培育企業內部控制與風險管理能力研究

摘 要 企業內部控制是社會經濟發展到一定階段的產物，伴隨著社會經濟的發展，尤其是近年來全球經濟一體化進程的加快，使經濟環境中的不確定因素不斷增加，企業面臨的也風險越來越大，因此要使企業能夠長期可持續的發展，加強風險管理，優化內部控制將顯得尤為重要。

關鍵詞 企業內部控制 風險管理 風險管理能力 對策研究

中圖分類號：F275 文獻標識碼：A

2007年美國次貸危機的爆發使全球陷入嚴重的經濟恐慌之中，此次金融危機造成一大批金融機構相繼倒閉，金融市場劇烈動蕩，股市急劇下挫，民眾的投資和消費信心遭受重創。自2008年10月份以來，分布于我國長江三角洲和珠江三角洲的中小企業也受到有史以來最嚴重的經濟沖擊。在目前形勢下，一些國家在金融危機中受到的重創仍然沒有消除，甚至愈演愈烈。世界經濟明顯的下行趨勢，以及國際經濟環境中的不確定、不穩定因素的增多，使我們不得不思考尋找企業抵御風險的措施和方法，加強和完善企業內部控制與風險管理已迫在眉睫。

一、企業內部控制與風險管理理論的合理解讀

（一）內部控制理論。

內部控制理論是伴隨著企業內控實踐經驗的積累而逐步發展起來的。內部控制理論的發展先后經歷了內部牽制、內部控制制度、內部控制結構與內部控制整體框架等四個不同的階段。就目前來看，內部控制的權威定義來自于1992年COSO（The Commit-tee of Spons oring Organizations of the Treadway Committee）頒布的《內部控制———整體框架》報告，該報告認為內部控制是由企業的董事會、管理層、和其他成員實施的，為營運的效率、效果、財務報告的可靠性以及法律規章的遵循性提供合理保證的過程。它是由控制環境、風險評估、控制程序、信息與溝通和監督五大要素組成的。

（二）風險管理理論。

風險管理是一門新興的管理學科，其涉及到的行業和領域比較廣泛，尤其是在企業界，有關風險管理的理論研究受到了極大的關注，風險管理的具體實踐也得到了一些落實。關于對風險管理的理解可以從表層和深層的兩個角度分析。從表層上講，風險管理是對生產活動或行為中的風險進行管理；從更深層次上講，風險管理是指風險管理負責人通過風險識別、風險評價和風險量化等風險分析活動，對風險進行規劃、控制、監督，從而增大應對威脅的機會，以成功的完成并實現總目標。對風險管理的研究目前已經形成兩大學說，一種是美國學說，一種是英國學說。美國學者把風險管理的對象局限于純粹風險，在概念上側重風險處理。英國COSO在1992年頒布了《企業整合框架》，該框架認為企業風險管理是一個過程，該過程由企業董事會、管理層和其他員工共同參與，應用于戰略制定，貫穿于企業各層級和部門，為識別影響企業的潛在事項和風險而設計，為企業目標的實現提供合理保證。

二、內部控制與風險管理的關系分析

（一）內部控制與風險管理的關系研究回顧。

結合國際上對內部控制與風險管理的權威定義，以及國內外學者對內部控制與風險管理關系的研究總結出三種代表性觀點：

1、風險管理包括內部控制。

COSO在2004年出臺的《企業風險管理——整體框架》中明確指出企業風險管理包括內部控制。企業風險管理框架并未取代內部控制，而是將內部控制框架整體納入其中，風險管理包含的八要素涵蓋了內部控制整體框架的五要素，由此說明內部控制是風險管理的一種方式，企業風險管理比內部控制范圍廣得多。

2、內部控制包括風險管理。

COSO在《內部控制——整體框架》報告中將風險評估作為企業內部控制的一個組成要素，實際上就是將風險管理包含在內部控制的范圍之內。英國FSA在《綜合準則》(The Combined Code，1998)中關于內部控制的規定也第一次以官方文件的形式明確將風險管理包含在內部控制之中。

（二）內部控制與風險管理逐漸走向融合。

1、理論上相互融合。

COSO在1994年將《內部控制———整體框架》修改為《企業風險管理———整體框架》，其根本原因在于內部控制的出發點與最終目的就是為了控制和管理風險。雖然內部控制的目標與控制層次不斷提升，但風險控制與管理始終是其核心，從字面理解上可知內部控制就是控制風險，控制風險就是風險管理。所以內部控制和風險管理是控制風險的兩種不同語義表達形式。風險管理無疑是內部控制在新形勢下的自然升華，它是更主動、更全面的內部控制。

2、實踐中相互融合。

在風險導向內部控制的觀念下，風險管理成為企業生存并且發展壯大的關鍵環節，內部控制的工作重點也由制定單純的內部控制制度轉變為尋求測試管理風險和確認風險的方法，內部控制工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用，同時，內部控制也被賦予了更多的職責和使命。尤其是近年來在美國發生的財務造假案導致了安然、世通等跨國大公司的破產，同時也導致了安達信這樣一個有著90多年歷史的世界級會計師事務所退出了歷史舞臺。這些事件的發生，在全球引起了各方對民間審計機構誠信問題的探討，同時也觸動了人們對企業內部控制的進一步思索。無一不認為企業內部控制制度的發展演進與企業面臨的風險相關，風險管理涉及的層次更深更廣，內部控制將逐漸走向風險管理。

