以風險管理為導向的企業(yè)內(nèi)部控制研究

□張冬花

一、企業(yè)內(nèi)部控制與風險管理的發(fā)展和演變

（一）內(nèi)部牽制階段

內(nèi)部控制概念產(chǎn)生于20世紀40年代之前，其最原始的內(nèi)涵僅指內(nèi)部牽制。但在此前的人類社會發(fā)展史中，早已存在著內(nèi)部控制的基本思想和初級形式，這就是內(nèi)部牽制(Internal check)。15世紀末，隨著資本主義經(jīng)濟的初步發(fā)展，以意大利復式記賬法的出現(xiàn)為標志，內(nèi)部控制漸趨成熟。這一階段主要以查錯防弊為目的，以職務分離和賬目核對為手段，保證財物的安全與完整，確實有效地減少了錯誤和舞弊行為，即是典型的內(nèi)部牽制措施。即使在現(xiàn)代內(nèi)部控制理論中，內(nèi)部牽制仍然發(fā)揮著重要作用。

（二）內(nèi)部控制階段

1.會計控制和管理控制

1934年美國《證券交易法》，首先提出了“內(nèi)部會計控制”(Internal accounting control system)的概念。1949年美國審計程序委員會下屬的內(nèi)部控制專門委員會對內(nèi)部控制首次做出了如下權(quán)威定義：“內(nèi)部控制是企業(yè)所制定的旨在保護資產(chǎn)、保證會計資料可靠性和準確性、提高經(jīng)營效率，推動管理部門所制定的各項政策得以貫徹執(zhí)行的組織計劃和相互配套的各種方法及措施”。1953年10月，審計程序委員會又發(fā)布了《審計程序公告第19號》，將內(nèi)部控制劃分為會計控制和管理控制。1972年，美國審計準則委員會(ASB)在第1號公告中，不斷修正和完善內(nèi)部控制的定義，將內(nèi)部控制劃分為內(nèi)部會計控制與內(nèi)部管理控制兩個方面。1988年4月美國注冊會計師協(xié)會發(fā)布的《審計準則公告第55號》，規(guī)定從1990年1月起以該文告取代1972年發(fā)布的《審計準則公告第1號》。該文告首次以“內(nèi)部控制結(jié)構(gòu)(Internal Control Structure)”一詞取代原有的“內(nèi)部控制”。

2.內(nèi)部控制整體框架

鑒于20世紀70年代至80年代間發(fā)生的財務欺詐、可疑商業(yè)行為及金融機構(gòu)破產(chǎn)等一系列事件的巨大影響，1985年由美國注冊會計師協(xié)會，內(nèi)部審計師協(xié)會，財務經(jīng)理協(xié)會，美國會計學會，管理會計協(xié)會聯(lián)合創(chuàng)建反虛假財務報告委員會。1992年9月，該委員會所屬的內(nèi)部控制專門研究委員會發(fā)起機構(gòu)委員會(簡稱COSO委員會)在進行專門研究后提出專題報告《內(nèi)部控制——整體框架(Internal Control一Integrated Framework)》，也稱COSO報告。COSO報告指出：內(nèi)部控制是一個過程，受企業(yè)董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經(jīng)營的效果和效率以及合法合規(guī)性。同時，還將內(nèi)部控制劃分為控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督五個要素。

（三）風險管理階段

1.風險管理整合框架階段

2001—2002年，美國安然、世通財務舞弊事件接連發(fā)生，震驚了世界各國監(jiān)督機構(gòu)。大家開始從更深層次思考企業(yè)內(nèi)部控制的有效性和運營風險的關(guān)系。2004年10月，COSO委 員會對《內(nèi)部控制——整體架構(gòu)》做了進一步的延伸和擴展，提出了《企業(yè)風險管理——整合框架（(Enterprise Risk Management—Integrated Framework)》，其中明確提出了內(nèi)部環(huán)境、目標設(shè)定、事項識別、風險評估、風險應對、控制活動、信息與溝通和內(nèi)部監(jiān)督八個風險框架要素，使內(nèi)部控制延伸到了全面風險管理。

