概要:由于存在認識上的誤區(qū),內部控制和風險管理在實踐上存在重視不夠,執(zhí)行力不強,考核評價不嚴,風險管控不力等問題。正確認識內控體系與風險管理的聯(lián)系與區(qū)別,把握體系建設的核心問題是體系建設和運行成敗的關鍵。
關鍵詞:內部控制;風險管理
按照國資委2006年6月發(fā)布的《中央企業(yè)全面風險管理指引》,財政部等五部委2008年6月發(fā)布的《企業(yè)內部控制基本規(guī)范》,筆者所在單位深入開展了全面風險管理,發(fā)布了《全面風險管理報告》、《內控控制管理手冊》。然而,在工作實踐中,就內部控制與風險管理的認識上有一定的誤區(qū),導致對提升內控體系執(zhí)行的有效性和全面風險管理(以下簡稱風險管理)水平帶來一定的影響。
一、內控控制與風險管理的認識誤區(qū)
1.認為內部控制與風險管理是相互獨立的。認為二者雖有共同點,但是從方式方法手段上看仍有本質的區(qū)別;有的認為從管控的目的上看,不完全一致;還有的認為,從企業(yè)的業(yè)務上看,二者關注的重點不一樣,據(jù)此認為是相互獨立的。
2.內部控制和風險管理的作用被夸大。認為有了內控體系和風險管理體系,企業(yè)就可以高枕無憂,希望內部控制和風險管理可以確保企業(yè)的成功,確保企業(yè)法律法規(guī)的遵循性、確保財務報告的可靠性。
3.內部控制和風險管理的重要性被忽略。認為傳統(tǒng)的企業(yè)管理模式,就可以解決內部控制和風險管理所要達到的目標,而無須另立理論與方法,他們主張應該看到與原有的傳統(tǒng)管理模式的差異,應該看到新的管理模式帶來的風險和巨大成本。
4.認為內部控制和風險管理體系的建設就是整章建制。認為內部控制和風險管理體系建設,就是建章立制,理解為簡單的制度建設。
5.認為內部控制和風險管理理念難于適應企業(yè)現(xiàn)狀。新的管理理念和技術,與企業(yè)原有的管理體系和觀點之間存在較在的差距,認為在COSO理念下建立的內部控制和風險管理模式不適合于企業(yè)現(xiàn)狀。
二、內部控制與風險管理的聯(lián)系
1.二者的驅動因素是一致的。無論是風險管理還是內部控制,從其在中西方的發(fā)展史上我們可以看出,最初的驅動因素在于滿足監(jiān)管要求。隨著認識上的不斷創(chuàng)新,越來越多的企業(yè)認識到內部控制與風險管理的重要性,驅動因素變?yōu)槭紫仍谟谝?guī)避風險管理失效會導致難以預計的損失,其次才是為了滿足監(jiān)管要求。
2.二者的主體是一致的。它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀念,指出各方在內控控制或風險管理中應有的角色與職責。
3.二者都是一個“動態(tài)的管理過程”。二者的有效性都是在某一時點的一個狀態(tài),不能當做某種靜態(tài)的東西,也不是單獨或額外的活動。是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的不斷修正、循環(huán)往復的過程,并滲透于企業(yè)各項經(jīng)管理活動中。
4.二者的目標有共同點。都是為企業(yè)實現(xiàn)目標提供合理保證。風險管理的目標有四類,其中三類與內控控制相重合,即報告類目標、經(jīng)營類目標、和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內外發(fā)布的非財務類報告準確可靠。
5.二者的作用是一致的。都是為了防范風險。內部控制的最重要目的之一就是防范風險,沒有風險防范這一既重要又明確的目的,內部控制的存在就大打折扣,至少發(fā)揮作用的空間會受到極大的限制。
6.二者的組成要素上看,風險管理與內部控制的組成要素有五個方面是重合的,即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設定、事件識別、和風險對策三個要素,增加了戰(zhàn)略目標,對內部控制框架進行拓展,把內部控制帶到了一個更加寬泛的管理視角。
