整合內(nèi)部控制與風(fēng)險管理 助推企業(yè)可持續(xù)性發(fā)展

【摘要】內(nèi)部控制與風(fēng)險管理是既有邏輯承接性和方法論共性， 又有各自重點關(guān)注目標(biāo)的兩個系統(tǒng)。 它們不可相互替代， 必須在設(shè)計層面深度契合、運行層面有效互動， 才能以盡可能低的成本為企業(yè)經(jīng)營的合規(guī)性與效益性提供合理保證， 為企業(yè)可持續(xù)性發(fā)展保駕護航。 要達到上述要求， 企業(yè)必須在弄清內(nèi)部控制與風(fēng)險管理產(chǎn)生緣由和發(fā)展歷程， 以及兩者間聯(lián)系與區(qū)別的基礎(chǔ)上， 從構(gòu)建有效性和運行有效性兩個維度夯實內(nèi)部控制系統(tǒng)， 將內(nèi)部控制方法與風(fēng)險管理技術(shù)全方位融入風(fēng)險管理流程之中， 并實現(xiàn)內(nèi)部控制、風(fēng)險管理與數(shù)字化管理和智能化管理的無縫對接。

【關(guān)鍵詞】內(nèi)部控制;風(fēng)險管理;全方位融合;可持續(xù)發(fā)展

【中圖分類號】 F276 ? ? 【文獻標(biāo)識碼】A ? ? ?【文章編號】1004-0994（2022）16-0018-5

自2008年五部委頒布《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引以來， 我國各類企業(yè)相繼進入內(nèi)部控制構(gòu)建的高峰期， 并且逐步實施內(nèi)部控制評價和審計。 2009年國務(wù)院國有資產(chǎn)監(jiān)督管理委員會頒布的《中央企業(yè)全面風(fēng)險管理指引》不僅推動了中央企業(yè)進入全面風(fēng)險管理的新時期， 而且對其他組織形式企業(yè)的風(fēng)險管理起到了示范和引領(lǐng)作用。 實施內(nèi)部控制和風(fēng)險管理有助于我國企業(yè)合理保證經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整， 提高經(jīng)營效率和改善經(jīng)營效果， 實現(xiàn)發(fā)展戰(zhàn)略。

但是， 對于企業(yè)內(nèi)部控制和風(fēng)險管理的關(guān)系， 理論界和實務(wù)界存在著認(rèn)識誤區(qū)。 內(nèi)部控制和風(fēng)險管理是什么關(guān)系？ 兩者是相互獨立的系統(tǒng)還是存在替代關(guān)系？ 認(rèn)識上的模糊妨礙了企業(yè)內(nèi)部控制和風(fēng)險管理的有機結(jié)合， 增加了管理成本并抑制了管控效率和效果。 因此， 厘清內(nèi)部控制和風(fēng)險管理的關(guān)系、實現(xiàn)兩者的深度融合， 是改善管控效果、助推企業(yè)可持續(xù)性發(fā)展的重要手段。

本文試圖通過對企業(yè)內(nèi)部控制與風(fēng)險管理發(fā)展歷程回顧、內(nèi)部控制與風(fēng)險管理的比較研究， 厘清兩者間的關(guān)系， 并在此基礎(chǔ)上探討兩者的整合運用， 為企業(yè)經(jīng)營的合規(guī)性和效益性提供合理保證， 助推企業(yè)可持續(xù)性發(fā)展。

