基于風險管理的內(nèi)部控制評價研究

楊帆

摘 要：近年來，層出不窮的會計造假和財務(wù)舞弊嚴重擾亂了資本市場的秩序，內(nèi)部控制設(shè)計與執(zhí)行中的缺陷是導(dǎo)致企業(yè)經(jīng)營管理失敗的原因之一。這一問題已經(jīng)引起社會各界的廣泛關(guān)注，完善企業(yè)的內(nèi)部控制，做好風險管理工作勢在必行。本文以《企業(yè)風險管理整合框架》為基礎(chǔ)，結(jié)合我國內(nèi)部控制相關(guān)規(guī)定，提出企業(yè)基于風險管理的內(nèi)部控制中存在的問題，并制定建立以風險為導(dǎo)向的內(nèi)部控制體系的策略展開研究，力爭提出切實有效的構(gòu)建措施或建議。

關(guān)鍵詞：內(nèi)部控制 風險管理 內(nèi)部控制評價

中圖分類號：F275 文獻標識碼：A 文章編號：2096-0298（2017）02（a）-168-02

1 內(nèi)部控制與風險管理的概念

隨著時代的發(fā)展，內(nèi)部控制的概念也在不斷完善。1992年，美國的COSO委員會發(fā)布的《內(nèi)部控制——整合框架》中提到，內(nèi)部控制是實現(xiàn)企業(yè)經(jīng)營目標、保障法律法規(guī)得到充分落實的關(guān)鍵。內(nèi)部控制失效將會造成財務(wù)舞弊事件，甚至會導(dǎo)致金融危機。其嚴重的破壞性促使企業(yè)越來越關(guān)注公司治理和風險管理，進一步要求加強和完善內(nèi)部控制標準。2004年COSO委員會發(fā)布了《企業(yè)風險管理——整合框架》，更加注重風險和以風險為基礎(chǔ)的方法，提出內(nèi)部控制的主要工作是尋找影響企業(yè)運營的潛在風險，提前做好風險控制工作，為企業(yè)系列目標的實現(xiàn)提供合理保證。

企業(yè)在生產(chǎn)經(jīng)營過程中出現(xiàn)的風險主要分為經(jīng)營風險、財務(wù)風險、戰(zhàn)略風險、市場風險、法律風險和特別風險等。企業(yè)的風險管理工作就是主動對可能出現(xiàn)的風險進行預(yù)測、評估、控制，確保企業(yè)的正常運行，完成企業(yè)的經(jīng)營目標，將風險的不良影響減至最低，避免企業(yè)的損失。

2 內(nèi)部控制與風險管理的聯(lián)系

內(nèi)部控制與企業(yè)風險管理之間的聯(lián)系是十分密切的。隨著生產(chǎn)技術(shù)的不斷更新以及組織結(jié)構(gòu)愈發(fā)復(fù)雜，企業(yè)對內(nèi)部控制的要求也越來越高，除了生產(chǎn)運營、合法合規(guī)、財務(wù)報告等方面的內(nèi)部控制，企業(yè)各項經(jīng)營風險的識別和控制工作也愈發(fā)重要，內(nèi)部控制已經(jīng)逐步進入了整體框架階段。同時僅僅具有識別、規(guī)避作用的風險管理也已經(jīng)無法滿足時代的需要，企業(yè)的風險管理工作需要更加主動的、積極的應(yīng)對和利用風險，以幫助企業(yè)設(shè)計健全的內(nèi)部控制系統(tǒng)，提高內(nèi)部控制的有效性，適應(yīng)日益復(fù)雜和不斷變化的內(nèi)部外部環(huán)境，將風險降至可接受的水平從而持續(xù)優(yōu)化企業(yè)績效實現(xiàn)企業(yè)的戰(zhàn)略目標。

