企业风险管理与内部控制关系探微,本文主要内容关键词为:内部控制论文,风险管理论文,关系论文,探微论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
企业风险管理与内部控制两词在诸多的专业文献中均有提及,并时有通使或混用,两者间的关系在实务界及理论界也一直是争论的热点话题,撰文论述者不少,但对其间异同仍未达成公识,可谓仁者见仁,智者见智。我们认为,深入探究企业风险管理与内部控制,真正理解它们的本质、实质及主要区别,有利于正确把握两者间的关系,对于进一步完善企业管理理论,推动经营管理实践都具有极其重要的意义。
一、企业风险管理与内部控制在内涵与边界上的区别
企业风险管理与内部控制之所以容易引起混淆,与其在各自的理论发展沿革中相互借鉴和融合不无关系,但主要原因还在于人们对两者内涵与边界认识不清晰,审计界和管理界对企业风险管理与内部控制各自有各自的理解。因此,要弄清楚企业风险管理与内部控制的关系,就必须追根溯源,探究其来龙去脉。内部控制从概念形成到框架确立始终围绕着会计与审计这个核心,并作为会计与审计工作的客观基础或条件而存在与发展的,因而有着明显的会计与审计的印迹,因此,人们也往往只有在会计与审计的历史文献中才能较多地找到内部控制理论与实务。内部控制引起注意并且有正式名字被明确记载,当始于会计与审计领域,进而人们普遍认为,内部控制概念最早产生于早期的审计标准制订者。1936年,美国注册会计师协会在其发布的《注册会计师对财务报表的审计》文告中,第一次明确地提出应考虑审查“内部控制”的要求。内部控制理论与实务经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等多个阶段的发展历程,更多的是服从于会计与审计工作的实践需要,在审计模式上先后经历了从账项基础审计、内部控制制度基础审计(严格意义上是内部控制评价基础审计),到以综合审查及内部控制与经营风险评价为基础的风险导向审计的历史变迁。尽管如此,美国注册会计师协会审计程序委员会在其发布的《审计程序文告第29号》中仍将内部控制明确表述为“包括会计控制和管理控制”,直至1997年美国注册会计师协会发布《审计准则公告第78号》才正视内部控制系统,实际而全面接受了COSO报告的内容,并认同内部控制要素包括风险评估要素。但实际上在其主流意识与看法中,仍然认为内部控制的主要目的是核对、检查、纠错和防弊,检查范围始终也没有离开会计控制(范畴),其根本目标还是鉴证财务报告的真实与公允,最终的结果自然是减轻审计人员的法律责任。即使考虑风险也仅仅是经营风险(如操作风险等),而不愿意涉及财务风险(如信用风险等)。
值得指出,自20世纪70年代起,风险导向审计似乎成为主流的审计模式,但最初审计人员所理解的风险导向审计,其目的主要是为了更大限度地控制审计风险,而不是为了揭示财务报表所反映的公司面临的风险。一般说来,通过对财务报表固有风险和控制风险的定量评估,确定检查风险,最终确定实质性测试的性质、时间和范围,这与风险管理相比无论在出发点还是在技术与要求上都是不同的。其对风险的评估更多是对经营管理活动中突出的风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的控制。然而,社会各界认定了审计人员在内部控制中应该承担更大的责任,因为人们愈益认为“控制”是指掌握住活动不使之任意超出范围,并认为内部控制属于管理范畴,具备管理的一切属性,它不应该仅仅成为审计人员从事审计工作的条件与基础。
二、企业风险管理与内部控制在框架与内容上的区别
企业风险管理与内部控制在框架与内容上的区别主要体现在COSO2004年发布的《企业风险管理整体框架》和1992年的《内部控制整体框架》两份报告的区别上。《企业风险管理整体框架》较《内部控制整体框架》增加了一类主要目标,提出了一个全新理念,引入了两个创新概念,扩展了三个基本要素。
(一)增加一个主要目标
《内部控制整体框架》中明确指出内部控制的主要目标有三类,即经营目标、财务报告目标、合规目标。《企业风险管理整体框架》中则提出风险管理要为主体的四类目标服务,包括战略目标、经营目标、报告目标及合规目标。不难发现,两者间明显的区别是风险管理比内部控制多了一个战略目标。《企业风险管理整体框架》中对战略目标的表述认定,战略目标属高层次目标,它与企业的使命相关联并支撑着企业的使命。这就意味着企业风险管理应用于战略制订之中,在考虑实现战略目标的备选方案时,企业管理层要识别与一系列战略选择相关联的风险,并考虑它们的影响。内部控制却很少涉及影响主体的战略目标设定问题,反之,主体在制定战略目标时也很少虑及内部控制的需要,但主体在制定其战略目标的过程中一定会考虑风险管理的要求,企业风险管理的覆盖范围上至治理层、管理层的战略目标,下及业务前台的各项日常决策。由此看来,企业风险管理比内部控制的层次更高,范围更广。
