淺談內部控制要素

【摘要】現代內部控制是風險導向型的，要使控制制度發揮其應有的作用，企業必須能夠識別所面臨的風險，并對其進行定性或定量的評估，然后針對風險評估的結果采取相應的控制活動，本文結合具體案例，就風險評估對內部控制有效性產生的影響進行探討。

【關鍵詞】內部控制；風險評估；有效性

在經濟全球化的背景下，企業的經營充滿了風險和不確定性，強化風險管理，有效的識別和控制風險，已成為企業經營成敗的關鍵。2001年，美國安然、世通、施樂等一大批知名企業接連發生財務丑聞，使世界各國政府重新審視風險控制的內部制度，2002年7月，美國國會通過的《薩班斯法案》要求上市公司全面關注風險，2004年9月，COSO委員會在90年代出臺的《內部控制整合框架》報告的基礎上，按照《薩班斯法案》的要求，正式發布了《企業風險管理整合框架》，從企業全局與戰略的高度全面關注企業風險。

我國財政部等五部委共同制定的《企業內部控制基本規范》在形式上借鑒了COSO報告的五要素框架，同時在內容上體現了風險管理八要素框架的實質，構建了以內部環境為基礎、以風險評估為重要環節、以控制活動為手段、以信息與溝通為條件、以內部監督為保證，相互聯系、相互促進的五要素框架，使我國企業的內部控制從一開始就站在了一個較高的起點上。

《企業內部控制基本規范》將內部控制定義為：內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。企業要實施有效的內部控制，就要識別和衡量它所面臨的風險及其風險因素，這是采取有效控制活動的依據和前提，這里的識別和衡量風險就是風險評估。

一、風險評估應當從企業發展戰略的制定開始

（一）目標設定是風險評估的前提條件

對企業來說，風險就是影響企業發展戰略目標順利實施的各種因素發生的可能性，而風險評估則是識別、分析影響企業目標實現的各種不確定因素并采取有效應對策略的過程。COSO在2004年制定的《企業風險管理——整合框架》認為，目標設定是風險評估的前提條件，必須首先有目標，管理層才能識別這些目標的風險，并采取必要的措施來管理風險，因此，風險評估應當從企業發展戰略的制定開始。企業在制定發展目標時，應當突出主業，只有集中精力做強主業，才能增強核心競爭力，同時，發展目標不能過于激進，不能盲目追逐市場熱點，合理的發展戰略應當與企業的風險偏好相一致，當企業發現戰略風險明顯超過企業風險偏好時，就應當選擇風險回避策略，對發展戰略進行調整，以適當降低其相關風險。三九集團經營失敗的案例表明，過于激進的發展戰略是企業重大風險的源頭，三九集團作為一個以制藥為主營業務的企業，曾一度擁有超過200億元的總資產，3家上市公司和400余家子公司，由于其在發展戰略上選擇盲目擴張，大力發展多元化經營，向與其完全不相關的其他領域擴張，且擴張速度之快令人瞠目結舌，最終導致了三九危機。綜上所述，發展戰略直接決定著企業風險的高低，是引發風險的首要因素，對內部控制風險評估具有重要的影響，直接制約風險識別、風險計量和風險應對。

（二）管理層的風險觀念對內部控制產生至關重要影響

內部控制是管理經營風險最重要的工具，因此，管理層的風險觀念對內部控制有著直接的重要的影響，管理層只有充分認識到風險的特性，才能全面識別，準確評估風險水平，采取恰當的措施應對風險，提高內部控制的效果。2009年豐田的召回門事件，管理層的風險觀念難逃其咎，作為一家國際知名的大企業，豐田管理層在制定戰略過程中，沒有充分考慮各種風險因素，只是片面追求利潤，過度擴張、過分注重降低成本，最終導致了豐田汽車出現大規模質量問題，使其深陷“召回門”泥潭。管理層的風險防范意識決定了風險評估的結果，如果他們的風險防范意識較強，風險來臨的時候，能夠及時的識別，通過各種措施防范風險，應對風險，有可能將風險規避掉或者將風險帶來的損失降到最低。2004年美國國際貿易委員會裁定中國彩電在美國傾銷成立，對中國彩電征收反傾銷稅，中國彩電是微利產業，反傾銷稅只要超過10％，就基本上扼殺了出口美國的可能性，其中長虹反傾銷稅率為26.37％，TCL、康佳、廈華分別為21.25％、9.6％、5.22％，其他應訴企業加權平均稅率為22.94％，廈華獲得了最低終裁，因而得以繼續開拓美國市場。據悉在美國商務部作出終裁后一周，廈華就接到了來自美國主流經銷商數字彩電的有效訂單6.82萬臺。面對同樣的反傾銷訴訟，廈華之所以能夠獲得一線生機，在很大程度上利益于其完善的內部控制，而廈華的風險管理意識與管理層對風險的態度是決定應訴結果的關鍵。在美國提起對我國彩電的反傾銷訴訟之初，廈華集團就在最高層的直接領導下，成立了專門的反傾銷應對小組，制定了詳細的應對措施，在反傾銷應訴的過程中，廈華始終保持積極主動的姿態：積極聘請美國著名律師所代理本案；主動申請接受單獨調查，并最終被美國商務部選中成為特別調查對象，為爭取單獨稅率走出成功的第一步；第一個完成調查問卷并提交。這種風險管理意識和管理者對風險的態度，為后來的勝訴奠定了基礎。廈華在反傾銷案中勝訴的經驗說明，在競爭激烈的市場環境中，為了防范可能發生的各種危機，企業管理層應樹立風險管理意識，注重適時對其所面臨的風險進行評估，并結合評估的結果，運用相應的控制措施，將風險控制在可承受度之內。