一、企業(yè)內(nèi)部控制與風(fēng)險管理發(fā)展歷程回顧

集不相容職務(wù)分離、分級授權(quán)、監(jiān)督為一體的內(nèi)部控制思想產(chǎn)生于18世紀(jì)產(chǎn)業(yè)革命導(dǎo)致的企業(yè)規(guī)?；唾Y本大眾化[1] 。 最早提及內(nèi)部控制的職業(yè)文獻是1929年美國會計師協(xié)會和聯(lián)邦儲備委員會修訂發(fā)布的《會計報表的驗證》（Verification of Financial Statements）。 最早定義內(nèi)部控制的是1936年在上述基礎(chǔ)上修訂發(fā)布的《獨立公共會計師對會計報表的審查》（Examination of Financial Statements by Independent Public Accountants）。 1985年， 由美國管理會計師協(xié)會、美國注冊會計師協(xié)會、美國會計協(xié)會、財務(wù)經(jīng)理人協(xié)會、內(nèi)部審計師協(xié)會聯(lián)合成立的反虛假財務(wù)報告委員會下屬的發(fā)起人委員會（COSO）于1992年發(fā)布《內(nèi)部控制——整合框架》[簡稱“內(nèi)部控制框架（1992）”]， 并于1994年進行增補、2013年進行修訂。 上述五個非政府性與會計相關(guān)的職業(yè)團體各有其承擔(dān)的使命， 涉及通過內(nèi)部控制提升財務(wù)報告質(zhì)量、通過決策及戰(zhàn)略實施中的風(fēng)險管理提升企業(yè)績效、通過內(nèi)外部審計提升治理能力并有效地威懾欺詐， 因此整合形成的COSO將使命定位于通過開發(fā)旨在強化內(nèi)部控制、風(fēng)險管理、治理和欺詐威懾的思想領(lǐng)導(dǎo)力來幫助組織提高績效。 在這一使命的驅(qū)使下， COSO在頒布內(nèi)部控制框架的基礎(chǔ)上， 研究開發(fā)企業(yè)風(fēng)險管理框架就順理成章。

COSO在1994年完成內(nèi)部控制框架（1992）的增補后， 即著手進行風(fēng)險管理框架的研究， 其將“目標(biāo)—要素—單元層次”這一思維范式和研究方法論直接運用于風(fēng)險管理框架的研究， 并于2004年發(fā)布《企業(yè)風(fēng)險管理——整合框架》[簡稱“風(fēng)險管理框架（2004）”]。 2013年修訂的《內(nèi)部控制——整合框架》[簡稱“內(nèi)部控制框架（2013）”]沒有改變內(nèi)部控制的目標(biāo)、要素和單元層次， 但為提高內(nèi)部控制框架對企業(yè)類型和規(guī)模的適應(yīng)性， 針對五大要素提出了相應(yīng)的17條原則， 并強化了公司治理文化對內(nèi)部控制系統(tǒng)的基礎(chǔ)性作用。 2017年修訂發(fā)布的《企業(yè)風(fēng)險管理框架——與戰(zhàn)略和績效的整合》[簡稱“風(fēng)險管理框架（2017）”]在明確戰(zhàn)略和績效導(dǎo)向、梳理企業(yè)價值創(chuàng)造邏輯的基礎(chǔ)上， 強調(diào)了愿景、使命、核心價值觀對戰(zhàn)略設(shè)定和風(fēng)險管理的基礎(chǔ)性作用， 并著重基于企業(yè)戰(zhàn)略制定與實施、價值創(chuàng)造與保護提出了風(fēng)險管理五要素和相應(yīng)的20條原則， 該框架充分體現(xiàn)了原則性要求和文化的重要性。

無論是內(nèi)部控制框架還是風(fēng)險管理框架， 其內(nèi)容均由目標(biāo)導(dǎo)向下的控制要素構(gòu)成。 所不同的是， 風(fēng)險管理框架中的目標(biāo)是內(nèi)部控制框架目標(biāo)的拓展， 風(fēng)險管理要素是內(nèi)部控制要素的延伸。 COSO之所以通過內(nèi)部控制手段來管控風(fēng)險， 是因為兩權(quán)分離下需要通過分工協(xié)作才能有效運行企業(yè)。 試想一下， “夫妻店”是不需要通過內(nèi)部控制系統(tǒng)來防范風(fēng)險的， 而是直接分析外部環(huán)境可能導(dǎo)致的風(fēng)險并直接采取相應(yīng)控制手段。 內(nèi)部控制系統(tǒng)主要是解決這一問題： 企業(yè)在兩權(quán)分離、分級授權(quán)、部門分工合作的狀況下， 如何保障公司治理與管理的合法合規(guī)和管理的效率與效果， 并齊心協(xié)力地應(yīng)對外部風(fēng)險， 以保障企業(yè)合法、有效運行。 企業(yè)風(fēng)險管理框架則是基于企業(yè)能夠接受的風(fēng)險， 制定并實施企業(yè)戰(zhàn)略， 實現(xiàn)價值增值和可持續(xù)發(fā)展。

