整合內部控制與風險管理助推企業可持續性發展

楊有紅（博士生導師）

自2008 年五部委頒布《企業內部控制基本規范》及配套指引以來，我國各類企業相繼進入內部控制構建的高峰期，并且逐步實施內部控制評價和審計。2009年國務院國有資產監督管理委員會頒布的《中央企業全面風險管理指引》不僅推動了中央企業進入全面風險管理的新時期，而且對其他組織形式企業的風險管理起到了示范和引領作用。實施內部控制和風險管理有助于我國企業合理保證經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和改善經營效果，實現發展戰略。

但是，對于企業內部控制和風險管理的關系，理論界和實務界存在著認識誤區。內部控制和風險管理是什么關系？兩者是相互獨立的系統還是存在替代關系？認識上的模糊妨礙了企業內部控制和風險管理的有機結合，增加了管理成本并抑制了管控效率和效果。因此，厘清內部控制和風險管理的關系、實現兩者的深度融合，是改善管控效果、助推企業可持續性發展的重要手段。

本文試圖通過對企業內部控制與風險管理發展歷程回顧、內部控制與風險管理的比較研究，厘清兩者間的關系，并在此基礎上探討兩者的整合運用，為企業經營的合規性和效益性提供合理保證，助推企業可持續性發展。

一、企業內部控制與風險管理發展歷程回顧

集不相容職務分離、分級授權、監督為一體的內部控制思想產生于18 世紀產業革命導致的企業規?；唾Y本大眾化[1]。最早提及內部控制的職業文獻是1929 年美國會計師協會和聯邦儲備委員會修訂發布的《會計報表的驗證》（Verification of Financial Statements）。最早定義內部控制的是1936 年在上述基礎上修訂發布的《獨立公共會計師對會計報表的審查》（Examination of Financial Statements by Independent Public Accountants）。1985 年，由美國管理會計師協會、美國注冊會計師協會、美國會計協會、財務經理人協會、內部審計師協會聯合成立的反虛假財務報告委員會下屬的發起人委員會（COSO）于1992 年發布《內部控制——整合框架》［簡稱“內部控制框架（1992）”］，并于1994 年進行增補、2013 年進行修訂。上述五個非政府性與會計相關的職業團體各有其承擔的使命，涉及通過內部控制提升財務報告質量、通過決策及戰略實施中的風險管理提升企業績效、通過內外部審計提升治理能力并有效地威懾欺詐，因此整合形成的COSO將使命定位于通過開發旨在強化內部控制、風險管理、治理和欺詐威懾的思想領導力來幫助組織提高績效。在這一使命的驅使下，COSO 在頒布內部控制框架的基礎上，研究開發企業風險管理框架就順理成章。

COSO 在1994 年完成內部控制框架（1992）的增補后，即著手進行風險管理框架的研究，其將“目標—要素—單元層次”這一思維范式和研究方法論直接運用于風險管理框架的研究，并于2004 年發布《企業風險管理——整合框架》［簡稱“風險管理框架（2004）”］。2013 年修訂的《內部控制——整合框架》［簡稱“內部控制框架（2013）”］沒有改變內部控制的目標、要素和單元層次，但為提高內部控制框架對企業類型和規模的適應性，針對五大要素提出了相應的17 條原則，并強化了公司治理文化對內部控制系統的基礎性作用。2017 年修訂發布的《企業風險管理框架——與戰略和績效的整合》［簡稱“風險管理框架（2017）”］在明確戰略和績效導向、梳理企業價值創造邏輯的基礎上，強調了愿景、使命、核心價值觀對戰略設定和風險管理的基礎性作用，并著重基于企業戰略制定與實施、價值創造與保護提出了風險管理五要素和相應的20 條原則，該框架充分體現了原則性要求和文化的重要性。

