陈瑞燕
【摘 要】内部控制作为企业管理的工具越来越多地受到管理层的重视,企业在建立内部控制框架的同时也逐步认识到风险管理对于企业的生存和发展同样有着举足轻重的作用。本文通过对内部控制和风险管理进行分析比较,简要说明了两者如何相互补充、相互促进,成为企业发展的源动力。
【关键词】内部控制;风险管理;相互促进
一、引言
市场监管机制对企业的合规运行和报告真实准确的要求以及企业自身对运营的效率效果的要求,使企业必须建立适合自身的内部控制。内部控制做为一种管理工具,是管理层根据企业的发展战略目标建立的一套完整的制度体系,并以文字和流程图的形式展现出来,要求企业的全体员工遵照执行的过程,而且这一套制度体系并不是一成不变的,它是随着企业的发展和内外部环境的变化不断完善和更新的。
风险管理也是一个过程,要求企业的全体员工共同实施,通过识别可能会影响企业的潜在事项并将其控制在企业的风险容量之内,为实现企业的目标提供合理保证。
风险管理和内部控制同样都是企业以防范风险和有效监管为目的实现目标的过程,需要企业的全体员工共同参与到企业的日常经营管理活动中,他们也都只能向董事会就实现企业的经营目标提供合理保证。但是,两者也存在许多不同之处,从不同的角度对企业管理实施控制和监控。
二、风险管理从哪些方面拓展和细化了内部控制
1.管理目标方面
内部控制服务于企业的三类目标,即经营、财务报告和合规。风险管理在这3个目标的基础上有了进一步拓展。内部控制更偏重于与财务报告相关的各项内部控制,风险管理将内部控制中的财务报告目标拓展为企业的所有报告,包括对内报告和对外报告。所以风险管理涉及的管理内容不仅包括各项财务信息,而且也包括各项非财务的相关信息。另外,风险管理还增加了另一类目标即战略目标,战略目标处于比其他目标更高的层次,是企业的使命或愿景,管理层必须权衡追求增长和报酬目的以及相关的风险,高效地配置企业资源,实现企业价值最大化。
2.构成要素方面
内部控制包括内部环境、风险评估、控制活动、信息与沟通和监控五要素,风险管理将内部控制构成要素中的风险评估细化为目标设定、事项识别、风险评估和风险应对四个构成要素,所以风险管理框架相对于内部控制框架来说更关注企业“风险”的管理。管理层根据企业的风险承受程度设定发展目标,为了实现相应的目标,必须对各种可能影响目标实现的潜在事项进行识别,这些事项可能存在于企业内部和外部,他们既可能代表风险,也可能代表机会,更有可能二者兼而有之。如果是机会则被管理层采纳到战略目标的制订过程中。通过对上述风险进行分析和评估确定应该如何对它们进行管理,并采取适当措施予以应对,应对措施包括回避、承担、降低和分担等,管理层选择风险应对措施将风险控制在企业的风险承受范围内。
3.风险容量和风险容限
风险管理框架引入了“风险容量”和“风险容限”的概念。风险容量是企业在实现目标的过程中所愿意承受的广泛意义的风险的数量,这就意味着企业要制订战略目标必须以风险容量为指导,管理层必须在期望报酬与企业自身风险容量之间做出权衡,合理配置资源,才能合理保证目标的实现。
风险容限是相对于目标的实现而言所能接受的偏离程度。在确定风险容限时,管理层要考虑企业制订目标的相对重要性,使风险容限与风险容量相协调。在风险容限允许范围内,管理层确定实现战略目标可以容忍的风险容量,为企业整体目标的实现提供合理保证。
4.风险组合
尽管内部控制也有风险的分析和评估,但是没有考虑风险的“组合”。风险管理框架要求企业管理层从“风险组合”的角度去考虑风险。管理层在对影响企业目标实现的潜在事项进行分析时,如果这些潜在事项不相关,可以对它们分别进行评估。例如,货币的汇率变动的风险和台风给海上平台生产带来的风险。但是如果潜在风险事项之间相互关联,相互影响,管理层就应该把这些事项放在一起来进行评估。尽管单个事项的影响很小,不足以阻碍企业目标的实现,但是如果将这些事項组合在一起可能会造成致命的影响。例如,货币汇率的变动、需在国际市场采购的生产需求备件及设备价格的浮动以及国际市场上原油价格的波动三者结合。
