培育企業(yè)內(nèi)部控制與風險管理能力研究

摘 要 企業(yè)內(nèi)部控制是社會經(jīng)濟發(fā)展到一定階段的產(chǎn)物，伴隨著社會經(jīng)濟的發(fā)展，尤其是近年來全球經(jīng)濟一體化進程的加快，使經(jīng)濟環(huán)境中的不確定因素不斷增加，企業(yè)面臨的也風險越來越大，因此要使企業(yè)能夠長期可持續(xù)的發(fā)展，加強風險管理，優(yōu)化內(nèi)部控制將顯得尤為重要。

關(guān)鍵詞 企業(yè)內(nèi)部控制 風險管理 風險管理能力 對策研究

中圖分類號：F275 文獻標識碼：A

2007年美國次貸危機的爆發(fā)使全球陷入嚴重的經(jīng)濟恐慌之中，此次金融危機造成一大批金融機構(gòu)相繼倒閉，金融市場劇烈動蕩，股市急劇下挫，民眾的投資和消費信心遭受重創(chuàng)。自2008年10月份以來，分布于我國長江三角洲和珠江三角洲的中小企業(yè)也受到有史以來最嚴重的經(jīng)濟沖擊。在目前形勢下，一些國家在金融危機中受到的重創(chuàng)仍然沒有消除，甚至愈演愈烈。世界經(jīng)濟明顯的下行趨勢，以及國際經(jīng)濟環(huán)境中的不確定、不穩(wěn)定因素的增多，使我們不得不思考尋找企業(yè)抵御風險的措施和方法，加強和完善企業(yè)內(nèi)部控制與風險管理已迫在眉睫。

一、企業(yè)內(nèi)部控制與風險管理理論的合理解讀

（一）內(nèi)部控制理論。

內(nèi)部控制理論是伴隨著企業(yè)內(nèi)控實踐經(jīng)驗的積累而逐步發(fā)展起來的。內(nèi)部控制理論的發(fā)展先后經(jīng)歷了內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)與內(nèi)部控制整體框架等四個不同的階段。就目前來看，內(nèi)部控制的權(quán)威定義來自于1992年COSO（The Commit-tee of Spons oring Organizations of the Treadway Committee）頒布的《內(nèi)部控制———整體框架》報告，該報告認為內(nèi)部控制是由企業(yè)的董事會、管理層、和其他成員實施的，為營運的效率、效果、財務報告的可靠性以及法律規(guī)章的遵循性提供合理保證的過程。它是由控制環(huán)境、風險評估、控制程序、信息與溝通和監(jiān)督五大要素組成的。

（二）風險管理理論。

風險管理是一門新興的管理學科，其涉及到的行業(yè)和領域比較廣泛，尤其是在企業(yè)界，有關(guān)風險管理的理論研究受到了極大的關(guān)注，風險管理的具體實踐也得到了一些落實。關(guān)于對風險管理的理解可以從表層和深層的兩個角度分析。從表層上講，風險管理是對生產(chǎn)活動或行為中的風險進行管理；從更深層次上講，風險管理是指風險管理負責人通過風險識別、風險評價和風險量化等風險分析活動，對風險進行規(guī)劃、控制、監(jiān)督，從而增大應對威脅的機會，以成功的完成并實現(xiàn)總目標。對風險管理的研究目前已經(jīng)形成兩大學說，一種是美國學說，一種是英國學說。美國學者把風險管理的對象局限于純粹風險，在概念上側(cè)重風險處理。英國COSO在1992年頒布了《企業(yè)整合框架》，該框架認為企業(yè)風險管理是一個過程，該過程由企業(yè)董事會、管理層和其他員工共同參與，應用于戰(zhàn)略制定，貫穿于企業(yè)各層級和部門，為識別影響企業(yè)的潛在事項和風險而設計，為企業(yè)目標的實現(xiàn)提供合理保證。

二、內(nèi)部控制與風險管理的關(guān)系分析

（一）內(nèi)部控制與風險管理的關(guān)系研究回顧。

結(jié)合國際上對內(nèi)部控制與風險管理的權(quán)威定義，以及國內(nèi)外學者對內(nèi)部控制與風險管理關(guān)系的研究總結(jié)出三種代表性觀點：

1、風險管理包括內(nèi)部控制。

COSO在2004年出臺的《企業(yè)風險管理——整體框架》中明確指出企業(yè)風險管理包括內(nèi)部控制。企業(yè)風險管理框架并未取代內(nèi)部控制，而是將內(nèi)部控制框架整體納入其中，風險管理包含的八要素涵蓋了內(nèi)部控制整體框架的五要素，由此說明內(nèi)部控制是風險管理的一種方式，企業(yè)風險管理比內(nèi)部控制范圍廣得多。

