整合内部控制与风险管理助推企业可持续性发展

杨有红（博士生导师）

自2008 年五部委颁布《企业内部控制基本规范》及配套指引以来，我国各类企业相继进入内部控制构建的高峰期，并且逐步实施内部控制评价和审计。2009年国务院国有资产监督管理委员会颁布的《中央企业全面风险管理指引》不仅推动了中央企业进入全面风险管理的新时期，而且对其他组织形式企业的风险管理起到了示范和引领作用。实施内部控制和风险管理有助于我国企业合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和改善经营效果，实现发展战略。

但是，对于企业内部控制和风险管理的关系，理论界和实务界存在着认识误区。内部控制和风险管理是什么关系？两者是相互独立的系统还是存在替代关系？认识上的模糊妨碍了企业内部控制和风险管理的有机结合，增加了管理成本并抑制了管控效率和效果。因此，厘清内部控制和风险管理的关系、实现两者的深度融合，是改善管控效果、助推企业可持续性发展的重要手段。

本文试图通过对企业内部控制与风险管理发展历程回顾、内部控制与风险管理的比较研究，厘清两者间的关系，并在此基础上探讨两者的整合运用，为企业经营的合规性和效益性提供合理保证，助推企业可持续性发展。

一、企业内部控制与风险管理发展历程回顾

集不相容职务分离、分级授权、监督为一体的内部控制思想产生于18 世纪产业革命导致的企业规模化和资本大众化[1]。最早提及内部控制的职业文献是1929 年美国会计师协会和联邦储备委员会修订发布的《会计报表的验证》（Verification of Financial Statements）。最早定义内部控制的是1936 年在上述基础上修订发布的《独立公共会计师对会计报表的审查》（Examination of Financial Statements by Independent Public Accountants）。1985 年，由美国管理会计师协会、美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会联合成立的反虚假财务报告委员会下属的发起人委员会（COSO）于1992 年发布《内部控制——整合框架》［简称“内部控制框架（1992）”］，并于1994 年进行增补、2013 年进行修订。上述五个非政府性与会计相关的职业团体各有其承担的使命，涉及通过内部控制提升财务报告质量、通过决策及战略实施中的风险管理提升企业绩效、通过内外部审计提升治理能力并有效地威慑欺诈，因此整合形成的COSO将使命定位于通过开发旨在强化内部控制、风险管理、治理和欺诈威慑的思想领导力来帮助组织提高绩效。在这一使命的驱使下，COSO 在颁布内部控制框架的基础上，研究开发企业风险管理框架就顺理成章。

COSO 在1994 年完成内部控制框架（1992）的增补后，即着手进行风险管理框架的研究，其将“目标—要素—单元层次”这一思维范式和研究方法论直接运用于风险管理框架的研究，并于2004 年发布《企业风险管理——整合框架》［简称“风险管理框架（2004）”］。2013 年修订的《内部控制——整合框架》［简称“内部控制框架（2013）”］没有改变内部控制的目标、要素和单元层次，但为提高内部控制框架对企业类型和规模的适应性，针对五大要素提出了相应的17 条原则，并强化了公司治理文化对内部控制系统的基础性作用。2017 年修订发布的《企业风险管理框架——与战略和绩效的整合》［简称“风险管理框架（2017）”］在明确战略和绩效导向、梳理企业价值创造逻辑的基础上，强调了愿景、使命、核心价值观对战略设定和风险管理的基础性作用，并着重基于企业战略制定与实施、价值创造与保护提出了风险管理五要素和相应的20 条原则，该框架充分体现了原则性要求和文化的重要性。

无论是内部控制框架还是风险管理框架，其内容均由目标导向下的控制要素构成。所不同的是，风险管理框架中的目标是内部控制框架目标的拓展，风险管理要素是内部控制要素的延伸。COSO之所以通过内部控制手段来管控风险，是因为两权分离下需要通过分工协作才能有效运行企业。试想一下，“夫妻店”是不需要通过内部控制系统来防范风险的，而是直接分析外部环境可能导致的风险并直接采取相应控制手段。内部控制系统主要是解决这一问题：企业在两权分离、分级授权、部门分工合作的状况下，如何保障公司治理与管理的合法合规和管理的效率与效果，并齐心协力地应对外部风险，以保障企业合法、有效运行。企业风险管理框架则是基于企业能够接受的风险，制定并实施企业战略，实现价值增值和可持续发展。

