内部控制和风险管理:由独立走向融合
内部控制,是现代企业在不确定性环境下应对风险的重要管理手段和核心制度安排;风险管理,是现代企业立足内部控制应对外部环境发展变化的动态制度创新过程。自2008年爆发世界金融危机以来,弥补企业内部控制缺陷,加强企业风险管理,成为企业界、学术界和监管层关注的焦点和热点问题,内部控制和风险管理相互嵌套融合发展渐成趋势。
内部控制,是现代企业在不确定性环境下应对风险的重要管理手段和核心制度安排;风险管理,是现代企业立足内部控制应对外部环境发展变化的动态制度创新过程。两者由各自独立演进发展走向融合统一发展,体现了企业管理制度变迁的历史演进逻辑。
自2008年爆发世界金融危机以来,弥补企业内部控制缺陷,加强企业风险管理,成为企业界、学术界和监管层关注的焦点和热点问题,内部控制和风险管理相互嵌套融合发展渐成趋势。
内部控制和风险管理的独立演进
1992年之前,内部控制和风险管理基本按照独立的发展规律不断演化,两者之间虽然相互影响,但彼此基本保留了独立的演进路径。
目前学术界比较流行的看法是,内部控制至今为止共经历了四个发展阶段:20世纪40年代之前的内部牵制时期、20世纪40—70年代的内部控制制度时期、20世纪80—90年代初的内部控制结构时期、20世纪90年代以后的内部控制整体框架时期。在前三个阶段,内部控制作为企业经营管理的一种手段,主要侧重于强化管理的“控制”职能,在第四个阶段初期,内部控制开始初步与风险管理融合发展。
企业风险管理的产生,主要来源于市场变化带来的企业风险。国外学者对风险管理的研究,经历了从风险预警模型及技术方法到企业全面风险管理的演变历程。20世纪70年代以前,企业风险管理更多侧重于企业风险预警模型及技术方法的运用,企业风险预警模型经历了从单一变量模型到神经网络分析模型、从静态风险识别到动态风险预测、从单纯财务指标预警拓展到非财务指标综合预警的演进轨迹。20世纪70年代以后,全球性的企业风险管理运动兴起,90年代以后,整体层面的风险管理思想出现并逐渐得到推广。可以这么说,正是由于企业经营不确定性的增加,才导致了单一的风险预警模型及技术方法向复杂的企业全面风险管理演进,风险预警模型及技术方法一直伴随着风险管理理论的产生、发展和繁荣。
内部控制和风险管理的融合发展
1992年以后,随着企业面临的内外部经济环境变化和企业理论不断演进,内部控制和风险管理开始逐渐彼此融合发展、相互促进。1992年9月,美国反虚假财务报告委员会下属的发起组织委员会(COSO)发布了《内部控制:整体框架》报告,提出内部控制的三项目标和五大要素,风险评估被认为是一项重要的内部控制要素,标志着内部控制和风险管理开始初步融合。进入21世纪,随着全球经济一体化的加快,企业面临的内外部环境的不确定性增加。2004年,COSO发布了《企业风险管理框架》报告,从企业风险管理角度,提出八要素内部控制理论,由此进入了全面风险管理阶段。2013年5月,COSO发布《2013年内部控制—整体框架》报告,对1992年原整体框架进行升级,在基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面不变的基础上,依据资本市场和商业环境的形势变化,提出了内部控制管理的具体措施。
从外在表现形式来看,尽管全面风险管理框架包含了原有内部控制的内容,但现实中或代表目前应用水平的内部控制与风险管理,两者之间似乎独立发展多于嵌套融合。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如银行业的授信管理,或市场(价格)风险管理如汇率、利率风险等,侧重于风险识别、风险预警和风险应对。而典型的内部控制则是指会计控制、制度规范、审计监督等,一般局限于财务、审计、内控等相关部门,侧重于内部管理。它们的共同问题是应用层次低、涉及范围小,并没有渗透或应用于企业管理过程和整个经营系统,尚未实现两者的有机统一和完美融合。因此,风险管理与内部控制有时看上去还是相互独立的两件事。然而,从企业经营管理决策角度来看,两者的区别主要是企业内部主导性的相对次序不同。例如,从企业的战略风险到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性明显不同。在战略风险方面,风险管理发挥主导作用,内部控制起配合作用。在财务报告层次,内部控制发挥主导作用,风险管理起配合作用。内部控制和风险管理在企业管理中的“角色”转换,反映了企业内部管理重点随外部经济环境变化而动态调整的制度变迁过程。
企业管理制度变迁的演进逻辑
在从内部控制和风险管理由独立演进向嵌套融合的发展历程中,不难发现其历史演进逻辑:外部经济环境发展变化和内部经营管理响应模式,是驱动内部控制和风险管理相互促进、融合发展的关键变量。对于企业外部经济环境不确定性的关注和企业内部经营管理控制的侧重,使得两者的演进过程呈现出彼此囊括、共生互动的关系。这也是国内学术界一直以来关于内部控制和风险管理关系众说纷纭、见仁见智的深层原因。
内部控制,是现代企业在不确定性环境下应对风险的重要管理手段和核心制度安排;风险管理,是现代企业立足内部控制应对外部环境发展变化的动态制度创新过程。两者由各自独立演进发展走向融合统一发展,体现了企业管理制度变迁的历史演进逻辑。从内部控制和风险管理的发展趋势来看,短期内两者之间既独自发展又融合嵌套的趋势将会明显加强,互补共生的关系必将长期持续。
(作者单位:中国社会科学院工业经济研究所)