論內部控制與全面風險管理的關系與應用

李巖

【摘 要】隨著公司業務規模和業務復雜度的不斷增加，加強控制、防范風險、健康發展成為公司管理的前提和主題。本文針對內部控制和全面風險管理的關系，從國內外理論研究及具體實踐等層面進行分析，明確公司通過建立并完善風險控制體系，提升價值及核心競爭力的重要作用。

【關鍵詞】內部控制;全面風險管理

一、內部控制和全面風險管理的內涵分析

1.內部控制

內部控制是社會經濟發展到一定階段的產物，其真正得到發展和完善則是在20世紀40年代以后。目前應用最普遍的是美國反虛假財務報告委員會下屬的發起人委員會（以下簡稱COSO委員會）對內部控制的定義，即內部控制是受企業董事會、管理層和其它員工的影響，旨在為取得經營效果和效率、財務報告的可靠性、遵循適當的法規等而提供合理保證的一種過程。把內控活動分為控制環境、風險評估、控制活動、信息與溝通、監督與評審等五部分。

我國企業內部控制標準委員會以法規形式發布的《企業內部控制基本規范》對內部控制的定義是：內部控制是由企業董事會、監事會、經理層和全體員工共同實施的，旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。其要素是內部環境、風險評估、控制活動、信息與溝通、內部監督。

國內外的理論方向大體趨同，都認為內部控制是一個過程，內部控制的主體都是董事會、經理層及其他所有員工，強調全員性和全過程。兩者對內部控制的要素即內容界定也大致相同。財政部的“內部環境”相對于COSO的“控制環境”的內涵略寬泛一些。財政部的“信息與交流”、“內部監督”和COSO的“信息與交流”、“監督評審”在內涵上無大的差別。國內對內部控制的目標界定更寬泛，增加了資產安全、發展戰略實現兩個目標。

2.全面風險管理

2004年，基于頻繁發生的企業風險事件，COSO委員會發布了《企業風險管理-整合框架》，給企業風險一個綜合定義。COSO委員會認為：“企業風險管理是一個過程，是由企業的董事會、管理層以及其他人員共同實施的，應用于戰略制定及企業各個層次的活動，旨在識別可能影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理的保證”。企業的目標包括戰略目標、經營目標、報告目標和合規目標。全面風險管理要素包括內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。全面風險管理涉及到的企業層級包括整個企業、各職能部門、各條業務線及下屬各子公司。

2006年，國務院國有資產監督管理委員會在《企業風險管理-整合框架》上，印發了《中央企業全面風險管理指引》，將企業風險定義為未來的不確定性對企業實現其經營目標的影響。所謂全面風險管理，是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

風險管理對象都是針對企業經管理中的不確定性。兩者都提到了“風險偏好”，根據企業的風險偏好與承受度來管理風險，要求風險管理與企業的實際情況緊密結合。但兩者的側重略有不同，COSO委員會提出的是風險管理的整體框架，側重風險管理的內容與思路，而國資委更側重風險管理的程序與方法。

二、內部控制與全面風險管理的關系解析

1.內部控制與全面風險管理的相關性

內部控制是企業全面風險管理的基礎，同時內部控制也是全面風險管理不可或缺的重要組成部分。

（1）目的原則理念一致。無論描述是否一致，均認為風險管理是一個過程，需要董事會、公司管理層和其它員工共同參與，并為公司戰略目標的實現提供合理保證。兩者的目標都是為實現企業經營目標和健康穩定運營提供合理保障。

（2）全面風險管理涵蓋了內部控制，是內部控制的拓展與延伸。COSO委員會《企業風險管理-整合框架》與國資委《中央企業全面風險管理指引》均明確指出內控系統是全面風險管理系統的一個子系統。

（3）內部控制是風險管理不可分割的組成部分，是落實風險應對措施的手段之一，但不是唯一手段。內部控制是必要的、有效的風險管理方法，但內部控制并不能控制所有風險，風險管理的手段也不僅僅有內部控制。

2.內部控制與全面風險管理的差異性

（1）兩者的管理范疇不一致。內部控制只是管理其中的一項職能，內部控制主要是通過事中和事后控制來實現控制目標。而全面風險管理則貫穿于管理過程的各個方面，不僅體現在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。

（2）兩者的管理活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。最明顯的差異在于內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。

（3）兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中，把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”（將產生正面影響的事件視為機會），將風險與機會區分開來;而在COSO委員會的內部控制框架中，沒有區分風險和機會。

（4）兩者對風險的應對策略不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，有利于企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前臺決策流程等，從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有的，也是其不可能做到的。

三、基于管理實際構建內部控制與全面風險管理體系

遼寧移動公司當前正面臨改革轉型的嚴峻挑戰，粗放式經營方式已經不能適應發展和風險管控需要，雖然內控制度已經建立多年，全面風險管理也于2014年在省公司層面開展試運行，但仍未實現系統化、體系化管理，存在做表面文章等問題，需要盡快轉變長久以來的固有的慣性思維定式，努力構建體現全面風險管理的內部控制新機制，賦予內部控制新內容，助力公司健康持久運營。

1、設立全面風險管理的專業管理部門，直接向公司管理層匯報，保持獨立性和權威性的原則。進一步明晰責任，提高信息溝通效率。為了提高工作效率與質量，風險管理部門首先要梳理職責分工，又要保證流程的連續性。

2、以內部控制度為抓手，深入推進全面風險管理體系的建立。持續更新《中國移動內部控制手冊》，進一步闡明公司開展內部控制和風險管理工作的原則和要求，使公司更好的遵循相關監管規定，合理保證財務報告的真實性和完整性，提升公司的經營效率和效果，完善長效務實的全面風險管理機制。

3、構建切合實際的內部控制評價機制。組織內部廣泛開展以“深化內控理念，落實內控措施”為主題的激活內控活力的活動。通過確定風險控制環節，分解、落實部門和崗位管理職責，并對各單位、各部門的控制狀況進行檢查、評價和考核，強化風險管理責任，提高全員風險防范的意識和能力，從而全面有效地控制經營風險。以內控管理為抓手，進一步推進全面風險管理，實現從風險管理部門的防范轉向全公司、全員防范，將內部控制管理由個人行為和操作行為提升到整個單位的整體行為，推進內控和風險管理管理水平不斷上新臺階。