無論是內部控制框架還是風險管理框架，其內容均由目標導向下的控制要素構成。所不同的是，風險管理框架中的目標是內部控制框架目標的拓展，風險管理要素是內部控制要素的延伸。COSO之所以通過內部控制手段來管控風險，是因為兩權分離下需要通過分工協作才能有效運行企業。試想一下，“夫妻店”是不需要通過內部控制系統來防范風險的，而是直接分析外部環境可能導致的風險并直接采取相應控制手段。內部控制系統主要是解決這一問題：企業在兩權分離、分級授權、部門分工合作的狀況下，如何保障公司治理與管理的合法合規和管理的效率與效果，并齊心協力地應對外部風險，以保障企業合法、有效運行。企業風險管理框架則是基于企業能夠接受的風險，制定并實施企業戰略，實現價值增值和可持續發展。

二、內部控制框架與風險管理框架的比較及啟示

1. 風險管理框架包括了內部控制框架的內容。

內部控制框架首次頒布于1992 年，早于2004 年頒布的風險管理框架。風險管理框架（2004）明確指出：“內部控制是企業風險管理不可分割的一部分。這份企業風險管理框架涵蓋了內部控制，從而構建了一個更強有力的概念和管理工具?！睂Ρ葍蓚€框架不難發現，風險管理框架在原來三大目標的基礎上加入了戰略目標，八要素的內容雖未超出內部控制五要素的外延，但對原來的五要素進行了細化和深化。風險管理框架將原內部控制框架中風險評估要素的四個構成部分上升為四個要素并嵌入控制環境、控制活動、信息與溝通、監督之中。風險管理框架的內容比內部控制框架更豐富，其由風險管理框架（2004）和與之配套的《企業風險管理——應用技術》構成，而《企業風險管理——應用技術》對企業按八要素構建風險管理框架提出了具有可操作性的應用指南。

內部控制框架和風險管理框架分別于2013 年和2017 年由COSO 進行了更新，這說明COSO 并沒有用風險管理框架代替內部控制框架之意。也就是說，盡管風險管理框架涵蓋了內部控制框架的內容，但這兩者是不可相互替代的。內部控制是企業風險管理的重要組成部分，而企業風險管理是公司治理的一部分，企業受托人通過風險與收益的平衡制定并實現戰略與績效目標是向委托人解脫受托責任的重要手段。內部控制框架（2013）對內部控制、企業風險管理、公司治理三者的關系進行了明確的闡述，如圖1 所示?？梢?，不能用公司治理代替企業風險管理，也不能用企業風險管理取代內部控制。

圖1 內部控制、企業風險管理、公司治理的關系

2. 內部控制是外部監管部門對企業的強制性要求。監管機構通過發布內部控制規范和指引或借用專業機構內部控制框架等方式提出了對公司建立和維護內部控制的要求，并要求董事會或類似機構按相關規定對內部控制的有效性進行年度評價、聘請外部審計機構對內部控制評價報告進行審計。英美國家雖然要求公司建立和運行內部控制、評價并聘請外部機構審計內部控制，但政府相關部門并未頒布可供企業直接參照執行的內部控制法規，而是由非政府性職業組織發布內部控制框架并由政府認可。這類似于由政府相關機構監管會計信息質量，但由民間機構承擔發布會計準則之責。COSO對其在內部控制和風險管理領域的職責定位有著明顯區別：成為全球內部控制規則的權威機構并為政府監管提供內部控制法規支持，同時成為全球風險管理思想的引導者。這一定位傳出的信號是：無論是內部控制還是風險管理領域，COSO均致力于成為全球具有顯著影響力的機構。因各國監管當局均對企業構建、維護與評價、審計內部控制有著強制性要求，COSO將努力滿足監管機構的要求；但風險管理并非各國監管當局的強制性要求，而是企業基于戰略導向下風險收益平衡的自我要求，COSO將為它們提供思想引領。事實也是如此，迄今為止，沒有哪個國家的監管機構頒布或借用專業機構發布的風險管理框架來規范企業的風險管理行為，也不要求企業對風險管理狀況進行評價和審計。

