淺議內部控制與風險管理

詹曉倩

摘要：本文通過介紹西方內部控制和風險管理理論，分析了ERM與IC-IF的關系，指出中國企業在借鑒世界發達國家的標準的同時，應結合中國企業的特點和實際情況，要有中國企業自己的內部控制和全面風險管理標準。

關鍵詞：內部控制風險管理ERM框架IC-IF框架

一、內部控制的定義

那么什么是內部控制?理論界存在各種觀點，1949年，美國會計師協會的審計程序委員會在《內部控制：一種協調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內部控制首次作了權威性定義：“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產，檢查會計信息的準確性，提高經營效率，推動企業堅持執行既定的管理政策。”

1992年，美國“反對虛假財務報告委員會”下屬的由美國會計學會、注冊會計師協會、國際內部審計人員協會、財務經理協會和管理會計學會等組織參與的發起組織委員會(COSO)發布報告《內部控制——整體框架》(即“COSO報告”)。該報告將內部控制定義為：是受企業董事會、管理當局和其他職員的影響，目的在于取得經營效果和效率、財務報告的可靠性、遵循適當的法規等目標而提供合理保證的一種過程。

我國1997年開始實施的《獨立審計具體準則第九號——內部控制與審計風險》的定義是：“內部控制是被審計單位為了保證業務活動的有效進行，保護資產的安全與完整，防止、發現、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。”

上述三個定義具有幾個共同特點：一是都將內部控制解釋為一種政策或程序(過程)；二是都在定義中說明了內部控制的目標；三是都是從審計的角度做出的定義。

二、內部控制理論發展過程

內部控制理論的發展是一個逐步演變的過程，大致可以區分為內部牽制、內部控制制度、內部控制結構、內部控制整體框架、風險管理框架五個階段。

第一，內部牽制階段。

相互核對是此階段內部控制的主要內容，設定崗位分離是內控的主要方式，這在漫長的幾千年內被認為是一種最實用的控制方法。

第二，內部控制制度階段。

內部控制制度有兩類：內部會計控制制度和內部管理控制制度，內部管理控制制度包括，不僅限于組織結構的計劃，以及關于管理部門對事項核準的決策步驟上的程序與記錄。會計控制制度包括組織機構的設計以及與財產保護和財務會計記錄可靠性有直接關系的各種措施。

第三，內部控制結構階段。

內部控制被認為是為合理保證企業特定目標的實現而建立的各種政策和程序，內部控制由三個要素組成：內控環境、會計制度和控制程序。

第四，內部控制整體框架階段。

1992年9月，COSO委員會提出了報告《內部控制——整體框架》(1994年進行了增補)，該框架指出“內部控制是受企業董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。”

第五，風險管理框架階段。

2004年9月《企業風險管理——整合框架》正式文本發布。企業風險管理整合框架認為“企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項。管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。”該框架拓展了內部控制，更有力、更廣泛地關注于企業風險管理這一更加寬泛的領域。

三、關于內部控制和風險管理的研究報告

COSO發布的研究報告《內部控制整體框架》和《企業風險管理整體框架》是美國上市的公司需要重點研究的對象。

1992年《內部控制一整體框架》(Internal Control-Integrated Framework以下簡稱為“IC-IF”框架)報告對內部控制的定義是：“內部控制是一個受到董事會、經理層和其他人員影響的過程，該過程的設計是為了提供實現以下三類目標的合理保證：經營的效果和效率、財務報告的可靠性、法律法規的遵循性。”?它認為，內部控制系統是由以下五要素組成：

內控環境——內控環境是企業的基調、氛圍，直接影響企業員工的控制意識。

風險評估——風險評估是識別、分析相關風險以實現既定目標，是風險管理的基礎。每個企業都面臨著諸多來自內部和外部的風險，影響企業既定目標的實現。因此必須設立一個機制來識別、分析和管理影響目標實現的相關風險，并適時加以管理。

內控活動——內控活動指那些有助于管理層決策順利實施的政策和程序，是針對風險采取的控制措施。

信息與溝通——是指企業經營管理所需信息必須被識別、獲得并以一定形式及時傳遞，以便員工履行職責。信息不僅包括內部產生的信息，還包括與企業經營決策和對外報告相關的外部信息。暢通的溝通渠道和機制使企業的員工能及時取得他們在執行、管理和控制企業經營過程中所需的信息，并交換這些信息。

監督——是對內部控制系統有效性進行評估的過程，可以通過持續性監督、獨立評估或兩者的結合來實現對內控系統的監督。

2002年薩班斯一奧克斯利法案頻布后，COSO于2004年發布了《企業風險管理整體框架》(以下簡稱EBM框架)。ERM框架是IC-IF框架的更新補充。ERM框架對內部控制的定義明確了以下內容：(1)是一個過程；(2)被人影響；(3)應用于戰略制定；(4)貫穿整個企業的所有層級和單位；(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險；㈣合理保證；(7)為了實現各類目標。對比原來的定義，ERM概念要細化的多。

在內部控制整合框架五個要素的基礎上，COSO企業風險管理的構成要素增加到八個：(1)內部環境；(2)目標設定：(3)事項識別；(4)風險評估；(5)風險應對；(6)控制活動；(7)信息與溝通；(8)監控。八個要素相互關聯，貫穿于企業風險管理的過程中。

COSO企業風險管理的定義：“企業風險管理是一個過程，受企業董事會、管理層和其他員工的影響，包括內部控制及其在戰略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架。為公司的董事會提供了有關企業所面臨的重要風險，以及如何進行風險管理方面的重要信息。

ERM框架重視的是企業風險管理，IC-IF框架中內部控制則是企業風險管理中不可分割的一部分。COSO在《企業風險管理框架》前言中指出，企業風險管理框架是建立在內部控制整體框架基礎之上的，對企業風險管理內容的關注更加廣泛與深入。ERM并非替代IC-IF，而是包容了IC-IF，在內控的有關概念上，兩者保持了一致與連貫。企業風險管理框架不僅可以滿足企業加強內部控制的需求，也能促進企業建立更為全面的風險管理體系。

COSO框架是目前美國使用最廣泛的框架。SEC也建議企業采用COSO框架，中國企業要實施全面內部控制與風險管理，必然借鑒世界發達國家的標準，但不能照抄照搬，要適合中國企業的特點和實際情況，要有中國企業自己的內部控制和全面風險管理標準。

中國企業要實施全面內部控制與風險管理，必然借鑒世界發達國家的標準，但不能照抄照搬，要適合中國企業的特點和實際情況，要有中國企業自己的內部控制和全面風險管理標準。