风险管理与内部控制探析.docx

    风险管理与内部控制探析    马军 骆良彬（集美大学工商管理学院福建厦门361021）Reference：2008年雷曼兄弟、美林和AIG公司的相继破产或重组，给社会公众和投资者带来巨大的恐慌，美国股市连续暴跌创下近年来的最低金融危机的噩梦虽然正渐渐的淡去，但越来越多的学者认为风险管理和内部控制的薄弱是导致这场危机的导火索，于是在理论界和实务界掀起了新一轮研究风险管理和内部控制的热潮本文就风险管理与内部控制的含义、关系及我国企业内部控制存在的问题进行探讨，并对存在的问题提出改进建议Keys：风险管理 内部控制 关系 问题一、风险管理与内部控制的含义（一）风险管理的含义风险是伤害、损毁或损失的机会，或是损失的可能性程度任何企业都处于风险之中由于风险具有不确定性，风险可以分为两个方面：一是对企业发展不利的情况，称之为损失，即一般意义上的风险含义；二是对企业发展有利的情况，称之为机会，是因为由于风险的存在，企业可获取超额收益因此我们不能一味的否定风险，而应通过系统的方法合理评估和管理风险，使其在企业可承受范围之内，发挥积极作用COSO委员会出台的《企业风险管理框架》报告中将风险管理定义为：“全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，从企业战略制定开始贯穿至企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业既定的目标。

从该定义可看出，风险管理是企业通过对潜在意外或损失的识别、衡量和分析，并在此基础上进行有效的控制，用最经济合理的方法处理风险，以实现最大的安全保障的科学管理方法二）内部控制的含义我国出台的《企业内部控制基本规范》认为，内部控制是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现以下目标的一系列活动：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循法律法规的有关监管要求从该定义可看出，内部控制是指一个单位为了实现其经营目标、保护资产的安全完整、保证会计信息资料的正确可靠、确保经营方针的贯彻执行、保证经营活动的效率性，而在单位内部采取自我调整、约束、规划、评价和控制的一系列方法、手续和措施的总称二、风险管理与内部控制之间的关系目前理论界和实务界对风险管理和内部控制之间的关系尚未达成共识，主要观点有三种：一是内部控制包含风险管理，风险管理作为一种理念融合在内部控制之中；二是风险管理包含内部控制，认为《企业风险管理框架》把内部控制的五要素扩展为八要素，在内部控制的基础上增加了目标设定、事项识别、风险应对三个要素，并且包含内部控制的五个要素；三是风险管理等同于内部控制，两者都是为管理企业风险服务的，没有本质区别。

笔者认为内部控制不等同于风险管理，但两者之间存在着千丝万缕的联系一）内部控制与风险管理的主要区别1．目的不同风险管理的目的是把风险意识根植于企业员工的脑海中，使他们在工作中及时发现、预测、评估和应对风险，权衡收益与成本，把风险降低到合理的水平，风险管理侧重于事先的发现与预测而内部控制是企业实现目标采取的政策和程序，仅仅是一项管理职能，侧重于事后和过程的控制2．范围不同风险管理分为企业外部风险和内部风险，具体包括市场风险、财务风险、利率风险、环境风险等，风险管理的对象是企业所面临的内外部风险，更倾向于全面风险管理内部控制则侧重于在企业内部环境的基础上管控企业风险，因此从两者管控风险的范围来说，风险管理的范围更大3．方法不同内部控制一般是通过定性的方法，对内部控制设计和运行的有效性进行衡量，并评价企业内部控制的有效性风险管理则是通过评估风险发生的可能性和风险对企业影响程度的大小乘积来实现对风险的定量评估，因此风险管理较内部控制更加精准二）内部控制与风险管理的主要联系1．风险管理与内部控制天然不可分割风险管理是内部控制的动力和源泉，内部控制所实施的一切政策和程序都是为了降低风险，使企业平稳地发展。

从矛盾的辩证统一中可发现，两者之间存在着很多交叉，但又存在着各自的特点，最终的目的都是降低企业风险2．风险管理与内部控制协同增效只依靠风险管理或内部控制都不能抵御市场的冲击，两者必须同时并用只有坚持以企业为中心，风险管理和内部控制两个基本点，两手抓两手都要硬的基本[来自www.Lw5U.com]原则，才能使企业平稳、健康地发展3．风险管理和[来自www.LW]内部控制有融合的趋势风险管理和内部控制虽有着各自的发展历程，但从《企业风险管理框架》中可以看出，内部控制和风险管理虽有诸多的不同，但也存在天然的联系，且两者的联系多过差异，因此，风险管理和内部控制必然会经历交叉、融合直至统一的过程三、企业内部控制存在的问题（一）企业内部控制意识淡薄，人员素质偏低我国对内部控制的研究起步较晚，虽已建立起相对完善的内部控制法律法规，但这些法律法规基本是按照国外经验直接引入，缺乏适应的过程再者，内部控制是一个长期的过程，需要投入大量的人力、物力且短期内成效并不明显，因此多数企业潜意识里并不想对内部控制投入大量的精力，导致企业内部控制意识薄弱内部控制的制定和执行需要具备相应专业素质的人才，但我国有关内部控制的专业人才相对比较缺乏，企业对员工的内部控制培训不够。

