S O委员会的内部控制框架中，没有区分风险和机会。
　　2.在理念上不一致。内部控制解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。而风险管理解决的不仅是流程问题，更要解决战略决策、应急处理；不仅要解决当前问题，更要预测和应对将来可能发生的问题；不仅要解决“正确地做事”，关键要解决“做正确的事”。风险管理把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。而内部控制则是以专业管理制度为基础，实施的遵循性控制活动，它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。
　　3.在目标上不一致。风险管理增加了战略目标，这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经目标）的制定过程。显然，风险管理所要实现的目标要远远高于内部控制所要实现的目标。
　　4.在程序上不一致。全面风险管理包括了风险管理目标和战略的设定、风险评估方法的选择、风险影响程度的制定、风险报告程序等活动。而内部控制负责的是对风险的评估、风险的控制、信息与沟通、监督评价等工作。内控控制不负责战略目标的制定，只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中风险的评估。
　　5.在环境要求上不一致。企业开展全面风险管理工作是与其他管理工作紧密结合，在综合考虑内部环境和外部环境的情况下，把风险管理的要求融入企业管理和业务流程中。而内部控制则是在内部环境下，根据国家有关法律法规和企业章程，建立的公司治理结构和议事规则。
　　6.在对策上不一样。风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，这些内容在内部控制中不包含，也是不要求的。
　　四、如何实施内部控制进行有效的风险管理
　　古人云：“忧劳兴国，逸豫亡身”、“生于忧患、死于安乐”。小平同志讲：“我们要把工作的基点放在出现较大的风险上，准备好对策。这样，即使出现了大的风险，天也不会塌下来。”古人和伟人都强调了风险管理的重要性。在正确认识内部控制与风险管理的联系与区别的基础上，如何把握“瓶劲”来构建企业全面风险管理体系，是防范风险、管控风险的关键。
　　1.要创造良好的控制环境。无论是COSO内部控制框架，还是财政部《企业内部控制基本规范》，都强调了内部环境的重要。仔细审视国内外发生的各个风险案例，不管是安然、世通事件，还是中航油事件，都有一个共同的问题，即缺乏有效的风险管理，其根本原因，则是董事会对公司运营风险重视不够、缺乏有效的监督。“风险放在第一位的发展才是科学发展”，“企业家基本职能：预测当前及未来面临的风险”。董事会、管理层的风险管理政策、风险偏好、公司结构、企业文化的价值观直接影响着企业的内部控制与风险管理，因此建立以董事会高度重视的控制环境，是内部控制与风险管理成败的关键。
　　2.注重建立具有风险意识的企业文化。“没有意识到风险，就是最大的风险”，“没有意料之外，为意料之中做好了准备”，这是企业风险管理的最高境界。内部控制与风险管理最终目的就是要控制风险，避免企业遭受损失。因此，在构建内部控制与风险管理的过程中，应该以风险管理理念为导向。首先，公司董事会、管理层和全体员工必须熟悉企业业务相关的风险，所有员工知晓他们个人职责对企业风险的影响。其次，要关注重大风险。2005年COSO发布的《企业风险管理-整合框架》要求董事会与管理层将主要精力放在可能产生重大风险的环节上，而不是所有细节的控制上。企业的管理资源是有限的，控制也是需要成本的，如果将主要精力放在所有细小的或微不足道的控制上，就会舍本求末。再次，要深化企业风险管理文化。风险意识是任何风险管理过程的出发点，在有良好的风险意识的团队中，风险在形成或变为重要风险之前，都会被及时识别，及时规避。培训风险意识就需要深化企业风险管理文化。
　　3.建立责任保障机制。在实践中，一提及内部控制，大家认为就是财务部门的事。企业的内控与风险管理是一个系统工程，其组织体系涵盖企业决策和管理者、风险管理部门、经营系统、内部审计等。企业应在风险管理委员会的领导下，理清体系各要素的部门管理责任，建立“统一管理、分级负责”的管理体制，建立“谁执行谁负责”的责任机制。
　　建立以“业务主导、部门牵头、审计监督”的职责体系。“业务主导”是指产品研发、市场开发、生产运营、财务管理等业务部门负有内控与风险有效运行的管理责任；“部门牵头”是指内控与风险管理部门统筹管理企业全员、全过程、全方位的风险管理工作，对业务部门负有组织、检查、评价的职能；“审计监督”是指内部审计负责见管理过程的充分性和有效性进行检查、评估、报告，并提出改进意见。
　　4.建立监督检查机制。一是着重落实业务部门的运行监督责任，负责体系运行情况的日常监督检查，特别强调业务主管部门对本专业从上到下管理和监督职责。二是周密安排测试工作，以测试促执行、促有效性。三是编制内部控制有效性报告与风险管理报告，通过编制报告披露问题，分析差距，查找原因，制定应对措施。
　　5.建立考核评价机制。结合体系运行情况，探索建立体系运行评价机制。在建立考核评价办法时，重点要关注基础工作部分的考核，包括内控与风险管理委员会的成立及履责情况、机构及岗位人员的配置情况、宣贯培训情况、制度建设情况、测试检查开展情况、考核兑现情况等，同时要关注实质性的内容，如风险识别、风险分析、风险评价、管控措施的制定、实质性漏洞及重大缺陷的发现等。将考核评价结果纳入对各级管理人员的业绩考核，奖罚兑现，形成正向激励的考核方法，促进执行力的提升。
　　笔者认为，内部控制的最终目的就是在控制风险，风险管理是建立在内部控制基础之上的。实践中仅有内部控制体系，而无风险管理的意识，则内控管理就是空架子，缺乏灵魂。有了风险管理意识，而无内部控制框架，则风险管理就失去了科学的管理手段，也易形成风险管理目标的缺失。因此，在构建内部控制体系过程中应树立以风险管理为导向的理念。