內部控制與企業風險管理的關系探討

林盛(中國海洋石油總公司審計部,北京 100010)

內部控制與企業風險管理的關系探討

林盛(中國海洋石油總公司審計部,北京 100010)

本文從內部控制與企業風險管理的現狀入手，在比較內部控制整體框架和企業風險管理總體框架的基礎上，對內部控制和風險管理的聯系和區別進行了分析，得出的啟示為風險管理包含內部控制。同時，簡要思考了風險管理在我國運用中存在的問題。

內部控制；風險管理；業務流程

1　內部控制與企業風險管理的現狀

1992年美國COSO發布了《內部控制——整體框架》（ⅠC框架）報告，將風險評估納入內部控制范疇，成為美國上市公司內部控制參照標準。2004年美國COSO在ⅠC框架基礎上，拓展了發布了風險識別、風險評估和風險應等企業風險管理內容，發布了《企業風險管理總體框架》（ERM框架），在內部控制的基礎上拓展了企業風險管理。

2003年以來，我國證監會、上交所和深交所、銀監會、財政部等相關政府部門和行業監管機構先后出臺《企業內部控制基本規范》等多個內部控制指引。2004年以來，我國銀監會、國資委、國標委先后頒布《中央企業全面風險管理指引》等多個風險管理指引。

2　IC整體框架與ERM框架比較

2.1定義比較

COSO對內部控制的定義是，內部控制是由董事會、經理層以及其他員工共同實施的，為經營效率與效果、財務報告可靠性、相關法規遵循性等目標的實現而提供合理保證的過程。COSO對企業全面風險管理的定義是，企業風險管理是一個過程，是由企業董事會、管理層以及其他人員共同實施的，應用于戰略制定及企業各個層次的活動，旨在識別可能影響企業的各種潛在事件，并按企業的風險偏好管理風險，為企業目標實現提供合理的保證。從這定義看，內部控制和風險管理存在以下區別與聯系：

一是都強調全員參與，都由企業董事會、管理層以及其他人員共同實施。

二是都是為企業目標的實現提供合理保證。但內部控制的目標較窄，包括經營效率與效果、財務報告可靠性、法規遵循性等子目標。企業風險管理的目標是企業總目標，包含內部控制的三個子目標。

三是都是一個管理“過程”，都是管理“活動”的組合。

四是內涵有所區別。風險管理的內涵包括企業戰略制定過程，而內部控制則沒有。

五是方式方法有所區別。風險管理強調按風險偏好管理風險，而內部控制沒有強調風險管理相關內容。

2.2構成要素比較

COSO內部控制的五個要素包括控制環境、風險評估、控制活動、信息與溝通、監督。COSO風險管理的八個要素包括內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。內部控制和風險管理在要素構成上存在以下區別與聯系：

第一，內部環境關于董事會和管理層的作用存在細微但卻十分重要的差別。ⅠC框架的控制環境要素一是包括“董事會提供的關注和方向”，即內部控制體現董事會的關注，沒有強調董事會對內部控制的更多作用和職責；二是包括管理層的經營模式和管理方式，但沒有按現代公司治理要求強化管理層應有效銜接公司治理和內部控制，并將公司治理原則和要求落實到內部控制中去。ERM框架的內部環境要素一是包括“董事會是內部環境的重要組成部分，對其他控制有著重要影響”，強調董事會對風險管理的重要作用；二是包括“管理者也是控制環境的一部分，職責是建立風險管理理念、確定風險偏好、營造風險文化”，強調并明確了管理層對風險管理的職責。

第二，兩者服務的目標存在差別。ⅠC框架的要素中不含企業“目標”，但在定義中列出了經營效率與效果、財務報告可靠性、法規遵循性等三個子目標，但這些目標不夠全面且未上升到戰略層面。ERM框架的要素中目標制定，強調戰略目標需層層分解和落實到各個子目標，要求子目標遵循戰略方案，應與戰略方案保持關聯性，更強調風險管理在戰略管理中的重要作用。

第三，對風險管理的深度和廣度存在明顯差別。ⅠC框架的要素中包含風險評估，指出“風險評估是確認和分析實現目標過程中的相關風險，需建立一套機制來辨認和處理相應風險”，存在的不足一是風險識別沒有和目標直接對應，二是沒有強調外部環境對風險識別的影響，三是沒有設置風險容忍度，且未規范化地評估和應對。ERM框架的要素中包含了事件識別、風險評估、風險應對三個要素，是對內部控制的“風險評估”一個要素的深化和拓展，有效彌補了ⅠC框架存在的不足。

