企业风险管理及内部控制关系

企业风险管理及内部控制关系

摘要:企业风险管理与内部控制是两个不同的概念,但同时二者有着密切的联系。深入理解企业风险管理及内部控制的本质,全面探讨二者在各方面的区别,对实践中正确掌握二者之间的关系,进而指导企业更好的进行经营管理具有十分重要的意义。

关键词:风险管理;内部控制

一、企业风险管理与内部控制的概念比较

美国COSO委员会1992年的《内部控制整体框架》是用于指导企业进行内部控制的指导文件。2004年,COSO委员会出台了新的COSO报告———《企业风险管理整体框架》,拓宽了内部控制的含义,同时对企业风险管理进行了详细的说明。《企业风险管理整体框架》中对企业风险管理的定义为“由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的,贯穿整个企业旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。《内部控制整体框架》将内部控制定义为“由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的大成而提供合理保证的过程”。在这两个《框架》的基础上,可以从企业风险管理与内部控制概念的定义、主要目标以及构成要素等几方面做如下比较:

(一)企业风险管理与内部控制的定义

比较二者的定义可以看出二者的相同点有:企业风险管理与内部控制的实施主体相同,都需要企业的决策、管理以及执行各方阶层的参与,而不是企业某一层级的特权;风险管理与内部控制的最终目的都是为企业的平稳运行保驾护航,为企业战略目标实现提供合理保障。细分之下,二者也存在一些不同之处:内部控制更强调财务方面的可靠性以及企业管理的效率提升,而风险管理除了主要财务报告的可靠性之外更一步确保企业非财务信息的准确真实;内部控制只针对企业内部,风险管理则同时兼顾内部和外部风险。

(二)企业风险管理与内部控制主要目标

《企业风险管理整体框架》中指出风险管理服务的目标为战略目标,经营目标,报告目标以及合规目标;《内部控制整体框架》中则提到内部控制的主要目标为经营目标,财务报告目标,合规目标[1]。可以看出,风险管理与内部控制的最终目标基本相近,二者间最明显的区别是风险管理比内部控制多了一个战略目标。内部控制注重在经营过程中为了实现目标采取的一种控制的管理职能,保障日常活动不脱离目标轨迹,而风险管理更侧重事前预测和发现,但也不忽略事后采取相应的措施,使损失降到最低;企业风险管理是包括内外风险的全面管理,既关心由于组织结构、制度变革、人员变换等导致的内部风险,又关心由于外部政治经济、自然环境等引起的外部风险,而内部控制则是在企业内部环境的基础上进行风险的评估和监控,范围相对狭窄。

(三)企业风险管理与内部控制的构成要素

内部控制包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监督,而风险管理的构成要素为八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。通过以上比较可以看出,企业风险管理拓展了内部控制中的“风险评估”要素,将其演化为目标设定、事项识别、风险评估及风险应对。这四个要素是围绕企业战略目标而增加的内容。

(四)企业风险管理与内部控制的实现方法

内部控制主要对公司内部管理制度进行定性分析,设计指导性的对策,而风险管理则是侧重量的分析,通过定量分析来评估风险发生的可能性是多少和对企业影响程度大小。内部控制和企业风险管理从不同的两个方面对企业经营进行管理,相对内部控制评定的方法,企业风险管理会更加准确地判断出风险的大小。

二、风险管理与内部控制的关系

(一)传统理论观点

从上一节的讨论中可以看出,企业风险管理与内部控制的概念十分相似,二者的目标与构成要素也有很大部分的重叠,在理论应用中十分容易出现混淆。剖析过去对企业风险管理与内部控制关系的研究,目前对二者的关系问题有以下三种主流观点:1.内部控制是风险管理的一部分:《企业风险管理整合框架》中明确指出:“内部控制是企业风险管理不可分割的一部分”。《框架》是定义企业风险管理的权威参考之一,因此在理论研究中,将内部控制划入风险管理范围内的观点被广泛接受;2.内部控制包括风险管理:不同于美国COSO委员会,加拿大COSO委员会在其报告中指出:“风险评估和风险管理是内部控制的关键要素”;3.内部控制与风险管理本质上是相同的:英国特恩布尔报告认为健全的内部控制制度必须建立在对公司所面临风险全面、综合分析的基础上。

