内部控制与企业风险管理的关系探讨

林盛(中国海洋石油总公司审计部,北京 100010)

内部控制与企业风险管理的关系探讨

林盛(中国海洋石油总公司审计部,北京 100010)

本文从内部控制与企业风险管理的现状入手，在比较内部控制整体框架和企业风险管理总体框架的基础上，对内部控制和风险管理的联系和区别进行了分析，得出的启示为风险管理包含内部控制。同时，简要思考了风险管理在我国运用中存在的问题。

内部控制；风险管理；业务流程

1　内部控制与企业风险管理的现状

1992年美国COSO发布了《内部控制——整体框架》（ⅠC框架）报告，将风险评估纳入内部控制范畴，成为美国上市公司内部控制参照标准。2004年美国COSO在ⅠC框架基础上，拓展了发布了风险识别、风险评估和风险应等企业风险管理内容，发布了《企业风险管理总体框架》（ERM框架），在内部控制的基础上拓展了企业风险管理。

2003年以来，我国证监会、上交所和深交所、银监会、财政部等相关政府部门和行业监管机构先后出台《企业内部控制基本规范》等多个内部控制指引。2004年以来，我国银监会、国资委、国标委先后颁布《中央企业全面风险管理指引》等多个风险管理指引。

2　IC整体框架与ERM框架比较

2.1定义比较

COSO对内部控制的定义是，内部控制是由董事会、经理层以及其他员工共同实施的，为经营效率与效果、财务报告可靠性、相关法规遵循性等目标的实现而提供合理保证的过程。COSO对企业全面风险管理的定义是，企业风险管理是一个过程，是由企业董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按企业的风险偏好管理风险，为企业目标实现提供合理的保证。从这定义看，内部控制和风险管理存在以下区别与联系：

一是都强调全员参与，都由企业董事会、管理层以及其他人员共同实施。

二是都是为企业目标的实现提供合理保证。但内部控制的目标较窄，包括经营效率与效果、财务报告可靠性、法规遵循性等子目标。企业风险管理的目标是企业总目标，包含内部控制的三个子目标。

三是都是一个管理“过程”，都是管理“活动”的组合。

四是内涵有所区别。风险管理的内涵包括企业战略制定过程，而内部控制则没有。

五是方式方法有所区别。风险管理强调按风险偏好管理风险，而内部控制没有强调风险管理相关内容。

2.2构成要素比较

COSO内部控制的五个要素包括控制环境、风险评估、控制活动、信息与沟通、监督。COSO风险管理的八个要素包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。内部控制和风险管理在要素构成上存在以下区别与联系：

第一，内部环境关于董事会和管理层的作用存在细微但却十分重要的差别。ⅠC框架的控制环境要素一是包括“董事会提供的关注和方向”，即内部控制体现董事会的关注，没有强调董事会对内部控制的更多作用和职责；二是包括管理层的经营模式和管理方式，但没有按现代公司治理要求强化管理层应有效衔接公司治理和内部控制，并将公司治理原则和要求落实到内部控制中去。ERM框架的内部环境要素一是包括“董事会是内部环境的重要组成部分，对其他控制有着重要影响”，强调董事会对风险管理的重要作用；二是包括“管理者也是控制环境的一部分，职责是建立风险管理理念、确定风险偏好、营造风险文化”，强调并明确了管理层对风险管理的职责。

第二，两者服务的目标存在差别。ⅠC框架的要素中不含企业“目标”，但在定义中列出了经营效率与效果、财务报告可靠性、法规遵循性等三个子目标，但这些目标不够全面且未上升到战略层面。ERM框架的要素中目标制定，强调战略目标需层层分解和落实到各个子目标，要求子目标遵循战略方案，应与战略方案保持关联性，更强调风险管理在战略管理中的重要作用。

第三，对风险管理的深度和广度存在明显差别。ⅠC框架的要素中包含风险评估，指出“风险评估是确认和分析实现目标过程中的相关风险，需建立一套机制来辨认和处理相应风险”，存在的不足一是风险识别没有和目标直接对应，二是没有强调外部环境对风险识别的影响，三是没有设置风险容忍度，且未规范化地评估和应对。ERM框架的要素中包含了事件识别、风险评估、风险应对三个要素，是对内部控制的“风险评估”一个要素的深化和拓展，有效弥补了ⅠC框架存在的不足。

