內部控制與風險管理是緊密聯系的。如何正確認識這兩者間的關系,無論對學術研究還是企業的經營管理實踐,都具有現實意義。本文在梳理內部控制理論演進歷史的基礎上,分析了企業風險管理框架對內部控制框架的繼承和發展,明確指出內部控制和風險管理已日益融合,風險導向已成為內部控制的發展方向。
一、內部控制理論的演進歷史
內部控制的思想和實踐歷史悠久,其伴隨著組織的形成而產生。內部控制理論的發展大體上經歷了內部牽制、內部控制制度、內部控制結構、內部控制框架等四個階段。在每一階段,內部控制都被賦予不同的內涵。
(一)內部牽制階段。一般認為,20世紀40年代以前是內部牽制階段。內部控制思想的萌芽早在五千多年前就出現了。蘇美爾文化的史料記載中會計賬簿數字邊的標記、古埃及古物入倉時的職務分離、我國周朝留下的記錄——“一毫財賦之出入,數人之耳目通焉”等,均反映了內部牽制的基本原理,即以賬目間的相互核對為主要內容并實施崗位分離。內部牽制理論建立在兩個基本假設之上:兩個或兩個以上的人或部門無意識地犯同樣錯誤的可能性很小;兩個或兩個以上的人或部門有意識地串通舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。美國著名審計學家蒙哥馬利1912年所著的《審計——理論與實踐》一書中已明確表述過這種思想,這種思想在早期被認為是確保所有賬目正確無誤的一種理想控制方法。
(二)內部控制制度階段。20世紀40年代到20世紀70年代,在內部牽制思想的基礎上逐漸產生了內部控制概念。1949年美國注冊會計師協會(AICPA)所屬的審計程序委員會發表了一份題為《內部控制:系統協調的要素及其對管理部門和獨立公共會計師的重要性》的特別報告,首次正式提出了內部控制的定義:“內部控制包括組織的計劃和企業為了保護資產,檢查會計數據的準確性和可靠性,提高經營效率,以及促使遵循既定的管理方針等所采用的所有方法和措施”。這一概念突破了與財務會計部門直接有關的控制局限,使內部控制擴大到企業內部各個領域。內部控制的內容也發生了變化,從內部牽制時期的賬戶核對和職務分離逐步演變為由組織機構、崗位職責、人員條件、業務處理程序、檢查標準和內部審計等要素構成的較為嚴密的內部控制系統。
1958年,出于審計人員測試與財務報表有關的內部控制的需要,審計程序委員會又將內部控制分為內部會計控制和內部管理控制。前者是指與財產安全和會計記錄的準確性、可靠性有直接聯系的方法和程序;后者主要是與貫徹管理方針和提高經營效率有關的方法和程序。將內部控制一分為二使得審計人員在研究和評價企業內部控制制度的基礎上來確定實質性測試的范圍和方式成為可能。由此內部控制進入“制度二分法”階段。
(三)內部控制結構階段。20世紀70年代以后,內部控制的理論研究又有了新的發展,研究重點逐步從一般涵義向具體內容深化。在實踐中審計人員發現很難確切區分內部會計控制和內部管理控制,而且后者對前者其實有很大影響,無法在審計時完全忽略。于是,1988年5月AICPA發布了第55號審計準則公告《財務報表審計中內部控制結構的考慮》,以“內部控制結構”的概念取代了“內部控制制度”。該公告認為:“企業內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序”,并指出內部控制結構包括三個組成要素:控制環境,會計制度和控制程序。從而,內部控制從“制度二分法”步入“結構分析法”階段,這是內部控制發展史上的一次重要改變。
(四)內部控制整體框架階段。1992年9月,由美國注冊會計師協會、美國會計學會(AAA)、國際內部審計師協會(IIA)、財務經理協會(FEI)以及管理會計師協會(IMA)共同組成的COSO委員會發布了指導內部控制實踐的綱領性文件COSO研究報告:《內部控制——整體框架》(IC-IF),并于1994年作了修改。該報告重新定義了內部控制:“內部控制是受董事會、管理當局和其他職員影響,為企業經營活動的效率和效果、財務報告的可靠性,相關法律法規的遵循性等目標的實現提供合理保證的過程。”內部控制整體框架由控制環境、風險評估、控制活動、信息與溝通、監控等五個要素組成。同以往的內部控制理論及研究成果相比,COSO報告提出了許多有價值的新觀點,闡述了內部控制的各個組成部分,客觀地指出了內部控制的局限性,而且明確了不同人員在內部控制中的角色和責任。
二、企業風險管理框架
自COSO報告發布以來,內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對該框架提出改進建議,認為其對風險強調不夠,使得內部控制無法與企業風險管理相結合(朱榮恩、賀欣,2003)。因此2004年9月,COSO委員會在1992年的COSO報告的基礎上,結合《薩班斯——奧克斯利法案》在報告方面的要求,頒布了《企業風險管理整體框架》的報告(ERM)。該報告把企業風險管理定義為:“企業風險管理是一個受企業的董事會、管理當局和其他職員影響,應用于戰略制定并貫穿于整個企業,用于識別可能影響企業的潛在事項并在企業的風險偏好內管理風險,為企業目標的實現提供合理保證的過程”。企業風險管理由內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控等八個相互關聯的要素組成。企業風險管理的信息流程如下圖所示:
圖在文尾!
