論企業風險管理和內部控制的關系

從集合論的視角，經濟現象可用事件來表示，且事件按發生概率（p）可分為三類：0＜p＜1為不確定性事件，亦稱隨機事件，屬未來；P＝0為不可能事件，屬歷史；P＝1為確定性事件，也屬歷史。風險，即不確定性；企業風險，即企業未來收益的不確定性。企業風險無處不在，無時不在。本文對企業風險管理和內部控制及公司治理之間的關系進行剖析。

一、企業風險的分類

基于不同的分類標準，可對企業風險進行不同的分類。從會計現金流量表角度，將企業的經濟活動分為經營活動、投資活動和籌資活動，從而企業風險可分為經營風險、投資風險和籌資風險。經營風險表現在應收賬款、應付賬款等商業信用行為；投資風險表現為股權投資、債權投資等；籌資風險具體可分為債務風險、財務風險。從會計利潤表角度，將企業的經濟活動分為營業活動和營業外活動，從而企業風險可分為營業風險、營業外風險。營業風險具體又可細分為主營業務風險、其他業務風險、公允價值變動風險、投資風險、資產處置風險和其他風險。從戰略管理角度，企業風險可分為戰略風險、戰術風險。從組織行為學角度，企業風險可分為經營決策風險、業務執行風險。從企業風險的來源看，企業風險來源于企業的決策，包括決策的制定和執行兩大環節，決策的制定有風險，決策的執行同樣存在風險，所以，企業風險還可分為決策的制定風險、決策的執行風險。因為重要決策的制定即戰略，普通業務的決策是對戰略進行分解和落實，即戰術，貫穿于業務執行的全過程，所以，從企業風險來源角度對風險的分類與從戰略管理角度、組織行為學角度對風險的分類本質是完全一致的。

戰略管理理論認為，企業戰略是指對企業未來發展制定并實施的重大決策，企業戰略管理的過程即企業重大決策的制定和實施過程，貫穿于企業經營活動的整個過程。任何組織都有目標，企業組織也不例外，為了實現既定目標，企業通常先制定戰略，并通過不同類型的決策對戰略進行分解和落實。按所起的作用分類，企業決策可分為戰略決策、管理決策和業務決策三類。決策的制定風險主要指戰略決策、管理決策的制定風險，決策的執行風險主要指管理決策、業務決策的執行風險。

二、現有文獻關于企業風險管理概念的爭議

現有文獻關于企業風險管理概念的界定大多也是從對風險管理與內部控制二者關系進行辨析出發的，主要有三種認識。

（一）風險管理包含內部控制

周放生（2009）將企業風險分為常規風險和非常規風險，認為內部控制的存在是針對企業經營過程中的常規風險，而風險管理需要關注的不僅包含可合理預計的常規風險，還包含難以預測的非常規風險。朱榮恩（2009）也認為內部控制是風險管理的重要組成部分。

（二）內部控制包含風險管理

2004年，美國COSO委員會發布的《企業風險管理框架》將風險管理引入內部控制框架；2010年，中國財政部等五部委聯合發布的《企業內部控制基本規范》和《企業內部控制配套指引》中，將風險評估作為內部控制五大要素之一，對與實現內部控制目標相關的風險如何識別、如何分析、如何應對進行了規定。隨著內部控制目標提升為促進企業實現發展戰略，與實現內部控制目標相關的風險也擴展為企業的全面風險。所以，內部控制包含了企業風險的識別、分析和應對。

（三）風險管理與內部控制本質上無

該觀點將企業不同的風險作為內部控制的控制對象，認為風險管理和內部控制僅是風險控制的不同語義表達，并無本質區別。謝志華（2007），戴文濤（2010），方紅星、池國華（2011），李維安、戴文濤（2013）等學者持這種觀點。如，李維安、戴文濤（2013）基于戰略管理觀，將內部控制從高到低分為三個層級公司內部治理控制、管理控制和作業控制，分別對治理風險、經營風險和財務風險、作業風險實現控制。但是，將企業的風險分為治理風險、經營風險和財務風險、作業風險的理論根據不足，主觀性較強。

三、從內部控制的發展歷程來看風險管理

理論界對內部控制五階段的發展歷程基本沒有爭議：內部牽制階段（20世紀40年代前）、內部控制制度階段（20世紀40—80年代）、內部控制結構階段（20世紀80、90年代）、內部控制整合框架階段（20世紀90年代以來）、企業風險管理框架階段（2004年以來）。

人類社會早期的管理活動就包含著內部牽制的思想和做法，如實物牽制、機械牽制等。

伴隨經濟的發展，尤其是二戰以后，市場競爭激烈，股份有限公司涌現，企業對內部控制的需求更為迫切。1949年，美國“審計程序委員會”（即CAP）首先提出內部控制的概念，認為內部控制包括內部會計控制和內部管理控制兩部分。相應地，20世紀40年代以來，內部控制與審計方法相結合，制度基礎審計應運而生。

