内部控制与规范企业风险

[发布时间]:2012-08-16

[字号切换] [ 关闭窗口] [ 阅读]:5230人次

内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制只能防范风 险,不能转嫁、承担、化解或分散风险。

内部控制的动力源自风险防范

何为内部控制?中国注册会计师独立审计准则第九号《内部控制与审计风险》认为: 内部控制是指在一个单位内部,为了保证业务活动的有效进行,保护资产的安全和 完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、完整而制定和实施的 政策与程序。中国证监会发布的《证券公司内部控制指引》指出:公司内部控制包括 内部控制机制和内部控制制度两个方面。内部控制机制是指公司的内部组织结构及 其相互之间的运行制约关系;内部控制制度是指公司为防范金融风险,保护资产的 安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法 与控制措施的总称。国际组织(coso)则将内部控制定义为一个组织设计并实施的一 个程序,以便为达到该组织的经营目标提供合理保障。

从上述各种定义中我们不难看出,虽然对内部控制理解的角度各有侧重,但共同的认识在于内部控制是一个组织所设计并实施的程序(包括必要的制度和措施),旨在 为实现该组织的某种目标而提供合理保障。内部控制将从三个方面提供合理保障, 并有助于组织某种目标的实现:经营过程有效率/效益地进行,并预防资源的损 失;对外提供可靠的财务报告;相关法律法规得以遵循。良好的内部控制可以合理 保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实 的财务报告和有效益/效率的经营也正是企业风险管理所应该达到的基本状态。从 这个角度出发,内部控制是风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。

对一个持续经营的企业而言,常见的企业风险包括:战略风险,即不恰当的行动纲 领和发展规划导致的风险;经营风险,即不适宜的经营手段导致的风险;财务风 险,即失去融资能力或遭致无法承受的债务而导致的风险;信息风险,即不相关、 不真实信息报告导致的风险;环境与法律风险,即环境骤变和政策不明朗导致的风 险;灾害风险,即由于战争、自然灾害等人为不可抗拒的因素造成的风险。

正是因为风险的存在,风险管理才成为必要。企业管理的重要内容之一就是建立风 险评估系统,认识和分析企业整体目标及各活动层目标,以及影响这些目标实现的 内在和外在因素、发生的概率及可能的后果,并采取相应的控制措施。因此,风险 防范既是企业管理的必要部分,也是内部控制机制建立的内在动力。换句话说,内 部控制的建立是与风险管理的要求相并存的。正是因为存在各种各样的风险,企业 才应该建立良好的内部控制系统,配合风险管理,实现企业目标。

内部控制不等于风险管理

虽然内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制不等于 风险管理本身。许多企业的管理者将内部控制与企业管理和风险管理等同起来,常 常产生这样一些误解:内部控制可保证企业成功并使其财务报告绝对可靠合法;内 部控制可以防止企业决策的失误;内部控制可以阻止两个或两个以上的人相互勾结 来践踏控制系统;建立了内部控制就等于实施了科学管理,等等。

内部控制只能防范风险,不能转嫁、承担、化解或分散风险。风险管理是由风险识 别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程,就这一循 环流程而言,内部控制仅与风险识别和评估密切相联。对企业面临风险的识 别和评估,既是企业选用何种风险对策,实施何种管理措施的前提,亦是建立企业 内部控制的基础。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险,更不能转嫁、承担、化解、分散风险。例如,对于重要信息的异地备份,既是内部控制中信息安全性的要求,也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利,正是严格遵循了这一基本要求,其虽置身于世贸大厦88层之高,但在 “9·11”事件中,其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是,上述内部控制措施只能防范可能的风险,并不代表风险发生后的措施。风险发生后的自救也是风险管理的重要内容。

即使建立了合理而有效的内部控制系统,科学而全面的管理仍是必不可少的,不能 将它们二者混为一谈。对于企业经营活动中发生概率较大,且企业能够承担控制成 本的风险,要力求通过企业自身的控制系统,并依托以财务管理为中心的企业管理 体系予以控制。对于发生概率较小,或控制成本较大的风险,则应在加强管理、增强自身素质的基础上,降低风险对企业的影响程度。

more人物访谈

more企业法务教育