第三节 风险管理与内部控制
风险管理与内部控制是两个关系密切又容易混淆的概念,两者之间既有联系又有区别。风险管理与内部控制的关系在学术界颇具争议,原因是不同国家、不同职业组织或研究团体对内部控制有着不同的理解,由此衍生出的内部控制与风险管理的内涵也不尽相同。本节对COSO报告下的风险管理与内部控制的关系进行了简要分析,并指出一些关于风险管理与内部控制的认识误区。
一、风险管理与内部控制的关系
风险管理与内部控制之间的关系,目前主要存在3种观点,分别是风险管理包含内部控制、内部控制包含风险管理、风险管理等同于内部控制。
(一)风险管理包含内部控制
持此观点的代表是美国COSO。COSO在2013年发布的《企业风险管理整合框架》中指出,风险管理包含内部控制,内部控制是风险管理不可分割的一部分;内部控制是风险管理的一种方式,风险管理比内部控制的范围广得多。同样,英国特恩布尔(Turnbull)委员会也认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演着关键角色,内部控制应当被管理者视为范围更广的风险管理的组成部分。南非2002年发布的关于风险管理的King Ⅱ Report中认为,传统的内部控制系统不能管理一些风险,如政治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。
(二)内部控制包含风险管理
持此观点的代表是加拿大COCO。加拿大特许会计师协会(CICA)用“控制”一词表达了内部控制的概念。其认为控制是一个组织中诸要素的集合体,包括资源、制度、过程、文化、结构和任务等,这些要素结合在一起,支持该组织实现其目标。加拿大COCO报告认为,控制是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是内部控制。风险评估和风险管理是内部控制的关键要素,当企业管理风险时,本质上就是在实施内部控制。
(三)风险管理等同于内部控制
这一观点是在对COSO内部控制框架与风险管理框架理解的基础上提出来的,它认为风险管理与内部控制仅仅是人为的分离,在实务中二者是一致的。从理论上来看,风险管理体系与内部控制体系的外延拓展后,两个概念会不断趋于融合。COSO在1992年颁布的《内部控制整合框架》的基础上,于2004年出台了《企业风险管理整合框架》。发生这种变化的根本原因是内部控制的最终目的就是控制风险,而控制风险就是风险管理。所以说,内部控制和风险管理是控制风险的两种不同表达形式,内部控制反映了控制的方式和手段,而风险管理反映了控制的目的。
由于目前国际上较为通用的框架是美国COSO报告中的框架,本书主要以COSO报告下的内部控制框架与风险管理框架为基础,倾向于认为风险管理包含内部控制。内部控制与风险管理的本质都是风险控制,风险管理是在内部控制的基础上发展起来的,因此,它更具先进性。我们将风险组合管理观念引入风险控制中,增强了风险控制的科学性和可行性;将战略目标引入其中,提高了风险控制的战略高度,增强了企业实施控制时的系统性和全面性;将风险控制的范围扩大,便于从整体角度来看待局部风险和总体风险。内部控制不断向风险管理的方向发展,内部控制的思想仍然保留在风险管理中,其影响渗透在风险管理理论中。
二、风险管理与内部控制的比较
1. 风险管理与内部控制的相同点
按照COSO报告的框架,风险管理与内部控制的相同点包括以下内容。
(1)目标一致。COSO将二者都定义为“由一个组织的企业董事会、管理层以及其他人员共同实施的一个过程”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
(2)本质一致。二者都是一个“过程”,其本身并不是结果,而是实现结果的方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的,都是为增加企业价值而服务的。
(3)都为企业经营目标的顺利实现提供保障。设计合理可行的内部控制与风险管理制度,能够有效提升企业的管理水平和风险防范能力,增强企业的核心竞争力,为实现管理者和投资者的目标提供合理的保证。
2. 风险管理与内部控制的不同点
风险管理与内部控制还存在着一些不同点,具体内容如下。
(1)内容不一致。如上所述,风险管理是在内部控制的基础上发展起来的,因此,它更具先进性,内容也比内部控制更为广泛。风险管理除包括原内部控制的3个目标之外,还增加了战略目标。这意味着风险管理介入了企业战略制定的过程,风险管理比内部控制的层次更高、范围更广。另外,风险管理将风险评估要素拓展为目标设定、事项识别、风险评估及风险应对4个要素,还引入了风险组合管理理念以及风险偏好、风险容忍度等新的概念,这都体现了风险管理相对于内部控制在内容范围上的拓展。
