【摘 要】企業(yè)風險管理與內部控制既有聯(lián)系又有區(qū)別，本文對COSO報告下內部控制與風險管理的關系進行了分析，對在風險管理的框架下如何加強和完善內部控制提出了幾點建議。

【關鍵詞】內部控制；風險管理；關系

中圖分類號：C931 文獻標識碼：A 文章編號：1009-8283(2009)03-0065-01

1 引言

內部控制理論的發(fā)展經過了內部牽制、內部控制制度、內部控制結構與內部控制整體框架等幾個不同的階段。1992年，COSO委員會頒布了《內部控制——整體框架》報告，認為內部控制是由企業(yè)的董事會、管理層、和其他成員實施的，為營運的效率、效果財務報告的可靠性以及法律規(guī)章的遵循性提供合理保證的過程。它是由控制環(huán)境、風險評估、控制程序、信息與溝通和監(jiān)督五大要素組成的。該框架得到了世界很多企業(yè)認可，并為內部控制的權威規(guī)定所借鑒。

另一方面，理論界和實務界也對其提出了新建議，要求內部控制與風險管理結合。2004年9月COSO委員會頒布了《企業(yè)風險管理——總體框架》新報告。報告指出：企業(yè)風險管理是一個過程，該過程由企業(yè)董事會、管理層和其他員工共同參與，應用于戰(zhàn)略制定，貫穿于企業(yè)各層級和部門，為識別影響企業(yè)的潛在事項和在風險偏好范圍內管理風險而設計，為企業(yè)目標的實現(xiàn)提供合理保證；提出了內部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監(jiān)控八個相互聯(lián)系要素。

2 內部控制與風險管理關系研究回顧

第一種觀點是風險管理包含內部控制。正如COSO委員會所指出，企業(yè)風險管理框架并未取代內部控制，而是將內部控制框架整體納入其中。英國Turnbull 委員會(2005)認為，公司的內部控制系統(tǒng)在風險管理中扮演關鍵角色，內部控制應當被管理者看作是范圍更廣的風險管理的必要組成部分。

第二種觀點是內部控制包含風險管理。加拿大COCO 報告認為，“控制”是一個組織中支持該組織實現(xiàn)其目標諸要素的集合體，實質上就是“內部控制”。CICA(1998)闡明了風險管理與控制的關系：“當您在抓住機會和管理風險時，您也正在實施控制”。

第三種觀點，即內部控制就是風險管理。Blackburn (1999) 認為風險管理與內部控制僅是人為的分離，而在現(xiàn)實的商業(yè)行為中，它們是一體化的。Matthew Leitch (2004) 認為，理論上，風險管理系統(tǒng)與內部控制系統(tǒng)沒有差異，這兩個概念正在變?yōu)橥皇挛铩?/p>

3 基于COSO報告下的內部控制與風險管理比較

3.1 相同點

1、它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。

2、它們都明確是一個“過程”，其本身并不是一個結果，而是實現(xiàn)結果的一種方式。企業(yè)內部控制與風險管理都是滲透于企業(yè)各項活動中的一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。

3、它們都是為企業(yè)目標的實現(xiàn)提供合理的保證。設計合理、運行有效的內部控制與風險管理能夠向企業(yè)的管理者和董事會在企業(yè)各目標的實現(xiàn)上提供合理的保證。

3.2 不同點

1、內容上，企業(yè)風險管理除包括原內部控制的三個目標之外，還增加了戰(zhàn)略目標；這意味著風險管理介入了企業(yè)戰(zhàn)略制訂過程，風險管理比內部控制的層次更高，范圍更廣。另外，企業(yè)風險管理將風險評估要素拓展為目標設定、事項識別、風險評估及風險應對等四個要素。還引入了風險組合管理理念以及風險偏好、風險容忍度等新的概念。

2、技術方法上，風險管理更注重對風險的定量分析與管理。比如，在風險評估要素方面，針對風險大小的定量度量提出了多種技術方法，包括VAR(value at risk)、風險現(xiàn)金流量、風險收益、損失分布、事后檢驗等概率技術和敏感性分析、情景分析、壓力測試、設定基準等非概率技術。

3 內部控制與風險管理的內在聯(lián)系

《內部控制——整體框架》之所以升級為《企業(yè)風險管理——整體框架》，根本原因在于內部控制的出發(fā)點與最終目的都是為了控制和管理風險。雖然內部控制的目標與控制層次不斷提升，但風險控制與管理始終是核心主線，只是其風險控制的目標、內容和層次伴隨企業(yè)的環(huán)境、經營的模式以及企業(yè)制度的變遷而變化。從語義上說，內部控制就是控制風險，控制風險就是風險管理。所以內部控制和風險管理是控制風險的兩種不同語義表達形式。內部控制主要是從風險控制的方式和手段說明風險控制的，風險管理就是從風險控制的目的來說明風險控制的。當然，風險管理的提法更凸顯了風險的重要性。因為傳統(tǒng)的內部控制為企業(yè)構筑的“防護墻”已很難抵擋市場瞬息萬變帶來的風險。風險管理無疑是內部控制在新形勢下的自然升華。它是更主動、更全面的內部控制。

4 貫穿風險管理理念、完善企業(yè)內部控制

我國于2008年5月頒布了第一部《企業(yè)內部控制基本規(guī)范》，為企業(yè)加強和規(guī)范內部控制提出了要求。為更好貫徹內部控制規(guī)范，實施風險管理，我們應多管齊下：

4.1 完善公司治理與內部控制環(huán)境

內部控制中強化公司治理的作用在我國顯得尤為重要，由于我國證券市場尚處于新興加轉軌階段，股權結構異化，股權文化缺失，公司治理形備而實不至。我國應加強公司治理建設，使股東、董事會和經理層相互制衡，從根本上改善內部控制環(huán)境，防止管理層超越內部控制。

4.2 重視風險因素在內部控制中的重要性

在企業(yè)實際經營管理過程中，風險管理與內部控制的關系并不是一成不變的。戰(zhàn)略制定階段，內部控制服務于風險管理的需求；戰(zhàn)略實施階段，風險管理體現(xiàn)于內部控制的過程。無論二者關系如何，對風險的積極管理是進行內部控制的大勢所趨。

4.3 重視內部控制自我評估

自我評估是組織監(jiān)督和評估內部控制系統(tǒng)的主要工具，它將運行和維持內部控制的主要責任賦予公司管理者，同時要求員工和內部審計也要承擔對內部控制評估的責任。

參考文獻：

[1]宋常.企業(yè)風險管理與內部控制關系探微問題的研究.學術交流，2007，2

[2]張立民.內部控制、公司治理與風險管理.審計研究，2007，5

[3]謝志華.內部控制、公司治理、風險管理：關系與整合.會計研究，2007，10

[4]賴章奎.內部控制與企業(yè)風險管理關系之探析.管理觀察，2008，13