在新框架中風險評估已成為內(nèi)部控制的五個組成要素之一，這也表明風險管理已成為內(nèi)部控制的導(dǎo)向，也就是說今后的內(nèi)部控制工作將會以風險管理為主導(dǎo)。因此，企業(yè)的內(nèi)部控制體系應(yīng)當全面分析企業(yè)的經(jīng)營、財務(wù)、規(guī)劃以及信息建設(shè)工作中可能出現(xiàn)的風險，充分體現(xiàn)全面風險管理的要求，進而動態(tài)的風險評估與應(yīng)對為企業(yè)實現(xiàn)目標提供保障。內(nèi)部控制與風險管理兩者之間存在著相互依存、不可分離的內(nèi)在聯(lián)系。

內(nèi)部控制與風險管理相互補充、相互促進。風險管理是識別和評價企業(yè)的各種內(nèi)外部風險，通過內(nèi)部控制來消除、轉(zhuǎn)移、分散和減輕風險，從而達到企業(yè)經(jīng)營目標。內(nèi)部控制是風險管理的關(guān)鍵環(huán)節(jié)，風險管理又依賴于對內(nèi)部控制的管理和評價，二者相互補充。同時企業(yè)應(yīng)從內(nèi)部控制做起，提高員工特別是中、高層管理者的風險意識；只有完善企業(yè)的風險管理，內(nèi)部控制的目標才能更好地實現(xiàn)，二者在相互促進中不斷完善和發(fā)展，最后有利于企業(yè)自身的發(fā)展。

3 企業(yè)內(nèi)部控制現(xiàn)狀及存在的問題

我國在2008年5月發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，并在2009年7月率先在上市公司中使用該規(guī)定，并鼓勵非上市大中型企業(yè)落實該規(guī)定。盡管實行范圍非常廣，但執(zhí)行、反饋情況不容樂觀。主要問題可概括為以下幾個方面。

3.1 企業(yè)不重視內(nèi)部控制環(huán)境的改善

要想實施內(nèi)部控制就必須營造良好的內(nèi)部控制環(huán)境。但就目前來看，我國企業(yè)普遍缺乏良好的內(nèi)部控制環(huán)境。

管理層的風險意識不足，沒有一個健全有效的風險預(yù)警系統(tǒng)，導(dǎo)致應(yīng)對突發(fā)事件的處理能力薄弱；另外，企業(yè)缺乏合理的組織、監(jiān)事會受到董事會的監(jiān)控、內(nèi)部審計獨立性欠缺以及企業(yè)文化缺失等都在一定程度上導(dǎo)致了企業(yè)內(nèi)部控制的基礎(chǔ)環(huán)境薄弱。

3.2 內(nèi)部控制具體環(huán)節(jié)的設(shè)計不夠合理

首先，國內(nèi)企業(yè)的內(nèi)部控制目標層次較低，缺乏整體規(guī)劃，風險管理比較片面，防范意識低下，缺乏科學(xué)合理的內(nèi)部控制設(shè)計。其次，現(xiàn)行的內(nèi)部控制設(shè)計主要以業(yè)務(wù)事項、業(yè)務(wù)流程為基礎(chǔ)，側(cè)重企業(yè)日常的經(jīng)營過程，以保證內(nèi)部控制制度的遵循和規(guī)范，其形式表現(xiàn)為監(jiān)督機制，因此未能充分考慮人的主觀能動性，不能充分調(diào)動員工的積極性，不利于內(nèi)部控制作用的發(fā)揮。

3.3 內(nèi)部控制的運行實施過程存在缺陷

3.3.1 缺乏有效的風險評估程序

風險評估在內(nèi)部控制中處于重要的導(dǎo)向地位，但多數(shù)企業(yè)目前只能被動地接受內(nèi)部或外部變化帶來的風險，管理層對風險事項識別認識不充分，考慮不夠周全，導(dǎo)致企業(yè)內(nèi)部缺乏完整的風險評估體系，風險控制依舊處于事后被動彌補狀態(tài)，風險評估的作用得不到發(fā)揮。

