現(xiàn)代經(jīng)濟環(huán)境風云莫測,任何組織都不可能在一個“真空”的狀態(tài)下運營,無處不在的風險時刻威脅著企業(yè)的生存與發(fā)展。
對眾多風險進行有效管理是企業(yè)可持續(xù)發(fā)展過程中必須具備的重要能力和企業(yè)構(gòu)筑內(nèi)部控制體系所要關(guān)注的內(nèi)容。就實質(zhì)而言,內(nèi)部控制的最終目標是為了控制和管理企業(yè)所面臨的一切風險?!暗每貏t強,失控則弱,無控則亂”,正是完善的內(nèi)部控制有效運行對于企業(yè)管理的重要性之體現(xiàn)。隨著人們對內(nèi)部控制與風險管理重要性認識的不斷提高,內(nèi)部控制實踐已經(jīng)發(fā)展到與風險管理相融合的新時代。
內(nèi)部控制與風險管理之間有著密切關(guān)系。企業(yè)內(nèi)部控制與風險管理兩者之間具有一致性,主要表現(xiàn)在三個方面:一是企業(yè)內(nèi)部控制以及風險管理的實現(xiàn)都需要各方的參與;二是兩者都貫穿于企業(yè)的整個日常經(jīng)營管理活動當中;三是兩者的最終目的都是要實現(xiàn)企業(yè)的價值。具體來看,企業(yè)的內(nèi)部控制是包含在企業(yè)的風險管理當中的,屬于風險管理的一個部分。企業(yè)的風險管理和企業(yè)的內(nèi)部控制相比較起來,它是站在更高的戰(zhàn)略層次上來分析問題的,比內(nèi)部控制更加細化,能夠更好地解決企業(yè)經(jīng)營活動當中所出現(xiàn)的各種各樣的風險問題。內(nèi)部控制所發(fā)揮的主要作用則是體現(xiàn)在會計控制以及審計活動方面。隨著內(nèi)部控制以及風險管理的不斷健全和完善,二者之間必定會相互交叉且相互融合,最終相互統(tǒng)一。
1.內(nèi)部控制與風險管理的融合
關(guān)于內(nèi)部控制與風險管理的關(guān)系,有兩種截然不同的觀點——一種觀點認為二者是一對既相互聯(lián)系又互有區(qū)別的概念,無法完全相互替代;另一種觀點認為,二者是同一事項的不同術(shù)語,沒有本質(zhì)上的區(qū)別,可以相互替代。之所以有這兩種觀點的對立,主要是因為學者們對內(nèi)部控制與風險管理內(nèi)涵與外延的界定不同,前者把內(nèi)部控制作為風險管理的一個步驟和手段,或者是把風險管理作為內(nèi)部控制的一部分,而后者是把內(nèi)部控制與風險管理完全等同。
根據(jù)IFAC下設的工商業(yè)職業(yè)會計師委員會發(fā)布的風險管理和內(nèi)部控制調(diào)查結(jié)果,全球超過600位反饋者表示,應當進一步加強風險管理和內(nèi)部控制框架、準則、指引的一致性。而在實踐中,內(nèi)部控制和風險管理已經(jīng)在逐漸融合了。1992年,COSO發(fā)布了《內(nèi)部控制——整合框架》,2004年,該委員會又發(fā)布了《企業(yè)風險管理——整合框架》,在該框架附件C中明確:內(nèi)部控制被涵蓋在企業(yè)風險管理之內(nèi),是其不可分割的一部分。我國《企業(yè)內(nèi)部控制基本規(guī)范》和《中央企業(yè)全面風險管理指引》從不同視角體現(xiàn)了內(nèi)部控制與風險管理相融合的理念。
