相比国际其他发达国家,我国的企业内部控制制度起步较晚,直到 1996 年,财政部颁发的《会计基础工作规范》中才对内部控制制度做出了具体的规定。颁布于 2010 年 4 月 26日的《企业内部控制评价指引》和《企业内部控制审计指引》,标志着适应我国企业实际情况、融合国际先进经验的“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系基本建成。在日益激烈的市场竞争中,企业内部控制制度的建立和完善对国有乃至民营企业都是至关重要的一环,这些完善必然源自企业自身的问题之中。而风险管理下的内部控制,更是必不可少的核心问题。
1 风险管理与内部控制的关系
内部控制与风险管理的关系并不十分明确,就连国内外的学者也有不同的观点,这些观点主要有: 内部控制是风险管理的组成部分,内部控制包含风险管理,以及二者之间是等价的。本文认为分析任何事物之间的区别与联系,不能割裂事物所赖以存在的特定的外部环境来考虑。唯物主义辩证法告诉我们,任何事物都是一个不断发展变化的过程。因此,我们应该结合经济环境的变化,动态的看待风险管理与内部控制的关系,综合分析两者的相同与不同之处,也许就会豁然开朗。
1. 1 风险管理和内部控制的不同点
第一,两者的范畴有所不同。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标; 而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
第二,两者的活动有所不同。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
第三,两者对风险的定义有所不同。在 COSO 委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”( 将产生正面影响的事件视为机会) ,将风险与机会区分开来; 而在 COSO 委员会的内部控制框架中,没有区分风险和机会。
第四,两者对风险的对策有所不同。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制中没有的,也是其所不能做到的。
1. 2 风险管理和内部控制的相同点
第一,两者的实施参与主体相同。即都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,两者的性质都是动态持续的过程。不论是风险管理还是内部控制,都不是单独或额外的活动,而是与企业运转并存,内置于企业日常管理过程中,作为一种常规运行的机制来建设的动态持续性行为。
第三,两者的企业目标相似。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。
另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略( 包括经营目标) 制定过程。
第四,两者的组成要素重合。风险管理的八要素中包含了内部控制的五要素( 即内部环境、风险评估、控制活动、信息与沟通、监督) .这些重合是由它们目标的多数重合及实现机制相似决定的。
1. 3 风险管理和内部控制的融合与统一
无论范围或者内容的不同,无可辩驳的一点是---风险管理与内部控制两者密不可分。现今世界行业复杂化,不同行业不同时刻不同外部环境下,企业的侧重点都可能发生变化。然而从上文我们可以看出,风险管理和内部控制的相同点都在于核心,不同点多侧重于范围能外围。当前,两者都只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,然而随着内部控制或风险管理的不断完善,它们之间必然相互联结、融合,直至统一。
2 基于风险管理的企业内部控制问题分析
自我国于 2001 年 12 月 11 日正式加入世贸组织以来,我国的企业所遭遇的企业风险越来越复杂和多样化。既有战略风险、财务风险,也有运营风险和法律风险。上面的四种风险,并不能简单的区分开来,因为,现实中一种风险的发生往往也伴随着其他风险的爆发。风险管理上的复杂性和多样性情况对我国的企业来说是前所未有的。目前,我国的内部控制规范体系,无法很好的适应这种多样性和复杂性的风险识别和风险评估制度,存在很多明显的不足。
2. 1 风险管理下企业内部环境的松散和管理层的应对消极
由于我国经济社会运行时间较短,企业管理层往往都是因国家制度或者监管而被动设立内部控制的制度或者体系,很多都是一个空有架构,没有实际运作功能的“空架子”,在风险来临时,企业内部控制中应对风险的措施不能迅速运行起来,公司治理结构松散无力,内部审计缺失,人力资源政策混乱等,才会导致企业在风险面前显得如此不堪一击。导致这些主观上的不足的根本原因就在于管理层对于内部控制体系构建的不重视。因为管理层对内部控制体系构建的忽视,公司自身的治理结构才会不够权责分明,企业文化中也缺失了进行风险应对的积极性。企业内部环境才会如此松散,失去了本身应该具有的应对风险管理和调节能力。这都是风险管理下企业内部的不足和主要问题所在。