1988年，內部控制結構的提出標志著西方審計界對內部控制的研究從一般含義向具體內容深化，AICPA提出的內部控制結構認為內部控制包含三個要素：控制環境、有效的會計系統和具體的控制程序。內部控制結構將本來不可分割的內部會計控制和內部管理控制兩部分從系統論的視角重新劃分為三個密切聯系的要素，有利于內部控制的建立、運行和評價。

進入20世紀90年代，隨著信息化時代的到來，企業面臨的不確定性因素越來越多，內部控制問題不再只受審計師和企業的關注，而是成為許多企業監管、規制部門共同關注的問題。在此背景下，1992年美國“反對虛假財務報告委員會”（即Treadway委員會）下屬的“發起組織委員會 ”（CommitteeofSponsoring Organizations，簡稱COSO）發布《內部控制整合框架》報告，亦稱COSO報告，并于1994年進行了修訂。COSO報告認為內部控制由控制環境、風險評估、控制活動、信息與溝通、對控制的監控五個要素構成，其中，控制環境是內部控制整合框架的前提條件和基礎，控制活動是內部控制整合框架的核心。

鑒于企業面臨的風險日益增大，風險控制在企業運營中越發重要，2004年COSO又委托普華永道會計師事務所研發了《企業風險管理框架》。該框架包含企業目標、8個企業風險管理要素、企業各個層級的責任三個維度。該框架包含了內部控制整合框架的所有內容，并進行了拓展，在企業目標維度增加了戰略目標，使得企業目標形成一個完整體系，其中，戰略目標是最高目標，經營目標是對戰略目標的細化、分解和落實，報告目標和合規性目標是對經營目標的反映和保證；在風險管理要素中將原先的風險評估細化為目標設定、事件識別、風險評估、風險應對四個具體要素?？梢?，《企業風險管理框架》是對《內部控制整合框架》的超越，也標志著內部控制的質變。相應地，審計界也相繼開發出了風險基礎審計模型和風險導向審計模型。

綜上所述，從內部控制的發展歷程來剖析，風險管理是企業內部控制的外延逐步擴展進而質變來的，從而產生了風險管理某種意義上已上升為企業管理的另一種說法，廣義的內部控制完全等價于風險管理。

四、基于利益相關者理論對公司治理和內部控制的界定

（一）公司治理和內部控制對企業風險管理的作用

企業的風險管理水平直接決定企業能否持續經營，從公司治理和內部控制所起到的作用看，二者均能對企業的風險有所控制和管理。公司治理和內部控制對決策的制定風險和執行風險能起到相應的控制作用。戰略、管理決策的科學制定與有效實施直接決定企業能否持續經營。良好的公司治理是制定高質量戰略、管理決策的環境機制，而內部控制是戰略、管理和業務相關決策能得以有效執行的制度、流程保障。公司治理通過環境機制對決策制定風險進行控制，內部控制通過具體的控制活動對決策執行風險進行控制。

（二）基于利益相關者理論對內部控制和公司治理的界定

利益相關者理論是學術界相對于股東至上理論提出的企業管理者應當具備的新的管理主張。該理論認為，企業不應該僅僅關注股東財富的積累，而應當綜合考慮各個利益相關者的利益要求。股東和其他利益相關者之間存在的不應該是沖突，股東也是利益相關者之一，他們是“一條線上的螞蚱”，關系是唇齒相依、共存共榮的；整體上看，隨著時間的推移，利益相關者的利益都將在一個總的方向上發展。以公司利益相關者是與決策制定更相關抑或與決策執行更相關為標準，可將利益相關者劃分為與決策制定更相關的利益相關者和與決策執行更相關的利益相關者兩類。與決策制定更相關的利益相關者（亦稱決策的制定者）又可分為與企業決策制定直接相關的利益相關者，例如，股東、公司高級管理人員（包括：董事、監事、總經理）、公司普通員工（包括：副總經理、部門經理、普通員工）等和與企業決策制定間接相關的利益相關者，例如，供應商、客戶、政府和社會公眾、債權人等。與決策執行更相關的利益相關者（亦稱決策的執行者）包括公司高級管理人員（主要指總經理）、公司普通員工（包括：副總經理、部門經理、普通員工）等。

因此，基于利益相關者理論視角可對公司治理和內部控制的對象、目標及本質作如下重新詮釋。公司治理（corporate governance）研究的核心是解決因企業所有權和經營權相分離而產生的委托代理問題；是企業內外部以股東會、董事會和監事會為核心的各利益相關者之間在決策制定過程中相互制衡關系的總稱，其實質是各利益相關者之間的權利安排和利益分配關系；公司治理的基本目標是通過公司決策制定層面的科學化，實現利益相關者的利益均衡，追求企業運營過程中決策制定的公平和效率。內部控制（internal controls）研究的核心是解決企業內部高層管理者、底層管理者及普通員工之間的多重委托代理問題，是企業內部以總經理為核心的各利益相關者之間在業務執行過程中相互制衡機制的總稱，其實質是將企業各項制度和控制方法內嵌入業務流程，通過業務經辦人員強制執行相應流程來實現制衡的效果；內部控制的基本目標是通過公司決策執行層面的有效化，實現利益相關者的利益最大化，追求企業運營過程中決策執行的效率和效果。