基于風險管理的內(nèi)部控制體系建設探討

林愛琴　孫茂琴

摘要：良好的內(nèi)部控制是一個企業(yè)健康發(fā)展的強有力的保障，同時，企業(yè)若想得到快速的發(fā)展，就必須把握現(xiàn)有的機遇，除了需要關注內(nèi)部控制之外，還需要有風險意識。文章在深入了解內(nèi)部控制與風險管理的框架基礎上，分析風險管理與內(nèi)部控制的關系，構建基于風險管理的內(nèi)部控制體系。同時提出基于風險管理的內(nèi)部控制實施保障機制。

關鍵詞：內(nèi)部控制 風險管理 體系 實施

國企業(yè)的內(nèi)部控制與風險管理這一環(huán)節(jié)相對薄弱，風險意識不強，管理不到位使得企業(yè)的發(fā)展存在許多問題，為此，近年來，上交所和深交所出臺了《上市公司內(nèi)部控制指引》和《企業(yè)內(nèi)部控制基本規(guī)范》，對公司風險管理和內(nèi)部控制情況的披露進行了詳細的規(guī)定，然而效果甚微。究其原因是企業(yè)從上到下對于風險管理和內(nèi)部控制這兩者之間的關系并不明確，內(nèi)部控制的建設過于流于形式，對于企業(yè)的發(fā)展并沒有起到實際的作用。如何利用內(nèi)部控制與風險管理來有效地促進企業(yè)發(fā)展是實際工作的難點，也是本文研究的重點。

一、風險管理與內(nèi)部控制的關系

企業(yè)經(jīng)營管理過程中會遇到各種各樣的問題，并可能對企業(yè)產(chǎn)生不利的影響或有利的影響。產(chǎn)生不利影響的事件代表了風險，可能阻礙企業(yè)價值創(chuàng)造；產(chǎn)生有利影響的事件能夠抵消不利影響或者為企業(yè)帶來機會。風險管理就是對上述不確定的風險和機會的管理，它是企業(yè)從戰(zhàn)略制定到日常經(jīng)營過程中對待風險的一系列信念與態(tài)度，目的是確定可能影響企業(yè)的潛在事項，并進行管理，為實現(xiàn)企業(yè)的目標提供合理的保證。

風險管理與內(nèi)部控制作為企業(yè)管理的兩大工具，都經(jīng)過了理論體系的創(chuàng)新和實務操作的發(fā)展。內(nèi)部控制由傳統(tǒng)的內(nèi)部牽制制度逐步發(fā)展到以風險為導向的內(nèi)部控制制度，風險管理也由分散的財務、經(jīng)營和戰(zhàn)略風險管理逐漸發(fā)展為整合風險管理。實踐證明，內(nèi)部控制的有效實施有賴于風險管理的技術方法，而風險管理離開了內(nèi)部控制作為手段支撐也將流于形式。我國的企業(yè)內(nèi)部控制規(guī)范體系將內(nèi)部控制與風險管理融為一體，由此可見，風險管理與內(nèi)部控制不是兩個獨立的概念，它們既有共性也有差別。ERM企業(yè)風險管理框架并不是對1992年發(fā)布的IC-IF內(nèi)部控制整體框架的否定，而是對原有內(nèi)控框架的細化和延伸。因此我們不可能拋開內(nèi)部控制這一概念去空談風險管理，也不可能脫離風險管理這一概念來談內(nèi)部控制。二者的區(qū)別與聯(lián)系見表1。

二、基于風險管理的內(nèi)部控制系統(tǒng)的要素

構建有效的基于風險管理的內(nèi)部控制體系，需要明確內(nèi)控監(jiān)控體系中的五個要素之間的關系，建立五要素之間的有機關系，有利于企業(yè)進行內(nèi)部控制的建設。五要素之間的關系：一是在以風險管理為基礎的內(nèi)部控制體系中，內(nèi)部環(huán)境和內(nèi)部監(jiān)督奠定了內(nèi)部控制的基調(diào)。因此，如果企業(yè)缺乏良好、有效的內(nèi)部控制基礎，可能會影響企業(yè)的公眾形象，甚至給企業(yè)市場價值和資本市場融資帶來重大影響。二是內(nèi)部監(jiān)督是企業(yè)管理中不可缺少的重要組成部分。監(jiān)督的對象不僅僅是對員工的控制，而且包括管理者自身。好的內(nèi)部監(jiān)控能夠及時發(fā)現(xiàn)企業(yè)中存在的不足與遺漏。三是風險評估是企業(yè)的控制活動、信息與溝通的基礎。企業(yè)的控制活動是在風險評估的基礎上加以執(zhí)行的，以此來應對風險，針對不同的風險可以設置多項活動加以應對。四是信息與溝通是企業(yè)風險管理的核心環(huán)節(jié)，尤其在內(nèi)部審計和財務部門中，有效的溝通能夠最大限度地發(fā)揮企業(yè)的規(guī)章制度的作用。

