企業內部控制及風險管理解析

摘要:目前，在對企業內部控制和風險管理關系的探討尚無共識。通過對企業內部控制和風險管理的含義，以及二者的關系進行了詳細的分析，并指出了當前我國企業內部控制上存在的不足，在此基礎上提出了加強內部控制的建議。

關鍵詞:企業;內部控制;風險管理

中圖分類號:F272 文獻標志碼:A文章編號:1673-291X(2010)02-0154-02

隨著全球經濟一體化以及我國市場經濟的迅速發展，企業組織結構以及面臨的風險也日益復雜化。一些國內外知名公司財務丑聞的相繼出現，使得人們對企業內部控制與風險管理越發重視。建立和完善企業內部控制制度，識別和衡量企業內外部風險以提高企業競爭力，實現企業價值也就顯得尤為重要。故而，我們有必要對企業內部控制及風險管理進行深入細致的研究，深刻理解二者的含義，剖析二者之間的關系，進而尋找一條適合我國企業的內部控制及風險管理制度，促進我國企業的健康、穩定發展，提高我國企業的國際競爭力。

一、內部控制與風險管理的含義

(一) 內部控制的含義

內部控制理論的發展經過了幾個不同的階段，包括內部牽制階段、內部控制制度階段、內部控制結構階段與內部控制整體框架階段等。2008年6月28日我國出臺的《企業內部控制基本規范》認為，內部控制是指由企業董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構，以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:(1)企業戰略;(2)經營的效率和效果;(3)財務報告及管理信息的真實、可靠和完整;(4)資產的安全完整;(5)遵循國家法律法規和有關監管要求。COSO 委員會頒布了《內部控制——整體框架》報告，內部控制由控制環境、風險評估、控制程序、信息與溝通和監督五大要素組成。這五個要素之間相互關聯，相互作用，形成一個有機的系統，從而可以對環境的變化作出及時靈活的反應。

(二) 風險管理的含義

COSO委員會在出臺的《企業風險管理框架》報告中指出了風險管理的定義。它認為:“全面風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響，從企業戰略制定開始貫穿至企業的各項活動中，用于識別那些可能影響企業的潛在事件并管理風險，使之在企業的風險偏好之內，從而合理確保企業既定的目標。”認為風險管理包括內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督八個相互聯系的要素。從該報告可以看出，COSO委員會在原有的內部控制體系之下融入了風險管理的思想。在風險管理的過程中，管理者需要收集來自企業的各種內部和外部的風險信息，進而對風險進行評估，制定風險管理策略，最后提出和實施應對風險的具體措施。

二、內部控制與風險管理的關系

在內部控制與風險管理關系的探討上，理論界的觀點不一。一種觀點認為風險管理包括內部控制，這以COSO委員會以及英國Turnbull委員會的觀點為代表。一種觀點認為內部控制包含風險管理，加拿大COSO報告以及CICA都支持這種觀點。另一種觀點認為內部控制等同于風險管理，認為在理論上，風險管理系統與內部控制系統沒有差異，二者是等同的。

從上文對企業內部控制和風險管理的內涵分析來看，二者之間是具有一定的相似之處的。譬如，首先，它們都強調全員參與的觀點，認為各方在企業內部控制以及風險管理的過程中都應發揮應有的作用。其次，二者都認為內部控制和風險管理是一個過程，滲透在企業日常的生產經營管理過程中。最后，二者都為企業價值的實現提供合理保證。但是，也應該看到，二者在一些方面還是存在著很多不同。從內容上看，風險管理除了包括內部控制的三個目標外，又對內部控制內容進行了新的拓展，增加了戰略目標，將風險評估細分為目標設定、事項識別、風險評估和風險應對四個要素。在具體的方法上，風險管理側重對風險的定量分析與管理。可見，風險管理是站在更高的戰略層次分析問題，在對風險問題的處理上，較內部控制更加細化，可以更好地解決企業日常以及其他經營活動中出現的各種風險問題，以減少企業風險，在企業風險識別和應對方面發揮更加積極有效的作用。

從以上的分析我們可知，不管是從《內部控制—整體框架》到《企業風險管理—整體框架》，內部控制的最終目的都是為了控制和管理風險。在這個轉變的過程中，內部控制的目標和立足點也有所不同，這只是隨著外部經濟條件以及內部組織結構等相關方面的變化而做出的相應的調整。所以說內部控制主要是從風險控制的方式和手段說明風險控制的，風險管理就是從風險控制的目的來說明風險控制的。風險管理著重了對風險的分析、識別和應對，這是與傳統的內部控制有所不同的，總之，風險管理應該是當前經濟條件下對內部控制的完善和提升，從而更加豐富和拓展了內部控制的內涵和外延。

三、我國企業內部控制與風險管理現狀分析

(一) 風險意識薄弱，管理水平較低

在企業面臨的諸多風險中，最主要的是營運風險，識別和應對運營方面的風險對企業長期經營目標的實現是至關重要的。但是在當前情況下，風險管理思想和理念還沒有完全融入到企業的生產管理過程中，企業風險管理的技術水平低，企業還缺乏一種有效的風險識別、評估和反應機制，企業抗風險能力低。