也許有人認為，在內部控制框架的三大目標中，報告目標和合規目標無疑是外部監管的強制性要求，但運營目標（運營的效果和效率目標，具體包括經營和財務業績目標）屬于公司戰略規劃的內容，不屬于外部監管部門對企業的強制性要求。事實上，內部控制作為執行系統，需要解決的是如何通過控制手段保障運營目標實現，其并不包括目標的制定，戰略決策和運營目標的制定屬于風險管理框架中的內容。在兩權分離的情況下，公司向外部投資者和利益相關者公布運營目標是公司義不容辭的責任。按我國現行法規的規定，上市公司需要向投資者報告企業戰略，通過發布盈利預測、與投資者溝通、發布業績等方式向外界報告運營目標及其實現方式。例如，我國上市公司當年的財務業績目標和下一年度的財務業績目標必須以財務決算報告和財務預算報告的方式向股東匯報并由股東大會審議和審批，當年的運營目標和下一年度的運營目標必須在董事會年度報告中闡述并經過股東大會審議和審批。

3. 內部控制是風險管理的基礎。比較內部控制框架和風險管理框架后不難發現，盡管風險管理框架包含了內部控制框架的內容，內部控制框架和風險管理框架都將目標定位于合規和績效兩個維度，但兩個框架的側重點是不同的，前者側重于合規維度的目標，后者則側重于績效維度的目標。

（1）風險管理框架以內部控制框架為支撐。從框架構成來看，內部控制框架由三目標、五要素構成，而風險管理框架（2004）由四目標、八要素構成。風險管理框架（2004）在內部控制經營、報告、合規三目標的基礎上加上了戰略目標，并指出：戰略目標是“高層次目標，與使命相關聯并支撐其使命”，“企業風險管理技術被運用到制定戰略和目標過程之中”。風險管理框架（2004）八要素與內部控制框架（2013）五要素相比，并無實質性區別。風險管理框架（2004）將內部控制框架五要素中的風險評估細分為目標設定、事項識別、風險評估和風險應對。兩個框架都認為風險來自內部和外部兩大方面且存在于企業的各個層面，都注意到管理理念和風險偏好對風險應對的影響，而且都強調風險評估過程中必須分析沒有采取任何措施情況下的固有風險和采取風險應對措施后的剩余風險，并評價采取應對措施后的剩余風險是否超過風險容忍度。兩個框架最核心的區別在于：風險管理框架（2004）采用事項識別代替風險識別，以此評估其對目標實現的正面和負面影響，并引入風險組合觀，以考慮風險組合以及風險與收益的組合所產生的復合風險。為提高新框架對環境變化、商業模式變更、信息技術水平提升的適應力，聚焦于戰略決策制定和企業績效提升，COSO 發布了風險管理框架（2017），該框架由治理和文化、戰略和目標設定、績效、審閱與修訂、信息溝通與報告五要素構成，并通過原則指導框架要素在企業風險管理中的運用。但COSO同時明確指出，內部控制框架（2013）與風險管理框架（2017）相互補充，內部控制與風險管理的共同性內容不在新的風險管理框架中進行重復規范。

（2）風險管理框架的側重點在績效。風險管理框架（2017）明確指出，風險管理框架是管理框架而非控制框架。企業經營的宗旨是在合理保證報告目標和合規目標的情況下，通過管控措施保障戰略的實施，努力實現運營目標和財務業績目標。內部控制系統實施的前提條件是企業已有明確的戰略、運營目標和財務業績目標，但如何制定戰略、運營目標和財務業績目標不屬于內部控制框架應規范的內容，因為如何制定與使命、愿景和核心價值觀相匹配的戰略、商業模式和業績目標超越了外部監管部門的監管責任。從《企業風險管理——應用技術》中不難看出，風險偏好、風險容忍度、固有風險、剩余風險更多地被用于戰略選擇與戰略目標制定。相較于風險管理框架（2004），風險管理框架（2017）凝練了風險和價值之間的關聯性，認為風險是可能會發生的影響企業戰略和業務目標實現能力的事件，并優化了風險偏好和風險承受度的概念，在此基礎上強調制定戰略和提升績效過程中的風險管控。該框架的側重點在于提升企業創造、保護和最終實現價值的能力。戰略和風險之間的關系及其對整體績效的影響，是最新的COSO框架闡述的關鍵點之一。

