淺論內部控制與風險管理

【摘要】 本論文前兩部分介紹美國COSO委員會關于內部控制及風險管理的兩個報告以及相關研究，第三部分分析比較內部控制與風險管理的聯系與區別，并在第四部分指出內部控制將擴展為更全面的風險管理，以期對理論意義和實際應用有所裨益。

【關鍵詞】 風險管理框架；內部控制框架；風險管理；內部控制

【中圖號】 C935【文獻標示碼】 A 【文章編號】 1005-1074(2008)12-0135-02

1 引言

自1992年美國COSO委員會發布并于1994年修訂的《內部控制整體框架》(COSO-IC)以來，該框架已在全球獲得廣泛的認可和應用，但理論界和實務界一直不斷對其提出一些改進建議，強調內部控制整體框架的建立應與企業風險管理相結合。2004年9月發布的企業風險管理整體框架(COSO-ERM)就是在1992年的研究成果—《內部控制整體框架》報告的基礎上，結合2002年《薩班斯一奧克斯法案(Sarbanes-Oxley Act，SOX)在報告方面的要求，進行擴展研究得來的。風險是一個比內部控制更為廣泛的概念，因此，企業風險管理框架中的許多內容比1992年報告的內容要更為全面、更為深刻。當然，風險管理整體框架(COSO-ERM)建立在內部控制整體框架(COSO-IC)的基礎上，內部控制則是企業風險管理必不可少的一部分。風險管理框架的范圍比內部控制框架的范圍更為廣泛，是對內部控制框架的擴展，是一個主要針對風險的更為明確的概念。

2 內部控制與風險管理的概念

2.1 內部控制的概念 關于內部控制的概念很多學者對其有很多的看法，但在國際上最有影響力并且居于主導地位的是美國全國反舞弊性財務報告委員會下屬的COSO 委員會所提出來的。COSO 對內部控制的定義為，內部控制是由企業董事會，經理階層和其他員工實施的，為經營的效率效果，財務報告的可靠性和相關法律的遵循等目標的實現而提供合理保證的過程；并且把內部控制分為五個方面。

2.1.1 控制環境 指一個企業的氛圍，它構成影響內部人員控制其他成分的基礎。

2.1.2 風險評估 風險評估是指管理層識別并采取行動來管理對經營、財務報告，符合性目標有影響的內部或外部風險，包括風險識別和風險分析。

2.1.3 控制活動 控制活動指針對已經確認的風險采取措施，以確保企業實現目標的政策和程序。控制活動又包括業績評價，信息處理，實物控制和職責分離四個部分。

2.1.4 信息與溝通 信息與溝通是指為了有效的實現企業目標，企業要對內部信息和外部信息進行識別、記錄和交流。

2.1.5 監督與控制 監督與控制指對內部控制活動進行評價和監督。以上五個因素是相互聯系、相互制約和配合的，從而形成一個完整的內部控制系統。

2.2 風險管理的定義

2.2.1 企業風險管理的定義 企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的

事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。這是一個廣義的風險管理定義，適用于各種類型的組織、行業和部門。

2.2.2 企業風險管理的構成要素 企業風險管理分為內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等八個相互關聯的要素，貫穿在企業的管理過程之中。

3 內部控制與風險管理的比較

3.1 內部控制與風險管理的聯系 從COSO的兩份報告來看，企業風險管理與內部控制有以下相似之處。①它們都是由“企業董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，涉及一個企業各個層次員工，指出各方在內部控制或風險管理中都有相應的角色與職責。②它們都明確是一個“過程”，不能當作某種靜態的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業日常管理過程中，作為一種常規運行的機制來建設。③它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略（包括經營目標）制定過程。