二、內(nèi)部控制框架與風(fēng)險管理框架的比較及啟示

1. 風(fēng)險管理框架包括了內(nèi)部控制框架的內(nèi)容。 內(nèi)部控制框架首次頒布于1992年， 早于2004年頒布的風(fēng)險管理框架。 風(fēng)險管理框架（2004）明確指出： “內(nèi)部控制是企業(yè)風(fēng)險管理不可分割的一部分。 這份企業(yè)風(fēng)險管理框架涵蓋了內(nèi)部控制， 從而構(gòu)建了一個更強有力的概念和管理工具。 ”對比兩個框架不難發(fā)現(xiàn)， 風(fēng)險管理框架在原來三大目標(biāo)的基礎(chǔ)上加入了戰(zhàn)略目標(biāo)， 八要素的內(nèi)容雖未超出內(nèi)部控制五要素的外延， 但對原來的五要素進行了細化和深化。 風(fēng)險管理框架將原內(nèi)部控制框架中風(fēng)險評估要素的四個構(gòu)成部分上升為四個要素并嵌入控制環(huán)境、控制活動、信息與溝通、監(jiān)督之中。 風(fēng)險管理框架的內(nèi)容比內(nèi)部控制框架更豐富， 其由風(fēng)險管理框架（2004）和與之配套的《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》構(gòu)成， 而《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》對企業(yè)按八要素構(gòu)建風(fēng)險管理框架提出了具有可操作性的應(yīng)用指南。

內(nèi)部控制框架和風(fēng)險管理框架分別于2013年和2017年由COSO進行了更新， 這說明COSO并沒有用風(fēng)險管理框架代替內(nèi)部控制框架之意。 也就是說， 盡管風(fēng)險管理框架涵蓋了內(nèi)部控制框架的內(nèi)容， 但這兩者是不可相互替代的。 內(nèi)部控制是企業(yè)風(fēng)險管理的重要組成部分， 而企業(yè)風(fēng)險管理是公司治理的一部分， 企業(yè)受托人通過風(fēng)險與收益的平衡制定并實現(xiàn)戰(zhàn)略與績效目標(biāo)是向委托人解脫受托責(zé)任的重要手段。 內(nèi)部控制框架（2013）對內(nèi)部控制、企業(yè)風(fēng)險管理、公司治理三者的關(guān)系進行了明確的闡述， 如圖1所示。 可見， 不能用公司治理代替企業(yè)風(fēng)險管理， 也不能用企業(yè)風(fēng)險管理取代內(nèi)部控制。

2. 內(nèi)部控制是外部監(jiān)管部門對企業(yè)的強制性要求。 監(jiān)管機構(gòu)通過發(fā)布內(nèi)部控制規(guī)范和指引或借用專業(yè)機構(gòu)內(nèi)部控制框架等方式提出了對公司建立和維護內(nèi)部控制的要求， 并要求董事會或類似機構(gòu)按相關(guān)規(guī)定對內(nèi)部控制的有效性進行年度評價、聘請外部審計機構(gòu)對內(nèi)部控制評價報告進行審計。 英美國家雖然要求公司建立和運行內(nèi)部控制、評價并聘請外部機構(gòu)審計內(nèi)部控制， 但政府相關(guān)部門并未頒布可供企業(yè)直接參照執(zhí)行的內(nèi)部控制法規(guī)， 而是由非政府性職業(yè)組織發(fā)布內(nèi)部控制框架并由政府認(rèn)可。 這類似于由政府相關(guān)機構(gòu)監(jiān)管會計信息質(zhì)量， 但由民間機構(gòu)承擔(dān)發(fā)布會計準(zhǔn)則之責(zé)。 COSO對其在內(nèi)部控制和風(fēng)險管理領(lǐng)域的職責(zé)定位有著明顯區(qū)別： 成為全球內(nèi)部控制規(guī)則的權(quán)威機構(gòu)并為政府監(jiān)管提供內(nèi)部控制法規(guī)支持， 同時成為全球風(fēng)險管理思想的引導(dǎo)者。 這一定位傳出的信號是： 無論是內(nèi)部控制還是風(fēng)險管理領(lǐng)域， COSO均致力于成為全球具有顯著影響力的機構(gòu)。 因各國監(jiān)管當(dāng)局均對企業(yè)構(gòu)建、維護與評價、審計內(nèi)部控制有著強制性要求， COSO將努力滿足監(jiān)管機構(gòu)的要求; 但風(fēng)險管理并非各國監(jiān)管當(dāng)局的強制性要求， 而是企業(yè)基于戰(zhàn)略導(dǎo)向下風(fēng)險收益平衡的自我要求， COSO將為它們提供思想引領(lǐng)。 事實也是如此， 迄今為止， 沒有哪個國家的監(jiān)管機構(gòu)頒布或借用專業(yè)機構(gòu)發(fā)布的風(fēng)險管理框架來規(guī)范企業(yè)的風(fēng)險管理行為， 也不要求企業(yè)對風(fēng)險管理狀況進行評價和審計。