二、内部控制框架与风险管理框架的比较及启示

1. 风险管理框架包括了内部控制框架的内容。

内部控制框架首次颁布于1992 年，早于2004 年颁布的风险管理框架。风险管理框架（2004）明确指出：“内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。”对比两个框架不难发现，风险管理框架在原来三大目标的基础上加入了战略目标，八要素的内容虽未超出内部控制五要素的外延，但对原来的五要素进行了细化和深化。风险管理框架将原内部控制框架中风险评估要素的四个构成部分上升为四个要素并嵌入控制环境、控制活动、信息与沟通、监督之中。风险管理框架的内容比内部控制框架更丰富，其由风险管理框架（2004）和与之配套的《企业风险管理——应用技术》构成，而《企业风险管理——应用技术》对企业按八要素构建风险管理框架提出了具有可操作性的应用指南。

内部控制框架和风险管理框架分别于2013 年和2017 年由COSO 进行了更新，这说明COSO 并没有用风险管理框架代替内部控制框架之意。也就是说，尽管风险管理框架涵盖了内部控制框架的内容，但这两者是不可相互替代的。内部控制是企业风险管理的重要组成部分，而企业风险管理是公司治理的一部分，企业受托人通过风险与收益的平衡制定并实现战略与绩效目标是向委托人解脱受托责任的重要手段。内部控制框架（2013）对内部控制、企业风险管理、公司治理三者的关系进行了明确的阐述，如图1 所示。可见，不能用公司治理代替企业风险管理，也不能用企业风险管理取代内部控制。

图1 内部控制、企业风险管理、公司治理的关系

2. 内部控制是外部监管部门对企业的强制性要求。监管机构通过发布内部控制规范和指引或借用专业机构内部控制框架等方式提出了对公司建立和维护内部控制的要求，并要求董事会或类似机构按相关规定对内部控制的有效性进行年度评价、聘请外部审计机构对内部控制评价报告进行审计。英美国家虽然要求公司建立和运行内部控制、评价并聘请外部机构审计内部控制，但政府相关部门并未颁布可供企业直接参照执行的内部控制法规，而是由非政府性职业组织发布内部控制框架并由政府认可。这类似于由政府相关机构监管会计信息质量，但由民间机构承担发布会计准则之责。COSO对其在内部控制和风险管理领域的职责定位有着明显区别：成为全球内部控制规则的权威机构并为政府监管提供内部控制法规支持，同时成为全球风险管理思想的引导者。这一定位传出的信号是：无论是内部控制还是风险管理领域，COSO均致力于成为全球具有显著影响力的机构。因各国监管当局均对企业构建、维护与评价、审计内部控制有着强制性要求，COSO将努力满足监管机构的要求；但风险管理并非各国监管当局的强制性要求，而是企业基于战略导向下风险收益平衡的自我要求，COSO将为它们提供思想引领。事实也是如此，迄今为止，没有哪个国家的监管机构颁布或借用专业机构发布的风险管理框架来规范企业的风险管理行为，也不要求企业对风险管理状况进行评价和审计。

也许有人认为，在内部控制框架的三大目标中，报告目标和合规目标无疑是外部监管的强制性要求，但运营目标（运营的效果和效率目标，具体包括经营和财务业绩目标）属于公司战略规划的内容，不属于外部监管部门对企业的强制性要求。事实上，内部控制作为执行系统，需要解决的是如何通过控制手段保障运营目标实现，其并不包括目标的制定，战略决策和运营目标的制定属于风险管理框架中的内容。在两权分离的情况下，公司向外部投资者和利益相关者公布运营目标是公司义不容辞的责任。按我国现行法规的规定，上市公司需要向投资者报告企业战略，通过发布盈利预测、与投资者沟通、发布业绩等方式向外界报告运营目标及其实现方式。例如，我国上市公司当年的财务业绩目标和下一年度的财务业绩目标必须以财务决算报告和财务预算报告的方式向股东汇报并由股东大会审议和审批，当年的运营目标和下一年度的运营目标必须在董事会年度报告中阐述并经过股东大会审议和审批。

