內部控制與風險管理密不可分。風險管理是內部控制的核心,也是內部控制的目標,內部控制是管理風險的一種手段。因此在理解內部控制之前,首先要弄清楚企業有哪些風險,哪些是可以透過內部控制防範的,哪些是透過其他手段防範的。
首先,企業風險分類。
風險分類的方式有很多,跟內部控制聯絡在一起,可以把風險分為兩大類:可控風險與不可控風險。不可控風險主要包括政策變更、自然災害、宏觀經濟變化等。可控風險主要包括企業運營層面的風險。
內部控制一般來講控制的是可控的風險,即運營層面的風險。
從這裡也可以看到,企業全面風險管理講的是針對所有風險的管理,而內部控制講的是針對可控風險的管理,這是內部控制與風險管理的區別和聯絡。
其次,內部控制的目標。
廣義的風險是中性的概念,它既有可能給企業帶來損失,也有可能給企業帶來收益。因此,企業採取內部控制措施的時候,還需要把可控風險再進一步分類。
有的風險發生後,只能帶來損失,因此這類風險就稱之為“危害性風險”,比如煤礦坍塌、化工廠爆炸等。對於這類風險,內部控制的目標就是“盡最大努力杜絕風險”,徹底消除這類風險。因此這類內部控制的方案、手段比較複雜,成本很高。
有時候,企業在做內部控制方案的時候,會考慮成本與收益的問題。比如某類風險發生後帶來的損失很少,但是採取控制措施的成本很高,可能企業覺得不划算,乾脆就任由風險發生。
我的觀點是,千里之堤毀於蟻穴,企業的風險都不是孤立的,儘管某個風險表面上帶來的損失很小,但是這個風險很有可能關聯到其他方面,這種潛在的影響有時候是無法估量的,或者說在當時是無法預料的。因此,既然已經看到了風險,就必須想辦法控制,不留任何隱患。
繼續。
還有的風險既有可能帶來收益,也有可能帶來損失,比如企業研發某項技術,研發成功就能帶來巨大收益,研發失敗就會導致前期投入打水漂。再比如企業營銷廣告,打廣告有可能帶來業績增長,也有可能沒有效果。這類風險就是“不確定性的風險”。
還有一類風險,叫做“投機性風險”,它的特點就是企業主動去承受一定風險,獲取一定的收益,比如企業做一些投資專案。這也屬於不確定性的風險,不過它對企業來說更有誘惑,被高收益所誘惑。
風險與收益是戀生兄弟,高風險高收益。對於不確定性的風險,內部控制的目標就是“積極管理”,使之往好的方向發展。
最後,內部控制如何去做?
明白了內部控制與風險的關係及內部控制的目標,就要採取一些措施去實現目標。說到內部控制的實施,書上講了“五要素”,特別經典的說法。這裡無可厚非,五要素已經非常全面的把內部控制的流程概括好了(我一般是對管理學教材的觀點進行批判的,但是這裡沒得黑,五要素確實是全面)。
其實,按照五要素的要求,中規中矩的做風險管理,沒錯。在面對風險的時候,保持一顆敬畏的心,還是非常有必要的。根據我的理解,簡單介紹一下五要素如何去實施。
第一,內部環境。
不管做什麼事,一個有利的環境是必須的。內控的核心是制衡,就叫做令行禁止吧。古代行軍打仗之前,都會頒佈幾項紀律。我們有三大紀律八項注意。這就是塑造一種氛圍,讓大家聽話,這樣以後再下達什麼命令就容易執行了。如果一開始就一盤散沙,後面就控制不了局面了。
內部環境就是要塑造一種紀律性的氛圍。各個管理機構、部門都要明確自己的職責,權力恰當分配,一切行動聽指揮。
第二,風險評估。
包括識別風險、評估風險的影響、採用哪種應對方案。同時企業應該針對某項風險設定一個可承受度。為什麼呢,因為上面提到過,風險與收益平衡,一點都不想承擔風險,那麼收益就沒有了。
第三、控制活動。
就是一些具體的做法了。書上講的很詳細,此處不再贅述,可以看看書。這裡要考慮上面提到過的一個原則:衡量控制措施的成本與防範風險帶來的收益。控制措施可能有多種,當然是選擇成本最小的那種,但是不能因為收益太小而不去控制。
第四、資訊與溝通。
我覺得這一條用處最大的就是反舞弊。有些舞弊行為,有可能是幾個人串通,做出一套完整的流程,外部的人根本發現不了。因此設立舉報或投訴的機制,把這些隱蔽的舞弊行為挖掘出來。其實很多大案要案,不是外部檢查出來的,而是內部舉報的。
第五、監督。
就是看看內部控制措施有沒有執行,執行的如何等等。監督,貴在獨立和長效。獨立不多說了。長效的意思是,建立長效機制,就是說這種監督不是一時的,而是持續的,不搞定期檢查。
