全面風險管理與內控管理融合

1、全面風險管曩與內I控嗣的融合萬里霜(北京交通大學經濟管理學院，北京102208)摘要：文章針對目前企業(yè)管理中出現(xiàn)的全面風險管理和內部控制分屬兩套不同體系的情形進行分析。從比較兩個概念的實質內涵出發(fā)，認為兩者目標一致、執(zhí)行人同一，因而應當且必須在管理過程中充分融合。關鍵詞：全面風險管理：內部控制；管理過程；COSO報告中圈分類號：F272文獻標識碼：A文章編號：1002—6487(2009J09017702隨著組織結構和面臨風險的日益復雜

2、化，全面風險管理和內部控制逐漸為現(xiàn)代企業(yè)治理層和管理層所重視。然而，這兩個概念的實質內涵存在重要差別。在企業(yè)管理實踐中，容易將兩者作為單獨的管理體系來建立，而不能實現(xiàn)兩者的有機融合由此不但會降低企業(yè)的管理效率，同時也難以實現(xiàn)兩者的管理目標。本文致力于分析這兩個管理框架在性質上的區(qū)別和聯(lián)系尋找兩者有機融合的途徑，使其更好地保障和促進企業(yè)的持續(xù)、健康發(fā)展。1全面風險管理的內涵關于全面風險管理，尚沒有一個完全統(tǒng)一的概念框架。COSO報告(20

3、04)中的定義是：“全面風險管理是一個過程，這個過程受董事會、管理層和其它人員的影響，從企業(yè)戰(zhàn)略制定開始貫穿至企業(yè)的各項活動中用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內，從而合理確保企業(yè)既定的目標?！蔽覈鴩Y委頒布的《中央企業(yè)全面風險管理指引》，提出“全面風險管理，指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程培育良好的風險管理文化，建立健全全面風險管理體系”。在其它研究成

4、果或公開文件中還有其它的不同定義。不論如何定義，全面風險管理的實質是一個對風險進行管理的過程。這個過程可劃分為五大關鍵環(huán)節(jié)，如圖1所示：l竺竺堊竺竺蘭竺蘭垂7圖1全面風險管理的關鍵環(huán)節(jié)在全面風險管理的整個過程中，管理者需要識別和收集來自于企業(yè)內部、外部的風險信息，對各項風險因素的潛在影響及其影響程度采取一定的方法分析制定風險管理策略，進而采取一定的風險應對措施。其中的每一個關鍵環(huán)節(jié)，還可進一步細分為具有先后次序的一系列管理活動。例如，在

5、上圖中“風險評估”這個關鍵環(huán)節(jié)當中工作流程可作進一步的劃分，如圖2所示：找凰陵#=對矗陸的翩步劉斷=確認需再弁奇嚏照事=爿H睦描進躲il二——二許證章順殮墅堡“I夔性籌域馥的／_妁動娜、麓生豹簪件、表現(xiàn)黲響砭捎關關系圖2風險評估流程為了進行上述管理過程，企業(yè)的治理層和管理層需自上而下設置適當?shù)慕M織架構并根據業(yè)務性質對風險進行分類，將不同層次、不同類別的風險管理職責分配至適當?shù)牟块T和人員。例如，企業(yè)可將戰(zhàn)略風險管理的職責分配至類似于戰(zhàn)略規(guī)

6、劃部這樣的部門將市場風險管理職責主要分配至業(yè)務經營部門，將財務風險主要分配至財務部門，而將跨部門的職責主要分配至專門的風險管理部門或其它綜合管理部門等。2內部控制的涵義COSO于1992年《內部控制——整合框架》中將內部控制定義為由一個企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：(1)財務報告的可靠性；(2)經營的效果和效率；(3)符合適用的法律和法規(guī)。這一定義獲得了理論界和實務界的廣泛支持。我國的《企業(yè)內部控

7、制基本規(guī)范》(2008)、《中國注冊會計師審計準則——了解被審計單位及其環(huán)境并評估重大錯報風險》(2006)、《上海證券交易所上市公司內部控制指引))(2006)、《深圳證券交易所上市公司內部控制指引》(2006)等規(guī)范或指南中對內部控制概念的定義均與COSO報告(1992)相類似。事實上，COSO于1992年發(fā)布內部控制報告的初衷是幫助審計師發(fā)現(xiàn)財務報告的舞弊行為，而COSO于2004年發(fā)布的關于風險管理的報告則是在企業(yè)面臨風險因素復

8、雜化的背景下而發(fā)布。2004年報告秉承的是“整合”風險管理和內部控制的思路，旨在將內部控制框架納入到一個更充分關注風險的風險管理框架當中。從其概念內涵上，內部控制是管理層為實現(xiàn)既定的管理目標，而在企業(yè)內部實施的各種制約和調節(jié)的組織、計劃、方法和程序。它同樣是一個管理過程。這個過程需由人員來進行，由此同樣需要將企業(yè)內部管理劃分為企業(yè)整體、分支機構、業(yè)務單位以及子公司等不同級次繼而根據業(yè)務的性質統(tǒng)計與決策2009年第9期(總第285期)17

9、7劃分為不同管理流程，為不同管理流程設置適當?shù)牟块T、安排人員、分配職責等。從全面風險管理和內部控制這兩個概念的涵義可看出雖然兩者的出發(fā)點和具體目標并不完全相同，但兩者在概念內涵上具有內在的一致性，它們不應當作為兩套獨立的管理體系而存在。具體地，兩者應當有機融合地必要性在于：(1)在保障企業(yè)總體可持續(xù)發(fā)展目標實現(xiàn)的過程中兩者的根本目標和作用是一致的。即兩者都是要維護投資者的利益，保全企業(yè)資產，并創(chuàng)造新的價值。根本目標和作用的一致是兩者理當

