一、内部控制与风险管理的内涵
内部控制自身经历了一个曲折的发展历程,由最初的内部牵制到内部控制制度下的会计控制和管理控制、到内部控制结构,乃至COSO的内部控制整合框架。内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适应的法律相符合提供一种合理的保证。
内部控制主要包括控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督5个要素。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度。风险评估是企业确认和分析与其目标实现相关风险的过程。信息系统是指这样的一个系统,它可以使企业及时掌握营运状况和组织中发生的各种情况,可以及时的为员工履行职责提供所需的信息。控制活动是指为了保证管理指令得到实施而制定并执行的控制政策和程序。对控制的监督主要包括两个方面,一是管理控制方法,二是内部审计。这5个要素层层推进,大体概括了企业控制风险的程序。其中的风险评估过程是很重要的一个环节,内部控制的深度就体现在这里。如果评估风险不好把握,那么内部控制可以说就失效了。
2004年,COSO在内部控制整合框架的基础上发布了《企业风险管理——整合框架》。该框架指出,企业风险管理是组织的董事会、管理层和其他职员实施的一个过程,它应用于战略制定并贯穿于整个企业,用来识别可能影响组织的潜在事项,并把风险控制在组织的风险偏好之内,为实现组织的目标提供合理保证。
企业风险管理包括8个相互关联的构成要素。主要是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。它们是一环扣一环,缺一不可。它们来自管理层经营企业的方式,与管理过程整合在一起。企业风险管理是一个过程,并不是静止的,而是存在于一个主体各种活动的持续的反复的相互影响过程。这些活动渗透和隐藏在管理层经营企业的方式之中。这些企业风险管理机制与主体的经营活动融合在一起,共存于基本经营原因。企业风险管理由组织中的各个层级人员来实施,即董事会。管理层和企业的员工。企业风险管理应用于战略制定。一个主体设定其使命,并制定战略目标。主体为了实现其战略目标而制定战略。
二、内部控制与风险管理的联系与区别
(一)内部控制与风险管理之间的联系:
1.全面风险管理包含内部控制。
COSO委员会提出的《企业风险管理整合框架》中明确指出,企业全面风险管理包含内部控制;内部控制是全面风险管理不可分割的一部分;内部控制是风险管理的一种方式,全面风险管理比内部控制范围广得多。
2.内部控制是全面风险管理的必要环节。
英国Turnbull委员会认为,全面风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在全面风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。对于企业所面临的大部分的运营风险,内部控制是必要的。
3.内部控制与风险管理的本质目标是一致的。
COSO将内部控制和风险管理都定义为“由一个组织的董事会、管理当局以及其他员工实施的一个过程”,其本质都是为了增加组织的价值而服务的。
(二)风险管理与内部控制之间的区别:
1.两者活动范围不同。
全面风险管理的范围更广。首先,它比内部控制多了个战略目标。其次,目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
2.两者的职能定位不一致。
风险管理贯穿于事前预测、事中控制和事后整改,而内部控制仅通过事中控制和事后整改以实现目标。内部控制只是管理的一项职能,是企业整体管管理的有机组成部分。
3.两者对风险评估的定位不一致。
尽管内部控制与企业风险管理框架都要求从一个给定的风险将发生的可能性和它的潜在影响的角度来评估风险,但是企业风险管理框架建议通过一个更敏锐的视角来观察风险评估。要评估固有风险和剩余风险,最好采用与围绕该风险相关目标而构建的计量单位相同的的单位来表述风险。时间范围应该与主体的战略和目标相一致。企业风险管理框架还要求关注相互关联的风险,这是内部控制所没提到的,它反映了一个单独的事项可能会怎样产生多重风险。
4.两者的对目标的阐述不一致。
内部控制有三类目标——经营、财务报告、合规。企业风险管理也有三个类似的目标——经营、报告、合规。内部控制框架中的报告被定义为与公开财务报表的可靠性有关。在企业风险管理框架中,报告被大大地拓展为主体所编制的所有报表,包括对内和对外的报告。而且,企业风险管理又增加了战略目标,这是在内部控制框架中所没有的。战略目标来自于一个主体的使命,因而经营、报告和合规目标必须与其协调。风险管理框架还引入了风险容量和风险容限的概念。风险容量是在一个主体在追求其使命的过程中所愿意承受的广泛意义上的风险数量,它是一个指向标的作用。风险容限是相对于目标的实现而言所能接受的偏离程度。
三、结论
现实商业活动中,很多时候企业里只有内部控制制度或者是只有风险管理活动,而无法很好的把两者结合起来。如果只重视内部控制,忽略了风险管理活动,那么企业经营目标就无法完善的设立,对于风险就不能很好的评估。而且也不能好的做到对风险的事前预测,另外一些相互关联的风险也无法规避。如果只注重风险管理活动,而忽视了内部控制管理,那也将导致企业面临很大的风险。没有了内部控制的风险管理只能是一个空架子,面对风险就会显得很脆弱。
综上所述,我们可以得知内部控制与风险管理是有一定的差异,但是两者又是辩证统一的,要把内部控制与风险管理融合起来,就要打破风险和控制水平之间的平衡,不要单单认为风险管理与内部控制只是一项经营活动,它是一项包括了咨询、决策、控制的综合管理系统。只有把两者结合起来,才能为企业的健康发展提供有力的保障。
