[內容摘要] 本文介紹美國COSO委員會關于內部控制及風險管理的兩個報告以及相關研究，分析比較內部控制與風險管理的聯系與區別，指出內部控制將擴展為更全面的風險管理。

　　一、內部控制——標準與立法

　　1985年美國為了遏制日益猖獗的會計舞弊活動，成立了一個反財務舞弊委員會（Treadway委員會），調查導致會計舞弊活動的原因，并提出了解決方案。該方案強調了內部控制的重要性，建議要求所有的上市公司都應該在其年報中提供內部控制報告。報告內容包括承認管理當局對財務報告和內部控制負有責任，并討論這些責任的履行情況。在Treadway委員會結束其使命之后，該委員會的五個發起組織聯合成立了一個新的委員會——COSO（The Committee of Sponsoring Organizations of the TreadwayCommittee），即Treadway委員會的發起組織委員會。它由美國公共注冊會計師協會（AICPA）、美國會計協會（AAA）、國際財務管理人員協會（FEI）、內部審計師協會（IIA）、國際會計協會（NAA）（是管理會計協會IMA的前身）聯合發起。COSO繼續研究并于1992年發布了一份關于內部控制的綱領性文件，即《內部控制-整體框架》（Internal Control-Integrated Framework）。COSO提出的報告得到了美國聯邦儲備局、美國證券交易委員會、巴塞爾委員會等監管機構或國際組織的認可與采納，其中的許多定義、建議及思想被吸收到立法與規則制定中，在全世界范圍內產生了廣泛的影響。2001年年底以來，美國爆發了以安然、世通、施樂等公司財務舞弊案為代表的會計丑聞，重創了美國資本市場及經濟，同時也集中暴露了美國公司在內部控制上存在的問題，由此導致美國通過了《薩班尼斯——奧克斯利法》（THE SARBANES-OXLEYACT）。該法案明確了公司管理者CEO及財務主管CFO對內部控制負直接責任，并將承擔經濟與刑事后果；大幅度提高了對會計舞弊的處罰力度；強化了內部審計、外部審計及審計監管。此次立法代表著資本市場制度的一次大的進步，也使人們對內部控制的重要性有了更深刻的認識。

　　值得強調的是，美國證券交易委員會（SEC）規定企業管理層評價其內部控制的標準必須符合以下條件：制定過程嚴謹適當，經過廣泛散發和公眾評議；非盈利而無偏見；能一致性地定性或定量分析內部控制；全面包括所有影響內部控制的因素；與企業財務報告中的內部控制相關等。最終，SEC認為COSO的《內部控制-整體框架》報告是符合上述規定的，同時指出未來符合上述要求的相關文件也都認可。還有相關國家的權威文件，如加拿大的COCO（1）或英國的Turnbull（2）的相關規定都是認可的（二者都是以美國COSO的報告為藍本）。

　　二、內部控制與風險管理的比較

　　內部控制與風險管理有著密切的聯系。COSO認為，內部控制是風險管理的一部分。因此，該委員會在《內部控制-整體框架》的基礎上，又于2003年出臺了最新報告——《企業風險管理框架》。目前這個報告還僅是個草稿，在公示、修訂之后，預計將于今年正式發布。《企業風險管理框架》繼承并包含了《內部控制-整體框架》的主體內容，同時擴展了三個要素，增加了一個目標，更新了一些觀念，旨在為各國的企業風險管理提供一個統一術語與概念體系的全面的應用指南。

　　COSO對內部控制與風險管理的定義及其組成要素分別是：

　　內部控制：企業內部控制是由企業董事會、經理層以及其他員工共同實施的，為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素：控制環境、風險評估、控制活動、信息與溝通、監督。

　　風險管理：企業風險管理是一個過程，是由企業的董事會、管理層以及其他人員共同實施的，應用于戰略制定及企業各個層次的活動，旨在識別可能影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理的保證。它有八個組成要素：內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。

　　從COSO的兩份報告來看，企業風險管理與內部控制有以下相似或不同之處：

　　第一，它們都是由“企業董事會、管理層以及其他人員共同實施的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。

　　第二，它們都明確是一個“過程”，不能當作某種靜態的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業日常管理過程中，作為一種常規運行的機制來建設。

　　第三，它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略（包括經營目標）制定過程。

　　第四，風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中，內涵也有所擴展，例如，內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外，還包括風險管理哲學、風險偏好（risk appetite）和風險文化三個新內容。在風險評估要素中，風險管理要求考慮內在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險，考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面，風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理，規定了信息的深度與及時性等。

　　第五，風險管理提出了風險組合與整體風險管理（integrated risk management）的新觀念。《企業風險管理框架》借用現代金融理論中的資產組合理論，提出了風險組合與整體管理的觀念，要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露，以統籌考慮風險對策，防止分部門分散考慮與應對風險，如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門，并考慮到風險事件之間的交互影響，防止兩種傾向：一是部門的風險處于風險偏好可承受能力之內，但總體效果可能超出企業的承受限度，因為個別風險的影響并不總是相加的，有可能是相乘的；二是個別部門的風險暴露超過其限度，但總體風險水平還沒超出企業的承受范圍，因為事件的影響有時有抵消的效果。此時，還有進一步承受風險，爭取更高回報與成長的空間。按照風險組合與整體管理的觀點，需要統一考慮風險事件之間以及風險對策之間的交互影響，統籌制定風險管理方案。