二）管理层凌驾于内部控制之上内部控制是由企业的董事会及高级管理层设计和制定的，主要服务于高层管理者控制资产、业务的需要，对中层管理者和业务操作者有较强的约束力，但对其制定者却缺乏有效监督同时我国大多数企业未建立起有效的现代公司治理机制，有的公司虽设立了董事会、监事会、审计委员会等，但实际上由于一股独大、内部人控制等原因，这些制度却形同虚设，不能发挥监督作用三）未建立内部控制风险系统我国企业未建立内部控制风险系统，内部控制缺乏有效的信息预警系统，对内部控制评价缺乏定量的数据来源由于我国内部控制起步较晚，虽建立起相对完善的法律法规，但很多是借鉴国外内部控制的先进经验，并不适合我国国情同时缺乏与之配套的内部控制信息收集系统，使得很多数据难以获得，给内部控制的评价考核带来一定的困难四）内部控制执行不力，实施难度大我国内部控制法规要求企业必须建立内部控制相关制度并披露内部控制信息由于法规的硬性规定使得许多企业只从表面上做工作，内部控制流于形式，并没有从企业实际出发，建立适合企业自身情况的内部控制制度同时对于内部控制的考核评价机制缺乏统一的标准，不利于内部控制的执行内部控制的建立投入较大，且在短期内成效不明显，使得有些企业管理者追求短期绩效而怠于实施内部控制。

四、从风险角度完善企业内部控制的建议（一）建立风险导向型内部控制，加强内部控制培训风险导向型内部控制的关键是以风险为切人点和重点对内部控制制度实施控制，在理论上重点从企业战略方向上管控；在实践上强调重视业务流程、规章制度和财务等方法；在业务层面上侧重运营和操作过程中的风险同时必须大力加强对相关人员的内部控制培训，让员工认识到风险的重要性，从而认真贯彻执行企业各项内部控制制度二）设立风险管理委员会，加大内部控制监督力度我国企业组织结构中对风险的管控大多由董事会或审计委员会进行，尚未建立独立的、专业的风险管理团队笔者建议应加紧建立起一批有专业素养的风险管理团队风险管理委员会最核心的是要保持独立性，能够对企业面临的风险进行客观的评估，能够真正行使手中的权利对企业面临的风险进行管控同时企业对于自身存在的一股独大、内部人控制现象要加强监督力度，建立有效的现代公司治理机制三）构建先进的风险管理信息预警系统企业面临的风险处于不断变化的过程之中，所以必须建立一个对风险进行实时收集、存储、处理、报告和披露的自动化系统才能有效地防范和管控风险一是建立起覆盖经营全过程的全面风险管理系统，将运营过程中的信息自动转化为会计信息，实现业务流程和财务信息一体化和同步化。

二是从业务流程风险监控和预警角度出发，建立涵盖企业风险管理流程的预警分析系统同时企业各部分要提高风险反应灵敏度，一旦发现可能存在风险的隐患，应及时汇报，把风险的影响降到最低四）构筑风险内控文化，加大内控实施力度企业文化是企业在长期经营活动中形成的并经过全体员工共同认可的经营理念和行为准则企业应树立起风险管理的价值理念，并把这种理念应用于内部控制的具体日常活动当中，使员工在工作中主动地发现和预防风险，从而降低风险的影响程度同时要认真开展内部控制培训教育工作，建立统一有效的内部控制评价考核标准，并对内部控制实行严格的奖惩措施综上所述，内部控制和风险管理有着各自的内涵，风险管理犹如内部控制的灵魂，失去了风险管理，内部控制就失去了方向；内部控制犹如风险管理的框架，失去了内部控制，风险管理就失去了依托Reference：1．谢志华．内部控制、公司治理、风险管理：关系与整合[J]，会计研究，2007，(10)．2．王晓玲．基于风险管理的内部控制建设[M]．北京：电子工业出版社，2010．3．昊水澎，企业内部控制理论的发展与启示．会计研究，2009，(5).  -全文完-。