论内部控制与全面风险管理的关系与应用

李岩

【摘 要】随着公司业务规模和业务复杂度的不断增加，加强控制、防范风险、健康发展成为公司管理的前提和主题。本文针对内部控制和全面风险管理的关系，从国内外理论研究及具体实践等层面进行分析，明确公司通过建立并完善风险控制体系，提升价值及核心竞争力的重要作用。

【关键词】内部控制;全面风险管理

一、内部控制和全面风险管理的内涵分析

1.内部控制

内部控制是社会经济发展到一定阶段的产物，其真正得到发展和完善则是在20世纪40年代以后。目前应用最普遍的是美国反虚假财务报告委员会下属的发起人委员会（以下简称COSO委员会）对内部控制的定义，即内部控制是受企业董事会、管理层和其它员工的影响，旨在为取得经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证的一种过程。把内控活动分为控制环境、风险评估、控制活动、信息与沟通、监督与评审等五部分。

我国企业内部控制标准委员会以法规形式发布的《企业内部控制基本规范》对内部控制的定义是：内部控制是由企业董事会、监事会、经理层和全体员工共同实施的，旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。其要素是内部环境、风险评估、控制活动、信息与沟通、内部监督。

国内外的理论方向大体趋同，都认为内部控制是一个过程，内部控制的主体都是董事会、经理层及其他所有员工，强调全员性和全过程。两者对内部控制的要素即内容界定也大致相同。财政部的“内部环境”相对于COSO的“控制环境”的内涵略宽泛一些。财政部的“信息与交流”、“内部监督”和COSO的“信息与交流”、“监督评审”在内涵上无大的差别。国内对内部控制的目标界定更宽泛，增加了资产安全、发展战略实现两个目标。

2.全面风险管理

2004年，基于频繁发生的企业风险事件，COSO委员会发布了《企业风险管理-整合框架》，给企业风险一个综合定义。COSO委员会认为：“企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证”。企业的目标包括战略目标、经营目标、报告目标和合规目标。全面风险管理要素包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。全面风险管理涉及到的企业层级包括整个企业、各职能部门、各条业务线及下属各子公司。

2006年，国务院国有资产监督管理委员会在《企业风险管理-整合框架》上，印发了《中央企业全面风险管理指引》，将企业风险定义为未来的不确定性对企业实现其经营目标的影响。所谓全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

风险管理对象都是针对企业经管理中的不确定性。两者都提到了“风险偏好”，根据企业的风险偏好与承受度来管理风险，要求风险管理与企业的实际情况紧密结合。但两者的侧重略有不同，COSO委员会提出的是风险管理的整体框架，侧重风险管理的内容与思路，而国资委更侧重风险管理的程序与方法。

二、内部控制与全面风险管理的关系解析

1.内部控制与全面风险管理的相关性

内部控制是企业全面风险管理的基础，同时内部控制也是全面风险管理不可或缺的重要组成部分。

（1）目的原则理念一致。无论描述是否一致，均认为风险管理是一个过程，需要董事会、公司管理层和其它员工共同参与，并为公司战略目标的实现提供合理保证。两者的目标都是为实现企业经营目标和健康稳定运营提供合理保障。

（2）全面风险管理涵盖了内部控制，是内部控制的拓展与延伸。COSO委员会《企业风险管理-整合框架》与国资委《中央企业全面风险管理指引》均明确指出内控系统是全面风险管理系统的一个子系统。

（3）内部控制是风险管理不可分割的组成部分，是落实风险应对措施的手段之一，但不是唯一手段。内部控制是必要的、有效的风险管理方法，但内部控制并不能控制所有风险，风险管理的手段也不仅仅有内部控制。

2.内部控制与全面风险管理的差异性

（1）两者的管理范畴不一致。内部控制只是管理其中的一项职能，内部控制主要是通过事中和事后控制来实现控制目标。而全面风险管理则贯穿于管理过程的各个方面，不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。

（2）两者的管理活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来;而在COSO委员会的内部控制框架中，没有区分风险和机会。

（4）两者对风险的应对策略不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的，也是其不可能做到的。

三、基于管理实际构建内部控制与全面风险管理体系

辽宁移动公司当前正面临改革转型的严峻挑战，粗放式经营方式已经不能适应发展和风险管控需要，虽然内控制度已经建立多年，全面风险管理也于2014年在省公司層面开展试运行，但仍未实现系统化、体系化管理，存在做表面文章等问题，需要尽快转变长久以来的固有的惯性思维定式，努力构建体现全面风险管理的内部控制新机制，赋予内部控制新内容，助力公司健康持久运营。

1、设立全面风险管理的专业管理部门，直接向公司管理层汇报，保持独立性和权威性的原则。进一步明晰责任，提高信息沟通效率。为了提高工作效率与质量，风险管理部门首先要梳理职责分工，又要保证流程的连续性。

2、以内部控制度为抓手，深入推进全面风险管理体系的建立。持续更新《中国移动内部控制手册》，进一步阐明公司开展内部控制和风险管理工作的原则和要求，使公司更好的遵循相关监管规定，合理保证财务报告的真实性和完整性，提升公司的经营效率和效果，完善长效务实的全面风险管理机制。

3、构建切合实际的内部控制评价机制。组织内部广泛开展以“深化内控理念，落实内控措施”为主题的激活内控活力的活动。通过确定风险控制环节，分解、落实部门和岗位管理职责，并对各单位、各部门的控制状况进行检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而全面有效地控制经营风险。以内控管理为抓手，进一步推进全面风险管理，实现从风险管理部门的防范转向全公司、全员防范，将内部控制管理由个人行为和操作行为提升到整个单位的整体行为，推进内控和风险管理管理水平不断上新台阶。