□文/王山海

风险管理是内部控制的发展方向

□文/王山海

实行内部控制和风险管理都是为了维护投资者利益，实现企业目标。风险管理则是在新技术和市场条件下出现的，是内部控制概念的自然延伸。从内部控制实践发展来看，内部控制和风险管理日益融合，风险导向已是内部控制的发展方向。《企业内部控制基本规范》和《企业内部控制配套指引》的发布，标志着适应我国企业实际情况、融合国际先进经验、以风险管理为导向的中国企业内部控制规范体系基本建成。

内部控制；风险管理；发展方向

2004年9月COSO委员会在1992年的COSO报告的基础上，结合《萨班斯-奥克斯利法案》在报告方面的要求，颁布了《企业风险管理整体框架》的报告（ERM）。该报告把企业风险管理定义为：“企业风险管理是一个受企业的董事会、管理当局和其他职员影响，应用于战略制定并贯穿于整个企业，用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险，为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。

一、内部控制理论的发展演进

内部控制的思想和实践历史悠久，其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段，内部控制都被赋予不同的内涵。

（一）内部牵制阶段。一般认为，20世纪四十年代以前是内部牵制阶段。内部控制思想的萌芽早在5，000多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录“一毫财赋之出入，数人之耳目通焉”等，均反映了内部牵制的基本原理，即以账目间的相互核对为主要内容并实施岗位分离。美国著名审计学家蒙哥马利1912年所著的《审计—理论与实践》一书中已明确表述过这种思想，这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。

（二）内部控制制度阶段。20世纪四十年代到七十年代，在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会（AICPA）所属的审计程序委员会发表了一份题为《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告，使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化，从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。1958年出于审计人员测试与财务报表有关的内部控制的需要，审计程序委员会又将内部控制分为内部会计控制和内部管理控制，由此内部控制进入“制度二分法”阶段。

（三）内部控制结构阶段。20世纪七十年代以后，内部控制的理论研究又有了新的发展，研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制，而且后者对前者其实有很大影响，无法在审计时完全忽略。于是，1988年5月AICPA发布了第55号审计准则公告《财务报表审计中内部控制结构的考虑》，以“内部控制结构”的概念取代了“内部控制制度”，并指出内部控制结构包括三个组成要素：控制环境、会计制度和控制程序。从而，内部控制从“制度二分法”步入“结构分析法”阶段，这是内部控制发展史上的一次重要改变。

（四）内部控制整体框架阶段。1992年9月，由美国注册会计师协会、美国会计学会（AAA）、国际内部审计师协会（IIA）、财务经理协会（FEI）以及管理会计师协会（IMA）共同组成的COSO委员会发布了指导内部控制实践的纲领性文件COSO研究报告：《内部控制——整体框架》（IC-IF），并于1994年作了修改。该报告重新定义了内部控制，指出内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成，客观地指出了内部控制的局限性，而且明确了不同人员在内部控制中的角色和责任。

自COSO报告发布以来，内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。因此，2004年9月COSO委员会在1992年的COSO报告的基础上，结合《萨班斯-奥克斯利法案》在报告方面的要求，颁布了《企业风险管理整体框架》的报告（ERM）。

二、风险评估是内部控制的关键因素

内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂，企业不可避免地会遇到各种风险，因此企业应建立风险管理机制，以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出，不论是1992年的《内部控制——整体框架》，还是2004年的《企业风险管理——整体框架》，均把风险管理作为主要的内部控制要素，强调识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。可见，内部控制和风险管理日益融合，风险导向已是内部控制的发展方向。

实行内部控制和风险管理都是为了维护投资者利益，实现企业目标。内部控制的起源较风险管理要早。最初的内部控制是随着生产的大规模化和资本社会化产生的，是互相牵制的思想，通常采取账目核对的方法，以确保财产安全和账目正确。风险管理则是在新技术和市场条件下出现的，是内部控制概念的自然延伸，这可以从企业风险管理框架的变化中得到证明。框架最大的变化，就是将企业内部控制更名为企业风险管理，这一变化是有特殊意义的。事实上，几乎所有的公司都有一大套管理制度，这些制度大到包括对外投资，小到包括差旅费报销等，应有尽有。因此，董事会与管理层往往认为，这些制度的贯彻与执行就是内部控制的所有内容。其实，企业的管理资源是有限的，控制也是需要成本的，如果将企业主要精力放在所有细小的或微不足道的控制上，往往会舍本求末。如有些企业在差旅费报销的规定上长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业的重大风险。所以框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上而不是放在所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。

三、风险管理理论在我国管理实践中的发展运用

上世纪八十年代，我国一些学者开始将风险管理和安全系统工程理论引入我国。但大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构和制度建设。

1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范。但从更宽泛的管理意义上来说，真正把内部控制和风险管理形成法规，是受到美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经政府批准专门成立了企业内部控制标准委员会，正式开始这项工作。当年6月6日，国资委发布了《中央企业全面风险管理指引》，这是我国第一个全面风险管理的指导性文件，意味着中国走上了风险管理的中心舞台。2008年6月28日，财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》，《规范》自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。《规范》的发布，标志着我国企业内部控制规范体系建设取得重大突破，有业内人士和媒体甚至称之为中国版的“萨班斯法案”。

《企业内部控制基本规范》在实践中的应用范围，就目前来说，可以分为三类企业：一是上市公司，这是必须要进行的；二是国有企业。按国资委出台的风险管理指引要求，下属的企业都要全面贯彻风险管理。风险管理和内部控制是相通的。风险管理是战略层面，最后要落脚到内部控制。对这部分企业来讲，内控建设也是必须开展的；三是民营企业。这一类公司没有相关主管部门，在《基本规范》的实施上有较大的自由度，但从长远来看，势在必行。

2010年4月26日，财政部、证监会、审计署、银监会、保监会五部委联合并发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验、以风险管理为导向的中国企业内部控制规范体系基本建成。

（作者单位：山东省广播电影电视局）

[1]窦力鸣，王锦萍.萨班斯-奥克斯利法案下公司内部控制的思考.保险研究，2005.3.

[2]周兆生.C0SO企业风险管理框架（中文版）.华融资产管理公司，2004.

[3]朱荣恩，贺欣.内部控制框架的新发展-企业风险管理框架.审计研究，2003.6.

[4]晏成仿，于成松.试论现代企业内部控制制度.

[5]《内部控制问题研究》课题组.基于公司治理结构的内部控制有关问题研究.会计论坛，2005.2.

F27

A