所以,在对风险进行分析时不仅应该从企业内部各个单元的角度去考虑其影响,而且还应该站在企业整体的角度去考虑各个风险之间的关系,分析组合后的风险对实现企业目标的影响的程度。对于各个业务单元影响很小的风险,经过组合后也许会造成很大的影响;对于单个业务单元影响很大的风险,如果站在企业整体的角度,经过其他的潜在风险的对冲,或许造成的整体影响并不大。
三、内部控制与风险管理的结合
内部控制与风险管理在企业管理中都发挥着重要作用,内部控制更注重规则的制定,风险管理更注重风险导向,两者不能相互替代。企业的经营类型不同,关注点也会不同,对于高风险企业,如金融业,一定是以风险管理为导向,更多地考虑风险管理的问题,而对于比较成熟的制造业,餐饮业更多的应该是偏重于加强企业的内部控制。对于一个企业的不同单元考虑的风险管理和内部控制的侧重点也不尽相同,比如在开发生产部门,更多的是考虑项目的开发风险,以及如何在此基础上加强其内部控制;而财务部门对外披露相关财务数据,则会更加关注内部控制的要求,确保出具财务报告的准确和完整。在实际的管理过程中,内部控制和风险管理应该相互结合,而不是一味地强调风险管理或内部控制。
1.全员风险意识的加强
企业最重要的资源就是人,企业的控制环境也是由人组成的,所以在企业内部应加强各类成员的风险意识。对于不同层级的企业成员,所面对的风险类型也是不同的,管理层面对的是战略方向的风险,中层管理人员面对的生产经营风险,操作执行人员面对的是实际操作执行风险。企业管理层应该建立以风险为导向的管理理念,对每一层级员工实施不同的风险意识宣贯,使风险意识和风险管理理念深入到企业的每个角落。
2.内部控制必须以风险管理为导向
随着全球经济的迅猛发展,每个企业面临的不确性因素越来越多,企业想要更好地发展甚至立足,均要对面临的各种不确定因素进行分析,确定哪些因素对企业是机会,哪些因素对企业来说是风险,这些因素不仅包括市场、资源、技术等,而且也包括政治环境、社会稳定性等因素。企业管理层应充分考虑企业的风险容量和风险容限后设立企业的战略目标,对影响企业战略目标实现的各种潜在风险因素进行综合考虑,权衡利弊,,然后制定相应的风险应对策略。并在此基础上建立有效的内部控制制度,通过内部控制活动对风险加以控制。
3.持续审视企业内部控制活动的必要性
企业可以按贡献大小对现有的经营业务进行分类,通过对生产经营活动所面临的各种潜在风险事项进行持续分析,,管理层可以充分了解企业在不同的发展阶段需要重点关注的领域。管理层可以将控制的重点放在高风险领域,对于发展比较成熟的低风险领域可以相对减少控制活动,摒弃冗余控制,节约控制成本,提高管理效率。
4.理论与实践的有机结合
内部控制制度和风险管理理论在不断地成熟完善,但是企业中的员工才是真正的执行人员。管理层的不重视,执行人员的误解、粗心甚至故意串通都会导致内部控制的失效。另外潜在风险事项的不确定性也有可能导致控制活动失效。这就需要管理层从自身抓起,正确理解内部控制和风险管理的重要性,对员工不定期地实施内部控制与风险管理的培训,让每一位员工不仅要有风险意识,还应该有面对风险确定采用何种控制手段的能力。
综上所述,没有风险管理意识的内部控制得不到有效地执行,只有风险管理意识,不能据以确定企业的内部控制制度,也只能是望梅止渴,不能从根本上解决企业管理中存在的问题。企业管理层应该把风险管理作为企业文化的一部分向全体员工宣贯,使执行制度的人掌握了足够的风险管理和内部控制的知识和技能,在此基础上建立完善的内部控制体制,并确保其得到有效执行。这样才能为企业的发展提供动力,为企业实现其战略目标提供有力保障。
参考文献:
[1]COSO内部控制实施指南.
[2]企业风险管理-整合框架.