關于內部控制和風險管理

2009-04-29 00:00:00周斌

中國經貿 2009年18期

摘要:內部控制和風險管理是加強企業內部經營管理、促進企業價值最大化的兩個重要領域。近年來，財政部、證監會等國家監管部門陸續聯合發布了《企業內部控制基本規范》，《內部會計控制規范》等許多相關法規，對于加強我國企業內部控制和風險管理起到了規范和指導作用。本文闡述了內部控制基本理論的基礎上，側重分析企業內部控制和風險管理的關系以及如何加強兩者的聯系以更好的推進企業經營管理的改進，引進美國紐約銀行的成功案例，希望對我國企業加強內部控制和風險管理有所裨益。

關鍵詞:內部控制;風險管理;薩班斯法案;COSO框架

一、內部控制的內涵、基本原則

1.內部控制的內涵、側重點

(1)內部控制的內涵。內部控制是指企業的內部管理控制系統，包括為保證企業正常經營所采取的一系列必要的措施。內部控制貫穿于企業經營活動的各個方面，只要存在企業經濟活動和經營管理，就需要有相應的內部控制。

(2)內部控制的側重點。要加強企業內部控制，提高內部控制的水平，需從以下側重點抓起。

①內部控制具有一定的目的性，為達到某種或某些目標而實施。

②內部控制是為達到某個或某些目標而進行的過程，且是一種動態的過程，是使企業的經營依循既定的目標前進的過程。它本身是一種手段而非一種目的。

③內部控制與企業經營活動相互交織，為企業基本的經營活動而存在。

④內部控制深受企業內部和外部環境的影響，環境影響企業控制目標的制定與實施。

⑤企業中的每一名員工既是控制的主體又是控制的客體，既對其所負責的作業實施控制，又受到他人的控制和監督。

⑥所有的內部控制都是針對“人”而設立和實施的，企業內部會形成一種控制精神和控制觀念，直接影響到企業的控制效率和效果。

2.內部控制的基本原則

了解及堅持內部控制的基本原則，有利于企業組織內部加強內部控制、降低企業非系統風險，從而促進企業安全運行。內部控制的基本原則包括:

(1)內部控制應涵蓋企業內部的各項經濟業務、各個部門和各個崗位。

(2)內部控制應當符合國家有關法律法規和本企業的實際情況，任何部門和個人都不得擁有超越內部控制的權力。

(3)內部控制應當保證企業內部機構、崗位及其職責權限的合理設置和分工，堅持不相容職務相互分離，確保不同機構和崗位之間權責分明、相互制約、相互監督。

(4)內部控制應當正確處理成本與效益的關系，保證以合理的控制成本達到最佳的控制效果。

二、依托COSO理論構建內部控制整體框架

1.COSO理論框架內容

2003年7月，美國COSO委員根據薩班斯法案的相關要求，頒布了“企業風險管理整合框架”的討論稿(Draft)， 2004年9月正式頒布了《企業風險管理整合框架》(COSO-ERM)，標志COSO委員會最新的內部控制研究成果面世。

COSO企業風險管理的定義 :“企業風險管理是一個過程，受企業董事會、管理層和其他員工的影響，包括內部控制及其在戰略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證?！盋OSO-ERM框架是一個指導性的理論框架，為公司的董事會提供了有關企業所面臨的重要風險，以及如何進行風險管理方面的重要信息。

2.構建內部控制整體框架

(1)企業風險管理的目標體系。新COSO報告將企業風險管理的目標歸為戰略目標、經營目標、報告目標、合規目標四類。戰略目標，與企業的使命相一致，企業所有的經營管理活動必須長期有效的支持該使命;經營目標，與企業經營的效果與效率相關，包括業績指標與盈利指標，旨在使企業能夠有效及高效地使用資源;報告目標，該目標關注企業報告的可靠性，分為對內報告和對外報告，涉及財務和非財務信息;合規目標，是最基礎的目標，指企業經營是否遵循相關的法律法規。

