淺議內(nèi)部控制與風(fēng)險(xiǎn)管理

詹曉倩

摘要：本文通過(guò)介紹西方內(nèi)部控制和風(fēng)險(xiǎn)管理理論，分析了ERM與IC-IF的關(guān)系，指出中國(guó)企業(yè)在借鑒世界發(fā)達(dá)國(guó)家的標(biāo)準(zhǔn)的同時(shí)，應(yīng)結(jié)合中國(guó)企業(yè)的特點(diǎn)和實(shí)際情況，要有中國(guó)企業(yè)自己的內(nèi)部控制和全面風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

關(guān)鍵詞：內(nèi)部控制風(fēng)險(xiǎn)管理ERM框架IC-IF框架

一、內(nèi)部控制的定義

那么什么是內(nèi)部控制?理論界存在各種觀點(diǎn)，1949年，美國(guó)會(huì)計(jì)師協(xié)會(huì)的審計(jì)程序委員會(huì)在《內(nèi)部控制：一種協(xié)調(diào)制度要素及其對(duì)管理當(dāng)局和獨(dú)立注冊(cè)會(huì)計(jì)師的重要性》的報(bào)告中，對(duì)內(nèi)部控制首次作了權(quán)威性定義：“內(nèi)部控制包括組織機(jī)構(gòu)的設(shè)計(jì)和企業(yè)內(nèi)部采取的所有相互協(xié)調(diào)的方法和措施。這些方法和措施都用于保護(hù)企業(yè)的財(cái)產(chǎn)，檢查會(huì)計(jì)信息的準(zhǔn)確性，提高經(jīng)營(yíng)效率，推動(dòng)企業(yè)堅(jiān)持執(zhí)行既定的管理政策?！?/p>

1992年，美國(guó)“反對(duì)虛假財(cái)務(wù)報(bào)告委員會(huì)”下屬的由美國(guó)會(huì)計(jì)學(xué)會(huì)、注冊(cè)會(huì)計(jì)師協(xié)會(huì)、國(guó)際內(nèi)部審計(jì)人員協(xié)會(huì)、財(cái)務(wù)經(jīng)理協(xié)會(huì)和管理會(huì)計(jì)學(xué)會(huì)等組織參與的發(fā)起組織委員會(huì)(COSO)發(fā)布報(bào)告《內(nèi)部控制——整體框架》(即“COSO報(bào)告”)。該報(bào)告將內(nèi)部控制定義為：是受企業(yè)董事會(huì)、管理當(dāng)局和其他職員的影響，目的在于取得經(jīng)營(yíng)效果和效率、財(cái)務(wù)報(bào)告的可靠性、遵循適當(dāng)?shù)姆ㄒ?guī)等目標(biāo)而提供合理保證的一種過(guò)程。

我國(guó)1997年開(kāi)始實(shí)施的《獨(dú)立審計(jì)具體準(zhǔn)則第九號(hào)——內(nèi)部控制與審計(jì)風(fēng)險(xiǎn)》的定義是：“內(nèi)部控制是被審計(jì)單位為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊，保證會(huì)計(jì)資料的真實(shí)、合法、完整而制定和實(shí)施的政策與程序?！?/p>

上述三個(gè)定義具有幾個(gè)共同特點(diǎn)：一是都將內(nèi)部控制解釋為一種政策或程序(過(guò)程)；二是都在定義中說(shuō)明了內(nèi)部控制的目標(biāo)；三是都是從審計(jì)的角度做出的定義。

二、內(nèi)部控制理論發(fā)展過(guò)程

內(nèi)部控制理論的發(fā)展是一個(gè)逐步演變的過(guò)程，大致可以區(qū)分為內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架、風(fēng)險(xiǎn)管理框架五個(gè)階段。

第一，內(nèi)部牽制階段。

相互核對(duì)是此階段內(nèi)部控制的主要內(nèi)容，設(shè)定崗位分離是內(nèi)控的主要方式，這在漫長(zhǎng)的幾千年內(nèi)被認(rèn)為是一種最實(shí)用的控制方法。

