下载APP
内部控制对企业风险管理的影响
2022-06-06 10:22  来源:  作者:

一直以来,内部控制都是公司治理和风险管理领域研究的热点话题。国内外学者对内部控制的制度建设、影响因素、经济后果及信息披露等方面都展开了广泛的研究。然而,既有研究尚未对内部控制与企业风险管理二者的关系达成共识,且对企业系统风险的研究还处于探索阶段。因此,在当前新冠疫情蔓延、政治经济不确定性增加的背景下,如何厘清内部控制与企业风险管理的关系,探讨内部控制对企业风险管理的影响,仍然具有很强的回顾、梳理和深究的紧迫性与价值性。

 

内部控制与风险管理的基础性研究

 

内部控制理论是在企业内部控制实践的基础上发展而来的。早期,学界对内部控制、风险管理及公司治理三者的关系持有不同的观点。2004年,COSO出台的《企业风险管理——整体框架(2004)》就明确指出“内部控制是企业风险管理的有机组成部分”。随着全球经济形势的复杂变化,企业风险管理和内部控制系统在防范金融危机弊端的显现,又促使COSO2017年颁布了新版《企业风险管理——战略与绩效的整合》,将企业风险管理重新定义为“组织在创造、保持和实现价值的过程中,进行管理风险的文化、能力和实践”。基于COSO在不同时期的发展,本文对内部控制与风险管理的基础性研究进行了梳理,并结合新版《企业风险管理——战略与绩效的整合(2017)》,总结了对COSO相关研究的后续发展及其带动效应。

 

一是内部控制、风险管理与公司治理的关系与整合。早期,学界对内部控制、风险管理及公司治理三者关系争论的观点有:其一,强调内部控制与风险管理是公司治理的基础;其二,认为公司治理是内部控制与风险管理的前提;其三,提出风险管理包含内部控制,而内部控制与公司治理则存在嵌合的关系。

 

针对实务界和理论界对内部控制与风险管理割裂的质疑,2004COSO颁布了《企业风险管理——整体框架(2004)》,将内部控制正式定调为企业风险管理的有机组成部分,并强调该企业风险管理框架涵盖了内部控制。在《企业风险管理——整体框架(2004)》中,风险管理被定义为一个流动的过程,即风险管理贯穿于企业的战略制定中,以识别可能会影响主体的潜在事项,并旨在将风险控制在该主体的风险容量内,以为主体目标的实现提供合理保证。在此阶段,COSO对企业风险管理的定义是比较宽泛的,并强调对主体既定目标的实现,这也为风险管理的有效性提供了判断依据。在此背景下,国内外关于三者关系的理论研究也随之展开,主要有“等同论”(基于历史回顾和逻辑推理,得出内部控制、风险管理及公司治理实质上是完全相同的观点)、“区别论”(将风险视为对组织目标的偏离,发现内部控制与风险管理存在区别)、“并行不悖”(风险管理与内部控制的对象是存在区别的,前者管理的对象是动态风险,而后者则是对固化风险的控制)3种观点。

 

二是COSO相关研究的后续发展及带动效应。20042017年属于过渡阶段,COSO曾出台了《内部控制——整合框架(2013)》。在该框架中,内部控制同样被定义为组织合理保证业务目标、报告目标与合规目标实现的过程,其内容包括控制环境、风险评估、控制活动、信息与沟通、监督活动。同时指出,受内部控制目标的适当性、管理层凌驾于内部控制之上、串通舞弊等限制,内部控制并不能为企业目标的实现提供绝对保证。

 

随着世界经济波动性的日益增加,企业风险复杂性发生了根本变化,以及企业利益相关者参与度的日渐提高,都对企业风险管理的透明度和问责制提出了更高的要求。2017年,COSO重新出台了《企业风险管理——战略与绩效的整合(2017)》,对企业风险管理的思想与实践作出进一步的细化与变更。重点包括:首先,它简化了风险管理的定义,认为企业风险管理是组织在创造、保持和实现价值过程中,结合战略制定与执行,赖以进行管理风险的文化、能力和实践。更新后的概念,一方面强调了风险管理在企业创造、保持和实现价值过程中的作用,并将其视为企业价值链中管理实体的动态组成部分;另一方面还首次引入了文化的作用,因为文化会影响道德价值观、期望行为以及对实体风险的态度。并且,COSO特别澄清了企业风险管理并非一个职能部门,也不只是一份风险清单;其不仅包括内部控制,还涉及战略制定、治理、沟通以及绩效的衡量。其次,它对企业风险管理与内部控制进行了界定。在2013年修订的《内部控制——整合框架(2013)》中,提出风险管理框架包括内部控制;而在2017年出台的《企业风险管理——战略与绩效的整合(2017)》中,则强调二者相互补充。最后,COSO强调了企业风险管理的整合,提出将企业风险管理整合到企业战略制定、业务目标设定与执行过程中,将风险管理视为组织管理的一部分。

 

综上所述,尽管学术界对内部控制、风险管理及公司治理三者的关系还存在争论,但随着理论和实务的不断发展,内部控制与风险管理的边界将逐渐清晰。内部控制作为企业合理保证目标实现的控制过程,是企业风险管理的重要组成部分。二者相互补充与完善,是企业应对风险和利用机遇的重要前提和保障。

 

内部控制对企业系统风险与非系统风险管理的研究

 