也許有人認(rèn)為， 在內(nèi)部控制框架的三大目標(biāo)中， 報告目標(biāo)和合規(guī)目標(biāo)無疑是外部監(jiān)管的強制性要求， 但運營目標(biāo)（運營的效果和效率目標(biāo)， 具體包括經(jīng)營和財務(wù)業(yè)績目標(biāo)）屬于公司戰(zhàn)略規(guī)劃的內(nèi)容， 不屬于外部監(jiān)管部門對企業(yè)的強制性要求。 事實上， 內(nèi)部控制作為執(zhí)行系統(tǒng)， 需要解決的是如何通過控制手段保障運營目標(biāo)實現(xiàn)， 其并不包括目標(biāo)的制定， 戰(zhàn)略決策和運營目標(biāo)的制定屬于風(fēng)險管理框架中的內(nèi)容。 在兩權(quán)分離的情況下， 公司向外部投資者和利益相關(guān)者公布運營目標(biāo)是公司義不容辭的責(zé)任。 按我國現(xiàn)行法規(guī)的規(guī)定， 上市公司需要向投資者報告企業(yè)戰(zhàn)略， 通過發(fā)布盈利預(yù)測、與投資者溝通、發(fā)布業(yè)績等方式向外界報告運營目標(biāo)及其實現(xiàn)方式。 例如， 我國上市公司當(dāng)年的財務(wù)業(yè)績目標(biāo)和下一年度的財務(wù)業(yè)績目標(biāo)必須以財務(wù)決算報告和財務(wù)預(yù)算報告的方式向股東匯報并由股東大會審議和審批， 當(dāng)年的運營目標(biāo)和下一年度的運營目標(biāo)必須在董事會年度報告中闡述并經(jīng)過股東大會審議和審批。

3. 內(nèi)部控制是風(fēng)險管理的基礎(chǔ)。 比較內(nèi)部控制框架和風(fēng)險管理框架后不難發(fā)現(xiàn)， 盡管風(fēng)險管理框架包含了內(nèi)部控制框架的內(nèi)容， 內(nèi)部控制框架和風(fēng)險管理框架都將目標(biāo)定位于合規(guī)和績效兩個維度， 但兩個框架的側(cè)重點是不同的， 前者側(cè)重于合規(guī)維度的目標(biāo)， 后者則側(cè)重于績效維度的目標(biāo)。

（1）風(fēng)險管理框架以內(nèi)部控制框架為支撐。 從框架構(gòu)成來看， 內(nèi)部控制框架由三目標(biāo)、五要素構(gòu)成， 而風(fēng)險管理框架（2004）由四目標(biāo)、八要素構(gòu)成。 風(fēng)險管理框架（2004）在內(nèi)部控制經(jīng)營、報告、合規(guī)三目標(biāo)的基礎(chǔ)上加上了戰(zhàn)略目標(biāo)， 并指出： 戰(zhàn)略目標(biāo)是“高層次目標(biāo)， 與使命相關(guān)聯(lián)并支撐其使命”， “企業(yè)風(fēng)險管理技術(shù)被運用到制定戰(zhàn)略和目標(biāo)過程之中”。 風(fēng)險管理框架（2004）八要素與內(nèi)部控制框架（2013）五要素相比， 并無實質(zhì)性區(qū)別。 風(fēng)險管理框架（2004）將內(nèi)部控制框架五要素中的風(fēng)險評估細分為目標(biāo)設(shè)定、事項識別、風(fēng)險評估和風(fēng)險應(yīng)對。 兩個框架都認(rèn)為風(fēng)險來自內(nèi)部和外部兩大方面且存在于企業(yè)的各個層面， 都注意到管理理念和風(fēng)險偏好對風(fēng)險應(yīng)對的影響， 而且都強調(diào)風(fēng)險評估過程中必須分析沒有采取任何措施情況下的固有風(fēng)險和采取風(fēng)險應(yīng)對措施后的剩余風(fēng)險， 并評價采取應(yīng)對措施后的剩余風(fēng)險是否超過風(fēng)險容忍度。 兩個框架最核心的區(qū)別在于： 風(fēng)險管理框架（2004）采用事項識別代替風(fēng)險識別， 以此評估其對目標(biāo)實現(xiàn)的正面和負(fù)面影響， 并引入風(fēng)險組合觀， 以考慮風(fēng)險組合以及風(fēng)險與收益的組合所產(chǎn)生的復(fù)合風(fēng)險。 為提高新框架對環(huán)境變化、商業(yè)模式變更、信息技術(shù)水平提升的適應(yīng)力， 聚焦于戰(zhàn)略決策制定和企業(yè)績效提升， COSO發(fā)布了風(fēng)險管理框架（2017）， 該框架由治理和文化、戰(zhàn)略和目標(biāo)設(shè)定、績效、審閱與修訂、信息溝通與報告五要素構(gòu)成， 并通過原則指導(dǎo)框架要素在企業(yè)風(fēng)險管理中的運用。 但COSO同時明確指出， 內(nèi)部控制框架（2013）與風(fēng)險管理框架（2017）相互補充， 內(nèi)部控制與風(fēng)險管理的共同性內(nèi)容不在新的風(fēng)險管理框架中進行重復(fù)規(guī)范。

