不確定經營環境中企業基于風險管理的內部控制體系研究

楊 靜

一、引言

經濟全球化的快速推進，技術、金融創新的不斷發展，給我國企業帶來了難得的發展機遇，同時，也面臨著前所未有的挑戰。經營環境日益復雜，存在的不確定因素也越來越多，企業面臨著眾多的潛在風險，諸如意外事件和人為操縱可能影響企業的持續經營能力；財務風險可能將導致股價下跌，重創企業資本市場的融資；惡劣的生產環境將可能受到政府部門的罰款，甚至取締經營資格；電腦黑客的攻擊可能會使企業承擔信息安全風險，嚴重的可能影響企業競爭能力和經營能力等。企業若對危機與風險處理不當，很大程度上會加大企業的各種損失，影響企業的聲譽和形象。企業缺乏風險控制與處理能力，將面臨高昂的融資成本。為此，如何控制風險已經成為企業關乎命運的重要問題，風險管理和內部控制在企業日常管理中的重要性日益顯著。

目前，國內外風險管理和內部控制的理論與運用，基本上是同時存在、獨立發展的，在內部控制體系中，風險管理只是其中一個要素。國外現代內部控制理論最具代表性的美國COSO的內控與風險理論，即1992年美國COSO（The Committee of Sponsoring Organizations of The Treadway Commission）發布的《內部控制——整合框架》（《Internal Control——Integrated Frame-work》簡稱COSO內控框架，）中，內部控制構成要素有控制環境、風險評估、控制活動、信息與溝通、監督五個要素，其中，風險管理是內部控制的一個基本要素。2004年COSO頒布了《企業風險管理———整合框架》（Enterprise Risk Managemetn——Integrated Frame-work簡稱ERM框架），在ERM框架中，風險管理除了包括內部控制的五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。ERM全面風險管理框架涵蓋了內部控制，內部控制是全面風險管理的必要環節，內部控制的動力來自企業對風險的認識和管理。ERM框架的核心理念是將企業風險管理融入企業戰略、組織機構、業務流程等各個各環節，從而將風險管理滲透到企業經營和管理的方方面面。2013年5月，COSO發布《2013年內部控制——整體框架》報告，對1992年原整體框架進行升級，在基本概念、內容和結構，以及內控的定義和五要素、評價內控體系的有效性標準等方面不變的基礎上，依據資本市場和商業環境的形勢變化，提出了內部控制管理的具體措施。我國現行較新的權威內部控制與風險管理文件主要有兩個，2006年6月6日國務院國資委發布了《中央企業全面風險管理指引》關于全面風險管理的定義是：指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。其將內部控制作為風險管理的一個組成部分。2008年6月我國財政部、證監會、審計署、銀監會聯合頒布了于2009年7月1日起在上市公司范圍內實施，并鼓勵非上市的大中型企業執行的《企業內部控制基本規范》，基本內容要素有目標、內部控制環境、風險評估、控制活動、信息溝通和持續監督六項，風險管理是內部控制的一個要素。從上述內容可看出，無論國外國內，內部控制與風險管理是你中有我，我中有你，并行與實踐中。盡管全面風險管理框架包含了原有內部控制的內容，但現實中或代表目前應用水平的內部控制與風險管理，兩者之間獨立發展多于相互融合。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較，例如銀行業的授信管理，或市場（價格）風險管理（如匯率、利率風險）等，側重于風險識別、風險預警和風險應對。而典型的內部控制則是指會計控制、制度規范、審計監督等，側重于內部管理。在經營環境日益復雜化，眾多不確定因素存在且多變的背景下，企業實施全方位風險管理的必要性愈顯突出，把風險管理作為內部控制的一個組成部分，忽視了整體風險意識的作用和經營活動空間、時間條件的變化所帶來的風險及企業內部各環節、各層面潛在風險的存在及影響，這會大大弱化風險管理的效果，降低企業風險控制與防御能力。因而，建立以全方位風險管理為基礎的內部控制體系，實現兩者的有機統一和完美融合已成為必然，本文將就這一問題進行探討。

