企业内部控制与风险管理关系与研究
内容提要
企业内部控制与风险管理在人们的认识上有很大差别, 在实际的经营过程中,风险管理与内部控制是密不可分的,一直以来内部控制与风险管理是关系密切又容易混淆的两个概念, 它们之间有区别也有联系, 既不能将两者完全隔离开来, 也不能简单地将它们等同起来, 有必要从演进视角对两者进行深入研究。本文引用美国COSO 委员会关于内部控制及风险管理的两个报告以及相关研究, 分析比较内部控制与风险管理的联系与区别, 对两者间的从属进行探讨。
关键词:内部控制 风险管理 COSO报告
目录
一、内部控制与风险管理的定义„„„„„„„„„„„„„„„„„„„„„„„1
(一)内部控制的定义………………………………………………………………1
(二)风险管理的定义………………………………………………………………2 二、内部控制与风险管理两者的联系 ………………………………………………3
(一)内部控制与风险管理的相同点 ………………………………………………3
(二)内部控制与风险管理的联系 …………………………………………………3
三、内部控制与风险管理两者的区别 ………………………………………………4
(一) 两者内涵不同…………………………………………………………………4
(二)两者的职能不同………………………………………………………………5
四、对内部控制与风险管理的关系研究…………………………………„„„„„5
(一)现时世界对两者关系的观点 …………………………………………………5
(二)对两者关系的理解与观点 ……………………………………………………6
五、完善内部控制与风险管理的建议………………………………………………6
(一)设置全面风险管理内部控制组织体系………………………………………6
(二)强化各关键环节风险控制, 制定风险管理解决预案…………………………6
(三)构建先进的风险管理信息系统, 实现风险预警………………………………7 参考文献 ………………………………………………………………………„„„7
企业内部控制与风险管理关系与研究
近年来, 企业风险管理与内部控制在许多专业文献中提及, 对于二者的区别和联系也一直是争论的热点话题, 但对其异同仍未达成共识, 正确地把握两者之间的关系, 对干完善企业管理理论, 推动经营管理水平的提高具有极其重要的意义。美国COSO 委员会在1992年发布了《内部控制-整合框架》报告(1994 年又提出了该报告的修改篇),2004年又发布了《企业风险管理-整合框架》报告。COSO 这两个框架报告分别对内部控制和风险管理理论进行了详细阐述,并对实践提出了指导性意见。从这两个报告看,COSO 提出的内部控制和风险管理这两个概念有着十分密切的联系,但又存在明显的不同。本文旨在根据这两个框架报告对两者的异同进行分析。
一、内部控制与风险管理的定义
(一) 内部控制的定义
内部控制是指一个单位为了实现其经营目标,保护资产的安全完整.保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
1992年9月,COSO 委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO 的研究成果,并修改相应的审计公告内容。而该报告提出了内部控制的五大要素:
1.内部环境。是影响、制约企业内部控制制度建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。
2.风险评估。是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
3.控制措施。是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
4.信息与沟通。是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实
施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
5.监督检查。是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。
(二)风险管理的定义
风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。
2004年COSO 委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
1.内部环境
内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其他要素的基础内部环境具体包括风险管理哲学 风险偏好 董事会 诚实度和道德价值观 组织结构 胜任能力 人力资源政策与实务 权责分配。
2.目标设定
在管理层辨别影响其目标实现的潜在事项之前,必须有目标 企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,同时与其风险偏好相一致。
3. 事项识别
即识别那些影响组织目标实现的内外部事项,并区分为风险和机会 机会将被考虑进管理层的战略或目标设定过程中。
4. 风险评估
必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础 应当对固有风险和残存风险加以评估。
5. 风险应对
管理层应在不同的风险应对 (包括回避接受 降低 分担风险) 中做出选择,从而采取一系列与组织的风险容忍度 (risk tolerances) 和风险偏好相一致的行动。
6. 控制活动
应建立相关的政策和程序,以确保风险应对策略得到有效的执行 控制活动通常包括两个要素:确定应从事何种活动的政策 执行政策的程序。
7. 信息与沟通
应当按照特定的格式和时间框架来识别 捕捉相关信息,并加以传递沟通,从而使人们1董月超. 从COSO 框架报告看内部控制与风险管理的异同[J].审计研究,2009, (11) .
