基于全面風險管理視角下的內部控制研究

[摘 要]本文通過探討內部控制與風險管理關系，論述了建立以全面風險管理為導向的內部控制的意義以及對策。

[關鍵詞]內部控制 全面風險管理 公司法人治理結構

一、內部控制界定

1992年，COSO委員會發(fā)布了《內部控制——整合框架》。該框架認為，內部控制是一種管理過程，它受公司董事會、管理層和其他人員影響，其目標是為達到經(jīng)營活動高效率、提高財務報告可靠性、遵循相關法律法規(guī)提供相應保證。COSO框架已為各國承認，我國也以此為基礎推出由財政部、證監(jiān)會、國資委等五部門聯(lián)合制定的《企業(yè)內部控制基本規(guī)范》。該《基本規(guī)范》把內部控制定義為企業(yè)整體所實施的，包括管理決策層與全體員工的控制行為，通過該過程企業(yè)可以實現(xiàn)相應的控制目標。

內部控制是企業(yè)在內部為控制化解風險所而實施的一系列程式化標準化措施，其實施依據(jù)在于風險敞口大小。當一個企業(yè)的經(jīng)營面臨很大的風險時，采取內部控制措施是必要的。企業(yè)如果要實現(xiàn)經(jīng)營目標，就必須對經(jīng)營過程中面臨的各種風險加以有效控制。內部控制是企業(yè)管理活動的重要環(huán)節(jié)，同時也是防范風險的有效手段。企業(yè)可以采用VaR、KMV等風險度量方法識別并測量財務風險，并以此為依據(jù)采取相應的的風險控制措施，這樣可以及時有效地生產(chǎn)經(jīng)營過程中產(chǎn)生的財務與經(jīng)營風險，防止風險擴大化。

二、內部控制與風險管理關系分析

近年來，隨著一系列財務舞弊案的發(fā)生，人們開始關注企業(yè)的風險管理和內部控制。但對于二者的關系，人們認識還不清楚。內部控制是一種管理職能，主要作用于事中與事后的控制，而全面風險管理則貫穿于企業(yè)管理的各個環(huán)節(jié)。內部控制從屬于全面風險管理，是其重要組成部分，是企業(yè)進行風險管理的一種有效方式。

內部控制產(chǎn)生于生產(chǎn)實踐之中，并得到不斷發(fā)展和完善。國內外的研究表明，企業(yè)內部控制經(jīng)歷五個發(fā)展階段，依次為內部牽制階段、內部控制制度階段、內部控制結構階段、內部控制整合框架階段和風險管理框架階段。從內部控制發(fā)展階段不難看出，內部控制對風險管理日益重視。內部控制基本目標在于保障促進企業(yè)經(jīng)營管理合法合規(guī)性、資產(chǎn)的安全性以及財務報告及相關信息的真實完整性，進而提高經(jīng)營效率，從而促進企業(yè)實現(xiàn)自身發(fā)展戰(zhàn)略，樹立百年基業(yè)。內部控制主要有五大基本要素：控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控。

風險管理與戰(zhàn)略決策密切相關，作用于企業(yè)經(jīng)營管理的各個方面。全面風險管理的目標包括：戰(zhàn)略、經(jīng)營、報告和合規(guī)。其中，經(jīng)營、報告和合規(guī)這三個目標與內部控制基本目標保持一致，而戰(zhàn)略目標是比其他目標更高層次的目標。戰(zhàn)略目標來自于一個主體的使命或愿景，因而經(jīng)營、報告和合規(guī)目標必須與其相協(xié)調。企業(yè)的全面風險管理主要包含八個要素：風險對策、目標設定、事件識別、控制活動、過程監(jiān)督、風險評估、信息溝通、環(huán)境控制。

從上面的分析中可以看出，風險管理比內部控制的范圍要大，風險管理不僅包括內部控制中的風險管理，還包括內部控制以外的風險管理。而內部控制只是風險管理的一種手段，內部控制要以風險管理為根本導向。

三、建立基于全面風險管理視角內部控制意義分析

1.理論意義

內部控制實質上是風險管理的一種重要手段，企業(yè)的內部控制要以風險管理為中心。全面風險管理是內部控制的核心與靈魂，內部控制則是風險管理的必備措施。如果只有內部控制框架，而沒有相應的風險管理意識，則內部控制就只是一個空架子，達不到預期的效果。若只有風險管理的意識，而無內部控制，則風險管理就失去了科學有效的管理手段。

2.現(xiàn)實意義

從我國企業(yè)的實際情況來看，風險管理意識薄弱，很多企業(yè)只是重視內部控制，而缺乏風險管理意識，更沒有把風險管理與內部控制結合起來。隨著一系列財務舞弊案的發(fā)生，我國意識到了風險管理與內部控制的重要性，正逐步建立起以風險為導向的內部控制體系。財政部、證監(jiān)會、國資委等五部委聯(lián)合制定發(fā)布的《企業(yè)內部控制基本規(guī)范》與《企業(yè)內部控制配套指引》為企業(yè)內部控制提供政策上的指導。各個企業(yè)也積極配合建立內部控制體系與風險管理部門。從上市公司內部控制執(zhí)行情況來看，我國企業(yè)內部控制體系越來越規(guī)范和有效。