2.公司治理階段

近十幾年來，由于新技術(shù)、新環(huán)境的不斷演變，新的風險層出不窮，并且風險的復雜性也發(fā)生了重大變化。2017年6月，COSO更新版的《企業(yè)風險管理框架》正式發(fā)布，更新版的框架，強調(diào)了在戰(zhàn)略制定過程和戰(zhàn)略實施過程中考慮風險的重要性。這一階段的內(nèi)部控制開始從企業(yè)的使命、愿景與核心價值觀入手，提升員工的風險管理意識和素質(zhì)。

2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》。2010年4月，財政部等五部委又聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》，包括應用指引、評價指引和審計指引。《企業(yè)內(nèi)部控制規(guī)范》在形式上借鑒了COSO《內(nèi)部控制——整體框架》的五要素內(nèi)控框架，而在內(nèi)容上包含和體現(xiàn)了COSO《企業(yè)風險管理—整合框架》的八要素實質(zhì)。

二、內(nèi)部控制與風險管理的關(guān)系

（一）內(nèi)部控制和風險管理在內(nèi)涵上有重合

內(nèi)部控制制度是企業(yè)內(nèi)部建立的使各項業(yè)務活動相互聯(lián)系、相互制約的措施、方法和規(guī)程；風險管理是指企業(yè)怎樣在一個確定有風險的環(huán)境里把風險可能造成的不良影響減至最低的管理過程。風險管理要著眼于風險控制，大多數(shù)企業(yè)通常會采用積極的措施來應對可控制風險，通過降低其損失發(fā)生的概率，縮小其損失程度來達到控制目的。

（二）內(nèi)部控制是風險管理的手段之一

企業(yè)的風險按其來源可以分為外部風險和內(nèi)部風險，外部風險是指由企業(yè)的外部環(huán)境產(chǎn)生的各種風險，如政治風險、法律風險、市場風險等；內(nèi)部風險是指由企業(yè)自身的運營活動所帶來的各種風險，如經(jīng)營風險、財務風險等。內(nèi)部控制僅是對內(nèi)部風險在業(yè)務流程和授權(quán)層面上的控制，通過把財務風險管控和業(yè)務活動相勾稽，規(guī)范企業(yè)經(jīng)營過程管理，防范內(nèi)部的程序性風險，促進經(jīng)營和戰(zhàn)略目標的實現(xiàn)。

（三）風險管理是對內(nèi)部控制的延伸和擴展

一般來說企業(yè)內(nèi)部控制工作主要由以下五個方面構(gòu)成，即控制環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督，在此基礎(chǔ)之上風險管理又增加了目標設(shè)定、事項識別、風險應對三個要素。因此可以看出風險管理是對內(nèi)部控制的延伸，強調(diào)企業(yè)的內(nèi)部控制必須向治理結(jié)構(gòu)和戰(zhàn)略規(guī)劃方向延伸，要重視對風險因素的識別、評估和控制，在競爭激烈的市場經(jīng)濟環(huán)境下，企業(yè)需要以風險管理為導向強化內(nèi)部控制體系建設(shè)。

三、企業(yè)內(nèi)部控制和風險管理存在的問題

（一）風險管理文化的缺失

企業(yè)建立系統(tǒng)、規(guī)范、高效的風險管理機制，必須要培育和塑造良好的風險管理文化，從員工到管理層都必須樹立正確的風險管理理念，強化風險管理意識。在全球經(jīng)濟一體化的背景下，從我國企業(yè)的實際情況來看，企業(yè)內(nèi)部控制工作和風險管理水平仍需要進一步提升。當前，國內(nèi)很多企業(yè)的管理層對于企業(yè)的可持續(xù)發(fā)展情況并未能十分重視，而是更加關(guān)注企業(yè)的盈利狀況和經(jīng)營業(yè)績，內(nèi)部控制意識薄弱，風險管理的認同感比較差，尚未將風險管理文化建設(shè)融入企業(yè)文化建設(shè)全過程。

