全面風險管理和內(nèi)部控制的一體化建設(shè)

1、<p>　　全面風險管理和內(nèi)部控制的一體化建設(shè)</p><p>　　摘要：本文通過對業(yè)界理論研究結(jié)果、國內(nèi)全面風險管理和內(nèi)部控制主要工作參照文件、兩者演進趨勢的分析，提出全面風險管理和內(nèi)部控制一體化建設(shè)是可行的。在此基礎(chǔ)上對一體化管理的優(yōu)點進行了闡述，并對建設(shè)工作的一些重要方面及可能出現(xiàn)的問題提出了建議。 </p><p>　　關(guān)鍵詞：全面風險管理；內(nèi)部控制；一體化 </p

2、><p>　　隨著我國經(jīng)濟規(guī)模的不斷壯大，企業(yè)如何可持續(xù)發(fā)展，如何健康發(fā)展越來越為政府和經(jīng)營者關(guān)注。進入新世紀以來發(fā)生的一些經(jīng)營失敗案例和問題，遠的如安然、中航油、巴林銀行事件，近的如雷曼兄弟、三鹿奶粉事件以及陷入困境的無錫尚德等，其失敗的一個共同的、重要的原因，就是風險管理、內(nèi)部控制出了問題。 </p><p>　　為指導中央企業(yè)開展全面風險管理工作，2006年6月國務院國資委頒布了《中央企

3、業(yè)全面風險管理指引》（以下簡稱《指引》）。為加強和規(guī)范企業(yè)內(nèi)部控制，2008年5月財政部制定了《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱《規(guī)范》）。為加快中央企業(yè)構(gòu)建內(nèi)部控制體系，2012年5月，國資委、財政部下發(fā)了《關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知》。一系列指引、規(guī)范文件的下發(fā)，體現(xiàn)了國家對企業(yè)、尤其對中央企業(yè)內(nèi)部控制和全面風險管理的高度重視和迫切要求。 </p><p>　　自《指引》、《規(guī)范》頒布以來

4、，不少企業(yè)尤其是中央企業(yè)先后開展了全面風險管理體系、內(nèi)部控制系統(tǒng)的建設(shè)和完善工作。可以預見，將來會有更多的企業(yè)重視并開展這項工作。 </p><p>　　要做好全面風險管理和內(nèi)控體系建設(shè)工作，正確認識和處理全面風險管理與內(nèi)部控制的關(guān)系很重要。 </p><p>　　一、全面風險管理與內(nèi)部控制的關(guān)系 </p><p>　　1.全面風險管理與內(nèi)部控制概念 </p&

5、gt;<p>　　所謂內(nèi)部控制，是指一個單位為了實現(xiàn)其經(jīng)營目標，保護資產(chǎn)的安全完整，保證會計信息資料的正確可靠，確保經(jīng)營方針的貫徹執(zhí)行，保證經(jīng)營活動的經(jīng)濟性、效率性和效果性而在單位內(nèi)部采取的自我調(diào)整、約束、規(guī)劃、評價和控制的一系列方法、手續(xù)與措施的總稱。 </p><p>　　所謂全面風險管理，是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文

6、化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。 </p><p>　　2.全面風險管理與內(nèi)部控制的關(guān)系 </p><p>　　對于兩者的關(guān)系，目前理論界主要有以下三種觀點： </p><p>　　（1）內(nèi)部控制包含風險管理。例如CICA（19

7、98）的風險闡述、巴塞爾委員會發(fā)布的《銀行業(yè)組織內(nèi)部控制系統(tǒng)框架》中的風險管理要求等。 </p><p>　?。?）風險管理包含內(nèi)部控制。例如COSO委員會的《企業(yè)風險管理——整合框架》（2004）就指出“企業(yè)風險管理包含內(nèi)部控制”、英國Turnbull委員會（2005）也認為“內(nèi)部控制應當被管理者看作是范圍更廣的風險管理的必要組成部分”。 </p><p>　?。?）內(nèi)部控制就是風險管理