四、建立基于全面風險管理視角的內部控制的措施

1.提高風險管理的意識

在當今世界經(jīng)濟全球化趨勢不斷加強的情況下，特別是我國加入WTO后，我國有越來越多的企業(yè)走出國門，參與國際化競爭。在全球經(jīng)濟一體化日益深化的大背景下，我國企業(yè)生產(chǎn)經(jīng)營面臨的環(huán)境更加復雜化，同時競爭壓力也日益強化，所面臨的風險更加復雜。但是，我國很多企業(yè)的風險管理意識還很薄弱，大多數(shù)管理者還只是將風險管理局限于財務風險管理方面。其實，對于一個企業(yè)來說，所面臨的風險不僅是財務方面的風險，還包括安全風險、政治風險、投資風險等。企業(yè)應對這些風險，從自身來說，最有效的手段就是加強內部控制。長期以來，由于內部控制體系不健全，風險管理意識薄弱，企業(yè)的內部控制體系未能發(fā)揮有效的作用。企業(yè)應強化風險管理意識，以風險管理為導向進行內部控制。首先，企業(yè)應建立專門的風險管理與內控部門，主要負責識別、評估企業(yè)所面臨各種風險，進而根據(jù)風險類別的不同采取相應的內部控制措施。其次，企業(yè)要強化以全面風險管理為導向的內部控制的宣傳工作，可以定期對相關人員進行培訓、舉辦各種講座等。

2.構建科學的管理團隊

國內外的許多案例都證明，科學高效的管理團隊對公司的經(jīng)營成敗起決定性作用。人在公司治理的作用不容小覷，公司的長遠發(fā)展需要有一個長遠科學的戰(zhàn)略目標，需要有嚴謹科學的計劃。而在一個公司中，管理者特別是高層管理者對公司戰(zhàn)略的制訂、實施等起到關鍵性作用，可以說管理者對公司治理的成敗起到關鍵性作用。內部控制的有效實施需要一個科學高效的管理團隊的支持。

3.完善公司法人治理結構

健全的公司法人治理結構不僅為保證企業(yè)內部控制有效運行提供了必要的前提和基礎條件，同時也為企業(yè)實行內部控制提供了相應的制度環(huán)境保障。公司法規(guī)定我國上市公司必須要建立股東大會、董事會和監(jiān)事會等公司法人治理機構，但是從目前我國實際來看公司法人治理結構很不完善。在我國許多公司中，經(jīng)理人員和董事高度重合、董事長和CEO合一等現(xiàn)象比較嚴重，這顯然不利于加強企業(yè)內部控制。

因此，我國企業(yè)應采取積極措施建立健全的公司法人治理結構，從而為加強企業(yè)內部控制提供強有力的制度環(huán)境保障。從內部控制基本要點出發(fā)，當前最重要的工作是加強董事會建設，特別是上市公司的董事會。董事會是公司內部控制系統(tǒng)的核心，一個積極、主動參與的董事會對內部控制而言是相當重要的。現(xiàn)代企業(yè)法人治理結構的一個顯著特點是經(jīng)營權與所有權的分離。董事會受托于股東大會，聘請職業(yè)經(jīng)理來負責日?；顒拥慕?jīng)營管理，董事會對經(jīng)理進行制約監(jiān)督。但從我國上市公司的情況來看，經(jīng)理層人員與董事會成員重合現(xiàn)象嚴重，這嚴重削弱了董事會對經(jīng)理人員制衡監(jiān)督作用。加強董事會建設還應處理好董事會成員中內部董事與外部獨立董事的權責義務與協(xié)作關系，確定合適的比例，使二者達到最佳的制衡。

4.健全以全面風險為導向的內部控制體系

內部控制本質特征在于以風險評估為基礎，這是內部控制與全面風險管理相結合的一個重要途徑。采取內部控制措施前，企業(yè)應對經(jīng)營項目所面臨的風險進行評價，評估出風險的種類、風險的級別，并找出風險產(chǎn)生的原因。企業(yè)構建以全面風險為導向的內部控制體系應兼顧內部控制與風險管理兩個方面，借助COSO的《內部控制——整合框架》和《企業(yè)風險管理——整合框架》，將兩者有效結合，這樣可以有效減少企業(yè)的工作壓力和成本。

參考文獻

[1]陳志軍.風險管理與內部控制的關系[J].工業(yè)審計與會計，2009（5） .

[2]嚴曉今.企業(yè)內部控制與全面風險管理淺析[J].現(xiàn)代商業(yè)，2008（16） .

[3]陳曉更.論企業(yè)建立全面風險管理體系的必要性[J].會計之友，2008（9） .

[4]劉潔.淺析我國企業(yè)內部控制的現(xiàn)狀及對策[J].金融經(jīng)濟（理論版），2010（10）.

作者簡介：王青，北京工商大學商學院會計學研究生，研究方向為財務會計理論與應用。