（二）風險防范機制不健全

建立并落實一整套完善、高質(zhì)量的內(nèi)部控制制度和風險防范機制，能確保維護企業(yè)的資產(chǎn)安全，減少程序性風險所帶來的損失，同時不斷提高企業(yè)經(jīng)營管理效率。當前，一部分企業(yè)在日常經(jīng)營中，沒有結(jié)合實際情況構(gòu)建完善的內(nèi)部控制制度，另一部分企業(yè)雖然建立了內(nèi)部控制制度，但是還沒有形成系統(tǒng)化的管理模式和風險防范機制。2018年12月27日，聯(lián)合石化（中國石油化工股份有限公司的全球子公司）被曝出因原油套期保值發(fā)生巨額交易虧損，當日中石化在A股和港股兩個市場蒸發(fā)掉681億元市值。國有企業(yè)金融衍生產(chǎn)品業(yè)務發(fā)生巨額虧空，追逐高額利潤套利投機是要害所在。另外，違規(guī)越權(quán)操作、風險控制不力、內(nèi)控機制不健全等原因也值得深刻反思。

（三）風險監(jiān)管評價體系缺失

企業(yè)應以重大風險、重大事件和重大決策、重要管理及業(yè)務流程為重點，對風險管理的有效性進行檢驗，根據(jù)變化情況和存在的缺陷及時加以改進。從實際情況看，一些企業(yè)內(nèi)部控制體系中缺乏量化的評價指標和評估方法。同時，還有相當一部分企業(yè)內(nèi)部控制環(huán)節(jié)出現(xiàn)失誤的主要原因并不是企業(yè)缺乏內(nèi)部控制制度，而是缺乏對內(nèi)部控制執(zhí)行情況的檢查監(jiān)督。因此，企業(yè)要建立專業(yè)的內(nèi)部控制監(jiān)管機構(gòu)，強化對企業(yè)各個環(huán)節(jié)的監(jiān)督管理，通過對內(nèi)部控制檢查，形成相應的評價報告，健全考核評價機制，從而提升企業(yè)風險控制的能力和水平。

（四）風險管理的方法和技術(shù)過于簡單

提升企業(yè)的風險管理水平，就必須具備專業(yè)的風險管理人才，而且還要能熟練運用先進的風險管理方法。風險管理各項工作的開展必須依靠專業(yè)的風險管理方法和技術(shù)，企業(yè)風險管理的每一個環(huán)節(jié)都離不開方法和技術(shù)的支撐。但是目前大部分國有企業(yè)尚缺少這么一套引進、培養(yǎng)和培訓風險管理人員的體制，基本上不具備風險管理的專業(yè)人才。很多企業(yè)在外匯期貨、原油期貨、期權(quán)等高風險的業(yè)務領(lǐng)域基本上是采取“摸著石頭過河”的方式來應對。2008年，中國國際航空股份有限公司的燃油套期保值業(yè)務，損失超過31億元人民幣，而中國東方航空股份有限公司損失高達62億元人民幣，皆是由于沒有專業(yè)的風險管理人才，風險管理的方法太簡單所導致。

四、企業(yè)內(nèi)部控制如何向風險管理延伸

（一）全面識別企業(yè)風險

風險識別，是指在風險事故發(fā)生之前，人們運用各種方法系統(tǒng)的、連續(xù)的認識所面臨的各種風險以及分析風險事故發(fā)生的潛在原因。風險識別是風險管理的第一步，也是風險管理的基礎(chǔ)。只有在正確識別出自身所面臨的風險的基礎(chǔ)上，人們才能夠主動選擇適當有效的方法進行的處理。根據(jù)國資委2006年發(fā)布的《中央企業(yè)全面風險管理指引》，可以將企業(yè)風險按戰(zhàn)略、市場、運營、財務和法律五大風險管理進行識別，再結(jié)合企業(yè)實際進行具體分類。具體見表1。

（二）用定量分析方法分析風險

對風險進行定量分析的方法有很多，例如，綜合分析法、蒙特卡羅分析法、事件樹分析法等。下面主要說明綜合分析法的運用。

風險綜合評價的方法中，最常用的方法是通過調(diào)查專家的意見，獲得風險因素的權(quán)重和發(fā)生概率，進而計算出某類風險的整體風險程度。其步驟如下：