(二)风险管理与内部控制的关系

具体到在理论实践应用中,常更倾向于实践第三种观点:即内部控制与风险管理本质相同,二者在指导企业管理中相辅相成,共同为实现企业的战略目标服务。如今以风险为导向的内部控制机制在实践中已经得到普遍认可,有力的说明了风险管理与内部控制的可兼容性。1.风险管理体系是内部控制的前提:不同于内部控制,风险管理是管理活动,设定企业的战略目标并围绕这一目标对环境存在的风险进行评估,是其开展管理过程的前提。而内部控制框架中没有企业战略目标这一要素,风险评估的标准没有明确与企业战略目标挂钩,其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性,这些目标服务于实现价值创造和企业战略的终极目标。2.内部控制体系依赖于风险管理体系:内部控制体系的关注重点在财务方面,在实现内部控制的过程中,自身的风险需要其他管理体系加以识别和评估。风险管理体系除关注财务外,同时强调其他方面的管理,并且可以对内部控制体系自身的风险进行防范,建立完善的风险应对体系。3.内部控制与企业风险管理是有机的整体:二者的目标都是为了实现企业的平稳健康发展,二者虽然侧重点不同,但在实现企业战略目标方面相辅相成,是一个有机的整体——内部控制与企业风险管理是公司内部环境与外部环境两个方面管控风险的不同框架。企业所处的市场及社会环境的不断变化,企业面对的风险是一个动态概念,经常处于变化之中,只有把握风险管理先机,才能收到实效,及时掌握尽可能真实、准确的经济动态信息。而动态风险管理过程的顺利实现必须依赖于内部控制,在内部控制的有效框架下对企业内部存在的风险进行治理,而对于内部控制无法掌握的外部环境,应在风险管理的框架下及时采取有效措施,内外双管齐下,避免企业运行偏离原定目标。

三、建立基于企业风险管理整合框架的内部控制体系

建立基于企业风险管理整合框架的内部控制体系,即在风险管理的基础上,科学设计内部控制制度,为实现企业目标提供合理的保障。首先,所有的经营活动必须在不触犯相关法律法规的前提下进行,将两者管理方法结合应用,使企业健康快速发展。其次,为了实现企业目标,内部控制必须确保企业内部业务流程的顺利进行,有效地执行每个业务环节。最后,内部控制通过对风险的识别、评估、找到行之有效的方法,在管理过程中将两者进行融合。以启明信息技术股份有限公司为例[3],通过生产生活中经验的积累,启明信息技术股份有限公司建立了完备的基于企业风险管理的内部控制体系:一方面在实施风险控制时,通过将风险管理工作落实到内部控制制度上,来提高企业风险评估的水平,另一方面通过内部控制来优化企业的管理功能,从而更好的进行风险管理,分析制定风险管理方案。通过将企业风险管理与内部控制相结合,企业最大化的实现了对风险的防范,提高了经营管理效率。在新的复杂的市场经济环境下,企业面临巨大的内外部各类风险,以风险管理为导向的内部控制管理模式会更利于企业的发展。内部控制和企业风险管理在企业管理中起着等同的重要作用,因此在企业风险管理整合框架的基础上,建立完善的内部控制体系,从而使企业更好地实现企业目标,以增强企业的抗风险能力,将是未来风险管理与内部控制融合发展的方向。

参考文献

[1]朱大华.企业风险管理与内部控制的关系与应用[J].财会通讯,2012,(26):46-48.

[2]郭艳萍,齐乐,付学超.内部控制与企业风险管理整合框架探究[J].前沿,2014,(zc):142-145.

作者:刘彬 单位:润华集团股份有限公司