楊有紅（博士生導(dǎo)師）

自2008 年五部委頒布《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引以來，我國各類企業(yè)相繼進(jìn)入內(nèi)部控制構(gòu)建的高峰期，并且逐步實(shí)施內(nèi)部控制評(píng)價(jià)和審計(jì)。2009年國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)頒布的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》不僅推動(dòng)了中央企業(yè)進(jìn)入全面風(fēng)險(xiǎn)管理的新時(shí)期，而且對(duì)其他組織形式企業(yè)的風(fēng)險(xiǎn)管理起到了示范和引領(lǐng)作用。實(shí)施內(nèi)部控制和風(fēng)險(xiǎn)管理有助于我國企業(yè)合理保證經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整，提高經(jīng)營效率和改善經(jīng)營效果，實(shí)現(xiàn)發(fā)展戰(zhàn)略。

但是，對(duì)于企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理的關(guān)系，理論界和實(shí)務(wù)界存在著認(rèn)識(shí)誤區(qū)。內(nèi)部控制和風(fēng)險(xiǎn)管理是什么關(guān)系？兩者是相互獨(dú)立的系統(tǒng)還是存在替代關(guān)系？認(rèn)識(shí)上的模糊妨礙了企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理的有機(jī)結(jié)合，增加了管理成本并抑制了管控效率和效果。因此，厘清內(nèi)部控制和風(fēng)險(xiǎn)管理的關(guān)系、實(shí)現(xiàn)兩者的深度融合，是改善管控效果、助推企業(yè)可持續(xù)性發(fā)展的重要手段。

本文試圖通過對(duì)企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理發(fā)展歷程回顧、內(nèi)部控制與風(fēng)險(xiǎn)管理的比較研究，厘清兩者間的關(guān)系，并在此基礎(chǔ)上探討兩者的整合運(yùn)用，為企業(yè)經(jīng)營的合規(guī)性和效益性提供合理保證，助推企業(yè)可持續(xù)性發(fā)展。

一、企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理發(fā)展歷程回顧

集不相容職務(wù)分離、分級(jí)授權(quán)、監(jiān)督為一體的內(nèi)部控制思想產(chǎn)生于18 世紀(jì)產(chǎn)業(yè)革命導(dǎo)致的企業(yè)規(guī)?；唾Y本大眾化[1]。最早提及內(nèi)部控制的職業(yè)文獻(xiàn)是1929 年美國會(huì)計(jì)師協(xié)會(huì)和聯(lián)邦儲(chǔ)備委員會(huì)修訂發(fā)布的《會(huì)計(jì)報(bào)表的驗(yàn)證》（Verification of Financial Statements）。最早定義內(nèi)部控制的是1936 年在上述基礎(chǔ)上修訂發(fā)布的《獨(dú)立公共會(huì)計(jì)師對(duì)會(huì)計(jì)報(bào)表的審查》（Examination of Financial Statements by Independent Public Accountants）。1985 年，由美國管理會(huì)計(jì)師協(xié)會(huì)、美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)、美國會(huì)計(jì)協(xié)會(huì)、財(cái)務(wù)經(jīng)理人協(xié)會(huì)、內(nèi)部審計(jì)師協(xié)會(huì)聯(lián)合成立的反虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)（COSO）于1992 年發(fā)布《內(nèi)部控制——整合框架》［簡稱“內(nèi)部控制框架（1992）”］，并于1994 年進(jìn)行增補(bǔ)、2013 年進(jìn)行修訂。上述五個(gè)非政府性與會(huì)計(jì)相關(guān)的職業(yè)團(tuán)體各有其承擔(dān)的使命，涉及通過內(nèi)部控制提升財(cái)務(wù)報(bào)告質(zhì)量、通過決策及戰(zhàn)略實(shí)施中的風(fēng)險(xiǎn)管理提升企業(yè)績效、通過內(nèi)外部審計(jì)提升治理能力并有效地威懾欺詐，因此整合形成的COSO將使命定位于通過開發(fā)旨在強(qiáng)化內(nèi)部控制、風(fēng)險(xiǎn)管理、治理和欺詐威懾的思想領(lǐng)導(dǎo)力來幫助組織提高績效。在這一使命的驅(qū)使下，COSO 在頒布內(nèi)部控制框架的基礎(chǔ)上，研究開發(fā)企業(yè)風(fēng)險(xiǎn)管理框架就順理成章。

