基于風險角度的企業內部控制環境因素分析

[摘要]內部控制環境是內部控制的組成部分和前提。企業內部控制環境因素由內部環境和外部環境兩要素構成，內部環境要素是企業實施內部控制應關注的重點企業應強化風險意識，充分重視風險內容，在認識風險的基礎上采取措施規避風險、控制風險

[關鍵詞]內部控制；

內部環境；

外部環境；風險管理

內部控制環境是內部控制的組成部分及前提，是公司內部影響控制制度正常運作的環境因素，是所有其它內部控制組成要素的基礎，是內部控制的首要因素。我國的第一部《企業內部控制基本規范》于2009年7月1日起在上市公司范圍內施行，鼓勵非上市的其他大中型企業參照執行。作為內控首要因素的企業內部控制環境因素，在基本規范的實施中突顯重要。

一、企業內部控制環境因素

1992年，內部控制理論權威機構美國COSO委員會在其研究報告中認為內部控制由五個相互影響的要素構成，即控制環境、風險評估、控制活動、信息與溝通、監控。內部控制是為合理保證單位經營活動的效益性、財務報告的可靠性和法律法規的遵循性，而自行檢查、制約和調整內部業務活動的自律系統。

根據系統論的觀點，如果把內部控制工作看作一個系統，那么內部控制以外的并對內部控制系統有影響作用的一切系統的總和，便構成了內部控制的環境。這些環境有的是企業可以控制的，有些是企業不可控的，前者即是內部控制內部環境，后者即是內部控制的外部環境。即企業的內部控制系統同時受著內外環境的影響。

內部控制環境因素應有內部環境和外部環境兩要素組成，外部環境如整個社會的經濟形勢、道德環境、法律環境和政府角色和作用等。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。

內部控制環境這個大因素由內部環境因素和外部環境因素兩個小因素組成，兩者共同影響著企業的內部控制系統的有效性，但由于內部環境因素是企業可控的，所以在企業實施內部控制時，內部環境因素應是關注的重點。

《內部控制——整體框架》即COSO報告對控制環境定義：控制環境是一種氛圍和條件。它內嵌于企業文化之中，影響員工的控制意識和實施控制的自覺性，決定著其他控制要素作用的發揮，并影響到企業經營目標及整體戰略目標的實現。定義的特點是注重公司內部的“軟環境”，也是前面我們講的內部環境。

2004年，COSO委員在借鑒以往有關內部控制研究報告的基本精神的基礎上，結合《薩班斯——奧克斯利法案》在財務報告方面的具體要求，發布了《企業風險管理框架》。該報告認為。企業風險管理包括八個相互關聯的要素，各要素貫穿在企業的管理過程之中。根據管理者經營的方式，分為內部環境、目標設定、風險識別、風險評估、風險反應、控制活動、信息和溝通、監控等?！镀髽I風險管理框架》中用“內部環境”代替了“控制環境”。企業的內部環境是其他所有風險管理要素的基礎，為其他要素提供規則和結構。企業的內部環境不僅影響企業戰略和目標的制定、業務活動的組織和對風險的識別、評估和反應。它還影響企業控制活動、信息和溝通系統以及監控活動的設計和執行。

2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了我國第一部《企業內部控制基本規范》，這是中國會計審計領域的又一重大改革舉措。該基本規范第一章第五條“企業建立與實施有效的內部控制，應當包括下列要素：內部環境、風險評估、控制活動、信息與溝通、內部監督”“內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等”?？梢宰⒁獾竭@里用的是“內部環境”而不是“控制環境”。

雖然內部環境包含的具體內容很多，比如企業員工的價值觀、人員的勝任能力和發展計劃、管理者的經營模式、權限和職責的分配方式等，但是董事會是內部環境的重要組成部分，對其他內部環境要素有重要的影響。企業的管理者也是內部環境的一部分，其職責是建立企業風險管理理念，確定企業的風險偏好。營造企業的風險文化，并將企業的風險管理和相關的初步行動結合起來?；疽幏吨械膬炔凯h境主要有以下內容：

一是組織架構。是指企業按照國家有關法律法規、股東(大)會決議和企業章程，明確董事會、監事會、經理層和企業內部各層級機構設置、人員編制、職責權限、工作程序和相關要求的制度安排。二是發展戰略。是指企業圍繞經營主業，在對現實狀況和未來形勢進行綜合分析和科學預測的基礎上。制定并實施的具有長期性和根本性的發展目標與戰略規劃。三是人力資源。是指由企業董事、監事、高級管理人員和全體員工組成的整體團隊的總稱。四是企業文化。是指企業在生產經營實踐中逐步形成的、為整體團隊所認同并遵守的價值觀、經營理念和企業精神，以及在此基礎上形成的行為規范的總稱。五是社會責任。是指企業在發展過程中應當履行的社會職責和義務，主要包括安全生產、產品質量、環境保護與資源節約等。

二、內部環境存在著風險

風險是普遍存在的，企業在日常的生產經營中總會面臨著來自內部或外部的風險。在市場經濟條件下，企業間競爭愈演愈烈，經營與財務風險及不確定性因素不斷增加，企業內部控制所面臨的風險隨之加大。由于企業風險具有突發性、多變性和無形性，因此企業風險的發生往往會給企業的生產經營帶來巨大影響，并可能造成難以衡量和彌補的損失。企業加強風險管理尤為必要，認識風險、規避風險、控制風險是內部控制的核心內容。從企業風險產生的角度來說，企業風險分為兩種：內部風險，即由企業內部條件變化引起的風險；外部風險，即由外部環境變化引起的風險。企業能控制的是環境中的內部環境因素即可控部分。企業內部環境建設中面臨的風險，具體表現在以下幾個方面：