其他三个类似目标的区别主要体现在报告目标方面,该目标在《内部控制整体框架》中表述为财务报告目标,而在《企业风险管理整体框架》中表述为报告目标。它们的差别在于内部控制仅仅为公开财务报表的可靠性提供合理的保证,而企业风险管理不仅仅涉及公开财务报表,而且涉及主体所编制的所有报告,包括管理层内部使用的报告和那些对外发布的报告,诸如给其他利益相关者的报告以及监管申报材料等,其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。
我们研究发现,内部控制目标主要是为财务报表的可靠性提供合理保证,而财务报表主要是提供企业过去的经济财务信息,因此,内部控制往往侧重于控制过去;而风险本身是某种不确定性及未来某种可能性,风险管理目标主要是尽力管控住各种风险,因而风险管理大多侧重于管理未来。
(二)提出并引入一个全新理念与两个创新概念
1.风险组合管理。内部控制对风险的考虑大都是单个种类、单笔业务、单个部门及单个机构的,而企业风险管理基于风险源自一个主体的不同业务、不同部门、不同层次,它们有的叠加放大,有的抵消减少的认知,因而主张并提倡不能仅仅从某类风险、某项业务、某个部门或机构的角度考虑风险,应当将不同层次及不同来源的风险汇集为整体风险,树立风险组合管理观,对组织的所有风险提供一个整体上的解决框架。
2.风险偏好与风险容忍度。企业风险管理框架引入了风险偏好、风险容忍度等创新概念。风险偏好(风险容量)是一个主体在谋求价值及其增值过程中所愿意承担的广泛意义上的风险数量。它反映了企业的风险管理理念,进而影响主体的文化和经营风格,并形成内部环境的组成部分。风险容忍度与主体的目标相关,是相对于实现一项具体目标而言的可以接受的偏离程度。风险偏好、风险容忍度的确定是目标设定的前提。实际上,在风险考量的基础上,兼顾企业风险偏好及发展战略,可以使企业的治理层和管理层更好地实现企业风险管理的各项目标。
(三)扩展三个基本要素
企业风险管理拓展了内部控制的风险评估要素,将风险评估要素拓展为目标设定、事项识别、风险评估及风险应对等四个要素。企业风险管理与内部控制在基本要素上的区别在于,风险管理本身是一项管理活动,它具备管理的所有要素,也包括管理的所有环节,自然也包括管理目标的设定,而内部控制并不是风险管理目标的制定活动,它是对目标制定的评价工作,特别是对目标和战略计划制定中有关风险的评估活动。无疑,风险管理目标的设定为内部控制中的风险评估提供了前提条件。在事项识别要素上,两者的区别主要体现为内部控制针对事项没有划分机会与风险,而风险管理将对战略执行或目标实现有着正面影响的称为机会,有着负面影响的才确定为风险。在风险评估要素上,两者的区别主要在于风险管理透过一个更加敏锐的视角来观察风险评估,鼓励从固有风险和剩余风险的角度,采用与为该风险相关的目标而构建的计量单位相同的单位来表述风险。在风险应对要素上,两者的主要区别则是企业风险管理可以使管理层考虑潜在的风险应对策略,并测定剩余风险水平是否与主体的风险容忍度相协调。
三、企业风险管理与内部控制在技术与方法上的区别
(一)风险偏好、风险容忍度、压力测试与情景模拟导致两者在风险评估定量方法上的区别
在风险评估要素方面,《企业风险管理整合框架》、《企业风险管理应用技术》针对风险大小的定量、度量提出了多种技术方法,包括VaR、风险现金流量、风险收益、损失分布、事后检验等概率技术和敏感性分析、情景分析、压力测试、设定基准等非概率技术。在概率技术中,VaR方法是目前能够为全球各主要银行、公司及金融监管机构普遍认可与广泛接受的最重要的金融风险评估方法之一。根据市场因子波动性特征的不同,VaR法具体包括历史模拟法、蒙特卡罗模拟法、Risk Metric方法、GARCH模型、隐含波动性模型和随机波动性模型等。当然,VaR法需要确定三个系数,即持有期限、观察期间及置信水平。正是因为风险偏好与容忍度的确定决定了置信水平的大小,最终使非预期损失与VaR值能够较好地统一起来。除了VaR法,风险评估中的风险现金流量、风险收益、损失分布等概率技术也同样需要置信水平、风险偏好及风险容忍度等基础前提。
