全面風險管理視角下的企業內部控制體系構建初探

張超

[摘 要]企業發展同時受內部和外部環境的影響，內控體系的建設與執行非常重要。在現代風險管理理論下，原有的內控體系存在一定的不足，不能滿足企業經營戰略管理的需要，因此，有必要分析全面風險管理和內部控制之間的聯系，并在全面風險管理的基礎上搭建內控體系，以更好地幫助企業實現目標。基于此，本文分析了全面風險管理視角下的內控體系。

[關鍵詞]風險管理；內部控制；體系建設

doi：10.3969/j.issn.1673 - 0194.2018.18.014

[中圖分類號]F239.45 [文獻標識碼]A [文章編號]1673-0194（2018）18-00-02

1 全面風險管理與企業內部控制理論

風險指結果發生的不確定性，即最終結果與原有預期之間的偏離，人們往往用偏離的程度來衡量風險，而在企業實際經營管理的過程中，人們更加注重損失發生的可能性，也就是控制不確定結果所帶來的期望損失。風險管理是在實踐中不斷發展、完善起來的，總體來說風險管理可以分為傳統風險管理、現代風險管理和全面風險管理3個階段。全面風險管理理念使企業能圍繞經營發展的戰略目標，將風險管理的理念貫穿于企業管理的各個層面和各個環節，培養全員參與的風險管理文化，從管理策略、管理措施、管理職能、管理信息系統和內部控制等諸多方面綜合考慮實現企業經營管理的總體目標。

內部控制是指控制企業經營管理中的風險，并以實現企業盈利為最終目的而采取的一系列管理、控制活動的基礎上產生發展起來的過程性活動。現階段對內部控制最具代表性的解讀是《內部控制整體框架》，COSO委員會在這個框架中明確地指出，內部控制是為了保障企業正常運營并不斷提升企業的經營管理效率，要求公司董事會、管理層、普通員工各階層與各部門共同參與的企業管理過程，內部控制包括控制環境、風險評估、控制活動、信息的溝通與交流和環境監控5個方面。同時，框架明確規定了各個層面的控制職責，即管理層、董事會、內部審計師和外部人員都需要按照各自的職責構建內部控制保障體系。

2 全面風險管理與內部控制的區別和聯系

全面風險管理和內部控制的區別包括以下幾個方面。第一，全面風險管理體系包含了內部控制，是風險管理中不可或缺的一部分。因此，全面風險管理比內部控制更加廣泛，是對內部控制的進一步擴展和細化，包含了內部控制中所沒有的經營目標、事項分析和風險處理等環節。第二，企業經營管理包括內部風險和外部風險兩個方面，既包括經營風險、財務風險，也包括利率風險、政策風險。內部控制主要針對企業內部經營管理風險，且更加關注企業過去和現在的經營狀況，以過去的信息為分析的主要出發點，而對影響企業未來經營發展的因素關注較少。第三，全面風險管理不僅注重損失產生的可能性，還從風險容忍度和風險偏好入手，幫助企業正視其所能接受多大程度的潛在風險，管理里風險的手段和工具也較為豐富。

全面風險管理和內部控制的主要聯系包括以下幾個方面。第一，內容體系有所重合。全面風險管理和內部控制中都包括了控制環境、控制活動、信息溝通、風險評估和監督5大因素，二者并不是完全孤立的，而是有所重合、相互融合的。第二，全面風險管理和內部控制的最終目標都是不斷提升經營管理的效率并最終實現企業目的。二者的實現路徑都包括風險識別、風險評估和風險防范。第三，實施過程相互影響。內部控制的主要目標就是風險預測、風險防范，其主要針對企業內部的經營風險，而全面風險管理的管理內容包括了內部經營風險、外部風險以及具體的實現路徑，因此具有更加廣泛的意義。從上述可知，內部控制可以被視為全面風險管理的有機組成部分，在風險管理和實施的過程中，雙方也是相互影響、相互融合的。

3 全面風險管理模式下構建內部控制體系的原則

內部控制體系的構建原則是企業完善內部控制系統、提升內部控制作用、實現內控控制目標的依據，是企業內部控制的出發點和首先需要解決的問題。全面風險管理模式下的內控體系構建原則應該以全面風險控制理論為基礎，在此基礎上擴大內部控制的范圍，使內控體系建設服務于風險管理目標，具體來說應包括以下幾個方面。

（1）全面原則。全面風險管理包括企業內部風險和外部風險管理，要求企業需要綜合考慮風險的識別、判斷和解決途徑，而全面風險管理下的內部控制不僅需要企業管理層和員工層加入內部控制體系的建設、完善和執行，也需要綜合考慮企業愿景、企業文化、企業戰略和現行政策、操作實用性、解決風險的各項途徑等各項問題，既包括決策管理又包括操作細節，是一種全過程、全方位的管理。

