从内部控制诞生之初,关于内部控制与风险管理之间的区别和联系就是企业实施内控过程中绕不开的一个话题。
专家:内控包含风险管理
作为我国研究内部控制较早的一批专家,上海财经大学会计学院教授、博士生导师朱荣恩在和企业的交流中,经常会被咨询:内部控制主要是在企业内部实施的一种管理,而风险管理有些可以通过内部控制来规避,有些则是客观不可控的。那么,是否可以说,风险管理涵盖了内部控制呢?朱荣恩表示,目前在我国,风险管理还是一个很宽泛的概念,内部控制则是从有别于外部控制的角度去考虑的,相比风险管理更为确切。如果企业漫无边际地去谈风险管理,那么风险管理就失去了意义,也难以找到有效避免风险的着力点和切入点。
因此,在内部控制的框架下去谈风险管理、进而增强企业识别、防范风险的能力,可能会促使企业更好地发挥风险管理的能动性。
在刚刚全面铺开实施内部控制阶段,对于“内部控制”这一似乎“嫁接”而来的名词,企业确实有些摸不着头脑,而如果了解了企业内部控制和风险管理的渊源,二者应该有比较明确的界定。
1992年,美国COSO委员会发布《内部控制框架》,各国理论界和实务界纷纷对此框架提出了一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。在此基础上,2004年,美国COSO委员会公布了《企业风险管理框架》,实际上是将企业管理的重心由以内部控制为中心转向以风险管理为中心。
朱荣恩表示,梳理内部控制发展的脉络,实际上有四个阶段,即内部牵制、内部会计控制与管理控制、内部控制及风险管理。可以说,我们所讲的风险管理是在内部控制的平台上产生的,有了内部控制才有风险管理。
企业:风险管理或超越内控
关于内部控制与风险管理的关系,中国联通[5.33 -1.48% 股吧]广西分公司财务部总经理杨军的答案首先是,“我们探索公司内部的风险管理,是晚于内部控制的。”回想那一段探索风险管理的经历,杨军说,风险管理的难点在于,风险是人的一种主观看法,停留在意识层面,而内部控制在中国联通得到很好的实施,为其进行风险管理奠定了基础,提供了抓手。
“企业风险管理是大于内部控制的,或者,从内部控制的目标来看,两者是约等于的关系。”杨军表示,“内部控制在风险管理中扮演关键角色,应当被管理者看作是范围更广的风险管理的必要组成部分。”对此,杨军举了一个例子。在中国联通,公司会根据每一位客户的消费及信用情况,给客户一定的信用额度,即在预存话费不足的情况下,客户还可以继续使用的话费数额。内控建设初期,公司对类似的系统提出了很多规范且固化的管控规定,比如某位客户的信用额度为300元,那么在客户话费预存为零后,还可以继续为该客户提供300元的通讯服务,但同时计费系统规定,一旦客户达到或大于300元的信控临界值,系统将自动停掉。但如果客户恰好此时需要有重要的电话沟通和回复,将很有可能引发客户对公司的服务投诉,甚至因此失去这个客源。
“如果按照内部控制的规定,在超出信用额度时,我们就应该停掉通讯服务,以确保公司的内部控制到位,但风险管理的要求是除了公司有相应的控制点外,还要确保对公司经营形象不产生负面影响。比如上例,风险管理要求公司探求在客户信用额度使用达不到300元时提前提示给客户,同时客服人员跟进客户需求考虑是否提供上门的缴费服务等措施来规避经营风险,这些管理行动和服务行动都不是简单的优化和固化内控流程就可以解决的。因此从这个意义上来说,风险管理的概念就已经超越内部控制了。”杨军表示。
目前,在中国联通广西分公司,经过几年对风险管理的探索,已经形成了一套完善企业风险管理的工作模式。如在相关风险评估会议结束后,风险管理部为每个部门提供一份协作工单,即根据企业在风险评估中意识到的各类问题,要求相关部门提供一个解决方案及进度安排表。这样一来,不仅改善了以往发现风险只停留在“意识上”和“嘴皮上”,疏于管理、无抓手、无闭环的无序状况,同时,也更好地促进了企业相关部门对企业面临风险的思考、活动跟进和管理维护。
内控是实施风险管理的基石
诚如杨军所说,在企业先行实施的内部控制实际上就是企业在实施风险管理前的环境净化器。在中国联通实施内部控制阶段,曾提出一个口号—— —“控制是一切”,“在内部控制作为主题时,一定要将‘控’做到极致,左右摇摆,兼顾太多的内控很难达到环境净化器的作用,这是我们在开始探索风险管理后的一个深刻体会。”杨军表示,“从某种意义上,内部控制建设就像是企业实施风险管理的一座桥梁,如果没有这座桥,盲目开展风险管理,或许企业将根本不知道该怎么走路。”这一观点与朱荣恩不谋而合。
朱荣恩也指出,目前,内部控制在中国实施的时间还不长,很多企业是“依葫芦画瓢”,还没有真正领略到内部控制和风险管理的真谛,而如果企业在内部控制上培育不深的话,对实施风险管理或将造成障碍。
“作为社会学科的一支,无论是内部控制还是风险管理都需要历史的积淀,需要形成一种传统。或许这个过程将是纠结和痛苦的,但却是必需的。或许经历了这样的累积,我们再感受内部控制和风险管理就将不一样了。”朱荣恩表示。