企業(yè)內部控制與全面風險管理的關系淺述

【摘要】一個成功的企業(yè)絕對不能只靠一種體系實現(xiàn)其戰(zhàn)略目標。部分企業(yè)管理者對于兩種體系關系的理解尚處于模糊地帶。為此，本文首先從內涵上界定兩種體系，然后分析兩者的聯(lián)系與差異，最后強調企業(yè)只有兩種體系雙管齊下，根據自身具體情況建立必要的制度，才能使穩(wěn)定發(fā)展成為可能。

【關鍵詞】內部控制 全面 風險管理

一、內部控制與全面風險管理的內涵

（一）內部控制的內涵

1992年9月，《內部控制—整合框架》出臺，在內部牽制和內部控制結構兩個階段后，創(chuàng)新性地提出內部控制的新定義。內部控制是由主體的董事會、管理層、其他人員共同遵守執(zhí)行，力圖實現(xiàn)經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規(guī)三大目標的一種控制手段。相較于之前兩個階段，整合框架更加具體細化，明確了內部控制的意義、目標、要素，但對風險的強調不足，存在一定的局限性。

（二）風險管理的內涵

2004年9月，COSO發(fā)布了《企業(yè)全面風險管理—整合框架》，首次對全面風險管理給出了明確的定義。該框架指出：全面風險管理是一個過程，它由全員參與實施，應用于戰(zhàn)略制定且貫穿在流程始末，目的是識別潛在事項、把控風險容量，為目標實現(xiàn)提供合理保證。它將內部控制上升到風險管理的高度來認識，拓展范圍，加強兩者的聯(lián)系。

二、內部控制與全面風險管理之間的聯(lián)系

（一）要求“三全性”

無論是內部控制還是風險管理，始終圍繞“全員參與、全面覆蓋、全程控制”三方面來規(guī)范企業(yè)管理，任何一個方面的缺失都會對企業(yè)造成致命性打擊。全員參與即是“積極參與主動負責”，是對于人員基本素質的要求；全面覆蓋是指“涵蓋企業(yè)所有事項，包含各個層級環(huán)節(jié)，實現(xiàn)多重目標控制”，是對業(yè)務范圍的界定；全程控制強調“事前、事中、事后三種控制環(huán)環(huán)相扣，逐步遞進，彼此配合”，是對運營流程的規(guī)范。

（二）強調過程性

從上文兩者的定義中我們可以發(fā)現(xiàn)，兩個框架最終落腳點分別是內部活動與管理手段，都是企業(yè)在長期時段上持續(xù)的活動流程，而不是固定靜止在某一時點上。兩者強調的是企業(yè)是否為了自身長遠發(fā)展而有效實施了風險管理或者內部控制的各個環(huán)節(jié)，而不局限于考察某一片刻的企業(yè)治理與監(jiān)督狀況，將兩者作為企業(yè)日常運營的基本制度，規(guī)范企業(yè)日常運營，為實現(xiàn)企業(yè)長遠穩(wěn)定發(fā)展的戰(zhàn)略目標服務。

（三）根本目的一致

企業(yè)在把握發(fā)展機遇的同時必須重視對風險點的預先甄別，不能被動地等待風險的應對，對風險的敏感度與防控能力決定了企業(yè)收益成本的相對大小；另外，由于股份有限公司的出現(xiàn)，“委托—代理”問題一直是公司管理的重點。如何有效降低道德風險與逆向選擇，使所有者與經營者間信息透明化、企業(yè)與社會公眾間信息真實可靠，切實保護各方尤其是社會公眾的利益成為公司的首要目標。

（四）含有相同的五種要素

ERM框架與內部控制的構成要素基本相同，都包括環(huán)境、風險評估、控制活動、監(jiān)督、信息與溝通五方面。只是ERM框架將風險評估進行了具體深化，強調對風險的預先識別、大小衡量、應對策略，將風險意識貫穿到整個流程中，使兩種體系的結合更加緊密。總的看來，內部控制是全面風險管理的一部分，兩種體系的方向是大致相同的。