三、我國內部控制與風險管理的現狀分析

（一）內部控制和風險管理責任主體單一。

就目前來講，很多企業的內部控制和風險管理制度往往都是由經理層制定的，使經理層成為唯一的責任主體，其目的是為了更好的服務于高層管理者控制企業的資產和業務，控制中層管理者和企業員工的行為，而對于高層管理者(如總經理、執行董事)則缺乏制約控制能力。在這種情況下往往將為企業帶來經營風險并導致經營失敗。內部控制和風險管理的主體應該是一條自上而下的鏈條，因此，有必要讓企業所有的利益相關者，尤其是公司的股東和董事會認識到內部控制、風險管理的重要性和緊迫性，從而加強對內部控制的制定和實施。

（二）風險管理意識有待提高，風險管理理念沒有得到推廣。

企業經營者和管理者的風險意識在現階段比較淡薄，風險管理作為一種職能和理念尚未融入到我國企業的管理過程當中，因此企業管理層對于風險管理的重要性認識還不到位，風險管理手段相對落后。在項目決策和公司治理方面，對風險評估、信用等級評定缺乏有效的評定標準，缺乏專業風險管理及監控體系，制定不出有效的風險管理方案。盡管有一些風險管理措施，但僅局限于口頭上或者制度上，或者實施力度不強，風險管理水平較低。

（三）內部控制固有的局限性還未引起足夠的重視。

無論是理論界還是實務界往往將企業倒閉、破產或不能正常經營歸因于企業的內部控制制度存在缺陷，這雖然沒有錯，但忽視了內部控制失效的另一個重要原因，即內部控制固有的局限性。COSO報告在闡述內部控制的四大局限時提到:內部控制既不能解決管理階層人員素質問題也不能左右政府政策或經營環境。因此對于凌駕于傳統內部控制之上的風險，傳統的內部控制很難解決。

（四）企業缺少適當的風險管理機制。

我國企業中只有銀行、保險、證券公司等金融機構比較注重風險管理，并且因為金融行業的風險性較大，所以許多金融機構也按照國家相關法規的要求建立了自身的風險管理機制，但是至于我國其他企業則很少具備自身的風險管理機制，并且也缺乏對普通企業如何建立風險防范機制的相關研究。COSO在《企業風險管理一總體框架》這一報告中認為風險管理作為企業內部控制不可缺少的一個要素，它不單是簡單被動地應對各種風險，而是積極地通過對風險的識別、分析、控制這一風險管理過程來幫助企業合理有效地規避風險危害以及利用風險機會。因此，我國企業應充分重視風險管理機制的必要性和重要性，有關機構也應加強對普通企業建立風險管理機制的研究工作。

四、培養企業內部控制與風險管理能力的對策

（一）完善公司治理與內部控制環境。

由于我國市場經濟尚處于發展階段，證券市場也處于新興加轉軌階段，股權結構異化，股權文化缺失，公司治理形備而實不至。因此應加強公司治理建設，利用董事會、監事會、股東相互制衡的方式來解決企業高層人員“一人獨大”而帶來的風險。將公司經營層面的內部控制與公司治理層面的內部控制結合起來，從根本上改善內部控制環境，實現對公司風險的全面控制。

（二）建設有效的風險管理體系。

就目前來看，我國絕大多數企業對內部控制的重要性認識不足，內控結構很不完善，控制效率低下，風險意識淡薄，從而導致我國企業的內部控制在總體上存在著內部控制環境惡劣、控制活動薄弱、信息流通不暢和對內部控制的監控不力等問題。因此我國企業必須注重風險管理體系的建設，在該體系中應重點包括控制戰略風險、控制經營風險、控制財務風險等預防和處理措施。風險管理體系的建立將使企業內部控制制度更加健全，而健全的內部控制制度又可以有效地防止和降低風險可能帶來的各種損失，促進效益最大化，提高企業的市場競爭力。

（三）實施動態的過程管理，控制經營活動風險。

1、實施全面預算管理。

企業應該設立預算管理機構，聘請專業人員編制預算并且嚴格預算的執行與監督，合理的進行預算分析和評估，從而達到預防風險、控制風險、強化風險管理的目的。

2、實施資金集中管理。

建立高效的籌資、融資系統，加強資金使用管理及外匯風險的管理來降低和規避風險。

（四）強調全員參與，高度關注內部控制與風險管理。

首先，企業要高度重視對控制環境的建設，完善法人治理結構，建立權力制衡機制；管理層要重視內部風險控制的成效，不斷提高整個員工的綜合素質，重點培育和加強全員風險管理意識，通過培訓幫助員工建立系統的全面風險管理理論，使員工充分意識到風險管理的重要性，并使他們增強對風險的敏感度，擺正風險管理和企業發展的關系，同時建立風險控制制度和獎懲制度，幫助員工了解自身工作的責任；其次，樹立企業風險管理文化，通過各種途徑將風險控制文化傳遞給每一個員工，使風險管理理念滲透到每個部門、每個崗位和每個工作環節。建立從董事會到部門到員工嚴密、暢通的信息網絡，設立良好的信息與溝通系統，形成以部門為單位的風險責任中心，確定部門風險控制目標并落實到責任人；最后，培育風險管理的綜合型人才，引入競爭機制，合理配置企業人力資源，在注重加強員工的業務素質教育的同時，加強員工守法意識和職業道德教育。

（作者：廣東商學院會計學院2009級研究生，研究方向：財務會計理論與實務）

參考文獻：

[1]COSO制定發布.方紅星，王宏譯.企業風險管理——整合框架.東北財經大學出版社，2005.

[2]謝志華.內部控制、公司治理、風險管理：關系與整合.會計研究，2007.10。

[3][美] Steven J. Root，付濤等譯.超越COSO:加強公司治理的內部控制.清華大學出版社. 2004.

[4]郭曉龍.我國中小企業風險管理研究.首都經濟貿易大學學報，2008.