郭青云
【摘要】隨著經濟全球化的加劇,企業(yè)之間的競爭日趨激烈,風險也隨之增加。大潤發(fā)創(chuàng)始人丟下一句“戰(zhàn)勝了所有對手,卻輸給了時代”后揮淚離去,讓企業(yè)更加重視所面臨的風險。也有很多企業(yè)引入了內部控制體系和風險管理體系,希望能夠幫助企業(yè)防范風險。但是內部控制和風險管理的關系,很多人經常混為一談,甚至認為選其一即可。本文試從理論和實踐兩方面分析一下兩者的關系,以期對企業(yè)有所幫助。
【關鍵詞】內部控制;風險管理
一、內部控制和風險管理是什么
內部控制是企業(yè)通過一系列控制措施,達到其既定管理目標的過程,由企業(yè)董事會、監(jiān)事會、經理層和全體員工共同實施。
風險管理是對可能會影響企業(yè)的潛在事件進行識別、評估和應對的過程,把不利因素控制在企業(yè)可承受范圍之內,由董事會、管理層及全體人員共同實施。
二、內部控制和風險管理的關系
內部控制與風險管理兩者之間的關系,目前理論界主要有三種觀點:
1.內部控制包含風險管理,風險管理是從內部控制中衍生出來的一部分。
2.風險管理包含內部控制,內部控制是風險管理的一種方式。
3.內部控制就是風險管理,內部控制與風險管理僅是人為的分離,在企業(yè)管理中它們是一體的。
那么兩者的關系究竟是什么呢7我們從不同方面對兩者進行比較:
1.最終目標相同。內部控制和風險管理都是通過對風險的防范、管理,為企業(yè)戰(zhàn)略目標的實現提供合理保證。
2.形式相同。內部控制和風險管理都是一個正在進行的過程,而不是一個靜態(tài)的結果。
3.范圍相同。內部控制和風險管理都是由企業(yè)董事會、管理層和全體員工共同實施的,涵蓋了企業(yè)各個層級和單元,體現了全員參與和全面性原則。
4.組成要素既有相同之處又有所區(qū)別。內部控制和風險管理的組成要素在內部環(huán)境、控制活動、信息與溝通和監(jiān)督評價四個方面基本相同,說明兩者實施的流程相同。在風險評估方面,內部控制體系相對簡單一些,應對措施也相對完善:風險管理則要更加精細化,細分為目標設定、事件識別、風險評估和風險應對,側重于對各種風險的研究和應對。
5.控制目標不同。內部控制體系中的各項控制措施設定的目標是零風險,只要嚴格落實各項控制措施,企業(yè)內部就不會發(fā)生風險。而風險管理體系中,企業(yè)一般根據自身的風險偏好和可承受的風險水平,設定一個風險容量,風險管理只需將企業(yè)面臨的風險損失控制在風險容量之內即可。
6.管理模式不同。企業(yè)經過長期的研究與實踐發(fā)現,生產經營過程中的內部風險相對固定,對應的內部控制措施也趨于完善固化。企業(yè)按照內部控制體系標準結合自身實際情況,由內部控制部門組織各職能部門及全體員工共同實施,即可起到防范企業(yè)內部風險的作用。
而風險管理則相對靈活一些,特別是在事件識別和風險評估環(huán)節(jié),需要對企業(yè)面臨的各種不確定的潛在事件進行分析,區(qū)分不利和有利事件,并對不利事件的影響程度和發(fā)生的可能性進行評估。但是根據風險評估結果所采取的風險應對策略只有風險承受、風險規(guī)避、風險分擔和風險降低四種類型。風險管理強調風險組合觀,是對各種風險所帶來的綜合影響力的管理,即風險應對策略的選擇是根據風險所帶來的綜合影響力來確定的,而不是風險本身。
7筆者所在的中國電信市級分公司一次內部控制檢查發(fā)現如下問題:
(1)存在合同簽署生效前已實際履行合同,違反了“合同生效前不得實際履行合同”的規(guī)定:
(2)與A公司的一筆收入于年底一次性確認,違反了“應按照受益期逐月確認收入”的規(guī)定。
由此可見,企業(yè)的內部控制規(guī)定已通過規(guī)章制度建立完善,員工遵照執(zhí)行即可。
8.風險管理部門梳理的年度風險管理工作通報中列舉了兩項風險如下:
(1)固定寬帶價值下降及接入用戶流失風險(風險承受度:寬帶市場份額停止下降),并列出了三項具體風險管控措施,以期降低風險。
