内部控制与风险管理融合日本政策研究及启示.docVIP

内部控制与风险管理融合日本政策研究及启示 　　内部控制和风险管理是内部审计研究领域的两个重点，目前理论界的研究成果主要集中在二者的关系上，就如何将二者有机融合进而指导企业管理实践、实现增值的研究相对较少。本文在介绍日本企业构建“内部控制与风险管理一体化模式”成功经验的基础上探索我国企业内部控制与风险管理的融合之道。 　　一、内部控制与风险管理关系辨析 　　内部控制思想和管理实践早在18世纪西方国家就已经出现，当时只是以账目核对和岗位分离为手段来保证账目正确，防范舞弊行为的发生。1945年，美国注册会计师协会的审计程序委员会在《内部控制：一种协调制度要素及其对管理当局和注册会计师的重要性》的报告中，首次将内部控制定义为：“为了保护财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”1994年，COSO在《内部控制——整体框架》对内部控制定义的描述如下：内部控制是由董事会、管理层和员工共同设计并实施的，旨在为财务报告的可靠性、经营效率和效果、相关法律法规的遵循性等提供合理保证的过程。报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控5个要素。这一内部控制的定义得到广泛的认同并沿用至今。内部控制本质上是组织的内部风险控制机制，它是有助于降低企业风险的一种控制机制，内部控制的最终目标是提高企业的经营管理水平和风险防范能力（丁友刚、胡兴国，2007）。 　　风险管理起源于20世纪30年代的美国，并从美国向世界范围内传播。20世纪中期，一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始，由于环境的不断变化，控制手段和措施的不断丰富，风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高，人们对风险管理也有了更深的理解和判断（董大胜，韩晓梅，2010）。2004年，在COSO出台的《企业风险管理——整合框架》中，对企业风险管理定义如下：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。风险管理包括八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。总的来讲，整合框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现，要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去，也要面向未来；企业的风险管理不仅贯穿于战术层面也贯穿于战略层面（谢志华，2007）。 　　关于内部控制与风险管理的关系，目前代表性的观点有三种：一是认为风险管理包含内部控制，COSO《企业风险管理——整合框架》（2004）中明确指出，风险管理包含内部控制，企业风险管理比内部控制范围广得多；二是认为内部控制包含风险管理，加拿大COCO报告（1995）认为，风险评估与风险管理是内部控制的关键要素；三是认为内部控制就是风险管理，风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，3E在变为同一事物（谢志华，2007）。总而言之，内部控制理论和风险管理研究的发展是紧密联系、息息相关的。董月超（2009）认为，两者的相同之处在于：对参与的主体要求相同，都对企业实现目标提供合理的保证，都强调要主动应对风险；两者的不同之处在于：目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴，而风险管理属于企业治理范畴，风险管理是对内部控制的继承与发展。丁友刚、胡兴国（2007）指出，内部控制本质上是组织的内部风险控制机制，它是有助于降低企业风险的一种控制机制，内部控制的最终目标是提高企业的经营管理水平和风险防范能力。 　　正因为有这样不同的认识，在企业管理的实践层面，许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后，又于近几年全面推进风险管理，从组织结构改良开始，设立了独立的风险管理机构，建立风险管理体系，让那些刚刚开始尝试执行的内部控制制度戛然而止。笔者认为，内部控制与风险管理的直接载体都是企业的经营活动，内部控制与风险管理都以企业法人为边界，从这一点来说，不能将二者截然割裂开来。内部控制重心在企业的高管层之下（经营活动），风险管理的重心在高管层之上（战略设计、决策），内部控制主要关注不相容职务是否分离，风险管理主要关注经营目标实现过程中的不确定性。两者间的关系辨析固然重要，它有助于理清思路，找准内部控制与风险管理工作的侧重点。但是，更为关键的是：如何构建一个架构将两者有机融合、指导企业管理实践。“他山之石，可以攻玉”，日本自2003年成立“