就实质而言,内部控制的最终目标是为了控制和管理企业所面临的一切风险。得控则强,失控则弱,无控则乱,正是完善的内部控制有效运行对于企业管理的重要性之体现。随着人们对内部控制与风险管理重要性认识的不断提高,内部控制实践已经发展到与风险管理相融合的新时代。
现代经济环境风云莫测,任何组织都不可能在一个真空的状态下运营,无处不在的风险时刻威胁着企业的生存与发展。对众多风险进行有效管理是企业可持续发展过程中必须具备的重要能力和企业构筑内部控制体系所要关注的内容。
就实质而言,内部控制的最终目标是为了控制和管理企业所面临的一切风险。得控则强,失控则弱,无控则乱,正是完善的内部控制有效运行对于企业管理的重要性之体现。随着人们对内部控制与风险管理重要性认识的不断提高,内部控制实践已经发展到与风险管理相融合的新时代。
内部控制与风险管理之间有着密切关系。企业内部控制与风险管理两者之间具有一致性,主要表现在三个方面:
企业内部控制以及风险管理的实现都需要各方的参与;
两者都贯穿于企业的整个日常经营管理活动当中;
两者的最终目的都是要实现企业的价值
具体来看,企业的内部控制是包含在企业的风险管理当中的,属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,比内部控制更加细化,能够更好地解决企业经营活动当中所出现的各种各样的风险问题。内部控制所发挥的主要作用则是体现在会计控制以及审计活动方面。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉且相互融合,最终相互统一。
0102
内部控制与风险管理的融合
关于内部控制与风险管理的关系,有两种截然不同的观点—一种观点认为二者是一对既相互联系又互有区别的概念,无法完全相互替代;另一种观点认为,二者是同一事项的不同术语,没有本质上的区别,可以相互替代。之所以有这两种观点的对立,主要是因为学者们对内部控制与风险管理内涵与外延的界定不同,前者把内部控制作为风险管理的一个步骤和手段,或者是把风险管理作为内部控制的一部分,而后者是把内部控制与风险管理完全等同。
据调查显示,应当进一步加强风险管理和内部控制框架、准则、指引的一致性。而在实践中,内部控制和风险管理已经在逐渐融合了。
1992年,COSO发布《内部控制——整合框架》,2004年,又发布了《企业风险管理——整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。我国《企业内部控制基本规范》和《中央企业全面风险管理指引》从不同视角体现了内部控制与风险管理相融合的理念。
《企业内部控制基本规范》把内部控制作为一个较大的概念,包括了风险管理的内容;而《中央企业全面风险管理指引》把风险管理作为一个较大的概念,把内部控制作为企业控制风险的主要措施。在很多工作中,包括在系统设计中,内部控制和风险管理一定要融合,而不是分开的。内部控制与风险管理走向融合是一个必然的趋势。简单地说,无论是内部控制还是风险管理,都是基于风险防范的需要而存在和发展的,都是作用于风险。
从理论上讲,内部控制与风险管理逐渐走向融合体现在:一是概念趋同。内部控制与风险管理的概念虽然还没有达成共识,但两者均是合理保证目标实现过程的观点已经越来越被人们所普遍接受。二是目标相同。
内部控制与风险管理的目标虽然有很多种表述,但实质上都是为了防范风险,把风险控制在可控范围内。三是程序一致。内部控制与风险管理的程序虽然基于不同规范的不同要求,在形式上不完全一致,但都强调要风险识别、风险评估、风险应对和风险控制等基本程序,这在实质上是基本一致的。四是方法互用。内部控制经常运用风险管理的方法,而风险管理也经常运用内部控制的方式方法。
要实现内部控制与风险管理的融合,确实是一件说起来容易做起来很难的事情。这里的阻力不仅仅来自学术界,还来自各国政府下属的监管机构。内部控制与风险管理的异同,在理论上可以归纳出好多点,但是说要把二者融合在一起,对于长期致力于内部控制或风险管理领域研究的专家而言,于情于理都是难以接受的。不同的政府监管部门,甚至是同一监管部门的内部,有要求构建内部控制的,有要求强化风险管理的,使得被监管者无所适从。
而在实践中,大多数企业已经把内部控制和风险管理两方面工作融合了。无论人们如何看待内部控制与风险管理的关系,内部控制与风险管理亦逐渐走向融合,这是大势所趋。
0202
内部控制与风险管理的协同
内部控制在企业内部有着极其重要的现实价值,其对企业在具体的经营活动和风险防范方面有着监督、约束、防范的作用。既然内部控制与风险管理已经融合,那么在实际工作中,对于内部控制和风险管理的建设就应该协同进行。没有必要对同一目标下的事项制定两套手册或指南,只要把控制和风险融合在一起共同制定一套制度即可,以减少不必要的重复和浪费。
没有必要既设立内部控制部门,又设立风险管理部门,而综合建立一个风险控制部门就够了。在事项上,不仅要把内部控制与风险管理整合起来,还应该与公司治理整合起来,把风险控制系统整合到治理、战略和运营中。企业需要做的就是要对高风险领域给予足够的重视,要不断地强化风险意识,要把风险管理理念运用到内部控制当中。
企业只有不断把内部控制和企业的风险管理进行有机结合,完善自身的内控制度,努力强化员工的内控意识,才能建立起风险管理的壁垒,从而对风险进行有效防范,并积极应对。
在实施内部控制的过程中,应不断理顺各种关系,形成内部控制与风险管理的相互促进,二者之间必定会相互交叉、相互融合、相互协同、相互促进,最终相互统一,从而形成一个良性循环,才能确保企业持续健康地向前发展。