三、夯實內部控制，優化風險管理，助推企業可持續性發展

加強內部控制是提升企業風險管理水平的重要路徑。風險管理框架涵蓋了內部控制框架的全部內容，是在內部控制系統基礎上制定的。在風險管理框架要素中，最核心的特色是在控制環境中建立風險管理、風險文化和風險偏好，以及風險評估中的事項識別和風險組合觀，其他方面的要點與內部控制框架基本上別無二致。對于內部控制框架中闡述得十分清楚的內容，風險管理框架則基于與其銜接而采取簡單闡述的方法，甚至一筆帶過。風險管理不能離開內部控制系統而獨立運行，因此企業必須在夯實內部控制系統的基礎上，將內部控制系統的外延延伸到戰略和績效目標，服務于企業的價值創造、價值保護和價值實現。內部控制側重于企業的合規性，風險管理側重于企業的效益性。在我國企業治理和管理實踐中，無論是合規性還是效益性，都存在著很大的提升空間。

1. 完善內部控制系統，提升企業合法合規水平。內部控制系統通過預防和及時發現不合規行為來為合法合規目標的實現提供合理保證。合法合規體現為經營管理合法合規和包括財務報告在內的信息披露合法合規。隨著公司外部治理環境的優化和內部治理結構的完善，企業合法合規程度理應不斷提高，違規公司比例理應不斷下降。但是，從2019～2021 年上市公司違規處罰的情況看（見表1），違規公司總體占比是不斷上升的；在當年違規的上市公司中，信息披露違規（包括未及時披露公司重大信息、信息虛假信息或誤導性陳述）公司占違規公司總數的比例逐年上升，未履行其他職責而違規（包括收購中未按約定履行相關業績補償承諾導致公司支付大額資金收購資產后面臨重大虧損、未按規定授權審議擔保事項或投資事項、大股東非經營性資金占用、融資融券中的違規行為、違反安全管理規定等）的公司所占比例則逐年下降；在因違規而受處罰的公司中，受到2次及以上處罰的公司占違規公司的比例基本上在三分之一左右。

表1 2019～2021年上市公司違規處罰情況

內部控制為合法合規目標的實現提供合理保證而非絕對保證，違規公司比例上升不能簡單歸咎于內部控制質量下降，導致違規公司比例上升的原因是內部控制系統提升的程度趕不上控制環境變化的速度以及監管部門合法合規要求的提升步伐。為保障企業在合法合規的軌道上持續發展，國家相關監管部門通過法律法規的形式強制要求企業建立內部控制系統，并進行內部控制評價和審計。但是，這并不是說內部控制只來自于企業外部的要求，企業因趨于外在壓力而建立內部控制系統并進行內部控制系統的評價和審計。內部控制的構建、維護、評價和審計是在當前監管方式和資本市場運作模式下企業可持續發展的內在要求。企業內部控制系統的維護和提升必須從以下兩個方面下功夫：

（1）隨控制環境的變化及時調整完善內部控制系統?？刂骗h境變化主要體現在三個方面：一是法律法規變化，如新《證券法》的實施、退市新規、會計準則變化等，法律法規的變化意味著合規標準的變化，海外經營的公司還必須依據所有國法律法規的變化相應調整自身內部控制系統；二是商業模式變更導致企業與供應商、銷貨方業務交往手段發生變化以及企業內部授權、業務流程發生變化，這些變化要求內部控制系統進行相應調整；三是管理模式創新以及智能化地運用信息傳遞與反饋、分析與判斷模式導致風險事項的類型、嚴重程度和應對方式必須進行相應調整。企業必須針對以上環境變化及時調整內部控制系統，化解由此引發的風險。

