企業內部控制和風險管理研究

湘潭大學商學院 徐恒

企業內部控制和風險管理研究

湘潭大學商學院 徐恒

內部控制作為一種重要的管理方法，是上世紀50年代后隨著經濟的發展和管理科學的發展而建立起來的。對于它的內容和定義還沒有完善，而是隨著管理技術等因素的不斷進步而日益豐富。1992年COSO委員會發布了COSO框架(簡稱IC—IF框架)，該框架發布后就得到了廣泛的運用。對于企業的風險防治，財務舞弊的減少，內部控制是最為有效的方法。我國于2008年7月1日由財政部等5個部門聯合發布的《企業內部控制基本規范》實施，作為我國第一部內部控制的規模要求，它適時地滿足了我國企業內部控制建設的和防范風險的要求。

內部控制 風險管理

1 COSO內部控制和風險管理概述

1.1 COSO內部控制簡述

1992年美國的資助組織委員會(COSO)發布了COSO報告《內部控制——整體框架》，這一報告發布后就成為指導內部控制在商業生活中運用的綱領文件。

COSO報告中將控制環境、風險評估、控制活動、信息與溝通和和監控這五個因素作為內部控制的完整框架。COSO認為：為了實現經營效率、提高財務真實性，法律規則有效性，內部控制是有效的方法，它需要企業中的各個階層的人員積極的參與，包括董事會成員、管理者和其他員工。內部控制不斷的完善著，隨著企業管理技術的進步，管理制度的完善，內部控制的理也不斷的得到豐富。

1.2 風險管理理論的發展及其內涵

企業風險管理是由企業各個參與者共同在企業的各個經營活動中實施的，為了防范企業經營過程中可能存在的各種潛在的風險，根據企業的風險管理偏好，為企業提供有力的支持。企業風險管理是內部控制的一種擴展，要想企業的風險管理做的完善，必須先建立一個獨立的不受干擾的風險管理機構。內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控是企業風險管理的八個關聯因素。

2 內部控制在企業風險管理中的職能或作用

2.1 風險管理系統的組成部分

(1)內控系統：為了實現經營效率、提高財務真實性，法律規則有效性，內部控制是有效的方法，它需要企業中的各個階層的人員積極的參與，包括董事會成員、管理者和其他員工。

(2)監督協調系統：指通過監督和協調促使實現企業目標，使企業有更高的適應能力，以及反應能力。監督的任務在風險管理系統中是以風險為方向實施的。

(3)風險預警系統：為了使企業所有者能及時的發現各種風險，并對可能造成的影響做到充分的了解。風險預警系統需要在內控系統和監督協調系統作為基礎。

風險管理系統的這幾個組成部分是一個有機的整體，并不能完全清晰地劃分其界限。比如監督是預警的承擔者，同時也執行著內控的任務。另外，檢驗監督的功能又是內控的組成要件內部審計的任務，反過來，監督在發現重大的偏差時會促使內部審計去執行特殊審查。內部審計此外還擔負著審查整個風險管理系統組成要件是否齊備，其功能是否正常的任務，但同時它自己本身又是風險管理系統的組成部分之一，因此在風險管理系統中，內控起著至關重要的作用。

2.2 內部控制的兩大功能

內部控制和風險管理的功能最主要的就是預防風險和對已發生事件的糾錯。預防功能指的是通過控制和檢查措施去防止偏差的發生；糾錯功能主要指通過檢驗去確定風險管理系統各項措施的功能是否正常，并且在必要時給予糾正。

風險管理過程中，內部控制起著不可替代的作用，因為風險管理必須被監控。

一方面，內部控制可以發現企業風險發生的源泉，并檢驗企業是否具有完善的風險管理系統，并且能能完整的、持續的記錄風險管理的整個過程。越來越多的企業加強了自身的內部控制，同時外部環境的變化以及企業發展的條件也促使企業對內部控制的重視。風險管理系統在內部控制的促使下，成為了一個保證風險管理系統與環境變化相適應的動態系統。

另一方面，內部控制系統可以提高風險管理的效率，因為它可以持續的檢查保證風險管理系統。獨立的內部審計通過檢查風險管理的過程中是否按照規定的要求進行執行，來檢測風險管理是否具有高效率。

3 目前我國企業風險管理中存在的問題

近些年來，國內企業發生了很多產品問題，企業信譽問題，這些問題往往就是因為企業沒有建立好企業內部控制系統，以及失敗的風險管理。據德勤會計師事務的調查，對于建設企業內部控制體系，我國的上市公司大多表示了愿意或是渴望建設，然而只有不到五成的企業建立了企業的內部控制體系，其他企業在建設內部控制系統時，或是有各種實施障礙，或是沒有內部控制意識。可見在我國大部分企業并沒有建立起內部控制系統和風險管理體系，因此就沒有有效的監督考核機制，這就導致我國企業會出現眾多的問題。

3.1 公司治理結構存在缺陷

為了實現經營效率、提高財務真實性，法律規則有效性，內部控制是有效的方法，它需要企業中的各個階層的人員積極的參與，包括董事會成員、管理者和其他員工。從中可以看出內部控制其實質就權力與責任的配置是否得到有效地分配。由于在我國眾多公司的董事長和總經理由一人兼任，這就導致企業的股東大會、董事會、監事會的權力被架空，無法對企業進行監督和建議，企業往往有“獨裁者”一人獨自制定或變更經營戰略。公司治理結構的這些缺陷導致企業出現管理問題就不足為奇，另一方面這也為高管人員以權謀私提供了更有利的條件。

