企業風險管理與內部控制的關系與應用

上海交通大學 朱大華

一、風險管理與內部控制的國內外主要觀點

（一）國外主要觀點 為當前比較流行的三種主要的國外觀點，如表1所示。

表1 國外主要觀點

（二）國內主要觀點 國內學術界、實務界對內部控制與風險管理二者關系的探討隨著市場環境的變化不斷深入。宋常、丁衛從邊界與內涵、框架與內容、技術與方法三個方面分析了風險管理與內部控制的區別；丁友剛、胡興國從經濟環境與組織目標的變化出發，探討了內部控制和風險管理的關系，指出內部控制由單純的實物風險控制發展為報告風險控制、經營風險控制及合規性風險控制，最后與企業綜合風險管理相融合，伴隨著組織目標和經濟環境的變化而不斷改變。謝志華對內部控制、公司治理和風險管理發展過程進行分析，提出風險控制是內部控制的發展主線，內部控制、公司治理、風險管理融合在企業管理的整體框架中。風險管理是內部控制的本質，企業發展的不同階段因為風險的不同而表現出不同形態的內部控制理論。

二、風險管理與內部控制的發展

（一）內部控制發展初始階段 20世紀40年代以前，完整的內部控制體系尚未形成，企業對如何通過建立內部管理機制規避內部操作風險的認識較為模糊，慣用的做法是設計并執行與財務相關的不相容職責分離。如審批權與執行權的分離、實務管理與賬務管理分離、保管與記錄分離等。在設計不相容職責階段，首先要對企業與財務相關的業務進行全面了解，對不相容職責進行充分識別，在此基礎上設計易于理解的職責分離文件，并在企業內部進行充分宣導與執行。當然，職責分離往往附帶一系列保障措施，如信息系統口令、定期輪崗、各類賬目的定期核對等。

（二）整體內部控制階段 內部控制制度階段是內部控制逐步完善的階段，這一階段由20世紀40年代持續至90年代。1992年，由美國反對虛假財務報告委員會（NCFR）發起的COSO委員會提出了《內部控制—整體架構》報告。此報告將內部控制定義為一個會受公司董事會、管理層和其它員工影響的過程，旨在為內部控制的三大目標——經營目標、報告目標、合規目標提供合理保證，報告內容涉及到控制環境、風險評估、控制活動、信息與溝通與監督五個方面。控制環境是企業的內控意識，是“來自高層的聲音”，主要包括誠信與道德觀、管理理念與經營作風、組織架構、職責和職權的分配、員工個人勝任工作能力、董事會與審計委員會、人力資源規劃和實施等；風險評估是對內部、外部影響企業績效因素的評估，包含目標設定與溝通、風險識別及評估、風險應變措施等；控制活動是確保風險管理活動被及時執行的政策和流程，以及關鍵領域的內部控制；信息與溝通包含內外部信息溝通渠道的建立、信息系統的決策支持、信息系統的開發和維護等；監控是為了判定內部控制設計的充分性和執行的有效性，包括定期評估內控體系、缺陷報告與解決等。

（三）風險導向內部控制階段 企業所面臨的環境動蕩不安，而內部控制的建立需要兼顧成本效益原則。在整體內部控制的基礎上，為了更有效的利用企業資源以抵御各類內外部風險，“風險導向內部控制”的理念逐步形成。風險導向內部控制，是以風險識別和評估為基礎，管理風險，繼而分析、設計和實施內部控制的過程，旨在降低風險以實現企業的既定目標。風險導向的內部控制要求董事會與管理層將主要精力放在可能產生重大風險的環節上，而不是關注企業管理的所有細小環節。其思想的精髓如下：任何公司都是流程的集合，根據風險評估加以引導并從流程視角看問題，可以有效促進部門之間的溝通；流程是若干控制活動的集合，即能夠滿足某些控制目標的作業即為“控制活動”；基于成本效益原則以及所防范風險的高低，管理層確定“關鍵控制活動”并進行測試；內控體系的完善即保證控制活動實現內控目標的完整性和有效性，包括控制設計和執行的完整和有效。

