吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:内部控制与企业风险管理

企业培训师观点:内部控制与企业风险管理

吉宁博士 2015年12月11日 企业培训师观点

内部控制是社会经济发展到一定阶段的产物,其内容随着企业对外满足社会需要、对内强化管理而不断丰富和发展。内部控制是现代企业管理的重要手段,建立有效的企业内部控制制度是经济管理工作的重要基础。不断完善企业内部控制制度,对于防范舞弊,减少损失,提升资本的获利能力,保障企业各项资产安全、完整具有积极的意义。

  但是进入21世纪,安然、世通和施乐等世界知名大公司的一系列财务丑闻,给广大投资者带来了严重的打击,同时也暴露了企业内部控制存在的问题。各国理论界和实务界认为当前的内部控制框架有一定的局限性,如对企业风险管理的强调不够,使得内部控制无法与企业风险管理相结合。一时间,企业风险管理成为人们关注的焦点,也作为企业战略管理中的核心登上了公司治理的舞台。2004年10月份COSO(CommitteeOfSponsoringOrganizationsOfTheTread-wayCommission)发布的《企业风险管理——整合框架》是在1992年报告的基础上,结合《萨班斯——奥克斯法案》的相关要求进行扩展研究得到的。该框架强化了企业风险管理,涵盖了原有内部控制的合理内容。风险管理的兴起对内部控制产生了重大的影响。COSO认为,内部控制是企业风险管理的一部分,企业风险管理框架是在内部控制整体架构基础上发展而来的,内部控制与风险管理有着密切的联系。

  目前在经济建设不断加快的背景下,中国企业要提升自身的国际竞争力以及在国际资本市场的信誉度,减少财务丑闻的发生,必须加紧改善自身的管理,建立完善的内部控制制度,识别和衡量企业所面临的内外部风险,并根据风险评估结果开展恰当的控制活动,消除或减少企业风险管理带来的损失,提升企业的应对能力和竞争力。同时,为了适应世界经济发展的形势,我国企业也迫切需要学习和借鉴国际上关于内部控制的理论研究成果。

  一、企业风险管理的概念剖析

  企业风险管理的定义目前主要有两种观点:其一是以美国学者威利特等为典型代表的静态学派,他们把风险理解为不确定事件。这种理解从企业风险管理与保险关系的角度出发,以概率的观点对风险进行定义。其二是以美国学者威廉姆斯和赛因斯为典型代表的动态学派,他们认为:“风险是在一定条件下,一定时间内可能产生结果的变动。”这种变动就是预期结果与实际结果的差异,意味着预期结果和实际结果的不一致或偏差。因此,这种变动越大,风险越大。

  另外,也有人将风险分为纯粹风险和投机风险两类。纯粹风险是指有可能带来损失的风险;投机风险是指既有可能带来损失,又有可能带来机会的风险,如股票投资,既可以为投资者带来丰厚的利润,也可能使投资者遭受重大的损失。

  对现代企业来说,风险是某种不利因素产生并造成实际损失致使企业目标无法实现或降低实现目标的效率的可能性。企业风险可以分为政策风险、战略风险、日常经营管理风险及财务风险。政策风险主要是国家宏观经济政策或行业政策改变导致企业所面临的风险;战略风险主要表现在企业的多元化经营与企业并购方面;日常经营管理风险按照日常运转的关键环节划分,主要包括供应风险、生产风险和销售风险;企业的财务风险则是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险。

  二、企业风险管理的演进历史及现状

  企业风险管理是采取一定的措施对风险进行检测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上。从职能上说,风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失,保证组织目标的实现。对风险管理的定义可以理解为:一是风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;二是风险管理的目标在于控制和减少损失,提升有关单位或个人的经济利益或社会效果;三是风险管理是一种管理方法。

  企业风险管理作为企业的一项管理活动,产生于20世纪50年代的美国,当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到企业风险管理的重要性。在那时,企业风险管理是企业管理的一个重要组成部分,主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单,因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。

  20世纪80年代后,企业的经营环境开始发生了巨大变化,以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁,使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动,并没有形成完整的理论和方法体系。反而在金融机构中,由于所经营的金融产品带来的各种风险加剧,逐步形成了针对金融机构的相对完整而系统的金融风险管理体系,其针对的对象和内容都与传统风险管理有很大不同。
到20世纪末,随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂,开始出现了将企业的所有风险,包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期,并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起,形成一个崭新的概念——全面风险管理。

  全面企业风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的企业风险管理文化,建立健全全面企业风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、企业风险管理信息系统和内部控制系统,从而为实现企业风险管理的总体目标提供合理保证的过程和方法。

