企業內部控制與全面風險管理關系研究

趙貴成

摘 要：現代企業管理中，內部控制和全面風險管理都為企業在經營過程中抵御防范各種風險，實現企業經營目標而存在和活動，通過這兩者自身所建立的架構、體系以應對、規避和控制風險，使企業得以增強抭風險的能力，促進企業健康發展。雖兩者在實踐中發展運用過程有先后，其管理風險的目標、關注點、對風險應對采用的方式方法等有所不同，但都有保障企業穩健經營和經營目標實現的共同目的，他們之間交織和融合，最終統一在企業風險管理體系中。

關鍵詞：企業;內部控制;風險管理;關系;研究

在現代企業管理中，內部控制和全面風險管理都是企業在經營過程中管控風險所必需的。美國全國反虛假財務報告委員會下屬發起人委員會COSO（以下簡稱美國COSO委員會）確定的全面風險管理體系框架中明確地把內部控制作為一個子系統放在了全面風險管理體系框架內。兩者在風險的管理上各有側重，相互結合，互相融合，有效保障了企業防范風險，穩健經營，達成目標。下面我們就從他們各自的發展歷程、管理目標、管理范圍、關注側重點、所采用的管理方法和所采取的措施等多方面去分析和理解他們兩者的關系。

一、企業內部控制概念及發展歷程

1.內部控制概念

內部控制是將一系列具有控制功能的方法、程序、措施進行系統化和規范化后，以制度和流程形式形成的一個嚴密和比較完整的體系。企業內部控制是以防范和有效管控風險為目的，以一系列專業管理制度為基礎，通過全方位梳理、識別關鍵控制點，以流程形式建立過程控制體系而形成的管理規范。

在我國，企業內部控制的官方定義正式出現在財政部等五部委所發布的《企業內部控制基本規范》中，根據該項文件的指示，內部控制主要指的是由企業管理層以及企業員工通過內部控制手段實現控制目標的過程。而美國COSO對內部控制含義的界定與上述文件中的基本一致，不同處主要在于表述上的稍有差異，即將我國“旨在實現控制目標的過程”表述成了“提供合理保證的過程”。

內部控制實質上是一種管理思路。要準確理解內部控制重點要關注以下幾方面：一是內部控制是以一系列管理制度、規章為基礎的;二是內部控制強調的是過程控制，主要是對企業或組織實體關鍵風險點控制的方法、流程、措施進行了系統化的規范和固化，形成管理規范，以達到對風險的管控;三是內部控制的目標是為了提高企業或組織實體的經營效率效果，可靠準確經營財務數據的獲得和遵守法律法規的合規經營;四是內部控制須遵循全面性、重要性、制衡性、適應性和成本效益五大管理原則，并按照業務導向和管理簡化原則進行水平提升;五是內部控制的主要內容包括企業內部控制環境、企業風險管理、活動控制、信息的收集與分析、內部監督的內容，不同類型的企業組成部門也有所不同，但內部控制均需要企業內部組織、各部門的協調、參與才能夠保證內部控制工作順利開展。

2.內部控制發展歷程

內部控制有它自身的發展歷程。上世紀40年代，在會計界首先提出了內部牽制的概念;到1949年，美國注冊會計師協會AICPA的審計程序委員會（以下簡稱美國AICPA）下屬的內部控制專門委員會通過組織多位學者共同研究，發表了對于指導內部控制工作具有重要作用的專題報告，即《內部控制，一種協調系統諸要素及其對管理部門和獨立注冊會計師的重要性》，世界范圍內對內部控制出現了第一次官方解釋。1958年，美國AICPA發布了29號《審計程序公告》，該報告中將內部控制工作內容進行了分類，即分為會計控制與管理控制，初步搭建了內部控制工作的體系。還在1988年《審計準則公告》中明確提出了“內部控制結構”的概念。直到1992年美國COSO委員會才完整提出內部控制整合架構。2002年7月，由于安然事件和世通舞弊案的影響，美國國會通過薩班斯法案（Sarbanes-Oxley法案），規定了上市公司必須做好內部控制管理工作，在進行上市審查時內控體系也成為一項必要且關鍵的審查內容，隨后世界范圍內紛紛效仿這一制度規定，加強對上市公司的內控制度考查，增加信息披露的規范與要求。

在我國，2008年6月財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》，該文件的發布成為指導我國企業開展內控工作的基本依據，被廣泛推行。文件內容包括總則、內部環境、風險評估、控制活動、信息與溝通、內部監督和附則共七個章節的內容。