（2）重要原則。全面風險管理要求企業綜合考慮企業在生存發展過程中面臨的現實性和未來可能發生的風險，同時需要有主有次、有張有弛，掌握影響企業發展的重點環節、重點領域、重大風險，通過控制重大風險達到推動企業發展的目的。

（3）真實原則。內控體系所控制的對象和有關活動應該是真實的，源頭失真會導致整個內控體系崩潰，無法起到規避和防范風險的效果。同時，在全面風險管理下，風險影響因素錯綜復雜，各種風險相互交織，風險的誤讀、誤判會導致內控徒勞無功，評價和控制的過程存在根本性的錯誤，最終的結果也只能以失敗告終。

（4）獨立原則。內控體系是建立在對各項活動的控制和監督上的完整的、相互配合的體系，因此，內控體系的實施和評價部門需要具有較高的獨立性，不能與監督、管理對象存在利益上的糾葛，從而才能真正發揮內控體系的作用。

（5）成本原則。影響企業的因素各種各樣，內控體系不是包打天下的，內控體系的搭建和執行本身也是企業的一種經濟活動。內控體系一定要在成本效益環節上下功夫，尋求風險控制和經濟效益的平衡點，以最小的成本防范企業風險，最大限度地增加企業效益。

4 全面風險管理模式下內部控制體系構建

通過對全面風險管理、內控體系的區別和聯系，以及內控體系的構建原則進行闡述，說明全面風險管理是建立內控體系的基礎，也為如何構建內控體系指明了方向。

4.1 構建全面風險管理為基礎的內控體系的影響因素

為確保內控體系符合企業的發展要求，使內控體系真正發揮作用，企業應從以下幾個方面入手。第一，培養全面風險管理意識。企業需要具有將全面風險管理和內控體系結合起來的意識，真正認識到風險管理和內控體系的內在關系，從而才能組織開展有效的活動，保障內控體系有效運行。第二，劃分組織機構。內控體系的一個重要環節就是合理劃分各個部門的職能，清楚地劃分各部門的職能邊界，能在有效提高效率的同時明確權利與義務，保障內部各部門的有效運轉。第三，營造企業文化。企業文化是企業員工共同遵守的信條，良好的企業文化能有效提升效率，保證員工認同企業經營管理理念和風險管理活動，對風險管理下的內控體系運行起到了至關重要的作用。

4.2 全面風險管理下的內控體系指標構建

根據COSO框架和全面風險管理的有關理念，本文對內控體系的評價指標體系進行了優化。該指標體系分為兩個層面、20個指標，具體指標體系如下。①控制環境要素。該指標包括企業文化、人員素質、組織架構、公司治理和規章制度。②風險控制要素。該指標包括管理目標、有效性、風險識別、風險控制。③控制活動要素。該指標包括銷售環節、采購環節、存貨環節、生產環節和投融資環境。④信息與溝通要素。該指標包括信息系統、信息質量、信息系統自動化。⑤監督管理要素。該指標包括內部控制報告、內部審計、外部審計。

4.3 權重設定

概括來說，指標權重的確定方法有定性和定量兩種方法，定性方法包括德爾菲法、層次分析法等，定量分析法包括熵值法、灰色關聯度法等。本文主要介紹定性方法。

（1）德爾菲法。該方法需要在匿名的情況下進行多輪調查，直至各專家的意見趨于一致。在此基礎上，對專家的評價意見進行匯總分析，如果各專家的意見集中度和離散度達到能接受的程度，則對權重進行歸一化處理，得到各指標的權重。該方法的優勢在于可操作性強，不受數據的約束，缺點在于受人為的主觀性影響大，準確度較低。

（2）層次分析法。在應用層次分析法時，首先需要對問題進行層次化，將不同問題分為不同的影響因素，再對第1層的影響因素進行分解，形成第2層的影響因素并以此類推。在假設每個影響因素都是相互獨立影響上層指標的前提下，對每層的影響因素以及隸屬關系將不同層次的因素進行聚合，形成一個多層次的分析結構模型，根據各因素的重要性程度進行賦值，最終形成優劣次序的排列。

5 結 語

本文首先梳理了全面風險管理和內部控制理論，在此基礎上對全面風險管理及內部控制之間的區別與聯系進行了系統的闡述，說明了二者之間的區別和聯系，并重點說明了二者之間的融合性。之后，本文基于全面風險管理的視角構建了內部控制評價指標體系，對影響因素、指標體系、權重設定進行了全面分析，說明基于全面風險管理的內部控制體系可以更好地指導內部控制實踐，確保能夠順利實現企業目標，希望能夠為企業的風險管理及內部控制提供借鑒。

主要參考文獻

[1]袁春燕.全面風險管理視角下企業內部控制體系構建研究[D].蘭州：甘肅政法學院，2015.

[2]岳世忠，袁春燕.基于全面風險管理視角下的企業內部控制研究[J].生產力研究，2014（12）.

[3]潘玉琪.全面風險管理視角下的企業內部控制體系研究[J].中國內部審計，2016（8）.