10、有機融合的理論基礎(2)從管理效率角度考慮，內部控制與全面風險管理工作應當由企業(yè)同一套組織機構和人員來完成，企業(yè)不能為之設置兩套工作小組。為此，企業(yè)在組織機構設置、人員權責分配中，除專業(yè)管理功能之外，需充分考慮內部控制、風險管理職責的分配，使執(zhí)行人的崗位職責至少由三大類職責組成，即，專業(yè)管理、內部控制、以及風險管理。這三大類職責相輔相成，它們應當是每個關鍵崗位職責的有機組成部分以出納崗位為例，一個可供參考的三大類職責具體可由以下內容組成

11、：表1出納的崗位職責內容組成職責所屬類別具體內容復核收付款憑證，辦理相關手續(xù)；專業(yè)管理現(xiàn)金、支票及各種有價證券的管理；收取銀行對賬單，及時核對未達賬項；出納與會計崗位的職責分離：對收付款憑證的復核：內部控制保護貨幣資金、相關票據、印章的安全；確保貨幣資金實物與賬務記錄相符；貨幣資金流動的分析；識別和分析貨幣資金相關內部控制設計和執(zhí)行中存在的運崔全面風險管理風險：對貨幣資金流動情況進行分析，查找可能存在的財務岡險：(3)在管理過程中必須將

12、全面風險管理和內部控制有機融合。內部控制的建立與風險管理的要求相并存，正是因為存在各種各樣的風險。才需要有內部控制系統(tǒng)為其作保障；而全面風險管理則需要通過企業(yè)管理的流程，防范和控制企業(yè)風險，實現(xiàn)企業(yè)的經營目標。因此，是否能夠在管理職能的執(zhí)行過程中實現(xiàn)兩者的有機融合，是全面風險管理與內部控制成敗的關鍵。以應收賬款管理為例。其所涉及的關鍵控制環(huán)節(jié)與其風險管理要點的結合如表2分析所示：此外內部控制體系設計和運行中存在的風險，是全面風險管理的重

13、要內容之一因為全面風險管理需要考慮來自于企業(yè)內、外部各項風險，而內部控制風險是企業(yè)內部風險的重要組成內容之一。并且，在構建全面風險管理體系時，需對風險管理的不相容職責進行系統(tǒng)的分析。與其他管理活動一樣風險管理同樣涉及不相容職責的問題，例如，風險分析和風險評估風險應對策略與策略方案的選擇等，應由不同部門或人員承擔以相互牽制。178統(tǒng)計與決策2009年第9期(總第285期)表2應收賬款管理中的內部控制及風險管理所屬內部控制流程：銷售與收款流

14、程所屬風險類別：運營風險執(zhí)行主體內控關鍵環(huán)節(jié)風險管理要點董事會、高級管理組織機構、崗位設置的風險管理職責被合理地分配到層、戰(zhàn)略規(guī)劃部門、合理性、是否確保不相適當?shù)慕M織機構和崗位，確保人力資源部門等容職責的分離風險管理不相容職責的分離業(yè)務經營部門、信用管理制度的設計和信用政策的設計，信用風險相財務部門執(zhí)行關信息的收集業(yè)務經營部門、賒銷的授權批準應收賬款授權審批相關的運營財務部門風險信息的收集與處理業(yè)務經營部門、應收賬款持有期間的管應收賬款

15、持有期間的信用風財務部門理，包括對賬、收款、催險、運營風險信息收集、評估及收、核銷、清查管理應對財務部門、會計系統(tǒng)控制、記錄及信用風險評估及應對業(yè)務經營部門分析監(jiān)督和評價應收賬款相關風險審計委員會、對應收賬款內部控制工管理工作的有效性內部審計部門作的監(jiān)督和檢查基于上述分析，內部控制和全面風險管理只有充分結合，兩者才能充分發(fā)揮作用，真正為企業(yè)創(chuàng)造價值。4實現(xiàn)風險管理與內部控制有機融合的政策建議目前，在我國企業(yè)管理實踐中，全面風險管理與內部

16、控制未能實現(xiàn)真正的融合。由此影響到其作用的真正發(fā)揮。為此提出以下改進建議：(1)協(xié)調外部監(jiān)管制度。目前，我國監(jiān)管機構關于全面風險管理和內部控制的監(jiān)管制度的制訂，分屬于不同的制度框架內而沒有一個統(tǒng)一的規(guī)則來協(xié)調各項制度的內容這是形成目前我國企業(yè)管理實踐未能將二者有機融合的重要原因之一。(2)從企業(yè)內部來看，設計和執(zhí)行內部管理體系時應當充分考慮全面風險管理和內部控制的融合點。為此，應當從分析每一個關鍵管理環(huán)節(jié)所需的內部控制措施及其全面風險管

17、理要求出發(fā)，設計適當?shù)墓芾沓绦驅⑾嚓P職責充分體現(xiàn)到企業(yè)內部制度體系的設計當中，并在管理實踐中實現(xiàn)二者的有效融合。(3)執(zhí)行以風險為導向的內部審計工作。在內部控制框架中內部審計體系是五大內控要素之一“監(jiān)控”的主要組成內容。內部審計應當評價內部控制的有效性，并對公司的治理結構行使監(jiān)管和督導職能；在全面風險管理框架中，內部審計作為監(jiān)督和改進風險管理的主要手段，應當對全面風險管理工作及其工作效果進行監(jiān)督評價，提交綜合評價報告。以風險為導向的內部