2、內(nèi)部控制包括風險管理。

COSO在《內(nèi)部控制——整體框架》報告中將風險評估作為企業(yè)內(nèi)部控制的一個組成要素，實際上就是將風險管理包含在內(nèi)部控制的范圍之內(nèi)。英國FSA在《綜合準則》(The Combined Code，1998)中關(guān)于內(nèi)部控制的規(guī)定也第一次以官方文件的形式明確將風險管理包含在內(nèi)部控制之中。

（二）內(nèi)部控制與風險管理逐漸走向融合。

1、理論上相互融合。

COSO在1994年將《內(nèi)部控制———整體框架》修改為《企業(yè)風險管理———整體框架》，其根本原因在于內(nèi)部控制的出發(fā)點與最終目的就是為了控制和管理風險。雖然內(nèi)部控制的目標與控制層次不斷提升，但風險控制與管理始終是其核心，從字面理解上可知內(nèi)部控制就是控制風險，控制風險就是風險管理。所以內(nèi)部控制和風險管理是控制風險的兩種不同語義表達形式。風險管理無疑是內(nèi)部控制在新形勢下的自然升華，它是更主動、更全面的內(nèi)部控制。

2、實踐中相互融合。

在風險導向內(nèi)部控制的觀念下，風險管理成為企業(yè)生存并且發(fā)展壯大的關(guān)鍵環(huán)節(jié)，內(nèi)部控制的工作重點也由制定單純的內(nèi)部控制制度轉(zhuǎn)變?yōu)閷で鬁y試管理風險和確認風險的方法，內(nèi)部控制工作在改進風險管理和完善企業(yè)治理機構(gòu)等方面將發(fā)揮更加積極作用，同時，內(nèi)部控制也被賦予了更多的職責和使命。尤其是近年來在美國發(fā)生的財務造假案導致了安然、世通等跨國大公司的破產(chǎn)，同時也導致了安達信這樣一個有著90多年歷史的世界級會計師事務所退出了歷史舞臺。這些事件的發(fā)生，在全球引起了各方對民間審計機構(gòu)誠信問題的探討，同時也觸動了人們對企業(yè)內(nèi)部控制的進一步思索。無一不認為企業(yè)內(nèi)部控制制度的發(fā)展演進與企業(yè)面臨的風險相關(guān)，風險管理涉及的層次更深更廣，內(nèi)部控制將逐漸走向風險管理。

三、我國內(nèi)部控制與風險管理的現(xiàn)狀分析

（一）內(nèi)部控制和風險管理責任主體單一。

就目前來講，很多企業(yè)的內(nèi)部控制和風險管理制度往往都是由經(jīng)理層制定的，使經(jīng)理層成為唯一的責任主體，其目的是為了更好的服務于高層管理者控制企業(yè)的資產(chǎn)和業(yè)務，控制中層管理者和企業(yè)員工的行為，而對于高層管理者(如總經(jīng)理、執(zhí)行董事)則缺乏制約控制能力。在這種情況下往往將為企業(yè)帶來經(jīng)營風險并導致經(jīng)營失敗。內(nèi)部控制和風險管理的主體應該是一條自上而下的鏈條，因此，有必要讓企業(yè)所有的利益相關(guān)者，尤其是公司的股東和董事會認識到內(nèi)部控制、風險管理的重要性和緊迫性，從而加強對內(nèi)部控制的制定和實施。

（二）風險管理意識有待提高，風險管理理念沒有得到推廣。

企業(yè)經(jīng)營者和管理者的風險意識在現(xiàn)階段比較淡薄，風險管理作為一種職能和理念尚未融入到我國企業(yè)的管理過程當中，因此企業(yè)管理層對于風險管理的重要性認識還不到位，風險管理手段相對落后。在項目決策和公司治理方面，對風險評估、信用等級評定缺乏有效的評定標準，缺乏專業(yè)風險管理及監(jiān)控體系，制定不出有效的風險管理方案。盡管有一些風險管理措施，但僅局限于口頭上或者制度上，或者實施力度不強，風險管理水平較低。

（三）內(nèi)部控制固有的局限性還未引起足夠的重視。

無論是理論界還是實務界往往將企業(yè)倒閉、破產(chǎn)或不能正常經(jīng)營歸因于企業(yè)的內(nèi)部控制制度存在缺陷，這雖然沒有錯，但忽視了內(nèi)部控制失效的另一個重要原因，即內(nèi)部控制固有的局限性。COSO報告在闡述內(nèi)部控制的四大局限時提到:內(nèi)部控制既不能解決管理階層人員素質(zhì)問題也不能左右政府政策或經(jīng)營環(huán)境。因此對于凌駕于傳統(tǒng)內(nèi)部控制之上的風險，傳統(tǒng)的內(nèi)部控制很難解決。

