1 引言
自1992年美国COSO委员会发布并于1994年修订的《内部控制整体框架》(COSO-IC)以来,该框架已在全球获得广泛的认可和应用,但理论界和实务界一直不断对其提出一些改进建议,强调内部控制整体框架的建立应与企业风险管理相结合。2004年9月发布的企业风险管理整体框架(COSO-ERM)就是在1992年的研究成果—《内部控制整体框架》报告的基础上,结合2002年《萨班斯一奥克斯法案(Sarbanes-Oxley Act,SOX)在报告方面的要求,进行扩展研究得来的。风险是一个比内部控制更为广泛的概念,因此,企业风险管理框架中的许多内容比1992年报告的内容要更为全面、更为深刻。当然,风险管理整体框架(COSO-ERM)建立在内部控制整体框架(COSO-IC)的基础上,内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。
2 内部控制与风险管理的概念 2.1 内部控制的概念 关于内部控制的概念很多学者对其有很多的看法,但在国际上最有影响力并且居于主导地位的是美国全国反舞弊性财务报告委员会下属的COSO 委员会所提出来的。COSO 对内部控制的定义为,内部控制是由企业董事会,经理阶层和其他员工实施的,为经营的效率效果,财务报告的可靠性和相关法律的遵循等目标的实现而提供合理保证的过程;并且把内部控制分为五个方面。
2.1.1 控制环境 指一个企业的氛围,它构成影响内部人员控制其他成分的基础。
2.1.2 风险评估 风险评估是指管理层识别并采取行动来管理对经营、财务报告,符合性目标有影响的内部或外部风险,包括风险识别和风险分析。
2.1.3 控制活动 控制活动指针对已经确认的风险采取措施,以确保企业实现目标的政策和程序。控制活动又包括业绩评价,信息处理,实物控制和职责分离四个部分。
2.1.4 信息与沟通 信息与沟通是指为了有效的实现企业目标,企业要对内部信息和外部信息进行识别、记录和交流。
2.1.5 监督与控制 监督与控制指对内部控制活动进行评价和监督。以上五个因素是相互联系、相互制约和配合的,从而形成一个完整的内部控制系统。
2.2 风险管理的定义
2.2.1 企业风险管理的定义 企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的
事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2.2.2 企业风险管理的构成要素 企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,贯穿在企业的管理过程之中。
3 内部控制与风险管理的比较 3.1 内部控制与风险管理的联系 从COSO的两份报告来看,企业风险管理与内部控制有以下相似之处。①它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,涉及一个企业各个层次员工,指出各方在内部控制或风险管理中都有相应的角色与职责。②它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。③它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
3.2 内部控制与风险管理的区别 新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在。①提出一个新的观念——风险组合观,企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。②增加一类目标——战略目标,并扩大了报告目标的范畴内部控制框架将企业的目标分为经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。此外,企业风险管理框架比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。③针对风险度量提出两个新概念——风险偏好和风险容忍度,针对企业目标实现过程中所面临的风险,风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。④增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。目标制定——在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。事项识别——企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。但是,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。风险反应——企业风险管理框架提出对风险的四种反应方案:规避、减少、共担和接受风险。作为风险管理的一部分,管理者应比较不同方案的潜在影响,并且应在企业风险容忍度范围内的假设下,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。总的来讲,新的框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑,而企业在对其下属部门进行风险管理时,应对风险进行加总,从组织的顶端、以一种全局的风险组合观来看待风险。此外,根据风险管理的需要,对企业目标进行重新的分类,明确战略目标在风险管理中的地位。
4 内部控制与风险管理的融合 现在存在一些争论,即风险管理包含内部控制,或内部控制包含风险管理。得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同。在实际的经营过程中,风险管理与内部控制是密不可分的。在企业内部的不同层次,风险管理与内部控制的主导性相对次序可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
最近更新