摘 要：內部控制和風險管理是關系密切又容易混淆的兩個概念，對于兩者的關系在理論界以及實務界一直存在著爭議，學者們對此并未達成一致的認識。本文從回顧二者的發(fā)展歷程入手，理清二者的關系，并通過對新COSO報告的特點分析，提出企業(yè)內部控制將發(fā)展為更全面的風險管理。

關鍵詞：COSO；內部控制；風險管理

一、內部控制和風險管理思想的產生與發(fā)展

內部控制的形成與發(fā)展歷經了內部牽制、內部控制制度、內部控制整體框架和風險管理整合框架這么幾個階段。內部牽制是以保證財產的安全與完整為目的，以相互核對賬簿資料為主要內容，并且不相容崗位相分離。內部控制制度將內部控制劃分為會計控制和管理控制，其目的是為了進行查錯防弊。進入20世紀90年代，內部控制的外部性日益明顯，內部控制不再只是審計師關注的問題，而是擴展到許多相關行業(yè)中，基于此，《內部控制—整體框架》應運而生，該報告強調全員參與并負責，合理保證目標實現的過程，并且確定了內控的五要素。鑒于企業(yè)面臨的風險日益增大，風險管理與控制在企業(yè)營運中越發(fā)重要，于是COSO委員會在2004年9月又提出了《企業(yè)風險管理—整體框架》，該報告指出，企業(yè)風險管理是一個過程，它貫穿于整個經濟活動的全過程。該報告將內部控制和風險管理有機地結合在一起，使內部控制逐漸走向風險管理。

風險管理的產生與發(fā)展歷經了三個階段，分別是：傳統(tǒng)風險管理、金融財務風險管理和全面風險管理。傳統(tǒng)風險管理階段是對組織的純粹風險進行管理。金融財務風險管理階段比第一個階段要更進一步，其主要是對金融風險和可保風險進行管理。全面風險管理階段采取的是綜合性的管理手段，由于風險是多元的、復雜的，所以企業(yè)必須站在一個全面的角度將風險管理應用于戰(zhàn)略制定及各個層面中。

由上所述，內部控制和風險管理的發(fā)展歷程雖然不同，但COSO委員會在2004年發(fā)布的《企業(yè)風險管理—整合框架》中將二者結合起來。

二、內部控制與風險管理的關系分析

分析內部控制與風險管理關系的基礎就是要了解二者的概念。對此不同的學者有不同的理解，主要代表性的觀點有兩種：

1.內部控制包含風險管理。內部控制是管理職能中的控制職能，而控制又分為內部控制和外部控制，風險評估是內部控制的一個組成要素，它包括在內部控制之中。也就是說，風險管理包含在內部控制的范圍之內。

2.風險管理包含內部控制。內部控制是企業(yè)進行風險管理的一個非常重要的方法，其目的就是為了有效較少損失，規(guī)避不必要的風險。從二者的組成要素可以看出，內部控制包含在風險管理中，它是風險管理的重要組成部分。

三、內部控制與風險管理的區(qū)別和聯系

根據目前的代表性觀點可以發(fā)現，人們對內部控制與風險管理認識上的不一致是導致人們在對二者關系的認識上產生爭議的根本原因。內部控制和風險管理二者既有區(qū)別又有聯系，具體關系如下：

1.內部控制與風險管理的區(qū)別。一是兩者的職能定位不一致。內部控制僅是管理的一項職能，是管理制度的一個環(huán)節(jié)，其目的為實現企業(yè)的經營目標；而風險管理則貫穿于管理過程的始終，其不僅在事中和事后進行控制， 而且在事前制定目標的時候就把風險的存在考慮了進來。全面風險管理的目標內部控制的基礎上加進了戰(zhàn)略目標，該目標是最高層次的目標。二是兩者的活動范圍不一致。風險管理的對象范圍除了企業(yè)的邊界外，還包括外部環(huán)境控制和適應。而企業(yè)邊界范圍內的所有控制都是內部控制，但這并不全是風險管理，二者是不一致的。三是兩者對風險的識別以及應對的不一致。對于風險的識別，在《內部控制—整體框架》框架中，并沒有區(qū)分風險和機會，而在《企業(yè)風險管理—整合框架》區(qū)分了風險和機會，使之更有效的應對企業(yè)所面臨的風險。

2.內部控制與風險管理的聯系。（1）企業(yè)風險管理為企業(yè)內部控制提供了動力，而企業(yè)內部控制是企業(yè)全面風險管理的必要環(huán)節(jié)。（2）風險管理概念比內部控制要涵蓋的多，風險管理的要素及目標要比內部控制的多，風險管理涵蓋了內部控制。（3）兩者的本質目標是一致的，雖然二者看起來路徑不同，但其本質都是為了增加企業(yè)的價值。

四、內部控制與風險管理的一體化

從新的COSO框架可以看出，企業(yè)內部控制逐漸呈現出以風險管理為主導，從內部控制走向風險管理的趨勢。盡管內部控制與風險管理的關系非常密切，但實際中二者還存在著差距。它們并無滲透到全部經營系統(tǒng)，而都只局限于少數職能部門。因此，風險管理與內部控制有時看上去仍然是相互獨立的兩碼事。由于內部控制和風險管理具有內在的一致性，故隨著二者不斷完善和全面，它們之間必定會相互融合， 最后形成一個關于企業(yè)風險管理的有機整體。

參考文獻：

[1]方紅星，王宏.COSO委員會.企業(yè)風險管理—整合框架：中譯本[M].大連：東北財經大學出版社，2004.

[2]李鳳鳴.內部控制學[M].北京：北京大學出版社，2004.

[3]唐來全.內部控制與風險管理概念剖析[J].財會通訊： 理財版，2006（8）.

[4]毛新述，楊有紅.內部控制與風險管理—中國會計學會2009內部控制專題學術研討會綜述[J].會計研究，2009（5）.

[5]劉明輝.加拿大規(guī)范企業(yè)內部控制的實踐與特點[J].中國審計，2004.

作者簡介：張婷（1988.11- ），女，山西省晉中市人，碩士研究生，研究方向：審計endprint