可以履行其职责 有效的沟通存在于较广泛的意义上,包括向下向上以及平行交互沟通。
8. 监控
整个企业风险管理都应当加以监控,并根据需要做出调整 监督可以通过持续性的管理活动 单独评价或者二者同时来实现。
二、内部控制与风险管理两者的联系
内部控制与风险管理有必然的联系,COSO 委员会在1992年提出了报告《内部控制——整体框架》,之后在2004年在内部控制的内容框架上发布了《企业风险管理——整合框架》,在这两份报告中可以看出两者之间的共同点。
(一) 内部控制与风险管理的相同点
第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
(二)内部控制与风险管理的联系
第一,内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产, 并创造新的价值。Fama &Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说, 企业的内部控制是企业制度的组成部分, 是在企业经营权与所有权分离的条件下对投资者
利益的保护机制。其目的就是保证会计信息的准确可靠, 防止经营层操纵报表与欺诈, 保护公司的财产安全, 遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早, 其要求更为基本, 更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO 在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险, 发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致, 将风险与增长及回报统筹考虑, 促进应对风险的决策, 减小经营风险与损失, 识别与管理企业交叉风险, 为多种风险提供整体的对策, 捕捉机遇以及使资本的利用合理化。”
第二,内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障, 而真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。
第三,技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
三、内部控制与风险管理两者的区别
(一) 两者内涵不同
1.目标体系不同
风险管理框架的目标有四类,其中经营类目标和合规类目标与内部控制框架的目标基本重合。风险管理框架增加了战略目标,内部控制框架未提及该目标,战略目标的制定是企业治理层面要参与解决的问题,这表明风险管理属于企业治理层次,内部控制属于企业管理层次;风险管理框架把财务目标扩展为报告目标,报告目标不仅包括财务报告目标,还包括对内对外发布的所有非财务类报告,这既扩大了目标范围,也弥补了内部控制目标体系因明显受到公共会计师影响而造成的重财务信息轻其他信息的缺陷。
2.组成要素不同
相比起内部控制的五大要素,风险管理框架增加了“目标设定、事件识别和风险反应”三个要素,“控制环境”要素也改成了“内部环境”。“目标设定、事件识别和风险反应”不仅丰富和完善了风险管理内容,还体现了风险组合观;“内部环境”要素内容除包括“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理框架对相关内容都进行了补充和提升,具体体现为:“风险评估”要素除包含内部控制框架中该要素的全部内容外,还考虑了企业内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险、风险偏好以及风险对冲等;“信息与沟通”要素中,信息部分强调了获取与分析处理以往、现在及潜在未来事件数据的重要性,同时指出信息的深度以满足企业识2唐文泉. 论企业内部控制与风险管理[J].现代商贸工业,2009年第23期 .