COSO 在1994 年完成內(nèi)部控制框架（1992）的增補(bǔ)后，即著手進(jìn)行風(fēng)險(xiǎn)管理框架的研究，其將“目標(biāo)—要素—單元層次”這一思維范式和研究方法論直接運(yùn)用于風(fēng)險(xiǎn)管理框架的研究，并于2004 年發(fā)布《企業(yè)風(fēng)險(xiǎn)管理——整合框架》［簡稱“風(fēng)險(xiǎn)管理框架（2004）”］。2013 年修訂的《內(nèi)部控制——整合框架》［簡稱“內(nèi)部控制框架（2013）”］沒有改變內(nèi)部控制的目標(biāo)、要素和單元層次，但為提高內(nèi)部控制框架對(duì)企業(yè)類型和規(guī)模的適應(yīng)性，針對(duì)五大要素提出了相應(yīng)的17 條原則，并強(qiáng)化了公司治理文化對(duì)內(nèi)部控制系統(tǒng)的基礎(chǔ)性作用。2017 年修訂發(fā)布的《企業(yè)風(fēng)險(xiǎn)管理框架——與戰(zhàn)略和績效的整合》［簡稱“風(fēng)險(xiǎn)管理框架（2017）”］在明確戰(zhàn)略和績效導(dǎo)向、梳理企業(yè)價(jià)值創(chuàng)造邏輯的基礎(chǔ)上，強(qiáng)調(diào)了愿景、使命、核心價(jià)值觀對(duì)戰(zhàn)略設(shè)定和風(fēng)險(xiǎn)管理的基礎(chǔ)性作用，并著重基于企業(yè)戰(zhàn)略制定與實(shí)施、價(jià)值創(chuàng)造與保護(hù)提出了風(fēng)險(xiǎn)管理五要素和相應(yīng)的20 條原則，該框架充分體現(xiàn)了原則性要求和文化的重要性。

無論是內(nèi)部控制框架還是風(fēng)險(xiǎn)管理框架，其內(nèi)容均由目標(biāo)導(dǎo)向下的控制要素構(gòu)成。所不同的是，風(fēng)險(xiǎn)管理框架中的目標(biāo)是內(nèi)部控制框架目標(biāo)的拓展，風(fēng)險(xiǎn)管理要素是內(nèi)部控制要素的延伸。COSO之所以通過內(nèi)部控制手段來管控風(fēng)險(xiǎn)，是因?yàn)閮蓹?quán)分離下需要通過分工協(xié)作才能有效運(yùn)行企業(yè)。試想一下，“夫妻店”是不需要通過內(nèi)部控制系統(tǒng)來防范風(fēng)險(xiǎn)的，而是直接分析外部環(huán)境可能導(dǎo)致的風(fēng)險(xiǎn)并直接采取相應(yīng)控制手段。內(nèi)部控制系統(tǒng)主要是解決這一問題：企業(yè)在兩權(quán)分離、分級(jí)授權(quán)、部門分工合作的狀況下，如何保障公司治理與管理的合法合規(guī)和管理的效率與效果，并齊心協(xié)力地應(yīng)對(duì)外部風(fēng)險(xiǎn)，以保障企業(yè)合法、有效運(yùn)行。企業(yè)風(fēng)險(xiǎn)管理框架則是基于企業(yè)能夠接受的風(fēng)險(xiǎn)，制定并實(shí)施企業(yè)戰(zhàn)略，實(shí)現(xiàn)價(jià)值增值和可持續(xù)發(fā)展。

二、內(nèi)部控制框架與風(fēng)險(xiǎn)管理框架的比較及啟示

1. 風(fēng)險(xiǎn)管理框架包括了內(nèi)部控制框架的內(nèi)容。

內(nèi)部控制框架首次頒布于1992 年，早于2004 年頒布的風(fēng)險(xiǎn)管理框架。風(fēng)險(xiǎn)管理框架（2004）明確指出：“內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理不可分割的一部分。這份企業(yè)風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制，從而構(gòu)建了一個(gè)更強(qiáng)有力的概念和管理工具。”對(duì)比兩個(gè)框架不難發(fā)現(xiàn)，風(fēng)險(xiǎn)管理框架在原來三大目標(biāo)的基礎(chǔ)上加入了戰(zhàn)略目標(biāo)，八要素的內(nèi)容雖未超出內(nèi)部控制五要素的外延，但對(duì)原來的五要素進(jìn)行了細(xì)化和深化。風(fēng)險(xiǎn)管理框架將原內(nèi)部控制框架中風(fēng)險(xiǎn)評(píng)估要素的四個(gè)構(gòu)成部分上升為四個(gè)要素并嵌入控制環(huán)境、控制活動(dòng)、信息與溝通、監(jiān)督之中。風(fēng)險(xiǎn)管理框架的內(nèi)容比內(nèi)部控制框架更豐富，其由風(fēng)險(xiǎn)管理框架（2004）和與之配套的《企業(yè)風(fēng)險(xiǎn)管理——應(yīng)用技術(shù)》構(gòu)成，而《企業(yè)風(fēng)險(xiǎn)管理——應(yīng)用技術(shù)》對(duì)企業(yè)按八要素構(gòu)建風(fēng)險(xiǎn)管理框架提出了具有可操作性的應(yīng)用指南。