3.3.2 實施的控制活動不到位

控制活動包括與授權(quán)、業(yè)績評價、信息處理、實物控制和職責分離等相關(guān)的活動。有些企業(yè)的內(nèi)部控制制度得不到有效落實，內(nèi)部控制制度的作用無法發(fā)揮。作為實現(xiàn)風險控制的重要手段，內(nèi)部控制各項措施得不到落實，內(nèi)部控制只能是紙上談兵。全面風險管理是一項系統(tǒng)工程，需要企業(yè)上下各個層面共同參與、密切配合，部分企業(yè)僅僅關(guān)注幾個關(guān)鍵點，沒有詳細的政策、程序和方案組織控制活動來構(gòu)成完善全面風險管理系統(tǒng)。

3.3.3 對內(nèi)部控制的執(zhí)行缺乏有效的監(jiān)督

盡管《公開發(fā)行證券的公司信息披露編報規(guī)則第21號——年度內(nèi)部控制評價報告的一般規(guī)定》明確了上市公司內(nèi)部控制評價工作的內(nèi)容及要求，但仍有部分企業(yè)沒有按照規(guī)定建立內(nèi)部控制的考核體系，還存在一些企業(yè)雖然建立了相對完善的考核體系，但大多缺乏廣度和深度，各職能部門之間、各崗位之間不能形成有效地制衡制度，使互相監(jiān)督功能弱化，許多內(nèi)部審計流于形式、缺少自身應(yīng)有的權(quán)威性。另外，外部監(jiān)督功能混亂，缺乏統(tǒng)一標準，信息流通不暢也是導(dǎo)致監(jiān)管不力的重要因素。

4 全面風險管理下完善企業(yè)內(nèi)部控制評價的建議

內(nèi)部控制體系主要包含內(nèi)部控制評價、內(nèi)部控制構(gòu)建、實施三個方面，只有這三者互相促進，形成良性循環(huán)才能實現(xiàn)企業(yè)的內(nèi)部控制目標。而內(nèi)部控制評價可以通過對企業(yè)內(nèi)部控制體系設(shè)計及運行狀況進行評估與分析，指導(dǎo)企業(yè)內(nèi)部控制的實施，從而完善企業(yè)內(nèi)部控制體系，把握風險，保障和促進企業(yè)整體戰(zhàn)略目標的實現(xiàn)。

4.1 積極改善公司的內(nèi)部治理環(huán)境

企業(yè)的機構(gòu)設(shè)置、治理結(jié)構(gòu)、權(quán)責分配、人力資源政策、內(nèi)部審計和企業(yè)文化等都是內(nèi)部治理環(huán)境的重要組成部分，一個良好的內(nèi)部環(huán)境必將促進企業(yè)的快速發(fā)展。只有加強公司管理力度，營造良好的內(nèi)部控制環(huán)境，防止出現(xiàn)舞弊行為，才能從根本上改善內(nèi)部控制環(huán)境，構(gòu)建和諧企業(yè)內(nèi)部環(huán)境有助于提升企業(yè)競爭力，從而幫助企業(yè)實現(xiàn)其戰(zhàn)略目標。

4.2 建設(shè)完善的企業(yè)組織結(jié)構(gòu)

完善的組織結(jié)構(gòu)整體框架要求企業(yè)各部門及機構(gòu)間相互獨立，明確各部門各機構(gòu)的職責及權(quán)限，形成相互制約、相互協(xié)調(diào)的工作制度，避免過度的分權(quán)和集權(quán)。企業(yè)必須要完善現(xiàn)有治理結(jié)構(gòu)，建立科學(xué)合理的約束機制，明確各個企業(yè)職工以及管理者的責任。只有形成了完善的組織結(jié)構(gòu)，企業(yè)才能夠積極有效的應(yīng)對各種風險；只有從全面風險管理出發(fā)建立科學(xué)的組織體系，形成有效的激勵機制，才能確保內(nèi)部控制作用的發(fā)揮。