7.從二者的方法上看,企業(yè)的風險普遍存在于生產(chǎn)經(jīng)營的各個環(huán)節(jié),風險信息的取得是實施風險管理的前提,收集不到風險信息,風險管理就無從談起。而內部控制是通過全方位建立過程控制體系、描述關鍵控制點和以流程形式直觀表達生產(chǎn)經(jīng)營業(yè)務過程而形成的管理規(guī)范。這恰好為風險信息的收集提供了極大的方便,可見內部控制是作為風險管理的一種重要手段而存在的。
三、內部控制與風險管理的區(qū)別
1.在定義上不一致。在COSO委員會的全面風險管理框架中,把風險定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”,將風險與機會區(qū)分開來。而在C O S O委員會的內部控制框架中,沒有區(qū)分風險和機會。
2.在理念上不一致。內部控制解決的是流程問題,包括業(yè)務流程、管理流程中的風險控制,解決的是“正確地做事”。而風險管理解決的不僅是流程問題,更要解決戰(zhàn)略決策、應急處理;不僅要解決當前問題,更要預測和應對將來可能發(fā)生的問題;不僅要解決“正確地做事”,關鍵要解決“做正確的事”。風險管理把機會風險視為企業(yè)的特殊資源,通過對其管理,為企業(yè)創(chuàng)造價值,促進經(jīng)營目標的實現(xiàn)。而內部控制則是以專業(yè)管理制度為基礎,實施的遵循性控制活動,它無法防范管理層非理性風險和凌駕于管理制度以上的決策風險。
3.在目標上不一致。風險管理增加了戰(zhàn)略目標,這意味著風險管理不僅僅是確保經(jīng)營的效率與效果,而且介入了企業(yè)戰(zhàn)略(包括經(jīng)目標)的制定過程。顯然,風險管理所要實現(xiàn)的目標要遠遠高于內部控制所要實現(xiàn)的目標。
4.在程序上不一致。全面風險管理包括了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、風險影響程度的制定、風險報告程序等活動。而內部控制負責的是對風險的評估、風險的控制、信息與溝通、監(jiān)督評價等工作。內控控制不負責戰(zhàn)略目標的制定,只是對目標的制定過程進行評價,特別是對目標和戰(zhàn)略計劃制定當中風險的評估。
5.在環(huán)境要求上不一致。企業(yè)開展全面風險管理工作是與其他管理工作緊密結合,在綜合考慮內部環(huán)境和外部環(huán)境的情況下,把風險管理的要求融入企業(yè)管理和業(yè)務流程中。而內部控制則是在內部環(huán)境下,根據(jù)國家有關法律法規(guī)和企業(yè)章程,建立的公司治理結構和議事規(guī)則。
6.在對策上不一樣。風險管理引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,這些內容在內部控制中不包含,也是不要求的。
四、如何實施內部控制進行有效的風險管理
古人云:“憂勞興國,逸豫亡身”、“生于憂患、死于安樂”。小平同志講:“我們要把工作的基點放在出現(xiàn)較大的風險上,準備好對策。這樣,即使出現(xiàn)了大的風險,天也不會塌下來。”古人和偉人都強調了風險管理的重要性。在正確認識內部控制與風險管理的聯(lián)系與區(qū)別的基礎上,如何把握“瓶勁”來構建企業(yè)全面風險管理體系,是防范風險、管控風險的關鍵。
