企业风险管理与内部控制的关系与应用

上海交通大学 朱大华

一、风险管理与内部控制的国内外主要观点

（一）国外主要观点 为当前比较流行的三种主要的国外观点，如表1所示。

表1 国外主要观点

（二）国内主要观点 国内学术界、实务界对内部控制与风险管理二者关系的探讨随着市场环境的变化不断深入。宋常、丁卫从边界与内涵、框架与内容、技术与方法三个方面分析了风险管理与内部控制的区别；丁友刚、胡兴国从经济环境与组织目标的变化出发，探讨了内部控制和风险管理的关系，指出内部控制由单纯的实物风险控制发展为报告风险控制、经营风险控制及合规性风险控制，最后与企业综合风险管理相融合，伴随着组织目标和经济环境的变化而不断改变。谢志华对内部控制、公司治理和风险管理发展过程进行分析，提出风险控制是内部控制的发展主线，内部控制、公司治理、风险管理融合在企业管理的整体框架中。风险管理是内部控制的本质，企业发展的不同阶段因为风险的不同而表现出不同形态的内部控制理论。

二、风险管理与内部控制的发展

（一）内部控制发展初始阶段 20世纪40年代以前，完整的内部控制体系尚未形成，企业对如何通过建立内部管理机制规避内部操作风险的认识较为模糊，惯用的做法是设计并执行与财务相关的不相容职责分离。如审批权与执行权的分离、实务管理与账务管理分离、保管与记录分离等。在设计不相容职责阶段，首先要对企业与财务相关的业务进行全面了解，对不相容职责进行充分识别，在此基础上设计易于理解的职责分离文件，并在企业内部进行充分宣导与执行。当然，职责分离往往附带一系列保障措施，如信息系统口令、定期轮岗、各类账目的定期核对等。

（二）整体内部控制阶段 内部控制制度阶段是内部控制逐步完善的阶段，这一阶段由20世纪40年代持续至90年代。1992年，由美国反对虚假财务报告委员会（NCFR）发起的COSO委员会提出了《内部控制—整体架构》报告。此报告将内部控制定义为一个会受公司董事会、管理层和其它员工影响的过程，旨在为内部控制的三大目标——经营目标、报告目标、合规目标提供合理保证，报告内容涉及到控制环境、风险评估、控制活动、信息与沟通与监督五个方面。控制环境是企业的内控意识，是“来自高层的声音”，主要包括诚信与道德观、管理理念与经营作风、组织架构、职责和职权的分配、员工个人胜任工作能力、董事会与审计委员会、人力资源规划和实施等；风险评估是对内部、外部影响企业绩效因素的评估，包含目标设定与沟通、风险识别及评估、风险应变措施等；控制活动是确保风险管理活动被及时执行的政策和流程，以及关键领域的内部控制；信息与沟通包含内外部信息沟通渠道的建立、信息系统的决策支持、信息系统的开发和维护等；监控是为了判定内部控制设计的充分性和执行的有效性，包括定期评估内控体系、缺陷报告与解决等。

（三）风险导向内部控制阶段 企业所面临的环境动荡不安，而内部控制的建立需要兼顾成本效益原则。在整体内部控制的基础上，为了更有效的利用企业资源以抵御各类内外部风险，“风险导向内部控制”的理念逐步形成。风险导向内部控制，是以风险识别和评估为基础，管理风险，继而分析、设计和实施内部控制的过程，旨在降低风险以实现企业的既定目标。风险导向的内部控制要求董事会与管理层将主要精力放在可能产生重大风险的环节上，而不是关注企业管理的所有细小环节。其思想的精髓如下：任何公司都是流程的集合，根据风险评估加以引导并从流程视角看问题，可以有效促进部门之间的沟通；流程是若干控制活动的集合，即能够满足某些控制目标的作业即为“控制活动”；基于成本效益原则以及所防范风险的高低，管理层确定“关键控制活动”并进行测试；内控体系的完善即保证控制活动实现内控目标的完整性和有效性，包括控制设计和执行的完整和有效。