完善的風險管理和內(nèi)部控制包括哪些基本要素，以及具備哪些優(yōu)點，是需要探討的重要內(nèi)容。筆者認為，完善的風險管理和內(nèi)部控制基本要素包括：保持精簡，風險意識，基本監(jiān)控（如財務、運營及法律遵守的監(jiān)控），公司內(nèi)的全面咨詢，持續(xù)應用監(jiān)控策略，認識業(yè)務目標，預算機制及迅速反應，可靠的業(yè)務資訊，著重行為的改變等。這些基本要素是一個完整的系統(tǒng)，互相聯(lián)系，互相影響，互相促進，缺一不可。它們共同發(fā)揮作用，其優(yōu)點見表2。

三、基于風險管理的內(nèi)部控制體系保障機制建設

（一）加強企業(yè)的風險管理意識

以風險管理為基礎的內(nèi)部控制體系建設，首先需要企業(yè)加強風險管理意識。絕大多數(shù)企業(yè)關注更多的是財務風險，而企業(yè)要想在瞬息萬變的時代下快速發(fā)展，顯然還需要站在戰(zhàn)略的高度，關注包括企業(yè)所在的發(fā)展環(huán)境、潛在的各類風險以及應變所需的條件和基礎等方面。因此，管理者應當樹立全面的風險管理意識，并將全面風險意識融入到企業(yè)內(nèi)部控制建設中去。

（二）基于風險管理的內(nèi)部環(huán)境建設

1.健全組織架構。組織架構設計分為兩個層面：一個是治理結構，一個是內(nèi)部機構。不完善的治理結構或者流于形式的治理結構由于缺乏科學決策機制會導致企業(yè)的經(jīng)營失?。徊豢茖W的內(nèi)部機構，權責分配的不合理會導致企業(yè)運行效率低下和人力資源的浪費。所以企業(yè)要重視組織架構的建立與健全，建議設立風險管控委員會，從全局角度對企業(yè)實現(xiàn)風險管控。

2.完善權責分配體系。權責分離可以避免舞弊和產(chǎn)生錯誤的風險，崗位之間的制衡性也可以防止貪污舞弊現(xiàn)象的發(fā)生。因此，企業(yè)要建立完善的組織架構，對各部門及其職能進行合理分配，明確各個崗位的權限和關系，實現(xiàn)職能的制衡和協(xié)同。

3.完善人力資源政策。人才是企業(yè)發(fā)展不可缺少的組成部分，要重視人才的引進與培養(yǎng)，招聘人才時需要對人員進行素質(zhì)測評，尤其是思想道德素質(zhì)。上崗后要進行定期培訓和文化教育，使員工對與企業(yè)更具有責任感和使命感。管理層也需要定期培訓，重點提高管理層戰(zhàn)略意識、全局觀念，避免利用權力任人唯親、損害企業(yè)整體利益現(xiàn)象的發(fā)生。

4.完善內(nèi)部審計部門。審計部門人員要具備專業(yè)性，專業(yè)素質(zhì)和道德意識要突出，充分發(fā)揮內(nèi)部審計的職能作用。

5.加強企業(yè)的文化建設。管理層應該發(fā)揮模范帶頭作用，根據(jù)企業(yè)自身發(fā)展戰(zhàn)略和實際情況，總結優(yōu)良傳統(tǒng)，形成企業(yè)文化規(guī)范，使其成為員工行為守則的重要組成部分。以制度規(guī)范員工的行為，使得企業(yè)員工有強烈的主人翁意識，達到“人企合一”。

（三）完善業(yè)務層面的內(nèi)部控制

業(yè)務層面控制，是指綜合運用各種控制手段和方法，針對具體業(yè)務和事項實施的控制。由于企業(yè)性質(zhì)、規(guī)模、經(jīng)營范圍和業(yè)務特點千差萬別，多數(shù)企業(yè)普遍存在的業(yè)務控制主要包括：資金活動控制、采購業(yè)務控制、資產(chǎn)管理控制、銷售業(yè)務控制、研究與開發(fā)控制、工程項目控制、擔保業(yè)務控制、業(yè)務外包控制、財務報告編制及對外提供與分析利用、全面預算控制、合同管理控制、內(nèi)部信息傳遞控制和信息系統(tǒng)控制等方面。本文側重介紹采購業(yè)務的控制，包括以下控制環(huán)節(jié)：