1.要創(chuàng)造良好的控制環(huán)境。無論是COSO內部控制框架,還是財政部《企業(yè)內部控制基本規(guī)范》,都強調了內部環(huán)境的重要。仔細審視國內外發(fā)生的各個風險案例,不管是安然、世通事件,還是中航油事件,都有一個共同的問題,即缺乏有效的風險管理,其根本原因,則是董事會對公司運營風險重視不夠、缺乏有效的監(jiān)督?!帮L險放在第一位的發(fā)展才是科學發(fā)展”,“企業(yè)家基本職能:預測當前及未來面臨的風險”。董事會、管理層的風險管理政策、風險偏好、公司結構、企業(yè)文化的價值觀直接影響著企業(yè)的內部控制與風險管理,因此建立以董事會高度重視的控制環(huán)境,是內部控制與風險管理成敗的關鍵。
2.注重建立具有風險意識的企業(yè)文化。“沒有意識到風險,就是最大的風險”,“沒有意料之外,為意料之中做好了準備”,這是企業(yè)風險管理的最高境界。內部控制與風險管理最終目的就是要控制風險,避免企業(yè)遭受損失。因此,在構建內部控制與風險管理的過程中,應該以風險管理理念為導向。首先,公司董事會、管理層和全體員工必須熟悉企業(yè)業(yè)務相關的風險,所有員工知曉他們個人職責對企業(yè)風險的影響。其次,要關注重大風險。2005年COSO發(fā)布的《企業(yè)風險管理-整合框架》要求董事會與管理層將主要精力放在可能產(chǎn)生重大風險的環(huán)節(jié)上,而不是所有細節(jié)的控制上。企業(yè)的管理資源是有限的,控制也是需要成本的,如果將主要精力放在所有細小的或微不足道的控制上,就會舍本求末。再次,要深化企業(yè)風險管理文化。風險意識是任何風險管理過程的出發(fā)點,在有良好的風險意識的團隊中,風險在形成或變?yōu)橹匾L險之前,都會被及時識別,及時規(guī)避。培訓風險意識就需要深化企業(yè)風險管理文化。
3.建立責任保障機制。在實踐中,一提及內部控制,大家認為就是財務部門的事。企業(yè)的內控與風險管理是一個系統(tǒng)工程,其組織體系涵蓋企業(yè)決策和管理者、風險管理部門、經(jīng)營系統(tǒng)、內部審計等。企業(yè)應在風險管理委員會的領導下,理清體系各要素的部門管理責任,建立“統(tǒng)一管理、分級負責”的管理體制,建立“誰執(zhí)行誰負責”的責任機制。
建立以“業(yè)務主導、部門牽頭、審計監(jiān)督”的職責體系?!皹I(yè)務主導”是指產(chǎn)品研發(fā)、市場開發(fā)、生產(chǎn)運營、財務管理等業(yè)務部門負有內控與風險有效運行的管理責任;“部門牽頭”是指內控與風險管理部門統(tǒng)籌管理企業(yè)全員、全過程、全方位的風險管理工作,對業(yè)務部門負有組織、檢查、評價的職能;“審計監(jiān)督”是指內部審計負責見管理過程的充分性和有效性進行檢查、評估、報告,并提出改進意見。
4.建立監(jiān)督檢查機制。一是著重落實業(yè)務部門的運行監(jiān)督責任,負責體系運行情況的日常監(jiān)督檢查,特別強調業(yè)務主管部門對本專業(yè)從上到下管理和監(jiān)督職責。二是周密安排測試工作,以測試促執(zhí)行、促有效性。三是編制內部控制有效性報告與風險管理報告,通過編制報告披露問題,分析差距,查找原因,制定應對措施。
5.建立考核評價機制。結合體系運行情況,探索建立體系運行評價機制。在建立考核評價辦法時,重點要關注基礎工作部分的考核,包括內控與風險管理委員會的成立及履責情況、機構及崗位人員的配置情況、宣貫培訓情況、制度建設情況、測試檢查開展情況、考核兌現(xiàn)情況等,同時要關注實質性的內容,如風險識別、風險分析、風險評價、管控措施的制定、實質性漏洞及重大缺陷的發(fā)現(xiàn)等。將考核評價結果納入對各級管理人員的業(yè)績考核,獎罰兌現(xiàn),形成正向激勵的考核方法,促進執(zhí)行力的提升。
筆者認為,內部控制的最終目的就是在控制風險,風險管理是建立在內部控制基礎之上的。實踐中僅有內部控制體系,而無風險管理的意識,則內控管理就是空架子,缺乏靈魂。有了風險管理意識,而無內部控制框架,則風險管理就失去了科學的管理手段,也易形成風險管理目標的缺失。因此,在構建內部控制體系過程中應樹立以風險管理為導向的理念。