一、健全企業(yè)風險管理的必要性
  當今現(xiàn)代企業(yè)面對著許多隱藏在不同層次的各種風險,使利潤的增長變得不穩(wěn)定,而同時現(xiàn)代企業(yè)又要面對投資者不斷提高的各種要求,因而迫切需要采取各種方法控制風險,避免損失?,F(xiàn)代企業(yè)風險管理的手段不應是在企業(yè)內部另外增加一個成本高昂的官僚管理機構,它應該能夠幫助企業(yè)建立并強化應對困難的組織能力,這也是現(xiàn)代企業(yè)能夠在當今不斷變化的全球經濟中生存所必須擁有的一種關鍵能力,就是現(xiàn)代企業(yè)必須構建一種切實有效的內部控制框架體系。
  二、風險管理與內部控制、內部審計的關系
 ?。ㄒ唬╋L險管理與內部控制
  內部控制與風險管理有著密切的聯(lián)系。COSO認為,內部控制是風險管理的一部分。COSO對內部控制與風險管理的定義及其組成要素分別是:
  內部控制:企業(yè)內部控制是由企業(yè)董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。它包括五個方面的組成要素:控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。
  風險管理:企業(yè)風險管理是一個過程,是由企業(yè)的董事會、管理層以及其他人員共同實施的,應用于戰(zhàn)略制定及企業(yè)各個層次的活動,旨在識別可能影響企業(yè)的各種潛在事件,并按照企業(yè)的風險偏好管理風險,為企業(yè)目標的實現(xiàn)提供合理的保證。它有八個組成要素:內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監(jiān)督。
  從COSO的兩份報告來看,企業(yè)風險管理與內部控制有以下相似或不同之處:第一,它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀點,指出各方在內部控制或風險管理中都有相應的角色與職責。第二,它們都明確是一個“過程”,不能當作某種靜態(tài)的東西,如制度文件、技術模型等,也不是單獨或額外的活動,如檢查評估等,最好是內置于企業(yè)日常管理過程中,作為一種常規(guī)運行的機制來建設。第三,它們都是為企業(yè)目標的實現(xiàn)提供合理的保證。風險管理的目標有四類,其中三類與內部控制相重合,即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外發(fā)布的非財務類報告準確可靠。第四,風險管理與內部控制的組成要素有五個方面是重合的,即(控制或內部)環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。第五,風險管理提出了風險組合與整體風險管理的新觀念?!镀髽I(yè)風險管理框架》借用現(xiàn)代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業(yè)層面上總體把握分散于企業(yè)各層次及各部門的風險暴露,以統(tǒng)籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環(huán)境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響
 ?。ǘ﹥炔靠刂婆c內部審計的關系
  澄清認識,轉變觀念,正確處理內控與內審的關系,是加強企業(yè)內控的前提。在實際工作中,內控工作往往被領導委派給內審部門去計劃和安排,原因是多方面的。首先,一些單位沒有理解內控工作的內涵,簡單地把內控任務交給本單位的內審部門。其次,具體業(yè)務部門有重業(yè)務經營,輕管理控制的傳統(tǒng)傾向。有些業(yè)務和管理部門習慣于執(zhí)行各種業(yè)務的“硬指標”,而把內控作為“軟任務”推給“綜合部門”去應付。第三,盡管各經濟實體中都存在內控制度和控制機制,但其控制系統(tǒng)有不同程度的缺陷。第四,內審部門曾經是缺乏權威性的比較薄弱的部門,現(xiàn)在雖然提高了該部門的地位,但在許多單位仍顯現(xiàn)不出稽核部門足夠的重要性。
  要正確理解內控與內部審計的關系,明確內控主要是經營管理部門的責任,對內控的檢查評價也主要是經營管理部門的責任;同時,內部審計部門要把工作的重點盡快轉向對經營管理的內控系統(tǒng)進行有效的和全面的審計再監(jiān)督,并在監(jiān)督評審中注意保持獨立性,建議和敦促經營管理部門糾正控制的缺陷。
  三、對內部控制制度設計的一些建議
  在內部控制制度的設計上,必須轉變觀念,以風險管理為中心來設計企業(yè)的內部控制制度。
 ?。ㄒ唬╅_展建章立制,搞好內部控制制度的創(chuàng)新。依據(jù)有關的法規(guī)政策,認真分析解剖自己企業(yè)存在的問題,抓住改進和改善企業(yè)管理水平和管理效率這個中心,圍繞減少企業(yè)風險,提高企業(yè)經濟效益和贏利水平這個核心,制訂本企業(yè)內部控制制度或具體的實施辦法。
 ?。ǘ┓旨夛L險管理。風險可以分為戰(zhàn)略風險、日常經營管理風險、財務風險。對于涉及到戰(zhàn)略風險,如合并兼并、重大的投融資、新產品的開發(fā)等涉及到企業(yè)未來發(fā)展的重大前景的,要通過股東大會或董事會的進行表決。
 ?。ㄈ└愫脙炔繒嬁刂频捏w系建設。
  1.建立內部會計控制的班底。就公司制的企業(yè)而言,董事會、監(jiān)事會、總經理層為內部控制機構的建立、職責分工與制約提供了基本的組織框架,應該結合自身特點建立適合企業(yè)內部控制需要的職能機構。董事會下可以設立包括審計委員會在內的若干專業(yè)委員會,作為實施決策和內部控制的支持機構。
  2.建立和完善內部審計制度,促使企業(yè)的經營管理正常進行。內部審計是企業(yè)對其內部各項經濟活動和管理制度是否合理、合規(guī)、有效所進行的監(jiān)督和評價,它可以說是其他內部控制的再控制。內部審計有助于企業(yè)發(fā)現(xiàn)經營管理中存在的問題,對于促進企業(yè)依法經營,提高會計信息質量有十分重要的作用。
  建立健全內部審計機制。建立由董事會或審計委員會直接領導的內審體制,內審不受管理層制約,獨立客觀地開展工作。明確內審的宗旨、職能和地位、權限,以及內審范圍、程序、方法等。內審機制要有暢通的報告關系,能直接向內部管理層之外的階層報告。
  內審與外審、上一級審計與下一級審計相結合多層次開展內部審計工作。由于客觀地位的局限性,內審無法對本企業(yè)領導者和同級管理層進行審計,為彌補這一控制的薄弱環(huán)節(jié),應該會同外部審計或上級內審部門負責對下級管理層的審計,對各級管理層進行有效的監(jiān)督和控制,充分發(fā)揮內審的作用。