3. 内部控制是风险管理的基础。比较内部控制框架和风险管理框架后不难发现，尽管风险管理框架包含了内部控制框架的内容，内部控制框架和风险管理框架都将目标定位于合规和绩效两个维度，但两个框架的侧重点是不同的，前者侧重于合规维度的目标，后者则侧重于绩效维度的目标。

（1）风险管理框架以内部控制框架为支撑。从框架构成来看，内部控制框架由三目标、五要素构成，而风险管理框架（2004）由四目标、八要素构成。风险管理框架（2004）在内部控制经营、报告、合规三目标的基础上加上了战略目标，并指出：战略目标是“高层次目标，与使命相关联并支撑其使命”，“企业风险管理技术被运用到制定战略和目标过程之中”。风险管理框架（2004）八要素与内部控制框架（2013）五要素相比，并无实质性区别。风险管理框架（2004）将内部控制框架五要素中的风险评估细分为目标设定、事项识别、风险评估和风险应对。两个框架都认为风险来自内部和外部两大方面且存在于企业的各个层面，都注意到管理理念和风险偏好对风险应对的影响，而且都强调风险评估过程中必须分析没有采取任何措施情况下的固有风险和采取风险应对措施后的剩余风险，并评价采取应对措施后的剩余风险是否超过风险容忍度。两个框架最核心的区别在于：风险管理框架（2004）采用事项识别代替风险识别，以此评估其对目标实现的正面和负面影响，并引入风险组合观，以考虑风险组合以及风险与收益的组合所产生的复合风险。为提高新框架对环境变化、商业模式变更、信息技术水平提升的适应力，聚焦于战略决策制定和企业绩效提升，COSO 发布了风险管理框架（2017），该框架由治理和文化、战略和目标设定、绩效、审阅与修订、信息沟通与报告五要素构成，并通过原则指导框架要素在企业风险管理中的运用。但COSO同时明确指出，内部控制框架（2013）与风险管理框架（2017）相互补充，内部控制与风险管理的共同性内容不在新的风险管理框架中进行重复规范。

（2）风险管理框架的侧重点在绩效。风险管理框架（2017）明确指出，风险管理框架是管理框架而非控制框架。企业经营的宗旨是在合理保证报告目标和合规目标的情况下，通过管控措施保障战略的实施，努力实现运营目标和财务业绩目标。内部控制系统实施的前提条件是企业已有明确的战略、运营目标和财务业绩目标，但如何制定战略、运营目标和财务业绩目标不属于内部控制框架应规范的内容，因为如何制定与使命、愿景和核心价值观相匹配的战略、商业模式和业绩目标超越了外部监管部门的监管责任。从《企业风险管理——应用技术》中不难看出，风险偏好、风险容忍度、固有风险、剩余风险更多地被用于战略选择与战略目标制定。相较于风险管理框架（2004），风险管理框架（2017）凝练了风险和价值之间的关联性，认为风险是可能会发生的影响企业战略和业务目标实现能力的事件，并优化了风险偏好和风险承受度的概念，在此基础上强调制定战略和提升绩效过程中的风险管控。该框架的侧重点在于提升企业创造、保护和最终实现价值的能力。战略和风险之间的关系及其对整体绩效的影响，是最新的COSO框架阐述的关键点之一。

