全面风险管理和内部控制的一体化建设

摘要：本文通过对业界理论研究结果、国内全面风险管理和内部控制主要工作参照文件、两者演进趋势的分析，提出全面风险管理和内部控制一体化建设是可行的。在此基础上对一体化管理的优点进行了阐述，并对建设工作的一些重要方面及可能出现的问题提出了建议。

关键词：全面风险管理；内部控制；一体化

随着我国经济规模的不断壮大，企业如何可持续发展，如何健康发展越来越为政府和经营者关注。进入新世纪以来发生的一些经营失败案例和问题，远的如安然、中航油、巴林银行事件，近的如雷曼兄弟、三鹿奶粉事件以及陷入困境的无锡尚德等，其失败的一个共同的、重要的原因，就是风险管理、内部控制出了问题。

为指导中央企业开展全面风险管理工作，2006年6月国务院国资委颁布了《中央企业全面风险管理指引》（以下简称《指引》）。为加强和规范企业内部控制，2008年5月财政部制定了《企业内部控制基本规范》（以下简称《规范》）。为加快中央企业构建内部控制体系，2012年5月，国资委、财政部下发了《关于加快构建中央企业内部控制体系有关事项的通知》。一系列指引、规范文件的下发，体现了国家对企业、尤其对中央企业内部控制和全面风险管理的高度重视和迫切要求。

自《指引》、《规范》颁布以来，不少企业尤其是中央企业先后开展了全面风险管理体系、内部控制系统的建设和完善工作。可以预见，将来会有更多的企业重视并开展这项工作。

要做好全面风险管理和内控体系建设工作，正确认识和处理全面风险管理与内部控制的关系很重要。

一、全面风险管理与内部控制的关系

1.全面风险管理与内部控制概念

所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。

所谓全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

2.全面风险管理与内部控制的关系

对于两者的关系，目前理论界主要有以下三种观点：

（1）内部控制包含风险管理。例如CICA（1998）的风险阐述、巴塞尔委员会的《银行业组织内部控制系统框架》中的风险管理要求等。

（2）风险管理包含内部控制。例如COSO委员会的《企业风险管理——整合框架》（2004）就指出“企业风险管理包含内部控制”、英国Turnbull委员会（2005）也认为“内部控制应当被管理者看作是范围更广的风险管理的必要组成部分”。

（3）内部控制就是风险管理。例如Blackburn（1999）认为“风险管理与内部控制仅是人为的分离”等。

本文同意以上第二种观点，以发展的眼光看，也认可第三种观点。

①管理实务支持

管理实务操作上，以国家的《企业内部控制基本规范》和《中央企业全面风险管理指引》进行比较，两者有大量的相同或相似之处。

从目标分析，内部控制目标包括合法合规性、资产安全性、报告可靠性、经营有效性、支持企业发展战略五项。全面风险管理目标包括与企业总体目标适应性、信息沟通（含报告）可靠性、合法合规性、经营有效性、避免遭受重大损失五项。除合法合规性、经营有效性、信息可靠性外，企业总体目标适应性与支持企业发展战略表述不同，实质是一致的；避免遭受重大损失包括资产安全性。应该说内部控制和全面风险管理主要目标是一致的。

从管理要素分析，内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项，全面风险管理包括信息收集、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化八项。具体分析两者管理范畴和业务过程，我们大致能得出风险评估、解决方案对应控制活动、组织体系与风险文化对应内部环境、信息系统对应信息与沟通、监督与改进对应内部监督的关系。应该说全面风险管理几乎包含了内部控制的所有管理要素。

全面风险管理和内部控制的对象都是风险（包括风险收益），目标也是一致的，管理范畴和过程也有诸多相同或相似之处，因此全面风险管理和内部控制一体化建设是有客观基础的。

②演进趋势支持

从演进趋势上分析，全面风险管理是对内控的系统总结和提升。

内部控制是企业经济活动中一种自发的内部安全和效率需求，是企业及其他经济组织为达到经营目标的必由之路，从最初保护财产安全、防弊堵漏发展到如今的支持企业发展战略。伴随着经济活动日趋复杂，内部控制活动也逐渐由简单到复杂，并从企业内部向外部延伸。例如三鹿奶粉问题，不仅涉及内部控制，实际上也涉及外部供应链的风险管理了。

全面风险管理是一个较新的概念，和内控相对，是一种自觉的行为，是经济活动发展到一定的高度的产物。人们在经营活动中逐渐认识到企业不能仅仅从某项业务、某个部门的角度考虑风险，必须从整个企业的高度认识风险和实施控制，做好顶层设计和系统化设计，即实行全面风险管理。例如企业内部不同部门不同业务的风险，有的可能相互叠加放大，有的可能相互抵消减少，这就涉及风险统筹；例如风险的大小不一样，管理要求就不同，这涉及到风险量化；例如不同经营时期，企业风险种类、管理特点是不一样的，这涉及到风险动态管理；还有风险预测、决策管理等等。如果说内部控制活动是纺纱的过程，全面风险管理则是一个从纺纱到织布的整个过程，是对内控的系统总结和完善提升。

