企业风险管理与企业内部控制之间的关系

杨晓娜

（天津交通职业学院，天津 300110）

一、经济风险的大致分类

经济风险大致分为两类：静态的和动态的。经济学家Willett认为风险是静态的，这是考虑到风险的不确定性。这一认知是基于对经济风险的管理和保险的观点。不同于Willett的静态分类，动态风险的观点认为风险是在一个特定时期在特定情况下产生的潜在变化。这些变化源于预期的过程和实际过程之间的差异，例如不断变化的监管环境，这些差异预示着预期结果与实际结果之间的差异。因此，差异越大所存在的风险也越大。

二、实际商业世界中面临的风险

就现代企业而言，风险是一个不受欢迎的因素，因为它可能会给企业带来实际损失并且导致企业不能实现他们的目标或者降低企业实现目标的可能性。在我看来，企业面临的主要风险可以分为四类：政治风险，战略风险，运营风险以及金融风险。政治风险是指政府的宏观经济政策或者产业政策的变化会使得企业处于一个危险的境地。战略风险体现在公司的多维运营，并购以及收购行为。运营风险可以根据不同部门的日常运营分为供应风险，生产风险以及销售风险。企业的金融风险指的是企业财务活动所产生的各种不可预知的可能性，包括融资风险，资本投资风险以及其他金融活动风险。

管理这些风险就要采取特定的方法去检查和评估风险，以便把风险降低到一个可接受的最低水平并且使它维持在这个低水平。就功能性而言，风险管理是在观察和评估的基础上控制由风险造成的可能的损失，以确保企业的目标得以实现。

三、企业风险管理的发展史

1980年代之后，企业的运营环境开始发生戏剧性的变化。价格风险，利率风险和汇率风险等等的风险都对企业构成了巨大的财务方面的威胁。企业不得不寻求各种金融工具来规避金融风险。然而，企业的这些努力都被限制在一些独立的实践活动中，而不是被整合成系统的理论或方法论。相反，由金融机构提供的风险越来越大的金融产品又促使着一个更加综合更为系统化的金融风险管理框架的产生来为各种不同行业的企业服务。

直到二十世纪末，一些大公司特别是那些巨型跨国公司所面临的商业风险的多样性和复杂性引起他们对一套能包含一个企业所能遇到的所有风险，包括纯粹的风险和财务风险的综合管理方法的需求。这一需求最终将两种发展于不同时代并且分化成两种完全不同路径的风险管理——传统风险管理和金融风险管理，整合成一种全新的概念——全面风险管理。全面风险管理为实现企业整体的风险管理目标提供了合理的过程保证和方法保证。为了实现其特定的运营目标，企业需要确保各部门所承担的每道工序的准确性并且建立起一套全面的风险管理体系，包括风险策略管理，风险财政管理，组织功能系统以及有效地内部控制系统。

在当今多元化的商务环境下，许多企业比以往任何时候都更加关注企业风险管理。他们对于风险管理框架的需求程度与日俱增。2001年，全美反舞弊性财务报告委员会发起组织 （COSO）委任普华永道设计一套可以用于企业管理层评估和改善其企业风险管理的体系框架。在这段时间内发生了包括使得投资者遭受巨大损失的安然事件在内的一系列的公司财务丑闻。在这之后，越来越多的人希望通过重组企业治理结构来提高企业管理风险的能力。于2002年通过的“萨班斯——奥克斯利法案”的第404号条款规定上市公司的行政管理部门报告企业内部管理的效率，并且要求会计师事务所审计这些上市公司内部管理的效率。在这一背景下，全美反舞弊性财务报告委员会发起组织 （COSO）于2004年10月通过了企业风险管理与整合框架。

四、对于企业风险管理（ERM）更加清晰的定义

全美反舞弊性财务报告委员会发起组织（COSO）将企业风险管理定义为“一个用来识别可能对企业产生影响的潜在事件并管理企业可能遇到的风险使其处于风险偏好的范围内，并且为企业实现其目标提供合理的保证的过程”。从这一定义中，我们可以看出企业风险管理是识别和管理关键风险帮助企业实现其使命和战略发展的一个重要组成部分。企业风险管理是一个会受到董事会成员，高级管理人员以及其他工作人员影响的过程。这一过程必须把企业的的各种活动和企业战略规划全部整合在一起。企业风险管理也可以用来识别可能影响企业发展的各种潜在事件，以便于将各项风险控制在企业风险偏好限制的范围内以确保企业可以实现指定目标。

此外，全美反舞弊性财务报告委员会发起组织 （COSO），还进一步较清楚地说明了企业风险管理的四个总体目标：

战略目标——这一目标与它的价值和愿景有关，并且和他们相互支撑；

运营目标——有效地并且高效地利用各种资源；

报告目标——可靠性；

一致性目标——确保企业的运营与相关法律规定相一致。

在我看来，企业风险管理最迷人的特点在于它是一个基于策略的风险管理方法。由于组织内部的风险仅作为其策略和目标的结果而存在，因此，根据策略来调整风险预期可以对潜在的风险有个更加深入的理解和认知。