三、夯实内部控制，优化风险管理，助推企业可持续性发展

加强内部控制是提升企业风险管理水平的重要路径。风险管理框架涵盖了内部控制框架的全部内容，是在内部控制系统基础上制定的。在风险管理框架要素中，最核心的特色是在控制环境中建立风险管理、风险文化和风险偏好，以及风险评估中的事项识别和风险组合观，其他方面的要点与内部控制框架基本上别无二致。对于内部控制框架中阐述得十分清楚的内容，风险管理框架则基于与其衔接而采取简单阐述的方法，甚至一笔带过。风险管理不能离开内部控制系统而独立运行，因此企业必须在夯实内部控制系统的基础上，将内部控制系统的外延延伸到战略和绩效目标，服务于企业的价值创造、价值保护和价值实现。内部控制侧重于企业的合规性，风险管理侧重于企业的效益性。在我国企业治理和管理实践中，无论是合规性还是效益性，都存在着很大的提升空间。

1. 完善内部控制系统，提升企业合法合规水平。内部控制系统通过预防和及时发现不合规行为来为合法合规目标的实现提供合理保证。合法合规体现为经营管理合法合规和包括财务报告在内的信息披露合法合规。随着公司外部治理环境的优化和内部治理结构的完善，企业合法合规程度理应不断提高，违规公司比例理应不断下降。但是，从2019～2021 年上市公司违规处罚的情况看（见表1），违规公司总体占比是不断上升的；在当年违规的上市公司中，信息披露违规（包括未及时披露公司重大信息、信息虚假信息或误导性陈述）公司占违规公司总数的比例逐年上升，未履行其他职责而违规（包括收购中未按约定履行相关业绩补偿承诺导致公司支付大额资金收购资产后面临重大亏损、未按规定授权审议担保事项或投资事项、大股东非经营性资金占用、融资融券中的违规行为、违反安全管理规定等）的公司所占比例则逐年下降；在因违规而受处罚的公司中，受到2次及以上处罚的公司占违规公司的比例基本上在三分之一左右。

表1 2019～2021年上市公司违规处罚情况

内部控制为合法合规目标的实现提供合理保证而非绝对保证，违规公司比例上升不能简单归咎于内部控制质量下降，导致违规公司比例上升的原因是内部控制系统提升的程度赶不上控制环境变化的速度以及监管部门合法合规要求的提升步伐。为保障企业在合法合规的轨道上持续发展，国家相关监管部门通过法律法规的形式强制要求企业建立内部控制系统，并进行内部控制评价和审计。但是，这并不是说内部控制只来自于企业外部的要求，企业因趋于外在压力而建立内部控制系统并进行内部控制系统的评价和审计。内部控制的构建、维护、评价和审计是在当前监管方式和资本市场运作模式下企业可持续发展的内在要求。企业内部控制系统的维护和提升必须从以下两个方面下功夫：

（1）随控制环境的变化及时调整完善内部控制系统。控制环境变化主要体现在三个方面：一是法律法规变化，如新《证券法》的实施、退市新规、会计准则变化等，法律法规的变化意味着合规标准的变化，海外经营的公司还必须依据所有国法律法规的变化相应调整自身内部控制系统；二是商业模式变更导致企业与供应商、销货方业务交往手段发生变化以及企业内部授权、业务流程发生变化，这些变化要求内部控制系统进行相应调整；三是管理模式创新以及智能化地运用信息传递与反馈、分析与判断模式导致风险事项的类型、严重程度和应对方式必须进行相应调整。企业必须针对以上环境变化及时调整内部控制系统，化解由此引发的风险。

