摘 要:内部控制和风险管理是密不可分,相互联系又有一定区别的。只有充分理解两者的内涵、联系与区别,将两者有机结合,两者与实际工作有机结合,而不是作为孤立的符合上市规定要求的工作,才能实现通过内部控制、风险管理等机制建设提升企业的管理效率和效果,实现战略发展目标,达到可持续发展。
关键词:企业;管理;风险
一、内部控制因商业风险应运而生
2001年10月,世界能源巨擘安然公司曝出假账丑闻,12月正式申请破产。破产清单所列资产498亿美元,成为当时美国历史上最大的一起公司破产案。在世界500强企业中排名第七位、多年来在企业界备受尊重的超级公司安然,从此成为历史。随着安然公司的轰然倒下,1913年成立的著名五大会计是事务所安达信(美国)也因为安然事件从呼风唤雨的业界“巨无霸”变成众叛亲离、甚至自身难保的“泥菩萨”,最终也在专业服务领域成为历史。
这一系列事件让资本市场、商业、专业服务机构反思如何规避、有效的管理风险?美国国会和政府加速通过了《萨班斯法案》,该法案的另一个名称是"公众公司会计改革与投资者保护法案"。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。” 美国COSO(The Committee of Sponsoring Organizations of Treadway)发布了《内部控制 - 整体框架》,建立了五要素、八要素内部控制模型。2004年COSO委员会又发布了《企业风险管理-整合框架》。一系列的法案和规范的出台,提升了内部控制的理念和风险管理理念在公司治理中的地位,强调了在公司治理中起的作用,也同时为企业董事会和管理人员在风险管理和内部控制方面如何更有效的履行责任提供了更为详尽和专业的指导。
世界资本市场纷纷建立适合本地的内部控制体系。中国的资本市场管理也借鉴了国际管理理念,不断规范国内企业的运营。国务院国资委于2006年发布了《中央企业全面风险管理指引》(以下简称“风险管理指引”),财政部等五部委发布了《企业内部控制规范——基本规范》,要求2009年7月实施。2010年正式发布了18项具体规范指引(以下简称“基本规范及其配套指引”)。2012年起国内上市企业分步实施内部控制审计和内部控制评价。
二、风险管理与内部控制体系相互关联
1.定义和内容
《风险管理指引》所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理的基本流程包括:收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。
内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。
《基本规范》中的内部控制是指由董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。其中风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
2.两者的管理目标相同
《风险管理指引》和《基本规范》从理论层面明确了内部控制的目标是促进企业实现发展战略。而风险管理就是要识别实现战略目标的不确定性,对于这些不确定性,企业采取风险规避、风险降低、风险分担和风险承受等不同的应对策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
如果失去了企业的战略目标,就无从谈风险;如果不需要对风险采取控制措施,也就没有建立控制措施的必要了。
3.两者都是动态发展的过程
风险管理和内部控制都是随着企业外部经营环境不断变化,内部战略目标不断调整、循环往复、呈螺旋式上升的动态发展过程。
在企业的不同发展时期采取的战略不同,从而风险不同,采取的控制措施就不尽相同,要随时调整。在一个企业的发展战略是进入一个新的市场,迅速扩大市场份额,那么企业风险将是对市场的了解程度,市场定位的准确性,攻破现有对手的市场,资金需求保证等一系列市场扩张风险。相关的控制措施则包括市场信息的获取及时,分析准确,资金预测及时和准确,以及招聘、薪酬管理的相应控制措施。而当企业战略是巩固现有市场,市场的竞争相对较弱。那么市场风险不大的情况下,如何寻找持续增长点,现有流程效率提升,人员的发展计划等稳定可持续发展的风险。那么内控措施将关注现有流程再造,人员培训、激励等机制。
4.两者都是体系化的管理
两者都是体系化、科学化、并保持相对的稳定的管理机制。在企业中要设定业务流程、制定管理制度和工作规范等控制措施,并设定内部监督职能,不断评估设计的合理性、适用性,执行的有效性。两者都是贯穿与企业发展的始终,都是基于风险预控、风险前移的理念,植根于企业的日常管理,但又高于日常管理。endprint
是企业经营规模不断发展壮大而需要建立的体系。在企业规模相对小的时期,任何不恰当的决定或者管理缺陷都容易发现,容易沟通,并且便于调整。但是随着企业的不断发展,一定要建立科学的体系,避免由一个人的个人偏好而缺乏科学评估时就盲目做出决定,也可以避免沟通不畅而影响商业决定执行的效率。
