以全面風險管理推動企業內部控制機制創新

秦小艷

摘要:全面風險管理是建立在內部控制基礎上的,內部控制是企業全面風險管理不可缺少的一部分,全面風險管理的范圍比內部控制的范圍更廣。本文分析了全面風險管理與內部控制的相關性和區別,以及全面風險管理的必要性,并提出了以全面風險管理推動企業內部控制機制的創新對策。

關鍵詞:全面風險管理;內部控制機制;創新

全面風險管理作為一個全新的理念,將企業管理推向一個嶄新的管理平臺。全面風險管理如何正確實施,企業如何在推行全面風險管理中不斷完善內部控制體系的建設,以更好的防范和控制風險,成為企業面臨的全新課題。

一、全面風險管理與內部控制的關系

(一)全面風險管理與內部控制的相關性

企業內部控制是全面風險管理的一部分,是在實踐中逐步產生、發展和完善起來的。COSO將內部控制定義為:“內部控制是受企業董事會、管理層和其他職員共同作用,為實現經營效果性和效率性、財務報告的可靠性以及對適用的法律、法規的遵循性等目標提供合理保證的一種過程。”我國審計準則對內部控制的概念做出如下規定:“內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守,由治理層、管理層和其他人員設計與執行的政策及程序。”

全面風險管理起源于戰略決策,落實于經營運作,輔助以資金、財務及其它相關控制,為企業持續快速發展保駕護航。全面風險管理受董事會、管理層和其他人員的影響,從企業戰略制定一直貫穿到企業的各項活動中,使之在企業的風險偏好之內,合理確保企業取得既定的目標。全面風險管理包括三個方面,第一是企業的目標;第二是全面風險管理要素;第三是企業的各個層級。全面風險管理目標包括戰略目標、經營目標、報告目標和合規目標。全面風險管理要素有內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。企業的各個層級包括整個企業、各職能部門、各條業務線及下屬各子公司。

因此,由兩者的定義可以看出,企業內部控制或全面風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值,即內部控制是全面風險管理的必要環節,全面風險管理是對內部控制的自然擴展。總體上來說,內部控制是為了實現經濟組織的管理目標而提供的一種合理保障,良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益。而合規經營、真實的財務報告和有效益的經營也正是企業全面風險管理應該達到的基本狀態。

(二)內部控制不等于全面風險管理

內部控制只能防范風險,不能轉嫁、承擔、化解或分散風險。即使建立了合理而有效的內部控制系統,科學而全面的管理仍是必不可少的,不能將它們二者混為一談。對于企業經營活動中發生概率較大,且企業能夠承擔控制成本的風險,要力求通過企業自身的控制系統,并依托以財務管理為中心的企業管理體系予以控制。對于發生概率較小,或控制成本較大的風險,則應在加強管理、增強自身素質的基礎上,降低風險對企業的影響程度。

二、企業建立全面風險管理體系的必要性

(一)中國企業風險管理面臨的許多問題需要我們建立健全全面風險管理體系。比如缺乏正確的風險理念、有待于從戰略高度認識風險管理的必要性、缺乏系統性風險管理手段、全面風險管理還未滲透到組織和流程的各個層面等。

(二)國內外大公司各類重大風險事件頻發為我們敲響了必須建立全面風險管理體系的警鐘。如果企業未建立風險管理機制或企業的風險管理失效,將會在某種程度上毀滅股東價值甚至社會價值。將會面臨丟失客戶、喪失信譽、丟失合作伙伴、營業中斷或直接導致破產等風險,國內外許多著名的企業已為我們敲晌了警鐘。例如因運營風險而破產的巴林銀行、因戰略風險而倒閉的日本八百伴公司、風險管理失效的中航油新加坡有限公司等。

三、構建體現全面風險管理的內部控制新機制

(一)構建符合內部控制要求的業務管理新制度

傳統分散風險管理模式下,為了保證各項業務的順利開展和防范各類風險,各職能部門制定了大量的所謂“全面”的制度。但很多制度剛一制定出來,就失去了實際意義,成為了墻上貼的制度和書本上寫著的制度,制度運行的有效性較差。究其原因,最主要是制度的制定缺乏系統科學的規劃。因此,要在符合內部控制要求的前提下,全面梳理現有規章制度,進一步完善供銷業務、財會業務、中間業務等各項業務的管理制度,整合各項業務操作環節,建立起面向企業、覆蓋所有業務品種和涉及業務全過程的內控管理體系,實現業務發展和風險管理的同步。基層單位要加強對規章制度執行和風險控制情況的自查,形成定期檢查的長效制度。內審部門要充分發揮審計的幫促作用,促使企業逐步建立起業務管理服從規章制度、業務考核服從統一標準的管理新制度。

(二)構建具有本企業特色的創新風險管理理念

企業所面臨的風險是無法完全避免的,但風險是一定能被控制在最小范圍中的。企業的風險控制是企業各位員工的共同責任,而并非管理層單方面的責任。設立企業管理控制制度并非是在企業內對權力進行分配。設計有效的組織架構,使管理層能方便地隨時監控業務發展,并促進公司內部信息的交流和共享。在組織中貫徹高層領導對于企業管理控制的正確觀念和風格,不斷地對組織控制架構和企業管理控制系統的運作加以監督和改善。

(三)建立全新的內部控制治理機制

內部控制在協助管理層防止資源流失, 保證信息的可靠性和系統整體恰當運轉方面是必不可少的。組織內部控制系統的設計、維護和監測的職責, 首先是, 而且最重要的是由董事會執行的。在很多組織內部, 這一職責是由審計委員會負責的。僅僅建立內部控制系統是不夠的。內部控制系統需要不斷的監管以保證組織達到其既定目標。因此, 除非建立一個有效的監管系統, 否則我們不能確保內部控制系統的有效性。監管程序的作用是給董事會一種 “合理的保證”, 即內部控制正在向既定目標前進。因此,在現有的產權制度下,可在企業總部設立風險管理委員會,作為內部控制管理的主要決策機構,同時設立審計委員會,并將其明確為風險管理的監督、評價部門。兩個委員會相互配合,共同實現風險管理的各項新要求。

(四)構建切合實際的內部控制評價機制

通過確定風險控制環節,分解、落實機構內各部門、各崗位管理職責,并對各單位、各部門的控制狀況進行檢查、評價和考核,強化風險管理責任,提高全員風險防范的意識和能力,從而全面有效地控制經營風險,進一步實現從風險部門的防范轉向企業、全員防范,將內部控制管理由個人行為和操作行為提升到整個單位的整體行為,推進企業的內控管理水平不斷上新臺階。

參考文獻:

[1] 閆金萍.論現代企業內部控制機制[J].現代管理科學,2007,(1)92—94.

[2] 陳曉更.論企業建立全面風險管理體系的必要性[J].會計之友,2008,(9)30—31.

[3] 張慶龍.內部審計價值[M]. 北京:中國時代經濟出版社,2006.

[4] 中國注冊會計師協會.審計[M]. 北京:經濟科學出版社,2008.

(作者單位:廣州大學松田學院 )