　　三、內部控制與風險管理的內在聯系

　　企業制度的發展演進與風險相關。有限責任制度的確立是企業組織從業主制或合伙制走向現代股份公司制的關鍵步驟，它使股東的家產與企業的財產及企業的經濟責任相互獨立，股東的變換不再影響企業的信用能力，為股權交易擴大了范圍并增加了流動性，從而降低了投資風險并促進了企業融資，造就了今天巨型的股份公司。

　　為了使股權交易與股東變換不影響企業經營的連續性，也為了使資本與經營能力實現更優的組合，企業的所有權與經營權在現代企業中高度分離開來，由此也帶來了新的風險，即職業經營者有可能不履行其受托責任而損害股東的利益。另外，有限責任也有可能誘使企業從事風險過高的項目而損害債權人利益。因為在有限責任下，潛在的收益主要由企業（股東）獲得，而失敗即破產的風險則主要由債權人承擔。上述風險不是市場化的，可以由市場競爭自發約束或市場交易提供避險，如產品質量或自然災害等，而是機制問題，屬于組織或交易中的代理問題，需要規則與制度進行規范。這些制度包括企業治理中的責任制度，如財務報告、內部控制及審計等。

　　內部控制或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。Fama＆Jensen(1983)分析了所有權與經營權分離下董事會的內部控制職能;Jensen(1993)進一步分析了美國公司董事會在內部控制方面失效的表現與原因。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。內部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。C0SO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。”COCO在解釋廣義的控制與風險時論述道(3):“‘領導’包括在面對不確定性時作出選擇。‘風險’是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物。”顯然,這些論述已經認識到企業的存在是為股東或利害相關者(針對非盈利性組織等)創造價值的,而價值創造不僅是被動的資產安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經營者會計舞弊等內部因素,還包括來自市場的風險等。

　　技術及市場條件的新進展，推動了內部控制走向風險管理。在先進的信息技術條件下，會計記錄實現了電子控制、實時更新，使傳統的查錯與防弊的會計控制顯得過時。然而，風險往往是由交易或組織創新造成的，這些創新來源于新興的市場實踐，如安然公司將能源交易大量發展成類似金融衍生品的交易。另一方面，環境保護及消費者權益保護的加強，都強化了企業的社會責任，若一有不慎，企業就可能遭受來自商品市場或資本市場的懲罰，表現為企業的品牌價值或資本市場上的市值貶損。因此，企業需要一種日常運行的功能與結構來防范風險，包括遵守法律與法規，確保投資者對財務信息的信任以及保證經營效率等。因此，從維護與促進價值創造這一根本功能來看，風險管理與企業內部控制的目標是一致的，只是在新的技術與市場條件下，為了更有效地保護投資者利益，需要在內部控制的基礎上發展更主動、更全面的風險管理。

　　四、從內部控制走向風險管理

　　有一種爭論，即風險管理包含內部控制，或內部控制包含風險管理。筆者認為得出什么樣的結論并不十分重要，最重要的是明確風險管理與內部控制之間有重合與聯系的地方。誰的范圍更大，可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同，例如，在內部控制發展的早期，市場上風險管理的工具與技術條件都不充分（如計算機系統、統計學理論、數量模型、對沖工具與保險等），這時內部控制包含（替代）風險管理功能是很自然的。即使在同一個時代，不同的行業各自的側重點也可能不相同，例如，在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業，風險管理的迫切性更強，企業以風險管理主導內部控制可能更方便。而在另一些企業，為了符合信息披露中內部控制報告的要求，企業以內部控制系統為主導、兼顧風險管理可能更適合。

　　正因為內部控制與風險管理有內在的聯系，各國分別以不同的方式逐步將內部控制與風險管理聯系起來。2004年1月8日，我國有關方面舉辦了“商業銀行風險管理與內部控制論壇”，這表明我國銀行業也開始將內部控制與風險管理聯系起來。

　　巴塞爾委員會發布的《銀行業組織內部控制系統框架》中指出：“董事會負責批準并定期檢查銀行整體戰略及重要制度，了解銀行的主要風險，為這些風險設定可接受的水平，確保管理層采取必要的步驟去識別、計量、監督以及控制這些風險……（4）”，這里顯然是把風險管理的內容納入到內部控制框架中。英國FSA（5）在《綜合準則》（The Combined Code）中關于內部控制的規定，是第一次在官方文件里明確將風險管理包含在內部控制之中。該準則指出，董事會應該保持健全的內部控制系統，以保護股東的投資及企業的資產（原則D.2）。董事會至少每年一次，檢查企業內部控制系統的有效性，并向股東報告。報告應該包括所有的控制，如財務的、經營的、遵從的控制以及風險管理（D.2.1）。這一規則是倫敦交易所上市企業必須要遵守的。

