|
风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来,风险的概念就扩大了。比如,一 个武士在张弓搭箭,射向猎物的时候,他的目标是射中猎物,而他的风险就存在于他射击猎物的全过程。首先,他本人的素质,他的精、气、神,他的体力和视力。其次,他的弓箭的质量。再次,猎物的大小、距离和移动速度。此外,狩猎时的环境、气候条件(风速)等外部干扰因素,也构成对击中目标的风险。对一家公司而言,风险既预示着机遇,又会影响其竞争能力,并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。
风险是如此之广泛,以至于有人认为风险管理就是内部控制,甚至风险管理包括了内控。把两者混淆的问题在于没有看到内部控制是管理的更本质性的内容。
诚然,风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内部控制要做的。特别是内控并不负责风险管理目标的具体设立,这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价,并做出完整的专业性鉴定的一种系统过程。当然,风险评估首先要注意目标问题,因为,没有明确的目标,也谈不上目标实现的风险。但是在目标方面,内部控制并不是目标的制定活动,而是对目标制定的评价工作,特别是对目标和战略计划制定当中风险的评估,风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动,比如,对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。
内部控制强调评估经营管理活动中突出的风险点(当然,这些风险点不是固定不变的),建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险,又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为,内控的过程涵盖了公司所面对的,并在公司内由各级人员所经营的所有的内部和外部的风险。
然而现实中的风险管理却很实在,风险管理不同于内部控制之处在于,典型的风险管理比较关注特定业务的战略的评审,旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。现实情况中的风险管理一方面有其特有的内涵和现实的范畴,另一方面也在某些内容上与内部控制相交叉。COSO认为风险管理不属于内部控制的范围,而是非内控性的管理活动,这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中,与内部控制相交叉,属于内控强化过程中的管理活动。
然而,内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中,管理层的监督并不是没有,而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内部控制也没有达到现代内控原理的要求。特别应该指出,风险管理的全部活动都在内控的监督评审之下,不外乎一些国内外专家认为,内控涵盖了风险管理。内控的确处在比风险管理更高的层次上,尽管内控并没有超出广义管理的大范围。
|
|