张凤霞

摘要：本文通过分析比较内部控制与风险管理的联系与区别，指出内部控制将扩展为更全面的风险管理。

关键词：内部控制风险管理

1内部控制与风险管理的比较

内部控制与风险管理有着密切的联系。COSO(The Commit-tee of Sponsoring Organizations of the TreadwayCommittee)，即Treadway委员会的发起组织委员会在其《企业风险管理框架》中，对内部控制与风险管理的定义及其组成要素分别解释为：内部控制：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通、监督。风险管理：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从上述来看，企业风险管理与内部控制有以下相似或不同之处：第一，它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、管理模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略(包括经营目标)制定过程。第四，风险管理与内部控制的组成要素有五个方面是重合的，即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，例如，内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境“除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。第五，风险管理提出了风险组合与整体风险管理的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露，以统筹考虑风险对策，防止分部门分散考虑与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门，并考虑到风险事件之间的交互影响，防止两种倾向：一是部门的风险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度，因为个别风险的影响并不总是相加的，有可能是相乘的；二是个别部门的风险暴露超过其限度，但总体风险水平还没超出企业的承受范围，因为事件的影响有时有抵消的效果。此时，还有进一步承受风险，争取更高回报与成长的空间。按照风险组合与整体管理的观点，需要统一考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案。

2从内部控制走向风险管理

有一种争论，即风险管理包含内部控制，或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要，最重要的是明确风险管理与内部控制之间有重合与联系的地方，谁的范围更大，可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同。即使在同一个时代，不同的行业各自的侧重点也可能不相同。笔者认为，在实际的经营过程中，风险管理与内部控制是密不可分的。在规则制定或立法过程中，需要考虑的是范围与管制的强度，范围越大，管制的要求就会越弱。对于其核心问题，如财务报告的准确可靠，最适合以立法的形式来约束，而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次，风险管理与内部控制的主导性相对次序也可能不同。例如，从企业的战略风险依次到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性应该各有不同。在战略风险方面，风险管理应该发挥主导作用，内部控制起到配合作用。这一角色逐步逆转，到财务报告层次，应该是内部控制发挥主导作用，风险管理起到配合作用。尽管风险管理与内部控制有内在的联系，但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较；典型的内部控制是指会计控制、审计活动等，一般局限于财务相关部门。它们的共同点都是低水平、小范围，只局限于少数职能部门，并没有渗透或应用于企业管理过程和整个经营系统。因此，有时看上去风险管理与内部控制还是相互独立的两件事，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

2.1关注企业风险比关注企业细节控制更为重要几乎所有的企业都有一大套管理制度，这些制度大到包括对外投资、小到包括差旅费报销等，应有尽有。因此，企业管理层认为，这些制度的贯彻与执行，就是内部控制的所有内容。其实，企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上，往往会舍本求目，如有些企业在差旅费报销的规定上，长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。所以，企业风险管理要求管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个有特殊意义的变化。

2.2执行比设计内部控制更为重要应该说，任何一个公司都或多或少存在一定的内部控制，否则，公司是无法正常运行的。

2.3强调内部环境的作用强调内部环境包含了一个组织的气氛，形成一个组织的人员识别和看待风险的基础。内部环境主要包括：风险管理哲学和风险偏好；员工诚实性和道德观以及企业经营环境。

2.4目标设定及事件识别要和风险战略相一致COSO报告在调查许多大公司舞弊案中发现，许多内部控制的失败，往往是在一开始确立公司目标时就已经铸定了。与此同时，公司在经营过程中，对什么事件应采取什么对策并不清晰，特别是高风险事项，也采用一般程序来处理，这也是导致公司内部控制失败的主要成因之一。一般来说，公司在认识到影响其业绩的潜在事项之前，必须有一定的目标。问题是作为决策层的管理人员能否适当的设立目标，并且使选择的目标能支持、连接企业的使命；在确立目标时考虑风险战略，并与其风险偏好相一致。另外，一个组织必须识别影响其目标实现的内、外部事项，区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险：可能有正面影响的事项代表了能抵消负面作用的机会。通过事项识别，能引导管理层战略或者目标始终能保持不被偏离。