（四）全面风险管理阶段 2004年至今，不同国家监管机构/标准委员会纷纷对风险管理进行了诠释。纵观国内外风险管理标准体系（包括美国COSO、澳新标准-AS/N Z S 4360、中央国资委-《中央企业全面风险管理指引》、I S O31000），均包含风险识别、风险评估、风险应对三个核心步骤。其中风险识别是管理基础，是通过全面、完整的梳理，确定风险事项，并完成风险清单/风险数据库；风险评估是资源配置，根据潜在风险产生影响的种类，参考国家相关规定和特定业务领域的实际情况，确定风险评估标准，包括风险发生的可能性评估标准和风险发生影响评估标准，再根据风险评估标准进行多纬度、多层次的评分，完成风险评估后各风险点按流程进行归类，基于固有风险和剩余风险评估结果，确定风险等级领域，直观的展现企业各业务流程的风险情况，以奠定资源配置的基础；风险应对是企业价值的保护和再创，合理配置资源，有针对性地、有计划性地解决风险问题。

三、风险管理与内部控制的关系

（一）风险管理体系是内部控制体系风险评估的前提 如表2所示，笔者对比分析了《内部控制整体框架》（1992）和《企业风险管理整合框架》（2004）。以风险为导向的内部控制机制已经得到理论界和实务界的普遍认可，内部控制五要素中包含风险评估能否说明内部控制包含风险管理？答案是否定的，将风险评估纳入内部控制体系，目的是建立以风险为导向的内部控制机制，这并不能证明内部控制包含风险管理，风险管理的边界和要素比内部控制更多更广，而且内部控制的风险评估需以风险管理目标的设定为前提。《企业风险管理整合框架》将风险管理定义为“是公司的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制订并贯穿于企业经营管理活动之中，旨在识别可能会影响主体的潜在事项，管理风险将其控制在管理当局的风险偏好之内，为企业目标的实现提供合理保证。”此定义强调风险管理的目标性，明确风险是与企业战略选择相对应的风险，战略目标与企业的发展、企业的使命相关联，是识别和评判企业风险的前提条件，企业风险管理和内部控制中涉及的风险是阻碍战略目标实现的内外部风险。战略目标是统筹企业风险管理的全局性目标，风险管理作为一种管理活动的起始点是调查判断企业的风险偏好和风险容忍度，在此基础上评价备选战略、设定相关目标，并围绕这一战略目标，对潜在的机会和风险进行识别评估。内部控制框架中没有包含战略目标这一要素，风险评估的标准没有明确与企业战略目标挂钩，其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性，这些目标服务于实现价值创造和企业战略的终极目标。因此，风险管理中制定企业战略、设定风险管理目标和围绕战略目标进行风险评估，相比内部控制的风险评估，是更高层次的管理活动，是内部控制进行风险评估的前提，只有在设定风险管理目标后，才能根据这一目标进行内部控制的风险识别和评估。同时，内部控制是风险管理的重要手段，风险管理体系下制定战略目标、围绕战略目标进行风险评估，是内部控制体系进行风险评估的前提。

表2 对比分析表

（二）内部控制体系依赖于风险管理体系 由于内部控制体系的侧重点主要集中在财务方面，因此它对诸如公司战略、人力资源等企业其他层面的管理就难免被疏忽，其自身的风险需要其他的管理体系加以识别和评估。内部控制主要由会计界和审计界提出并推动其发展，因此不可避免的带有会计、审计行业烙印，《内部控制整体框架》虽将管理与控制相糅合，但其关注焦点仍放在财务方面，许多其他管理被忽视，如企业战略。作为解决所有者与经营者之间代理关系的手段之一，实施内部控制需要花费大量成本（包括各部门间的沟通成本），根据内部控制的成本效益原则，其实施成本不应超过预期的效益，实践中由于成本和效益的不确定性，人为判断失误会导致企业利益受损，而判断失误和串通勾结等缺陷在《内部控制整体框架》中给“合理而非绝对保证”提供了范例。史蒂文·J·鲁特在其著作《超越COSO-强化公司治理的内部控制》中提出：“对于预期要达到的目标而言，内部控制可被依赖的程度是有其固有局限的。”全面风险管理除关注财务外，还强调其他方面的管理，并对内部控制体系的自身风险进行识别和评估，建立相应的风险应对机制。