别、评估和应对风险并将其维持在风险承受度范围内的需要为准;沟通部分强调并申明:在正常报告之外应有替代沟通渠道。
(二)两者的职能不同
第一,两者的职能定位不一致。内部控制仅是管理的一项职能, 主要是通过事后和过程的控制来实现其自身的目标; 而风险管理则贯穿于管理过程的各个方面, 控制的手段不仅体现在事中和事后的控制 , 更重要的是在事前制定目标时就充分考虑了风险的存在。而且, 在两者所要达到的目标上, 全面风险管理多于内部控制。
第二,两者的活动范围不一致。风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立, 而只是对目标的制定过程进行评价, 特别是对目标和战略计划制定当中的风险进行评估。
第三,两者对风险的识别不一致。在《企业风险管理 — — — 整合框架 》中, 把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会) ,将风险与机会区分开来; 而在《内部控制 — — — 整体框架 》框架中, 没有区分风险和机会。
第四,两者对风险的对策不一致。《企业风险管理 — — — 整合框架》引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法, 因此, 该框架在风险度量的基础上, 有利于企业的发展战略与风险偏好相一致 , 增长、 风险与回报相联系, 进行经济资本分配及利用风险信息支持业务前台决策流程等, 从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是《内部控制 — — — 整体框架 》中没有的, 也是其所不能做到的。
四、对内部控制与风险管理的关系研究
(一)现时世界对两者关系的观点
第一种观点认为风险管理包含内部控制。COSO (2004)中明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull 委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非KingII Report (2002)认为,传统的内部控制系统不能管理许多风险,譬如政治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。Krogstad (1999) 认为,内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中。
第二种观点认为内部控制包含风险管理。加拿大 COCO 报告(CICA ,1995)认为,“控制” 是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,或者说是用 “控制” 一词表达“内部控制”概念。COCO 报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会发布的 《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险„„。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会(1999)认为,“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括
一般性的风险,如不能识别和利用机会,就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。
第三种观点认为内部控制就是风险管理。Blackburn (1999)认为,风险管理与内部控制仅是人为的分离, 而在现实的商业行为中,它们是一体化的。 Laura F.Spira 等(2003)分析了内部控制是怎样变为风险管理的,并指出,“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是,它也掩盖了一个不争的事实:现在没有人真正明自内部控制系统是什么。”Matthew Leitch(2004)认为,理论上风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
(二)对两者关系的理解与观点
由上面三种观点里我们可以得出的基本结论是内部控制与风险管理关系十分密切,在本文里大量例举了内部控制与风险管理之间存在的差异,所以笔者认为第三种观点内部控制就是风险管理的理论相对比较牵强,而从这些理论中可以看出现时我们对内部控制或是风险管理的认识和看法都存在一定差异。
笔者认为风险管理是企业为了适应时代的变化,以内部控制为架构演变成另一种以达到某种目标的过程和手段方法。内部控制和风险管理在要素、目标、含义等方面有很多联系和相同的地方,两者既是独立又有关联的体系,是针对企业所不同的而需求演变成的两种过程与目标。
两者的从属关系研究可以让我们更加全面的认识和发展内部控制与风险管理,但现阶段的研究只能证明两者间的重合和联系,所以两者还要随着时间慢慢的具体化。
