□文/王 月

企業(yè)風險管理整合框架實現(xiàn)路徑

□文/王 月

在國際國內(nèi)企業(yè)頻頻出現(xiàn)風險管理問題的背景下，首先闡述內(nèi)部控制的內(nèi)涵范疇，然后介紹內(nèi)部控制發(fā)展歷程，以及全面風險管理內(nèi)部控制的各個要素組成，最后分析如何實現(xiàn)企業(yè)風險管理的整合框架思路。

內(nèi)部控制；路徑；風險管理

近年來，國際上一些著名企業(yè)相繼爆出丑聞，造成極其嚴重的后果。我國企業(yè)也為內(nèi)部控制和風險管理的缺失付出了慘痛的代價，如國內(nèi)著名企業(yè)中發(fā)生的中航油（新加坡）公司破產(chǎn)倒閉事件以及中行、農(nóng)行、興業(yè)、浦發(fā)等銀行巨額虛假貸款、大額資金失蹤等舞弊案頻頻曝光。究其原因，內(nèi)部控制存在缺陷是導致企業(yè)不能及時發(fā)現(xiàn)和有效控制經(jīng)營風險，并最終鋌而走險、欺騙社會公眾和投資者的重要原因。在對這些財務舞弊和經(jīng)營管理失敗案例進行反思后，人們逐漸認識到“有控則強、失控則弱、無控則亂”的道理，控制失靈難以使事業(yè)持久、基業(yè)常青。建立完善的且行之有效的企業(yè)內(nèi)部控制機制已成為企業(yè)的當務之急。

一、內(nèi)部控制的內(nèi)涵

人們對內(nèi)部控制的定義經(jīng)歷了從簡單到復雜、從靜態(tài)到動態(tài)、從以制度為本到以人為本的一種邏輯演繹，體現(xiàn)了人們對內(nèi)部控制認識的逐漸深化，加深了人們對內(nèi)部控制的進一步理解，從而使人們對內(nèi)部控制這一客觀事物的認識更能貼近事物的本原。所謂內(nèi)部控制，是由企業(yè)建立的，通過約束和激勵等手段，以保障企業(yè)各利益相關者的行為能夠按契約的要求進行，并能夠促使契約自我優(yōu)化的一種系統(tǒng)化的機制，其目的是為了實現(xiàn)企業(yè)目標。

二、內(nèi)部控制發(fā)展歷程

對內(nèi)部控制的認識，經(jīng)歷了一個逐漸發(fā)展的過程。美國的內(nèi)部控制經(jīng)歷了從內(nèi)部牽制到二要素法、三要素法到五要素法，日趨完整和深入，最終發(fā)展為全面風險管理框架模式。

1、內(nèi)部牽制。內(nèi)部控制的最初形式是內(nèi)部牽制，內(nèi)部牽制以賬目間的相互核對為主要內(nèi)容，并實施崗位分離，內(nèi)部牽制機制在減少錯誤和舞弊行為上起到了十分重要的作用。

2、二要素法。隨著經(jīng)濟的發(fā)展和企業(yè)組織規(guī)模的擴大，人們發(fā)現(xiàn)內(nèi)部牽制已經(jīng)越來越不能適應大型企業(yè)需要，因此對內(nèi)部控制的研究也越發(fā)深入，美國注冊會計師協(xié)會的審計程序委員會于1958年10月發(fā)布的《審計程序公告第29號》將內(nèi)部控制劃分為會計控制和管理控制，內(nèi)部控制劃分為二要素形式。

3、三要素法。1988年美國注冊會計師協(xié)會的審計準則委員會發(fā)布《審計準則公告第55號》，該公告以“內(nèi)部控制結構”代替“內(nèi)部控制制度”，具體包括三個要素：控制環(huán)境、會計制度、控制程序。

