内部控制与企业风险管理关系之探析

内部控制与企业风险管理关系之探析

周洋

身份证号码：34262519****XXXXXX厦门大学上海200000

摘要：内部控制与企业风险管理关系颇具争议，造成不同观点的原因在于不同的国家、不同的职业组织或研究团体对内部控制有着不同的理解，由此衍生出的内部控与风险管理的内涵也不尽相同。本文只比较COSO报告中的内部控制与企业风险管理概念，以及我国的基于企业风险管理框架的内部控制的涵义。

关键词：内部控制；企业风险管理；整合框架关系

引言：内部控制与企业风险管理的关系目前涉及两种主要提法：一是将COSO委员会1994年的内部控制概念与2004年的企业风险管理概念进行比较；二是基于企业风险管理框架的内部控制概念。以下分别对两种提法做简要分析。

一、内部控制与风险管理之间的内涵关系

对于企业所实施的风险管理工作来说，其具有极强的过程性，容易受到来自于企业管理层、决策层等人员的影响，行之有效的风险管理能有效的帮助企业领导人员找到存在于企业之中的各类型风险、控制风险并辅助企业决策者制定发展战略。对于内部控制制度来说，其是企业为了更好的实现企业管理者与全体工作人员的共同目标而制定的各类管理措施。对于风险管理和内部控制来说，其是紧密联系在一起的两项工作，良好的内部控制能够以企业所面临的内外风险和所处的生存环境为基础制定合理的发展战略目标，帮助全体人员树立风险防范意识并提高其应对风险的能力，而风险管理则能够在管控已发生的风险的基础上通过与内部控制制度相结合预防其他类型的风险，从而为企业创造一个安全、稳定的经营环境。

二、现阶段存在于企业风险管理与内部控制中的问题

（一）缺乏完善的管理机制

内部审计工作是监督核查企业所实施的内部控制以及风险管理的有效措施，是内部控制与风险管理的核心工作之一。通过对我国多家知名企业进行调查和研究不难发现，虽然很多企业已经认识到内部审计工作对内部控制以及风险管理工作的重要意义，但是在实际的操作过程中，却存在着很多问题，在这些问题中，最为严重的就是缺乏必要的管理机制或管理机制不健全。在很多企业中对存在着这样一种认识：认为内部审计工作是企业的财会机构的一项工作，并且只属于财会机构。正是因为这种错误的认识，使得企业所开展的内部审计工作丧失了其应有的作用，不能够为内部控制工作以及风险管理工作服务，不仅降低了内部审计工作的工作质量，而且影响了风险管理以及内部控制的各项工作的正常开展。

（二）对内部控制与风险管理的认识不够全面，工作内容有缺失

这一问题集中体现在企业在实施内部控制的过程中，只重视对各项财务工作的管理与控制，忽略了对企业经营和管理活动的管控。对于风险管理来说，亦是如此。目前，很多企业单纯的认为内部控制与风险管理主要针对的就是企业的各项财务工作，而没有意识到内部管理和风险管理除了要对企业的财务工作进行管理和控制，还要对企业的各项经营活动、管理活动进行管控，这是内部控制与风险管理两项工作的全部工作内容，也是确保其能够发挥作用的重要措施。正因为企业的认识不够全面，所以使得企业所开展风险管理与内部控制不能够对企业的各项经营活动实施良好的管控，不能够有效地规避来自市场、道德以及政策和法规的风险。

（三）对内部控制和风险管理之间的关系缺乏正确的认识

内部控制与风险管理并非两项各自独立的工作，其是互相影响、互相促进的，行之有效的内部控制能有效的提高风险管理的质量，帮助企业更好的控制和规避来自各个方面的风险。反之，良好的风险管理则有助提高企业内部控制的质量，使其能够更好的开展和落实。然而，就当前的现状来看，鲜有企业能够正确的认识到两者之间的关系，大多数企业的管理者都认为行之有效的内部控制就是对企业各个方面的规章制度进行汇总，忽略了内部控制在风险管理之中的作用，在某种程度上来说，这样的情况弱化了风险管理。很多企业认为风险管理只是在遇到风险时的一种应对与管理措施，而没有意识到风险管理规避风险的作用，忽视了对风险的防范工作。__

三、COSO的内部控制与企业风险管理

“企业风险管理”概念的提出，并不意味着对原“内部控制”概念的摒弃。正如COSO委员会所指出，内部控制是企业风险管理不可分割的一部分，企业风险管理框架并未取代内部控制，而是将内部控制框架整体纳入其中。公司不仅可以借助企业风险管理框架来满足它们对内部控制的需要，还可以借此转向一个更加全面的风险管理过程。所以，在COSO看来，企业风险管理涵盖了内部控制，是一个更为全面、广泛的概念。如此说来，二者的区别主要包括以下方面：

