全面風險管理與內(nèi)控管理融合

1、全面風險管曩與內(nèi)I控嗣的融合萬里霜(北京交通大學(xué)經(jīng)濟管理學(xué)院，北京102208)摘要：文章針對目前企業(yè)管理中出現(xiàn)的全面風險管理和內(nèi)部控制分屬兩套不同體系的情形進行分析。從比較兩個概念的實質(zhì)內(nèi)涵出發(fā)，認為兩者目標一致、執(zhí)行人同一，因而應(yīng)當且必須在管理過程中充分融合。關(guān)鍵詞：全面風險管理：內(nèi)部控制；管理過程；COSO報告中圈分類號：F272文獻標識碼：A文章編號：1002—6487(2009J09017702隨著組織結(jié)構(gòu)和面臨風險的日益復(fù)雜

2、化，全面風險管理和內(nèi)部控制逐漸為現(xiàn)代企業(yè)治理層和管理層所重視。然而，這兩個概念的實質(zhì)內(nèi)涵存在重要差別。在企業(yè)管理實踐中，容易將兩者作為單獨的管理體系來建立，而不能實現(xiàn)兩者的有機融合由此不但會降低企業(yè)的管理效率，同時也難以實現(xiàn)兩者的管理目標。本文致力于分析這兩個管理框架在性質(zhì)上的區(qū)別和聯(lián)系尋找兩者有機融合的途徑，使其更好地保障和促進企業(yè)的持續(xù)、健康發(fā)展。1全面風險管理的內(nèi)涵關(guān)于全面風險管理，尚沒有一個完全統(tǒng)一的概念框架。COSO報告(20

3、04)中的定義是：“全面風險管理是一個過程，這個過程受董事會、管理層和其它人員的影響，從企業(yè)戰(zhàn)略制定開始貫穿至企業(yè)的各項活動中用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內(nèi)，從而合理確保企業(yè)既定的目標。”我國國資委頒布的《中央企業(yè)全面風險管理指引》，提出“全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程培育良好的風險管理文化，建立健全全面風險管理體系”。在其它研究成

4、果或公開文件中還有其它的不同定義。不論如何定義，全面風險管理的實質(zhì)是一個對風險進行管理的過程。這個過程可劃分為五大關(guān)鍵環(huán)節(jié)，如圖1所示：l竺竺堊竺竺蘭竺蘭垂7圖1全面風險管理的關(guān)鍵環(huán)節(jié)在全面風險管理的整個過程中，管理者需要識別和收集來自于企業(yè)內(nèi)部、外部的風險信息，對各項風險因素的潛在影響及其影響程度采取一定的方法分析制定風險管理策略，進而采取一定的風險應(yīng)對措施。其中的每一個關(guān)鍵環(huán)節(jié)，還可進一步細分為具有先后次序的一系列管理活動。例如，在

5、上圖中“風險評估”這個關(guān)鍵環(huán)節(jié)當中工作流程可作進一步的劃分，如圖2所示：找凰陵#=對矗陸的翩步劉斷=確認需再弁奇嚏照事=爿H睦描進躲il二——二許證章順殮墅堡“I夔性籌域馥的／_妁動娜、麓生豹簪件、表現(xiàn)黲響砭捎關(guān)關(guān)系圖2風險評估流程為了進行上述管理過程，企業(yè)的治理層和管理層需自上而下設(shè)置適當?shù)慕M織架構(gòu)并根據(jù)業(yè)務(wù)性質(zhì)對風險進行分類，將不同層次、不同類別的風險管理職責分配至適當?shù)牟块T和人員。例如，企業(yè)可將戰(zhàn)略風險管理的職責分配至類似于戰(zhàn)略規(guī)

6、劃部這樣的部門將市場風險管理職責主要分配至業(yè)務(wù)經(jīng)營部門，將財務(wù)風險主要分配至財務(wù)部門，而將跨部門的職責主要分配至專門的風險管理部門或其它綜合管理部門等。2內(nèi)部控制的涵義COSO于1992年《內(nèi)部控制——整合框架》中將內(nèi)部控制定義為由一個企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：(1)財務(wù)報告的可靠性；(2)經(jīng)營的效果和效率；(3)符合適用的法律和法規(guī)。這一定義獲得了理論界和實務(wù)界的廣泛支持。我國的《企業(yè)內(nèi)部控

