2007年2月　　　　　　　　学　术　交　流　　　　　　　　　　Feb., 2007 总第155期　第2期　　　　　　　Academic Exchange　　　　　　　　　SerialNo. 155　No. 2 　·企业改革与发展研究· [收稿日期]2006-11-04 [作者简介]宋常(1966-),安徽舒城人,教授,博士生导师,从事财务理论研究。 企业风险管理与内部控制关系探微 宋　常,丁　卫 (中国人民大学商学院,北京100872) [摘　要]企业风险管理与内部控制既有联系又有区别,联系体现在风险管理对内部控制的吸 纳与发展上,区别体现为内涵与边界上的不同、框架与内容上的不同和技术与方法上的不同。在 内涵与边界上,审计界认为内部控制是审计人员从事审计工作的条件与基础,对内部控制的要求 是从以内部控制作基础来鉴证财务报告的真实与公允出发的;而管理界认为内部控制属于管理的 范畴,具备管理的一切属性。在框架与内容上,企业风险管理比内部控制增加了一类主要目标,提 出了一个全新理念,引入了两个创新概念,扩展了三个基本要素。在技术与方法上,风险管理采用 了大量的评估定量方法、组合管理技术和金融衍生工具。 [关键词]企业风险管理;内部控制;风险 [中图分类号]F279. 23　[文献标志码]A　[文章编号]1000-8284(2007)02-0093-04 企业风险管理与内部控制两词在诸多的专业文献中均有提及,并时有通使或混用,两者间的关系在 实务界及理论界也一直是争论的热点话题,撰文论述者不少,但对其间异同仍未达成公识,可谓仁者见 仁,智者见智。我们认为,深入探究企业风险管理与内部控制,真正理解它们的本质、实质及主要区别, 有利于正确把握两者间的关系,对于进一步完善企业管理理论,推动经营管理实践都具有极其重要的意 义。 　　一、企业风险管理与内部控制在内涵与边界上的区别 企业风险管理与内部控制之所以容易引起混淆,与其在各自的理论发展沿革中相互借鉴和融合不 无关系,但主要原因还在于人们对两者内涵与边界认识不清晰,审计界和管理界对企业风险管理与内部 控制各自有各自的理解。因此,要弄清楚企业风险管理与内部控制的关系,就必须追根溯源,探究其来 龙去脉。内部控制从概念形成到框架确立始终围绕着会计与审计这个核心,并作为会计与审计工作的 客观基础或条件而存在与发展的,因而有着明显的会计与审计的印迹,因此,人们也往往只有在会计与 审计的历史文献中才能较多地找到内部控制理论与实务。内部控制引起注意并且有正式名字被明确记 载,当始于会计与审计领域,进而人们普遍认为,内部控制概念最早产生于早期的审计标准制订者。 1936年,美国注册会计师 协会(AICPA)在其发布的《注册会计师对财务报表的审计》文告中,第一次明 确地提出应考虑审查“内部控制”的要求[1]。内部控制理论与实务经历了内部牵制、内部控制制度、内 部控制结构、内部控制框架等多个阶段的发展历程,更多的是服从于会计与审计工作的实践需要,在审 计模式上先后经历了从账项基础审计、内部控制制度基础审计(严格意义上是内部控制评价基础审 计),到以综合审查及内部控制与经营风险评价为基础的风险导向审计的历史变迁。尽管如此,美国注 册会计师协会审计程序委员会在其发布的《审计程序文告第29号》(1958年)中仍将内部控制明确表 述为“包括会计控制和管理控制”,直至1997年美国注册会计师协会发布《审计准则公告第78号》才正 视内部控制系统,实际而全面接受了COSO报告的内容,并认同内部控制要素包括风险评估要素。但实 ·93·际上在其主流意识与看法中,仍然认为内部控制的主要目的是核对、检查、纠错和防弊,检查范围始终也 没有离开会计控制(范畴),其根本目标还是鉴证财务报告的真实与公允,最终的结果自然是减轻审计 人员的法律责任。即使考虑风险也仅仅是经营风险(如操作风险等),而不愿意涉及财务风险(如信用 风险等)。比如,AICPA审计委员会于1963年在其发布的《审计程序说明》第33号中明确指出:审计人 员应主要检查会计控制。