二、風險評估對內部控制有效性的影響

（一）風險評估是內部控制的主旋律

現代內部控制是風險導向型的，90年代以后，COSO提出《內部控制整體框架》的報告，風險評估被納入內部控制系統之中。2004年9月，COSO委員會又在《內部控制整合框架》的基礎上，正式發布了《企業風險管理整合框架》，從最初的將風險評估作為一個要素納入內部控制整體框架中到重點著手進行風險管理，可以看出內部控制與風險管理的趨同性和風險這一因素在內部控制中的作用和地位越來越重要。風險評估從識別風險開始，《企業內部控制基本規范第》第3章第21條規定，企業開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。風險識別的目的就是確認所有風險的來源、種類以及發生損失的可能性，為風險分析和風險應對提供依據，風險識別是否全面，直接影響風險評估的質量。由于內部或外部因素的影響，企業的業績可能存在偏離目標的情況，目標與業績的偏離越大，風險就越大，只有識別并有效管理所面臨風險的企業，才能在激烈的市場競爭中脫穎而出，并立于不敗之地。中海集團在內部控制上的缺失釀成了一樁中國航運界罕見的財務丑聞，2008年1月31日，中海集團駐韓國釜山公司大約4000萬美元的巨額運費收入及部分投資款，被公司內部人非法截留轉移，給國家和企業造成巨大損失。從風險評估角度看，航運公司的主營業務收入是運費收入，而行業內的收費標準各有不同，現金流出入大是行業特點之一，但公司對于這一影響內部控制目標實現的重要風險點缺乏必要的識別、分析與評估，導致“資金門”事件發生。如果企業對這一風險點能夠有效識別，啟動“不相容職務分離”等控制活動，即可將這一風險控制在風險承受度之內。2008年，雷曼兄弟的巨廈顛覆同樣源于其內部控制的嚴重缺失，風險管理措施約束力不足，2006年，雷曼開始采取激進的擴張戰略，擴張潛在高收益領域的投資業務以追求更高的利潤。在激進戰略的指導下，雷曼的高管們依賴自己的經營經驗和成功記錄，將增加利潤放在優先考慮的地位，而不是將公司的風險水平保持在根據風險識別和計量工具得出的限額以內，雷曼兄弟在破產時商業地產超越風險限額的比例高達70％，而杠桿貸款更是超限100％。特別是當發現公司的風險頭寸已經超過了設定的警戒線時，管理層不是盡量降低風險，而是通過提高公司的風險偏好限額來應對這些可能帶來過度風險的投資業務，使得公司的風險管理政策和程序被輕易凌駕。國內外大量因為風險管理不足而導致經營失敗的案例說明，要使控制制度發揮其應有的作用，企業必須清楚所面臨的風險，并對整個企業的風險進行定性或定量的評估，然后針對風險評估的結果采取相應的控制活動，將風險控制在可以承受的范圍之內，從而提高內部控制的有效性。

（二）恰當的風險應對策略有助于提高內部控制的有效性

在風險管理過程中，風險應對建立在深入的風險評估基礎之上，為風險控制活動提供依據。一般來講，風險應對有四種基本類型：即風險規避、風險降低、風險分擔和風險承受，管理層只有合理確定風險偏好，才能恰當選擇風險應對策略，進而合理設置和有效運行控制活動。當經營風險超過風險偏好的時候，企業就應當選擇風險回避或分擔策略，啟動相關授權審批控制活動，通過放棄或停止與該風險相關的業務活動來避免和減輕損失，或借助他人力量，采取業務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內；當經營風險低于風險偏好的時候，企業就應當選擇風險降低或容忍策略，在權衡成本效益之后，采取適當的控制措施或不采取控制措施來降低風險或減輕損失。2006年，博士倫多功能隱形眼鏡護理藥水在新加坡被質疑導致真菌性角膜炎的消息傳出，博士倫積極作出反應，在調查結界公布之前自愿暫停在新加坡和中國出售該種護理藥水，并向媒體公開聲明，由于該藥水可能給消費者的健康帶來風險，公司將在全球市場永久性回收該護理液產品，博士倫的風險規避策略實現了對風險的有效控制。在2009年的“3·15”，美國一家非盈利性消費者組織公布了涉及強生、幫寶適等多家公司的嬰兒衛浴產品含有有毒物質的檢測報告。與此同時，國內某知名論壇也出現了一篇題為《強生差點把我一歲半的女兒毀容》的帖子，國內外市場的質疑同時涌來，強生站在了危機的風口浪尖，短時間內，不少超市中的強生的貨品已經下架。針對此次危機，強生從兩大主要渠道入手：一方面向全國各大媒體發出產品澄清說明的傳真；另一方面向各大賣場發去質檢部門的無毒證明，為挽救消費信心做盡可能在的努力，在很大程度上降低了企業的損失。

在一個充滿競爭的市場上，企業應樹立高度的風險觀念，建立完善的內部控制制度和風險管理措施，在識別風險、分析風險的基礎上，采取恰當的風險應對措施，可以提高企業抵御風險的能力，進而提高內部控制的有效性。

參考文獻

[1]企業內部控制基本規范．財會【2008】7號．2008年6月28日發布

[2]企業內部控制配套指引．財會【2010】11號．2010年4月26日發布

[3]胡為民．《內部控制與企業風險管理》．電子工業出版社，2011

[4]胡伯根．淺論現代企業內部控制制度[J]．企業導報．2010（7）

[5]傅勝，池國華．《企業內部控制規范指引操作案例點評》．北京大學出版社，2011