另外，虽然全面风险管理与内部控制的隶属关系目前尚无明确答案，但业界主流看法认可随着内部控制或风险管理的不断完善，两者的交叉、融合、统一将是大趋势，这也为我们一体化建设带来信心。

二、全面风险管理与内控一体化效果

1.管理完整性更好。全面风险管理是从上而下的风险管理，系统性和结构化程度高；内部控制是自下而上的风险控制，业务支撑能力和操作性更强。两者一体化建设，可以互为补充、互相配合，上支撑了企业目标，下又兼顾了具体业务的管控实际。

2.管理效率更高。在一体化思路下，工作领导、方案设计、资源调度都是统一的，一般不会出现指挥混乱、接口复杂、流程冲突、问题推诿的现象，将会大大提高建设和运维效率。特别是在日常风险管理工作中，统一的、结构化的系统将会带来发现、决策、行动和反馈效率的立体提升。

3.综合管理成本更低。大多数企业特别是大企业在长期经营活动中一般已形成一套基本适合自身需要的内控系统。一体化建设能有效利用企业已拥有的内控资源，减少重复投入。运行期也仅需支撑一套系统的开支，显然会低于两套独立系统的运作成本。

4.责任主体更明确。一体化管理的主体只有一个，责、权、利归于一体，在系统建设、运维过程中不会出现争权和责任不清的问题。

三、全面风险管理与内控一体化建设工作应注意的几个问题

为保证全面风险管理与内控一体化建设效果，在相关工作中应该注意以下一些问题：

1.建设思路上，一开始就要确立全面风险管理和内控一体化建设思路，这样才能统一思想，明确方向，凝聚力量，避免走弯路、走错路。

2.工作方式上，要充分利用企业现有内控资源为全面风险管理或内控体系建设所用，形成合力，这是体系建设工作取得成效的关键。开展全面风险管理或内控体系建设，应该是对现有内控资源的整合、补充、规范和领导，而不是另起炉灶，各行其是。

3.实施准备上，做好企业现行内控情况评价，全面、客观了解现行内控工作范围、流程、执行情况，并根据全面风险管理的需要梳理内控活动存在的问题，分析、提出改进思路。为下一步一体化实施打下基础。

4.业务安排上，可根据“能责相当”的原则进行分工。对内控已覆盖且运转良好的领域和环节，如风险评估、解决方案、控制活动、内部监督等方面继续发挥原内控作用，并根据全面风险管理的要求予以适应性改造。在信息收集、管理策略、组织体系、信息系统、风险文化等方面根据全面风险管理的要求开展工作，逐步建立、健全风险系统。总体上，全面风险管理应注重宏观和指导性，内控更应注重微观和操作性。

5.组织管理上，合理设置管理机构，并确保工作力量。不少人认为，财务部门很多业务涉及内控工作，经验丰富，作为企业全面风险管理的牵头部门较好。当然如果以更好地从全局角度组织开展工作为中心，由战略、规划或企管部门牵头也是可以考虑的。另外审计部门作为全面风险管理工作的内部评价部门，应保持相对独立性，尽量避免参与全面风险管理的日常执行活动。要确保工作力量，一是要设置专职归口部门，至少应在指定部门下配备专职岗位，明确职责。二是要整合企业原有的内控工作力量，组成一个统一领导的风险工作组织。三要保障人员专业能力，各部门风险管理人员应选择了解业务、管理能力强的骨干员工，并保持相对稳定。

6.日常运作上，要充分将风险管理工作溶入到具体业务中去，避免出现“两张皮”现象，这也是一体化运行中的难点。由于不少企业内控活动开展已久，制度配套、流程接口、日常执行、监督跟踪、报告反馈比较成熟，已形成良好的业务环境。因此在全面风险管理体系运行初期或两者一体化建设不畅的情况下，受原业务环境及惯性思维影响，极易出现实际工作继续按原内控思路运行，而对于全面风险管理所需做的工作和要求，则可能抱着应付与完成任务的态度，导致相关活动不能真正发挥作用，久而久之被边缘化。如何从管理氛围、制度配套、流程整合、考核引导等方面着手，将全面风险管理工作真正溶入到具体业务中去，是我们要不断深入探索和解决的重要问题，这将关系到全面风险管理能否在企业中生根、成长、壮大。

四、结束语

全球经济一体化、以网络为代表的新科技不断应用、金融业的迅猛发展、人的创新能力不断释放的今天，企业管理广度、深度、难度均发生了深刻变化，企业风险也非往日可比。据普华永道《2011年中国企业长期激励调研报告》数据，目前中国中小企业的平均寿命仅2.5年，集团企业的平均寿命也仅7～8年。另稍留意我们就能发现，证券市场上由盛转衰的公司也是数不胜数的。怎样才能避免这样的命运？怎样才能创建百年基业？显然，建立健全全面风险管理和内控体系是必备条件之一了。

参考文献：

[1]钱 黎 汪子林 张 伟：浅论内部控制与风险管理的区别和联系[J].现代经济信息，2009（9）.

[2]樊行健 付 洁：企业风险管理与内部控制[J]会计之友，2007（10）.

[3]李 莉：论企业内部控制的风险管理机制[J] Enterprise Economy，2012（3）.

[4]谢志华：内部控制、公司治理、风险管理： 关系与整合[J].会计研究，2007（10）.