3.2 風險管理機制不健全

當企業發生突發的事件，如果企業建立了并加以貫徹實行了一套有效的風險管理機制，也就做好了防御風險的準備，也就能從容的應對各種風險。但是在現實的商業生活中，卻是很少有企業能夠從更高的視角，更科學的高度來建設企業的風險管理體系，因此企業的可持續發展得不到保證，企業對風險的預測能力、預防能力、控制能力得不到增強，同時，當風險發生后企業的應對能力、轉化能力也得不到提高。雖然在少數企業中建立了風險管理機制，但是僅僅是一種形式存在著，根本不具有任何的效用，如沒有監督，導致規章制度得不到實行，使企業風險管理機制形同虛設。

3.3 內部控制活動中方法和內容存在缺陷

在國內一些企業中雖然建立內部控制體系，但是還是一種較傳統的內部控制理論，它沒有將人、財、物三大要素有機的結合起來，而是更多的關注了財和物的管理。或是在設計和實施內控機制時沒有將約束和激勵有效的結合起來，而是對于人的行為設定一般化而且局限于對人的約束。企業擁有了健全的內部控制體系，就有了完善的風險管理基礎，企業就擁有了管理和控制企業風險的最為簡單有效的方法，企業就可以減少對風險建設的投資。

3.4 對風險管理的各種技術方法運用水平差

健全的內部控制和風險管理體系的實施，需要一定的技術支持，雖然我國從國外引進了先進的管理技術，更新了管理軟件等方式來提高我國企業自身的管理風險水平和內部控制的有效性，但是我國由于專業的人才缺失，導致企業引進的先進的管理技術并沒有得到充分利用，對風險管理的技術方法運用水平差。

4 完善企業內部控制，強化風險管理的建議或對策

4.1 構建嚴密的風險管理組織框架

企業風險管理的有效實施，需要企業各個參與者共同在企業的各個經營活動中實施的，為了防范企業經營過程中可能存在的各種潛在的風險，根據企業的風險管理偏好，為企業提供有力的支持。因此企業應建立煙密度風險管理組織架構。

首先，應更加嚴格規范信息披露制度，防范潛在的信用風險；其次，加強對關聯交易和對外擔保的管理和規范，以減少經濟違規案件的發生；再次，加強企業各個部門的聯系，尤其是審計部門的作用應進一步提高，各部門的積極參與可以加強對風險防范和監督，這也就使得企業的抗風險能力得到了提升。

4.2 創建有效的內部控制系統

在現實的商業生活中，企業內部控制是風險管理的基礎，這也就說明了兩者是密不可分的。企業應選擇不同的內部控制模式，以滿足不同的根企業經營目標和可能面臨的風險。因此，企業要建立健全的風險管理體系就必須創建有效的內部控制系統。企業應該將企業運營過程中的各個環節分配給不同的員工，通過職位分工細化，明確每個員工的權利與責任。使企業的正常運營形成一個高效的內部控制網路。

在這個內部控制網中，信息系統至關重要，必須加強對信息的控制，要滿足信息的真實性、及時性以及保密性工作。同時更要注意信息的在企業內部的有效流通，防治出現信息斷帶的出現。因此企業要定期的對信息系統進行檢查和分析，為企業有效的內部控制系統提高優質的信息保證。

4.3 完善與提升風險控制體系

(1)內部審計部門的監督職能應得到充分的發揮。內部審計在防范企業風險時所起到的作用是其他部門無法替代的。內部審計部門可以更加客觀地對企業的風險進行監控。這里需要強調的是必須加強其獨立性和應有的權威性。內部審計部門的獨立性是內部審計部門實現其職能的最基本的要求，因此必須保證內部審計部門的獨立性。

(2)提升企業應變能力。內部控制自身并不是萬能的，并不是所有的風險都能得到有效的發現和控制。所以，企業必須不斷的提升自身的應變能力和轉變能力，以應對突發的風險。因此，建立一套完善的應急措施，成為企業必須考慮的問題，以便企業可以更好地應對各種潛在的或是已發生的風險。

4.4 使用和培養高素質人才

專業的人才是企業的風險管理得以有效實現的關鍵。因此，企業應加強對相關人才的培養和引進。首先，可以和高校建立合作，通過高校培養專業的人才；其次，可以引進世界優秀企業的專業人才；再次，應該提高重要部門的員工的招聘條件，提升員工的教育水平；最后，應增加企業對員工的培訓，提高人才的技術水平。同時，企業應該提高企業員工對企業的忠誠度，防止高素質人才的流失。

風險管理內控體系完善的建立，不是原本的企業制度的否認。而在已有的內部控制體系的基礎上，根據企業外部環境的改變，依據企業自身發展的優勢和劣勢進行完善和提高。在內部控制體系的設計上，必須進行科學地分析各個控制點的設立，保證整個建設過程平穩積極，不斷的提升公司的治理水平。

此外，內控體系必須取得公司董事會、管理層等各方面的理解和支持，取得思想統一，這不僅需要公司高層領導高度重視，而且更要在公司內部充分宣傳。

[1] 劉金文.論相關理論對內部控制研究的啟發與影響[N].財務與會計,2009.

[2] 魏良華,鄧彥,李華軍.企業內部控制規范建設探微[M].財會月刊,2009.

[3] 陳國輝,耿慧敏.淺析內部審計與風險管理[J].財務與會計,2009(03).

[4] 李天.內部控制與財務管理在風險防范中的異曲同工[J].會計之友,2007(7).

[5] 孫立新.關于加強上市公司內部控制制度建設的幾點建議[J].商場現代化,2007(02).

F272

A

1005-5800(2012)08(a)-124-02