基于風險管理的企業內部經營控制系統構建

【摘 要】近年來，人們越來越清楚地認識到需要一個強有力的框架以便有效地控制風險。為此，本文提出基于風險管理的企業內部經營控制系統。該系統一方面強調風險管理與內部控制要素的融合;另一方面提出價值導向的內部控制(企業價值最大化是企業內部控制的目標)，即內部經營控制。

【關鍵詞】風險管理; 經營控制; 業務控制

一、問題的提出

進入新世紀以來，美國一批巨人企業相繼倒下，引發了人們對企業內部控制與風險管理的反思。反思的結果直接導致了《薩班斯法案》的出臺和COSO《企業風險管理—整合框架》的建立。企業風險管理整合框架進一步拓展了內部控制內涵，更加強調風險管理，并為實現主體的戰略、經營、報告和合規四種類型的目標提供了合理保證。誠然，企業風險管理整合框架并沒有完全取代內部控制整合框架，但是它涵蓋和拓展了后者(方紅星，2005)。雖然企業風險管理整合框架有力地推動了內部控制的發展，更加重視風險管理，但關鍵還在于企業如何深入理解風險管理與內部控制的有效融合，并將其有效運用到內部控制實踐當中。近年來，我國相繼發生的德隆危機、伊利股份、創維數碼、四川長虹、新加坡中航油事件等失敗案例或重大丑聞，或多或少都與企業風險管理缺失有關。這些事件的曝光一方面催生了我國企業內部控制標準委員會的成立和企業內部控制規范的頒布;另一方面導致研究和制定基于風險管理導向的內部控制應用指南迫在眉睫。

二、理論分析

COSO《企業風險管理—整合框架》提出企業的四大目標即戰略目標、報告目標、經營目標和合規目標。內部控制按照目標分類可以分為:以實現企業戰略目標為目的的戰略控制;以保證企業遵守相關法規、法律的法規控制;以保證報告可靠性為主的會計控制;以保證企業經營效率和效果的經營控制。現實中人們通常關注的是報告目標的實現和會計控制。事實上，經營控制是企業實現戰略目標的核心和關鍵，因為企業存在的目的是為它的利益相關者創造價值，也就是經營效率最大化，為此，應該把研究和實踐的重點放在經營目標的實現，也就是經營控制。而會計控制是企業實現戰略目標的基礎，法規控制是企業實現戰略目標的保障。戰略目標是與企業使命有關的總括性目標，它的實現需要通過分解和細化為經營目標才能得以落實。沒有經營控制，戰略目標的實現只能是“海市蜃樓”“可望不可及”。

筆者認為，經營控制才是企業內部控制的核心和靈魂，是以企業價值最大化為導向的內部控制。但是環境的不確定性導致管理當局不得不在追求價值最大化的過程中關注風險，而實施風險管理能夠幫助管理當局有效地處理不確定性以及由此帶來的風險與機會，從而提高企業創造價值的能力，實現企業價值最大化的目標，也就是實現企業的經營效率最大化。可見，既關注風險管理，又以經營控制為核心才是研究內部控制的關鍵所在。基于此，筆者試圖以風險管理為導向構建企業內部經營控制系統。

三、系統的構建

本文在COSO發布的風險管理框架的指導下，設計出一套以控制環境為基礎，以監控為整個企業經營正常運行的監督系統，從企業管理角度考慮的管理控制和以生產循環角度出發的業務控制組成的內部經營控制的系統體系。不管是管理控制還是作業控制，它們的最終控制對象都鎖定在企業的資源投入產出過程，更具體來說就是企業得以生存發展的流程循環。其關系如圖1所示。

對以上內部經營控制系統的理解應該把握以下幾個方面:

(一)控制環境和監控是基礎

一個企業內部環境的重要性和它對企業內部控制的其他構成要素所能產生的正面或負面影響，怎么強調都不過分。一個無效的內部控制環境影響會很廣泛，可能會導致財務損失、損害公眾形象或經營失敗。因此管理層應加強對以上各方面的管理，建立一個和諧、適宜的內部控制環境。監控是指對執行內部控制過程的質量進行監督，內部控制者本身也需要被控制或監督，這是一個完善的控制系統的必備要素，經營控制系統也不例外。對于一個經營控制如果沒有監督，或者說控制得好壞對控制者都一樣，勢必影響經營控制的水平與效果。