（四）全面風險管理階段 2004年至今，不同國家監管機構/標準委員會紛紛對風險管理進行了詮釋。縱觀國內外風險管理標準體系（包括美國COSO、澳新標準-AS/N Z S 4360、中央國資委-《中央企業全面風險管理指引》、I S O31000），均包含風險識別、風險評估、風險應對三個核心步驟。其中風險識別是管理基礎，是通過全面、完整的梳理，確定風險事項，并完成風險清單/風險數據庫；風險評估是資源配置，根據潛在風險產生影響的種類，參考國家相關規定和特定業務領域的實際情況，確定風險評估標準，包括風險發生的可能性評估標準和風險發生影響評估標準，再根據風險評估標準進行多緯度、多層次的評分，完成風險評估后各風險點按流程進行歸類，基于固有風險和剩余風險評估結果，確定風險等級領域，直觀的展現企業各業務流程的風險情況，以奠定資源配置的基礎；風險應對是企業價值的保護和再創，合理配置資源，有針對性地、有計劃性地解決風險問題。

三、風險管理與內部控制的關系

（一）風險管理體系是內部控制體系風險評估的前提 如表2所示，筆者對比分析了《內部控制整體框架》（1992）和《企業風險管理整合框架》（2004）。以風險為導向的內部控制機制已經得到理論界和實務界的普遍認可，內部控制五要素中包含風險評估能否說明內部控制包含風險管理？答案是否定的，將風險評估納入內部控制體系，目的是建立以風險為導向的內部控制機制，這并不能證明內部控制包含風險管理，風險管理的邊界和要素比內部控制更多更廣，而且內部控制的風險評估需以風險管理目標的設定為前提。《企業風險管理整合框架》將風險管理定義為“是公司的董事會、管理層和其他員工共同參與的一個過程，應用于企業的戰略制訂并貫穿于企業經營管理活動之中，旨在識別可能會影響主體的潛在事項，管理風險將其控制在管理當局的風險偏好之內，為企業目標的實現提供合理保證。”此定義強調風險管理的目標性，明確風險是與企業戰略選擇相對應的風險，戰略目標與企業的發展、企業的使命相關聯，是識別和評判企業風險的前提條件，企業風險管理和內部控制中涉及的風險是阻礙戰略目標實現的內外部風險。戰略目標是統籌企業風險管理的全局性目標，風險管理作為一種管理活動的起始點是調查判斷企業的風險偏好和風險容忍度，在此基礎上評價備選戰略、設定相關目標，并圍繞這一戰略目標，對潛在的機會和風險進行識別評估。內部控制框架中沒有包含戰略目標這一要素，風險評估的標準沒有明確與企業戰略目標掛鉤，其特定目標是維護企業的經營和效率、財務報告的可靠性及經營活動的合法合規性，這些目標服務于實現價值創造和企業戰略的終極目標。因此，風險管理中制定企業戰略、設定風險管理目標和圍繞戰略目標進行風險評估，相比內部控制的風險評估，是更高層次的管理活動，是內部控制進行風險評估的前提，只有在設定風險管理目標后，才能根據這一目標進行內部控制的風險識別和評估。同時，內部控制是風險管理的重要手段，風險管理體系下制定戰略目標、圍繞戰略目標進行風險評估，是內部控制體系進行風險評估的前提。

表2 對比分析表

（二）內部控制體系依賴于風險管理體系 由于內部控制體系的側重點主要集中在財務方面，因此它對諸如公司戰略、人力資源等企業其他層面的管理就難免被疏忽，其自身的風險需要其他的管理體系加以識別和評估。內部控制主要由會計界和審計界提出并推動其發展，因此不可避免的帶有會計、審計行業烙印，《內部控制整體框架》雖將管理與控制相糅合，但其關注焦點仍放在財務方面，許多其他管理被忽視，如企業戰略。作為解決所有者與經營者之間代理關系的手段之一，實施內部控制需要花費大量成本（包括各部門間的溝通成本），根據內部控制的成本效益原則，其實施成本不應超過預期的效益，實踐中由于成本和效益的不確定性，人為判斷失誤會導致企業利益受損，而判斷失誤和串通勾結等缺陷在《內部控制整體框架》中給“合理而非絕對保證”提供了范例。史蒂文·J·魯特在其著作《超越COSO-強化公司治理的內部控制》中提出：“對于預期要達到的目標而言，內部控制可被依賴的程度是有其固有局限的。”全面風險管理除關注財務外，還強調其他方面的管理，并對內部控制體系的自身風險進行識別和評估，建立相應的風險應對機制。

