風險管理是內部控制的發展方向

□文/王山海

風險管理是內部控制的發展方向

□文/王山海

實行內部控制和風險管理都是為了維護投資者利益，實現企業目標。風險管理則是在新技術和市場條件下出現的，是內部控制概念的自然延伸。從內部控制實踐發展來看，內部控制和風險管理日益融合，風險導向已是內部控制的發展方向。《企業內部控制基本規范》和《企業內部控制配套指引》的發布，標志著適應我國企業實際情況、融合國際先進經驗、以風險管理為導向的中國企業內部控制規范體系基本建成。

內部控制；風險管理；發展方向

2004年9月COSO委員會在1992年的COSO報告的基礎上，結合《薩班斯-奧克斯利法案》在報告方面的要求，頒布了《企業風險管理整體框架》的報告（ERM）。該報告把企業風險管理定義為：“企業風險管理是一個受企業的董事會、管理當局和其他職員影響，應用于戰略制定并貫穿于整個企業，用于識別可能影響企業的潛在事項并在企業的風險偏好內管理風險，為企業目標的實現提供合理保證的過程”。企業風險管理由內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控等八個相互關聯的要素組成。

一、內部控制理論的發展演進

內部控制的思想和實踐歷史悠久，其伴隨著組織的形成而產生。內部控制理論的發展大體上經歷了內部牽制、內部控制制度、內部控制結構、內部控制框架等四個階段。在每一階段，內部控制都被賦予不同的內涵。

（一）內部牽制階段。一般認為，20世紀四十年代以前是內部牽制階段。內部控制思想的萌芽早在5，000多年前就出現了。蘇美爾文化的史料記載中會計賬簿數字邊的標記、古埃及古物入倉時的職務分離、我國周朝留下的記錄“一毫財賦之出入，數人之耳目通焉”等，均反映了內部牽制的基本原理，即以賬目間的相互核對為主要內容并實施崗位分離。美國著名審計學家蒙哥馬利1912年所著的《審計—理論與實踐》一書中已明確表述過這種思想，這種思想在早期被認為是確保所有賬目正確無誤的一種理想控制方法。

（二）內部控制制度階段。20世紀四十年代到七十年代，在內部牽制思想的基礎上逐漸產生了內部控制概念。1949年美國注冊會計師協會（AICPA）所屬的審計程序委員會發表了一份題為《內部控制：系統協調的要素及其對管理部門和獨立公共會計師的重要性》的特別報告，使內部控制擴大到企業內部各個領域。內部控制的內容也發生了變化，從內部牽制時期的賬戶核對和職務分離逐步演變為由組織機構、崗位職責、人員條件、業務處理程序、檢查標準和內部審計等要素構成的較為嚴密的內部控制系統。1958年出于審計人員測試與財務報表有關的內部控制的需要，審計程序委員會又將內部控制分為內部會計控制和內部管理控制，由此內部控制進入“制度二分法”階段。

（三）內部控制結構階段。20世紀七十年代以后，內部控制的理論研究又有了新的發展，研究重點逐步從一般涵義向具體內容深化。在實踐中審計人員發現很難確切區分內部會計控制和內部管理控制，而且后者對前者其實有很大影響，無法在審計時完全忽略。于是，1988年5月AICPA發布了第55號審計準則公告《財務報表審計中內部控制結構的考慮》，以“內部控制結構”的概念取代了“內部控制制度”，并指出內部控制結構包括三個組成要素：控制環境、會計制度和控制程序。從而，內部控制從“制度二分法”步入“結構分析法”階段，這是內部控制發展史上的一次重要改變。

（四）內部控制整體框架階段。1992年9月，由美國注冊會計師協會、美國會計學會（AAA）、國際內部審計師協會（IIA）、財務經理協會（FEI）以及管理會計師協會（IMA）共同組成的COSO委員會發布了指導內部控制實踐的綱領性文件COSO研究報告：《內部控制——整體框架》（IC-IF），并于1994年作了修改。該報告重新定義了內部控制，指出內部控制整體框架由控制環境、風險評估、控制活動、信息與溝通、監控等五個要素組成，客觀地指出了內部控制的局限性，而且明確了不同人員在內部控制中的角色和責任。

自COSO報告發布以來，內部控制框架已經被世界上許多企業所采用，但理論界和實務界紛紛對該框架提出改進建議，認為其對風險強調不夠，使得內部控制無法與企業風險管理相結合。因此，2004年9月COSO委員會在1992年的COSO報告的基礎上，結合《薩班斯-奧克斯利法案》在報告方面的要求，頒布了《企業風險管理整體框架》的報告（ERM）。