第四，两者描述的控制活动、信息与沟通、监督等三个要素表述略有不同，但实质基本一致。

第五，ERM框架是在ⅠC框架的基础上发展起来的。通过上述差别的分析，主要为解决ⅠC框架与战略挂钩不足、目标不够全面、董事会重要性认识不充分等局限，COSO针对性地改进，形成了ERM框架。

3　内部控制与风险管理的比较

在上文对ⅠC框架和ERM框架的比较分析的基础上，结合我国学者的研究和企业界管理实务，对内部控制和风险管理再进行比较分析，发现存在以下联系和区别。

3.1两者统一于业务流程

迈克尔·哈默（Michael Hammer）与詹姆斯·钱皮（James A．Champy）将业务流程定义为“某一组活动为一个业务流程，这组活动有一个或多个输入，输出一个或多个结果，这些结果对客户来说是一种增值。简言之，业务流程是企业中一系列创造价值的活动的组合”。核心定义是“增值”和“活动的组合”，另外“这组活动有一个或多个输入，输出一个或多个结果”隐含的意义是需要适当控制以保障业务流程目标的实现。也就是说，业务流程的有效运转需要恰当的内部控制，控制活动是构成流程的不可或缺的要素。因此，内部控制扎根于业务流程。

业务流程管理（BPM）理论和实践认为，企业运转由一系列业务流程组成，业务流程需要具有战略目标导向，能充分分解战略目标，需成为实现战略目标的载体，是企业的价值创造的链条。企业外部环境和内部环境变化时刻影响战略目标的实现，战略目标确定和业务流程清晰并不必然保证战略目标的实现。战略目标的实现存在着不确定性，这正是风险管理的任务。因此，风险管理也是扎根于业务流程。

战略目标是业务流程设计的起点，内部控制和风险管理可以说是孪生兄弟，相辅相成、不可分割，与业务流程组成稳定的三角，共同支撑战略目标的实现。战略目标调整或流程再造，那么内部控制和风险管理也需要相应调整。

3.2内部控制是风险管理的重要手段

陈纲（2013）指出企业对风险的识别、分析、评估、整理、归类、应对，内部控制都起着不可替代的作用。内部控制是为风险管理而控制，是风险管理的重要手段。而风险管理则是对内部控制的进一步巩固和提升。两者相互依存，相互制约，形成一个有机整体，共同实现企业战略目标。

3.3风险管理是内部控制的拓展和提升

企业战略目标的制定和调整需要综合考虑企业外部内部环境的影响。内部控制通过控制环境间接地和企业外部环境发生关系，除了法律法规遵循外，主要和企业内部环境发生互动关系。风险管理应对的战略目标实现的不确定性，将内部环境和外部环境及其变化的影响提到同一高度。因此，内部控制主要是面向企业内部，而风险管理同时面向企业内部和外部。

目前就“战略控制、管理控制、作业控制”三个层级而言，内部控制主要解决管理控制和作业控制，而风险管理从理论上已经达到解决战略控制的高度。

朱大华（2009）总结出，风险管理提出了“风险组合管理”的新概念，即一个企业的不同风险可能相互增强，也可能相互抵减；或者虽然单个业务单元的风险在风险容忍度内，但整体可能超出风险容忍度。风险管理能从全局的角度衡量风险组合对企业的整体影响，这是内部控制所不能解决的。

实务中，风险管理是使用了风险坐标图定性识别、蒙特卡罗定量分析、建立风险数据库跟踪关键风险指标等方法识别风险，运用压力测试、场景分析等工具应对风险，比内部控制从面到线、从线到点，逐个控制点识别和应对风险的方式更先进，更有效。

风险管理的外延比内部控制大，达到了战略控制的高度，从风险组合的角度看待企业整体风险，丰富了风险识别和应对方法，是对内部控制的拓展和提升。

［1］周兆生.内部控制与风险管理.审计与经济研究，2004，4：P47～48.

［2］马泽生.基于流程管理的企业风险管理模式.企业管理，2015，2：P92.

［3］陈纲.企业风险管理：历程、实质及误区.财会通讯，2013，3下：P112.

［4］朱大华.企业风险管理与内部控制的关系及应用.财会通讯，2012，9中：P46～47.

［5］路世谊.企业全面风险管理.经济研究参考，2012，16：P25～27.

林盛（1977-）男，汉，福建福安人，注册会计师，注册内部审计师，注册风险管理师，中级审计师，主要从事内部审计工作。