(二) 對內部控制理解片面，缺乏對其他風險的關注

目前，企業只對傳統意義上的內部控制比較重視，例如不相容職務要分離等，有些甚至認為內部控制只與某一特定業務相關聯，對內部控制的理解具有片面性，從而忽視了對傳統內部控制之外的風險的控制和衡量。例如，外部重大不利事項，外部經濟、技術條件的變化等，企業若加強對這些風險的控制，就會為企業創造一個更好的內外部發展空間，減少更多風險，但在這些方面，我國企業還存在不足，這些都要在以后的管理模式中逐步完善。

(三) 內部控制執行不力，缺乏對內部控制的評價機制

因內部控制制度執行不力導致經營失敗的案例在我國可謂屢見不鮮。許多企業的內部控制制度只是形式主義，形同虛設，并沒有真正的實施。即便是實施，在實施的過程中仍存在許多問題，如內部控制不能應對凌駕于內部控制之上的風險，這里主要是指管理層凌駕于內部控制之上的風險。內部控制無法發揮對高層管理者的制約作用，而企業往往會因為缺乏對公司高層管理者的有效控制和監管而帶來風險。除此之外，長期以來，對企業管理者業績考核往往以利潤為指標，評價方式不具有多樣性，往往忽視對內部控制的綜合評價，這也不利于內部控制制度的貫徹和執行。

四、改進企業內部控制與風險管理的措施

(一) 建立風險管理型內部控制，提高應對風險的能力

風險管理型內部控制是以風險為切入點和核心對公司內部制度實施控制，是有效指導和約束公司制定并實施內部控制制度的關鍵。在理論上，它著重從決策層面上管控戰略方向選擇、重大業務決策等方面的風險。在實踐上，它強調通過制度、流程和財務等手段，在業務層面上管控運營、操作過程中的風險，側重在操作層面的風險管理。風險管理型內部控制體系包括風險內控體系(即對企業生產經營活動實行事前控制、事中控制以及事后控制)、集團企業內部控制模式以及根據企業不同的情況從不同的角度實施的管理控制。這樣就將管理的模式與企業實際情況相結合，充分利用了現有資源，更好地發揮風險管理的積極作用，達到了風險管理和內部控制的要求。

(二) 加強對公司治理層面的內部控制。

針對管理層凌駕于內部控制之上的風險，應明確分為經營層面的內部控制和治理層面的內部控制，經營層面的內部控制側重于內部業務、經營、資產控制，制定的治理層面的內部控制要可以應對董事、高層管理者等凌駕于內部控制之上的風險，建立相應的權力制衡機制以及互相監督的管理模式，同時，也要賦予員工監督和制約管理層的權利，實現更高層次的監督和制約。從而實現不同層面的全面牽制應使公司經營層面的內部控制和公司治理層面的內部控制互相結合，實現對公司風險的全面控制，更好地貫徹落實內部控制制度。

(三)加強對關鍵控制點的全面控制，建立科學的績效考核機制

企業內部控制制度的設計受到成本效益原則的制約，不可能設計到內部控制的每個方面，故而只有抓住關鍵的控制點才能建立有效的內部控制制度。這就需要對業務活動以及經濟活動中容易產生風險的環節，以及其他對企業至關重要的外部活動進行控制。這就需要培養員工的風險管理意識，明確各主體在企業風險管理流程中承擔的責任，強化責任意識，及時對內部控制進行有效性評價。除此之外，還要改變以往的績效考核標準和模式，建立一系列非財務指標的考核機制，將內部控制納入企業業績考核體系中。完善相應的激勵和約束機制，實施一定的獎懲措施，完善企業責任問責制度，增強責任意識，提高制度執行的質量和效率，促進內部控制的有效實施。

五、結語

綜上所述，企業內部控制與風險管理具有各自不同的內涵，風險管理是應對當前經濟形勢和其他外部條件的變化而適時產生的，是對內部控制的發展和完善。目前，我國企業在內部控制和風險管理上還存在各種各樣的問題，這就需要完善內部控制制度，實行風險管理型內部控制，同時也要對高級管理層實施必要的控制，以彌補傳統內部控制存在的漏洞。最后，要完善企業業績考核指標，改變傳統的財務指標考核模式，將內部控制納入業績考核的體系中，將內部控制與風險管理相結合起來，更好地促進企業內部控制制度的執行，從而實現企業價值最大化的理財目標。

參考文獻:

[1] 張淑慧.基于風險管理的內部控制評估方法探討[J].重慶工商大學學報，2008，(8).

[2] 賴章奎. 內部控制與企業風險管理關系之探析[J]. 管理觀察， 2008 ，(13).

[3] 謝志華.內部控制、公司治理、風險管理:關系與整合[J].會計研究，2007，(10).

[4] 張立民. 內部控制、公司治理與風險管理[J]. 審計研究，2007 ，(5).

[5] 吳水澎.薩班斯法案、COSO 風險管理綜合框架及其啟示 [J].學術問題研究，2006，(2).