(一)企業組織架構設計與運行中面臨的風險

1 治理結構形同虛設，可能導致企業缺乏科學決策和運行機制。難以實現發展戰略和經營目標：2組織構架設計不適當，結構層次不科學，權責分配不合理，可能導致機構重疊、職能缺位、推諉扯皮，運行效率低下。

(二)企業在發展戰略制定與實施中面臨的風險

1 缺乏明確的發展戰略，可能導致企業盲目發展，喪失發展動力和后勁；2發展戰略脫離企業客觀實際，可能導致企業過度擴張或發展滯后；3發展戰略因主觀原因頻繁變動，可能損害企業發展的連續性或導致資源浪費。

(三)企業在人力資源管理進行中面臨的風險

1人力資源缺乏、結構不合理，可能導致企業發展戰略難以實現；2人力資源激勵約束制度不合理、優勝劣汰機制不完善，可能導致關鍵人才流失或經營效率低下。

(四)企業在文化建設中面臨的風險

1缺乏積極向上的價值觀、誠實守信的經營理念、為社會創造財富并積極履行社會責任的企業精神，可能導致員工喪失對企業的認同感，人心渙散，企業缺乏競爭力；2忽視企業并購重組中的文化差異和理念沖突，可能導致并購重組失敗。

(五)企業在履行社會責任中面臨的風險

1安全生產意識薄弱，安全生產責任制落實不到位，可能導致企業發生重特大安全事故；2產品質量不合格，侵害消費者利益，可能導致企業巨額賠償、形象受損甚至破產；3環境保護意識不強、投入不夠、措施不力，造成環境污染。可能導致企業巨額賠償或停產整頓。

三、內部控制要融入風險管理內容

風險的危害是現實存在的，這就要求企業將風險管理融入到內部控制中去，防止風險，及時地發現風險，預測風險可能造成的影響，并設法把不良影響控制在最低程度，這就是風險導向型內部控制。風險導向型內部控制除了關注傳統的內部控制之外，更關注風險管理機制的有效性和公司治理結構的健全性，在促進企業完善風險管理和公司治理方面發揮著重要作用。在完善企業內部控制環境時應注意融入風險管理內容，完善公司治理結構，識別重要風險并建立風險評估和回應機制。風險導向的內部控制作為一種現代內控模式，已在發達國家的審計實踐中得到日益普遍的應用，而在我國，將風險管理引入內部控制的理論研究也只是在近年剛剛開始，在實踐方面還是一個嶄新的領域。隨著我國經濟的高速發展，將風險管理融入到內部控制中去，更體現了企業自身的要求，已成為一種發展的必然趨勢。

四、強化風險意識的措施

企業風險并不可怕，因為它是客觀存在的。是企業與生俱來的，問題是企業以什么樣的態度來看待風險。可怕的是企業缺少風險意識，那樣風險就會轉化為可見的損失和危機，它不僅能使既定的企業發展目標無法實現，嚴重的還可能會令企業陷入生存的困境。企業的風險意識就是企業對風險的客觀性和普遍性的警醒和覺悟，它來自企業對經營環境的真實認知，是一個成功企業不可缺失的文化基因。企業可通過控制沖動和錯誤，形成適度的風險偏好，積累風險承受力，將企業風險控制在合理的范圍之內。

企業只有加強了風險意識，才能適應社會的變革和自身的發展。企業應將風險意識融入企業文化，高級管理人員和全體員工都應當強化風險意識。這就需要高級管理人員在風險管理的各個環節，大力培育和塑造良好的風險管理文化，樹立正確的風險管理理念，學習、掌握風險識別與防范的技術，同時增強員工風險意識，將風險意識轉化為員工的共同認識和自覺行動，將風險意識變成企業上下共同的理念，促進企業建立系統、規范、高效的風險管理機制，保證企業更好地生存和發展。

企業除了將風險意識變成企業上下共同的理念外，還應建立風險管理培訓制度。在風險管理前期，企業應主要進行企業風險管理理念的培訓，通過向企業員工介紹企業風險管理的理念、目的和相關知識。使企業員工了解作為企業文化一部分的風險意識對企業風險管理的重要性。在風險管理啟動階段，企業應重點進行風險管理原理的培訓，培訓對象一般為企業中高層管理人員。培訓l的要點以風險管理的原理為主，并結合企業管理現狀，重點介紹風險管理柜架的內容。在風險管理實施階段。企業應將重點放在實際操作上，介紹風險管理的流程，培訓風險管理人員如何防范風險、識別風險、評估風險，學習應對風險的方法等。

企業的風險管理培訓可以采取多種途徑和形式。加強核心內容的培訓，培養風險管理人才，培育風險管理文化。

由于現代企業面臨的風險有廣泛性、經常性、持續性和復雜性的特點。這就要求企業風險管理必須是一個系統工程，并貫穿于企業戰略決策、生產經營、管理控制的各個環節之中，涉及企業的各個機構部門和人員，風險意識滲透到企業的方方面面。企業風險管理不僅是管理人員、內部審計或董事會、監事會的責任，而且也是企業中每個機構部門、每位員工均應負有的重要責任。

五、內部控制評價應以內部環境的風險評估為基礎

內部控制評價是以風險評估為基礎，根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。內部控制環境是內部控制的組成部分及前提，是公司內部影響控制制度正常運作的環境因素，是所有其它內部控制組成要素的基礎，是內部控制的首要因素。因此企業內部控制評價應當以內部環境為基礎，重點關注：治理結構是否形同虛設；發展戰略是否可行；機構設置是否重疊；權責分配是否明晰；不相容崗位是否分離；人力資源政策和激勵約束機制是否科學合理；企業文化是否促進員工勤勉盡責；社會責任是否有效履行等。