基于全面風險管理視角下的內部控制研究

[摘 要]本文通過探討內部控制與風險管理關系，論述了建立以全面風險管理為導向的內部控制的意義以及對策。

[關鍵詞]內部控制 全面風險管理 公司法人治理結構

一、內部控制界定

1992年，COSO委員會發布了《內部控制——整合框架》。該框架認為，內部控制是一種管理過程，它受公司董事會、管理層和其他人員影響，其目標是為達到經營活動高效率、提高財務報告可靠性、遵循相關法律法規提供相應保證。COSO框架已為各國承認，我國也以此為基礎推出由財政部、證監會、國資委等五部門聯合制定的《企業內部控制基本規范》。該《基本規范》把內部控制定義為企業整體所實施的，包括管理決策層與全體員工的控制行為，通過該過程企業可以實現相應的控制目標。

內部控制是企業在內部為控制化解風險所而實施的一系列程式化標準化措施，其實施依據在于風險敞口大小。當一個企業的經營面臨很大的風險時，采取內部控制措施是必要的。企業如果要實現經營目標，就必須對經營過程中面臨的各種風險加以有效控制。內部控制是企業管理活動的重要環節，同時也是防范風險的有效手段。企業可以采用VaR、KMV等風險度量方法識別并測量財務風險，并以此為依據采取相應的的風險控制措施，這樣可以及時有效地生產經營過程中產生的財務與經營風險，防止風險擴大化。

二、內部控制與風險管理關系分析

近年來，隨著一系列財務舞弊案的發生，人們開始關注企業的風險管理和內部控制。但對于二者的關系，人們認識還不清楚。內部控制是一種管理職能，主要作用于事中與事后的控制，而全面風險管理則貫穿于企業管理的各個環節。內部控制從屬于全面風險管理，是其重要組成部分，是企業進行風險管理的一種有效方式。

內部控制產生于生產實踐之中，并得到不斷發展和完善。國內外的研究表明，企業內部控制經歷五個發展階段，依次為內部牽制階段、內部控制制度階段、內部控制結構階段、內部控制整合框架階段和風險管理框架階段。從內部控制發展階段不難看出，內部控制對風險管理日益重視。內部控制基本目標在于保障促進企業經營管理合法合規性、資產的安全性以及財務報告及相關信息的真實完整性，進而提高經營效率，從而促進企業實現自身發展戰略，樹立百年基業。內部控制主要有五大基本要素：控制環境、風險評估、控制活動、信息與溝通和監控。

風險管理與戰略決策密切相關，作用于企業經營管理的各個方面。全面風險管理的目標包括：戰略、經營、報告和合規。其中，經營、報告和合規這三個目標與內部控制基本目標保持一致，而戰略目標是比其他目標更高層次的目標。戰略目標來自于一個主體的使命或愿景，因而經營、報告和合規目標必須與其相協調。企業的全面風險管理主要包含八個要素：風險對策、目標設定、事件識別、控制活動、過程監督、風險評估、信息溝通、環境控制。

從上面的分析中可以看出，風險管理比內部控制的范圍要大，風險管理不僅包括內部控制中的風險管理，還包括內部控制以外的風險管理。而內部控制只是風險管理的一種手段，內部控制要以風險管理為根本導向。

三、建立基于全面風險管理視角內部控制意義分析

1.理論意義

內部控制實質上是風險管理的一種重要手段，企業的內部控制要以風險管理為中心。全面風險管理是內部控制的核心與靈魂，內部控制則是風險管理的必備措施。如果只有內部控制框架，而沒有相應的風險管理意識，則內部控制就只是一個空架子，達不到預期的效果。若只有風險管理的意識，而無內部控制，則風險管理就失去了科學有效的管理手段。

2.現實意義

從我國企業的實際情況來看，風險管理意識薄弱，很多企業只是重視內部控制，而缺乏風險管理意識，更沒有把風險管理與內部控制結合起來。隨著一系列財務舞弊案的發生，我國意識到了風險管理與內部控制的重要性，正逐步建立起以風險為導向的內部控制體系。財政部、證監會、國資委等五部委聯合制定發布的《企業內部控制基本規范》與《企業內部控制配套指引》為企業內部控制提供政策上的指導。各個企業也積極配合建立內部控制體系與風險管理部門。從上市公司內部控制執行情況來看，我國企業內部控制體系越來越規范和有效。