二、風險管理與內部控制概述

風險管理是識別那些對企業運作產生影響的潛在事件，通過制定、度量、評估和改良應對風險的策略，把相關的不可避免的風險降低到一個可以接受的水平，或者把可以避免的風險減至最小，成本和損失最小化，從而幫助企業達到既定目標。風險管理是個過程，它由企業的董事會、管理層、和全體員工共同實施，戰略制定與應用并貫穿于企業之中，旨在識別可能會影響企業的潛在事項，管理風險并把風險控制在企業的風險容量之內，從而為企業目標的實現提供合理保證。科學的風險管理，是將風險事件按風險影響大小排好先后次序的過程，可招致重大損失或最可能發生的的風險事件優先處理，相對風險較低的則延后處理。因此，企業需要建立一整套系統化的風險管理體制，配備專門人員從事具體的風險管理工作，識別、評估、應對影響企業目標的各種風險因素，并對那些影響企業目標實現的關鍵風險因素進行監控和管理。風險管理的終極目標是讓企業在風險經營環境中得到最大的利益，也即優化風險，使企業在風險和既定目標之間找到最佳平衡點。然而，由于風險概率確定的經常性風險事件與偶發風險事件影響通常存在差異，經常發生的風險可能影響較小，而偶發事件則可能造成重大損失，從而使得優化風險過程有一定難度。這就需要在風險概率和結果之間進行權衡，充分詳細地進行分析，以便做出最合理且適合的決定。

內部控制的涵義表述國內外各有不同，美國COSO內控框架對內部控制的定義是：是一個受組織機構的董事會、管理當局以及其他人員影響的過程，設計內部控制旨在對運營效果及效率、財務報告的可靠性及遵循適用的法律法規這些目標的實現提供保證。其構成要素有控制環境、風險評估、風險評估、控制活動、信息與溝通、監督五個要素。我國2008年5月12日頒布的《企業內部控制基本規范》將內部控制定義為“內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程，內部控制的目標是合理保證企業經營管理合法合規、資產保全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。”具體包括目標、內部控制環境、風險評估、控制活動、信息溝通和內部監督等內容。內部控制是現代管理的重要組成部分，也是企業開展經營活動的基礎。實踐證明，內部控制缺失在很大程度上是導致企業經營失敗的重要原因。正確處理內部控制相關部門的職能劃分、崗位設置和職責分工，逐步完善內部控制技術標準、長效運行機制、評估機制等已成為建立健全內部控制體系的關鍵所在。

三、基于風險管理的企業內部控制體系的構建

內部控制是在不確定經營環境下為合理保證經營活動的效益性、財務報告的可靠性和法律法規的遵循性，而自行檢查、制約、和調整內部業務活動的自律系統，這個自律系統是否能夠發揮應有的效能與其經營環境密切相關。企業的生存和發展依賴于所處的特定環境，環境眾多不確定因素可能產生的風險直接或間接影響甚至決定著企業的命運，企業價值的提升、決策目標的實現無不與存在的各種風險息息相關。無論什么行業，總會面對各種各樣的風險，企業管理層應具備識別和化解或規避不同風險的能力，在機會和風險之間進行權衡，能夠把資源投入到最佳機遇中，不斷增強核心竟爭優勢，提高企業價值，實現企業目標。因此，風險管理應該成為企業內部控制的基礎，起著基礎和關鍵性作用。構建的基于風險管理的內部控制體系應為：主體基礎要素是風險管理，在此基礎上又可分為內部環境、控制活動、信息與溝通、監督與評價。