內(nèi)部控制框架和風(fēng)險(xiǎn)管理框架分別于2013 年和2017 年由COSO 進(jìn)行了更新，這說明COSO 并沒有用風(fēng)險(xiǎn)管理框架代替內(nèi)部控制框架之意。也就是說，盡管風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制框架的內(nèi)容，但這兩者是不可相互替代的。內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理的重要組成部分，而企業(yè)風(fēng)險(xiǎn)管理是公司治理的一部分，企業(yè)受托人通過風(fēng)險(xiǎn)與收益的平衡制定并實(shí)現(xiàn)戰(zhàn)略與績效目標(biāo)是向委托人解脫受托責(zé)任的重要手段。內(nèi)部控制框架（2013）對(duì)內(nèi)部控制、企業(yè)風(fēng)險(xiǎn)管理、公司治理三者的關(guān)系進(jìn)行了明確的闡述，如圖1 所示?？梢?，不能用公司治理代替企業(yè)風(fēng)險(xiǎn)管理，也不能用企業(yè)風(fēng)險(xiǎn)管理取代內(nèi)部控制。

圖1 內(nèi)部控制、企業(yè)風(fēng)險(xiǎn)管理、公司治理的關(guān)系

2. 內(nèi)部控制是外部監(jiān)管部門對(duì)企業(yè)的強(qiáng)制性要求。監(jiān)管機(jī)構(gòu)通過發(fā)布內(nèi)部控制規(guī)范和指引或借用專業(yè)機(jī)構(gòu)內(nèi)部控制框架等方式提出了對(duì)公司建立和維護(hù)內(nèi)部控制的要求，并要求董事會(huì)或類似機(jī)構(gòu)按相關(guān)規(guī)定對(duì)內(nèi)部控制的有效性進(jìn)行年度評(píng)價(jià)、聘請(qǐng)外部審計(jì)機(jī)構(gòu)對(duì)內(nèi)部控制評(píng)價(jià)報(bào)告進(jìn)行審計(jì)。英美國家雖然要求公司建立和運(yùn)行內(nèi)部控制、評(píng)價(jià)并聘請(qǐng)外部機(jī)構(gòu)審計(jì)內(nèi)部控制，但政府相關(guān)部門并未頒布可供企業(yè)直接參照?qǐng)?zhí)行的內(nèi)部控制法規(guī)，而是由非政府性職業(yè)組織發(fā)布內(nèi)部控制框架并由政府認(rèn)可。這類似于由政府相關(guān)機(jī)構(gòu)監(jiān)管會(huì)計(jì)信息質(zhì)量，但由民間機(jī)構(gòu)承擔(dān)發(fā)布會(huì)計(jì)準(zhǔn)則之責(zé)。COSO對(duì)其在內(nèi)部控制和風(fēng)險(xiǎn)管理領(lǐng)域的職責(zé)定位有著明顯區(qū)別：成為全球內(nèi)部控制規(guī)則的權(quán)威機(jī)構(gòu)并為政府監(jiān)管提供內(nèi)部控制法規(guī)支持，同時(shí)成為全球風(fēng)險(xiǎn)管理思想的引導(dǎo)者。這一定位傳出的信號(hào)是：無論是內(nèi)部控制還是風(fēng)險(xiǎn)管理領(lǐng)域，COSO均致力于成為全球具有顯著影響力的機(jī)構(gòu)。因各國監(jiān)管當(dāng)局均對(duì)企業(yè)構(gòu)建、維護(hù)與評(píng)價(jià)、審計(jì)內(nèi)部控制有著強(qiáng)制性要求，COSO將努力滿足監(jiān)管機(jī)構(gòu)的要求；但風(fēng)險(xiǎn)管理并非各國監(jiān)管當(dāng)局的強(qiáng)制性要求，而是企業(yè)基于戰(zhàn)略導(dǎo)向下風(fēng)險(xiǎn)收益平衡的自我要求，COSO將為它們提供思想引領(lǐng)。事實(shí)也是如此，迄今為止，沒有哪個(gè)國家的監(jiān)管機(jī)構(gòu)頒布或借用專業(yè)機(jī)構(gòu)發(fā)布的風(fēng)險(xiǎn)管理框架來規(guī)范企業(yè)的風(fēng)險(xiǎn)管理行為，也不要求企業(yè)對(duì)風(fēng)險(xiǎn)管理狀況進(jìn)行評(píng)價(jià)和審計(jì)。

