第三章  企业合规管理体系建设



              内部控制只是风险管理中的组成部分。
                  内部控制和风险管理两个体系并不是相互代替或取代，而是侧重点各不相同
              相互补充。主流归主流，而其产生历史、美国的 COSO 报告和中国的规范文件
              所显示或展示的，似乎又是两个独立且平行的范畴或体系。从产生历史看，两者

              是作为两个概念和体系出现，且沿着两条路径发展起来——内部控制的提出和发
              展与会计和审计密切相关，而风险管理则是美国管理协会首先倡导的。从 COSO
              报告的安排看，《内部控制整合框架》与《风险管理整合框架》是作为两个有关
              联但彼此独立的概念框架或理论体系存在的。从相关的规范制定看，内部控制规

              范和风险管理规范在我国是由两个部门作为两种制度规范分别制定和实施的。种
              种迹象和特征似乎又能佐证“平行论”而不支持主流的“包含论”，更不支持所
              谓的“工具论”（认为内部控制是风险管理的工具）和“阶段论”（认为风险管
              理是内部控制的高级阶段）。

                  不过这里既不赞成“包含论”也不支持“平行论”，而是认为：如果把内
              部控制与风险管理均定义为一种流程，且都是从管理意义而非审计意义，内部控
              制就是由企业内部控制主体完成的风险管理，对美式企业（政党和政府不干预背
              景下的企业自主控制）而言，内部控制就是风险管理，风险管理也是内部控制。

              主要理由是：第一，主体相同。COSO 报告都称是企业内部的“董事会、经理层
              和全体员工”；第二，目标相同。风险管理的目标是把企业的风险降到可接受、
              可规避的水平，内部控制也是风险导向的，其首要目标归根结底也是把信息、运
              营和合规的风险降到可接受和可规避的水平；第三，对象相同。都是企业客观存

              在的各种内外部的固有风险和剩余风险，且是全覆盖的风险；第四，形式相同。
              表现形式都是一套流程；第五，要素相同。实际上，风险管理的八要素与内部控
              制的五要素并不存在实质性差别，甚至可以说是重合或重叠的框架。风险管理的
              八要素中有四项（内部环境、控制活动、信息与沟通和监控）与内部控制框架重
              合，有差别的是与风险相关的四个要素（目标设定、事项识别、风险评估和风险

              应对），而这四个要素其实都内含在内部控制框架的“风险评估”要素之中，换
              言之，风险管理框架中的这四个要素其实只是内部控制框架“风险评估”要素具
              体化分解的结果。如此分析，COSO 报告中的风险管理与内部控制在概念层面上

              其实就是一回事。至于 COSO 风险管理框架中特别关注的价值创造、战略和文
              化等管理要素和工具，现代内部控制体系建设中同样也必须体现，企业内部控制


                                                                                      75