8、。例如Blackburn（1999）認為“風險管理與內(nèi)部控制僅是人為的分離”等。 </p><p>　　本文同意以上第二種觀點，以發(fā)展的眼光看，也認可第三種觀點。 </p><p><b>　?、俟芾韺崉罩С?</b></p><p>　　管理實務操作上，以國家發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》和《中央企業(yè)全面風險管理指引》進行比較，兩者有大量的相

9、同或相似之處。 </p><p>　　從目標分析，內(nèi)部控制目標包括合法合規(guī)性、資產(chǎn)安全性、報告可靠性、經(jīng)營有效性、支持企業(yè)發(fā)展戰(zhàn)略五項。全面風險管理目標包括與企業(yè)總體目標適應性、信息溝通（含報告）可靠性、合法合規(guī)性、經(jīng)營有效性、避免遭受重大損失五項。除合法合規(guī)性、經(jīng)營有效性、信息可靠性外，企業(yè)總體目標適應性與支持企業(yè)發(fā)展戰(zhàn)略表述不同，實質(zhì)是一致的；避免遭受重大損失包括資產(chǎn)安全性。應該說內(nèi)部控制和全面風險管理主要目

10、標是一致的。 </p><p>　　從管理要素分析，內(nèi)部控制包括內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督五項，全面風險管理包括信息收集、風險評估、管理策略、解決方案、監(jiān)督與改進、組織體系、信息系統(tǒng)、風險文化八項。具體分析兩者管理范疇和業(yè)務過程，我們大致能得出風險評估、解決方案對應控制活動、組織體系與風險文化對應內(nèi)部環(huán)境、信息系統(tǒng)對應信息與溝通、監(jiān)督與改進對應內(nèi)部監(jiān)督的關(guān)系。應該說全面風險管理幾乎包含了內(nèi)

11、部控制的所有管理要素。 </p><p>　　全面風險管理和內(nèi)部控制的對象都是風險（包括風險收益），目標也是一致的，管理范疇和過程也有諸多相同或相似之處，因此全面風險管理和內(nèi)部控制一體化建設(shè)是有客觀基礎(chǔ)的。 </p><p><b>　　②演進趨勢支持 </b></p><p>　　從演進趨勢上分析，全面風險管理是對內(nèi)控的系統(tǒng)總結(jié)和提升。 &l

12、t;/p><p>　　內(nèi)部控制是企業(yè)經(jīng)濟活動中一種自發(fā)的內(nèi)部安全和效率需求，是企業(yè)及其他經(jīng)濟組織為達到經(jīng)營目標的必由之路，從最初保護財產(chǎn)安全、防弊堵漏發(fā)展到如今的支持企業(yè)發(fā)展戰(zhàn)略。伴隨著經(jīng)濟活動日趨復雜，內(nèi)部控制活動也逐漸由簡單到復雜，并從企業(yè)內(nèi)部向外部延伸。例如三鹿奶粉問題，不僅涉及內(nèi)部控制，實際上也涉及外部供應鏈的風險管理了。 </p><p>　　全面風險管理是一個較新的概念，和內(nèi)控相對

13、，是一種自覺的行為，是經(jīng)濟活動發(fā)展到一定的高度的產(chǎn)物。人們在經(jīng)營活動中逐漸認識到企業(yè)不能僅僅從某項業(yè)務、某個部門的角度考慮風險，必須從整個企業(yè)的高度認識風險和實施控制，做好頂層設(shè)計和系統(tǒng)化設(shè)計，即實行全面風險管理。例如企業(yè)內(nèi)部不同部門不同業(yè)務的風險，有的可能相互疊加放大，有的可能相互抵消減少，這就涉及風險統(tǒng)籌；例如風險的大小不一樣，管理要求就不同，這涉及到風險量化；例如不同經(jīng)營時期，企業(yè)風險種類、管理特點是不一樣的，這涉及到風險動態(tài)管理