1.建立科學有效的供應商評估準則和準入制度。審核供應商相關信譽情況的真實性和合法性，并且能夠確定合格的供應商清單。采購部門需要按照公平、公開、公正的競爭原則，從中選取最優(yōu)秀的供應商作為合作伙伴，并與供應商簽訂質(zhì)保協(xié)議。

2.確定采購價格。企業(yè)的目標是在要求的質(zhì)量標準之上獲取最優(yōu)的價格，而如何獲取最優(yōu)價格，就需要企業(yè)建立一個合理的價格采購機制，同時時刻關注市場上價格信息的變化。

3.訂立框架協(xié)議。在這一環(huán)節(jié)，企業(yè)的風險包括有效協(xié)議簽訂不當，導致物資采購不順暢；合理的內(nèi)容中存在著重大疏漏等。為此，企業(yè)需要訂立采購合同，并在訂立采購合同之前應明確采購商品的質(zhì)量要求，明確雙方的權利義務和相應的賠償機制。

（四）完善信息與溝通機制

信息與溝通是指企業(yè)要及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效的傳遞與溝通。完善信息與溝通機制是實施內(nèi)部控制的重要條件。

1.信息的收集。收集的信息包括企業(yè)的內(nèi)部信息和外部信息。內(nèi)部信息是根據(jù)經(jīng)營目標建立的與企業(yè)經(jīng)營活動相關的信息系統(tǒng)。在建立信息系統(tǒng)時企業(yè)應該根據(jù)自己的發(fā)展戰(zhàn)略目標、業(yè)績考核和風險控制特點，科學地、系統(tǒng)地規(guī)范不同層級的報告指標系統(tǒng)，并與全面預算相結合。外部信息的收集，是企業(yè)識別和防范風險的重要環(huán)節(jié)，企業(yè)需要了解自身所在行業(yè)的市場狀況、競爭狀況、政策的變化和環(huán)境的變化等。這樣企業(yè)才能利用這些外部信息更好地評估實現(xiàn)目標過程中存在的風險，采取科學合理的措施應對風險。

2.報告的生成。采集到企業(yè)的內(nèi)部和外部信息之后，下一步需要各職能部門根據(jù)企業(yè)的需求進行篩選和抽取，然后建立分析模型，在對資料進行詳細分析的基礎上，起草相應的報告，形成總結性的結論，要注意報告的簡潔性和通俗易懂。

3.信息的傳遞。企業(yè)應當完善信息的傳遞機制，包括內(nèi)部信息和外部信息的傳遞機制。內(nèi)部信息的傳遞包括了信息向下傳遞、向上傳遞和平向傳遞機制，即對員工傳遞信息，對公司董事會傳遞信息以及管理層之間的信息傳遞。因此企業(yè)需要注意信息傳遞的多樣化，以保證信息能夠傳達到每個員工。

四、結論

首先，要強化管理層的風險和內(nèi)控意識。風險管理將成為未來內(nèi)部控制發(fā)展的主要方向，我國企業(yè)要想在全球化經(jīng)濟競爭中獲得成功，就需要管理層轉(zhuǎn)變經(jīng)營管理意識，強化風險和內(nèi)控觀念，主動加強企業(yè)的風險管理和內(nèi)部控制。

其次，要結合企業(yè)實際情況建立完善的風險和內(nèi)控框架體系。加強風險管理與內(nèi)部控制要結合企業(yè)的自身情況。我國的內(nèi)部控制與風險管理制度剛開始成型，企業(yè)應當以《企業(yè)內(nèi)部控制基本規(guī)范》為指導，認真進行風險管理，并在此基礎上進行內(nèi)部控制，提高制度的有效性和經(jīng)濟性。

最后，塑造全員風險和內(nèi)控觀念，營造好的執(zhí)行環(huán)境。再好的管理制度，若得不到良好的執(zhí)行，只能是“井中月”。因此，企業(yè)決策層要重視員工在企業(yè)運行中所起到的作用，將激勵機制和監(jiān)督機制有機結合，保證制度的順利實行。Z

參考文獻：

[1]劉霄侖.風險控制理論的再思考：基于對COSO內(nèi)部控制理念的分析[J].會計研究，2010，（ 3）.

[2]戴文濤.內(nèi)部控制學科體系構建[J].審計與經(jīng)濟研究，2013，（ 5）.

[3]李維安，戴文濤.公司治理，內(nèi)部控制， 風險管理的關系框架——基于戰(zhàn)略管理視角[J]. 審計與經(jīng)濟研究，2013，（3）.

[4]朱小芳，周大偉.信息化環(huán)境下企業(yè)內(nèi)部控制問題探討[J].商業(yè)會計，2011，（20）.

[5]遲曉程.淺談如何提高企業(yè)內(nèi)部控制制度的執(zhí)行力[J].財經(jīng)界（學術版），2012，（07）.