7、制基本規(guī)范》(2008)、《中國注冊會計師審計準則——了解被審計單位及其環(huán)境并評估重大錯報風險》(2006)、《上海證券交易所上市公司內(nèi)部控制指引))(2006)、《深圳證券交易所上市公司內(nèi)部控制指引》(2006)等規(guī)范或指南中對內(nèi)部控制概念的定義均與COSO報告(1992)相類似。事實上，COSO于1992年發(fā)布內(nèi)部控制報告的初衷是幫助審計師發(fā)現(xiàn)財務(wù)報告的舞弊行為，而COSO于2004年發(fā)布的關(guān)于風險管理的報告則是在企業(yè)面臨風險因素復(fù)

8、雜化的背景下而發(fā)布。2004年報告秉承的是“整合”風險管理和內(nèi)部控制的思路，旨在將內(nèi)部控制框架納入到一個更充分關(guān)注風險的風險管理框架當中。從其概念內(nèi)涵上，內(nèi)部控制是管理層為實現(xiàn)既定的管理目標，而在企業(yè)內(nèi)部實施的各種制約和調(diào)節(jié)的組織、計劃、方法和程序。它同樣是一個管理過程。這個過程需由人員來進行，由此同樣需要將企業(yè)內(nèi)部管理劃分為企業(yè)整體、分支機構(gòu)、業(yè)務(wù)單位以及子公司等不同級次繼而根據(jù)業(yè)務(wù)的性質(zhì)統(tǒng)計與決策2009年第9期(總第285期)17

9、7劃分為不同管理流程，為不同管理流程設(shè)置適當?shù)牟块T、安排人員、分配職責等。從全面風險管理和內(nèi)部控制這兩個概念的涵義可看出雖然兩者的出發(fā)點和具體目標并不完全相同，但兩者在概念內(nèi)涵上具有內(nèi)在的一致性，它們不應(yīng)當作為兩套獨立的管理體系而存在。具體地，兩者應(yīng)當有機融合地必要性在于：(1)在保障企業(yè)總體可持續(xù)發(fā)展目標實現(xiàn)的過程中兩者的根本目標和作用是一致的。即兩者都是要維護投資者的利益，保全企業(yè)資產(chǎn)，并創(chuàng)造新的價值。根本目標和作用的一致是兩者理當

10、有機融合的理論基礎(chǔ)(2)從管理效率角度考慮，內(nèi)部控制與全面風險管理工作應(yīng)當由企業(yè)同一套組織機構(gòu)和人員來完成，企業(yè)不能為之設(shè)置兩套工作小組。為此，企業(yè)在組織機構(gòu)設(shè)置、人員權(quán)責分配中，除專業(yè)管理功能之外，需充分考慮內(nèi)部控制、風險管理職責的分配，使執(zhí)行人的崗位職責至少由三大類職責組成，即，專業(yè)管理、內(nèi)部控制、以及風險管理。這三大類職責相輔相成，它們應(yīng)當是每個關(guān)鍵崗位職責的有機組成部分以出納崗位為例，一個可供參考的三大類職責具體可由以下內(nèi)容組成

11、：表1出納的崗位職責內(nèi)容組成職責所屬類別具體內(nèi)容復(fù)核收付款憑證，辦理相關(guān)手續(xù)；專業(yè)管理現(xiàn)金、支票及各種有價證券的管理；收取銀行對賬單，及時核對未達賬項；出納與會計崗位的職責分離：對收付款憑證的復(fù)核：內(nèi)部控制保護貨幣資金、相關(guān)票據(jù)、印章的安全；確保貨幣資金實物與賬務(wù)記錄相符；貨幣資金流動的分析；識別和分析貨幣資金相關(guān)內(nèi)部控制設(shè)計和執(zhí)行中存在的運崔全面風險管理風險：對貨幣資金流動情況進行分析，查找可能存在的財務(wù)岡險：(3)在管理過程中必須將

12、全面風險管理和內(nèi)部控制有機融合。內(nèi)部控制的建立與風險管理的要求相并存，正是因為存在各種各樣的風險。才需要有內(nèi)部控制系統(tǒng)為其作保障；而全面風險管理則需要通過企業(yè)管理的流程，防范和控制企業(yè)風險，實現(xiàn)企業(yè)的經(jīng)營目標。因此，是否能夠在管理職能的執(zhí)行過程中實現(xiàn)兩者的有機融合，是全面風險管理與內(nèi)部控制成敗的關(guān)鍵。以應(yīng)收賬款管理為例。其所涉及的關(guān)鍵控制環(huán)節(jié)與其風險管理要點的結(jié)合如表2分析所示：此外內(nèi)部控制體系設(shè)計和運行中存在的風險，是全面風險管理的重