4.3 強化內(nèi)部審計的獨立性和有效性

一般來說，內(nèi)部審計部門是董事會監(jiān)控、審查企業(yè)內(nèi)部控制制度的主要部門，它獨立于會計控制之外，具有很強的獨立性。內(nèi)部控制是一個動態(tài)管理過程，內(nèi)部審計通過開展內(nèi)部控制評價的程序，對內(nèi)部控制設(shè)計、有效性方面提出具體、切實可行的建議。

4.4 增強員工的專業(yè)能力及職業(yè)道德

企業(yè)員工的工作水平和職業(yè)修養(yǎng)對企業(yè)的經(jīng)營狀況也有很大影響。錄用知識水平高的員工除了能提高工作效率，還能夠避免因?qū)I(yè)知識不足而導(dǎo)致的錯誤決策，消除許多潛在風險；企業(yè)內(nèi)部控制制度的貫徹執(zhí)行有賴于企業(yè)文化對內(nèi)部控制制度的落實具有促進作用。只有將員工的個人目標與企業(yè)的發(fā)展目標有效統(tǒng)一，并通過培訓(xùn)等提高員工綜合素質(zhì)，才能實現(xiàn)企業(yè)內(nèi)部控制的目標。

4.5 完善內(nèi)部控制評價體系

內(nèi)部控制評價必須科學(xué)、合理、全面、有效。其中完整性要求制定全面的內(nèi)部控制制度，且應(yīng)對生產(chǎn)經(jīng)營活動的全過程全面進行控制；合理性要求從適用和經(jīng)濟兩個角度考慮，是對內(nèi)部控制更深層次的要求；有效性要求內(nèi)部控制制度能有效防止錯誤與弊端的發(fā)生，提高企業(yè)效率和效益。在上述標準的要求下，企業(yè)建立內(nèi)部控制評價標準體系是規(guī)范經(jīng)營管理活動的一種管理機制，有利于提高企業(yè)的經(jīng)營效率和抗風險能力，并且與企業(yè)發(fā)展的戰(zhàn)略目標以及業(yè)績的評價和激勵相關(guān)聯(lián)。

風險導(dǎo)向型內(nèi)部控制的本質(zhì)特征是要求以風險評估為基礎(chǔ)，經(jīng)營者制定內(nèi)部控制制度需要與企業(yè)長遠發(fā)展戰(zhàn)略相適應(yīng)，對內(nèi)部控制的評價應(yīng)具有前瞻性、發(fā)展性、與風險偏好的一致性，同時還必須將內(nèi)部控制工作落實到每一個企業(yè)職工身上，明確他們的責任。要想做好風險評估就不能再被動地通過各個環(huán)節(jié)設(shè)計好的控制活動來預(yù)防風險的出現(xiàn)或發(fā)生，而是企業(yè)通過主動地開展風險評估、識別和分析，抓住“風險”才能把握“機遇”。

利用科學(xué)合理評價制度對內(nèi)部控制制度的相關(guān)內(nèi)容進行評價，判斷該制度的可行性以及使用效果，預(yù)測該制度是否有助于企業(yè)節(jié)約和有效使用資源，是否能保證提供真實有效的信息，是否能預(yù)防和發(fā)現(xiàn)錯誤和舞弊，為企業(yè)完善內(nèi)部控制制度提供指導(dǎo)，促進內(nèi)部控制制度的完善，將風險的負面影響降至最低從而實現(xiàn)企業(yè)的戰(zhàn)略目標，達到企業(yè)價值的最大化。

參考文獻

[1] 金彧防，李若山，徐明磊.COSO報告下的內(nèi)部控制新發(fā)展[J].會計研究，2009（2）.

[2] 段會宵.風險管理框架下內(nèi)部控制評價體系研究[D].天津商業(yè)大學(xué)，2009.

[3] 王麗.淺談中小企業(yè)內(nèi)部控制的現(xiàn)狀、問題及對策[J].中國管理信息化，2011（14）.

[4] 中國注冊會計師協(xié)會.公司戰(zhàn)略與風險管理[M].中國財政經(jīng)濟出版社，2011.