二、企業風險管理概念及發展歷程

1.全面風險管理概念

企業通過經營性活動賺取經濟利益，任何交易都存在不同程度、不同類型的風險，對企業實現發展目標都具有影響。我們稱之為風險。當然，風險有純粹性和機會性，它有可能給企業帶來損失，也有可能為企業帶來盈利等機會。純粹風險指的是只可能帶來損失的風險類型，而同時可能帶來損失也可能帶來收益的風險叫做機會風險。當企業經營中面臨市場準入放開、鼓勵產品創新、政策法律解禁、經營環境變化后，會大大增加企業經營的風險性，經營成效也隨之變化和波動，企業在為降低風險而采取措施的決策過程中，對收益與成本進行權衡與匹配，風險管理工作的意義在于幫助企業預判可能存在的損失，從而進行規避，降低決策失誤的可能，促進經濟效益的提升。

風險管理的含義為企業風控部門通過科學有效的方法進行風險的判斷和預防。在對經營活動中的風險進行識別、評估、測算、計量、評價的基礎上，對經營活動中可能遇到的風險實施精準、有效控制，以降低或轉移風險可能引致的損失和負面影響，盡可能在最小的代價和成本基礎上，實現最大成效和安全保障的過程。風險管理并不是要完全消滅風險，風險與機會同在，拒絕風險等于拒絕財富。風險管理的意義就在于如何精明承擔風險，以最小可承受的風險來獲取更高的收益。

國務院國有資產監督管理委員會曾發布《中央企業全面風險管理指引》，對全面風險管理一詞的含義進行了官方的解釋，即全面風險管理指的是企業基于經營需要以及工作基本流程，建立科學的風險管理制度，在員工間形成良好的風險管理文化，從而在各個部門間形成完整的風險管理體系，主要內容包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，以上工作內容形成了全面完整的風險管理模板，從而為企業風險控制流程提供了制度前提。風險管理基本流程則包括風險信息的收集、分析、應對措施執行以及工作改進，另外還包括風險管理的監督和約束。

美國COSO委員會2004發布《全面風險管理——總體框架》，對全面風險管理的含義解釋為由董事會、股東會等管理層依據經營決策需要而對過程中存在的潛在風險進行識別與管理的過程，由此保證決策目標能夠順利實現。

要準確把握并理解全面風險管理的概念，我們需要從以下幾點去認識：一是全面風險管理是過程的管理，涉及到企業的多方面，包括了企業風險管理目標、戰略的確定、風險偏好的選擇、風險的收集統計、風險的評估評價、風險管理方式選擇、風險管理方法執行、風險的預防方案以及如何進一步加強對風險管理工作的監督與改進，這一過程是風險轉移、降低和控制風險的一系列程序，是風險與機會的選擇;二是全面風險管理的工作是全員的參與;三是該定義表明風險管理并非要完全消滅風險，也不是為了減輕和降低風險而不惜一切代價，而是要盡量減輕、降低風險，使風險可以承受，精明地在所承擔的風險上獲取最高收益。其實企業經營中風險總是無法徹底消除，為企業經營目標實現我們所能做的也只能做出合理的保證，而不是做絕對保證。

可見，現在風險管理在傳統的風險管理基礎上發展到今天，早已經有了天壤之別，更強調了全面的風險管理。傳統風險管理關注焦點主要專注于純粹和災難性風險。管理手段往往比較單一，主要采用保險和風險減免的控制手段。在管理方式和目標上只是就單個風險實施管理，并不與企業的戰略目標相聯系。管理理念更是被動地將風險管理作為成本中心，不設專門的部門而是由多個職能部門來管理。而全面風險管理是從企業和經營組織的發展戰略層面去考慮，全面集中管控企業和經營組織中所有可能面臨的風險因素和類別，既包括戰略風險、法律風險、聲譽風險，也同時涵蓋交易風險、財務風險、執行風險等內容，配備有獨立的風險控制工作體系，設有專門的委員會或首席風險官、風險管理專門部門來管理，從理念上已經積極主動將風險管理作為創造價值的中心。在管理目標上全面風險管理更是緊密結合企業和經營組織發展戰略，依據風險偏好尋求風險優化，同時運用現代金融保險功能和內部控制等多種方法、手段，以達到企業和經營組織經營目標效益的最大化，實現所有利益方的共贏。

另外，我們也可從英文“Risk，風險”單詞上來探討風險管理概念的兩種解讀，也頗有意思。第一種理解：R：代表收益（Return）、I：代表免疫力（Immunization）、S：代表風險管理系統（System）、K：代表風險管理技術和知識（Knowledge），即通過培養專業人才，運用管理系統，形成風險管控體系，加強管理，提高免疫力，實現風險與收益的平衡。第二種理解：R：代表監管（Regulation）、I：代表信息（Information）、S：代表風險管理系統（System）、K：代表關鍵風險點（Key points），即通過對信息、數據的挖掘和分析，找出關鍵風險點，運用管理系統進行管理，并且注意要加強運營過程中的監管和約束。