也許有人認(rèn)為，在內(nèi)部控制框架的三大目標(biāo)中，報(bào)告目標(biāo)和合規(guī)目標(biāo)無疑是外部監(jiān)管的強(qiáng)制性要求，但運(yùn)營目標(biāo)（運(yùn)營的效果和效率目標(biāo)，具體包括經(jīng)營和財(cái)務(wù)業(yè)績目標(biāo)）屬于公司戰(zhàn)略規(guī)劃的內(nèi)容，不屬于外部監(jiān)管部門對(duì)企業(yè)的強(qiáng)制性要求。事實(shí)上，內(nèi)部控制作為執(zhí)行系統(tǒng)，需要解決的是如何通過控制手段保障運(yùn)營目標(biāo)實(shí)現(xiàn)，其并不包括目標(biāo)的制定，戰(zhàn)略決策和運(yùn)營目標(biāo)的制定屬于風(fēng)險(xiǎn)管理框架中的內(nèi)容。在兩權(quán)分離的情況下，公司向外部投資者和利益相關(guān)者公布運(yùn)營目標(biāo)是公司義不容辭的責(zé)任。按我國現(xiàn)行法規(guī)的規(guī)定，上市公司需要向投資者報(bào)告企業(yè)戰(zhàn)略，通過發(fā)布盈利預(yù)測(cè)、與投資者溝通、發(fā)布業(yè)績等方式向外界報(bào)告運(yùn)營目標(biāo)及其實(shí)現(xiàn)方式。例如，我國上市公司當(dāng)年的財(cái)務(wù)業(yè)績目標(biāo)和下一年度的財(cái)務(wù)業(yè)績目標(biāo)必須以財(cái)務(wù)決算報(bào)告和財(cái)務(wù)預(yù)算報(bào)告的方式向股東匯報(bào)并由股東大會(huì)審議和審批，當(dāng)年的運(yùn)營目標(biāo)和下一年度的運(yùn)營目標(biāo)必須在董事會(huì)年度報(bào)告中闡述并經(jīng)過股東大會(huì)審議和審批。

3. 內(nèi)部控制是風(fēng)險(xiǎn)管理的基礎(chǔ)。比較內(nèi)部控制框架和風(fēng)險(xiǎn)管理框架后不難發(fā)現(xiàn)，盡管風(fēng)險(xiǎn)管理框架包含了內(nèi)部控制框架的內(nèi)容，內(nèi)部控制框架和風(fēng)險(xiǎn)管理框架都將目標(biāo)定位于合規(guī)和績效兩個(gè)維度，但兩個(gè)框架的側(cè)重點(diǎn)是不同的，前者側(cè)重于合規(guī)維度的目標(biāo)，后者則側(cè)重于績效維度的目標(biāo)。

（1）風(fēng)險(xiǎn)管理框架以內(nèi)部控制框架為支撐。從框架構(gòu)成來看，內(nèi)部控制框架由三目標(biāo)、五要素構(gòu)成，而風(fēng)險(xiǎn)管理框架（2004）由四目標(biāo)、八要素構(gòu)成。風(fēng)險(xiǎn)管理框架（2004）在內(nèi)部控制經(jīng)營、報(bào)告、合規(guī)三目標(biāo)的基礎(chǔ)上加上了戰(zhàn)略目標(biāo)，并指出：戰(zhàn)略目標(biāo)是“高層次目標(biāo)，與使命相關(guān)聯(lián)并支撐其使命”，“企業(yè)風(fēng)險(xiǎn)管理技術(shù)被運(yùn)用到制定戰(zhàn)略和目標(biāo)過程之中”。風(fēng)險(xiǎn)管理框架（2004）八要素與內(nèi)部控制框架（2013）五要素相比，并無實(shí)質(zhì)性區(qū)別。風(fēng)險(xiǎn)管理框架（2004）將內(nèi)部控制框架五要素中的風(fēng)險(xiǎn)評(píng)估細(xì)分為目標(biāo)設(shè)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)。兩個(gè)框架都認(rèn)為風(fēng)險(xiǎn)來自內(nèi)部和外部兩大方面且存在于企業(yè)的各個(gè)層面，都注意到管理理念和風(fēng)險(xiǎn)偏好對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)的影響，而且都強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估過程中必須分析沒有采取任何措施情況下的固有風(fēng)險(xiǎn)和采取風(fēng)險(xiǎn)應(yīng)對(duì)措施后的剩余風(fēng)險(xiǎn)，并評(píng)價(jià)采取應(yīng)對(duì)措施后的剩余風(fēng)險(xiǎn)是否超過風(fēng)險(xiǎn)容忍度。兩個(gè)框架最核心的區(qū)別在于：風(fēng)險(xiǎn)管理框架（2004）采用事項(xiàng)識(shí)別代替風(fēng)險(xiǎn)識(shí)別，以此評(píng)估其對(duì)目標(biāo)實(shí)現(xiàn)的正面和負(fù)面影響，并引入風(fēng)險(xiǎn)組合觀，以考慮風(fēng)險(xiǎn)組合以及風(fēng)險(xiǎn)與收益的組合所產(chǎn)生的復(fù)合風(fēng)險(xiǎn)。為提高新框架對(duì)環(huán)境變化、商業(yè)模式變更、信息技術(shù)水平提升的適應(yīng)力，聚焦于戰(zhàn)略決策制定和企業(yè)績效提升，COSO 發(fā)布了風(fēng)險(xiǎn)管理框架（2017），該框架由治理和文化、戰(zhàn)略和目標(biāo)設(shè)定、績效、審閱與修訂、信息溝通與報(bào)告五要素構(gòu)成，并通過原則指導(dǎo)框架要素在企業(yè)風(fēng)險(xiǎn)管理中的運(yùn)用。但COSO同時(shí)明確指出，內(nèi)部控制框架（2013）與風(fēng)險(xiǎn)管理框架（2017）相互補(bǔ)充，內(nèi)部控制與風(fēng)險(xiǎn)管理的共同性內(nèi)容不在新的風(fēng)險(xiǎn)管理框架中進(jìn)行重復(fù)規(guī)范。