(2)企業風險管理的要素構成。在內部控制整合框架五個要素的基礎上， COSO企業風險管理的構成要素增加到八個:①內部環境;②目標設定:③事項識別;④風險評估;⑤風險應對;⑥控制活動;⑦信息與溝通;⑧監控。八個要素相互關聯，貫穿于企業風險管理的過程中。

(3)企業風險管理目標與要素的聯系。目標是指一個主體力圖實現什么，企業風險管理的構成要素則意味著需要什么來實現它們，二者之間有著直接的關系。此外，新COSO報告還強調在整個企業范圍內實行風險管理。這種關系可以通過一個三維矩陣以立方體的形式表示出來。

3.COSO框架理論對中國的啟示

(1)成立風險管理標準委員會，形成多元民主的制定機制。

(2)建立以風險為導向的“中國企業內部控制框架”，向構建“中國企業風險管理框架”自然過渡。

(3)各界根據風險管理框架，制定或修訂各自的風險管理規范。如果“中國企業風險管理框架”能夠及時推出，各部門、系統據其修訂或制定相應的風險管理文件是解決問題的最理想方案。

三、薩班斯法案對我國內部控制的借鑒

1.我國內部控制現狀

(1)企業內部控制環境急需建設。我國企業內部控制普遍存在一下問題:內部控制意識淡薄;人員素質較低;組織機構設置不合理;企業制度不健全;沒有形成法制制約的大環境，還沒有真正形成有法可依、執法必嚴、違法必究的大環境。

(2)控制不力。在我國企業中，財務與會計合署辦公、會計人員素質較低、責權不對等、風險控制意識較弱、監督不強、信息交流不暢通等問題普遍存在，今后要特別注意開發與引進先進的企業財務與管理軟件，逐步建立高質量的企業信息溝通系統。國內也有不少由于內部控制缺失導致經營風險的案例，比如亞細亞、中航油、中儲棉、國儲銅等事件，折射出了我國企業內部控制嚴重缺失，風險管理水平低下，監管缺位等管理上的弊端，給企業和國家造成了重大損失。

2.管理者責任

法案突出了內部管理者的法律責任，一旦出了問題，管理者不但要在經濟上受到處罰，而且要追究刑事責任。建議我國也應界定管理當局的責任。管理層必須承擔公司內部控制有效性的責任，并運用恰當的控制標準(如COSO標準)來評價公司內部控制的有效性，對形成的評估結果有足夠的證據支持，同時簽署一份關于公司內部控制有效性的書面申明。

3.建立管理者定期評價內部控制機制

(1)健全法律法規，對內部控制有效性進行強制性規定。近年來，財政部、證監會等國家監管部門陸續在2001年和2008年發布了我國《內部會計控制規范》、《企業內部控制基本規范》等相關法規，對于加強我國企業內部控制和風險管理起到了規范和指導作用。今后，還應在遵循以上法規和加強企業內部控制過程中，不斷總結經驗、分析教訓產生的原因，學習其他國家相關法律法規的先進之處，逐步改進和健全我國加強內部控制和防范企業經營風險的法規體系，促進企業健康發展。

(2)制定科學規范的評價標準。由于缺乏一套完整的內部控制體系，造成內部控制有效性評價流于形式。因此，投入一定的人力、物力、財力，盡早建立一套完整的、公認的內部控制標準，使內部控制評價有章可循是必要的。

(3)統一內部控制規范的內容。目前我國理論與實務界沒有對內部控制的內容形成一致的意見。我國內部控制的內容范圍與COSO報告相比，還有相當的距離。有關內部控制規范的內容主要集中在會計領域，內部控制貫穿于整個生產經營全過程，企業的外圍環境、文化理念、經營哲學等控制環境與風險因素都應納入企業內部控制的范圍來予以考慮。

