内部控制与风险管理探讨.docVIP

内部控制与风险管理探讨 　　为做好内控审计工作，我对内部控制与风险管理作了一些粗浅的探索，以规范内控审计标准，提高审计工作效率，提高审计业务质量。 　　 　　一、内部控制与风险管理的关系 　　 　　风险，通常的理解是对实现企业目标可能发生的不利条件或事件。风险的概念在许多经营管理著作中被扩大化，甚至涵盖了管理中绝大部分的问题和困难而内控的概念也常常被扩大而接近管理的概念，特别是内控中广泛地运用着风险管理中的一些概念，如：风险评估、风险控制点等等。给人造成一种错觉：风险管理可以通过内部控制实现，内部控制也是在进行风险管理。那么，是否应该将两者合并考虑呢?我个人认为，这是十分有害的。诚然，风险和内控应该结合，但应主要是分析方法的相互借鉴和具体措施的部分重合。如果只讲结合，不进行原则上的划分，就变成了混淆。混淆的后果一方面是不能真正体现内控和风险的本质，从而模糊了两者的目标，难以明确各自的解决途径，给管理的效率、效果和决策的正确性带来困难二是内控既没有解决所有风险的不利后果，风险管理又难以真正落实到某一具体业务或管理部门，成为它的责任。于是，企业不能有效得对需要风险管理的风险进行专门的研究和管理。 　　从风险的概念上，很难将其与内控的内容进行划分，那么，我们可以从风险的性质上将其与内控的内容进行划分，也就是将所有妨碍目标实现的内部、外部的困难、问题，按照其发生的确定性划分为：常规性的、非常规性的和混合性的三类，即确定条件下发生的、不确定条件下发生的和混合条件下发生的三类。 　　据此，我们就可以分别进行不同的管理： 　　一是将常规性事件纳入内控； 　　二是对非常规事件，在内控范围内，只需要设计针对非常规性事件的处理原则，在一定程度上降低风险带来的影响。例如在企业中可能发生财务危机、意外事故、危害公众事件等，为此我们需要设计非常规事件或危机处理原则。对此类不确定性事件，就需要风险管理，应对危机，以弥补内部控制的不足。 　　三是对企业经营活动中，大量存在的既不是常规又不是非常规的混合性事件，应尽可能将其完全或在一定程度上转化为常规事件，从而纳入内部控制。这就需要凭知识和经验，在内控中充分考虑预防、制约混合性事件发生，以及解决混合性事件后果的措施。其中最重要是预防条款，防危机于未然。 　　因此，风险的不确定性既预示着机遇，又可能影响竞争能力、融资能力、外部形象等。而内控预示着稳定、有效的运行，强调的是评估经营管理活动中突出的、相对稳定的风险，将其转化为控制点，并实施必要的控制活动。 　　划分内部控制和风险管理，对加强经营管理的针对性及提高经营管理的效率很有帮助。我们通过把经营中具有一定持续性、稳定性的内部、外部困难和问题纳入内控系统，将相对重要、不确定性强一些的问题作为关键的控制点，以点面结合的方式控制经营始终为管理目标服务；通过把经营中具有突发性、不确定性的内部、外部困难和问题纳入风险管理系统，用风险分析、评估和特定业务领域的特定方法，支持决策始终为管理目标服务。 　　 　　二、如何利用内控系统规避风险 　　 　　总的说来，就是运用风险评估方法，认识和分析企业整体目标及各活动层目标，以及影响这些目标实现的内在和外在因素，发生的概率及可能的后果，并采取相应的控制措施，实现企业目标。具体分析如下： 　　规避风险首先研究风险包括哪些内容。通常风险主要分为三类：一是战争、自然灾害、经济衰退、通货膨胀、高利率等，是不可分散的市场风险；二是市场需求、成本过高、技术发展、竞争、信誉、法规政令、信息系统中断、外部环境变化等经营管理风险；三是筹资、投资等财务风险。 　　按照上述风险的性质分类，比较利于辨识和分析风险的过程，但要尽可能将风险纳入内控系统内化解，还需要将可能产生这些风险的主观行为和客观条件内化为企业内部的受控行为和受控环节，然后通过风险预警、风险识别、风险评估、风险报告等措施，对风险进行全面防范和控制。例如，对存在市场需求、技术发展、竞争等经营管理风险，影响经营目标实现的重大项目，建立一套完整的市场调研、测试评估、竞争应对机制，就能凭借内控规避风险，或保证风险决策的正确性。当然，这种方法主要对财务风险和部分经营风险比较有效，因为它们不是对全部企业都产生影响的宏观风险，而是可以通过企业微观经营而规避、降低的风险。 　　日常经营中需要受控的风险行为很多，比如：引起财务风险的筹资、投资活动；引起法律风险的合同行为等等。对风险防范控制应作为内控中的一项基础性、经常性工作，一方面应对实施带有风险性质行为的部门或岗位，专门做好风险的识别、规避和控制；另一方面直接对这些行为进行控制，如：事先可研或评估、事中权限限制或实时跟踪、事后考核和监督，以及出现的负面后果时的应对措施和预案。 　　日常经营中需要受控的风险环节也很多，内部控制特别应该把风险较大的关键控制