第二，內(nèi)部控制制度階段。

內(nèi)部控制制度有兩類(lèi)：內(nèi)部會(huì)計(jì)控制制度和內(nèi)部管理控制制度，內(nèi)部管理控制制度包括，不僅限于組織結(jié)構(gòu)的計(jì)劃，以及關(guān)于管理部門(mén)對(duì)事項(xiàng)核準(zhǔn)的決策步驟上的程序與記錄。會(huì)計(jì)控制制度包括組織機(jī)構(gòu)的設(shè)計(jì)以及與財(cái)產(chǎn)保護(hù)和財(cái)務(wù)會(huì)計(jì)記錄可靠性有直接關(guān)系的各種措施。

第三，內(nèi)部控制結(jié)構(gòu)階段。

內(nèi)部控制被認(rèn)為是為合理保證企業(yè)特定目標(biāo)的實(shí)現(xiàn)而建立的各種政策和程序，內(nèi)部控制由三個(gè)要素組成：內(nèi)控環(huán)境、會(huì)計(jì)制度和控制程序。

第四，內(nèi)部控制整體框架階段。

1992年9月，COSO委員會(huì)提出了報(bào)告《內(nèi)部控制——整體框架》(1994年進(jìn)行了增補(bǔ))，該框架指出“內(nèi)部控制是受企業(yè)董事會(huì)、管理層和其他人員影響，為經(jīng)營(yíng)的效率效果、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法規(guī)的遵循性等目標(biāo)的實(shí)現(xiàn)而提供合理保證的過(guò)程。”

第五，風(fēng)險(xiǎn)管理框架階段。

2004年9月《企業(yè)風(fēng)險(xiǎn)管理——整合框架》正式文本發(fā)布。企業(yè)風(fēng)險(xiǎn)管理整合框架認(rèn)為“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它由一個(gè)主體的董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)。管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證?！痹摽蚣芡卣沽藘?nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風(fēng)險(xiǎn)管理這一更加寬泛的領(lǐng)域。

三、關(guān)于內(nèi)部控制和風(fēng)險(xiǎn)管理的研究報(bào)告

COSO發(fā)布的研究報(bào)告《內(nèi)部控制整體框架》和《企業(yè)風(fēng)險(xiǎn)管理整體框架》是美國(guó)上市的公司需要重點(diǎn)研究的對(duì)象。

1992年《內(nèi)部控制一整體框架》(Internal Control-Integrated Framework以下簡(jiǎn)稱(chēng)為“IC-IF”框架)報(bào)告對(duì)內(nèi)部控制的定義是：“內(nèi)部控制是一個(gè)受到董事會(huì)、經(jīng)理層和其他人員影響的過(guò)程，該過(guò)程的設(shè)計(jì)是為了提供實(shí)現(xiàn)以下三類(lèi)目標(biāo)的合理保證：經(jīng)營(yíng)的效果和效率、財(cái)務(wù)報(bào)告的可靠性、法律法規(guī)的遵循性?！?它認(rèn)為，內(nèi)部控制系統(tǒng)是由以下五要素組成：

內(nèi)控環(huán)境——內(nèi)控環(huán)境是企業(yè)的基調(diào)、氛圍，直接影響企業(yè)員工的控制意識(shí)。

風(fēng)險(xiǎn)評(píng)估——風(fēng)險(xiǎn)評(píng)估是識(shí)別、分析相關(guān)風(fēng)險(xiǎn)以實(shí)現(xiàn)既定目標(biāo)，是風(fēng)險(xiǎn)管理的基礎(chǔ)。每個(gè)企業(yè)都面臨著諸多來(lái)自內(nèi)部和外部的風(fēng)險(xiǎn)，影響企業(yè)既定目標(biāo)的實(shí)現(xiàn)。因此必須設(shè)立一個(gè)機(jī)制來(lái)識(shí)別、分析和管理影響目標(biāo)實(shí)現(xiàn)的相關(guān)風(fēng)險(xiǎn)，并適時(shí)加以管理。

內(nèi)控活動(dòng)——內(nèi)控活動(dòng)指那些有助于管理層決策順利實(shí)施的政策和程序，是針對(duì)風(fēng)險(xiǎn)采取的控制措施。

信息與溝通——是指企業(yè)經(jīng)營(yíng)管理所需信息必須被識(shí)別、獲得并以一定形式及時(shí)傳遞，以便員工履行職責(zé)。信息不僅包括內(nèi)部產(chǎn)生的信息，還包括與企業(yè)經(jīng)營(yíng)決策和對(duì)外報(bào)告相關(guān)的外部信息。暢通的溝通渠道和機(jī)制使企業(yè)的員工能及時(shí)取得他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過(guò)程中所需的信息，并交換這些信息。

