試論企業內部控制與風險管理

張鳳霞

摘要：本文通過分析比較內部控制與風險管理的聯系與區別，指出內部控制將擴展為更全面的風險管理。

關鍵詞：內部控制風險管理

1內部控制與風險管理的比較

內部控制與風險管理有著密切的聯系。COSO(The Commit-tee of Sponsoring Organizations of the TreadwayCommittee)，即Treadway委員會的發起組織委員會在其《企業風險管理框架》中，對內部控制與風險管理的定義及其組成要素分別解釋為：內部控制：企業內部控制是由企業董事會、經理層以及其他員工共同實施的，為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素：控制環境、風險評估、控制活動、信息與溝通、監督。風險管理：企業風險管理是一個過程，是由企業的董事會、管理層以及其他人員共同實施的，應用于戰略制定及企業各個層次的活動，旨在識別可能影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理的保證。它有八個組成要素：內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。從上述來看，企業風險管理與內部控制有以下相似或不同之處：第一，它們都是由“企業董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。第二，它們都明確是一個“過程”，不能當作某種靜態的東西，如制度文件、管理模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業日常管理過程中，作為一種常規運行的機制來建設。第三，它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略(包括經營目標)制定過程。第四，風險管理與內部控制的組成要素有五個方面是重合的，即(控制或內部)環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中，內涵也有所擴展，例如，內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境“除包括上述七個方面外，還包括風險管理哲學、風險偏好和風險文化三個新內容。在信息與溝通方面，風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理，規定了信息的深度與及時性等。第五，風險管理提出了風險組合與整體風險管理的新觀念。《企業風險管理框架》借用現代金融理論中的資產組合理論，提出了風險組合與整體管理的觀念，要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露，以統籌考慮風險對策，防止分部門分散考慮與應對風險，如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門，并考慮到風險事件之間的交互影響，防止兩種傾向：一是部門的風險處于風險偏好可承受能力之內，但總體效果可能超出企業的承受限度，因為個別風險的影響并不總是相加的，有可能是相乘的；二是個別部門的風險暴露超過其限度，但總體風險水平還沒超出企業的承受范圍，因為事件的影響有時有抵消的效果。此時，還有進一步承受風險，爭取更高回報與成長的空間。按照風險組合與整體管理的觀點，需要統一考慮風險事件之間以及風險對策之間的交互影響，統籌制定風險管理方案。

2從內部控制走向風險管理

有一種爭論，即風險管理包含內部控制，或內部控制包含風險管理。筆者認為得出什么樣的結論并不十分重要，最重要的是明確風險管理與內部控制之間有重合與聯系的地方，誰的范圍更大，可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同。即使在同一個時代，不同的行業各自的側重點也可能不相同。筆者認為，在實際的經營過程中，風險管理與內部控制是密不可分的。在規則制定或立法過程中，需要考慮的是范圍與管制的強度，范圍越大，管制的要求就會越弱。對于其核心問題，如財務報告的準確可靠，最適合以立法的形式來約束，而其他更寬泛的內容則可能更適合于規則及指南。在企業內部的不同層次，風險管理與內部控制的主導性相對次序也可能不同。例如，從企業的戰略風險依次到經營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面，風險管理應該發揮主導作用，內部控制起到配合作用。這一角色逐步逆轉，到財務報告層次，應該是內部控制發揮主導作用，風險管理起到配合作用。盡管風險管理與內部控制有內在的聯系，但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較；典型的內部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數職能部門，并沒有滲透或應用于企業管理過程和整個經營系統。因此，有時看上去風險管理與內部控制還是相互獨立的兩件事，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

2.1關注企業風險比關注企業細節控制更為重要幾乎所有的企業都有一大套管理制度，這些制度大到包括對外投資、小到包括差旅費報銷等，應有盡有。因此，企業管理層認為，這些制度的貫徹與執行，就是內部控制的所有內容。其實，企業的管理資源是有限的、控制也是需要成本的。如果將企業主要精力放在所有細小的、或微不足道的控制上，往往會舍本求目，如有些企業在差旅費報銷的規定上，長達數十頁，極其繁瑣，表面上控制得很好，但浪費了許多管理資源，還會忽視企業重大風險。所以，企業風險管理要求管理層將精力主要放在可能產生重大風險環節上，而不是所有細小環節上，將風險管理作為內部控制的最主要內容，這是一個有特殊意義的變化。

2.2執行比設計內部控制更為重要應該說，任何一個公司都或多或少存在一定的內部控制，否則，公司是無法正常運行的。

2.3強調內部環境的作用強調內部環境包含了一個組織的氣氛，形成一個組織的人員識別和看待風險的基礎。內部環境主要包括：風險管理哲學和風險偏好；員工誠實性和道德觀以及企業經營環境。

2.4目標設定及事件識別要和風險戰略相一致COSO報告在調查許多大公司舞弊案中發現，許多內部控制的失敗，往往是在一開始確立公司目標時就已經鑄定了。與此同時，公司在經營過程中，對什么事件應采取什么對策并不清晰，特別是高風險事項，也采用一般程序來處理，這也是導致公司內部控制失敗的主要成因之一。一般來說，公司在認識到影響其業績的潛在事項之前，必須有一定的目標。問題是作為決策層的管理人員能否適當的設立目標，并且使選擇的目標能支持、連接企業的使命；在確立目標時考慮風險戰略，并與其風險偏好相一致。另外，一個組織必須識別影響其目標實現的內、外部事項，區分哪些是風險、哪些是機會。可能有負面影響的事項代表了風險：可能有正面影響的事項代表了能抵消負面作用的機會。通過事項識別，能引導管理層戰略或者目標始終能保持不被偏離。