內部控制與風險管理

不得不說的故事

01

二者的定義

談到內部控制與風險管理，很多人並不清楚二者之間的關係。根據COSO的定義：“風險管理是一個受實體董事會、管理層和其他人員影響的過程，應用於戰略設定並貫穿於整個企業，旨在識別可能影響該實體的潛在事件，並在其風險偏好內管理風險，對實體目標的實現提供合理的保證。”而“內部控制是由董事、管理層及其他人員在公司內進行的，旨在爲經營的有效性、財務報告的可靠性、適用法律法規的遵循性提供合理保證的過程。”從以上定義可以看出“內部控制”與“風險管理”的確很容易讓人混淆。他們的實施主體一樣，終極目標也都是爲實現企業的目標提供合理保證。實際上，風險管理是內部控制的重要內容，企業風險管理又包含內部控制，兩者相互依存，具有不可分離的內在聯繫。

02

初相識

從內部控制的發展歷程來看，內控與風險管理的初相識是在2004年9月，美國COSO委員會提出了ERM框架，即《企業風險管理—整合框架》。這標誌着企業管理的重點由單純的控制轉向了全面風險管理。它拓展了內部控制框架的範圍，除了原有的5個要素，還增加了“目標設置、事件辨識、風險應對”這三個要素。那爲何COSO會對內部控制進行改革呢？2001—2002年，美國衆多巨大的公司發生倒閉，安然、施樂、世通等大型公司相繼發生財務舞弊及會計造假案。這引發了人們更深層次的思考內控的有效性和公司運營風險的關係。COSO組織開始從更高的一個角度來思考企業的管理活動以及內部控制體系的侷限性。因此，COSO提出了風險組合觀，認爲風險管理應貫穿於企業的戰略目標，通過設立合理的戰略目標，識別、評估和應對重大風險，根據成本效益原則進行風險成本和取得效益的平衡，爲達成企業目標提供合理保證。

03

相伴

十年之後，COSO進一步對ERM框架進行改革。這一次的調整是爲了適應外部環境中風險的複雜變化，加上企業的利益相關者更加關心如何通過風險管理來提高企業的績效，他們要求提高風險管理的透明度和完善問責制。2017年9月6日，COSO發佈了《企業風險管理——與戰略和業績的整合》。此次簡化了企業風險管理的定義，重新審視了企業風險管理整合框架所關注的焦點，強調了風險和價值之間的關聯性，通過流程的風險梳理和重大風險的協同治理，以戰略目標爲導向，協同取得績效目標。可以看出，風險管理仍然是內部控制的主題以及重點。只是隨着時代和行業環境的變化，對目標作出相應的調整。

04

企業發展→內控+風險管理

美國管理學家羅伯特·安東尼說過：“管理企業就好比駕駛一輛車，車速越快，越需要好的控制系統。”這裏的控制系統指的就是企業的內部控制。內控源於企業的風險，在市場中，每個企業都會面臨各種風險，內部控制可以在企業的發展過程中起到了規範和引導的作用。從外部因素來看，內控也是監管部門對企業提出的客觀要求。因此，內部控制是企業必備的條件。那說到風險管理，筆者認爲它是企業可持續發展的保障。在當前複雜的經濟形勢下，公司必須構建科學的風險管理體系才能應對日漸激烈的競爭。

05

現存的誤解

內部控制與風險管理對於企業如此重要，但是很多企業在二者的建設中仍然存在很多錯誤的解讀。

首先，認爲內控與風險管理是相互獨立的。很多企業會分別開展內控建設與風險管理體系的構建，忽略了二者其實可以協同。企業可以根據自身的特點來運用，比如：處於嚴格的管制環境下，風險管理顯得更爲迫切的企業便可採用以風險管理爲主導的內部控制；如果企業僅以財務報告和信息披露的合法合規性爲目標，就可採取以內部控制爲主導，兼顧風險管理的方式。

其次，錯誤地認爲內控和風險管理體系的建設就是建章建制。只停留在制度層面，沒有根據企業的真實情況，設計符合企業的內控和風險管理體制，將之落到實處。我們並不否認二者是一種制度建設，但更是一種管理過程和企業的自律行爲。

還有的企業將成功寄望於內控與風險管理上，增大了審計期望差距，造成審計供給與審計需求之間的矛盾。要知道，不論內控和風險管理多麼完善，它們提供的僅爲合理保證，不可能做到絕對保證。企業決不能僅依託於內控和風險管理，否則依賴的柺杖一旦出現問題，企業就會摔得很慘。

結語

在新的階段，COSO對企業的內部控制和風險管理提出了新的要求和目標，我們應當把握企業利益相關者的關注重點，將企業風險管理貫穿於整個流程，優化企業戰略和績效，不斷延伸和完善企業內部控制。

●往期精選●

■行政事業單位的內部控制優化路徑

■企業風險管理貼近業務的必要性

■COSO ERM：獲得風險管理權