風險管理主體基礎作用體現在它是企業管理的共同基礎，是企業共同風險價值觀體系。風險管理的主要內容有共同的風險理念和有效的監督與治理機制等。

共同的風險理念是人與人交流的基礎，具體包括企業群體所共同認可的對風險的認知、風險觀念、價值觀、行為規范、制度安排等。它決定了企業的管理基調，影響企業員工的控制意識，對企業的控制效果和效率有著重要影響。共同的風險理念最直接表現形式是共同的風險語言，通常以被企業認可和采用的信息傳遞方式、信息傳遞載體等來體現。其便于企業全體員工對風險的理解和風險應對措施的執行，也能使制定的風險應對策略更具有針對性和及時性，更方便管理層進行風險管理工作及員工間的合作和協調。企業共同的風險理念是一個無形的網絡，連接和滲透到內部控制各要素及制度和規則，形成內部控制持續有效運作的動態系統。

有效的監督與治理機制的主要內容有：

首先，風險管理主體內容。（1）建立系統化風險管理制度。企業經營環境的不確定性是一直存在的，因而，企業風險管理工作是一項長期、艱巨而又十分復雜的系統工程，應建立適應企業行業性質和經營特點的風險管理制度，使風險管理工作制度化、系統化、科學化，具體應包括：管理政策、規則、專業人員配備、內容、流程、子系統管理、程序、崗位責任、管理效果與效率評價等。（2）設定風險管理目標。根據目標各級管理者才能夠識別影響目標實現的潛在事項。企業風險管理功能應能確保管理者采取適當的程序來設定目標，同時，確保所選定的目標支持和切合本企業使命，且與其風險容量相一致。（3）風險事項識別。是指及時識別、科學分析影響企業戰略和經營管理目標實現的各種不確定的內部和外部的潛在事項。要科學劃分風險類別，區分風險和機遇，將機遇體現在管理者制定戰略目標的過程中。（4）風險評估。即通過分析風險產生的可能性及影響大小對不確定風險事項進行評價估計，并依據評估結果做出如何進行管理的決定。風險評估應與行業特點相結合，重點考慮風險種類、發生的可能性、重要性程度、影響性程度、控制程序存在程度及有效性等方面。應充分吸收專業人員組成風險分析團隊進行評估分析。（5）風險應對。是指根據風險識別和評估的結果制定具體風險應對策略和具體措施。應根據不同的情況，選擇可采取的風險規避、風險降低、風險分擔和風險承受等風險應對策略，企業應在有限的時間和空間內，對機會和風險進行科學合理地權衡，盡最大可能改變風險存在和發生的條件，降低風險發生頻率和減小損失的程度。

其次，風險管理基礎上的內部控制各子系統的具體內容。具體為：（1）風險管理基礎上的內部控制環境。內部控制環境主要指董事會和審計委員會的監管和指導力度、管理者的經營理念和管理風格、員工的道德價值觀和勝任能力、組織機構與權責分派體系、人力資源政策與實務以及人們的工作環境等。反映的是企業管理基調和氛圍，包括風險管理理念、風險容忍度、誠信和道德價值觀、共同的風險語言、所處的經營環境等。它為企業所有人員如何認識和對待風險設定了基礎，影響企業管理層和員工的風險控制意識，對企業基于風險管理的內部控制管理系統運轉以及職能的發揮產生著重大而持久的影響。（2）風險管理基礎上的控制活動。是指有助于管理層決策順利實施的政策和程序，以及根據風險評估結果，結合風險應對策略所采取的確保內部控制目標得以實現的控制措施，是實施內部控制的具體方式和載體。主要包括授權控制、審批核準控制、職責分工控制、預算控制、財產保全控制、會計系統控制、內部報告控制、績效考核控制、經濟活動分析控制、信息技術控制等。控制措施應結合企業具體業務、事項特點與要求制定。（3）風險管理基礎上的信息與溝通。指及時準確和完整地收集與企業風險管理、內部控制相關的各種信息，并使這些信息以適當的方式在企業有關層級之間及時傳遞、有效溝通、和正確運用的過程，以確保管理者以其正確的方式履行職責和選擇恰當的行動時機，使員工能及時取得他們在執行、管理、和控制企業經營過程中所需的信息，并交換這些信息。包括信息的收集機制和企業內外信息溝通機制等，是實施內部控制的重要條件。（4）風險管理基礎上的持續監督。是指對整個風險控制過程進行監控，并及時作出必要的修正，這是一個持續、動態的過程，是對內部控制系統的健全性、合理性及有效性進行評估的過程，通過持續監督和獨立評估來實現，以促使內部控制系統在有效保證的條件下穩定運行。