內部控制與風險管理密不可分。風險管理是內部控制的核心,也是內部控制的目標,內部控制是管理風險的一種手段。因此在理解內部控制之前,首先要弄清楚企業有哪些風險,哪些是可以透過內部控制防範的,哪些是透過其他手段防範的。
首先,企業風險分類。
風險分類的方式有很多,跟內部控制聯絡在一起,可以把風險分為兩大類:可控風險與不可控風險。不可控風險主要包括政策變更、自然災害、宏觀經濟變化等。可控風險主要包括企業運營層面的風險。
內部控制一般來講控制的是可控的風險,即運營層面的風險。
從這裡也可以看到,企業全面風險管理講的是針對所有風險的管理,而內部控制講的是針對可控風險的管理,這是內部控制與風險管理的區別和聯絡。
其次,內部控制的目標。
廣義的風險是中性的概念,它既有可能給企業帶來損失,也有可能給企業帶來收益。因此,企業採取內部控制措施的時候,還需要把可控風險再進一步分類。
有的風險發生後,只能帶來損失,因此這類風險就稱之為“危害性風險”,比如煤礦坍塌、化工廠爆炸等。對於這類風險,內部控制的目標就是“盡最大努力杜絕風險”,徹底消除這類風險。因此這類內部控制的方案、手段比較複雜,成本很高。
有時候,企業在做內部控制方案的時候,會考慮成本與收益的問題。比如某類風險發生後帶來的損失很少,但是採取控制措施的成本很高,可能企業覺得不划算,乾脆就任由風險發生。
我的觀點是,千里之堤毀於蟻穴,企業的風險都不是孤立的,儘管某個風險表面上帶來的損失很小,但是這個風險很有可能關聯到其他方面,這種潛在的影響有時候是無法估量的,或者說在當時是無法預料的。因此,既然已經看到了風險,就必須想辦法控制,不留任何隱患。
繼續。
還有的風險既有可能帶來收益,也有可能帶來損失,比如企業研發某項技術,研發成功就能帶來巨大收益,研發失敗就會導致前期投入打水漂。再比如企業營銷廣告,打廣告有可能帶來業績增長,也有可能沒有效果。這類風險就是“不確定性的風險”。
還有一類風險,叫做“投機性風險”,它的特點就是企業主動去承受一定風險,獲取一定的收益,比如企業做一些投資專案。這也屬於不確定性的風險,不過它對企業來說更有誘惑,被高收益所誘惑。
風險與收益是戀生兄弟,高風險高收益。對於不確定性的風險,內部控制的目標就是“積極管理”,使之往好的方向發展。
最後,內部控制如何去做?
明白了內部控制與風險的關係及內部控制的目標,就要採取一些措施去實現目標。說到內部控制的實施,書上講了“五要素”,特別經典的說法。這裡無可厚非,五要素已經非常全面的把內部控制的流程概括好了(我一般是對管理學教材的觀點進行批判的,但是這裡沒得黑,五要素確實是全面)。
其實,按照五要素的要求,中規中矩的做風險管理,沒錯。在面對風險的時候,保持一顆敬畏的心,還是非常有必要的。根據我的理解,簡單介紹一下五要素如何去實施。
第一,內部環境。
不管做什麼事,一個有利的環境是必須的。內控的核心是制衡,就叫做令行禁止吧。古代行軍打仗之前,都會頒佈幾項紀律。我們有三大紀律八項注意。這就是塑造一種氛圍,讓大家聽話,這樣以後再下達什麼命令就容易執行了。如果一開始就一盤散沙,後面就控制不了局面了。
內部環境就是要塑造一種紀律性的氛圍。各個管理機構、部門都要明確自己的職責,權力恰當分配,一切行動聽指揮。
第二,風險評估。
包括識別風險、評估風險的影響、採用哪種應對方案。同時企業應該針對某項風險設定一個可承受度。為什麼呢,因為上面提到過,風險與收益平衡,一點都不想承擔風險,那麼收益就沒有了。
第三、控制活動。
就是一些具體的做法了。書上講的很詳細,此處不再贅述,可以看看書。這裡要考慮上面提到過的一個原則:衡量控制措施的成本與防範風險帶來的收益。控制措施可能有多種,當然是選擇成本最小的那種,但是不能因為收益太小而不去控制。
第四、資訊與溝通。
我覺得這一條用處最大的就是反舞弊。有些舞弊行為,有可能是幾個人串通,做出一套完整的流程,外部的人根本發現不了。因此設立舉報或投訴的機制,把這些隱蔽的舞弊行為挖掘出來。其實很多大案要案,不是外部檢查出來的,而是內部舉報的。
第五、監督。
就是看看內部控制措施有沒有執行,執行的如何等等。監督,貴在獨立和長效。獨立不多說了。長效的意思是,建立長效機制,就是說這種監督不是一時的,而是持續的,不搞定期檢查。