（2）風(fēng)險管理框架的側(cè)重點在績效。 風(fēng)險管理框架（2017）明確指出， 風(fēng)險管理框架是管理框架而非控制框架。 企業(yè)經(jīng)營的宗旨是在合理保證報告目標(biāo)和合規(guī)目標(biāo)的情況下， 通過管控措施保障戰(zhàn)略的實施， 努力實現(xiàn)運營目標(biāo)和財務(wù)業(yè)績目標(biāo)。 內(nèi)部控制系統(tǒng)實施的前提條件是企業(yè)已有明確的戰(zhàn)略、運營目標(biāo)和財務(wù)業(yè)績目標(biāo)， 但如何制定戰(zhàn)略、運營目標(biāo)和財務(wù)業(yè)績目標(biāo)不屬于內(nèi)部控制框架應(yīng)規(guī)范的內(nèi)容， 因為如何制定與使命、愿景和核心價值觀相匹配的戰(zhàn)略、商業(yè)模式和業(yè)績目標(biāo)超越了外部監(jiān)管部門的監(jiān)管責(zé)任。 從《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》中不難看出， 風(fēng)險偏好、風(fēng)險容忍度、固有風(fēng)險、剩余風(fēng)險更多地被用于戰(zhàn)略選擇與戰(zhàn)略目標(biāo)制定。 相較于風(fēng)險管理框架（2004）， 風(fēng)險管理框架（2017）凝練了風(fēng)險和價值之間的關(guān)聯(lián)性， 認(rèn)為風(fēng)險是可能會發(fā)生的影響企業(yè)戰(zhàn)略和業(yè)務(wù)目標(biāo)實現(xiàn)能力的事件， 并優(yōu)化了風(fēng)險偏好和風(fēng)險承受度的概念， 在此基礎(chǔ)上強調(diào)制定戰(zhàn)略和提升績效過程中的風(fēng)險管控。 該框架的側(cè)重點在于提升企業(yè)創(chuàng)造、保護和最終實現(xiàn)價值的能力。 戰(zhàn)略和風(fēng)險之間的關(guān)系及其對整體績效的影響， 是最新的COSO框架闡述的關(guān)鍵點之一。

三、夯實內(nèi)部控制， 優(yōu)化風(fēng)險管理， 助推企業(yè)可持續(xù)性發(fā)展

加強內(nèi)部控制是提升企業(yè)風(fēng)險管理水平的重要路徑。 風(fēng)險管理框架涵蓋了內(nèi)部控制框架的全部內(nèi)容， 是在內(nèi)部控制系統(tǒng)基礎(chǔ)上制定的。 在風(fēng)險管理框架要素中， 最核心的特色是在控制環(huán)境中建立風(fēng)險管理、風(fēng)險文化和風(fēng)險偏好， 以及風(fēng)險評估中的事項識別和風(fēng)險組合觀， 其他方面的要點與內(nèi)部控制框架基本上別無二致。 對于內(nèi)部控制框架中闡述得十分清楚的內(nèi)容， 風(fēng)險管理框架則基于與其銜接而采取簡單闡述的方法， 甚至一筆帶過。 風(fēng)險管理不能離開內(nèi)部控制系統(tǒng)而獨立運行， 因此企業(yè)必須在夯實內(nèi)部控制系統(tǒng)的基礎(chǔ)上， 將內(nèi)部控制系統(tǒng)的外延延伸到戰(zhàn)略和績效目標(biāo)， 服務(wù)于企業(yè)的價值創(chuàng)造、價值保護和價值實現(xiàn)。 內(nèi)部控制側(cè)重于企業(yè)的合規(guī)性， 風(fēng)險管理側(cè)重于企業(yè)的效益性。 在我國企業(yè)治理和管理實踐中， 無論是合規(guī)性還是效益性， 都存在著很大的提升空間。