監(jiān)督——是對(duì)內(nèi)部控制系統(tǒng)有效性進(jìn)行評(píng)估的過(guò)程，可以通過(guò)持續(xù)性監(jiān)督、獨(dú)立評(píng)估或兩者的結(jié)合來(lái)實(shí)現(xiàn)對(duì)內(nèi)控系統(tǒng)的監(jiān)督。

2002年薩班斯一奧克斯利法案頻布后，COSO于2004年發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理整體框架》(以下簡(jiǎn)稱(chēng)EBM框架)。ERM框架是IC-IF框架的更新補(bǔ)充。ERM框架對(duì)內(nèi)部控制的定義明確了以下內(nèi)容：(1)是一個(gè)過(guò)程；(2)被人影響；(3)應(yīng)用于戰(zhàn)略制定；(4)貫穿整個(gè)企業(yè)的所有層級(jí)和單位；(5)旨在識(shí)別影響組織的事件并在組織的風(fēng)險(xiǎn)偏好范圍內(nèi)管理風(fēng)險(xiǎn)；㈣合理保證；(7)為了實(shí)現(xiàn)各類(lèi)目標(biāo)。對(duì)比原來(lái)的定義，ERM概念要細(xì)化的多。

在內(nèi)部控制整合框架五個(gè)要素的基礎(chǔ)上，COSO企業(yè)風(fēng)險(xiǎn)管理的構(gòu)成要素增加到八個(gè)：(1)內(nèi)部環(huán)境；(2)目標(biāo)設(shè)定：(3)事項(xiàng)識(shí)別；(4)風(fēng)險(xiǎn)評(píng)估；(5)風(fēng)險(xiǎn)應(yīng)對(duì)；(6)控制活動(dòng)；(7)信息與溝通；(8)監(jiān)控。八個(gè)要素相互關(guān)聯(lián)，貫穿于企業(yè)風(fēng)險(xiǎn)管理的過(guò)程中。

COSO企業(yè)風(fēng)險(xiǎn)管理的定義：“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，受企業(yè)董事會(huì)、管理層和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個(gè)公司的應(yīng)用，旨在為實(shí)現(xiàn)經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及法規(guī)的遵循提供合理保證。”COSO-ERM框架是一個(gè)指導(dǎo)性的理論框架。為公司的董事會(huì)提供了有關(guān)企業(yè)所面臨的重要風(fēng)險(xiǎn)，以及如何進(jìn)行風(fēng)險(xiǎn)管理方面的重要信息。

ERM框架重視的是企業(yè)風(fēng)險(xiǎn)管理，IC-IF框架中內(nèi)部控制則是企業(yè)風(fēng)險(xiǎn)管理中不可分割的一部分。COSO在《企業(yè)風(fēng)險(xiǎn)管理框架》前言中指出，企業(yè)風(fēng)險(xiǎn)管理框架是建立在內(nèi)部控制整體框架基礎(chǔ)之上的，對(duì)企業(yè)風(fēng)險(xiǎn)管理內(nèi)容的關(guān)注更加廣泛與深入。ERM并非替代IC-IF，而是包容了IC-IF，在內(nèi)控的有關(guān)概念上，兩者保持了一致與連貫。企業(yè)風(fēng)險(xiǎn)管理框架不僅可以滿足企業(yè)加強(qiáng)內(nèi)部控制的需求，也能促進(jìn)企業(yè)建立更為全面的風(fēng)險(xiǎn)管理體系。

COSO框架是目前美國(guó)使用最廣泛的框架。SEC也建議企業(yè)采用COSO框架，中國(guó)企業(yè)要實(shí)施全面內(nèi)部控制與風(fēng)險(xiǎn)管理，必然借鑒世界發(fā)達(dá)國(guó)家的標(biāo)準(zhǔn)，但不能照抄照搬，要適合中國(guó)企業(yè)的特點(diǎn)和實(shí)際情況，要有中國(guó)企業(yè)自己的內(nèi)部控制和全面風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

中國(guó)企業(yè)要實(shí)施全面內(nèi)部控制與風(fēng)險(xiǎn)管理，必然借鑒世界發(fā)達(dá)國(guó)家的標(biāo)準(zhǔn)，但不能照抄照搬，要適合中國(guó)企業(yè)的特點(diǎn)和實(shí)際情況，要有中國(guó)企業(yè)自己的內(nèi)部控制和全面風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。