又如,内部控制强调不相容职务分离,强调授权控制,强调检查监督,强调风险 与控制,其最终目还是离不开保证企业财务报告的真实公允和法律法规的严格遵循。再如,审计人员在 诸多公司倒闭案中大多能“独善其身”,其秘诀就在于基于风险的考虑与防范而不断缩小其职责范围, 胜诉的理由也自然是其业已履行了公认的审计程序,从而对公司经营失败乃至倒闭不负有责任。人们 由此也不难理解,作为AICPA的代表、COSO主席罗伯特.L.梅在针对社会公众要求把保障资产作为财 务报告控制职责的争辩时,为什么会坚持认为“保障资产作为一种经营控制比财务报告控制更合 适”[2]。 值得指出,自20世纪70年代起,风险导向审计似乎成为主流的审计模式,但最初审计人员所理解 的风险导向审计,其目的主要是为了更大限度地控制审计风险,而不是为了揭示财务报表所反映的公司 面临的风险[2]9。一般说来,通过对财务报表固有风险和控制风险的定量评估,确定检查风险,最终确定 实质性测试的性质、时间和范围,这与风险管理相比无论在出发点还是在技术与要求上都是不同的。其 对风险的评估更多是对经营管理活动中突出的风险点的查找和评估,目的是建议经营管理人员针对这 些风险点实施 必要的控制。然而,社会各界认定了审计人员在内部控制中应该承担更大的责任,因为人 们愈益认为“控制”是指掌握住活动不使之任意超出范围,并认为内部控制属于管理范畴,具备管理的 一切属性,它不应该仅仅成为审计人员从事审计工作的条件与基础。 　　二、企业风险管理与内部控制在框架与内容上的区别 企业风险管理与内部控制在框架与内容上的区别主要体现在COSO2004年发布的《企业风险管理 整体框架》和1992年的《内部控制整体框架》两份报告的区别上。《企业风险管理整体框架》较《内部控 制整体框架》增加了一类主要目标,提出了一个全新理念,引入了两个创新概念,扩展了三个基本要 素[3]。 (一)增加一个主要目标 《内部控制整体框架》中明确指出内部控制的主要目标有三类,即经营目标、财务报告目标、合规目 标。《企业风险管理整体框架》中则提出风险管理要为主体的四类目标服务,包括战略目标、经营目标、 报告目标及合规目标。不难发现,两者间明显的区别是风险管理比内部控制多了一个战略目标。《企 业风险管理整体框架》中对战略目标的表述认定,战略目标属高层次目标,它与企业的使命相关联并支 撑着企业的使命。这就意味着企业风险管理应用于战略制订之中,在考虑实现战略目标的备选方案时, 企业管理层要识别与一系列战略选择相关联的风险,并考虑它们的影响。内部控制却很少涉及影响主 体的战略目标设定问题,反之,主体在制定战略目标时也很少虑及内部控制的需要,但主体在制定其战 略目标的过程中一定会考虑风险管理的要求,企业风险管理的覆盖范围上至治理层、管理层的战略目 标,下及业务前台的各项日常决策。由此看来,企业风险管理比内部控制的层次更高,范围更广。 其他三个类似目标的区别主要体现在报告目标方面,该目标在《内部控制整体框架》中表述为财务 报告目标,而在《企业风险管理整体框架》中表述为报告目标[3]145。它们的差别在于内部控制仅仅为公 开财务报表的可靠性提供合理的保证,而企业风险管理不仅仅涉及公开财务报表,而且涉及主体所编制 的所有报告,包括管理层内部使用的报告和那些对外发布的报告,诸如给其他利益相关者的报告以及监 管申报材料等,其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。 我们研究发现,内部控制目标主要是为财务报表的可靠性提供合理保证,而财务报表主要是提供企 业过去的经济财务信息,因此,内部控制往往侧重于控制过去;而风险本身是某种不确定性及未来某种 可能性,风险管理目标主要是尽力管控 住各种风险,因而风险管理大多侧重于管理未来。 (二)提出并引入一个全新理念与两个创新概念 ·94·1.风险组合管理。