楊秀忠

摘 要：全面風險理念是在傳統(tǒng)內部控制無法滿足企業(yè)需要基礎上產生的，但全面風險管理不能完全取代內部控制。內部控制與全面風險管理之間既存在著聯(lián)系又有區(qū)別，只有充分了解二者之間的關系，才能更好的構建內部控制體系，從而提高企業(yè)全面風險管理水平。

關鍵詞：內部控制；風險管理；建議

中圖分類號：F23

文獻標識碼：A

文章編號：16723198（2014）12012501

1 引言

內部控制是一種企業(yè)內部活動，它是通過組織機構、組織制度和組織指令來完成的。內部控制有三項目標，一是保證財務報告的可靠性，二是提高經營的效果和效率，三是保證企業(yè)經營的合法合規(guī)性。同時企業(yè)內控應具備五個要素：信息與交流、風險評估、控制環(huán)境、監(jiān)控、控制活動。全面風險管理，是由一個企業(yè)的董事會、管理當局和其他人員實施，應用于企業(yè)戰(zhàn)略制定并貫穿于企業(yè)各種經營活動之中的過程，目的是識別可能會影響企業(yè)價值的潛在事項，管理風險于企業(yè)的風險容量之內，并為企業(yè)目標的實現(xiàn)提供保證。1995年美國COSO委員會發(fā)布了《內部控制—綜合框架》，給企業(yè)和其他實體評估和提升內部控制系統(tǒng)提供了極大幫助。但隨著經發(fā)展，傳統(tǒng)內部控制已力不從心，風險管理的理念開始受到學者們的廣泛關注，在這一背景下，美國COSO委員會于2004年底發(fā)布了全新的COSO報告，即《企業(yè)風險管理（ERM）—綜合框架》。全面風險管理框架提出后，我國也開始注重推行全面風險管理，國資委2006年6月發(fā)布了《中央企業(yè)全面風險管理指引》。

雖然全面風險管理理念出現(xiàn)晚于內部控制理念，但美國《企業(yè)風險管理（ERM）—綜合框架》明確指出內部控制是風險管理不可分割的一部分，但同時又強調風險管理框架“的確沒有取代內部控制框架”，因此二者之間的關系成為許多學者研究的熱點，實務中就內部控制與風險管理的認識上有一定的誤區(qū)，導致對提升內控體系執(zhí)行的有效性和全面風險管理水平帶來一定的影響。這些誤區(qū)主要表現(xiàn)在，一是認為內部控制和全面風險管理是相互獨立的，認為二者雖然具有共同點，但是二者在方式手段上具有本質區(qū)別，得出這一結論的依據主要是認為二者管控的目的不完全一直，且二者的業(yè)務關注重點不同。二是內部控制和風險管理的作用被夸大，認為只要企業(yè)建立了內部控制體系和風險管理框架，企業(yè)就可以高枕無憂。三是內部控制和風險管理的重要性被忽視，認為傳統(tǒng)的管理模式就可以達到目的。四是認為內部控制和風險管理體系的建設僅僅是整章建制。五是認為內部控制和風險管理理念難以適應很多企業(yè)的現(xiàn)狀，認為其與企業(yè)原有的管理體系間存在較大差距。出現(xiàn)上述認識誤區(qū)的原因在于對二者的關系理解不夠，因此了解二者的聯(lián)系與區(qū)別，才能更好的構建內部控制體系，從而提高企業(yè)全面風險管理水平。

2 內部控制與全面風險管理的區(qū)別與聯(lián)系

2.1 內部控制與全面風險管理的區(qū)別

（1）二者范圍不同。

內部控制重點在與進行事中和事后控制，其是企業(yè)的一種管理職能，而全面風險管理則貫穿于企業(yè)的生產經營活動的全過程，兼具事前、事中、事后控制功能，因此全面風險管理的范圍大于內部控制的范圍。

（2）二者管理理念不同。

風險管理把機會風險視為企業(yè)的特殊資源，通過對其管理，為企業(yè)創(chuàng)造價值，促進經營目標的實現(xiàn)。而內部控制則是以專業(yè)管理制度為基礎，實施的遵循性控制活動，它無法防范管理層非理性風險和凌駕于管理制度以上的決策風險。內部控制解決的是“正確地做事”，不僅要解決“正確地做事”，關鍵要解決“做正確的事”。

（3）二者目標范圍不同。

風險管理增加了戰(zhàn)略控制目標，這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業(yè)戰(zhàn)略的控制。

（4）二者環(huán)境覆蓋面不同。

全面風險管理工作綜合考慮了內部環(huán)境和外部環(huán)境，把風險管理的要求融入企業(yè)管理和業(yè)務流程中，而內部控制考慮更多的是企業(yè)內部環(huán)境。

（5）二者執(zhí)行方式不同。

全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)。這其中的很多管理活動都是不需要內部控制來完成的，內部控制更多的是傾向于對企業(yè)經營流程的事中和事后進行控制，其中包括對信息交流進行監(jiān)督、對不規(guī)范的操作流程糾正、對財務報告的評估等。

（6）二者對于風險的管理不同。

全面風險管理體系包括風險預警、風險偏好、風險對策等方法及概念，所以全面風險管理體系能夠對企業(yè)的戰(zhàn)略目標和發(fā)展方向進行指引，而內部控制體系不涉及此類功能。