(2)資金安全風險:通過員工個人賬戶辦理公司收支業(yè)務(風險承受度:不存在通過員工個人賬戶歸集應收資金情況),銀行未達賬項(風險承受度:不存在三個月以上銀行未達賬項),要求省市兩級公司通過具體措施規(guī)避資金風險。
根據上述兩項風險可以看出,企業(yè)在不同時期面臨的風險也不同,風險承受度也不一樣,需要根據企業(yè)的實際情況研究應對。
通過上述比較分析和案例說明,我們發(fā)現兩者既相互關聯(lián)又有所區(qū)別,是企業(yè)不可相互替代的兩種管理手段。如果把企業(yè)比作一顆藥丸,那么內部控制和風險管理就是藥丸的兩層包裝紙,兩者的作用各不相同,卻共同作用把企業(yè)面臨的風險拒之門外。
三、內部控制和風險管理在企業(yè)中的實踐應用
內部控制體系和風險管理體系為企業(yè)在風險防范方面提供了行動指南,很多企業(yè)都已實施。但是在實際操作中,也存在一些問題。
(一)認識不足,意識淡薄
一些企業(yè)和員工認為,內部控制和風險管理體系只要制定了,制度上墻了,文件下發(fā)了,就能防范企業(yè)風險。也有人認為這是財務部門和審計部門的事情,我部門只要完成銷售任務就行了,實在不行就做一些表面工作應付檢查。殊不知內部控制和風險管理體系是一項貫穿于企業(yè)各個環(huán)節(jié)的管理活動,雖然是以規(guī)章制度的形式來實施的,但需要企業(yè)的董事會、管理層和所有員工去嚴格執(zhí)行和落實,只有這樣才能防范可能面臨的風險。
(二)學習不足,執(zhí)行力不強
企業(yè)在內部控制和風險管理體系建設中,對員工的培訓不夠,造成員工不能準確理解相關的規(guī)章制度,不能很好地執(zhí)行和落實。例如某公司在對內部控制進行自我評價時,員工對幾項控制措施評價為有效,而檢查發(fā)現這些控制措施是存在執(zhí)行缺陷的,詢問得知員工不知道選擇“有效”或“執(zhí)行缺陷”意味著什么。有時候當業(yè)績考核和相關控制措施發(fā)生沖突時,為了完成考核指標,相關部門就不會嚴格執(zhí)行該項控制措施。
那么如果想讓內部控制和風險管理體系在企業(yè)生產經營過程中真正地發(fā)揮作用,企業(yè)應該如何做呢?我認為應該從執(zhí)行的主觀和客觀因素兩方面考慮。
(三)強化員工風險意識,重視員工職業(yè)道德和勝任能力的培養(yǎng)
再先進的制度也需要員工去執(zhí)行,所以要把員工的因素放在首位。企業(yè)通過對規(guī)章制度的培訓和違規(guī)事件的處理,強化員工的風險意識,并把風險意識貫穿于企業(yè)生產經營的各個環(huán)節(jié),這樣才會減少違規(guī)事件的發(fā)生。企業(yè)還要重視員工職業(yè)道德和工作勝任能力的培養(yǎng),良好的職業(yè)道德可以避免舞弊事件的發(fā)生,知識和技能與崗位所需能力相匹配,可以確保企業(yè)各項經營活動有效運行。員工自身因素的問題得到了解決,主觀上就具備了執(zhí)行的基礎,才能把內部控制和風險管理體系執(zhí)行下去。
(四)做好監(jiān)督評價,完善治理結構
企業(yè)組織結構不合理、資源配置不當、制度本身的局限性以及制度與制度之間的沖突,是內部控制和風險管理執(zhí)行不力的客觀因素。企業(yè)要充分利用監(jiān)督評價的成果,不斷完善治理結構和議事規(guī)則,及時修改不合理的制度,確保企業(yè)內部、企業(yè)與外部之間的信息溝通順暢,為內部控制和風險管理體系建設營造一個良好的內部環(huán)境。
結束語
習近平在“十九大”報告中指出“決勝全面建成小康社會要堅決打好三大攻堅戰(zhàn):防范化解重大風險、精準脫貧、污染防治”,這里面就提到了防范風險。企業(yè)只有明白內部控制和風險管理的關系,清楚實施過程中存在的問題,才能更好地在企業(yè)生產經營過程中開展內部控制和風險管理體系建設,為企業(yè)的發(fā)展保駕護航幫助企業(yè)實現戰(zhàn)略目標。