一、前言 在实际工作中,很多人认为企业内部控制和风险管理就是一回事,内部控制做的好,企业风险管理也就做好了。孰不知两者是存在差别及联系的。要想做好企业风险管理及内部控制工作,必须清楚的认识两者的关系。结合国际上对内部控制与风险管理的权威定义,对内部控制与风险管理的关系,代表性观点有两种:
第一种观点,认为风险管理包含内部控制。例如:《企业风险管理--整合框架》中明确指出风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分。内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多[1]。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
第二种观点,认为内部控制包含风险管理。按照施控主体的不同,可将控制分为内部控制和外部控制。《内部控制--整体框架》中将风险评估作为企业内部控制的一个组成要素[2],实际上就是将风险管理包含在内部控制的范围之内。加拿大CoCo报告(1995)将风险定义为"一个事件或环境带来不利后果的可能性",阐明了风险管理与控制的关系:"当您在抓住机会和管理风险时,您也正在实施控制。"该报告认为,风险评估和风险管理是控制的关键要素。
那么两者的区别与联系究竟是怎样呢?文章通过对COSO委员会在1992年和2004年颁布的《内部控制--整体框架》和《企业风险管理--整合框架》进行细致比较,得出内部控制制度建设将呈现以风险为导向的趋势。
二、内部控制与风险管理的区别 1. 两者在内涵与边界上的区别
企业风险管理与内部控制之所以容易引起混淆,主要原因还在于人们对两者内涵与边界认识不清晰,审计界和管理界对企业风险管理与内部控制各自有各自的理解。内部控制从概念形成到框架确立始终围绕着会计与审计这个核心,因而有着明显的会计与审计的印迹。内部控制概念最早产生于早期的审计标准制订者。1936年,美国注册会计师协会(AICPA)在其发布的《注册会计师对财务报表的审计》文告中,第一次明确地提出应考虑审查"内部控制"的要求[3]。尽管如此,美国注册会计师协会审计程序委员会在其发布的《审计程序文告第29号》(1958年)中仍将内部控制明确表述为"包括会计控制和管理控制",直至1997年美国注册会计师协会发布《审计准则公告第78号》才正视内部控制系统,实际而全面接受了COSO报告的内容,并认同内部控制要素包括风险评估要素。但实际上在其主流意识与看法中,仍然认为内部控制的主要目的是核对、检查、纠错和防弊,其根本目标还是鉴证财务报告的真实与公允,最终的结果自然是减轻审计人员的法律责任。即使考虑风险也仅仅是经营风险(如操作风险等),而不愿意涉及财务风险(如信用风险等)。
自20世纪70年代起,风险导向审计似乎成为主流的审计模式,但最初审计人员所理解的风险导向审计,其目的主要是为了更大限度地控制审计风险,而不是为了揭示财务报表所反映的公司面临的风险[4]。其对风险的评估更多是对经营管理活动中突出的风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的控制。
2. 两者的职能定位不一致
内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制定目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
3. 企业风险管理与内部控制在框架与内容上的区别
3.1 增加一个主要目标,活动范围不一致
《内控框架》中明确指出内部控制的主要目标有三类,即经营目标、财务报告目标、合规目标。《风险框架》中则提出风险管理要为主体的四类目标服务,包括战略目标、经营目标、报告目标及合规目标。不难发现,后者比前者多了一个战略目标。这就意味着企业在制定战略目标时需要考虑企业风险因素的影响。而内部控制却很少涉及影响整体的战略目标设定问题
3.2 提出并引入一个全新理念与两个创新概念
(1) 风险组合管理。内部控制对风险的考虑大都是单个种类、单笔业务、单个部门的,而企业风险管理基于风险源自一个主体的不同业务、不同部门、不同层次,它们有的叠加放大,有的抵消减少。因此我们应该主张从企业整个层面上考虑风险,应当将不同层次及不同来源的风险汇集为整体风险,树立风险组合管理观,对组织的所有风险提供一个整体上的解决框架。
(2) 风险偏好与风险容忍度。企业风险管理框架引入了风险偏好、风险容忍度等创新概念。风险偏好(风险容量)是一个主体在谋求价值及其增值过程中所愿意承担的广泛意义上的风险数量。它反映了企业的风险管理理念,进而影响主体的文化和经营风格,并形成内部环境的组成部分。风险容忍度与主体的目标相关,是相对于实现一项具体目标而言的可以接受的偏离程度。风险偏好、风险容忍度的确定是目标设定的前提。
4. 是两者对风险的识别不一致
在《风险框架》中,把风险明确定义为"对企业的目标产生负面影响的事件发生的可能性"(将产生正面影响的事件视为机会),将风险与机会区分开来;而在《内控框架》框架中,没有区分风险和机会。
5. 企业风险管理与内部控制在技术与方法上的区别
在风险评估要素方面,《企业风险管理整合框架》、《企业风险管理应用技术》针对风险大小的定量、度量提出了多种技术方法,包括VaR、风险现金流量、风险收益、损失分布、事后检验等概率技术和敏感性分析、情景分析、压力测试、设定基准等非概率技术[5]。为风险评估提供了前提条件和技术保障,有利于企业的发展战略与风险偏好保持一致,有利于准确合理地测算经济资本并平衡风险与收益,从而帮助治理层与管理层实现企业风险管理的各个主要目标,而这些内容都是内部控制框架中没有提及的,也是内部控制难以做到或达成的。
三、内部控制与风险管理存在必然联系 第一,内部控制与风险管理的本质目标是一致的,COSO委员会将内部控制和风险管理都定义为"由一个组织的董事会、管理当局及其他员工实施的一个过程",其本质都是为了增加组织的价值而服务的。
第二,内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。
第三,全面风险管理涵盖了内部控制。在《企业风险管理--整合框架》中,风险管理除包括内部控制的三个目标之外,还增加了战略目标;风险管理的八个要素除了包括内部控制的五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。显然,风险管理概念外延更广。
四、结语 从新的COSO框架对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势,即以风险管理为主导,风险管理的目的是要防止风险、及时地发现风险、并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理。做好内部控制是做好风险管理的前提。风险管理是内部控制概念的自然延伸。在新技术和市场的推动下,内部控制走向风险管理。例如,在计算机网络和金融衍生工具市场存在的条件下,企业可以运用金融衍生工具防范因汇率和利率波动给企业带来的财务风险。内部控制是企业防范风险的日常运行功能与结构,包括确保财务信息的真实可靠、遵守相关的法律法规等。内部控制和风险管理各有侧重。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。
尽管风险管理与内部控制有内在的联系,但现实中的内部控制应用水平与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较;典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。但是,随着内部控制或风险管理的不断完善,它们之间必然会相互交叉、融合,直至统一。
最近更新