2.2 內部控制與風險管理的聯(lián)系

（1）二者的驅動因素是一致的。

無論是風險管理還內部控制，最初的驅動因素在于滿足監(jiān)管要求。隨著認識上的不斷創(chuàng)新，驅動因素增加了規(guī)模風險，從而減少風險帶來的損失。

（2）二者的主體是一致的。

二者實施的主體都是企業(yè)董事會、管理層以及其他人員，均強調了全員參與的理念。

（3）二者都均是動態(tài)的管理過程。

二者均是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的不斷修正、循環(huán)往復的過程，并滲透于企業(yè)各項經管理活動中。

（4）二者的目標有共同點。

都是為企業(yè)實現(xiàn)目標提供合理保證。風險管理的目標有四類，其中三類與內控控制相重合，即報告類目標、經營類目標、和遵循類目標。

（5）二者的作用是一致的。

都是為了防范風險。內部控制的最重要目的之一就是防范風險，沒有風險防范這一既重要又明確的目的，內部控制的存在就大打折扣，至少發(fā)揮作用的空間會受到極大的限制。

（6）組成要素有重合。

風險管理與內部控制的組成要素有五個方面是重合的，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。風險管理增加了目標設定、事件識別、和風險對策三個要素，增加了戰(zhàn)略目標，對內部控制框架進行拓展，把內部控制帶到了一個更加寬泛的管理視角。

（7）內部控制是實現(xiàn)風險管理的重要手段。

內部控制是通過全方位建立過程控制體系，這恰好為風險信息的收集提供了極大的方便，可見內部控制是作為風險管理的一種重要手段而存在的。

3 實施內部控制促進風險管理有效性的建議

3.1 創(chuàng)造良好的控制環(huán)境

縱觀國內外許多風險案例，即是因為董事會對公司運營風險重視不夠、缺乏有效的監(jiān)督。董事會、管理層的風險管理政策、風險偏好、公司結構、企業(yè)文化的價值觀直接影響著企業(yè)的內部控制與風險管理，因此只有建立良好的內部控制環(huán)境，才能為實現(xiàn)全面風險管理提供良好的基礎。

3.2 注重企業(yè)風險文化建設

首先，公司董事會、管理層和全體員工必須熟悉企業(yè)業(yè)務相關的風險。其次，要關注重大風險。董事會與管理層將主要精力放在可能產生重大風險的環(huán)節(jié)上。再次，要深化企業(yè)風險管理文化。在有良好的風險意識的團隊中，風險在形成或變?yōu)橹匾L險之前，都會被及時識別，及時規(guī)避。

3.3 構建責任保障機制

企業(yè)應在風險管理委員會的領導下，建立“統(tǒng)一管理、分級負責”的管理體制，建立“誰執(zhí)行誰負責”的責任機制。建立以“業(yè)務主導、部門牽頭、審計監(jiān)督”的職責體系?！皹I(yè)務主導”是指產品研發(fā)、市場開發(fā)、生產運營、財務管理等業(yè)務部門負有內控與風險有效運行的管理責任；“部門牽頭”是指內控與風險管理部門統(tǒng)籌管理企業(yè)全員、全過程、全方位的風險管理工作，對業(yè)務部門負有組織、檢查、評價的職能；“審計監(jiān)督”是指內部審計負責見管理過程的充分性和有效性進行檢查、評估、報告，并提出改進意見。

3.4 建立監(jiān)督檢查機制

一是著重落實業(yè)務部門的運行監(jiān)督責任，負責體系運行情況的日常監(jiān)督檢查，特別強調業(yè)務主管部門對本專業(yè)從上到下管理和監(jiān)督職責。二是周密安排測試工作，以測試促執(zhí)行、促有效性。三是編制內部控制有效性報告與風險管理報告，通過編制報告披露問題，分析差距，查找原因，制定應對措施。

3.5 建立考核評價機制

在建立考核評價辦法時，重點要關注基礎工作部分的考核，包括內控與風險管理委員會的成立及履責情況、機構及崗位人員的配置情況、宣貫培訓情況、制度建設情況、測試檢查開展情況、考核兌現(xiàn)情況等，同時要關注實質性的內容，如風險識別、風險分析、風險評價、管控措施的制定、實質性漏洞及重大缺陷的發(fā)現(xiàn)等。將考核評價結果納入對各級管理人員的業(yè)績考核，獎罰兌現(xiàn)，形成正向激勵的考核方法，促進執(zhí)行力的提升。

參考文獻

[1]閏金萍.論現(xiàn)代企業(yè)內部控制機制[J].現(xiàn)代管理科學，2009，（1）.

[2]仇穎.基于戰(zhàn)略控制的內部控制模[J].經濟導刊，2008，（5）.

[3]肖凌.企業(yè)風險管理 ERM一個概念框架[J].經濟師，2006，（3）.

[4]詹姆斯林著.黃長全譯.企業(yè)全面風險管理從激勵到控制[M].北京：中國金融出版社，2003.

[5]胡昌紅.現(xiàn)代企業(yè)風險管理框架研究[D].合肥：安徽大學，2007，（4）.