綜上所述，目前想要進一步完善全面風險管理工作，其核心就體現在全面性上，在于管理的全員參與和管理全部業務、全業務過程和全風險類別，以及在風險應對上更加系統化和多樣化。因此，全面風險管理，可理解為是指經營單位和組織的董事會、經營管理層及全體員工共同參與，對經營活動中可能面臨的各類風險進行準確識別、審慎評估、動態監控、及時應對的全程管理。

2.全面風險管理發展歷程

風險管理起源于美國。雖然人類認識風險的歷史幾乎與人類的文明一樣久遠，但人們對風險進行管理的認識和運用并不久遠。直到1930年在美國管理協會發起的一項保險問題會議上，美國賓夕法尼亞大學的所羅門·許布納博士在此背景下提出了風險管理的概念和構成要素。美國賓夕法尼亞大學沃頓商學院的施耐德教授于1955年進一步對風險管理的含義進行了深刻闡述，及1956年《哈佛商業評論》上風險管理文章的出現，這篇名為《風險管理——成本控制的新名詞》的文章，至此風險管理真正開始切入企業的管理，進入人們的視線。

澳大利亞和新西蘭于1995年共同制定了世界范圍內第一個國家風險管理標準AS/NZS 4360，該標準明確定義了風險管理的標準程序。

隨著人們對風險管理認識的不斷深化、風險計量技術的不斷進步，伴隨各種風險的發生、反思與應對，2004年以美國COSO委員會發布《全面風險管理——整合框架》為起點標志，全面風險管理標準體系第一次正式建立，并被廣泛采用，風險管理真正意義上正式步入到了全面風險管理階段，并逐步完善與發展。

特別是2008年世界金融危機的發生和帶來的深遠影響，以及巴塞爾協議的全面實施，全面風險管理首先在金融企業界全面推行，而后逐步延伸到其他工商企業，全面風險管理才更加深入人心并得以逐步深入。

2006年國務院國有資產監督管理委員會發布了我國第一個全面風險管理指導性文件，即《中央企業全面風險管理指引》，這意味著我國自此擁有了指導企業開展全面風險管理工作的標志性規范，推動企業風控制度進入新的階段，對于企業的現代化發展有著重要意義。

三、企業內部控制和全面風險管理的關系分析

當前理論界對于內部控制的范疇界定具有爭議，例如部分學者認為內部控制包含了全面風險管理，一部分學者認為兩者并不包含合并關系。也有人反過來認為，全面風險管理包含了內部控制。美國COSO委員會則認為兩者聯系緊密并正在融合。在我國，從相關部委對兩者的重視態度上看，國資委更強調全面風險管理，財政部更強調內部控制。但我們在企業內部控制和全面風險管理的具體運用實踐中，深切感受和認識到內部控制確實在全面風險管理過程中是完全必不可少的，是全面風險管理必要的組成部分及必須運用的管理手段和環節，所發揮的作用也是非常關鍵的。從二者管理目標和所依托的管理體系和相關制度、流程來講，可以說全面風險管理是涵蓋了內部控制的。而從目前國內外現代企業管理發展趨勢和內部控制與全面風險管理自身完善發展中，看到二者也已交織和融合在一起，統一到了企業的全面風險管理體系中。

1.內部控制和全面風險管理都因企業在經營發展中面臨著各種風險的挑戰和威脅而產生，他們有著一樣存在的基礎

內部控制和全面風險管理產生都基于企業在經營過程中面臨著諸多風險存在的客觀性。內部控制的發展歷程相較于全面風險管理而言更早，但是內部控制的理論和實務經驗對于后續全面管理控制工作的開展具有重要的參考意義，全面風險管理可以認為是內部控制發展的升華版本。兩者在企業的運用實施過程中，它們都會強調全員參與性，是由“企業董事會、管理層以及其他人員共同參與實施的”。另外，各職能和業務部門及各人員在內部控制或風險管理中都有相應明確的角色定位與職責分工，他們相互分工協作，相互獨立牽制。

