企业内部控制与风险管理辨析

来源:用户上传      作者: 李 岩

　　提要内部控制和风险管理既有联系又有区别,既不能把二者分裂开,也不能简单等同起来。两者都强调全员参与,运用相应技术手段,主动应对风险,对目标提供合理保证;但风险管理包含了对战略目标的管理,并进一步提出了风险组合与整体风险管理的新观念。内部控制与风险管理二者静态上互有交叉,动态上相互转化。
　　关键词:内部控制;风险管理;比较
　　中图分类号:F27文献标识码:A
　　
　　企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。企业风险管理也是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。尽管风险管理与内部控制有内在的联系,但现实中或代表目前应用水平的内部控制与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,如银行业的授信管理或市场(价格)风险管理(如汇率、利率风险等)。典型的内部控制是指会计控制、审计活动等,一般局限于相关财务部门。它们的共同点是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此有时看上去风险管理与内部控制还是相互独立的两件事。
　　
　　一、风险管理与内部控制关系研究回顾
　　
　　内部控制的最初思想是内部牵制。它产生于古埃及的国库管理,其目的是防范财产风险。内部控制的现代思想是企业风险管理,它是企业组织规模扩大和资本大众化的产物。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。主要有以下三种观点:
　　(一)风险管理包含内部控制。COSO(2004)明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非King II Report(2002)认为,传统的内部控制系统不能管理政治、技术和法律等诸多风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。Krogstad(1999)认为,内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中。
　　(二)内部控制包含风险管理。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,或者说是用“控制”一词表达“内部控制”概念。COCO报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系,即“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。
　　(三)内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira等(2003)分析了内部控制是怎样变为风险管理的,并指出“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是它也掩盖了一个不争的事实,即现在没有人真正明白内部控制系统是什么”。Matthew Leitch(2004)认为,理论上风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
　　
　　二、基于COSO报告下的内部控制与风险管理比较
　　
　　内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制框架》的基础上又于2004年出台了最新报告――《企业风险管理框架》。《企业风险管理框架》继承并包含了《内部控制――整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。COSO对内部控制与风险管理的定义及其组成要素分别是:
　　企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
　　企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
　　(一)内部控制与风险管理的相同点。从COSO的两份报告来看,企业风险管理与内部控制有以下相同之处:
　　1、它们对参与主体要求相同。二者都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都承担着相应的角色与职责。
　　2、它们都对企业实现目标提供合理保证。设计合理、运行有效的企业内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
　　3、它们都明确是一个“过程”。二者本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都应该是渗透于企业各项活动中的系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
　　4、它们都维护投资者利益。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中,它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体对策,捕捉机遇以及使资本的利用合理化。”从维护与促进价值创造这个根本功能来看,风险管理与企业内部控制目标是一致的,它们都想实现保全资产并创造价值的作用。只是在新的技术市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
　　(二)内部控制与风险管理的区别

　　1、目标体系不同。风险管理的目标有四类,其中经营类目标和遵循性目标与内部控制的目标基本重合,但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。查剑秋等(2009)经研究得出,战略内控体系绩效与企业价值具有显著正向相关性,即企业战略内控的好坏会影响到企业战略执行绩效,并最终影响企业价值。由此可见,风险管理增加了内部控制未提及的战略目标,也弥补了内部控制在企业战略层面的一定缺陷。
　　2、组成要素不同。风险管理增加了目标设定、事件识别和风险应对三个要素,控制环境要素也改成了内部环境。“目标设定、事件识别和风险应对”不仅丰富和完善了风险管理内容,还体现了风险组合观。“内部环境”要素内容除包含“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理对相关内容都进行了补充和提升。例如,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性。
　　3、风险管理理念不同。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止各部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。
　　4、产生效益的方式不同。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面。
　　
　　三、研究结论
　　
　　综上所述,内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。而随着时间、技术市场等条件的不断变化,风险管理与内部控制的范畴又在相互转化。从静态上看,风险管理与内部控制互有交叉;从动态上看,二者又互相转化。我们可以看出,风险管理的决策是确定内部控制重点的依据,而一个强有力的内部控制是实现有效风险管理的基础,内部控制的动力来自企业对风险的认识和管理。
　　(作者单位:河北经贸大学会计学院)
　　
　　主要参考文献:
　　[1]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009.5.
　　[2]陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007.10.
　　[3]潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008.2.
　　[4]董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009.4.
　　[5]杨雄胜.内部控制理论面临的困境及其出路[J].会计研究,2006.2.
　　[6]吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000.5.
　　[7]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.10.
　　[8]于增彪,王竞达,瞿卫菁.企业内部控制评价体系的构建――基于亚新科工业技术有限公司的案例研究[J].审计研究,2007.3.
　　[9]杨雄胜.内部控制理论研究新视野[J].会计研究,2005.7.
　　[10]费方域.控制内部人控制:国企改革中的治理机制研究[J].经济研究,1996.6.

转载注明来源:https://www.xzbu.com/2/view-407677.htm