秦小艳
摘要:全面风险管理是建立在内部控制基础上的,内部控制是企业全面风险管理不可缺少的一部分,全面风险管理的范围比内部控制的范围更广。本文分析了全面风险管理与内部控制的相关性和区别,以及全面风险管理的必要性,并提出了以全面风险管理推动企业内部控制机制的创新对策。
关键词:全面风险管理;内部控制机制;创新
全面风险管理作为一个全新的理念,将企业管理推向一个崭新的管理平台。全面风险管理如何正确实施,企业如何在推行全面风险管理中不断完善内部控制体系的建设,以更好的防范和控制风险,成为企业面临的全新课题。
一、全面风险管理与内部控制的关系
(一)全面风险管理与内部控制的相关性
企业内部控制是全面风险管理的一部分,是在实践中逐步产生、发展和完善起来的。COSO将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员共同作用,为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”我国审计准则对内部控制的概念做出如下规定:“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。”
全面风险管理起源于战略决策,落实于经营运作,辅助以资金、财务及其它相关控制,为企业持续快速发展保驾护航。全面风险管理受董事会、管理层和其他人员的影响,从企业战略制定一直贯穿到企业的各项活动中,使之在企业的风险偏好之内,合理确保企业取得既定的目标。全面风险管理包括三个方面,第一是企业的目标;第二是全面风险管理要素;第三是企业的各个层级。全面风险管理目标包括战略目标、经营目标、报告目标和合规目标。全面风险管理要素有内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。企业的各个层级包括整个企业、各职能部门、各条业务线及下属各子公司。
因此,由两者的定义可以看出,企业内部控制或全面风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值,即内部控制是全面风险管理的必要环节,全面风险管理是对内部控制的自然扩展。总体上来说,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。
(二)内部控制不等于全面风险管理
内部控制只能防范风险,不能转嫁、承担、化解或分散风险。即使建立了合理而有效的内部控制系统,科学而全面的管理仍是必不可少的,不能将它们二者混为一谈。对于企业经营活动中发生概率较大,且企业能够承担控制成本的风险,要力求通过企业自身的控制系统,并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小,或控制成本较大的风险,则应在加强管理、增强自身素质的基础上,降低风险对企业的影响程度。
二、企业建立全面风险管理体系的必要性
(一)中国企业风险管理面临的许多问题需要我们建立健全全面风险管理体系。比如缺乏正确的风险理念、有待于从战略高度认识风险管理的必要性、缺乏系统性风险管理手段、全面风险管理还未渗透到组织和流程的各个层面等。
(二)国内外大公司各类重大风险事件频发为我们敲响了必须建立全面风险管理体系的警钟。如果企业未建立风险管理机制或企业的风险管理失效,将会在某种程度上毁灭股东价值甚至社会价值。将会面临丢失客户、丧失信誉、丢失合作伙伴、营业中断或直接导致破产等风险,国内外许多著名的企业已为我们敲晌了警钟。例如因运营风险而破产的巴林银行、因战略风险而倒闭的日本八百伴公司、风险管理失效的中航油新加坡有限公司等。
三、构建体现全面风险管理的内部控制新机制
(一)构建符合内部控制要求的业务管理新制度
传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
(二)构建具有本企业特色的创新风险管理理念
企业所面临的风险是无法完全避免的,但风险是一定能被控制在最小范围中的。企业的风险控制是企业各位员工的共同责任,而并非管理层单方面的责任。设立企业管理控制制度并非是在企业内对权力进行分配。设计有效的组织架构,使管理层能方便地随时监控业务发展,并促进公司内部信息的交流和共享。在组织中贯彻高层领导对于企业管理控制的正确观念和风格,不断地对组织控制架构和企业管理控制系统的运作加以监督和改善。
(三)建立全新的内部控制治理机制
内部控制在协助管理层防止资源流失, 保证信息的可靠性和系统整体恰当运转方面是必不可少的。组织内部控制系统的设计、维护和监测的职责, 首先是, 而且最重要的是由董事会执行的。在很多组织内部, 这一职责是由审计委员会负责的。仅仅建立内部控制系统是不够的。内部控制系统需要不断的监管以保证组织达到其既定目标。因此, 除非建立一个有效的监管系统, 否则我们不能确保内部控制系统的有效性。监管程序的作用是给董事会一种 “合理的保证”, 即内部控制正在向既定目标前进。因此,在现有的产权制度下,可在企业总部设立风险管理委员会,作为内部控制管理的主要决策机构,同时设立审计委员会,并将其明确为风险管理的监督、评价部门。两个委员会相互配合,共同实现风险管理的各项新要求。
(四)构建切合实际的内部控制评价机制
通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险,进一步实现从风险部门的防范转向企业、全员防范,将内部控制管理由个人行为和操作行为提升到整个单位的整体行为,推进企业的内控管理水平不断上新台阶。
参考文献:
[1] 闫金萍.论现代企业内部控制机制[J].现代管理科学,2007,(1)92—94.
[2] 陈晓更.论企业建立全面风险管理体系的必要性[J].会计之友,2008,(9)30—31.
[3] 张庆龙.内部审计价值[M]. 北京:中国时代经济出版社,2006.
[4] 中国注册会计师协会.审计[M]. 北京:经济科学出版社,2008.
(作者单位:广州大学松田学院 )