（五）都只能為主體目標實現(xiàn)提供合理保證

“經營效率提高、經營管理合法、財務報告真實完整”是風險管理與內部控制的三個共同目標。由于兩種體系自身的局限性，企業(yè)采取兩種體系只能為目標實現(xiàn)提供合理保證，而不是絕對保證。成本效益原則的約束、特殊非日常業(yè)務的監(jiān)管難度大、企業(yè)員工素質不高、內部傳統(tǒng)舞弊、管理者越權以及制度無法適應環(huán)境的高速變化等現(xiàn)實問題共同構成了企業(yè)主體目標實現(xiàn)道路上的多重障礙，僅僅依靠兩種體系來制約企業(yè)的運營顯然微不足道。

三、區(qū)別

（一）涵蓋內容的廣度不同

全面風險管理實際上涵蓋了內部控制的大部分內容。內部控制包含的內容較為狹窄，而全面風險管理涉及的方面更為廣泛，包括理財、組織職能、策略制定、信息系統(tǒng)和內部控制系統(tǒng)等。兩者作用的環(huán)節(jié)也有差別。全面風險管理在企業(yè)生產經營中起到承上啟下的作用，貫穿始末，其中強調“目標制定，時間識別，風險分析，風險應對”，加強了事前的對風險的預測。而內部控制主要是事中和事后的控制，具體到企業(yè)則是制定流程，表現(xiàn)為制定各項規(guī)章制度和設計各種賬冊表單，僅僅是管理的一種職能。

（二）目標設定不同

全面風險增加了戰(zhàn)略目標，并擴大了報告目標的范疇。ERM框架指出，企業(yè)風險管理應貫穿于戰(zhàn)略目標的制定、分解和執(zhí)行過程，為戰(zhàn)略目標的實現(xiàn)提供合理保證。報告范疇擴大是指，內部控制中的財務報告目標只與公開披露的財務報表的可靠性有關，而ERM框架中的財務報告范圍覆蓋了企業(yè)編制的所有報告。

（三）應對風險的策略不同

兩種體系對于風險都有相應的應對措施，但是風險意識的強弱不同，采取策略的思維順序不同。內部控制并不刻意強調風險意識，更傾向于被動接受風險，因此采取的是先識別后控制的順序型策略，方法較為狹窄，對風險的控制程度弱。而全面風險管理則區(qū)分了機會和風險，強調要主動識別風險，通過風險的組合、分散、轉化及弱化等一系列策略使得風險造成的損失降到最低，采取了多向發(fā)展的全面型策略，方法形式多樣，風險防范效果更好。

四、結論

對現(xiàn)代企業(yè)而言，具體全面的管理制度和監(jiān)督流程是必不可少的。風險管理與內部控制看似相互獨立，實則聯(lián)系緊密、互為補充。企業(yè)決不能將兩者混為一談，但也不能全然分離。管理當局應當意識到任何一種單獨的體系都有其固有局限性，單純將一種體系作為公司長遠發(fā)展的推動力是遠遠不夠的，即便是運用多種體系也不能絕對保證企業(yè)的長期有效運營。現(xiàn)階段，企業(yè)應當充分運用已有的兩種體系，針對公司治理結構框架、內部機構設置、人員組成形式等特點有側重地應用內部控制和全面風險管理制度，將兩種制度的效能發(fā)揮到最大，從進而實現(xiàn)企業(yè)的長期戰(zhàn)略目標和短期經營目標。

參考文獻

[1]張燕.企業(yè)內部控制與全面風險管理[J].山西焦煤科技，2007（12）.

[2]應榮鳳.企業(yè)內部控制與全面風險管理探析[J].經營管理者，2008（17）

[3]陳曉更.論企業(yè)建立全面風險管理體系的必要性[J].會計之友，2008（09）.

作者簡介：劉靚倩（1993-），女，漢族，四川成都人，就讀于西南財經大學會計學院。

（編輯：張慧）