第一，建立風險調(diào)查表。在風險識別完成后，建立主要風險清單，將該類風險可能遇到的所有風險因素全部列入表中。

第二，判斷風險權(quán)重。風險權(quán)重表示某個風險因素在企業(yè)風險中的重要性程度。

第三，確定每種風險因素發(fā)生的概率?？梢圆捎?.01—0.10表示不太可能、0.11—0.30表示偶然、0.31—0.80表示可能，0.81—1.0表示很可能。

第四，計算每個風險因素的等級。用每個風險因素的權(quán)重乘以概率就是該因素的風險等級。

第五，最后將風險調(diào)查表中全部風險因素的等級相加，得出該類風險的綜合等級。若數(shù)值在0—0.25之間為低度風險，在0.26—0.50之間為中度風險，在0.51—0.75之間為高度風險，在0.81—1.0之間為極高風險。下面以B企業(yè)的運營風險為例介紹綜合分析法的應用，具體見表2。

通過計算得出B企業(yè)的綜合風險指數(shù)為0.379，表明B企業(yè)的運營風險為中度風險，需加強管理，不斷改進。

表1 風險分類表

表2 B企業(yè)運營風險調(diào)查表

（三）制定明確的風險策略

一般情況下，對戰(zhàn)略、財務、運營和法律風險，可采取風險規(guī)避、風險轉(zhuǎn)移、風險控制、風險承擔等策略。

1.風險規(guī)避

當確定一個投資項目所獲得的收益將無法彌補該項目所造成的損失時，避免風險就是最簡單可行的處理方法。例如，拒絕向不守信用的客戶提供信用；不從事高風險領(lǐng)域的業(yè)務等。但是這種策略的缺點是，投資者在規(guī)避損失的同時，往往也放棄了潛在的目標收益。

2.風險轉(zhuǎn)移

風險轉(zhuǎn)移是指通過訂立契約的方式，將企業(yè)的風險轉(zhuǎn)嫁給受讓人承擔的行為。實踐證明通過風險轉(zhuǎn)移可以有效降低企業(yè)的風險程度。例如向?qū)I(yè)性保險公司投保；通過戰(zhàn)略聯(lián)盟、技術(shù)轉(zhuǎn)讓、特許經(jīng)營和業(yè)務外包等實現(xiàn)風險轉(zhuǎn)移。

3.風險控制

風險控制是通過制定計劃和采取措施控制風險因素，減少風險的發(fā)生，或者是控制風險發(fā)生的頻率，降低風險的危害程度。風險控制的階段包括事前、事中和事后三個階段。事前控制的目的主要是為了降低風險發(fā)生的概率，事中和事后的控制主要是為了減少實際發(fā)生的損失。例如通過市場調(diào)研和論證，可以降低新產(chǎn)品開發(fā)的風險；通過匯率預測可以減少企業(yè)在跨境投資和進出口貿(mào)易中的外匯風險。

4.風險承擔

風險承擔是指如果損失發(fā)生，企業(yè)將以現(xiàn)實的資金進行償付。風險承擔可分為風險自擔和風險自保兩種。風險自擔是指風險損失發(fā)生時直接將損失計入成本或費用，或沖減利潤。風險自保是指企業(yè)預留一筆資金來處理風險事項所帶來的損失，如資產(chǎn)減值準備和壞賬準備金的計提。

（四）建立風險預警指標體系

建立完善的風險預警機制，即使已經(jīng)出現(xiàn)了風險，也可以將其損失盡可能地減少，以此來幫助企業(yè)度過危機。風險預警指標體系，是企業(yè)風險預警機制的重要內(nèi)容。一般來說，企業(yè)風險預警指標可以分為財務風險指標和非財務風險指標，財務指標又可以進一步劃分為基本能力風險指標和發(fā)展能力風險指標。具體分析見表3。

表3 企業(yè)風險預警指標