5.两者需要管理团队行业经验和专业知识的有机结合
风险管理和内部控制的组织协调者需要丰富的行业经验,较强的专业理论知识,这样才能将理论有机的结合于实际工作中,才能主动采取风险管理理念在任何企业内、外部业务要素变化的事前、事中提出风险预警,事后进行总结,为下一步企业的发展可能遇到的风险做为有效的参考。适时检讨企业的内部控制体系是否可以及时识别风险要素,恰当评估,企业内部上、下有效沟通,采取恰当的风险管理策略。在风险降低策略下,是否有有效的内部控制机制,包括制度,业务流程等的设计是否合理,执行是否到位。在企业风险要素没有重大变化时,业务对现有风险的管理有效性更加依赖于内部控制体系执行的有效性。尤其是中国企业实施内部控制和风险管理的最初几年,只有在管理团队中将行业经验和理论知识有机结合,才能在企业中不断培养风险意识,主动完善内部控制体系,包括制度和业务流程的更新,成熟专业经验的固化,执行有效性的自我检查等。
三、风险管理与内部控制体系两者的区别
1.内部控制相关规范
财政部等五部委对于内部控制出具了《基本规范及其指引》,其中对于风险评估要素仅用了一个章节进行了概念的描述。美国COSO出具了《内部控制-整合框架》,详尽地描述了内部控制的体系。
2.风险管理相关准则
我国国资委发布的《全面风险管理指引》,针对风险管理进行了原则要求。美国COSO委员会用了20页的篇幅发布了《企业风险管理-整合框架》,对董事会、管理层和相关人员在风险管理方面出具了指引。
根据RIMS(Risk and Insurance Management Society)2011年做的一份报告,汇总了当今世界较为普遍参照的风险管理准则。准则主要分为三大类。一类是侧重实现组织目标不确定性的风险管理标准,有国际标准组织发布的ISO31000(2009),美国COSO于2004发布的,英国标准(BS3100(2008)),欧洲风险管理机构发布的FERMA(2002)。第二类关注遵从性控制目标的风险管理标准有国际开放与道德遵循小组(OCEG)发布的红皮书(2009)和美国COSO于2004发布的。第三类侧重对金融法律法规的遵循风险的管理标准有欧盟偿付能力II和新巴塞尔协议。
亚洲风险与危机管理协会根据当代企业全面风险管理理论和该协会在全球首版推出的《企业风险管理人员职业标准》在我国开展了CERM证书的推广培训。
目前国际上对于风险管理的原则基本一致,但是实施方面的标准没有统一规定。我国的《全面风险管理指引》缺乏具体的实施细则。而且我们注意到内部控制相关规范中将风险定义为不确定性,带有负面影响的因素。而《全面风险管理指引》中定义风险既可以是负面影响也可以是新的机遇。这样对风险管理的实施方面将有所不同。
3.两者的管理范围不同
由于风险特性,其管理策略有风险规避、风险分担和风险承受时,企业将不再采取积极主动的风险控制措施,而是时时关注。
四、风险管理与内部控制体系有机结合
1.监管部门加强具体实施指引
目前的《基本规范及其指引》没有行业和不同规模企业的实施指引,而《风险管理指引》更是针对中央企业规定的。对于不同行业企业和规模的企业如何识别,分析,记录风险要素,整合公司信息,仍需要具体的要求。对于上市公司的主要风险信息披露的过程亦没有具体的实施标准,必要的检查清单等。所以有的企业的风险管理仍停留在讨论,而缺乏定量分析和系统记录的体系化建设。
2.企业内部提升风险管理和内部控制的意识
由于对两者的理论理解不到位,将两者分割开,认为独立运作。这样会降低建立机制的效率效果。
经营团队误认为风险管理和内部控制仅仅是为了符合上市监管机构的要求,没有将两者和实际的业务管理有效结合。例如在预算中资源分配没有结合风险分析结果,是否分配给高风险并需要加强控制措施的领域。设备维护过程中,没有引入风险管理理念,缺乏从实际运行和维护的数据中提炼的数据支持,而是根据经验定期修理。在市场开发过程中,对于目标客户消费能力,市场份额,推广费等分析也没有引入风险理念,对于各种情况的可能性没有设立数据模型分析。而内部控制措施仅限于立项的逐级审批这样表面的机制建设。
3.加强内部控制体系建设的团队建设
内部控制和风险管理贯穿与企业的方方面面,两者的体系化建设需要企业高层的领导,业务骨干的积极参与并在实际工作中应用,不断总结成果和改善之处。绝对不能认为只是一个独立部门的工作。
由此可见,真正将内部控制和风险管理有机结合,两者与实际管理有机结合,扎扎实实地落地,要求外部包括监管机构标准化实施细则和股东的意识提升。企业内部需要理念的灌输,专业知识的培训以及企业自上而下的推动,风险管理和内部控制的机制建设和完善是一个长期发展的过程。有效分析企业的实际情况,结合在董事会和管理层的决策过程中,以及企业的日常管理中,才能真正发挥效力效果,给企业带来实际效益。
参考文献:
[1]王寅入.谈风险管理与内部控制的区别与联系[J].上海国资,2010(6).
作者简介:李慧(1969.7- ),女,北京,本科,研究方向:企业管理财务金融、内部审计endprint