二、風險評估是內部控制的關鍵因素

內部控制理論發展反映了內部控制實踐的發展。當今社會經濟環境日趨復雜，企業不可避免地會遇到各種風險，因此企業應建立風險管理機制，以防范和規避風險。而分析和辨認風險是有效內部控制的關鍵組成要素。從COSO的兩份重要報告中可以看出，不論是1992年的《內部控制——整體框架》，還是2004年的《企業風險管理——整體框架》，均把風險管理作為主要的內部控制要素，強調識別和管理風險的重要性，強調企業的風險管理應針對企業目標的實現并且在企業戰略制定階段就應該予以考慮。英國的特恩布爾報告擴大了內部控制的范圍，將內部控制與風險管理合為一體，認為兩者是近乎等同的概念。可見，內部控制和風險管理日益融合，風險導向已是內部控制的發展方向。

實行內部控制和風險管理都是為了維護投資者利益，實現企業目標。內部控制的起源較風險管理要早。最初的內部控制是隨著生產的大規模化和資本社會化產生的，是互相牽制的思想，通常采取賬目核對的方法，以確保財產安全和賬目正確。風險管理則是在新技術和市場條件下出現的，是內部控制概念的自然延伸，這可以從企業風險管理框架的變化中得到證明。框架最大的變化，就是將企業內部控制更名為企業風險管理，這一變化是有特殊意義的。事實上，幾乎所有的公司都有一大套管理制度，這些制度大到包括對外投資，小到包括差旅費報銷等，應有盡有。因此，董事會與管理層往往認為，這些制度的貫徹與執行就是內部控制的所有內容。其實，企業的管理資源是有限的，控制也是需要成本的，如果將企業主要精力放在所有細小的或微不足道的控制上，往往會舍本求末。如有些企業在差旅費報銷的規定上長達數十頁，極其繁瑣，表面上控制得很好，但浪費了許多管理資源，還會忽視企業的重大風險。所以框架要求董事會與管理層將精力主要放在可能產生重大風險的環節上而不是放在所有細小環節上，將風險管理作為內部控制的最主要內容，這是一個革命性的變化。

三、風險管理理論在我國管理實踐中的發展運用

上世紀八十年代，我國一些學者開始將風險管理和安全系統工程理論引入我國。但大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構和制度建設。

1999年修訂的《會計法》第一次以法律的形式對建立健全內部控制提出原則要求，財政部隨即連續制定發布了《內部會計控制規范——基本規范》等7項內部會計控制規范。但從更寬泛的管理意義上來說，真正把內部控制和風險管理形成法規，是受到美國2002年安然事件、世通公司財務欺詐案及隨后美國的薩班斯法案的影響。2006年經政府批準專門成立了企業內部控制標準委員會，正式開始這項工作。當年6月6日，國資委發布了《中央企業全面風險管理指引》，這是我國第一個全面風險管理的指導性文件，意味著中國走上了風險管理的中心舞臺。2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部門聯合發布了《企業內部控制基本規范》，《規范》自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行。《規范》的發布，標志著我國企業內部控制規范體系建設取得重大突破，有業內人士和媒體甚至稱之為中國版的“薩班斯法案”。

《企業內部控制基本規范》在實踐中的應用范圍，就目前來說，可以分為三類企業：一是上市公司，這是必須要進行的；二是國有企業。按國資委出臺的風險管理指引要求，下屬的企業都要全面貫徹風險管理。風險管理和內部控制是相通的。風險管理是戰略層面，最后要落腳到內部控制。對這部分企業來講，內控建設也是必須開展的；三是民營企業。這一類公司沒有相關主管部門，在《基本規范》的實施上有較大的自由度，但從長遠來看，勢在必行。

2010年4月26日，財政部、證監會、審計署、銀監會、保監會五部委聯合并發布了《企業內部控制配套指引》。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，連同此前發布的《企業內部控制基本規范》，標志著適應我國企業實際情況、融合國際先進經驗、以風險管理為導向的中國企業內部控制規范體系基本建成。

（作者單位：山東省廣播電影電視局）

[1]竇力鳴，王錦萍.薩班斯-奧克斯利法案下公司內部控制的思考.保險研究，2005.3.

[2]周兆生.C0SO企業風險管理框架（中文版）.華融資產管理公司，2004.

[3]朱榮恩，賀欣.內部控制框架的新發展-企業風險管理框架.審計研究，2003.6.

[4]晏成仿，于成松.試論現代企業內部控制制度.

[5]《內部控制問題研究》課題組.基于公司治理結構的內部控制有關問題研究.會計論壇，2005.2.

F27

A