1、内部控制与风险管理的关系及现实协调【摘要】内部控制和风险管理在诸多的专业文献中均有提及,两词或混用或通用,学者们对内部控制与风险管理的关系是仁者见仁,智者见智。本文主要以 COSO 报告下内部控制框架与风险管理框架为基础,从两者的概念及发展历史着手,揭示两者的本质,并讨论了风险管理相对内部控制的进步之处,从而厘清两者的关系,最终就现实中两者关系的协调作出分析。对内部控制与风险管理关系的探讨的目的是发掘其实质风险控制。 【关键词】内部控制,风险管理,风险控制 一、内部控制与风险管理的关系 对内部控制与风险管理二者之间关系的讨论,学术界和实务界对二者的认识没有达成一致。因此,本文将从理论争鸣、历史
2、发展等方面厘清二者的关系。 (一) 理论争鸣 了解内部控制与风险管理的概念是分析两者关系的第一步。对于同一术语,不同的机构有不同的认定,而对于同一认定,不同的学者也会有不同的理解,因而形成了对于内部控制与风险管理关系的不同观点。 1.内部控制包含风险管理这一观点是由 CICA ( 1995) 提出来的。CICA 从自身组织对控制的定义出发提出了 “内部控制包含风险管理”这一观点。 2.谢志华 ( 2007)提出: 内部控制整体框架升级为 企业风险管理整体框架 ,之所以能够发生这种转化,根本原因在于内部控制的最终目的就是为了控制风险,从语义上说,内部控制就是控制风险,控制风险就是风险管理。内部控
3、制主要是从风险控制的方式和手段说明风险控制的,风险管理是从风险控制的目的来说明风险控制的。 3.风险管理包含内部控制 COSO ( 2004) 中明确指出: 风险管理包含内部控制; 内部控制是风险管理不可分割的一部分。如前所述,COSO 认为风险管理由八个要素组成,内部控制由五个要素组成。显然内部控制包含在风险管理之中,内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。 (二)内部控制与风险管理的本质 上述三种观点揭示了内部控制与风险管理之间确实存在着联系,也决定了两者之间必然有共同点。因此,应从内部控制与风险管理的起源与发展来看两者的本质。 1.内部控制的起源和发展 (1)一般
4、认为,20 世纪 40 年代以前是内部牵制阶段。在当时相对确定的经济环境和相对简单的契约产权关系下,财产所有者面临的主要风险是财产物资收支和保管过程中的失窃风险。为了保证财产物资在实物上的安全与完整,人们设计了支出钱财由两个不同岗位的人分别进行记录、核对的程序。这就是内部控制最初的思想内部牵制。 (2)1940 年 AICPA 所属的审计程序委员会发表了一份特别报告,首次正式提出了内部控制的定义: “内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,及促使遵循既定的管理方针等所采用的所有方法和措施” 。 (3)从内部控制的起源和发展来看,最早的内部牵制本身就
5、是基于企业财物的安全性和信息的真实性的需要而产生的,而财物不安全和信息不真实正是当时企业面临的基本风险。内部牵制是基于对这类风险的控制需要而产生的,内部牵制本身就是风险控制。 (三) 两者的关系。综上所述,内部控制与风险管理有着共同的本质风险控制。将风险组合管理观念引入了风险控制中,使风险控制更加具有科学性和可实践性; 将战略目标引入其中,使得风险控制上升到战略层次,使得企业在实施控制时也会更加系统化和周密化; 将风险控制的范围扩大,用整体化的眼光来看待个别风险和总体风险。因而风险管理是包含内部控制的,并且引导着内部控制向着风险管理的方向发展。 二、内部控制与风险管理关系的现实协调 目前,很多
6、国家为了建立风险导向的内部控制而制定一系列规范或文件将两者结合起来,我国也采取了这样的做法。2007 年 3 月由财政部颁布的企业内部控制规范基本规范 (以下简称基本规范)和 17项具体规范(征求意见稿)合理借鉴了以美国 COSO 报告为代表的国外内部控制框架,根据我国国情进行了调整和改进,在以下几方面体现了内部控制和风险管理关系的现实协调。 (一)目标体系上的协调。基本规范第 4 条对内部控制的目标做出了详细规定, “内部控制,是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动: 企业战略; 经营的效率和效果; 财务报告及管理信息的真实、可靠和完整;
7、资产的安全完整; 遵循国家法律法规和有关监管要求” 。由此可见,风险管理框架中对战略目标的表述认定战略目标属高层次目标,它与企业的使命相关联并支撑着企业的命运。 (二)要素分解上的协调。基本规范对风险评估要素定义为: “是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。 ”风险评估主要包括目标设定、风险识别、风险分析和风险应对。对风险评估要素的分解,实质上对应的就是企业风险管理框架的风险评估要素的分解。将风险定义为对实现内部控制目标可能产生负面影响的不确定性因素。而事项则是包含风险和机会,从这一方面看来, “事项”更加合理化和综合
8、化。 (三)风险应对措施上的协调。在风险应对措施中,基本规范也给出了具体内容,即企业应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。企业对超出整体风险承受能力或者具体业务层次上的可接受风险水平的风险,应当实行风险回避。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后无意采取进一步控制措施的,可以实行风险承担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后愿意借助他人力量,采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实行风险分担。 综上所述,基本规范的制定以风险控制为指引,以财务报告控制为主线,为企业进行内部控制的自我评估和外部评价提供统一标准。内部控制与风险管理有着共同的方向(即实质)风险控制。风险管理是在内部控制的基础上发展起来的,因而充实了内部控制的内容和思想,风险管理包含内部控制。通过指出内部控制在实务中的缺陷,提出了风险管理导向的内部控制的加强方案,分析了我国的内部控制基本规范,显示了风险管理思想和内容在其中的渗透和协调,体现了两者在实务中的紧密联系,预示着风险管理导向的内部控制将成为今后的主流。