1.企业风险管理涵盖了内部控制

从框架结构看，企业风险管理除包括原内部控制的三个目标之外，还增加了战略目标；企业风险管理的八个要素除了包括原内部控制的全部五个要素之外，还增加了目标设定、事项识别和风险应对三个要素。

2.企业风险管理更强调对风险的控制与应对。

在企业风险管理框架中，风险被明确定义为“对企业的目标产生负面影响的事件发生的可能性”（而将产生正面影响的事件视为机会），涵盖了信用、市场、战略、声誉、业务及财务等各种风险。企业风险管理框架旨在识别、管理风险，并将其控制在主体的风险容量之内。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中，风险控制又可以分为外部控制和内部控制。需要强调的是，内部控制是一种内部风险控制机制，内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下，所开展的各种控制活动。风险控制除了包括内部风险控制之外，还包括外部风险控制。

3.企业风险管理更注重对风险的定量分析与管理

由于企业风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法，因此，企业风险管理可以在基于概率统计的基础上，合理确保企业的发展战略与风险偏好相一致，增长、风险与回报相联系，从而帮助董事会和高级管理层实现企业风险管理的四项目标；而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。

四、基于企业风险管理整合框架的内部控制

现代经济环境风云莫测，任何组织都不可能在“真空”状态下运营，无处不在的风险时刻威胁着企业的生存与发展。对众多风险进行有效管理是企业可持续发展过程中必须具备的重要能力和企业构筑内部控制体系所要关注的内容。就实质而言，内部控制的最终目的是为了控制和管理企业所面临的一切风险。所以，应用企业风险管理整合框架的理念来设计或完善企业的内部控制体系是一种必然趋势。

1.基于ERM框架的内部控制与企业风险管理的实质相同

内部控制的出发点与最终目的都是为了控制和管理风险。虽然内部控制的目标与控制层次不断提升，但风险控制与管理始终是贯穿内部控制的核心主线，只是其风险控制的目标、内容和层次伴随企业的环境、经营的模式以及企业制度的变迁而变化。随着内部控制发展到企业风险管理阶段，内部控制与企业风险管理的控制目标、控制方式和控制手段呈现趋同性。如我国2007年3月颁布的《企业内部控制规范》（征求意见稿）中的内部控制目标与要素即涵盖了COSO企业风险管理框架四个目标与八个要素的全部内容，体现了内部控制与企业风险管理的融合趋势。

2.二者的控制重心均提升至企业整体层面

由于现代企业面临的主要风险已转变为市场竞争风险，所以风险控制更加关注战略风险和经营风险。不同于传统内部控制着重基层执行层面的控制，基于ERM框架的内部控制与企业风险管理都更强调面向企业整体战略的控制趋势，彰显出概念的统观性与高度。

五、构建良好的内控环境

企业是否具备内部控制环境以及内部控制环境的好坏，对企业开展内部控制工作与风险管理工作有着十分重要的意义。因此，要想更好的实施风向管理与内部控制，就必须要采取有效的措施构建并优化内部控制的内控环境。

1.要建立专职于审查企业内部控制与风险管理工作的内部审计委员会，加强对内部控制以及风险管理工作的审计与管理。

2.要在企业内部构建起有效的激励机制和约束机制，要针对企业的实际情况编制科学合理且具有极强操作性的内部管理手册，使员工能够全面了解企业各级机构的设置情况、岗位分配以及责任情况。

3.企业要定期在基层和管理层开展有关内部控制和风险管理的培训，强化基层人员和管理人员对内部控制和风险管理的重视程度，推动良好内控环境的形成。

结束语

对于内部控制制度来说，其是企业为了更好的实现企业管理者与全体工作人员的共同目标而制定的各类管理措施。对于风险管理和内部控制来说，其是紧密联系在一起的两项工作，良好的内部控制能够以企业所面临的内外风险和所处的生存环境为基础制定合理的发展战略目标，帮助全体人员树立风险防范意识并提高其应对风险的能力，而风险管理则能够在管控已发生的风险的基础上通过与内部控制制度相结合预防其他类型的风险，从而为企业创造一个安全、稳定的经营环境。

参考文献：

[1]COSO．企业风险管理——整合框架．方红星，王宏（译）．东北财经大学出版社，2005

[2]谢志华．内部控制、公司治理、风险管理：关系与整合．会计研究，2007（10）：37-45

[3]张宜霞．企业内部控制的范围、性质与概念体系．会计研究，2007（7）：20-22

[4]金小英，唐予华．COSO风险管理报告——内外部关系的解读与启示．财会通讯，2006（8）：82-83