在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。他们要协助管理层和董事会监督、评价、检查、报告风险。对于内审人员来说,最大的挑战是在ERM中扮演何种角色,很多内审人员可能被要求提供ERM的教育和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立ERM体系承担主要责任。内审人员职责的另一个变化是原来对CFO和内审委员会负责,现在可能要对CFO、内审委员会和风险主管负责。
在ERM框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样在自己的职责范围内建立起企业风险管理外,还要帮助其他经理人报告企业风险信息,并可能是企业风险管理委员会的成员之一。
四、内部控制与风险管理的关系
从新的COSO框架对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从内部控制走向企业风险管理。
企业风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响,并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理,内部控制制度的制定依据主要是风险,在某些极端情况下甚至完全由风险因素来决定。风险越大,越有必要设置适当的内部控制措施,风险相当大时,还要设置多重内部控制措施。而且做好内部控制是做好风险管理的前提。一家企业只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行,否则,处于失控状态的企业最终将被激烈竞争的市场经济大潮淹灭。
企业风险管理是内部控制概念的自然延伸。在新技术和市场的推动下,内部控制走向风险管理。例如,在计算机网络和金融衍生工具市场存在的条件下,企业可以运用金融衍生工具防范因汇率和利率波动给企业带来的财务风险。内部控制是企业防范风险的日常运行功能与结构,包括确保财务信息的真实可靠、遵守相关的法律法规等。在新技术和市场条件下,为维护股东的利益,实现企业目标,还需要基于内部控制更主动、更灵活、更全面的风险管理。
内部控制和企业风险管理各有侧重。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般仅限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理和利率风险管理等,它贯穿于管理过程的各个方面。从以上分析可以看出,风险管理是内部控制概念在新技术和市场条件下的自然延伸,风险管理包括内部控制,内部控制是风险管理的基础。风险管理侧重于市场交易层面。
正因为内部控制与企业风险管理有内在的联系,各国分别以不同的方式逐步将内部控制与风险管理联系起来。巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……”,显然是把风险管理的内容纳入到内部控制框架中了。2004年1月8日,我国有关方面举办了“商业银行风险管理与内部控制论坛”,这表明我国银行业也开始将内部控制与风险管理联系起来。
尽管企业风险管理与内部控制有内在的联系,但现实中的内部控制应用水平与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较;典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。但是,随着内部控制或企业风险管理的不断完善,它们之间必然会相互交叉、融合,直至统一。
最近更新