  三、COSO风险管理框架

  近年来,许多公司关注企业风险管理,他们对企业风险管理框架的需求日益增加。2001年,COSO委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。在这一时期,美国出现了包括安然公司在内的一系列公司财务丑闻,使投资者蒙受了巨大的损失。之后,要求改善公司治理结构和提升风险管理能力的呼声日益高涨。2002年美国通过了萨班斯——奥克斯利法案(Sarbanes——OxleyActof2002),其中的404条款要求上市公司管理当局对内部控制的有效性进行披露报告,同时也要求注册会计师对上市公司内部控制的效果进行审计。正是在这一背景下,COSO于2004年10月发布了《企业风险管理——整合框架》的报告。

  (一)企业风险管理的定义

  COSO对其定义为:“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”

  ERM框架对内部控制的定义明确了以下内容:1.是一个过程;2.被人影响;3.应用于战略制定;4.贯穿整个企业的所有层级和单位;5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;6.合理保证;7.为了实现各类目标。对比COSO1992年的定义,ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。

  (二)企业风险管理的目标

  ERM认为企业风险管理的目标有:战略目标——与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规性目标——企业经营符合相关法律法规的规定。

  ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表以及从这些财务报表中摘出的数据,如利润分配数据”;新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。

  (三)企业风险管理的控制要素

  1994年COSO报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素,即增加了控制环境内部化;目标作为要素;风险要素的扩展。

  主要有:1.内部环境——内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。2.目标设定——必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。3.事项识别——必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。4.风险评估——通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。5.风险应对——管理当局选择风险应对、回避、承受、降低或者分担风险,采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。6.控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。7.信息与沟通——确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。8.监控——对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。

  (四)相关角色和任务的变化

  新老COSO报告都将组织的董事会、管理层、内部审计等职员看成是内部控制框架中的相关责任人。董事会制订战略,管理、指引和核查一些特殊交易和政策。董事会既是内部控制的因素,也是企业风险管理的重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色,即担负总体责任,企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。

  在ERM框架中,管理层必须识别目标和战略方案,并将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系。一旦设定了目标,管理层就需要识别影响风险的事项、评估风险并采取控制措施。
在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。他们要协助管理层和董事会监督、评价、检查、报告风险。对于内审人员来说,最大的挑战是在ERM中扮演何种角色,很多内审人员可能被要求提供ERM的教育和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立ERM体系承担主要责任。内审人员职责的另一个变化是原来对CFO和内审委员会负责,现在可能要对CFO、内审委员会和风险主管负责。

  在ERM框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样在自己的职责范围内建立起企业风险管理外,还要帮助其他经理人报告企业风险信息,并可能是企业风险管理委员会的成员之一。

  四、内部控制与风险管理的关系

  从新的COSO框架对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从内部控制走向企业风险管理。

  企业风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响,并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理,内部控制制度的制定依据主要是风险,在某些极端情况下甚至完全由风险因素来决定。风险越大,越有必要设置适当的内部控制措施,风险相当大时,还要设置多重内部控制措施。而且做好内部控制是做好风险管理的前提。一家企业只有从加强内部控制做起,通过风险意识的提升,尤其是提升企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行,否则,处于失控状态的企业最终将被激烈竞争的市场经济大潮淹灭。

  企业风险管理是内部控制概念的自然延伸。在新技术和市场的推动下,内部控制走向风险管理。例如,在计算机网络和金融衍生工具市场存在的条件下,企业可以运用金融衍生工具防范因汇率和利率波动给企业带来的财务风险。内部控制是企业防范风险的日常运行功能与结构,包括确保财务信息的真实可靠、遵守相关的法律法规等。在新技术和市场条件下,为维护股东的利益,实现企业目标,还需要基于内部控制更主动、更灵活、更全面的风险管理。

  内部控制和企业风险管理各有侧重。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般仅限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理和利率风险管理等,它贯穿于管理过程的各个方面。从以上分析可以看出,风险管理是内部控制概念在新技术和市场条件下的自然延伸,风险管理包括内部控制,内部控制是风险管理的基础。风险管理侧重于市场交易层面。

  正因为内部控制与企业风险管理有内在的联系,各国分别以不同的方式逐步将内部控制与风险管理联系起来。巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……”,显然是把风险管理的内容纳入到内部控制框架中了。2004年1月8日,我国有关方面举办了“商业银行风险管理与内部控制论坛”,这表明我国银行业也开始将内部控制与风险管理联系起来。

  尽管企业风险管理与内部控制有内在的联系,但现实中的内部控制应用水平与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较;典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。但是,随着内部控制或企业风险管理的不断完善,它们之间必然会相互交叉、融合,直至统一。

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。