3.2 內部控制與風險管理的區別 新的風險管理框架比起內部控制框架，無論在內容還是范圍上都有所擴大和提高，具體表現在。①提出一個新的觀念——風險組合觀，企業風險管理要求企業管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。對企業內每個單位而言，其風險可能落在該單位的風險容忍度范圍內，但從企業總體來看，總風險可能超過企業總體的風險偏好范圍。因此，應從企業總體的風險組合的觀點看待風險。②增加一類目標——戰略目標，并擴大了報告目標的范疇內部控制框架將企業的目標分為經營、財務報告和合法性目標。企業風險管理框架也包含三個類似的目標，但是其中只有兩個目標與內部控制框架中的定義相同，財務報告目標的界定則有所區別。內部控制框架中的財務報告目標只與公開披露的財務報表的可靠性相關，而企業風險管理框架中的報告目標的范圍有很大的擴展，該目標覆蓋了企業編制的所有報告。此外，企業風險管理框架比內部控制框架增加了一個目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。③針對風險度量提出兩個新概念——風險偏好和風險容忍度，針對企業目標實現過程中所面臨的風險，風險管理框架對企業風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看，風險偏好是指企業在實現其目標的過程中愿意接受的風險的數量。風險偏好的概念是建立在風險容忍度概念基礎上的。風險容忍度是指在企業目標實現過程中對差異的可接受程度，是企業在風險偏好的基礎上設定的對相關目標實現過程中所出現差異的可容忍限度。在確定各目標的風險容忍度時，企業應考慮相關目標的重要性，并將其與企業風險偏好聯系起來。④增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大企業風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應”。目標制定——在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。事項識別——企業風險管理和內部控制框架都承認風險來自于企業內、外部各種因素，而且可能在企業的各個層面上出現，并且應根據對實現企業目標的潛在影響來確認風險。但是，企業風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業內部和外部資源的，可能影響企業戰略的執行和目標實現的一件或者一系列偶發事項。存在潛在的積極影響的事項代表機遇，而存在潛在負面影響的事項則稱為風險。企業風險管理框架采用一系列技術來識別有關事項并考慮有關事項的起因，對企業過去和未來的潛在事項以及事項的發生趨勢進行計量。風險反應——企業風險管理框架提出對風險的四種反應方案：規避、減少、共擔和接受風險。作為風險管理的一部分，管理者應比較不同方案的潛在影響，并且應在企業風險容忍度范圍內的假設下，考慮風險反應方案的選擇。在個別和分組考慮風險的各反應方案后，企業管理者應從總體的角度考慮企業選擇的所有風險反應方案組合后對企業的總體影響。總的來講，新的框架強調在整個企業范圍內識別和管理風險的重要性，強調企業的風險管理應針對企業目標的實現在企業戰略制定階段就予以考慮，而企業在對其下屬部門進行風險管理時，應對風險進行加總，從組織的頂端、以一種全局的風險組合觀來看待風險。此外，根據風險管理的需要，對企業目標進行重新的分類，明確戰略目標在風險管理中的地位。

4 內部控制與風險管理的融合

現在存在一些爭論，即風險管理包含內部控制，或內部控制包含風險管理。得出什么樣的結論并不十分重要，最重要的是明確風險管理與內部控制之間有重合與聯系的地方。誰的范圍更大，可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同。在實際的經營過程中，風險管理與內部控制是密不可分的。在企業內部的不同層次，風險管理與內部控制的主導性相對次序可能不同，例如，從企業的戰略風險依次到經營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面，風險管理應該發揮主導作用，內部控制起到配合作用。這一角色逐步逆轉，到財務報告層次，應該是內部控制發揮主導作用，風險管理起到配合作用。盡管風險管理與內部控制有內在的聯系，但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較，例如，銀行業的授信管理或市場（價格）風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數職能部門，并沒有滲透或應用于企業管理過程和整個經營系統，因此，有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

5 參考文獻

[1] 朱榮恩.內部控制評價[M].北京:中國時代經濟出版社，2002：5-8.

[2] 杜 棟.管理控制學[M].北京:清華大學出版社，2006：140-152.

[3] 朱榮恩，賀 欣.內部控制框架的新發展-企業風險管理框架[J]．審計研究，2003，(6)：11-15．

[4] 楊雄勝.內部控制理論面臨的困境及其出路[J].會計研究，2006，(2):27-28.