四、建立基于全面風險管理視角的內部控制的措施

1.提高風險管理的意識

在當今世界經濟全球化趨勢不斷加強的情況下，特別是我國加入WTO后，我國有越來越多的企業走出國門，參與國際化競爭。在全球經濟一體化日益深化的大背景下，我國企業生產經營面臨的環境更加復雜化，同時競爭壓力也日益強化，所面臨的風險更加復雜。但是，我國很多企業的風險管理意識還很薄弱，大多數管理者還只是將風險管理局限于財務風險管理方面。其實，對于一個企業來說，所面臨的風險不僅是財務方面的風險，還包括安全風險、政治風險、投資風險等。企業應對這些風險，從自身來說，最有效的手段就是加強內部控制。長期以來，由于內部控制體系不健全，風險管理意識薄弱，企業的內部控制體系未能發揮有效的作用。企業應強化風險管理意識，以風險管理為導向進行內部控制。首先，企業應建立專門的風險管理與內控部門，主要負責識別、評估企業所面臨各種風險，進而根據風險類別的不同采取相應的內部控制措施。其次，企業要強化以全面風險管理為導向的內部控制的宣傳工作，可以定期對相關人員進行培訓、舉辦各種講座等。

2.構建科學的管理團隊

國內外的許多案例都證明，科學高效的管理團隊對公司的經營成敗起決定性作用。人在公司治理的作用不容小覷，公司的長遠發展需要有一個長遠科學的戰略目標，需要有嚴謹科學的計劃。而在一個公司中，管理者特別是高層管理者對公司戰略的制訂、實施等起到關鍵性作用，可以說管理者對公司治理的成敗起到關鍵性作用。內部控制的有效實施需要一個科學高效的管理團隊的支持。

3.完善公司法人治理結構

健全的公司法人治理結構不僅為保證企業內部控制有效運行提供了必要的前提和基礎條件，同時也為企業實行內部控制提供了相應的制度環境保障。公司法規定我國上市公司必須要建立股東大會、董事會和監事會等公司法人治理機構，但是從目前我國實際來看公司法人治理結構很不完善。在我國許多公司中，經理人員和董事高度重合、董事長和CEO合一等現象比較嚴重，這顯然不利于加強企業內部控制。

因此，我國企業應采取積極措施建立健全的公司法人治理結構，從而為加強企業內部控制提供強有力的制度環境保障。從內部控制基本要點出發，當前最重要的工作是加強董事會建設，特別是上市公司的董事會。董事會是公司內部控制系統的核心，一個積極、主動參與的董事會對內部控制而言是相當重要的。現代企業法人治理結構的一個顯著特點是經營權與所有權的分離。董事會受托于股東大會，聘請職業經理來負責日常活動的經營管理，董事會對經理進行制約監督。但從我國上市公司的情況來看，經理層人員與董事會成員重合現象嚴重，這嚴重削弱了董事會對經理人員制衡監督作用。加強董事會建設還應處理好董事會成員中內部董事與外部獨立董事的權責義務與協作關系，確定合適的比例，使二者達到最佳的制衡。

4.健全以全面風險為導向的內部控制體系

內部控制本質特征在于以風險評估為基礎，這是內部控制與全面風險管理相結合的一個重要途徑。采取內部控制措施前，企業應對經營項目所面臨的風險進行評價，評估出風險的種類、風險的級別，并找出風險產生的原因。企業構建以全面風險為導向的內部控制體系應兼顧內部控制與風險管理兩個方面，借助COSO的《內部控制——整合框架》和《企業風險管理——整合框架》，將兩者有效結合，這樣可以有效減少企業的工作壓力和成本。

參考文獻

[1]陳志軍.風險管理與內部控制的關系[J].工業審計與會計，2009（5） .

[2]嚴曉今.企業內部控制與全面風險管理淺析[J].現代商業，2008（16） .

[3]陳曉更.論企業建立全面風險管理體系的必要性[J].會計之友，2008（9） .

[4]劉潔.淺析我國企業內部控制的現狀及對策[J].金融經濟（理論版），2010（10）.

作者簡介：王青，北京工商大學商學院會計學研究生，研究方向為財務會計理論與應用。