论企业风险管理和内部控制的关系

综上所述，从内部控制的发
制阶段 （20 世纪 40 年代前）、内
背景下，1992 年美国“反对虚假
展历程来剖析，风险管理是企业
部控制制度阶段 （20 世纪 40—80
财 务 报 告 委 员 会 ”（即 Treadway
内部控制的外延逐步扩展进而质
年代）、内部控制结构阶段 （20
委员会） 下属的“发起组织委员
的 不 同 语 义 表 达 ， 并无本质区
而生。
素、企业各个层级的责任三个维
别 。 谢 志 华 （2007）， 戴 文 涛
1988 年，内部控制结构的提
度。该框架包含了内部控制整合
（2010）， 方 红 星 、 池 国 华
出标志着西方审计界对内部控制
框架的所有内容，并进行了拓
（2011），李维安、戴文涛 （2013）
险。经营风险表现在应收账款、
整个过程。任何组织都有目标，
2010 年，中国财政部等五部委联
应付账款等商业信用行为；投资
企业组织也不例外，为了实现既
合发布的 《企业内部控制基本规
风险表现为股权投资、债权投资
定目标，企业通常先制定战略，
范》 和 《企 业 内 部 控 制 配 套 指
等；筹资风险具体可分为债务风
不确定性事件，亦称随机事件，属
行两大环节，决策的制定有风
未来；P＝0 为不可能事件，属历
险，决策的执行同样存在风险，
（一） 风险管理包含内部控制
史；P＝1 为确定性事件，也属历
所以，企业风险还可分为决策的
周放生 （2009） 将企业风险
史。风险，即不确定性；企业风
制定风险、决策的执行风险。因
分为常规风险和非常规风险，认
险可分为营业风险、营业外风
的制定风险主要指战略决策、管
定。随着内部控制目标提升为促
险。营业风险具体又可细分为主
理决策的制定风险，决策的执行
进企业实现发展战略，与实现内
营业务风险、其他业务风险、公
风险主要指管理决策、业务决策
部控制目标相关的风险也扩展为
允价值变动风险、投资风险、资
的执行风险。
企业的全面风险。所以，内部控
险，即企业未来收益的不确定性。
为重要决策的制定即战略，普通
为内部控制的存在是针对企业经
企业风险无处不在，无时不在。本
业务的决策是对战略进行分解和
营过程中的常规风险，而风险管
文对企业风险管理和内部控制及
落实，即战术，贯穿于业务执行
理需要关注的不仅包含可合理预
公司治理之间的关系进行剖析。
的全过程，所以，从企业风险来
略是指对企业未来发展制定并实
（二） 内部控制包含风险管理
济活动分为经营活动、投资活动
施的重大决策，企业战略管理的
2004 年，美国 COSO 委员会
和筹资活动，从而企业风险可分
过程即企业重大决策的制定和实
发布的 《企业风险管理框架》 将
为经营风险、投资风险和筹资风
施过程，贯穿于企业经营活动的
风险管理引入内部控制框架；
险管理框架》 是对 《内部控制整
信息化时代的到来，企业面临的
合框架》 的超越，也标志着内部
不确定性因素越来越多，内部控
控制的质变。相应地，审计界也
制问题不再只受审计师和企业的
相继开发出了风险基础审计模型
关注，而是成为许多企业监管、
和风险导向审计模型。
发展历程基本没有争议：内部牵
规制部门共同关注的问题。在此
变来的，从而产生了风险管理某
世纪 80、90 年代）、内部控制整
并通过不同类型的决策对战略进
引》 中，将风险评估作为内部控
险、财务风险。从会计利润表角
行分解和落实。按所起的作用分
制五大要素之一，对与实现内部
度，将企业的经济活动分为营业
类，企业决策可分为战略决策、
控制目标相关的风险如何识别、
活动和营业外活动，从而企业风
管理决策和业务决策三类。决策
如何分析、如何应对进行了规
计的常规风险，还包含难以预测
源角度对风险的分类与从战略管
的非常规风险。朱荣恩 （2009）
一、企业风险的分类
理角度、组织行为学角度对风险
也认为内部控制是风险管理的重
基于不同的分类标准，可对
的分类本质是完全一致的。
要组成部分。
企业风险进行不同的分类。从会
战略管理理论认为，企业战
计现金流量表角度，将企业的经
目标，经营目标是对战略目标的
个层级公司内部治理标和
控制和作业控制，分别对治理风
来不可分割的内部会计控制和内
合规性目标是对经营目标的反映
险、经营风险和财务风险、作业
部管理控制两部分从系统论的视
和保证；在风险管理要素中将原
风险实现控制。但是，将企业的
角重新划分为三个密切联系的要
先的风险评估细化为目标设定、
风险分为治理风险、经营风险和
素，有利于内部控制的建立、运
事件识别、风险评估、风险应对
财务风险、作业风险的理论根据
行和评价。
四个具体要素。可见，《企业风
不足，主观性较强。
三、从内部控制的发展历程
来看风险管理
理论界对内部控制五阶段的
进入 20 世纪 90 年代，随着
重要，2004 年 COSO 又委托普华
该观点将企业不同的风险作
管理控制两部分。相应地，20 世
永道会计师事务所研发了 《企业
为内部控制的控制对象，认为风
纪 40 年代以来，内部控制与审计
风险管理框架》。该框架包含企
险管理和内部控制仅是风险控制
方法相结合，制度基础审计应运
业目标、8 个企业风险管理要
·财 会 纵 横
论企业风险管理和内部控制的关系
□脱小杰
从集合论的视角，经济现象
风险、业务执行风险。从企业风
概念的界定大多也是从对风险管
可用事件来表示，且事件按发生
险的来源看，企业风险来源于企
理与内部控制二者关系进行辨析
概率 （p） 可分为三类：0＜p＜1为
业的决策，包括决策的制定和执
出发的，主要有三种认识。
制包含了企业风险的识别、分析
产处置风险和其他风险。从战略
管理角度，企业风险可分为战略
风险、战术风险。从组织行为学
角度，企业风险可分为经营决策
二、现有文献关于企业风险
和应对。
管理概念的争议
现有文献关于企业风险管理
- 36 -
（三） 风险管理与内部控制
本质上无差别
·财 会 纵 横
部控制包括内部会计控制和内部
的研究从一般含义向具体内容深
展，在企业目标维度增加了战略
等学者持这种观点。如，李维安、
化，AICPA 提出的内部控制结构
目标，使得企业目标形成一个完
戴 文 涛 （2013） 基 于 战 略 管 理
认为内部控制包含三个要素：控
整体系，其中，战略目标是最高
观，将内部控制从高到低分为三
制环境、有效的会计系统和具体