（2）風(fēng)險(xiǎn)管理框架的側(cè)重點(diǎn)在績效。風(fēng)險(xiǎn)管理框架（2017）明確指出，風(fēng)險(xiǎn)管理框架是管理框架而非控制框架。企業(yè)經(jīng)營的宗旨是在合理保證報(bào)告目標(biāo)和合規(guī)目標(biāo)的情況下，通過管控措施保障戰(zhàn)略的實(shí)施，努力實(shí)現(xiàn)運(yùn)營目標(biāo)和財(cái)務(wù)業(yè)績目標(biāo)。內(nèi)部控制系統(tǒng)實(shí)施的前提條件是企業(yè)已有明確的戰(zhàn)略、運(yùn)營目標(biāo)和財(cái)務(wù)業(yè)績目標(biāo)，但如何制定戰(zhàn)略、運(yùn)營目標(biāo)和財(cái)務(wù)業(yè)績目標(biāo)不屬于內(nèi)部控制框架應(yīng)規(guī)范的內(nèi)容，因?yàn)槿绾沃贫ㄅc使命、愿景和核心價(jià)值觀相匹配的戰(zhàn)略、商業(yè)模式和業(yè)績目標(biāo)超越了外部監(jiān)管部門的監(jiān)管責(zé)任。從《企業(yè)風(fēng)險(xiǎn)管理——應(yīng)用技術(shù)》中不難看出，風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)容忍度、固有風(fēng)險(xiǎn)、剩余風(fēng)險(xiǎn)更多地被用于戰(zhàn)略選擇與戰(zhàn)略目標(biāo)制定。相較于風(fēng)險(xiǎn)管理框架（2004），風(fēng)險(xiǎn)管理框架（2017）凝練了風(fēng)險(xiǎn)和價(jià)值之間的關(guān)聯(lián)性，認(rèn)為風(fēng)險(xiǎn)是可能會(huì)發(fā)生的影響企業(yè)戰(zhàn)略和業(yè)務(wù)目標(biāo)實(shí)現(xiàn)能力的事件，并優(yōu)化了風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受度的概念，在此基礎(chǔ)上強(qiáng)調(diào)制定戰(zhàn)略和提升績效過程中的風(fēng)險(xiǎn)管控。該框架的側(cè)重點(diǎn)在于提升企業(yè)創(chuàng)造、保護(hù)和最終實(shí)現(xiàn)價(jià)值的能力。戰(zhàn)略和風(fēng)險(xiǎn)之間的關(guān)系及其對(duì)整體績效的影響，是最新的COSO框架闡述的關(guān)鍵點(diǎn)之一。

三、夯實(shí)內(nèi)部控制，優(yōu)化風(fēng)險(xiǎn)管理，助推企業(yè)可持續(xù)性發(fā)展

加強(qiáng)內(nèi)部控制是提升企業(yè)風(fēng)險(xiǎn)管理水平的重要路徑。風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制框架的全部內(nèi)容，是在內(nèi)部控制系統(tǒng)基礎(chǔ)上制定的。在風(fēng)險(xiǎn)管理框架要素中，最核心的特色是在控制環(huán)境中建立風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)文化和風(fēng)險(xiǎn)偏好，以及風(fēng)險(xiǎn)評(píng)估中的事項(xiàng)識(shí)別和風(fēng)險(xiǎn)組合觀，其他方面的要點(diǎn)與內(nèi)部控制框架基本上別無二致。對(duì)于內(nèi)部控制框架中闡述得十分清楚的內(nèi)容，風(fēng)險(xiǎn)管理框架則基于與其銜接而采取簡單闡述的方法，甚至一筆帶過。風(fēng)險(xiǎn)管理不能離開內(nèi)部控制系統(tǒng)而獨(dú)立運(yùn)行，因此企業(yè)必須在夯實(shí)內(nèi)部控制系統(tǒng)的基礎(chǔ)上，將內(nèi)部控制系統(tǒng)的外延延伸到戰(zhàn)略和績效目標(biāo)，服務(wù)于企業(yè)的價(jià)值創(chuàng)造、價(jià)值保護(hù)和價(jià)值實(shí)現(xiàn)。內(nèi)部控制側(cè)重于企業(yè)的合規(guī)性，風(fēng)險(xiǎn)管理側(cè)重于企業(yè)的效益性。在我國企業(yè)治理和管理實(shí)踐中，無論是合規(guī)性還是效益性，都存在著很大的提升空間。