压力测试是企业风险管理框架新增加的概念,它是主体用于测量其对异常但可能发生事件的潜在脆弱性的一种技术。作为一种重要的非概率技术,它是对以正常市场条件为前提,不能反映极端情况的VaR法较为有力的补充。
情景模拟是企业风险管理框架新增加的又一个概念,它是主体用于设定一个极端的场景(比如金融危机、政府破产等),并可用于测试该主体是否可以承受这种场景带来的损失,其与压力测试的区别在于压力测试属一维的,即针对市场中的一个或一组变量异常变化作出的假设,而情景模拟是多维的,即假设一个整体环境发生变化并在这个环境下会引起一些变量发生变化的情景。情景模拟是对VaR法和压力测试的补充,其与VaR法和压力测试结合起来,可以使得风险管理更趋于完善。
企业风险管理框架引入风险偏好、风险容忍度、压力测试、情景模拟等概念后,为风险评估提供了前提条件和技术保障,有利于企业的发展战略与风险偏好保持一致,有利于准确合理地测算经济资本并平衡风险与收益,从而帮助治理层与管理层实现企业风险管理的各个主要目标,而这些内容都是内部控制框架中没有提及的,也是内部控制难以做到或达成的。
(二)风险组合管理思想导致两者在组合管理技术的区别
诚然,风险组合管理观只是一种风险管理理念或管理创新思想,并非具体的风险管理技术和方法。但是,正是这种理念或思想产生了相应管理技术支持的需求,从而需要采用资产或投资组合的管理手段及方法。马柯威茨的现代资产组合理论为风险组合管理奠定了坚实的理论基础,以此为基础发展起来的风险组合管理技术主要体现在组合风险度量和应对方面。风险分散化原则就是风险组合管理技术在风险应对上的具体体现,目的是通过多样化的投资来分散和降低风险水平,在金融机构,它不仅适用于市场风险管理,还适用于信用风险管理。在风险度量上,组合风险与交易风险的基本方法是一致的,因此,组合技术的关注点是资产或投资组合风险因素收益的概率分布。拟合组合风险因素收益分布的方法主要有两类,即模拟方法(全值模型)和分析方法(局部估值模型),主要依据金融工具的价值和市场因子之间的关系,即根据市场灵敏度确定组合价值的变化。模拟方法是在模拟市场因子未来变化的基础上,给出市场因子的不同情景,并在不同情景下分别对资产组合中的金融工具重新定价,然后计算资产组合的价值变化。目前,基于两类模型的选择和组合的典型方法主要有三种,包括方差一协方差法、历史模拟法及蒙特卡罗模拟法。由此看来,风险组合管理理念推动了内部控制整体框架向企业风险管理框架的发展,企业风险管理的要求催生了风险组合管理技术,风险组合管理技术显现了内部控制与企业风险管理在风险度量与应对上的技术区别。
(三)金融衍生工具市场迅猛发展导致两者在风险应对技术的区别
企业风险管理起源于20世纪50年代早期及中期的美国企业保险购买,60年代后期起,有关风险管理的概念、原理及实践不断传播到欧洲、亚洲和拉丁美洲等一些国家和地区,70年代以来,金融风险管理领域一个突出的现象就是衍生金融工具被大量地运用于各种形式的金融风险管理。金融衍生工具根据基础资产的不同可分为股权衍生物、利率衍生物、货币衍生物、商品衍生物及信用衍生物等;根据合约和交易的性质又有更多的形态,如远期合约、期货、期权、互换,以及由此复合和变化形成的奇异衍生工具等。与风险分散技术一样,金融衍生工具既适用于市场风险管理也适用于信用风险管理。在风险应对上,企业风险管理框架提供了四种策略,包括风险回避、降低、分担及承受,它们又体现为风险预防、风险规避、风险分散、风险转嫁、风险抑制和风险补偿等多种具体的技术方法。内部控制与风险管理在风险应对上的区别主要体现在风险管理将风险转嫁技术加载在金融衍生工具中加以应用。现代风险管理得益于计算机技术和金融衍生工具市场迅猛发展的推动,由此也促成管理范畴的内部控制走向了风险管理。
COSO在界定企业风险管理时,明确表明内部控制是企业风险管理的一个组成部分,《企业风险管理整体框架》似乎也已经为企业风险管理与内部控制之间的关系提供了较好的解释。我们认为,《企业风险管理整体框架》之于《内部控制整体框架》,无疑是一种积极的改进、合理的完善及进步的超越,标志着内部控制理论与实务的拓展、延伸及转型。然而,企业风险管理与内部控制究竟何去何从,尚需实务界与理论界作进一步的实践探索和理论研究。
标签:风险管理论文; 内部控制论文; 风险评估论文; 企业内部控制与风险管理论文; 财会论文;