（三）風險管理體系是內部控制體系的拓展和升華 對比內部控制體系，風險管理具有全局觀、整體觀。內部控制多從單項業務、單項風險、個別部門出發，對風險進行識別和評估，而風險管理體系提出了“風險組合管理”新概念，根據資產組合理論，多元化的資產組合可以降低投資風險，應用于企業風險管理體系，一個企業的不同風險可能相互增強，也可能相互抵減，或者單個部門的風險在各部門自身的風險容忍度范圍內，但整體來看可能超出企業的風險容忍度，因而要從全局來看風險對企業的整體影響。風險管理的整體觀建立在對單項業務、單項風險的分析基礎上，是對企業各部門局部風險的整合與提升，且根據企業戰略目標提供了一個整體的解決框架，確保各部門的活動符合企業整體利益。因此，風險管理體系是內部控制體系的拓展和升華。

四、風險管理體系與內部控制體系在實務層面的應用

改革開放以來，我國僅用短短30年時間就超越了發達國家花了上百年時間才獲得的經濟快速增長速度，并且成為世界第二大經濟體。這得益于我們引進、消化和吸收了發達國家創造發明的科學管理體制，而風險管理體系和內部控制體系的建立與完善就是其表現。但是，在公司制企業建立的同時，舞弊丑聞也頻頻曝光。公司面臨的風險不斷加劇，風險程度不斷提升，以致接連不斷地出現公司破產現象。在現代企業制度的建立與發展的過程中，公司舞弊防范、營運和財務風險的防范就成為了現代企業制度所亟需面臨和解決的問題。理論界和實務界為此也提出了內部控制與風險管理的各項控制規范和措施。這些控制規范和措施不僅在企業層面，也在國家層面的角度上制定，制定的主體也出現了企業、民間和政府共同參與的良好局面，我國主要以政府為主導的行政法規形式制定。

2006年6月，國務院國資委出臺了《中央企業全面風險管理指引》，指導企業開展全面風險管理工作，進一步提高企業管理水平，增強企業競爭力，促進企業穩步發展；2010年4月，財政部、證監會、審計署、銀監會、保監會等五部委聯合頒布了《企業內部控制配套指引》，涵蓋企業經營管理的各個方面，用于指導企業按照內控原則和內控“五要素”建立健全本企業內部控制體系，促進企業對法律、法規及準則的遵循，提高企業財務信息的可靠性，為中國企業提升經營管理水平和風險防范能力提供更清晰的指導。

內部控制體系和風險管理體系都是基于企業存在風險而產生的，他們都是為了進行風險控制，因此，企業在實際經濟活動中，可以將不同的監管機構的要求，整合為一種統一的規范，以風險管理體系為總綱，以內部控制體系為細則。企業應在風險管理總體框架體系下，建立健全內部控制體系，以保證風險管理工作的有效實施；完善的內部控制體系，又能幫助企業建立一整套風險識別和風險控制的程序和方法，規避所面臨的各類風險，提高經營效率以及各項法律法規的執行。依此，我們將二者整合成如下框架，如圖1所示。

圖1 內部控制與風險管理整合框架示意圖

企業在實現二者整合建立新的框架的過程中，必須以風險控制體系為主線，以企業經營活動的真實性、合規性為控制目標，以內部環境、目標設定、風險評估、風險應對、控制活動等風險管理過程為程序方法，考慮戰略、計劃、組織、執行等多項流程環節，建立健全多層級的、以企業全員為責任主體的控制體系。

［1］丁友剛、胡興國：《內部控制、風險控制、風險管理》，《會計研究》2007年第12期。

［2］謝志華：《內部控制、公司治理、風險管理：關系與整合》，《會計研究》2007年第10期。

［3］宋常、丁衛：《企業風險管理與內部控制關系探微》，《企業改革與發展研究》2007年第2期。

［4］黃冉：《論內部控制、公司治理、風險管理的實施》，中國會計學會內部控制專業委員會2009內部控制專題學術研討會論文。

［5］程新生主編：《企業內部控制》，高等教育出版社2008年版。

［6］史蒂文·J·魯特著，劉霄侖主譯：《超越COSO：強化公司治理的內部控制》，中信出版社2004年版。