2.內部控制的方案和流程在全面風險管理過程中具有重要意義，是全面風險取得有效成果的前提條件，只有采取科學合理的控制手段和方法才能控制到位

內部控制工作順利開展的前提是企業各部門對風險管理工作具備充分的積極性，并且把握流程中可能出現的各種風險類型，判斷方案是否準確、執行手段是否落地，才能加強對經營風險的防控。完善的內控系統是必須和必要的。同時，我們還應看到，內部控制是很有效的風險管理方法，在全面風險管理的方方面面被廣泛運用。此外，在企業管理實踐中，為應對合規風險，滿足國內外法律法規和監管要求，也需要構建有效的內控系統。因此，建設完善的內部控制體系，使之體系健全、統一、規范，是企業全面風險管理體系建立中所必要的組成部分。

3.內部控制與全面風險管理從企業管控風險的根本性質和作用看，他們都歸于和服務于企業對經營過程中風險的管理

良好的內部控制和科學的全面風險管理，都對單位經營活動的效率和成效、資產安全、經營信息及時準確具有保障作用。在現代企業管理中，兩者的結合運用，將更有助于幫助管理者實現經營目標和方針，保護企業經營資產安全、完整，防止資產流失，提高管理科學規范水平，更好滿足現代企業管理的迫切需要。

4.從內部控制與全面風險管理的管理范圍、目標、關注焦點去分析，全面風險管理比內部控制更廣泛、更全面

首先，在管理范圍上，內部控制是企業依靠和運用系統化的規范、規章、制度、形成采取的風險管理流程規范，以遏制與防范對經營目標實現中的不利風險和負面影響，保障和促進經營目標的實現。而全面風險管理則擴展到企業發展戰略層來考慮風險的特征、偏好和管控，依照經營環境的可能變化，在事前制定經營目標時就注重和進行各種風險的分析、識別、存在可能，并運用專門的工具、方法、手段等，按照風險可測、可控和有效應對要求管控各種風險危機事件，明顯包含了戰略目標范疇。其次，內部控制的實施目標與全面風險管理有所不同。全面風險管理更注重的是風控體系的全面搭建，而內部控制目標主要包括經營管理的合法合規性控制，以及財務與信息披露的安全，并且保證所有財務報表的真實性與安全性。并通過過程控制來實現目標。內部控制強調在企業內部的控制，使內部人員職權清晰、相互牽制，以達到控制風險、抵御風險的能力;關注焦點主要專注于公司經營所有業務流程其過程控制措施的有效性。而全面風險管理則更加全面，其目標除內控的相關目標外，還要在如何及時地發現和識別風險，以及對發生風險的有效應對上下功夫，以有效防止和降低或者轉移風險可能給企業經營帶來損失和造成負面影響，保證所有風險的可測、可控、可承受。全面風險管理所關注焦點已包含企業戰略、市場、信用、合規、財務、現金流、聲譽風險等所有經營風險。

5.從內部控制與全面風險管理所運用的管理方式和應對風險所采取的策略上看，內部控制已完全融合在全面風險管理中，全面風險管理已涵蓋了內部控制

內部控制所負責和做的相關工作、活動、內容，在全面風險管理的過程中及風險管理后的相關活動中都已包含，如對風險進行的分析評估和由此而實施的控制措施、信息反饋與溝通、監督糾錯等工作。而全面風險管理則貫穿于整個管理過程。全面風險管理的工作、活動、內容、步驟比內部控制做的明顯要全面、寬泛和復雜得多。當前全面風險管理的工作內容涉及企業經營管理的各個階段，包括企業經營目標的構建與完善，以及經營策略的制定，風險管理文化的創建以及整體員工風險防范意識的提升，還包括風險管理模型、風險處置、風險報告程序等組成部分。在對風險所采取的應對策略上，內部控制主要通過業務流程控制和嵌入各項規章制度約束來應對。而風險管理的工作內容則不僅包括了風險信息收集與分析、風險判斷、風險對策等內容，還包括風險偏好、風險計量、風險容忍度、風險指標體系、壓力測試、情景分析等工作體系，所涉及的內容與方法十分廣泛。有鑒于此，全面風險管理的架構體系的建立能夠更加全面地幫助企業進行風險防范，并且對各方面的影響因素進行分析，從而幫助企業拓展業務范圍，規避風險，降低工作成本，更好地提高經濟效益，實現經營目標。兩者在各有側重、優勢的深度融合中，最終保障企業的穩健經營，促成企業董事會和高級管理層經營目標的實現。

參考文獻：

[1]李曉慧，何玉潤，編著.內部控制與風險管理理論、實務、案例.中國人民大學出版社，2016：1-10.

[2]劉守偉.對企業全面風險管理的認識.鐵路采購與物流， 2010（8）：21-22.

[3]孫海燕，張榮玉.內部控制與風險管理融合研究.管理學家，2010（9）：99-100.

[4]宋瑞雪，王艷芹.企業全面風險管理與內控體系的相關研究.企業家天地（下半月），2013（10）：48-49.