全球金融危机给既有的风险管理模式带来了前所未有的挑战。在企业实际的经营过程中,风险管理与内部控制又是密不可分的。本文分析了风险管理与内部控制的关系,指出了目前企业风险管理工作中存在的问题,提出了构建体现全面风险管理的内部控制新机制。
由美国次贷危机引发的全球金融危机引起了人们对企业内部风险管理机制是否真正发挥作用的质疑。其实在亚洲金融危机后,世界各国就已经意识到风险管理的重要性,并纷纷建立了各种风险管理机制,但风险管理却难以真正地融入企业日常经营管理,以至于无法充分发挥作用。从这个角度来看,此次金融危机对既有的风险管理模式带来了前所未有的挑战。企业内部控制作为风险管理的重要环节,对企业风险管理的效率与效果有着重要的现实意义。本文拟就企业风险管理与内部控制问题进行探讨,以期对企业提高风险管理水平,建立完善的内部控制制度提供借鉴。
一、内部控制与风险管理的意义
从规范角度看,内部控制对于规范组织行为,加强企业管理等具有重要意义:内部控制制度是企业的组织制度,与企业的产权结构相对应,通过建立适当的“委托——代理”契约关系,保证企业外部投资人的利益能够得到企业内部代理人的有效维护,它有两层内容:(1)内部控制是企业的管理制度,它通过检查和改进有关的管理政策和程序,有效控制企业运行,不断提高企业的经营效率和效益,实现投资人投入资本的保值增值。(2)内部控制是企业的会计制度,它通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法,保证企业经营和财务状况信息的可靠性,保障投资人财产安全。风险管理同内部控制一样,也是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点;也都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设;为企业目标的实现提供合理的保证。
二、相关理论内涵
(一)风险管理的内涵
风险是指可能对目标的实现产生影响的事件发生的不确定性。对企业来说,风险是某种不利因素产生并造成实际损失,致使企业目标无法实现或降低实现目标的效率的可能性。风险管理就是采取一定的措施对风险进行检测评价,使风险降到可以接受的程度,并将其控制在某一可以接受的水平上。COSO(一个由IIA 和AICPA 在内的众多组织组成的专业联盟)对风险管理作了如下定义:“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标”。国内有的经济学家认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。可以理解为:风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
(二)内部控制的内涵
COSO 对内部控制作了如下定义:内部控制是受企业董事会、管理当局和其他职员的影响,旨在取得经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证的过程。内部控制包括五个要素:
1.控制环境:是指对企业控制的建立和实施有重大影响的一组因素的总称,包括管理哲学、经营方式、组织结构、人力资源政策与实务、董事会等。
2.风险评估:是提高企业内部控制效率和效果的关键,包括风险辨识和风险分析。
3.控制活动:指为保证企业目标的实现而建立的政策和程序,包括业绩评价、信息处理控制、实物控制、职务分离等。
4.信息沟通:是指信息在企业内部自上而下、自下而上、横向之间以及企业与外界进行有效的传递,有助于提高内部控制的效率和效果,及时为企业的生产经营决策提供全面和准确的信息。
5.监督:是指随着时间的推移及内外部因素的变化而不断地对企业的内部控制框架进行检查评价的过程。
内部控制和风险管理拥有各自的发展历程,但两者在2004 年COSO 委员会发布的《企业风险管理——整合框架》中实现了融合。由此,内部控制和风险管理被越来越多地联系在一起。全面风险管理是在内部控制基础上发展和完善起来的,全面风险管理体系涵盖了内部控制体系,内部控制与风险管理正在逐渐走向融合,这种融合可以理解为风险管理体系包含了内部控制体系,也可以理解为全面企业风险管理框架,就是现代内部控制体系的外在表现。而内部控制与风险管理走向融合,这不仅是内部控制系统向前迈进了一大步,也对内部审计的发展指明了方向。
三、风险管理和内部控制的关系
企业风险管理与内部控制在诸多的专业文献中均有提及,并时有通使或混用,两者间的关系在实务界及理论界也一直是争论的热点话题,撰文论述者不少,但对其间异同仍未达成共识,可谓仁者见仁,智者见智。笔者认为,深入探究企业风险管理与内部控制,真正理解两者间的关系,对于进一步完善企业管理理论,推动经营管理实践都具有极其重要的意义。
1.内部控制是风险管理的必要环节
内部控制的动力来自企业对风险的认识,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以保证企业合规经营、财务报表真实可靠。只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使整个企业安全运转。而合规经营、真实的财务报告和有效益的经营正是风险管理应该达到的最基本的状态。
2.风险管理涵盖了内部控制
风险管理与内部控制的组成要素有五个方面是重合的,即控制环境、风险评估、控制活动、信息与沟通、监督,这些重合是由它们目标的多数重合及实现机制相似决定的。全面风险管理不仅包括了内部控制的五个要素,而且增加了目标设定、事件识别以及风险对策三个要素,并且在重合的要素中,风险管理的内涵也都有所扩展。此外,从二者的框架结构来看,风险管理不仅包括内部控制的三个目标,而且增加了战略目标。因此从总体上来说,全面风险管理涵盖了内部控制,贯穿于管理过程的各个方面,控制的手段不仅包括事中和事后控制,更为重要的是,全面风险管理在事前制订目标时就充分考虑了风险的存在,尤其是对战略计划制定当中的风险进行评估。风险管理的目的,是要及时地发现风险、预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理,内部控制仅仅是管理的一项职能,不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,主要是通过事后和过程的控制来实现其自身的目标,内部控制制度的制定的主要依据是风险,在某些极端情况下甚至完全由风险来决定。
四、目前企业风险管理工作存在的问题
企业经营环境的不确定性以及监管机构对企业风险管理的要求提高,使得我国企业日益关注风险管理问题并开始设立专门的风险管理机构来管理风险。但由于我国企业风险管理还处在发展阶段,大多数企业并没有形成系统、完整的风险管理体制,目前企业风险管理工作还存在以下问题:
1.企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。
2.现有风险管理机构不足以应对企业风险。由于我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。较快变化的经营环境可能使得风险管理机制的风险应对能力削弱,甚至失效。
3. 风险管理机构组织建设不健全。2006 年6 月6 日由国务院国有资产监督管理委员会发布的《中央企业全面风险管理指引》第42 条明确规定:“企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。”
4.风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。
五、构建体现全面风险管理的内部控制新机制
1.构建具有本企业特色的创新风险管理理念
将全面风险管理作为企业文化的一部分,是一个全新的概念。这一概念的提出到最终确立为企业文化还需要一个过程,需要全体员工在全面风险管理理念下的共同努力。因此,要多学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,只有这样,全面风险管理的理念才能真正融入到实际工作中,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
2.构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,岗位管理职责的长期稳定成为保证权威的第一要义,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。作为岗位职责监督者的稽核部门也只是“例行检查”。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
3.构建全新的内部控制组织体系原则
(1)全面风险管理原则,即:全员管理原则,实现对全体员工强化风险意识,做到“横到边、纵到底”,将风险意识,印在脑海里,落实在行动上;全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
4.构建符合内部控制要求的业务管理新制度
传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
(来源:吴艳 风险管理智慧)