(2)活动不一致。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、授权审批和行政管理以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的活动,如对风险发生的概率、影响程度进行合理评估,并以此为依据实施控制活动;信息传递与沟通交流;监督评审与权限纠正等。二者的最大区别在于,内部控制不负责企业经营目标的具体设立,不影响企业战略的走向,只是对目标的制定过程进行评价,对目标和战略制定过程中的风险进行评估。而风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制上,更重要的是在事先设定目标时就充分考虑了风险的存在。
(3)技术方法不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念方法。在技术方法上,风险管理更注重对风险的定量分析与管理。例如,在风险评估要素方面,针对风险大小的定量度量采用了多种技术方法,包括VAR(Value at Risk)、风险现金流量、风险收益、损失分布、事后检验等概率技术和敏感性分析、情景分析、压力测试、设定基准等非概率技术。
总之,按照COSO报告的框架,风险管理是在内部控制的基础上发展起来的,这并不意味着风险管理完全取代了内部控制,而是进一步拓展了内部控制的内涵。因此,内部控制演变成了以风险管理为导向的内部控制,内部控制的思想渗透在风险管理理论中。
三、风险管理与内部控制的认识误区
我国于2008年6月颁布了第一部《企业内部控制基本规范》,对企业加强和规范内部控制提出了要求。目前,实务界在对风险管理和内部控制的认识上还存在一定误区,主要体现在以下几个方面。
(1)许多企业将内部控制与全面风险管理体系建设理解为制度建设,认为有了制度便具备了完善的内部控制体系。其实,从目前国际上较为通用的COSO框架中我们可以看到,风险管理与内部控制都被明确为一个过程,而非纯静态的存在,如制度、技术、文件等。企业应当将风险管理与内部控制置于企业的日常管理过程中,作为一种常规运行的机制来建设,并且应当随着生产经营实际情况的变化而变化,及时有效地调整风险管理体系和内部控制策略。
(2)在部分企业中,内部控制体系与全面风险管理体系是相互独立的。事实上,风险管理与内部控制的体系建设是一个系统工程。按照COSO报告的观点,风险管理是以内部控制为基础发展出来的,两者在内涵上有一定的重合。企业应当综合考虑自身的业务特点、发展阶段、外部环境要求等,选择适合自身发展的管理体系和建设重点。
(3)部分企业在控制上走了极端。过度的控制会影响企业的经营效率,而过度强调效率又会导致企业对控制的忽视。部分企业错误地认为,将风险降到最低是内部控制的目标,越严格的管理越有利于企业的稳定安全。事实上,风险的降低往往伴随着企业获利机会的减少,过度严格的管理往往会束缚企业的发展,使企业举步维艰、停滞不前。风险与机会是共生共存的,控制的同时也意味着牺牲了效率。如何在降低风险的同时抓住机遇,达到控制与效率的平衡,是风险管理与内部控制设计的难点所在。
(4)有些企业过分夸大了风险管理与内部控制的作用,它们对风险管理与内部控制持有过高的期望,认为二者可以确保财务报告的可靠性,确保企业经营目标的实现,确保企业在市场竞争中立于不败之地。实际上,企业管理是一个非常复杂的系统工程,涉及方方面面,无论多么先进的风险管理和内部控制体系,都只能为企业目标的实现提供合理的保证,而非绝对的保证。
为更好地贯彻内部控制规范,实施全面风险管理,企业应当多管齐下,采取多种措施。首先,完善公司治理和企业内部环境是加强内部控制、实施全面风险管理的前提。我国证券市场尚处于新兴转轨阶段,股权结构异化,股权文化缺失,公司治理形备而实不至,因此,强化公司治理的作用在我国显得尤为重要。我国应加强公司治理建设,使股东、董事会和经理层相互制衡,从根本上改善内部控制环境,防止管理层权限超越内部控制的力量。同时,企业应当重视风险因素在内部控制中的重要性。风险管理与内部控制的关系并不是一成不变的。例如,在战略制定阶段,内部控制服务于风险管理的需求,而在战略实施阶段,风险管理通过内部控制的过程体现出来。另外,企业应当重视对内部控制的自我评估,作为企业监督和评估内部控制系统的主要工具。内部控制的自我评估将运行和维持内部控制的主要责任赋予公司的管理者,同时要求员工和内部审计也要对内部控制评估承担相应的责任。