咨询电话
151 0105 1188
151 0105 1188
内部控制与风险管理在诸多方面有着千丝万缕的联系,在很多实际的企业管理过程中,人们往往很难讲清二者的区别与联系。内部控制与风险管理的发展各有源流,那么他们到底有哪些联系与差异呢,本文从几个角度简要谈论一下。
首先,内部控制(internal control)的概念是源于内部牵制(internal check)。1912年,美国著名会计师罗伯特.蒙哥马利在其审计领域著作《审计理论与实践》中首次系统定义了内部牵制的概念。这个起点就奠定了内部控制有着极强的会计学、审计学的背景。后来内控的外延逐渐由财务领域向企业管理延伸。1992年,COSO发布了具有里程碑意义的《内部控制整合框架》,提出了内部控制的经典定义,即“公司的董事会、管理层及其他人员为实现经营目标、财务报告目标以及合规目标提供合理保证而实施的过程。”同时也提出了内控“五要素”:控制环境、风险评估、控制活动、信息与沟通、监控。这里“风险”二字虽然没有出现在内部控制的定义中,但“风险评估”作为其基本五要素之一也有着关键的作用。2013年,COSO委员会更新了内部控制框架,其中最重大变化是基于原有的COSO五要素提出了17条核心内控原则,大幅度增强了五要素的可操作性,其中关于风险评估也做出了更细化的阐述。
严格来说与内部控制相提并论的“风险管理”是特指“企业风险管理(ERM)”,因为风险管理这个概念也包含个人/家庭风险管理、国家风险管理、公共卫生风险管理、食品安全风险管理等等,企业风险管理只是其中的一个重要分支。风险管理在企业管理领域中的出现时间相较于内部控制要晚的多,可以说是在内部控制理论已经历经百年达到成熟期的时候,风险管理才刚刚成为企业治理的一个萌芽的概念,至今也不过三十多年。
1991年,挪威的一个标准中最早提出了“风险分析”的概念。同在1991年,联合国粮农组织(FAO)、世界卫生组织(WHO)和关贸总协定(GATT)联合召开了“食品标准、食品中的化学物质与食品贸易会议”,建议国际法典委员会Codex在制定食品法规决定时应基于适当的科学原则并遵循风险评估的决定。1992年,前面说到的COSO《内部控制整合框架》首次在企业管理领域提出了“风险评估”的概念,企业风险管理(ERM)自此形成一个雏形。
90年代末十年,风险管理可以形容为“加速成长”,2004年,COSO发布了《企业风险管理ERM整合框架》,将风险管理定义为“一个由组织的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项、管理风险,以使其在该主体的风险偏好之内,并为主体目标的实现提供合理保证的过程。”这个表述比较复杂,但可以明显看得出,COSO希望把风险管理的定义描述与内部控制相似,并引导企业将内部控制的管理提升到风险管理的高度和广度。2017年,COSO的新版ERM框架中将这一理论进行了全面的革新和简化,将风险管理定义为“组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践。”这一次,COSO则改换了思路,希望把企业风险管理打造为一个围绕战略、绩效、价值的独立概念,较为彻底摆脱了“内部控制的衍生物”的身份。
关于内部控制与企业风险管理的联系与差异,最权威的还是要依照COSO给出的诠释。在COSO公布的《常见问题》报告中提到,“两个体系并不是相互代替或取代,而是侧重点各不相同相互补充的作用。内部控制作为一种历经了时间考验的企业控制体系,是企业风险管理工作的一个基础和组成部分。”COSO的成立30周年记者会上其名誉主席斯滕伯格也明确提到“内部控制当然是企业风险管理的一个组成部分,并被包含在其中。”
在实际操作层面,内部控制的主要在于把握“内部”和“控制”两个特征。首先是“控制内部的风险”,即围绕组织内部的可控风险开展控制活动,减少错误与舞弊,降低内部风险,尤其关注于财务报告的可靠性和合规经营。其二,是“内部的人员参与控制”,内控所称的“内部人员”范围上特别强调了除了董事会与高管层之外的所有其他人员都应全面参与其中,而且这些一线的业务执行者恰恰是内控的关键。
而风险管理相较于内部控制,首先不仅是针对内部的风险还会关注到来源于外部的宏观环境、竞争环境等外部风险;同时不仅仅是控制,而更是管理,基于风险偏好和风险容忍度的考量下积极地拥抱风险、创造价值;更侧重于战略与经营目标的实现。另外在人员范围上,风险管理的关键更是在于高层的基调,高层管理者的管理风格和风险偏好是最为重要的环节。
综合上述来看,可以总结为:
1、内部控制比风险管理的诞生更悠久、发展更成熟,而企业风险管理在近期发展更快速活跃;
2、内部控制更具有明显的财务与审计的特征,侧重于防错误与反舞弊,关注财务报告真实性与合规,而企业风险管理更关注于战略与效率;
3、内部控制是内部人员对于内部可控风险的控制,而企业风险管理包括了对企业内外部风险的全面管理;
4、内部控制以风险为控制对象,以风险评估为关键要素,是企业风险管理的基础组成部分。
