內部控制視角下風險管理構建

無錫商業職業技術學院 董麗麗

內部控制視角下風險管理構建

無錫商業職業技術學院 董麗麗

一、內部控制與風險管理理論發展

（一）內部控制理論發展歷程 內部控制理論發展經歷了內部牽制、內部控制制度、內部控制結構和內部控制整體框架四個階段。內部牽制階段主要內容是賬目間的核對，設定崗位分離是內控的主要方式；內部控制制度階段重點是建立健全規章制度；內部控制結構階段認為內部控制是為合理保證企業特定目標的實現而建立的各種政策和程序，包括控制環境，會計制度和控制程序三個方面；內部控制整體框架階段以1992年美國COSO委員會提出的《內部控制——整體框架》報告為標志。COSO內部控制框架認為，內部控制是受企業董事會、管理層和其他人員影響，為經營的效率和效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程；內部控制是由控制環境，風險評估，控制活動，信息與溝通，監控五要素組成。COSO認為，內部控制應建立在風險管理的基礎上，因此該委員會又擴展了內部控制的框架，在2004年形成了《企業風險管理——總體框架》。風險管理是一個過程，在企業范圍內由董事會、管理層以及其他人員執行，用于企業的戰略制定，用來識別可能對企業造成影響的潛在事項，并將其風險控制在企業可接受的范圍內，為企業目標的實現提供合理的保證。可見內部控制是風險管理的一部分。

（二）內部控制建設的發展 我國的內部控制建設是一個不斷的發展過程。從上個世紀80年代開始，內部控制逐漸被我國企業和理論界所關注。在2008年6月我國財政部等五部委發布了《企業內部控制基本規范》，標志著中國企業內部控制規范體系建設取得重大突破。規范中明確內部控制的概念，指企業為了實現其經營目標，保護資產的安全完整。保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。

二、企業內部控制與風險管理現狀

（一）內部會計控制缺陷 按國家規定、財務制度要求該建賬的沒有建，有的雖已建賬但賬目不清；賬外設賬，私設小金庫或做假賬；隨意核銷費用，任意減少利潤或增加虧損；企業崗位設置沒有互相牽制，業務經辦人、財會人員利用職務之便大量收受賄賂、占用單位資產，挪用公款；為了掩蓋真實的財務狀況和經營成果，任意偽造和變造虛假的會計憑證；業務費用的開支范圍沒有嚴格規定，處于失控狀態等。

（二）內部管理控制缺陷 公司治理結構不健全，董事長、總經理一人兼任；單位負責人對重大事項決策、審批實行一支筆。內部控制制度說一套，做一套，制度放空炮；制度設計“救火式”的較多，制度體系缺乏系統性和完整性，甚至政出多門，相互矛盾。單位負責人違法干預會計工作，致使核算不實造成信息失真現象較為嚴重；有的職能部門形同虛設，多數企業的內部審計未能發揮真正的監督作用。企業管理混亂等。

（三）缺乏合理規避風險意識 對現代企業而言，風險是某種不利因素產生并造成實際損失致使企業目標無法實現或降低實現目標的效率的可能性。內部控制是一個系統，一旦某個細節出現一個或一個以上的風險點，企業內部控制環境就存在缺陷，繼而危及企業整體發展。

三、內部控制下風險管理構建

（一）內部控制下風險管理構建原則 具體如下：

（1）注重成本效益原則。企業規模不同應適當選擇內控制度。《企業內部控制基本規范》自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行。最嚴格、最規范的內部控制可以最大可能性的確保經營管理目標的實現，有的企業全搬照抄所謂知名企業內控模式將給企業造成額外的負擔，內控也不能達到理想的效果。如果適當的內部控制就可以實現企業經營目標，如較少的控制環節，或者較少部門、人員，則更具有管理效率。另外，企業類型不同應適當選擇內控制度。企業類型不同，風險表現往往不同。其內控的關鍵控制點與風險要具有針對性。

（2）注重風險與效率的協調。首先明確內部控制不會影響效率。對一些大企業而言，一項業務流程常常會需要多個部門審核批準。這會產生控制過多影響業務發展的錯誤認識，因此認為企業應當優先考慮業務開展，而不應過多地設置內部控制。美國上市公司的財務數據經統計表明，內部控制在剛建設的幾年內，的確會影響企業的利潤增長；但是過渡期結束，內部控制對企業利潤增長的貢獻是一個正向的促進作用。其次，控制并非越多越好，要體現重要性原則。我們應該在風險評估基礎上，進行風險分析，識別企業內控缺陷和關鍵控制點，對重大內控缺陷予以重點控制，而對非重大缺陷則酌情取舍；關鍵控制點予以重點控制，而對非關鍵控制或不必要控制點，避免眉毛胡子一把抓。充分體現重要性原則。通過建立健全科學、系統的內部控制體系，可以起到優化流程、提高經營效率的作用。

表1 IPO公司盈余管理水平的描述性統計

（3）注重內部控制與風險的適應性。隨著風險的變化，內部控制也必然隨之發生變化。風險的存在不僅要求與之相適應的內部控制，風險的變化同時也要求內部控制變化。簡單來說，企業在創業時期，更關注資金籌集，供應商渠道，客戶關系，貨款收回等方面，因此企業在建立內部控制時，特別重視對經營風險的關鍵控制。對于發展中處于轉型時期的企業來說，該企業往往有一定的內控基礎，但在轉型時期可能面臨著業績高速成長，人員迅速擴充，已建立的規章制度過時，經常性涉及組織結構及人員調整等情況。這類企業面臨著比創業時期更大的風險，應當審視現有的規章制度和業務流程，廢止已經過時失效的內控制度，制定新的內部控制，確立新的關鍵控制點，應對新的風險。

（二）內部控制中風險應對 企業管理層應充分考慮影響企業戰略目標實現的內外部因素，通過分析各種風險提供管理風險應對措施。企業應根據規模大小設置風險管理部門或具有風險管理職能部門，并建立流程以識別企業的外部風險和內部風險，明確風險的表現形式，根據內部控制建立和實施的原則合理采取控制措施應對風險。本文結合基本規范與BRM風險分析，考慮如表1。

此外，企業經濟活動的多元化發展，使經濟業務突破了傳統的會計核算形式。會計部門應建立流程適應會計準則的重大變化。當企業業務操作發生變化并影響交易記錄的流程時，會計部門應通知風險管理部門，并召開會議進行討論。會計部門應學習新準則法規以識別其重大變化；及時參加后續教育跟進會計準則的最新進展。

［1］肖湘子：《論公司治理結構下的內部控制》，《財經界》2009年第8期。

（編輯 向玉章）