14、；還有風險預測、決策管理等等。如果說內(nèi)部控制活動是紡紗的過程，全面風險管理則是一個從紡紗到織布的整個過程，是對內(nèi)控的系統(tǒng)總結(jié)和完善提升。 </p><p>　　另外，雖然全面風險管理與內(nèi)部控制的隸屬關(guān)系目前尚無明確答案，但業(yè)界主流看法認可隨著內(nèi)部控制或風險管理的不斷完善，兩者的交叉、融合、統(tǒng)一將是大趨勢，這也為我們一體化建設(shè)帶來信心。 　　二、全面風險管理與內(nèi)控一體化效果 </p><p&g

15、t;　　1.管理完整性更好。全面風險管理是從上而下的風險管理，系統(tǒng)性和結(jié)構(gòu)化程度高；內(nèi)部控制是自下而上的風險控制，業(yè)務支撐能力和操作性更強。兩者一體化建設(shè)，可以互為補充、互相配合，上支撐了企業(yè)目標，下又兼顧了具體業(yè)務的管控實際。 </p><p>　　2.管理效率更高。在一體化思路下，工作領(lǐng)導、方案設(shè)計、資源調(diào)度都是統(tǒng)一的，一般不會出現(xiàn)指揮混亂、接口復雜、流程沖突、問題推諉的現(xiàn)象，將會大大提高建設(shè)和運維效率。特別

16、是在日常風險管理工作中，統(tǒng)一的、結(jié)構(gòu)化的系統(tǒng)將會帶來發(fā)現(xiàn)、決策、行動和反饋效率的立體提升。 </p><p>　　3.綜合管理成本更低。大多數(shù)企業(yè)特別是大企業(yè)在長期經(jīng)營活動中一般已形成一套基本適合自身需要的內(nèi)控系統(tǒng)。一體化建設(shè)能有效利用企業(yè)已擁有的內(nèi)控資源，減少重復投入。運行期也僅需支撐一套系統(tǒng)的開支，顯然會低于兩套獨立系統(tǒng)的運作成本。 </p><p>　　4.責任主體更明確。一體化管理

17、的主體只有一個，責、權(quán)、利歸于一體，在系統(tǒng)建設(shè)、運維過程中不會出現(xiàn)爭權(quán)和責任不清的問題。 </p><p>　　三、全面風險管理與內(nèi)控一體化建設(shè)工作應注意的幾個問題 </p><p>　　為保證全面風險管理與內(nèi)控一體化建設(shè)效果，在相關(guān)工作中應該注意以下一些問題： </p><p>　　1.建設(shè)思路上，一開始就要確立全面風險管理和內(nèi)控一體化建設(shè)思路，這樣才能統(tǒng)一思想，

18、明確方向，凝聚力量，避免走彎路、走錯路。 </p><p>　　2.工作方式上，要充分利用企業(yè)現(xiàn)有內(nèi)控資源為全面風險管理或內(nèi)控體系建設(shè)所用，形成合力，這是體系建設(shè)工作取得成效的關(guān)鍵。開展全面風險管理或內(nèi)控體系建設(shè)，應該是對現(xiàn)有內(nèi)控資源的整合、補充、規(guī)范和領(lǐng)導，而不是另起爐灶，各行其是。 </p><p>　　3.實施準備上，做好企業(yè)現(xiàn)行內(nèi)控情況評價，全面、客觀了解現(xiàn)行內(nèi)控工作范圍、流程、執(zhí)

19、行情況，并根據(jù)全面風險管理的需要梳理內(nèi)控活動存在的問題，分析、提出改進思路。為下一步一體化實施打下基礎(chǔ)。 </p><p>　　4.業(yè)務安排上，可根據(jù)“能責相當”的原則進行分工。對內(nèi)控已覆蓋且運轉(zhuǎn)良好的領(lǐng)域和環(huán)節(jié)，如風險評估、解決方案、控制活動、內(nèi)部監(jiān)督等方面繼續(xù)發(fā)揮原內(nèi)控作用，并根據(jù)全面風險管理的要求予以適應性改造。在信息收集、管理策略、組織體系、信息系統(tǒng)、風險文化等方面根據(jù)全面風險管理的要求開展工作，逐步建立

