风险管理与内部控制的关系

内部控制与风险管理理论的发展与演变。

现代内部控制和风险管理理论的发展是一个逐步演变的过程，大致可分为三个阶段：内部控制体系、整体内部控制框架和风险管理框架。

（1）内部控制系统阶段。1936年，美国发布了《独立公共会计师财务报表审查》，首次定义了内部控制：内部审计控制制度是指各种措施和方法，以确保公司现金和其他资产的安全，检查账簿记录的准确性。此后，美国审计程序委员会多次修改。1973年，在美国审计程序公告55号中，内部控制系统的定义如下：内部控制系统有两种：内部会计控制系统和内部管理控制系统，内部管理控制系统包括但不限于组织结构的计划，以及管理部门批准事项的决策步骤的程序和记录。会计控制系统包括组织的设计，以及与财产保护和财务会计记录可靠性直接相关的各种措施。

（2）内部控制的整体框架阶段。1992年9月，COSO委员会提出了《内部控制-整体框架》的报告。该框架指出，内部控制是一个合理的过程，受企业董事会、管理层和其他人员的影响，为实现运营效率、财务报告可靠性和相关法律法规的遵守性提供合理保证。1996年底，美国审计委员会批准了COSO的研究成果，并修改了相应的审计公告。

（3）风险管理框架阶段。2004年，COSO委员会发布了《企业风险管理-整合框架》。企业风险管理整合框架认为企业风险管理是一个过程，由董事会、管理等人员实施，应用于战略制定，贯穿企业，旨在识别潜在事项可能影响主体，管理风险在主体风险容量内，为实现主体目标提供合理保障。该框架扩大了内部控制，更加强大，更加关注企业风险管理的更广泛领域。风险管理框架包括内部环境、目标设置、事项识别、风险评估、风险响应、控制活动、信息沟通和监控八个要素。

回顾风险管理与内部控制的关系。

风险管理理论提出后，理论界不断研究内部控制与风险管理的关系。一般来说，主要有以下三种观点：

（1）第一种观点是，内部控制包括风险管理。CICA（1998）将风险定义为事件或环境造成不利后果的可能性，明确了风险管理与控制之间的关系：当你抓住机会和管理风险时，你也在实施控制。巴塞尔委员会发布的《银行组织内部控制体系框架》指出，董事会负责批准和定期检查银行的整体战略和重要制度，了解银行的主要风险，为这些风险设定可接受的水平，确保管理层采取必要的步骤来识别、测量、监督和控制这些风险……这显然是将风险管理的内容纳入内部控制框架。加拿大注册会计师协会控制标准委员会（1999）认为，控制应包括风险识别和减少，风险不仅包括与实现特定目标相关的灵活性，而且还包括不确定的机会。

（2）第二种观点是，风险管理包括内部控制。COSO委员会提出的《企业风险管理整合框架》（2004）明确指出，企业风险管理包括内部控制；内部控制是企业风险管理不可分割的一部分；内部控制是风险管理的一种方式，企业风险管理比内部控制范围广得多。英国Turnbull委员会（2005）认为，风险管理对实现企业目标具有重要意义。公司内部控制系统在风险管理中发挥着关键作用，内部控制应被管理者视为风险管理范围更广的必要组成部分。

（3）第三种观点认为内部控制是风险管理。Blackburn（1999）认为，风险管理和内部控制只是人为的分离，而在实际的商业行为中，它们是集成的。LaurafSpira（2003）分析了内部控制是如何成为风险管理的，并指出将内部控制定义为风险管理强调与战略制定的联系，描绘了内部控制作为组织支持的特点。然而，它也掩盖了一个无可争辩的事实：没有人真正知道内部控制系统是什么。