主體要素與四個子要素構成了一個完整的以風險管理為基礎的內部控制系統，隨企業的經營環境和目標的變化而變化。作為主體要素的風險管理是一個持續、動態的過程，應用于從企業建立到終止的全過程，它也是一個網絡，連接、影響和滲透到內部控制的各要素，貫穿企業，在各個層級和單元應用，由企業中各層級人員共同實施，旨在識別一旦發生將會影響企業的潛在事項，并把風險控制在風險容量之內，并為企業的目標實現提供合理保證。控制環境是由企業共同風險理念所決定的企業管理基調和氛圍，受風險管理的約束功能制約的事前事中的控制活動是內部控制的切入點，基于共同風險語言的信息與溝通是風險評估和控制活動的保障，而以風險理念為導向的監督與評價則是內部控制持續有效運作的保證。主體要素與各要素間、各子要素之間的影響是交互性的作用關系，風險管理與內部控制各要素相互協調、相互適應、相互對接，才能有助于系統目標的實現。基于風險管理的內部控制體系要素關系圖如下圖所示：

四、基于風險管理的內部控制建設建議

1.構建體現本企業行業特點的共同基礎

企業完善的治理結構需要建立先進的共同風險理念基礎，體現企業經營性質和特點的共同風險理念是統一員工思想、價值觀念的粘合劑，在共同風險理念下產生的內部控制制度是企業正常運營的行為標準，兩者的有效結合，能夠從根本上解決企業經營中不協調、不統一的問題，從而有效地提升企業管理水平，提高企業經濟效益和效率。

2.注意協調風險管理與內部控制的關系

風險管理與內部控制是互相包容的互為條件的關系，內控制度是風險理念的產物，又是風險管理的工具，在制定內部控制制度和規則時，必然反映風險精神、價值和觀念。因此，協調好兩者的關系，實現風險管理和內部控制的有機長效整合是有效管理的關鍵，同時，還要注意風險管理與內部控制具有結構上的對應性，在設計內部控制時要考慮與企業風險管理類型和特征相適應。這樣，才能形成完善的風險管理基礎上的內部控制體系。

3.建立和增強企業風險防御能力

風險防御能力的提高能夠持續不斷地提升風險管理績效。企業應合理地將資源分配于以風險管理為基礎的內部控制的各要素中，促進風險防御能力的提升。其具體工作內容包括：（1）對企業現有風險管理水平進行評估，全面調查企業風險管理下的內部控制現狀，包括內外環境、管理戰略、主要業務流程的制定和控制、專業人員的配備和分工等，使企業對自身的風險管理與內部控制情況有一個清晰的認識。（2）依據企業的行業性質和特點，在管理現狀基礎上有效地尋找風險來源、識別風險并度量風險，確保所有潛在的對企業有較大影響的事項都能識別，對相應的風險都能進行評估，并及時制定出有效的針對性的應對措施。（3）對企業面臨的主要風險，設計出適用、有效、可行的風險防御控制措施，并將其分解，具體化為工作流程、崗位分工、人員配置等可執行的措施，各個環節要有效地相互配合，通過及時的監督和反饋來檢驗風險控制效果。（4）通過不斷提升風險防御能力建立可持續競爭優勢和提高企業績效，企業應不斷總結風險管理工作實踐，在管理中，也可通過風險管理與經營績效的相關度情況，改善業務績效水平，從而提高企業現有的風險管理能力和防御能力。

[1]財政部，證監會，審計署，銀監會，保監會.內部控制基本規范[S].2008.

[2]樊行健，付潔.企業內部控制與風險管理[J]會計之友.2007.10.

[3]李若山.COSO報告下的內部控制新發展[J]會計研究.2005.2.