1. 完善內(nèi)部控制系統(tǒng)，提升企業(yè)合法合規(guī)水平。內(nèi)部控制系統(tǒng)通過預(yù)防和及時(shí)發(fā)現(xiàn)不合規(guī)行為來為合法合規(guī)目標(biāo)的實(shí)現(xiàn)提供合理保證。合法合規(guī)體現(xiàn)為經(jīng)營管理合法合規(guī)和包括財(cái)務(wù)報(bào)告在內(nèi)的信息披露合法合規(guī)。隨著公司外部治理環(huán)境的優(yōu)化和內(nèi)部治理結(jié)構(gòu)的完善，企業(yè)合法合規(guī)程度理應(yīng)不斷提高，違規(guī)公司比例理應(yīng)不斷下降。但是，從2019～2021 年上市公司違規(guī)處罰的情況看（見表1），違規(guī)公司總體占比是不斷上升的；在當(dāng)年違規(guī)的上市公司中，信息披露違規(guī)（包括未及時(shí)披露公司重大信息、信息虛假信息或誤導(dǎo)性陳述）公司占違規(guī)公司總數(shù)的比例逐年上升，未履行其他職責(zé)而違規(guī)（包括收購中未按約定履行相關(guān)業(yè)績補(bǔ)償承諾導(dǎo)致公司支付大額資金收購資產(chǎn)后面臨重大虧損、未按規(guī)定授權(quán)審議擔(dān)保事項(xiàng)或投資事項(xiàng)、大股東非經(jīng)營性資金占用、融資融券中的違規(guī)行為、違反安全管理規(guī)定等）的公司所占比例則逐年下降；在因違規(guī)而受處罰的公司中，受到2次及以上處罰的公司占違規(guī)公司的比例基本上在三分之一左右。

表1 2019～2021年上市公司違規(guī)處罰情況

內(nèi)部控制為合法合規(guī)目標(biāo)的實(shí)現(xiàn)提供合理保證而非絕對(duì)保證，違規(guī)公司比例上升不能簡單歸咎于內(nèi)部控制質(zhì)量下降，導(dǎo)致違規(guī)公司比例上升的原因是內(nèi)部控制系統(tǒng)提升的程度趕不上控制環(huán)境變化的速度以及監(jiān)管部門合法合規(guī)要求的提升步伐。為保障企業(yè)在合法合規(guī)的軌道上持續(xù)發(fā)展，國家相關(guān)監(jiān)管部門通過法律法規(guī)的形式強(qiáng)制要求企業(yè)建立內(nèi)部控制系統(tǒng)，并進(jìn)行內(nèi)部控制評(píng)價(jià)和審計(jì)。但是，這并不是說內(nèi)部控制只來自于企業(yè)外部的要求，企業(yè)因趨于外在壓力而建立內(nèi)部控制系統(tǒng)并進(jìn)行內(nèi)部控制系統(tǒng)的評(píng)價(jià)和審計(jì)。內(nèi)部控制的構(gòu)建、維護(hù)、評(píng)價(jià)和審計(jì)是在當(dāng)前監(jiān)管方式和資本市場(chǎng)運(yùn)作模式下企業(yè)可持續(xù)發(fā)展的內(nèi)在要求。企業(yè)內(nèi)部控制系統(tǒng)的維護(hù)和提升必須從以下兩個(gè)方面下功夫：

（1）隨控制環(huán)境的變化及時(shí)調(diào)整完善內(nèi)部控制系統(tǒng)。控制環(huán)境變化主要體現(xiàn)在三個(gè)方面：一是法律法規(guī)變化，如新《證券法》的實(shí)施、退市新規(guī)、會(huì)計(jì)準(zhǔn)則變化等，法律法規(guī)的變化意味著合規(guī)標(biāo)準(zhǔn)的變化，海外經(jīng)營的公司還必須依據(jù)所有國法律法規(guī)的變化相應(yīng)調(diào)整自身內(nèi)部控制系統(tǒng)；二是商業(yè)模式變更導(dǎo)致企業(yè)與供應(yīng)商、銷貨方業(yè)務(wù)交往手段發(fā)生變化以及企業(yè)內(nèi)部授權(quán)、業(yè)務(wù)流程發(fā)生變化，這些變化要求內(nèi)部控制系統(tǒng)進(jìn)行相應(yīng)調(diào)整；三是管理模式創(chuàng)新以及智能化地運(yùn)用信息傳遞與反饋、分析與判斷模式導(dǎo)致風(fēng)險(xiǎn)事項(xiàng)的類型、嚴(yán)重程度和應(yīng)對(duì)方式必須進(jìn)行相應(yīng)調(diào)整。企業(yè)必須針對(duì)以上環(huán)境變化及時(shí)調(diào)整內(nèi)部控制系統(tǒng)，化解由此引發(fā)的風(fēng)險(xiǎn)。