（三）风险管理体系是内部控制体系的拓展和升华 对比内部控制体系，风险管理具有全局观、整体观。内部控制多从单项业务、单项风险、个别部门出发，对风险进行识别和评估，而风险管理体系提出了“风险组合管理”新概念，根据资产组合理论，多元化的资产组合可以降低投资风险，应用于企业风险管理体系，一个企业的不同风险可能相互增强，也可能相互抵减，或者单个部门的风险在各部门自身的风险容忍度范围内，但整体来看可能超出企业的风险容忍度，因而要从全局来看风险对企业的整体影响。风险管理的整体观建立在对单项业务、单项风险的分析基础上，是对企业各部门局部风险的整合与提升，且根据企业战略目标提供了一个整体的解决框架，确保各部门的活动符合企业整体利益。因此，风险管理体系是内部控制体系的拓展和升华。

四、风险管理体系与内部控制体系在实务层面的应用

改革开放以来，我国仅用短短30年时间就超越了发达国家花了上百年时间才获得的经济快速增长速度，并且成为世界第二大经济体。这得益于我们引进、消化和吸收了发达国家创造发明的科学管理体制，而风险管理体系和内部控制体系的建立与完善就是其表现。但是，在公司制企业建立的同时，舞弊丑闻也频频曝光。公司面临的风险不断加剧，风险程度不断提升，以致接连不断地出现公司破产现象。在现代企业制度的建立与发展的过程中，公司舞弊防范、营运和财务风险的防范就成为了现代企业制度所亟需面临和解决的问题。理论界和实务界为此也提出了内部控制与风险管理的各项控制规范和措施。这些控制规范和措施不仅在企业层面，也在国家层面的角度上制定，制定的主体也出现了企业、民间和政府共同参与的良好局面，我国主要以政府为主导的行政法规形式制定。

2006年6月，国务院国资委出台了《中央企业全面风险管理指引》，指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展；2010年4月，财政部、证监会、审计署、银监会、保监会等五部委联合颁布了《企业内部控制配套指引》，涵盖企业经营管理的各个方面，用于指导企业按照内控原则和内控“五要素”建立健全本企业内部控制体系，促进企业对法律、法规及准则的遵循，提高企业财务信息的可靠性，为中国企业提升经营管理水平和风险防范能力提供更清晰的指导。

内部控制体系和风险管理体系都是基于企业存在风险而产生的，他们都是为了进行风险控制，因此，企业在实际经济活动中，可以将不同的监管机构的要求，整合为一种统一的规范，以风险管理体系为总纲，以内部控制体系为细则。企业应在风险管理总体框架体系下，建立健全内部控制体系，以保证风险管理工作的有效实施；完善的内部控制体系，又能帮助企业建立一整套风险识别和风险控制的程序和方法，规避所面临的各类风险，提高经营效率以及各项法律法规的执行。依此，我们将二者整合成如下框架，如图1所示。

图1 内部控制与风险管理整合框架示意图

企业在实现二者整合建立新的框架的过程中，必须以风险控制体系为主线，以企业经营活动的真实性、合规性为控制目标，以内部环境、目标设定、风险评估、风险应对、控制活动等风险管理过程为程序方法，考虑战略、计划、组织、执行等多项流程环节，建立健全多层级的、以企业全员为责任主体的控制体系。

［1］丁友刚、胡兴国：《内部控制、风险控制、风险管理》，《会计研究》2007年第12期。

［2］谢志华：《内部控制、公司治理、风险管理：关系与整合》，《会计研究》2007年第10期。

［3］宋常、丁卫：《企业风险管理与内部控制关系探微》，《企业改革与发展研究》2007年第2期。

［4］黄冉：《论内部控制、公司治理、风险管理的实施》，中国会计学会内部控制专业委员会2009内部控制专题学术研讨会论文。

［5］程新生主编：《企业内部控制》，高等教育出版社2008年版。

［6］史蒂文·J·鲁特著，刘霄仑主译：《超越COSO：强化公司治理的内部控制》，中信出版社2004年版。