（2）充分利用內部控制評價和審計成果完善內部控制系統。內部控制評價和審計是滿足外部監管要求的手段，對企業而言，應該將其作為完善自身內部控制系統的良好契機。雖然已有統一的《企業內部控制評價指引》，但企業間的內部控制評價存在著很大差別。從內部控制評價的實踐看，存在企業集團未按指引要求進行全面評價的情況，具體表現為以下兩點：一是部分企業采取企業集團統一評價和下屬企業自評相結合的做法，每年選出一小部分企業進行統一評價，但大部分下屬企業自行評價，且集團未給予適當指導；二是部分企業簡單地下發內部控制評價通知，并根據下屬企業提交的內部控制自評報告匯總得出企業年度內部控制評價報告。上述做法使企業失去了以評價促完善的契機。企業必須嚴格按照《企業內部控制評價指引》及相關要求成立或指定內部控制評價機構，依照“制定評價工作方案—組成評價工作組—實施現場測試—認定控制缺陷—匯總評價結果—編報評價報告”的流程進行內部控制評價，并做出評價結論。上市公司還必須按《公開發行證券的公司信息披露編報規則第21號——年度內部控制評價報告的一般規定》的要求進行內部控制年度評價的信息披露。內部控制年度評價結果為有效、內部控制被出具標準無保留意見的審計報告并不表示企業的內部控制系統不存在問題，企業應該在審計與風險委員會（或類似機構）的指導下根據內部控制評價過程中發現的重要缺陷、一般缺陷，以及會計師事務所提交的管理建議書中所列的問題、整改建議，提出相應整改措施，并追蹤評估整改措施落實情況。

2. 按照內部控制的要求健全戰略制定環節的風險控制流程?；诩榷ǖ氖姑贫☉鹇阅繕?、選擇戰略路徑是風險管理的重要內容。風險管理框架及與之配套的應用技術十分重視戰略目標和業績提升，對戰略目標制定和業績提升過程中的固有風險、剩余風險、風險偏好、風險容忍度的度量進行了詳細論述并提供了詳細的技術指引。但是，風險管理框架并未對戰略目標制定和戰略制定過程中的風險把控進行詳細闡述，企業戰略制定過程中的流程設計、權責劃分、信息溝通、決策機制需要在內部控制系統中做出具有可操作性的規定，并將風險管理的應用技術嵌入戰略制定流程中。在此基礎上，修訂完善預算控制系統，準確地用預算績效（目標）指標描述年度戰略目標、用預算控制指標表述風險承受度，進而將戰略目標轉化為預算績效指標、戰略實施中的風險承受度轉化為預算控制指標，并通過建立預算評價指標體系考核戰略實施效果[2]。

雖然COSO 基于戰略與績效的風險管理系統對于建立戰略制定和實施中的風險控制體系具有借鑒作用，但我國企業的中國特色決定了不能簡單照搬美國COSO的框架來構建企業風險管理體系。企業在戰略目標和路徑的選擇中，必須充分考慮《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》中提出的“堅持新發展理念，在質量效益明顯提升的基礎上實現經濟持續健康發展”的要求，以及企業所處產業鏈的業態特征和所處的國內外環境；在戰略制定和實施的風險控制體系中，必須按黨委“把方向、管大局、促落實”、董事會“定戰略、做決策、防風險”、經理層“謀經營、抓落實、強管理”的要求細化風險管控流程中的權責分派體系、不相容職務分離、分級授權、監督與糾偏責任落實。

3. 將內部控制與風險管理嵌入數字化管理和智能化管理之中。盡管目前人工智能尚未被系統化應用于企業經營的所有方面和所有環節，但在某些領域或某些環節已得到較充分的運用。隨著機器學習模式從非深度學習模式向深度學習模式和強化學習模式演化，人工智能在企業中運用的深度和廣度將不斷提高。但是，人工智能在提高流程效率和改善現有產品和服務的同時，也會引發新的風險，如網絡安全漏洞、AI 故障影響業務運營、未經同意使用個人隱私資料產生惡劣后果、基于AI的建議做出錯誤決策等。因此，在企業運營與管理數字化和智能化成為發展趨勢的情況下，企業必須建立與數字化管理和智能化管理相匹配的內部控制與風險管理系統。應針對AI模式、算法設計、網絡漏洞應對，以及數據收集、數據訪問、數據使用、數據保留等方面評估合規風險和可能引發的倫理道德問題（如承保方案設計、醫療診斷和治療方案等），判斷其是否與企業愿景、使命和核心價值觀相一致，在此基礎上建立基于AI的法規與道德規范體系、技術規范體系和監控體系，實現內部控制和風險管理與數字化管理、智能化管理的深度整合。

【 主要參考文獻】

［1］閻達五，楊有紅.內部控制框架的構建［J］.會計研究，2001（2）：9 ～15.

［2］楊有紅.戰略引領預算的機理和實現方式［J］.北京工商大學學報（社會科學版），2020（3）：13 ～20.