（2）充分利用內(nèi)部控制評(píng)價(jià)和審計(jì)成果完善內(nèi)部控制系統(tǒng)。內(nèi)部控制評(píng)價(jià)和審計(jì)是滿足外部監(jiān)管要求的手段，對(duì)企業(yè)而言，應(yīng)該將其作為完善自身內(nèi)部控制系統(tǒng)的良好契機(jī)。雖然已有統(tǒng)一的《企業(yè)內(nèi)部控制評(píng)價(jià)指引》，但企業(yè)間的內(nèi)部控制評(píng)價(jià)存在著很大差別。從內(nèi)部控制評(píng)價(jià)的實(shí)踐看，存在企業(yè)集團(tuán)未按指引要求進(jìn)行全面評(píng)價(jià)的情況，具體表現(xiàn)為以下兩點(diǎn)：一是部分企業(yè)采取企業(yè)集團(tuán)統(tǒng)一評(píng)價(jià)和下屬企業(yè)自評(píng)相結(jié)合的做法，每年選出一小部分企業(yè)進(jìn)行統(tǒng)一評(píng)價(jià)，但大部分下屬企業(yè)自行評(píng)價(jià)，且集團(tuán)未給予適當(dāng)指導(dǎo)；二是部分企業(yè)簡單地下發(fā)內(nèi)部控制評(píng)價(jià)通知，并根據(jù)下屬企業(yè)提交的內(nèi)部控制自評(píng)報(bào)告匯總得出企業(yè)年度內(nèi)部控制評(píng)價(jià)報(bào)告。上述做法使企業(yè)失去了以評(píng)價(jià)促完善的契機(jī)。企業(yè)必須嚴(yán)格按照《企業(yè)內(nèi)部控制評(píng)價(jià)指引》及相關(guān)要求成立或指定內(nèi)部控制評(píng)價(jià)機(jī)構(gòu)，依照“制定評(píng)價(jià)工作方案—組成評(píng)價(jià)工作組—實(shí)施現(xiàn)場(chǎng)測(cè)試—認(rèn)定控制缺陷—匯總評(píng)價(jià)結(jié)果—編報(bào)評(píng)價(jià)報(bào)告”的流程進(jìn)行內(nèi)部控制評(píng)價(jià)，并做出評(píng)價(jià)結(jié)論。上市公司還必須按《公開發(fā)行證券的公司信息披露編報(bào)規(guī)則第21號(hào)——年度內(nèi)部控制評(píng)價(jià)報(bào)告的一般規(guī)定》的要求進(jìn)行內(nèi)部控制年度評(píng)價(jià)的信息披露。內(nèi)部控制年度評(píng)價(jià)結(jié)果為有效、內(nèi)部控制被出具標(biāo)準(zhǔn)無保留意見的審計(jì)報(bào)告并不表示企業(yè)的內(nèi)部控制系統(tǒng)不存在問題，企業(yè)應(yīng)該在審計(jì)與風(fēng)險(xiǎn)委員會(huì)（或類似機(jī)構(gòu)）的指導(dǎo)下根據(jù)內(nèi)部控制評(píng)價(jià)過程中發(fā)現(xiàn)的重要缺陷、一般缺陷，以及會(huì)計(jì)師事務(wù)所提交的管理建議書中所列的問題、整改建議，提出相應(yīng)整改措施，并追蹤評(píng)估整改措施落實(shí)情況。

2. 按照內(nèi)部控制的要求健全戰(zhàn)略制定環(huán)節(jié)的風(fēng)險(xiǎn)控制流程?；诩榷ǖ氖姑贫☉?zhàn)略目標(biāo)、選擇戰(zhàn)略路徑是風(fēng)險(xiǎn)管理的重要內(nèi)容。風(fēng)險(xiǎn)管理框架及與之配套的應(yīng)用技術(shù)十分重視戰(zhàn)略目標(biāo)和業(yè)績提升，對(duì)戰(zhàn)略目標(biāo)制定和業(yè)績提升過程中的固有風(fēng)險(xiǎn)、剩余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)容忍度的度量進(jìn)行了詳細(xì)論述并提供了詳細(xì)的技術(shù)指引。但是，風(fēng)險(xiǎn)管理框架并未對(duì)戰(zhàn)略目標(biāo)制定和戰(zhàn)略制定過程中的風(fēng)險(xiǎn)把控進(jìn)行詳細(xì)闡述，企業(yè)戰(zhàn)略制定過程中的流程設(shè)計(jì)、權(quán)責(zé)劃分、信息溝通、決策機(jī)制需要在內(nèi)部控制系統(tǒng)中做出具有可操作性的規(guī)定，并將風(fēng)險(xiǎn)管理的應(yīng)用技術(shù)嵌入戰(zhàn)略制定流程中。在此基礎(chǔ)上，修訂完善預(yù)算控制系統(tǒng)，準(zhǔn)確地用預(yù)算績效（目標(biāo)）指標(biāo)描述年度戰(zhàn)略目標(biāo)、用預(yù)算控制指標(biāo)表述風(fēng)險(xiǎn)承受度，進(jìn)而將戰(zhàn)略目標(biāo)轉(zhuǎn)化為預(yù)算績效指標(biāo)、戰(zhàn)略實(shí)施中的風(fēng)險(xiǎn)承受度轉(zhuǎn)化為預(yù)算控制指標(biāo)，并通過建立預(yù)算評(píng)價(jià)指標(biāo)體系考核戰(zhàn)略實(shí)施效果[2]。