1. 完善內(nèi)部控制系統(tǒng)， 提升企業(yè)合法合規(guī)水平。 內(nèi)部控制系統(tǒng)通過預(yù)防和及時發(fā)現(xiàn)不合規(guī)行為來為合法合規(guī)目標(biāo)的實現(xiàn)提供合理保證。 合法合規(guī)體現(xiàn)為經(jīng)營管理合法合規(guī)和包括財務(wù)報告在內(nèi)的信息披露合法合規(guī)。 隨著公司外部治理環(huán)境的優(yōu)化和內(nèi)部治理結(jié)構(gòu)的完善， 企業(yè)合法合規(guī)程度理應(yīng)不斷提高， 違規(guī)公司比例理應(yīng)不斷下降。 但是， 從2019 ～ 2021年上市公司違規(guī)處罰的情況看（見表1）， 違規(guī)公司總體占比是不斷上升的; 在當(dāng)年違規(guī)的上市公司中， 信息披露違規(guī)（包括未及時披露公司重大信息、信息虛假信息或誤導(dǎo)性陳述）公司占違規(guī)公司總數(shù)的比例逐年上升， 未履行其他職責(zé)而違規(guī)（包括收購中未按約定履行相關(guān)業(yè)績補償承諾導(dǎo)致公司支付大額資金收購資產(chǎn)后面臨重大虧損、未按規(guī)定授權(quán)審議擔(dān)保事項或投資事項、大股東非經(jīng)營性資金占用、融資融券中的違規(guī)行為、違反安全管理規(guī)定等）的公司所占比例則逐年下降; 在因違規(guī)而受處罰的公司中， 受到2次及以上處罰的公司占違規(guī)公司的比例基本上在三分之一左右。

內(nèi)部控制為合法合規(guī)目標(biāo)的實現(xiàn)提供合理保證而非絕對保證， 違規(guī)公司比例上升不能簡單歸咎于內(nèi)部控制質(zhì)量下降， 導(dǎo)致違規(guī)公司比例上升的原因是內(nèi)部控制系統(tǒng)提升的程度趕不上控制環(huán)境變化的速度以及監(jiān)管部門合法合規(guī)要求的提升步伐。 為保障企業(yè)在合法合規(guī)的軌道上持續(xù)發(fā)展， 國家相關(guān)監(jiān)管部門通過法律法規(guī)的形式強制要求企業(yè)建立內(nèi)部控制系統(tǒng)， 并進行內(nèi)部控制評價和審計。 但是， 這并不是說內(nèi)部控制只來自于企業(yè)外部的要求， 企業(yè)因趨于外在壓力而建立內(nèi)部控制系統(tǒng)并進行內(nèi)部控制系統(tǒng)的評價和審計。 內(nèi)部控制的構(gòu)建、維護、評價和審計是在當(dāng)前監(jiān)管方式和資本市場運作模式下企業(yè)可持續(xù)發(fā)展的內(nèi)在要求。 企業(yè)內(nèi)部控制系統(tǒng)的維護和提升必須從以下兩個方面下功夫：

（1）隨控制環(huán)境的變化及時調(diào)整完善內(nèi)部控制系統(tǒng)。 控制環(huán)境變化主要體現(xiàn)在三個方面：一是法律法規(guī)變化， 如新《證券法》的實施、退市新規(guī)、會計準(zhǔn)則變化等， 法律法規(guī)的變化意味著合規(guī)標(biāo)準(zhǔn)的變化， 海外經(jīng)營的公司還必須依據(jù)所有國法律法規(guī)的變化相應(yīng)調(diào)整自身內(nèi)部控制系統(tǒng); 二是商業(yè)模式變更導(dǎo)致企業(yè)與供應(yīng)商、銷貨方業(yè)務(wù)交往手段發(fā)生變化以及企業(yè)內(nèi)部授權(quán)、業(yè)務(wù)流程發(fā)生變化， 這些變化要求內(nèi)部控制系統(tǒng)進行相應(yīng)調(diào)整; 三是管理模式創(chuàng)新以及智能化地運用信息傳遞與反饋、分析與判斷模式導(dǎo)致風(fēng)險事項的類型、嚴(yán)重程度和應(yīng)對方式必須進行相應(yīng)調(diào)整。 企業(yè)必須針對以上環(huán)境變化及時調(diào)整內(nèi)部控制系統(tǒng)， 化解由此引發(fā)的風(fēng)險。