(二)風險管理與目標制定、控制活動、績效評價以及信息溝通要素之間是相互作用的關系

風險評估貫徹于其他四個要素之中。企業在制定內部經營控制目標時，應該確定和選擇一個與戰略目標相一致的風險偏好，“風險容忍度”是相對于目標的實現而言所能接受的偏離程度。在選擇控制活動時，管理層應該考慮他們的相互關聯性，確保是在企業風險容忍度范圍內的有效控制活動;在績效評價時不僅需要衡量一些確定的量化因素，還需要一些不確定的非量化指標如對風險大小的衡量，從而全面地衡量一個企業的業績水平。同樣，要實現對風險的有效控制，其他幾個要素是其保證。企業在制定風險管理決策時，需要根據風險大小制定目標，從而很好地預防或者應對風險;控制活動本身就是一個風險應對過程，一個公司可能依靠一個單一的控制活動來應對多重風險。另一方面也可能針對一項風險應對措施考慮多種控制活動;績效評價是一個企業衡量實際效果偏離預算目標的量化指標，一般而言，偏離程度越大，風險越大;信息溝通與反饋是一個橋梁，連接戰略目標和經營控制效果，只有高質量的信息和暢通的交流溝通才能最大限度地減小風險。

(三)對于管理控制或者是作業控制應該怎樣把觀點付諸于行動，即如何控制問題

可以把各種控制要素分解為幾種方法達到控制目的。如可以把控制活動分解為組織規劃控制、授權批準控制、全面預算控制、文件記錄控制、實物保護控制等，也可以把風險管理控制分為全面預算控制、風險防范控制以及內部審計控制等等，如圖2所示。

(四)經營控制的起點和落腳點都在戰略目標

戰略目標是高層次的目標，它與主體的使命相協調，反映管理當局就主體如何為它的利益相關者創造價值作出選擇。它是進行經營控制的起點。只有制定出企業的戰略目標，然后將其分解為切實可行的具體控制目標，經營控制才有目標和依據。而內部控制(經營控制也不例外)存在的根本原因就在于保證戰略目標的實現，從而最終實現企業的根本目標即最大可能地追求企業價值最大化。經營控制在企業組織中的地位如圖3所示。

在這里業務控制是對以風險管理導向的經營作業流程中出現的關鍵點而制定的控制活動，對于各業務循環的控制流程，重點分析并鑒別其中容易發生偏差的環節。這些可能發生錯弊因而需要控制的業務環節，通常稱為控制環節或控制點。控制點按其發揮作用的程度而論，可以分為關鍵控制點和一般控制點。那些在業務處理過程中發揮作用最大，影響范圍最廣，甚至決定全局成效的控制點，對于保證整個業務活動的控制目標具有重要的影響，即為關鍵控制點;相比之下，那些只能發揮局部作用，影響特定范圍控制點，則為一般控制點。作業控制出現在整個企業內的各個職能部門，包括諸如核準、授權、驗證、復核營業績效、保障資產安全以及職務分工等多種活動。

四、應用前景

本文以國內外一系列令人矚目的公司丑聞爆發為契機，以美國COSO發布的《企業風險管理—整合框架》為理論基礎，結合我國內部控制理論，提出價值導向的以風險管理為核心的內部控制系統。該系統的構建一方面滿足了從實踐出發的要求;另一方面以我國最新出臺的內部控制法律法規的出臺為背景，具有較強的實踐指導意義。希望本文的研究框架能夠引導國內企業制定切實可行的內部控制制度，從而加強對風險的防范與管理，實現企業價值最大化的經營目標。●

【參考文獻】

[1] 方紅星，等譯.COSO.全面風險管理:整合框架[M].第1版.遼寧大連:東北財經大學出版社，2005.16-32.

[2] 張宜霞，等譯.COSO.全面風險管理:應用技術[M]. 第1版.遼寧大連:東北財經大學出版社，2006.20-30.

[3] 金昉，李若山，等.“COSO報告下的內部控制新發展”[J].會計研究，2005，(2):32-38.

[4] 李心合.“內部控制:從財務報告導向到價值創造導向”[J].會計研究，2007，(4):54-60.

[5] 張先治.內部管理控制論[M].第1版.北京.中國財政經濟出版社，2004.139-145.

[6]朱榮恩，賀欣.“內部控制框架的新發展——企業風險管理框架”[J].審計研究，2003，(6):11-15.