　　加拿大注冊會計師協會控制標準委員會（C0C0）認為（6）“控制應該包括風險的識別與減輕”，其中的風險不僅包括與實現特定目標相關的風險，而且還包括一般性的，如不能識別和利用機會，不能使企業在面臨未預料到事件以及不確定信息時保持靈活性或彈性。1992年COS0在《內部控制-整體框架》中將風險評估作為內部控制的五個組成要素之一，在最新出臺的《企業風險管理框架》中又進一步將內部控制擴展為風險管理，明確提出風險管理包含內部控制。

　　筆者認為，在實際的經營過程中，風險管理與內部控制是密不可分的。在規則制定或立法過程中，需要考慮的是范圍與管制的強度，范圍越大，管制的要求就會越弱。對于其核心問題，如財務報告的準確可靠，最適合以立法的形式來約束，而其他更寬泛的內容則可能更適合于規則及指南。在企業內部的不同層次，風險管理與內部控制的主導性相對次序也可能不同，例如，從企業的戰略風險依次到經營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面，風險管理應該發揮主導作用，內部控制起到配合作用。這一角色逐步逆轉，到財務報告層次，應該是內部控制發揮主導作用，風險管理起到配合作用。

　　盡管風險管理與內部控制有內在的聯系，但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較，例如，銀行業的授信管理或市場（價格）風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數職能部門，并沒有滲透或應用于企業管理過程和整個經營系統，因此，有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

　　[參考文獻]

　　[1]王光遠，劉秋明。公司治理下的內部控制與審計[J].中國注冊會計師，2003，（2）。

　　[2]周兆生。C0SO企業風險管理框架（中文版）[R].華融資產管理公司，2004.

　　[3]朱榮恩，賀欣。內部控制框架的新發展-企業風險管理框架[J].審計研究，2003，（6）。

　　[4] Committee of Sponsoring Organizations of the Treadway Commission （ COSO ）。 Internal Control - Integrated Framework [ R ]. 1992.

　　[5] Committee of Sponsoring Organizations of the Treadway Commis-sion （ COSO ） . Enterprise Risk Management Framework （ draft） [R].2003.

　　[6] Criteria of Control （ COCO ） Board of The Canadian Institute of Chartered Accountants. Guidance for Directors -Dealing with Risk in the Boardroom[ R]. COCO， Toronto， 1999.

　　[7]Fama， E. F. and M. C. Jensen. Separation of Ownership and Control[J]. Journal of Law and Economics， Vol. 26， June 1983 pp. 301 -25.

　　[8] Jensen， M. . The Modern Industrial Revolution， Exit， and the Failure of Internal Control Systems[ J]. Journal of Finance， July ， 1993， PP. 831 -880.

　　[9] The Financial Services Authority （ FSA） （UK）。 1998： The Com-bined Code - Principles of Governance and Code of Best Practice （The Combined Code） [EB/OL]. . pdf.

　　[10] The Institute of Chartered Accountants in England ＆ Wales （ICAEW）。 Internal Control - Guidance for Directors on the Combined Code [R]. ICAEW， London，1999.

　　[11] The Turnbull Report. Guidance for Directors on the Combined Code [ R ]. ICAEW， London， 1999.

　　[12] Basle Committee on Banking Supervision. Framework for Internal Control System in Banking Organizations [R]. 1998.

　　Internal Control and Risk Management

　　ZHOU Zhao-sheng

　　（China Huarong Assets Management Corporation， Beijing 100045，China）

　　Abstract： Based on the introduction to COSO's reports Internal Control - Integrated Framework and Enterprise Risk Management Framework， this paper compares the similarity and distinction of internal control with risk management. The author believes internal control will evolve to risk management.

　　Key Words： COSO； risk management； internal control

　　（1）是指加拿大特許會計師協會（The Canadian Institute of Chartered Accountants，CICA）成立的控制標準委員會（Criteria of ControlBoard，COCO），該委員會于1995年出版了《控制指南》（Guidance on Control）。

　　（2）Turnbull Report，1999，是指英格蘭和威爾士特許會計師協會（ICAEW）受倫敦證券交易所之托提交的《內部控制：綜合準則董事指南》（Internal Control-Guidance for Directors on the Combined Code）。

　　（3）參見Criteria of Control（COCO）Board of The Canadian Institute of Chartered Accountants（1999），“Guidance for Directors-Dealing withRisk in the Boardroom”，COCO，Toronto，第1頁。

　　（4）Basle Committee（1998），第2頁。

　　（5）根據The Financial Services Authority（FSA）（UK），1998：The Combined Code-Principles of Good Governance and Code of Best Practice（The Combined Code）。

　　（6）參見Criteria of Control（COCO）Board of The Canadian Institute of Chartered Accountants（1999），“Guidance for Directors-Dealing withRisk in the Boardroom”，COCO，Toronto，第9頁。