五、企业内部审计员在企业风险管理中的作用

企业风险管理为企业识别并且克服在其实现企业战略目标上遇到的各种不确定因素指明了道路。内部审计人员在这个过程中负有重大责任，并在确保企业风险管理驶向正确的方向问题上发挥着重要的作用。根据国际内部审计师协会（Institute of Internal Auditors，简称IIA）的要求，内部审计员的主要职责中与企业风险管理联系最紧密的部分应该是“它向管理层以及董事会对于企业风险管理的有效性提供保证”。这也就是说，内部审计人选首先需要对于各种风险的认知和管理有足够的把握，然后需要评估整个风险管理的过程并且保证这个过程的有效性通过评估和报告管理者如何操控这些风险，企业内部审计人员可以更好的协助企业的高级管理人员提高企业的运营效率并且为企业风险管理项目在正确的轨道上运行提供保证。然而，我们需要注意到企业风险管理必须从企业的最高领导和决策层向下级推行。企业的内部审计人员只能作为增值的角色存在而不能充当管理的职能。

六、企业风险管理与内部控制的联系

谈到全美反舞弊性财务报告委员会发起组织（COSO），我们很自然的就会想到内部控制框架。内部控制是当代企业所采用的用于管理风险和不确定因素的一个重要方法。建立起一个有效的企业内部控制系统是企业防止欺诈，降低损失以及增加企业利润的坚实基础。此外，有效的内部控制系统为企业各种资产的安全性和完整性提供了一个更好的保证。

然而，当时光的车轮进入21世纪的时候，我们见证了一系列的会计丑闻，这些丑闻甚至涉及了许多全球知名企业，例如安然公司，世通公司，施乐公司等等。因此，债权人和投资人的信心开始动摇，企业内部控制的各种问题也在逐步显露出来。实践学派和理论学派在世界范围内达成了一个共识，也就是说现存的内部管理框架存在着严重的局限性，例如：缺乏对风险管理的关注导致内部控制和风险管理相分离。因此，企业风险管理被突然置于企业战略管理的聚光灯下。它也成为企业治理的核心。2004年10月，全美反舞弊性财务报告委员会发起组织基于萨班斯－奥克斯利法案的相关需求并且根据原有1992年全美反舞弊性财务报告委员会发起组织报告中列的内容进行了更新：把内部控制作为一个集成的框架。这一更新后的框架比原有版本更注重风险管理和企业内部控制。专注风险管理的条款的涌现对于内部控制具有重要的影响。根据全美反舞弊性财务报告委员会发起组织，内部控制框架是企业风险管理框架中不可分割的一部分。企业风险管理框架是由内部控制的综合框架进化而来的。因此，内部控制的概念与企业风险管理之间是密不可分的。

在1994年全美反舞弊性财务报告委员会发起组织报告里提出的内部控制集成框架中提出了五种元素：环境控制，风险评估，控制活动，信息和沟通，以及监督。企业风险控制框架又把这些元素扩展到了八个，新增了内部和外部事件的识别，目标设定，以及风险响应元素。具体的说，内部和外部事件的识别需要内部和外部事件必须在企业高层领导着设计内部控制规定的时候被认识到。目标设定要求目标首先要被设定出来，然后企业风险管理要与这些目标相契合。风险响应为管理者在选择如何应对和对冲风险的方法时提供了指导。

在我看来，这三个新添加的元素一定会在管理者对于企业战略的解读，对于评估金融账户的虚假陈述风险，以及对于其实施内部控制的时候产生重大影响。

七、内部控制与企业风险管理之间比较

在全美反舞弊性财务报告委员会发起组织新框架的影响下，企业内部控制倾向于被整合到企业风险管理之中去。这是因为企业风险管理的终极目标是规避风险，及时的发现风险，预测风险将会带来的潜在影响以及将风险降低到最低水平。同样，内部控制实际上正是企业所采取的进行风险控制的方法并且由各种风险元素所决定。

然而，内部控制和企业风险管理的着重点不同。企业内部控制更多的强调一个有助于减轻风险的有效的整体系统。另一方面来说，企业风险管理更加侧重于市场交易方面，例如：通过自由竞争和市场交易来管理风险。

一般来说，一个公司的内部控制系统是用来确保其资产的安全以及金融信息的可靠性的。财务控制正是内部控制的核心。因此，内部控制系统通常仅限于金融以及和它相关的各个部门。然而，企业风险管理，几乎涉及到企业的每个部门以及每项活动，例如：信用额度管理，汇率风险或者流动性风险的管理等等方面。

［1］Outreville，J．（2011）．The Geneva Risk and Insurance Review 2010：We have learned much since Willett and Knight．Geneva Papers on Risk ＆Insurance，36（3），476－487．

［2］Scandizzo，P．L．，＆Knudsen，O．K．（2012）．Risk management and regulation compliance with tradable permits under dynamic uncertainty．European Journal of Law and Economics，33（1），127－157．

［3］IIA Position Paper：（Updated 2009）．The Role of Internal Auditing in Enterprise－wide Risk Management，The Institute of Internal Auditors．

［4］McMullen，D．A．，K．Raghunandan，and D．V Rama．（1996）．Internal control reports and financial reporting problems．Accounting Horizons（December）：67－75．