关于内部控制与风险管理的融合,石爱中审计长在2006年度中国内部审计协会和中天恒管理咨询公司举办的《内部控制与风险管理创新论坛》上就指出:“内部控制和风险管理逐渐融合,而且在很多工作中,包括在系统设计中这两个东西一定要融合,而不是分开的”。
审计署党组成员总审计师孙宝厚在2007年4月19日中国内部审计协会与中天恒管理咨询公司举办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上作了题目为《内部审计是风险管理的重要组成部分》的主题演讲,认为内部控制、内部审计是风险管理的重要组成部分,但不是风险管理的全部。
中国内部审计协会会长王道成在2007年4月19日中国内部审计协会与中天恒管理咨询公司举办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上指出,内部控制与风险管理走向融合,是一个必然的趋势,这不仅是内部控制体系向前迈进了一大步,也为我们内部审计的发展指明了方向,因此为了适应这样一种发展趋势,我国现行的内部控制体系有必要逐步地向全面风险管理体系升级和完善。内部审计的模式也应该逐步向以治理为目标、风险为导向、控制为中心、增值为目的的现代管理审计转型,使内部审计工作更加符合成本效益原则,更能够满足企业治理与管理的需要,更能体现内部审计的重要价值,实现内部审计价值的最大化。
融合是一种彼此的尊重,它可以让两个公司形成一个系统,融合是一种力量的凝聚,它可以实现1+1>2的效果,融合是一种思维的创新,它可以创造一个和谐共赢的世界。
中国内部审计协会制定的风险管理审计准则规定:“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”明确了:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。这显然是传统的把风险管理作为内部控制的内容的观点。
3C全面风险管理基本框架的理解风险管理与内部控制的融合道理其实非常简单。企业在实现目标的漫长征程中,会遇到各种各样的风险;因此,就要采取措施控制风险。也正因为有风险才要控制,如果没有风险,控制就是多余的了,就是添乱,当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然,这个剩余风险一定要在企业可接受的水平范围内。
实际上,世界上内部控制与风险管理已逐渐融合了,把内部控制与风险管理试为同一事件。1992年,Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)发布了《内部控制——整合框架》,2004年,该委员会又发布了《企业风险管理—整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。
目前,以美国为代表的西方发达国家对全面风险管理的认识已经达到了前所未有的高度。对于任何一个企业来说,抛开其管理内容中具体的、特殊的部分,如与技术、行业、文化传统、销售渠道、地理位置、规模大小等有关的部分,全面风险管理都是经营管理过程中必须有的内容。全面风险管理作为对现有的整合内部控制体系的深化扩张而成为企业管理的核心内容。历史上,人们对企业管理中有关内容的认识经历了从单纯的公司治理结构到包含公司治理结构的整合内部控制体系,再到包含整合内部控制体系的全面风险管理体系的过程。
国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时,还要与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。
我国的有些企业都在积极探索内部控制与风险管理的融合之道,比如中国网通集团公司的“基于全面风险管理的内部控制体系构建与实施”获得全国企业管理现代化创新成果一等奖。备受国资委赞扬的中国神华股份公司的《内部控制手册》,实际上更是以全面风险管理为基础的,是内部控制与风险管理融合的结晶。中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》,与公司现有管理体系和管理手段相衔接,实际上不仅仅是内部控制与风险管理的融合,而是整个管理的融合。
如果内部控制和风险管理融合后,企业至少没有必要既设立风险管理部,又设立内部控制部,设一个风险控制部就够用了。风险管理与内部控制融合,就是要打破风险和控制水平之间的平衡,不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动,它是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合管理系统工程,需要各方面力量的协调和配合才能实现。
当然,强调风险管理与内部控制的融合,并不是风险管理要代替内部控制,实际上两者是并存的。企业肯定需要建立内部控制,来应对阻止企业进步的风险。否则,被控制所遏制的风险将可能发生。
中国内部审计协会副会长兼秘书长:易仁萍