内部控制对风险的考虑大都是单个种类、单笔业务、单个部门及单个机构的,而 企业风险管理基于风险源自一个主体的不同业务、不同部门、不同层次,它们有的叠加放大,有的抵消减 少的认知,因而主张并提倡不能仅仅从某类风险、某项业务、某个部门或机构的角度考虑风险,应当将不 同层次及不同来源的风险汇集为整体风险,树立风险组合管理观,对组织的所有风险提供一个整体上的 解决框架。 2.风险偏好与风险容忍度。企业风险管理框架引入了风险偏好、风险容忍度等创新概念。风险偏 好(风险容量)是一个主体在谋求价值及其增值过程中所愿意承担的广泛意义上的风险数量。它反映 了企业的风险管理理念,进而影响主体的文化和经营风格,并形成内部环境的组成部分。风险容忍度与 主体的目标相关,是相对于实现一项具体目标而言的可以接受的偏离程度。风险偏好、风险容忍度的确 定是目标设定的前提。实际上,在风险考量的基础上,兼顾企业风险偏好及发展战略,可以使企业的治 理层和管理层更好地实现企业风险管理的各项目标。 (三)扩展三个基本要素 企业风险管理拓展了内部控制的风险评估要素,将风险评估要素拓展为目标设定、事项识别、风险 评估及风险应对等四个要素。企业风险管理与内部控制在基本要素上的区别在于,风险管理本身是一 项管理活动,它具备管理的所有要素,也包括管理的所有环节,自然也包括管理目标的设定,而内部控制 并不是风险管理目标的制定活动,它是对目标制定的评价工作,特别是对目标和战略计划制定中有关风 险的评估活动。无疑,风险管理目标的设定为内部控制中的风险评估提供了前提条件。在事项识别要 素上,两者的区别主要体现为内部控制针对事项没有划分机会与风险,而风险管理将对战略执行或目标 实现有着正面影响的称为机会,有着负面影响的才确定为风险[3]147。在风险评估要素上,两者的区别主 要在于风险管理透过一个更加敏锐的视角来观察风险评估,鼓励从固有风险和剩余风险的角度,采用与 为该风险相关的目标而构建的计量单位相同的单位来表述风险。在风险应对要素上,两者的主要区别 则是企业风险管理可以使管理层考虑潜在的风险应对策略,并测定剩余风险水平是否与主体的风险容 忍度相协调。 　　三、企业风险管理与内部控制在技术与方法上的区别 (一)风险偏好、风险容忍度、压力测试与情景模拟导致两者在风险评估定量方法上的区别 在风险评估要素方 面,《企业风险管理整合框架》、《企业风险管理应用技术》针对风险大小的定量、 度量提出了多种技术方法,包括VaR、风险现金流量、风险收益、损失分布、事后检验等概率技术和敏感 性分析、情景分析、压力测试、设定基准等非概率技术[4]。在概率技术中,VaR方法是目前能够为全球 各主要银行、公司及金融监管机构普遍认可与广泛接受的最重要的金融风险评估方法之一。根据市场 因子波动性特征的不同,VaR法具体包括历史模拟法、蒙特卡罗模拟法、RiskMetric方法、GARCH模型、 隐含波动性模型和随机波动性模型等。当然,VaR法需要确定三个系数,即持有期限、观察期间及置信 水平。正是因为风险偏好与容忍度的确定决定了置信水平的大小,最终使非预期损失与VaR值能够较 好地统一起来。除了VaR法,风险评估中的风险现金流量、风险收益、损失分布等概率技术也同样需要 置信水平、风险偏好及风险容忍度等基础前提。 压力测试是企业风险管理框架新增加的概念,它是主体用于测量其对异常但可能发生事件的潜在 脆弱性的一种技术。作为一种重要的非概率技术,它是对以正常市场条件为前提,不能反映极端情况的 VaR法较为有力的补充。 情景模拟是企业风险管理框架新增加的又一个概念,它是主体用于设定一个极端的场景(比如金 融危机、政府破产等),并可用于测试该主体是否可以承受这种场景带来的损失,其与压力测试的区别 在于压力测试属一维的,即针对市场中的一个或一组变量异常变化作出的假设,而情景模拟是多维的, 即假设一个整体环境发生变化并在这个环境下会引起一些变量发生变化的情景。情景模拟是对VaR 法和压力测试的补充,其与VaR法和压力测试结合起来,可以使得风险管理更趋于完善。 