根据风险成因及其影响是否可以分散化的不同,企业风险可以划分为系统风险和非系统风险。其中,系统风险的成因是由宏观因素引起的,会对市场上的所有参与者产生影响,且无法通过分散化投资来加以消除;非系统风险则是由公司某一特定因素引起的,可以通过多样化投资来分散风险。近年来,学术界广泛探讨了内部控制对非系统风险管理的影响,而鲜少关注系统风险。

 

一是非系统风险及其管控,主要包括3种,第一是关于企业内部风险及其管控。针对企业的经营风险,内部控制的运营目标旨在提高企业经营的效率和效果。在企业经营过程中,高质量的内部控制能够形成有效的权力监督与制衡,一方面加强对企业经营活动的风险管控,另一方面降低管理层的机会主义行为,因而对内部控制重大缺陷的补救可以显著提高企业的经营效率和效果降低企业的经营风险。第二是关于企业外部风险及其管控。其一,针对股价崩盘风险。基于代理问题,内部控制可以通过事前预防、事中控制以及事后纠正机制来约束管理层的机会主义行为,从而降低股价崩盘风险。其二,针对信用风险(信贷风险)。基于公司视角,高质量的内部控制能够帮助企业建立有效的监督与制衡机制,降低管理层的自利行为以及大股东掏空。其三,针对诉讼风险。内部控制的合规目标要求企业遵守法律法规,提高企业的合法经营意识,强化内部的法律和规章实施,并通过改善企业的盈余质量和信息质量来降低诉讼风险。

 

二是系统风险及其管控。随着宏观经济形势的日趋复杂,国内外关于系统风险管控的研究也逐渐展开。一方面,内部控制会影响企业系统风险的承担水平。另一方面,内部控制能够有效降低企业的系统风险水平。高质量的内部控制是事前防范和有效应对系统风险的重要机制。就防范系统风险而言,内部控制本质上是企业监督和激励的一项制度安排,完善内部控制有助于企业增强风险防范意识,保持对经济环境足够的敏感度和关注度,并落实对经济形势和系统风险的预测和报警机制;同时,内部控制通过激励管理层勤勉尽职工作,能够显著治理企业的非效率投资,进而帮助企业及时调整投资方向,优化企业的投资行为,从而有效防范系统风险影响。

 

综上所述,内部控制会影响企业的风险承担水平,且高质量的内部控制能够有效降低企业的风险。具体而言,针对由公司某一特定因素所引起的非系统风险,内部控制作为一项监督和激励机制,能够通过事前预防、事中控制和事后纠正机制,有效降低企业的非系统风险;并且,内部控制对企业非系统风险的有效约束还能够帮助企业降低系统风险。一方面,内部控制的风险管控职能有助于企业增强风险防范意识,保持对风险的敏感度和关注度,落实对企业风险的预警和管控机制;另一方面,内部控制的监督与制衡还能够约束管理层的机会主义行为,激励管理层勤勉尽职工作,防范管理层舞弊和风险,提高公司治理水平。

 

研究述评与未来展望

 

近年来,随着内部控制理论的高速发展和实践应用的深入,其制度建设也不断推陈出新。国外方面,COSO2017年重新颁布了《企业风险管理——战略与绩效的整合(2017)》,旨在更好地推动风险管理与战略实施相结合。国内方面,在国家推行审计全覆盖的背景下,财政部于2017年出台了《行政事业单位内部控制规范(试行)》;此后,国务院国资委于2019年印发了《关于加强中央企业内部控制体系建设与监督工作的实施意见》,以全面建设中央企业内部控制体系,防范和化解企业重大风险,这标志着我国企事业单位即将步入全面内部控制建设的新时期。

 

当前,在新冠疫情风险持续蔓延、极端风险事件频发的背景下,预期未来对内部控制与企业风险管理研究的这一趋势还会继续深化,但研究视角和内在结构将会发生一定的新变化。

 

一是继续深化内部控制对企业风险管理的基础性研究。虽然《企业风险管理——战略与绩效的整合(2017)》简化了风险管理的定义,却赋予了其更丰富的思想内涵。根据COSO的研究,企业风险管理被定义为组织在创造、保持和实现价值过程中,结合战略制定与执行,赖以进行管理风险的文化、能力和实践。如何厘清风险与价值的关系,将风险与绩效整合,协同风险管理与战略决策以及强调文化的重要性,合理设置企业风险偏好容忍度等问题都为学者们的未来研究提供了新方向。

 

二是扩展内部控制对企业系统风险管理的研究。由宏观因素所引起的系统风险会对市场上的所有参与者产生影响,且无法通过分散化投资来加以消除。系统风险的类型包括政策风险、市场风险以及疫病风险等。已有研究虽然论证了内部控制会影响企业对系统风险的承担水平,且高质量的内部控制能够有效预防和应对系统风险,但是本文认为,不同系统风险之间是存在较大区别的,目前关于内部控制对具体系统风险管理的研究还较为薄弱,内部控制是否以及如何影响具体系统风险的这一“黑箱”,都需要通过实证及案例研究等方法加以丰富与说明。

 

三是进一步丰富内部控制在不同组织机构间的风险管理研究。COSO《内部控制——整体框架(2013)》和《企业风险管理——战略与绩效的整合(2017)》都将内部控制与风险管理的主体扩大至“组织”。也就是说,除企业风险管理外,不应忽视内部控制在其他组织机构间的风险管理职能。在当前新冠疫情突发的现实背景下,如何建立及时、完善的疫情预警防控机制,阻断疫情传播、控制疫病风险,提升应对突发疫情风险的管控能力也将成为时下重点的研究命题。

来源:中南财经政法大学会计学院 作者:沈烈  何璐伶

(责任编辑:韩福恒)