第四，兩者描述的控制活動、信息與溝通、監督等三個要素表述略有不同，但實質基本一致。

第五，ERM框架是在ⅠC框架的基礎上發展起來的。通過上述差別的分析，主要為解決ⅠC框架與戰略掛鉤不足、目標不夠全面、董事會重要性認識不充分等局限，COSO針對性地改進，形成了ERM框架。

3　內部控制與風險管理的比較

在上文對ⅠC框架和ERM框架的比較分析的基礎上，結合我國學者的研究和企業界管理實務，對內部控制和風險管理再進行比較分析，發現存在以下聯系和區別。

3.1兩者統一于業務流程

邁克爾·哈默（Michael Hammer）與詹姆斯·錢皮（James A．Champy）將業務流程定義為“某一組活動為一個業務流程，這組活動有一個或多個輸入，輸出一個或多個結果，這些結果對客戶來說是一種增值。簡言之，業務流程是企業中一系列創造價值的活動的組合”。核心定義是“增值”和“活動的組合”，另外“這組活動有一個或多個輸入，輸出一個或多個結果”隱含的意義是需要適當控制以保障業務流程目標的實現。也就是說，業務流程的有效運轉需要恰當的內部控制，控制活動是構成流程的不可或缺的要素。因此，內部控制扎根于業務流程。

業務流程管理（BPM）理論和實踐認為，企業運轉由一系列業務流程組成，業務流程需要具有戰略目標導向，能充分分解戰略目標，需成為實現戰略目標的載體，是企業的價值創造的鏈條。企業外部環境和內部環境變化時刻影響戰略目標的實現，戰略目標確定和業務流程清晰并不必然保證戰略目標的實現。戰略目標的實現存在著不確定性，這正是風險管理的任務。因此，風險管理也是扎根于業務流程。

戰略目標是業務流程設計的起點，內部控制和風險管理可以說是孿生兄弟，相輔相成、不可分割，與業務流程組成穩定的三角，共同支撐戰略目標的實現。戰略目標調整或流程再造，那么內部控制和風險管理也需要相應調整。

3.2內部控制是風險管理的重要手段

陳綱（2013）指出企業對風險的識別、分析、評估、整理、歸類、應對，內部控制都起著不可替代的作用。內部控制是為風險管理而控制，是風險管理的重要手段。而風險管理則是對內部控制的進一步鞏固和提升。兩者相互依存，相互制約，形成一個有機整體，共同實現企業戰略目標。

3.3風險管理是內部控制的拓展和提升

企業戰略目標的制定和調整需要綜合考慮企業外部內部環境的影響。內部控制通過控制環境間接地和企業外部環境發生關系，除了法律法規遵循外，主要和企業內部環境發生互動關系。風險管理應對的戰略目標實現的不確定性，將內部環境和外部環境及其變化的影響提到同一高度。因此，內部控制主要是面向企業內部，而風險管理同時面向企業內部和外部。

目前就“戰略控制、管理控制、作業控制”三個層級而言，內部控制主要解決管理控制和作業控制，而風險管理從理論上已經達到解決戰略控制的高度。

朱大華（2009）總結出，風險管理提出了“風險組合管理”的新概念，即一個企業的不同風險可能相互增強，也可能相互抵減；或者雖然單個業務單元的風險在風險容忍度內，但整體可能超出風險容忍度。風險管理能從全局的角度衡量風險組合對企業的整體影響，這是內部控制所不能解決的。

實務中，風險管理是使用了風險坐標圖定性識別、蒙特卡羅定量分析、建立風險數據庫跟蹤關鍵風險指標等方法識別風險，運用壓力測試、場景分析等工具應對風險，比內部控制從面到線、從線到點，逐個控制點識別和應對風險的方式更先進，更有效。

風險管理的外延比內部控制大，達到了戰略控制的高度，從風險組合的角度看待企業整體風險，豐富了風險識別和應對方法，是對內部控制的拓展和提升。

［1］周兆生.內部控制與風險管理.審計與經濟研究，2004，4：P47～48.

［2］馬澤生.基于流程管理的企業風險管理模式.企業管理，2015，2：P92.

［3］陳綱.企業風險管理：歷程、實質及誤區.財會通訊，2013，3下：P112.

［4］朱大華.企業風險管理與內部控制的關系及應用.財會通訊，2012，9中：P46～47.

［5］路世誼.企業全面風險管理.經濟研究參考，2012，16：P25～27.

林盛（1977-）男，漢，福建福安人，注冊會計師，注冊內部審計師，注冊風險管理師，中級審計師，主要從事內部審計工作。