企业内部控制与全面风险管理关系浅述.docVIP

企业内部控制与全面风险管理关系浅述 　　【摘要】一个成功的企业绝对不能只靠一种体系实现其战略目标。部分企业管理者对于两种体系关系的理解尚处于模糊地带。为此，本文首先从内涵上界定两种体系，然后分析两者的联系与差异，最后强调企业只有两种体系双管齐下，根据自身具体情况建立必要的制度，才能使稳定发展成为可能。 　　【关键词】内部控制 全面 风险管理 　　一、内部控制与全面风险管理的内涵 　　（一）内部控制的内涵 　　1992年9月，《内部控制—整合框架》出台，在内部牵制和内部控制结构两个阶段后，创新性地提出内部控制的新定义。内部控制是由主体的董事会、管理层、其他人员共同遵守执行，力图实现经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规三大目标的一种控制手段。相较于之前两个阶段，整合框架更加具体细化，明确了内部控制的意义、目标、要素，但对风险的强调不足，存在一定的局限性。 　　（二）风险管理的内涵 　　2004年9月，COSO发布了《企业全面风险管理—整合框架》，首次对全面风险管理给出了明确的定义。该框架指出：全面风险管理是一个过程，它由全员参与实施，应用于战略制定且贯穿在流程始末，目的是识别潜在事项、把控风险容量，为目标实现提供合理保证。它将内部控制上升到风险管理的高度来认识，拓展范围，加强两者的联系。 　　二、内部控制与全面风险管理之间的联系 　　（一）要求“三全性” 　　无论是内部控制还是风险管理，始终围绕“全员参与、全面覆盖、全程控制”三方面来规范企业管理，任何一个方面的缺失都会对企业造成致命性打击。全员参与即是“积极参与主动负责”，是对于人员基本素质的要求；全面覆盖是指“涵盖企业所有事项，包含各个层级环节，实现多重目标控制”，是对业务范围的界定；全程控制强调“事前、事中、事后三种控制环环相扣，逐步递进，彼此配合”，是对运营流程的规范。 　　（二）强调过程性 　　从上文两者的定义中我们可以发现，两个框架最终落脚点分别是内部活动与管理手段，都是企业在长期时段上持续的活动流程，而不是固定静止在某???时点上。两者强调的是企业是否为了自身长远发展而有效实施了风险管理或者内部控制的各个环节，而不局限于考察某一片刻的企业治理与监督状况，将两者作为企业日常运营的基本制度，规范企业日常运营，为实现企业长远稳定发展的战略目标服务。 　　（三）根本目的一致 　　企业在把握发展机遇的同时必须重视对风险点的预先甄别，不能被动地等待风险的应对，对风险的敏感度与防控能力决定了企业收益成本的相对大小；另外，由于股份有限公司的出现，“委托—代理”问题一直是公司管理的重点。如何有效降低道德风险与逆向选择，使所有者与经营者间信息透明化、企业与社会公众间信息真实可靠，切实保护各方尤其是社会公众的利益成为公司的首要目标。 　　（四）含有相同的五种要素 　　ERM框架与内部控制的构成要素基本相同，都包括环境、风险评估、控制活动、监督、信息与沟通五方面。只是ERM框架将风险评估进行了具体深化，强调对风险的预先识别、大小衡量、应对策略，将风险意识贯穿到整个流程中，使两种体系的结合更加紧密。总的看来，内部控制是全面风险管理的一部分，两种体系的方向是大致相同的。 　　（五）都只能为主体目标实现提供合理保证 　　“经营效率提高、经营管理合法、财务报告真实完整”是风险管理与内部控制的三个共同目标。由于两种体系自身的局限性，企业采取两种体系只能为目标实现提供合理保证，而不是绝对保证。成本效益原则的约束、特殊非日常业务的监管难度大、企业员工素质不高、内部传统舞弊、管理者越权以及制度无法适应环境的高速变化等现实问题共同构成了企业主体目标实现道路上的多重障碍，仅仅依靠两种体系来制约企业的运营显然微不足道。 　　三、区别 　　（一）涵盖内容的广度不同 　　全面风险管理实际上涵盖了内部控制的大部分内容。内部控制包含的内容较为狭窄，而全面风险管理涉及的方面更为广泛，包括理财、组织职能、策略制定、信息系统和内部控制系统等。两者作用的环节也有差别。全面风险管理在企业生产经营中起到承上启下的作用，贯穿始末，其中强调“目标制定，时间识别，风险分析，风险应对”，加强了事前的对风险的预测。而内部控制主要是事中和事后的控制，具体到企业则是制定流程，表现为制定各项规章制度和设计各种账册表单，仅仅是管理的一种职能。 　　（二）目标设定不同 　　全面风险增加了战略目标，并扩大了报告目标的范畴。ERM框架指出，企业风险管理应贯穿于战略目标的制定、分解和执行过程，为战略目标的实现提供合理保证。报告范畴扩大是指，内部控制中的财务报告目标只与公开披露的财务报表的可靠性有关，而ERM框架中的财务报告范围覆盖了企业编制的所有报告。 　　（三）应对风险的策略不同