（2）充分利用內(nèi)部控制評價和審計成果完善內(nèi)部控制系統(tǒng)。 內(nèi)部控制評價和審計是滿足外部監(jiān)管要求的手段， 對企業(yè)而言， 應(yīng)該將其作為完善自身內(nèi)部控制系統(tǒng)的良好契機。 雖然已有統(tǒng)一的《企業(yè)內(nèi)部控制評價指引》， 但企業(yè)間的內(nèi)部控制評價存在著很大差別。 從內(nèi)部控制評價的實踐看， 存在企業(yè)集團未按指引要求進行全面評價的情況， 具體表現(xiàn)為以下兩點： 一是部分企業(yè)采取企業(yè)集團統(tǒng)一評價和下屬企業(yè)自評相結(jié)合的做法， 每年選出一小部分企業(yè)進行統(tǒng)一評價， 但大部分下屬企業(yè)自行評價， 且集團未給予適當(dāng)指導(dǎo); 二是部分企業(yè)簡單地下發(fā)內(nèi)部控制評價通知， 并根據(jù)下屬企業(yè)提交的內(nèi)部控制自評報告匯總得出企業(yè)年度內(nèi)部控制評價報告。 上述做法使企業(yè)失去了以評價促完善的契機。 企業(yè)必須嚴(yán)格按照《企業(yè)內(nèi)部控制評價指引》及相關(guān)要求成立或指定內(nèi)部控制評價機構(gòu)， 依照“制定評價工作方案—組成評價工作組—實施現(xiàn)場測試—認(rèn)定控制缺陷—匯總評價結(jié)果—編報評價報告”的流程進行內(nèi)部控制評價， 并做出評價結(jié)論。 上市公司還必須按《公開發(fā)行證券的公司信息披露編報規(guī)則第21號——年度內(nèi)部控制評價報告的一般規(guī)定》的要求進行內(nèi)部控制年度評價的信息披露。 內(nèi)部控制年度評價結(jié)果為有效、內(nèi)部控制被出具標(biāo)準(zhǔn)無保留意見的審計報告并不表示企業(yè)的內(nèi)部控制系統(tǒng)不存在問題， 企業(yè)應(yīng)該在審計與風(fēng)險委員會（或類似機構(gòu)）的指導(dǎo)下根據(jù)內(nèi)部控制評價過程中發(fā)現(xiàn)的重要缺陷、一般缺陷， 以及會計師事務(wù)所提交的管理建議書中所列的問題、整改建議， 提出相應(yīng)整改措施， 并追蹤評估整改措施落實情況。

2. 按照內(nèi)部控制的要求健全戰(zhàn)略制定環(huán)節(jié)的風(fēng)險控制流程。 基于既定的使命制定戰(zhàn)略目標(biāo)、選擇戰(zhàn)略路徑是風(fēng)險管理的重要內(nèi)容。 風(fēng)險管理框架及與之配套的應(yīng)用技術(shù)十分重視戰(zhàn)略目標(biāo)和業(yè)績提升， 對戰(zhàn)略目標(biāo)制定和業(yè)績提升過程中的固有風(fēng)險、剩余風(fēng)險、風(fēng)險偏好、風(fēng)險容忍度的度量進行了詳細論述并提供了詳細的技術(shù)指引。 但是， 風(fēng)險管理框架并未對戰(zhàn)略目標(biāo)制定和戰(zhàn)略制定過程中的風(fēng)險把控進行詳細闡述， 企業(yè)戰(zhàn)略制定過程中的流程設(shè)計、權(quán)責(zé)劃分、信息溝通、決策機制需要在內(nèi)部控制系統(tǒng)中做出具有可操作性的規(guī)定， 并將風(fēng)險管理的應(yīng)用技術(shù)嵌入戰(zhàn)略制定流程中。 在此基礎(chǔ)上， 修訂完善預(yù)算控制系統(tǒng)， 準(zhǔn)確地用預(yù)算績效（目標(biāo)）指標(biāo)描述年度戰(zhàn)略目標(biāo)、用預(yù)算控制指標(biāo)表述風(fēng)險承受度， 進而將戰(zhàn)略目標(biāo)轉(zhuǎn)化為預(yù)算績效指標(biāo)、戰(zhàn)略實施中的風(fēng)險承受度轉(zhuǎn)化為預(yù)算控制指標(biāo)， 并通過建立預(yù)算評價指標(biāo)體系考核戰(zhàn)略實施效果[2] 。