企业风险管理框架引入风险偏好、风险容忍度、压力测试、情景模拟等概念后,为风险评估提供了前 ·95·提条件和技术保障,有利于企业的发展战略与风险偏好保持一致,有利于准确合理地测算经济资本并平 衡风险与收益,从而帮助治理层与管理层实现企业风险管理的各个主要目标,而这些内容都是内部控制 框架中没有提及的,也是内部控制难以做到或达成的。 (二)风险组合管理思想导致两者在组合管理技术的区别 诚然,风险组合管理观只是一种风险管理理念或管理创新思想,并非具体的风险管理技术和方法。 但是,正是这种理念或思想产生了相应管理技术支持的需求,从而需要采用资产或投资组合的管理手段 及方法。马柯威茨的现代资产组合理论为风险组合管理奠定了坚实的理论基础,以此为基础发展起来 的风险组合管理技术主要体现在组合 风险度量和应对方面。风险分散化原则就是风险组合管理技术在 风险应对上的具体体现,目的是通过多样化的投资来分散和降低风险水平,在金融机构,它不仅适用于 市场风险管理,还适用于信用风险管理。在风险度量上,组合风险与交易风险的基本方法是一致的,因 此,组合技术的关注点是资产或投资组合风险因素收益的概率分布。拟合组合风险因素收益分布的方 法主要有两类,即模拟方法(全值模型)和分析方法(局部估值模型),主要依据金融工具的价值和市场 因子之间的关系,即根据市场灵敏度确定组合价值的变化。模拟方法是在模拟市场因子未来变化的基 础上,给出市场因子的不同情景,并在不同情景下分别对资产组合中的金融工具重新定价,然后计算资 产组合的价值变化。目前,基于两类模型的选择和组合的典型方法主要有三种,包括方差—协方差法、 历史模拟法及蒙特卡罗模拟法。由此看来,风险组合管理理念推动了内部控制整体框架向企业风险管 理框架的发展,企业风险管理的要求催生了风险组合管理技术,风险组合管理技术显现了内部控制与企 业风险管理在风险度量与应对上的技术区别。 (三)金融衍生工具市场迅猛发展导致两者在风险应对技术的区别 企业风险管理起源于20世纪50年代早期及中期的美国企业保险购买, 60年代后期起,有关风险 管理的概念、原理及实践不断传播到欧洲、亚洲和拉丁美洲等一些国家和地区, 70年代以来,金融风险 管理领域一个突出的现象就是衍生金融工具被大量地运用于各种形式的金融风险管理。金融衍生工具 根据基础资产的不同可分为股权衍生物、利率衍生物、货币衍生物、商品衍生物及信用衍生物等;根据合 约和交易的性质又有更多的形态,如远期合约、期货、期权、互换,以及由此复合和变化形成的奇异衍生 工具等。与风险分散技术一样,金融衍生工具既适用于市场风险管理也适用于信用风险管理。在风险 应对上,企业风险管理框架提供了四种策略,包括风险回避、降低、分担及承受,它们又体现为风险预防、 风险规避、风险分散、风险转嫁、风险抑制和风险补偿等多种具体的技术方法。内部控制与风险管理在 风险应对上的区别主要体现在风险管理将风险转嫁技术加载在金融衍生工具中加以应用。现代风险管 理得益于计算机技术和金融衍生工具市场迅猛发展的推动,由此也促成管理范畴的内部控制走向了风 险管理。 COSO在界定企业风险管理时,明确表明内部控制是企业风险管理的一个组成部分,《企业风险管 理整体框架》似乎也已经为企业风险管理与内部控制之间的关系提供了较好的解释。我 们认为,《企业 风险管理整体框架》之于《内部控制整体框架》,无疑是一种积极的改进、合理的完善及进步的超越,标 志着内部控制理论与实务的拓展、延伸及转型。然而,企业风险管理与内部控制究竟何去何从,尚需实 务界与理论界作进一步的实践探索和理论研究。 [参　考　文　献] [1]　阎金锷,陈关亭.内部控制评价应用[M].北京:中国人民大学出版社, 1998. 9. [2]　杨雄胜.内部控制发展问题研究. 2004.中国博士学位论文全文数据库. www. cnk.i net/index. htm, 24. [3]　COSO委员会.企业风险管理—整合框架(中译本)[M].大连:东北财经大学出版社, 2004: 144-147. [4]　COSO委员会.企业风险管理—应用技术(中译本)[M].大连:东北财经大学出版社, 2006: 53-59. 〔责任编辑:冯胜利〕 ·96·

企业风险管理与内部控制关系探微