内部控制和风险管理既有区别又有联系。从整体来说。内部控制是风险管理的重要基础,风险管理是内部控制发展的必然结果,即企业全面风险管理是内部控制的升级版本。
文 白万纲
内部控制与风险管理是相互联系而又有区别的。从总体来说,内部控制是风险管理的初级阶段。在目标、内容等方面进行延展和扩充后,内部控制发展成为企业全面风险管理。
内部控制的含义与发展
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制的整体描述可以通过图1表示。
内部控制从产生发展到现在,共经历了四个阶段。第一阶段,萌芽期——内部牵制,公元前3600年—20世纪初期以前:第二阶段,发展期——内部控制制度,至20世纪70年代;第三阶段,过渡期——内部控制结构,20世纪80年代至90年代;第四阶段,成熟期——内部控制整体架构,20世纪90年代至今。
在不同的发展阶段,内部控制也经历了不同的进化过程。首先,是简单的内部牵制,主要是通过一些简单的内部控制活动来杜绝个别事务上的舞弊,形成制衡.驱除私利放大;其次,是建立制度化的内部控制,主要是通过建立制度,以制度代替人,以制度中的制衡和互相印证,以管理和财务的关系来制衡;再次,是建立内部控制结构,主要是通过建立内部控制环境和控制程序,构建一个政策与程序环境;最后,是建设动态的、可以自我进化的内控体系,主要是以风险管理作为内控不断改善的驱动力:以风险为引擎来驱动内控体系不断地提升,形成一个PDCA式形成与上升。
内部控制尽管可以帮助企业防范舞弊、堵塞漏洞、应对内部管理风险,但是其缺陷也是显而易见的。首先,内部控制的主要工作范围是企业内部。对于企业外部的各种不确定性因素,内部控制往往显得力不从心。其次,内部控制主要是以业务循环及其中的关键控制点为对象的,控制和管理的范围相对于企业管理而言过于狭窄。
可见,单凭内部控制是无法帮助企业应对各种内外部挑战的。因此,企业需要一个比内部控制更为高级、更为全面的管理系统。
企业全面风险管理时代的到来
企业的发展需要应对内部和外部的所有不确定性。而内部控制自身的局限性无法帮助企业防范和控制所有的内外部风险。由此,逐步发展出了企业全面风险管理的理念。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
企业开展全面风险管理要努力实现以下风险管理总体目标。一是确保将风险控制在与总体目标相适应并可承受的范围内;二是确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告:三是确保遵守有关法律法规,确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;四是确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
全面风险管理的五个层次。一是发现和处理问题:在风险还没有露出或者刚刚冒头的时候,就直接找准导火索并将它给掐灭。在对待风险的态度上,能堵则堵。采用堵的方法,处理的过程往往是较短的,风险的影响、解决的成本也将是较小的。
二是锁定和化解风险:堵不了,就用力量去扑灭它,但同时也不要忘了疏导。 。
三是预见与控制风险:就风险而言,事先能够预防,远比风险发生后再去解决它,更节省成本、降低风险。所以,为自己构筑一道“防火墙”或者是让自己穿上一件“避弹衣”,就是应对风险的上上之策。
四是驾驭风险:风险的影响不仅是坏的,也可能是好的,企业集团在风险评估和各类控制活动时,除了分析集团的风险,更应关注风险背后的机遇。
五是超越战略管理进入风险管理层次:企业把应对风险的能力当作是个竞争优势的来源。踏着风险前行,做风险的弄潮儿,在与风险博弈中把竞争对手甩在后边。
从内部控制升级到企业全面风险管理
华彩认为,内部控制和风险管理是既有区别又有联系的。从整体来说,内部控制是风险管理的重要基础,风险管理是内部控制发展的必然结果,即企业全面风险管理是内部控制的升级版本。
风险管理的体系是在内部控制体系基础上建立起来的。内部控制的体系主要着重于对流程的管理和控制。这点可以从财政部早些年发布的几个内部控制应用指引的内容看出来。当时发布的内部控制应用指引全部是以业务循环为基本框架的。所有对内部控制关键控制点的设置、内部控制活动的安排,都是以流程为基础的。即使发展到今天,不管是在实践中还是在理论研究上,流程化控制仍然是内部控制的主要内容。相比之下,全面风险管理体系则比内部控制体系大得多。全面风险管理体系不但涉及流程控制,而且包括企业风险战略、公司法人治理结构建设、组织保障体系、风险理财等很多内容。也就是说,全面风险管理体系已经从内部控制单的流程控制扩展为 个囊括从企业战略到业务活动、从组织结构到职责分工、从业务管理到风险理财等各个方面的、立体的、全方位的企业管理体系。
风险管理的要素包括了内部控制的全部要素。内部控制的要素主要有五个:控制环境、风险评估、控制活动、信息与沟通、监督。而风险管理的要素则是八个:控制环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、持续监督。全面风险管理则是通过执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系。如此看来,内部控制与全面风险管理可谓是一脉相承。
风险管理的目标不仅涵盖了内部控制的目标,并且有所扩展。内部控制的目标主要有三个:合规经营;高效运营;财务报告真实可靠。而风险管理的目标主要有五个:合规经营;高效运营;财务报告真实可靠;达到与企业战略相匹配的风险最优化;保护企业不致因灾害性事件或人为错误而遭受重大损失。从这点可以清楚地发现,风险管理就是在内部控制的基础之上发展起来的。风险管理就是内部控制的升级版本。
之所以在风险管理上冠以“全面”二字,其含义主要有两个:一个是风险是一个中性词,它代表了不确定性,既可能是有利因素,也可能是不利因素,这就需要企业从正、反两个方面全面地看待风险,而不能把它仅仅理解为“危险”:另一个含义则是强调风险管理的覆盖面,风险管理包含了企业管理的各个方面和所有条线,它将企业所有的管理都囊括进去了,包括公司治理、人力资源政策、组织结构等这些以往认为是“无风险”的企业管理环境要素。