企業風險管理的信息流程
該流程并不代表風險管理的組織流程,但可以從信息流的角度透視企業的風險管理流程。企業風險管理的信息流程描述如下:由董事會的風險管理委員會確定內部環境中的風險管理文化和風險偏好;董事會與經理層設定包括戰略目標及其他相關目標在內的目標體系,在設定目標時,要考慮企業的風險容忍度、風險偏好以及事項識別環節所確定的機會;確定了目標,企業就要考慮其所面臨的內部因素和外部因素,并識別相關可能帶來潛在不利影響的事項(風險);在風險評估部分評價風險損失額和風險發生概率,同時考慮剩余風險;采用組合風險觀和其他具體的應對措施來應對風險;在控制活動環節繼續落實有助于風險反應的政策和措施,并報告結果。然后,從控制活動環節返回到事項識別環節,重復事項識別、風險評估、風險反應、控制活動這個流程;監控則對上述所有環節的效率和效果進行監督和控制。
企業風險管理整體框架與內部控制整體框架相比,有以下幾種變化:第一,目標的拓展。由IC-IF的三個目標——經營、財務報告和遵循性,擴大到ERM的四個目標——戰略、經營、報告和遵循性,兩者中只有經營和遵循性這兩個目標的定義相同。IC-IF中的財務報告目標只與公開披露的財務報告的可靠性相關,而ERM中的報告目標的范圍有很大的擴展,包括企業所有對內和對外的報告,報告目標的范圍從僅僅關注財務信息擴展到同時關注非財務信息。此外,ERM還增加了戰略目標,不僅強調在整個企業范圍內識別和管理風險的重要性,還強調應針對企業目標的實現在企業戰略制定階段就考慮一系列備選方案的風險因素,從而使 ERM 的應用深入到了戰略制定層次。第二,要素的增加。ERM 增加了目標設定,事項識別和風險反應這三個與風險密切相關的要素,遵循了“目標——風險——控制”的邏輯順序,充分體現了對風險的關注。第三,對原有要素內容的充實和豐富。在內部環境要素中,ERM更直接關注企業的風險文化與風險偏好。在風險評估要素中,傾向于更準確地進行風險評估,采用定性或定量的方法對事項發生的后果和可能性進行估計,并將風險與相關的目標聯系起來。在信息與溝通要素中,考慮了來自歷史、現在和將來潛在的事項和溝通方式,并要求與企業信息系統整合。此外,ERM還明確了控制活動的目的,指出控制是有助于確保管理層的風險反應措施得以執行的政策和程序。第四,提出了風險組合觀的概念,全面貫徹了風險理念。ERM要求管理者以風險組合的觀點看待風險,對相關的風險進行識別并采取措施使企業所承擔的風險保持在風險偏好的范圍內。因為對企業內部各個部門而言,其風險可能落在該部門的風險容忍度范圍內,但從企業總體來看,總風險則有可能超過企業總體的風險偏好范圍。
三、內部控制與風險管理日益融合
實行內部控制和風險管理都是為了維護投資者利益,實現企業目標。內部控制的起源較風險管理要早。最初的內部控制是隨著生產的大規模化和資本社會化產生的,是互相牽制的思想,通常采取賬目核對的方法,以確保財產安全和賬目正確。風險管理則是在新技術和市場條件下出現的,風險管理是內部控制概念的自然延伸。關于這點,可以從企業風險管理框架的變化中得到證明。框架最大的變化,就是將企業內部控制更名為企業風險管理,這一變化是有特殊意義的。事實上,幾乎所有的公司都有一大套管理制度,這些制度大到包括對外投資,小到包括差旅費報銷等,應有盡有。因此,董事會與管理層往往認為,這些制度的貫徹與執行就是內部控制的所有內容。其實,企業的管理資源是有限的,控制也是需要成本的,如果將企業主要精力放在所有細小的、或微不足道的控制上,往往會舍本求末。如有些企業在差旅費報銷的規定上長達數十頁,極其繁瑣,表面上控制得很好,但浪費了許多管理資源,還會忽視企業重大風險。所以,框架要求董事會與管理層將精力主要放在可能產生重大風險的環節上而不是放在所有細小環節上,將風險管理作為內部控制的最主要內容,這是一個革命性的變化。
四、結語
內部控制理論發展反映了內部控制實踐的發展。當今社會經濟環境日趨復雜,企業不可避免地會遇到各種風險,因此企業應建立風險管理機制,以防范和規避風險。而分析和辨認風險是有效內部控制的關鍵組成要素。從COSO的兩份重要報告中可以看出,不論是1992年的《內部控制——整體框架》,還是2004年的《企業風險管理——整體框架》,均把風險管理作為主要的內部控制要素,強調識別和管理風險的重要性,強調企業的風險管理應針對企業目標的實現并且在企業戰略制定階段就應該予以考慮。英國的特恩布爾報告擴大了內部控制的范圍,將內部控制與風險管理合為一體,認為兩者是近乎等同的概念。可見,內部控制和風險管理日益融合,風險導向已是內部控制的發展方向。
