內部控制的動力源于風險防范并構成風險管理的必要環節,但內部控制只能防范風險,不能轉嫁、承擔、化解或分散風險。
內部控制的動力源自風險防范
何為內部控制?中國注冊會計師獨立審計準則第九號《內部控制與審計風險》認為:內部控制是指在一個單位內部,為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、完整而制定和實施的政策與程序。中國證監會發布的《證券公司內部控制指引》指出:公司內部控制包括內部控制機制和內部控制制度兩個方面。內部控制機制是指公司的內部組織結構及其相互之間的運行制約關系;內部控制制度是指公司為防范金融風險,保護資產的安全與完整,促進各項經營活動的有效實施而制定的各種業務操作程序、管理方法與控制措施的總稱。國際組織(COSO)則將內部控制定義為一個組織設計并實施的一個程序,以便為達到該組織的經營目標提供合理保障。
從上述各種定義中我們不難看出,雖然對內部控制理解的角度各有側重,但共同的認識在于內部控制是一個組織所設計并實施的程序(包括必要的制度和措施),旨在為實現該組織的某種目標而提供合理保障。內部控制將從三個方面提供合理保障,并有助于組織某種目標的實現:經營過程有效率/效益地進行,并預防資源的損失;對外提供可靠的財務報告;相關法律法規得以遵循。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益。而合規經營、真實的財務報告和有效益/效率的經營也正是企業風險管理所應該達到的基本狀態。從這個角度出發,內部控制是風險管理的必要環節,內部控制的動力來自企業對風險的認識和管理。
對一個持續經營的企業而言,常見的企業風險包括:戰略風險,即不恰當的行動綱領和發展規劃導致的風險;經營風險,即不適宜的經營手段導致的風險;財務風險,即失去融資能力或遭致無法承受的債務而導致的風險;信息風險,即不相關、不真實信息報告導致的風險;環境與法律風險,即環境驟變和政策不明朗導致的風險;災害風險,即由于戰爭、自然災害等人為不可抗拒的因素造成的風險。
正是因為風險的存在,風險管理才成為必要。企業管理的重要內容之一就是建立風險評估系統,認識和分析企業整體目標及各活動層目標,以及影響這些目標實現的內在和外在因素、發生的概率及可能的后果,并采取相應的控制措施。因此,風險防范既是企業管理的必要部分,也是內部控制機制建立的內在動力。換句話說,內部控制的建立是與風險管理的要求相并存的。正是因為存在各種各樣的風險,企業才應該建立良好的內部控制系統,配合風險管理,實現企業目標。
內部控制不等于風險管理
雖然內部控制的動力源于風險防范并構成風險管理的必要環節,但內部控制不等于風險管理本身。許多企業的管理者將內部控制與企業管理和風險管理等同起來,常常產生這樣一些誤解:內部控制可保證企業成功并使其財務報告絕對可靠合法;內部控制可以防止企業決策的失誤;內部控制可以阻止兩個或兩個以上的人相互勾結來踐踏控制系統;建立了內部控制就等于實施了科學管理,等等。
內部控制只能防范風險,不能轉嫁、承擔、化解或分散風險。風險管理是由風險識別、風險評估、風險對策、風險監測等一系列環節組成的一個循環流程,就這一循環流程而言,內部控制僅與風險識別和評估密切相聯。對企業面臨風險的識別和評估,既是企業選用何種風險對策,實施何種管理措施的前提,亦是建立企業內部控制的基礎。在風險識別和評估基礎上所建立的內部控制,只能規避經營管理活動中經常發生的錯誤和風險,但不能解決風險管理中企業所面臨的所有風險,更不能轉嫁、承擔、化解、分散風險。例如,對于重要信息的異地備份,既是內部控制中信息安全性的要求,也是風險管理中規避風險的必要措施。國際著名投資銀行摩根士坦利,正是嚴格遵循了這一基本要求,其雖置身于世貿大廈88層之高,但在“9·11”事件中,其所有客戶的重要資料并未隨世貿大廈的轟然倒塌而被埋葬。但是,上述內部控制措施只能防范可能的風險,并不代表風險發生后的措施。風險發生后的自救也是風險管理的重要內容。
即使建立了合理而有效的內部控制系統,科學而全面的管理仍是必不可少的,不能將它們二者混為一談。對于企業經營活動中發生概率較大,且企業能夠承擔控制成本的風險,要力求通過企業自身的控制系統,并依托以財務管理為中心的企業管理體系予以控制。對于發生概率較小,或控制成本較大的風險,則應在加強管理、增強自身素質的基礎上,降低風險對企業的影響程度。
鄂公網安備:42010202001652號