雖然COSO基于戰(zhàn)略與績效的風(fēng)險管理系統(tǒng)對于建立戰(zhàn)略制定和實施中的風(fēng)險控制體系具有借鑒作用， 但我國企業(yè)的中國特色決定了不能簡單照搬美國COSO的框架來構(gòu)建企業(yè)風(fēng)險管理體系。 企業(yè)在戰(zhàn)略目標(biāo)和路徑的選擇中， 必須充分考慮《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二○三五年遠景目標(biāo)的建議》中提出的“堅持新發(fā)展理念， 在質(zhì)量效益明顯提升的基礎(chǔ)上實現(xiàn)經(jīng)濟持續(xù)健康發(fā)展”的要求， 以及企業(yè)所處產(chǎn)業(yè)鏈的業(yè)態(tài)特征和所處的國內(nèi)外環(huán)境; 在戰(zhàn)略制定和實施的風(fēng)險控制體系中， 必須按黨委“把方向、管大局、促落實”、董事會“定戰(zhàn)略、做決策、防風(fēng)險”、經(jīng)理層“謀經(jīng)營、抓落實、強管理”的要求細化風(fēng)險管控流程中的權(quán)責(zé)分派體系、不相容職務(wù)分離、分級授權(quán)、監(jiān)督與糾偏責(zé)任落實。

3. 將內(nèi)部控制與風(fēng)險管理嵌入數(shù)字化管理和智能化管理之中。 盡管目前人工智能尚未被系統(tǒng)化應(yīng)用于企業(yè)經(jīng)營的所有方面和所有環(huán)節(jié)， 但在某些領(lǐng)域或某些環(huán)節(jié)已得到較充分的運用。 隨著機器學(xué)習(xí)模式從非深度學(xué)習(xí)模式向深度學(xué)習(xí)模式和強化學(xué)習(xí)模式演化， 人工智能在企業(yè)中運用的深度和廣度將不斷提高。 但是， 人工智能在提高流程效率和改善現(xiàn)有產(chǎn)品和服務(wù)的同時， 也會引發(fā)新的風(fēng)險， 如網(wǎng)絡(luò)安全漏洞、AI故障影響業(yè)務(wù)運營、未經(jīng)同意使用個人隱私資料產(chǎn)生惡劣后果、基于AI的建議做出錯誤決策等。 因此， 在企業(yè)運營與管理數(shù)字化和智能化成為發(fā)展趨勢的情況下， 企業(yè)必須建立與數(shù)字化管理和智能化管理相匹配的內(nèi)部控制與風(fēng)險管理系統(tǒng)。 應(yīng)針對AI模式、算法設(shè)計、網(wǎng)絡(luò)漏洞應(yīng)對， 以及數(shù)據(jù)收集、數(shù)據(jù)訪問、數(shù)據(jù)使用、數(shù)據(jù)保留等方面評估合規(guī)風(fēng)險和可能引發(fā)的倫理道德問題（如承保方案設(shè)計、醫(yī)療診斷和治療方案等）， 判斷其是否與企業(yè)愿景、使命和核心價值觀相一致， 在此基礎(chǔ)上建立基于AI的法規(guī)與道德規(guī)范體系、技術(shù)規(guī)范體系和監(jiān)控體系， 實現(xiàn)內(nèi)部控制和風(fēng)險管理與數(shù)字化管理、智能化管理的深度整合。

【 主 要 參 考 文 獻 】

[1] 閻達五，楊有紅.內(nèi)部控制框架的構(gòu)建[ J].會計研究，2001（2）：9 ～ 15.

[2] 楊有紅.戰(zhàn)略引領(lǐng)預(yù)算的機理和實現(xiàn)方式[ J].北京工商大學(xué)學(xué)報（社會科學(xué)版），2020（3）：13 ～ 20.