论内部控制和全面风险管理.docVIP

论内部控制和全面风险管理 　　概要：由于存在认识上的误区，内部控制和风险管理在实践上存在重视不够，执行力不强，考核评价不严，风险管控不力等问题。正确认识内控体系与风险管理的联系与区别，把握体系建设的核心问题是体系建设和运行成败的关键。 　　关键词：内部控制;风险管理 　　按照国资委2006年6月发布的《中央企业全面风险管理指引》，财政部等五部委2008年6月发布的《企业内部控制基本规范》，笔者所在单位深入开展了全面风险管理，发布了《全面风险管理报告》、《内控控制管理手册》。然而，在工作实践中，就内部控制与风险管理的认识上有一定的误区，导致对提升内控体系执行的有效性和全面风险管理（以下简称风险管理）水平带来一定的影响。 　　一、内控控制与风险管理的认识误区 　　1.认为内部控制与风险管理是相互独立的。认为二者虽有共同点，但是从方式方法手段上看仍有本质的区别；有的认为从管控的目的上看，不完全一致；还有的认为，从企业的业务上看，二者关注的重点不一样，据此认为是相互独立的。 　　2.内部控制和风险管理的作用被夸大。认为有了内控体系和风险管理体系，企业就可以高枕无忧，希望内部控制和风险管理可以确保企业的成功，确保企业法律法规的遵循性、确保财务报告的可靠性。 　　3.内部控制和风险管理的重要性被忽略。认为传统的企业管理模式，就可以解决内部控制和风险管理所要达到的目标，而无须另立理论与方法，他们主张应该看到与原有的传统管理模式的差异，应该看到新的管理模式带来的风险和巨大成本。 　　4.认为内部控制和风险管理体系的建设就是整章建制。认为内部控制和风险管理体系建设，就是建章立制，理解为简单的制度建设。 　　5.认为内部控制和风险管理理念难于适应企业现状。新的管理理念和技术，与企业原有的管理体系和观点之间存在较在的差距，认为在COSO理念下建立的内部控制和风险管理模式不适合于企业现状。 　　二、内部控制与风险管理的联系 　　1.二者的驱动因素是一致的。无论是风险管理还是内部控制，从其在中西方的发展史上我们可以看出，最初的驱动因素在于满足监管要求。随着认识上的不断创新，越来越多的企业认识到内部控制与风险管理的重要性，驱动因素变为首先在于规避风险管理失效会导致难以预计的损失，其次才是为了满足监管要求。 　　2.二者的主体是一致的。它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观念，指出各方在内控控制或风险管理中应有的角色与职责。 　　3.二者都是一个“动态的管理过程”。二者的有效性都是在某一时点的一个状态，不能当做某种静态的东西，也不是单独或额外的活动。是一个发现问题、解决问题、发现新问题、解决新问题的不断修正、循环往复的过程，并渗透于企业各项经管理活动中。 　　4.二者的目标有共同点。都是为企业实现目标提供合理保证。风险管理的目标有四类，其中三类与内控控制相重合，即报告类目标、经营类目标、和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内外发布的非财务类报告准确可靠。 　　5.二者的作用是一致的。都是为了防范风险。内部控制的最重要目的之一就是防范风险，没有风险防范这一既重要又明确的目的，内部控制的存在就大打折扣，至少发挥作用的空间会受到极大的限制。 　　6.二者的组成要素上看，风险管理与内部控制的组成要素有五个方面是重合的，即控制环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别、和风险对策三个要素，增加了战略目标，对内部控制框架进行拓展，把内部控制带到了一个更加宽泛的管理视角。 　　7.从二者的方法上看，企业的风险普遍存在于生产经营的各个环节，风险信息的取得是实施风险管理的前提，收集不到风险信息，风险管理就无从谈起。而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。这恰好为风险信息的收集提供了极大的方便，可见内部控制是作为风险管理的一种重要手段而存在的。 　　三、内部控制与风险管理的区别 　　1.在定义上不一致。在COSO委员会的全面风险管理框架中，把风险定义为“对企业的目标产生负面影响的事件发生的可能性”，将风险与机会区分开来。而在C O S O委员会的内部控制框架中，没有区分风险和机会。 　　2.在理念上不一致。内部控制解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。而风险管理解决的不仅是流程问题，更要解决战略决策、应急处理；不仅要解决当前问题，更要预测和应对将来可能发生的问题；不仅要解决“正确地做事”，关键要解决“做正确的事”。风险管理把机会风险视为企业的特殊资源，通过对其管理，为企