（2）充分利用内部控制评价和审计成果完善内部控制系统。内部控制评价和审计是满足外部监管要求的手段，对企业而言，应该将其作为完善自身内部控制系统的良好契机。虽然已有统一的《企业内部控制评价指引》，但企业间的内部控制评价存在着很大差别。从内部控制评价的实践看，存在企业集团未按指引要求进行全面评价的情况，具体表现为以下两点：一是部分企业采取企业集团统一评价和下属企业自评相结合的做法，每年选出一小部分企业进行统一评价，但大部分下属企业自行评价，且集团未给予适当指导；二是部分企业简单地下发内部控制评价通知，并根据下属企业提交的内部控制自评报告汇总得出企业年度内部控制评价报告。上述做法使企业失去了以评价促完善的契机。企业必须严格按照《企业内部控制评价指引》及相关要求成立或指定内部控制评价机构，依照“制定评价工作方案—组成评价工作组—实施现场测试—认定控制缺陷—汇总评价结果—编报评价报告”的流程进行内部控制评价，并做出评价结论。上市公司还必须按《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》的要求进行内部控制年度评价的信息披露。内部控制年度评价结果为有效、内部控制被出具标准无保留意见的审计报告并不表示企业的内部控制系统不存在问题，企业应该在审计与风险委员会（或类似机构）的指导下根据内部控制评价过程中发现的重要缺陷、一般缺陷，以及会计师事务所提交的管理建议书中所列的问题、整改建议，提出相应整改措施，并追踪评估整改措施落实情况。

2. 按照内部控制的要求健全战略制定环节的风险控制流程。基于既定的使命制定战略目标、选择战略路径是风险管理的重要内容。风险管理框架及与之配套的应用技术十分重视战略目标和业绩提升，对战略目标制定和业绩提升过程中的固有风险、剩余风险、风险偏好、风险容忍度的度量进行了详细论述并提供了详细的技术指引。但是，风险管理框架并未对战略目标制定和战略制定过程中的风险把控进行详细阐述，企业战略制定过程中的流程设计、权责划分、信息沟通、决策机制需要在内部控制系统中做出具有可操作性的规定，并将风险管理的应用技术嵌入战略制定流程中。在此基础上，修订完善预算控制系统，准确地用预算绩效（目标）指标描述年度战略目标、用预算控制指标表述风险承受度，进而将战略目标转化为预算绩效指标、战略实施中的风险承受度转化为预算控制指标，并通过建立预算评价指标体系考核战略实施效果[2]。

虽然COSO 基于战略与绩效的风险管理系统对于建立战略制定和实施中的风险控制体系具有借鉴作用，但我国企业的中国特色决定了不能简单照搬美国COSO的框架来构建企业风险管理体系。企业在战略目标和路径的选择中，必须充分考虑《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中提出的“坚持新发展理念，在质量效益明显提升的基础上实现经济持续健康发展”的要求，以及企业所处产业链的业态特征和所处的国内外环境；在战略制定和实施的风险控制体系中，必须按党委“把方向、管大局、促落实”、董事会“定战略、做决策、防风险”、经理层“谋经营、抓落实、强管理”的要求细化风险管控流程中的权责分派体系、不相容职务分离、分级授权、监督与纠偏责任落实。

3. 将内部控制与风险管理嵌入数字化管理和智能化管理之中。尽管目前人工智能尚未被系统化应用于企业经营的所有方面和所有环节，但在某些领域或某些环节已得到较充分的运用。随着机器学习模式从非深度学习模式向深度学习模式和强化学习模式演化，人工智能在企业中运用的深度和广度将不断提高。但是，人工智能在提高流程效率和改善现有产品和服务的同时，也会引发新的风险，如网络安全漏洞、AI 故障影响业务运营、未经同意使用个人隐私资料产生恶劣后果、基于AI的建议做出错误决策等。因此，在企业运营与管理数字化和智能化成为发展趋势的情况下，企业必须建立与数字化管理和智能化管理相匹配的内部控制与风险管理系统。应针对AI模式、算法设计、网络漏洞应对，以及数据收集、数据访问、数据使用、数据保留等方面评估合规风险和可能引发的伦理道德问题（如承保方案设计、医疗诊断和治疗方案等），判断其是否与企业愿景、使命和核心价值观相一致，在此基础上建立基于AI的法规与道德规范体系、技术规范体系和监控体系，实现内部控制和风险管理与数字化管理、智能化管理的深度整合。

【 主要参考文献】

［1］阎达五，杨有红.内部控制框架的构建［J］.会计研究，2001（2）：9 ～15.

［2］杨有红.战略引领预算的机理和实现方式［J］.北京工商大学学报（社会科学版），2020（3）：13 ～20.