導語：企業內部控制風險管理一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1內部控制與風險管理的內在聯系

1.1在風險導向內部控制的觀念下,風險管理將成為組織發展的關鍵

隨著風險管理導向內部控制時代的來臨,內部控制的工作重點也發生了變化,現代內部控制除了關注傳統的內審之外,更加關注有效的風險管理機制和健全的公司治理結構。在風險導向內部控制的觀念下,風險管理成為組織發展的關鍵,促使內部控制的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。由于內部控制的自身特點,其參與風險管理擁有一定的優勢。內部控制機構和人員熟悉本單位情況,對企業面臨的風險更了解;內部控制機構和人員是企業內部成員,其利益同企業發展、興衰密切相關,對防范企業風險、實現企業目標有著更強烈的責任感;內部控制機構的獨立性使其不同于其他風險管理部門,作為高層次的監督部門,其風險評估意見直接報告給董事會、審計委員會,足以引起管理當局的重視。內部控制的獨立地位還便于其充當企業長期風險策略與各種政策的協調人,通過對長短期計劃的調節,調控、指導企業的風險管理策略。在現代企業經營管理中,隨著內外部環境的變化,各種風險因素增多,內部控制工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用,同時,內部控制也被賦予了更多的職責和使命。近年來,在美國發生的財務造假案導致了安然、世通等跨國大公司的破產,同時也導致了安達信這樣一個有著90多年歷史的世界級會計師事務所退出了歷史舞臺。在我國也曾出現“銀廣廈”、“藍田股份”、“億安科技”等坑害中小股民的事件。所有這些事件的發生,在全球引起了各方對民間審計機構誠信問題的探討,同時也觸動了人們對企業內部控制的進一步思索。企業制度的發展演進與風險相關。有限責任制度的確立是企業組織從業主制或合伙制走向現代股份公司制的關鍵步驟,它使股東的家產與企業的財產及企業的經濟責任相互獨立,股東的變換不再影響企業的信用能力,為股權交易擴大了范圍并增加了流動性,從而降低了投資風險并促進了企業融資,造就了今天巨型的股份公司。

1.2風險管理是對內部控制的自然發展

內部控制或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。Fama&Jensen(1983)分析了所有權與經營權分離下董事會的內部控制職能;Jensen(1993)進一步分析了美國公司董事會在內部控制方面失效的表現與原因。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。內部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。COSO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。”COCO在解釋廣義的控制與風險時論述道:“‘領導’包括在面對不確定性時作出選擇。‘風險’是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物。”顯然,這些論述已經認識到企業的存在是為股東或利害相關者(針對非盈利性組織等)創造價值的,而價值創造不僅是被動的資產安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經營者會計舞弊等內部因素,還包括來自市場的風險等。

1.3技術的發展推動內部控制走向風險管理

技術及市場條件的新進展,推動了內部控制走向風險管理。在先進的信息技術條件下,會計記錄實現了電子控制、實時更新,使傳統的查錯與防弊的會計控制顯得過時。然而,風險往往是由交易或組織創新造成的,這些創新來源于新興的市場實踐,如安然公司將能源交易大量發展成類似金融衍生品的交易。另一方面,環境保護及消費者權益保護的加強,都強化了企業的社會責任,若一有不慎,企業就可能遭受來自商品市場或資本市場的懲罰,表現為企業的品牌價值或資本市場上的市值貶損。因此,企業需要一種日常運行的功能與結構來防范風險,包括遵守法律與法規,確保投資者對財務信息的信任以及保證經營效率等。因此,從維護與促進價值創造這一根本功能來看,風險管理與企業內部控制的目標是一致的,只是在新的技術與市場條件下,為了更有效地保護投資者利益,需要在內部控制的基礎上發展更主動、更全面的風險管理。

2內部控制與風險管理的外在聯系

2.1它們都能為企業目標的實現提供合理的保證

風險管理的目標有四類,其中三類與內部控制相重合,即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。

2.2風險管理與內部控制的組成要素有五個方面是重合的

(控制或內部)環境、風險評估、控制活動、信息與溝通、監督這五個方面都是風險管理與內部控制的組成要素。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中,內涵也有所擴展,例如,內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外,還包括風險管理哲學、風險偏好(riskappetite)和風險文化三個新內容。在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞情形值或概率分布度量風險,考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性等。

2.3風險管理提出了風險組合與整體風險管理(integratedriskmanagement)的新觀念

《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業的承受范圍,因為事件的影響有時有抵消的效果。此時,還有進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點,需要統一考慮風險事件之間以及風險對策之間的交互影響,統籌制定風險管理方案。

3從內部控制走向風險管理

有一種爭論,即風險管理包含內部控制,或內部控制包含風險管理。筆者認為得出什么樣的結論并不十分重要,最重要的是明確風險管理與內部控制之間有重合與聯系的地方。誰的范圍更大,可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同,例如,在內部控制發展的早期,市場上風險管理的工具與技術條件都不充分(如計算機系統、統計學理論、數量模型、對沖工具與保險等),這時內部控制包含(替代)風險管理功能是很自然的。即使在同一個時代,不同的行業各自的側重點也可能不相同,例如,在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業,風險管理的迫切性更強,企業以風險管理主導內部控制可能更方便。而在另一些企業,為了符合信息披露中內部控制報告的要求,企業以內部控制系統為主導、兼顧風險管理可能更適合。

筆者認為,在實際的經營過程中,風險管理與內部控制是密不可分的。在規則制定或立法過程中,需要考慮的是范圍與管制的強度,范圍越大,管制的要求就會越弱。對于其核心問題,如財務報告的準確可靠,最適合以立法的形式來約束,而其他更寬泛的內容則可能更適合于規則及指南。在企業內部的不同層次,風險管理與內部控制的主導性相對次序也可能不同,例如,從企業的戰略風險依次到經營風險、財務風險,最后到財務報告,風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面,風險管理應該發揮主導作用,內部控制起到配合作用。這一角色逐步逆轉,到財務報告層次,應該是內部控制發揮主導作用,風險管理起到配合作用。

盡管風險管理與內部控制有內在的聯系,但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較,例如,銀行業的授信管理或市場(價格)風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等,一般局限于財務相關部門。它們的共同點都是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此,有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。

參考文獻

[1]王光遠,劉秋明.公司治理下的內部控制與審計[J].中國注冊會計師,2006.

[2]周兆生.COSO企業風險管理框架(中文版)[R].華融資產管理公司,2007.

[3]朱榮恩,賀欣.內部控制框架的新發展-企業風險管理框架[J].審計研究,2003,(6).

[4]CommitteeofSponsoringOrganizationsoftheTreadwayCommission(COSO).InternalControl-IntegratedFramework[R].1992.

[5]CommitteeofSponsoringOrganizationsoftheTreadwayCommis-sion(COSO).EnterpriseRiskManagementFramework(draft)[R].2002.