四、企業風險管理理論基礎及與內部控制的關系

1.企業風險管理理論基礎

(1)戰略管理理論。戰略管理包含四個關鍵流程:戰略分析;戰略選擇;現代企業風險管理框架研究戰略實施;戰略評價和調整。企業在實行戰略管理的過程中，風險始終伴隨其中，其成功實施需要風險管理的密切配合。兩者是有機結合，相互交融的。

(2)系統論。系統論的觀點和方法為我們建立風險管理系統結構提供了理論依據。風險管理由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個要素構成并相互影響的動態的過程，在企業的生產經營管理中發揮著重要作用，是一個系統，與其他系統一樣具有整體性、聯系性、層次性、目的性、環境適應性、動態性的特征。

2.企業風險管理與內部控制的關系

內部控制是風險管理的基礎和本質要求，風險管理是內部控制的自然延伸與升華，二者現階段是相互交叉融合的，只是在不同行業、不同時期、企業的不同層次，企業對內部控制和風險管理的強調各有側重。

(1)行業本身特性。從事金融業的企業一般都非常強調風險管理的重要性，對風險管理的需求也就更迫切，因而以風險管理主導內部控制可能更方便。對于其它一般性制造企業等來說，為了符合信息披露中內部控制報告的要求，企業以內部控制系統為主導、兼顧風險管理可能更適合。

(2)企業所處的生命周期。在初創期，企業高管層一般更加重視內部控制的強化。在成長期，企業面臨的經營風險與市場風險也越來越大，以風險管理主導內部控制的管理模式可能更利于企業的發展。企業進入了成熟期，此時企業一般會努力健全組織體系與制度體系，在內部控制上會加大力度。在衰退期，企業的規模大但包袱沉重，內部控制成了企業高管層無法逃避的現實問題。

(3)企業內部不同層次。從企業的戰略風險依次到經營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性各有不同。在戰略風險方面，風險管理發揮主導作用，內部控制起到配合作用。到財務報告層次，內部控制發揮主導作用，風險管理起到配合作用，但隨著市場條件的日益成熟，技術的不斷進步，法律及監管實踐的發展，內部控制必然走向風險管理。

五、美國紐約銀行加強內部控制和風險管理結合的成功案例

美國紐約銀行的風險管理與監控活動是由董事會及其下設的審計與檢查委員會及風險委員會的授權開始。這兩個委員會定期審查銀行風險暴露情況、風險政策及風險管理活動，而風險政策主管除了負責日常監督及政策授權外，并與審計主管、合規主管共同維系風險管理結構的有效運作，已完成以下的階段性目標:

1.確保銀行風險經過適當辨識、監督、報告及評價。

2.闡明銀行承受的風險種類與風險單位數，并傳達至具體負責單位。

3.維持風險管理組織的獨立性。

4.促進風險管理文化的健全和對風險調整績效的重視。

美國紐約銀行內控系統的設計用來鞏固銀行財務、業務環境、市場操作、法規遵循等的健全，并有內部稽核監督及測試其余財務報告系統整體的有效性;而銀行風險的處理程序可確保政策能一致地被執行。銀行獨立的操作風險管理架構，建立在強健的風險管理文化之上，并分為以下三個層次:

(1)風險委員會:其任務包括對銀行操作風險策略的監督及核準，該委員會并定期開會討論關鍵風險一體機操作風險提案，同時也對風險管理系統的有效性提出審核。

(2)操作風險管理部門:負責發展風險政策及評估、監督、衡量風險的工具。此外，促進風險管理效率及創造改善風險管理控制功能的動機也是操作風險管理部門的重要任務。

(3)各級業務部門管理人員:負責維持業務內有效內控系統的正常運作，并維持銀行風險布局與銀行所訂立的政策一致。

文獻綜述:

[1]財政部、證監會、審計署、銀監會、保監會.《企業內部控制基本規范》，2008-6-28