20、、健全風險系統(tǒng)。總體上，全面風險管理應注重宏觀和指導性，內(nèi)控更應注重微觀和操作性。 </p><p>　　5.組織管理上，合理設(shè)置管理機構(gòu)，并確保工作力量。不少人認為，財務部門很多業(yè)務涉及內(nèi)控工作，經(jīng)驗豐富，作為企業(yè)全面風險管理的牽頭部門較好。當然如果以更好地從全局角度組織開展工作為中心，由戰(zhàn)略、規(guī)劃或企管部門牽頭也是可以考慮的。另外審計部門作為全面風險管理工作的內(nèi)部評價部門，應保持相對獨立性，盡量避免參與全面風

21、險管理的日常執(zhí)行活動。要確保工作力量，一是要設(shè)置專職歸口部門，至少應在指定部門下配備專職崗位，明確職責。二是要整合企業(yè)原有的內(nèi)控工作力量，組成一個統(tǒng)一領(lǐng)導的風險工作組織。三要保障人員專業(yè)能力，各部門風險管理人員應選擇了解業(yè)務、管理能力強的骨干員工，并保持相對穩(wěn)定。 </p><p>　　6.日常運作上，要充分將風險管理工作溶入到具體業(yè)務中去，避免出現(xiàn)“兩張皮”現(xiàn)象，這也是一體化運行中的難點。由于不少企業(yè)內(nèi)控活動開

22、展已久，制度配套、流程接口、日常執(zhí)行、監(jiān)督跟蹤、報告反饋比較成熟，已形成良好的業(yè)務環(huán)境。因此在全面風險管理體系運行初期或兩者一體化建設(shè)不暢的情況下，受原業(yè)務環(huán)境及慣性思維影響，極易出現(xiàn)實際工作繼續(xù)按原內(nèi)控思路運行，而對于全面風險管理所需做的工作和要求，則可能抱著應付與完成任務的態(tài)度，導致相關(guān)活動不能真正發(fā)揮作用，久而久之被邊緣化。如何從管理氛圍、制度配套、流程整合、考核引導等方面著手，將全面風險管理工作真正溶入到具體業(yè)務中去，是我們要不

23、斷深入探索和解決的重要問題，這將關(guān)系到全面風險管理能否在企業(yè)中生根、成長、壯大。 </p><p><b>　　四、結(jié)束語 </b></p><p>　　全球經(jīng)濟一體化、以網(wǎng)絡為代表的新科技不斷應用、金融業(yè)的迅猛發(fā)展、人的創(chuàng)新能力不斷釋放的今天，企業(yè)管理廣度、深度、難度均發(fā)生了深刻變化，企業(yè)風險也非往日可比。據(jù)普華永道《2011年中國企業(yè)長期激勵調(diào)研報告》數(shù)據(jù)，目前中

24、國中小企業(yè)的平均壽命僅2.5年，集團企業(yè)的平均壽命也僅7～8年。另稍留意我們就能發(fā)現(xiàn)，證券市場上由盛轉(zhuǎn)衰的公司也是數(shù)不勝數(shù)的。怎樣才能避免這樣的命運？怎樣才能創(chuàng)建百年基業(yè)？顯然，建立健全全面風險管理和內(nèi)控體系是必備條件之一了。 </p><p><b>　　參考文獻： </b></p><p>　　[1]錢 黎 汪子林 張 偉：淺論內(nèi)部控制與風險管理的區(qū)別和聯(lián)系[J]

25、.現(xiàn)代經(jīng)濟信息，2009（9）. </p><p>　　[2]樊行健 付 潔：企業(yè)風險管理與內(nèi)部控制[J]會計之友，2007（10）. </p><p>　　[3]李 莉：論企業(yè)內(nèi)部控制的風險管理機制[J] Enterprise Economy，2012（3）. </p><p>　　[4]謝志華：內(nèi)部控制、公司治理、風險管理： 關(guān)系與整合[J].會計研究，2007