13、要內(nèi)容之一因為全面風險管理需要考慮來自于企業(yè)內(nèi)、外部各項風險，而內(nèi)部控制風險是企業(yè)內(nèi)部風險的重要組成內(nèi)容之一。并且，在構(gòu)建全面風險管理體系時，需對風險管理的不相容職責進行系統(tǒng)的分析。與其他管理活動一樣風險管理同樣涉及不相容職責的問題，例如，風險分析和風險評估風險應(yīng)對策略與策略方案的選擇等，應(yīng)由不同部門或人員承擔以相互牽制。178統(tǒng)計與決策2009年第9期(總第285期)表2應(yīng)收賬款管理中的內(nèi)部控制及風險管理所屬內(nèi)部控制流程：銷售與收款流

14、程所屬風險類別：運營風險執(zhí)行主體內(nèi)控關(guān)鍵環(huán)節(jié)風險管理要點董事會、高級管理組織機構(gòu)、崗位設(shè)置的風險管理職責被合理地分配到層、戰(zhàn)略規(guī)劃部門、合理性、是否確保不相適當?shù)慕M織機構(gòu)和崗位，確保人力資源部門等容職責的分離風險管理不相容職責的分離業(yè)務(wù)經(jīng)營部門、信用管理制度的設(shè)計和信用政策的設(shè)計，信用風險相財務(wù)部門執(zhí)行關(guān)信息的收集業(yè)務(wù)經(jīng)營部門、賒銷的授權(quán)批準應(yīng)收賬款授權(quán)審批相關(guān)的運營財務(wù)部門風險信息的收集與處理業(yè)務(wù)經(jīng)營部門、應(yīng)收賬款持有期間的管應(yīng)收賬款

15、持有期間的信用風財務(wù)部門理，包括對賬、收款、催險、運營風險信息收集、評估及收、核銷、清查管理應(yīng)對財務(wù)部門、會計系統(tǒng)控制、記錄及信用風險評估及應(yīng)對業(yè)務(wù)經(jīng)營部門分析監(jiān)督和評價應(yīng)收賬款相關(guān)風險審計委員會、對應(yīng)收賬款內(nèi)部控制工管理工作的有效性內(nèi)部審計部門作的監(jiān)督和檢查基于上述分析，內(nèi)部控制和全面風險管理只有充分結(jié)合，兩者才能充分發(fā)揮作用，真正為企業(yè)創(chuàng)造價值。4實現(xiàn)風險管理與內(nèi)部控制有機融合的政策建議目前，在我國企業(yè)管理實踐中，全面風險管理與內(nèi)部

16、控制未能實現(xiàn)真正的融合。由此影響到其作用的真正發(fā)揮。為此提出以下改進建議：(1)協(xié)調(diào)外部監(jiān)管制度。目前，我國監(jiān)管機構(gòu)關(guān)于全面風險管理和內(nèi)部控制的監(jiān)管制度的制訂，分屬于不同的制度框架內(nèi)而沒有一個統(tǒng)一的規(guī)則來協(xié)調(diào)各項制度的內(nèi)容這是形成目前我國企業(yè)管理實踐未能將二者有機融合的重要原因之一。(2)從企業(yè)內(nèi)部來看，設(shè)計和執(zhí)行內(nèi)部管理體系時應(yīng)當充分考慮全面風險管理和內(nèi)部控制的融合點。為此，應(yīng)當從分析每一個關(guān)鍵管理環(huán)節(jié)所需的內(nèi)部控制措施及其全面風險管

17、理要求出發(fā)，設(shè)計適當?shù)墓芾沓绦驅(qū)⑾嚓P(guān)職責充分體現(xiàn)到企業(yè)內(nèi)部制度體系的設(shè)計當中，并在管理實踐中實現(xiàn)二者的有效融合。(3)執(zhí)行以風險為導(dǎo)向的內(nèi)部審計工作。在內(nèi)部控制框架中內(nèi)部審計體系是五大內(nèi)控要素之一“監(jiān)控”的主要組成內(nèi)容。內(nèi)部審計應(yīng)當評價內(nèi)部控制的有效性，并對公司的治理結(jié)構(gòu)行使監(jiān)管和督導(dǎo)職能；在全面風險管理框架中，內(nèi)部審計作為監(jiān)督和改進風險管理的主要手段，應(yīng)當對全面風險管理工作及其工作效果進行監(jiān)督評價，提交綜合評價報告。以風險為導(dǎo)向的內(nèi)部