雖然COSO 基于戰(zhàn)略與績效的風(fēng)險(xiǎn)管理系統(tǒng)對(duì)于建立戰(zhàn)略制定和實(shí)施中的風(fēng)險(xiǎn)控制體系具有借鑒作用，但我國企業(yè)的中國特色決定了不能簡單照搬美國COSO的框架來構(gòu)建企業(yè)風(fēng)險(xiǎn)管理體系。企業(yè)在戰(zhàn)略目標(biāo)和路徑的選擇中，必須充分考慮《中共中央關(guān)于制定國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》中提出的“堅(jiān)持新發(fā)展理念，在質(zhì)量效益明顯提升的基礎(chǔ)上實(shí)現(xiàn)經(jīng)濟(jì)持續(xù)健康發(fā)展”的要求，以及企業(yè)所處產(chǎn)業(yè)鏈的業(yè)態(tài)特征和所處的國內(nèi)外環(huán)境；在戰(zhàn)略制定和實(shí)施的風(fēng)險(xiǎn)控制體系中，必須按黨委“把方向、管大局、促落實(shí)”、董事會(huì)“定戰(zhàn)略、做決策、防風(fēng)險(xiǎn)”、經(jīng)理層“謀經(jīng)營、抓落實(shí)、強(qiáng)管理”的要求細(xì)化風(fēng)險(xiǎn)管控流程中的權(quán)責(zé)分派體系、不相容職務(wù)分離、分級(jí)授權(quán)、監(jiān)督與糾偏責(zé)任落實(shí)。

3. 將內(nèi)部控制與風(fēng)險(xiǎn)管理嵌入數(shù)字化管理和智能化管理之中。盡管目前人工智能尚未被系統(tǒng)化應(yīng)用于企業(yè)經(jīng)營的所有方面和所有環(huán)節(jié)，但在某些領(lǐng)域或某些環(huán)節(jié)已得到較充分的運(yùn)用。隨著機(jī)器學(xué)習(xí)模式從非深度學(xué)習(xí)模式向深度學(xué)習(xí)模式和強(qiáng)化學(xué)習(xí)模式演化，人工智能在企業(yè)中運(yùn)用的深度和廣度將不斷提高。但是，人工智能在提高流程效率和改善現(xiàn)有產(chǎn)品和服務(wù)的同時(shí)，也會(huì)引發(fā)新的風(fēng)險(xiǎn)，如網(wǎng)絡(luò)安全漏洞、AI 故障影響業(yè)務(wù)運(yùn)營、未經(jīng)同意使用個(gè)人隱私資料產(chǎn)生惡劣后果、基于AI的建議做出錯(cuò)誤決策等。因此，在企業(yè)運(yùn)營與管理數(shù)字化和智能化成為發(fā)展趨勢(shì)的情況下，企業(yè)必須建立與數(shù)字化管理和智能化管理相匹配的內(nèi)部控制與風(fēng)險(xiǎn)管理系統(tǒng)。應(yīng)針對(duì)AI模式、算法設(shè)計(jì)、網(wǎng)絡(luò)漏洞應(yīng)對(duì)，以及數(shù)據(jù)收集、數(shù)據(jù)訪問、數(shù)據(jù)使用、數(shù)據(jù)保留等方面評(píng)估合規(guī)風(fēng)險(xiǎn)和可能引發(fā)的倫理道德問題（如承保方案設(shè)計(jì)、醫(yī)療診斷和治療方案等），判斷其是否與企業(yè)愿景、使命和核心價(jià)值觀相一致，在此基礎(chǔ)上建立基于AI的法規(guī)與道德規(guī)范體系、技術(shù)規(guī)范體系和監(jiān)控體系，實(shí)現(xiàn)內(nèi)部控制和風(fēng)險(xiǎn)管理與數(shù)字化管理、智能化管理的深度整合。

【 主要參考文獻(xiàn)】

［1］閻達(dá)五，楊有紅.內(nèi)部控制框架的構(gòu)建［J］.會(huì)計(jì)研究，2001（2）：9 ～15.

［2］楊有紅.戰(zhàn)略引領(lǐng)預(yù)算的機(jī)理和實(shí)現(xiàn)方式［J］.北京工商大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020（3）：13 ～20.