《企業(yè)內(nèi)部控制基本規(guī)范》把內(nèi)部控制作為一個較大的概念,包括了風險管理的內(nèi)容;而《中央企業(yè)全面風險管理指引》把風險管理作為一個較大的概念,把內(nèi)部控制作為企業(yè)控制風險的主要措施。石愛中副審計長認為,在很多工作中,包括在系統(tǒng)設計中,內(nèi)部控制和風險管理一定要融合,而不是分開的。內(nèi)部控制與風險管理走向融合是一個必然的趨勢。簡單地說,無論是內(nèi)部控制還是風險管理,都是基于風險防范的需要而存在和發(fā)展的,都是作用于風險。
從理論上講,內(nèi)部控制與風險管理逐漸走向融合體現(xiàn)在:一是概念趨同。內(nèi)部控制與風險管理的概念雖然還沒有達成共識,但兩者均是合理保證目標實現(xiàn)過程的觀點已經(jīng)越來越被人們所普遍接受。二是目標相同。內(nèi)部控制與風險管理的目標雖然有很多種表述,但實質(zhì)上都是為了防范風險,把風險控制在可控范圍內(nèi)。三是程序一致。內(nèi)部控制與風險管理的程序雖然基于不同規(guī)范的不同要求,在形式上不完全一致,但都強調(diào)要風險識別、風險評估、風險應對和風險控制等基本程序,這在實質(zhì)上是基本一致的。四是方法互用。內(nèi)部控制經(jīng)常運用風險管理的方法,而風險管理也經(jīng)常運用內(nèi)部控制的方式方法。
要實現(xiàn)內(nèi)部控制與風險管理的融合,確實是一件說起來容易做起來很難的事情。這里的阻力不僅僅來自學術(shù)界,還來自各國政府下屬的監(jiān)管機構(gòu)。內(nèi)部控制與風險管理的異同,在理論上可以歸納出好多點,但是說要把二者融合在一起,對于長期致力于內(nèi)部控制或風險管理領(lǐng)域研究的專家而言,于情于理都是難以接受的。不同的政府監(jiān)管部門,甚至是同一監(jiān)管部門的內(nèi)部,有要求構(gòu)建內(nèi)部控制的,有要求強化風險管理的,使得被監(jiān)管者無所適從。而在實踐中,大多數(shù)企業(yè)已經(jīng)把內(nèi)部控制和風險管理兩方面工作融合了。無論人們?nèi)绾慰创齼?nèi)部控制與風險管理的關(guān)系,內(nèi)部控制與風險管理亦逐漸走向融合,這是大勢所趨。
2.內(nèi)部控制與風險管理的協(xié)同
內(nèi)部控制在企業(yè)內(nèi)部有著極其重要的現(xiàn)實價值,其對企業(yè)在具體的經(jīng)營活動和風險防范方面有著監(jiān)督、約束、防范的作用。既然內(nèi)部控制與風險管理已經(jīng)融合,那么在實際工作中,對于內(nèi)部控制和風險管理的建設就應該協(xié)同進行。沒有必要對同一目標下的事項制定兩套手冊或指南,只要把控制和風險融合在一起共同制定一套制度即可,以減少不必要的重復和浪費。沒有必要既設立內(nèi)部控制部門,又設立風險管理部門,而綜合建立一個風險控制部門就夠了。在事項上,不僅要把內(nèi)部控制與風險管理整合起來,還應該與公司治理整合起來,把風險控制系統(tǒng)整合到治理、戰(zhàn)略和運營中。企業(yè)需要做的就是要對高風險領(lǐng)域給予足夠的重視,要不斷地強化風險意識,要把風險管理理念運用到內(nèi)部控制當中。企業(yè)只有不斷把內(nèi)部控制和企業(yè)的風險管理進行有機結(jié)合,完善自身的內(nèi)控制度,努力強化員工的內(nèi)控意識,才能建立起風險管理的壁壘,從而對風險進行有效防范,并積極應對。
風物長宜放眼量。在實施內(nèi)部控制的過程中,應不斷理順各種關(guān)系,形成內(nèi)部控制與風險管理的相互促進,二者之間必定會相互交叉、相互融合、相互協(xié)同、相互促進,最終相互統(tǒng)一,從而形成一個良性循環(huán),才能確保企業(yè)持續(xù)健康地向前發(fā)展。