五、完善内部控制与风险管理的建议
(一)设置全面风险管理内部控制组织体系
企业的内部控制组织结构设计应充分满足企业全面风险管理的要求, 首先, 建立董事会管理下的风险管理组织架构。董事会是企业经营管理的最高决策机构, 董事会将企业的经营权交给了以总经理为代表的企业经理层, 因此, 正确处理董事会与总经理之间的委托代理关系是现代公司治理结构的关键。为了防止内部人控制现象产生, 董事会又通过其下设的各专业委员会对企业的重大经营决策和经理层进行激励与监督, 并保证企业的重大经营决策和激励监督措施科学合理。董事会下设置的风险管理委员会, 应独立于企业的各部门, 直接向董事会负责, 以保证内部控制的独立性和权威性。风险管理委员会作为企业风险管理的最高审议机构, 其主要是确保企业的风险管理战略及风险偏好统一和风险管理的独立性。再者, 在风险管理执行层面, 要逐步实现风险管理的横向延伸和纵向管理, 既要将风险管理涵盖所有的业务领域, 对不同的业务部门实现矩阵式管理, 从而实现对企业的风险监控, 同时, 还要讲求风险管理效率, 在矩阵式管理基础上实现管理过程的扁平化。
(二)强化各关键环节风险控制, 制定风险管理解决预案
任何一个企业的活动都是由一系列业务活动组成, 而支撑这些业务活动的是一个个业务流程制度, 企业诸多业务活动的集合构成企业活动的整体。因此, 在业务流程再造或优化过程中考虑风险管理因素是提升企业风险管理能力的必然选择。通过企业流程梳理与改造, 将风险管理解决方案落实到内部控制上——正确设定业务流程中的关键控制点并选择相应的控制手段, 实现对操作行为的制衡。梳理企业业务流程, 即在收集风险管理初始信息和各项业务管理及重要业务流程基础上, 进行风险评估, 辨识关键控制环节和风险控制点, 按照各单位赵闽. 企业内部控制与风险管理融合的路径选择[J].财会通讯·理财2008年第7期733
和各部门的职责分工, 制定对应的风险管理解决预案, 确保各项内部控制措施落到实处。对关键环节所涉及的人员要进行培训, 宣传风险管理理念, 使其意识到其提供的风险评价信息将对董事会的决策产生直接影响。在实施风险控制时, 要保证企业各单位、各部门之间权责明确、操作性强; 保证企业内部信息畅通、快捷、准确, 保证企业运营系统高效运行。同时, 也必须优化企业的管理功能, 去粗取精, 形成上升到整个企业层面的业务流程, 并据此分析关键控制环节和风险点, 编制企业的风险管理预案。
(三)构建先进的风险管理信息系统, 实现风险预警
企业面对的风险是一个动态概念, 经常处于变化之中。实践证明, 只有把握风险管理先机, 才能收到实效; 及时掌握尽可能真实、 准确的经济动态信息, 才能过综合分析, 采取针对性处理策略, 取得应对风险的主动权。 这就要求企业引入现代信息技术, 构建先进的风险管理信息系统。一是建立覆盖企业经营全过程的全面管理信息系统, 实现企业运营数据和信息收集、存储、处理、报告和信息披露的自动化, 在信息系统中通过固化业务流程、系统自动转账等专门技术, 实现业务信息向会计信息的自动转换; 二是从业务过程风险监控和预警角度出发, 建立涵盖全面风险管理流程的风险预警分析系统。即借鉴现代风险管理技术, 采用模型计量、现代信用风险管理等方法, 量化风险指标、收集风险预警重要信息。如运用偿债能力分析、多变量统计分析等方法预测企业的获利能力、积累水平、营运能力等财务状况, 预测企业发生各种风险的可能性及其大小。同时, 企业各部门和各岗位都要提高风险信息反应的灵敏度, 一旦接触、发现、掌握到可能形成或已经形成企业风险的信息, 应立即向上级或风险管理部门报告风险预警信息, 不得隐瞒、延误, 从而使风险管理部门和企业管理层能够及早掌握风险信息, 研究应对策略并组织实施, 从而争取主动, 降低风险发生概率, 减轻可能造成不良后果的程度。
内部控制与风险管理有着十分密切的联系,但它们中间的关系绝不是相等又或者是相互从属,在COSO 的报告中我们可以看到两者的相互关系,它们之间可以说是独力的个体但又有必然的联系,所以笔者认为风险管理是在内部控制的基础上为了某个目标进化已成的一种手段和过程。
参考文献
[1] 张潇蔚,中国铁路物资总公司铁路建设事业部 .2009,(11)
[2] 董月超. 从COSO 框架报告看内部控制与风险管理的异同[J].审计研究,2009, (11) .
[3] 赵石. 论内部控制与风险管理的关系[J].管理方略,2008,(05) .
[4] 唐文泉. 论企业内部控制与风险管理[J].现代商贸工业,2009年第23期 .
[5] 张珍文. 内部控制与风险管理比较研究[J].《合作经济与科技》2008年9月.
[6] 郑玮玮. 内部控制与风险管理的关系[J].大众商务,2009,(03) .
[7] 赵闽. 企业内部控制与风险管理融合的路径选择[J].财会通讯·理财2008年第7期73
[8] 刘重. 内部控制与风险管理的关系探讨[J].北方经济·2008年第12期 .