（四）企業(yè)缺少適當?shù)娘L險管理機制。

我國企業(yè)中只有銀行、保險、證券公司等金融機構(gòu)比較注重風險管理，并且因為金融行業(yè)的風險性較大，所以許多金融機構(gòu)也按照國家相關(guān)法規(guī)的要求建立了自身的風險管理機制，但是至于我國其他企業(yè)則很少具備自身的風險管理機制，并且也缺乏對普通企業(yè)如何建立風險防范機制的相關(guān)研究。COSO在《企業(yè)風險管理一總體框架》這一報告中認為風險管理作為企業(yè)內(nèi)部控制不可缺少的一個要素，它不單是簡單被動地應對各種風險，而是積極地通過對風險的識別、分析、控制這一風險管理過程來幫助企業(yè)合理有效地規(guī)避風險危害以及利用風險機會。因此，我國企業(yè)應充分重視風險管理機制的必要性和重要性，有關(guān)機構(gòu)也應加強對普通企業(yè)建立風險管理機制的研究工作。

四、培養(yǎng)企業(yè)內(nèi)部控制與風險管理能力的對策

（一）完善公司治理與內(nèi)部控制環(huán)境。

由于我國市場經(jīng)濟尚處于發(fā)展階段，證券市場也處于新興加轉(zhuǎn)軌階段，股權(quán)結(jié)構(gòu)異化，股權(quán)文化缺失，公司治理形備而實不至。因此應加強公司治理建設，利用董事會、監(jiān)事會、股東相互制衡的方式來解決企業(yè)高層人員“一人獨大”而帶來的風險。將公司經(jīng)營層面的內(nèi)部控制與公司治理層面的內(nèi)部控制結(jié)合起來，從根本上改善內(nèi)部控制環(huán)境，實現(xiàn)對公司風險的全面控制。

（二）建設有效的風險管理體系。

就目前來看，我國絕大多數(shù)企業(yè)對內(nèi)部控制的重要性認識不足，內(nèi)控結(jié)構(gòu)很不完善，控制效率低下，風險意識淡薄，從而導致我國企業(yè)的內(nèi)部控制在總體上存在著內(nèi)部控制環(huán)境惡劣、控制活動薄弱、信息流通不暢和對內(nèi)部控制的監(jiān)控不力等問題。因此我國企業(yè)必須注重風險管理體系的建設，在該體系中應重點包括控制戰(zhàn)略風險、控制經(jīng)營風險、控制財務風險等預防和處理措施。風險管理體系的建立將使企業(yè)內(nèi)部控制制度更加健全，而健全的內(nèi)部控制制度又可以有效地防止和降低風險可能帶來的各種損失，促進效益最大化，提高企業(yè)的市場競爭力。

（三）實施動態(tài)的過程管理，控制經(jīng)營活動風險。

1、實施全面預算管理。

企業(yè)應該設立預算管理機構(gòu)，聘請專業(yè)人員編制預算并且嚴格預算的執(zhí)行與監(jiān)督，合理的進行預算分析和評估，從而達到預防風險、控制風險、強化風險管理的目的。

2、實施資金集中管理。

建立高效的籌資、融資系統(tǒng)，加強資金使用管理及外匯風險的管理來降低和規(guī)避風險。

（四）強調(diào)全員參與，高度關(guān)注內(nèi)部控制與風險管理。

首先，企業(yè)要高度重視對控制環(huán)境的建設，完善法人治理結(jié)構(gòu)，建立權(quán)力制衡機制；管理層要重視內(nèi)部風險控制的成效，不斷提高整個員工的綜合素質(zhì)，重點培育和加強全員風險管理意識，通過培訓幫助員工建立系統(tǒng)的全面風險管理理論，使員工充分意識到風險管理的重要性，并使他們增強對風險的敏感度，擺正風險管理和企業(yè)發(fā)展的關(guān)系，同時建立風險控制制度和獎懲制度，幫助員工了解自身工作的責任；其次，樹立企業(yè)風險管理文化，通過各種途徑將風險控制文化傳遞給每一個員工，使風險管理理念滲透到每個部門、每個崗位和每個工作環(huán)節(jié)。建立從董事會到部門到員工嚴密、暢通的信息網(wǎng)絡，設立良好的信息與溝通系統(tǒng)，形成以部門為單位的風險責任中心，確定部門風險控制目標并落實到責任人；最后，培育風險管理的綜合型人才，引入競爭機制，合理配置企業(yè)人力資源，在注重加強員工的業(yè)務素質(zhì)教育的同時，加強員工守法意識和職業(yè)道德教育。

（作者：廣東商學院會計學院2009級研究生，研究方向：財務會計理論與實務）

參考文獻：

[1]COSO制定發(fā)布.方紅星，王宏譯.企業(yè)風險管理——整合框架.東北財經(jīng)大學出版社，2005.

[2]謝志華.內(nèi)部控制、公司治理、風險管理：關(guān)系與整合.會計研究，2007.10。

[3][美] Steven J. Root，付濤等譯.超越COSO:加強公司治理的內(nèi)部控制.清華大學出版社. 2004.

[4]郭曉龍.我國中小企業(yè)風險管理研究.首都經(jīng)濟貿(mào)易大學學報，2008.