4、五要素法。1996年美國注冊會計師協(xié)會發(fā)布《審計準則公告第78號》，全面接受COSO報告的內(nèi)容，新準則將內(nèi)部控制定義為：“由一個企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：財務報告的可靠性、經(jīng)營的效果和效率以及符合適用的法律和法規(guī)”。該準則將內(nèi)部控制劃分為五種要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。

5、全面風險管理框架。2003年7月美國COSO委員會頒布了企業(yè)風險管理框架的討論稿，并于2004年4月頒布正式稿。將企業(yè)風險管理的構成分為內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控等八個相互關聯(lián)的要素，各要素貫穿在企業(yè)的管理過程之中。

三、企業(yè)風險管理整合框架的諸要素構成

1、內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)風險管理其他構成要素的基礎，為其他要素提供約束和結構。它影響著戰(zhàn)略和目標的制定、經(jīng)營活動的組織以及風險的識別、評估和應對，它還影響著控制活動、信息與溝通體系以及監(jiān)控措施的設計與運行。內(nèi)部環(huán)境受企業(yè)歷史和文化的影響，包含許多要素，包括風險管理理念、風險容量、董事會監(jiān)督、主體中人員的誠信、道德價值觀和勝任能力以及管理者分配權力和職責、組織員工的方式。

所有這些要素都很重要，但對每個要素的強調(diào)程度會因企業(yè)而異。然而，董事會是內(nèi)部環(huán)境的一個關鍵部分，它對其他的內(nèi)部環(huán)境要素有重大影響。因為董事會對管理者獨立性、經(jīng)驗、才干、敬業(yè)等方面的監(jiān)督與審查，對企業(yè)來說至關重要。要想使內(nèi)部環(huán)境有效，董事會中的獨立外部董事必須至少占多數(shù)。

內(nèi)部環(huán)境的另一關鍵要素是企業(yè)的風險管理理念。一個企業(yè)的風險管理理念是一整套共同的信念和態(tài)度，它決定著該企業(yè)在做任何事情（從戰(zhàn)略制定和執(zhí)行到日常經(jīng)營活動）時如何考慮風險。

2、目標設定。企業(yè)在既定的任務和背景下，制定戰(zhàn)略目標、選擇戰(zhàn)略，并制定相關目標，將其細分至企業(yè)的方方面面，與戰(zhàn)略保持一致并相聯(lián)系。企業(yè)必須先有目標，管理者才能識別影響它們實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO定目標，確保所設定的目標支持和切合該企業(yè)的使命，并與它的風險容量或風險容限一致。

3、事件識別。管理當局必須識別可能對企業(yè)產(chǎn)生影響的潛在事項。潛在事項具有負面的或正面的影響，或兩者兼而有之。具有潛在負面影響的代表風險，管理者要對之進行評估和做出反應。相應地，風險被定義為事項發(fā)生并對目標實現(xiàn)產(chǎn)生不利影響的可能性。具有潛在正面影響的事項代表機會。代表機會的事項引導管理者制定戰(zhàn)略和相關目標，以便采取行動抓住機會。

4、風險評估。風險評估使企業(yè)考慮潛在事項如何影響目標的實現(xiàn)。管理當局應從兩個角度對事項進行評估：可能性和影響，并且通常采用定性和定量相結合的方法。在不要求定量化的地方，或者在定量評估所需的可靠數(shù)據(jù)無法取得或獲取和分析數(shù)據(jù)不具有成本效益時，管理者通常采用定性評估技術。定量技術精確度更高，通常應用在更加復雜的活動中，以對定性技術進行補充。評估風險時既要考慮固有風險，也要考慮剩余風險。固有風險是管理當局沒有采取任何措施來改變風險的可能性或影響的情況下，一個企業(yè)所面臨的風險。剩余風險是在管理當局應對風險后所殘余的風險。

5、風險應對。在評估相關風險以后，管理者就要確定如何應對風險。風險應對有四種類型：回避，即退出會產(chǎn)生風險的活動；降低，即采取措施降低風險的可能性或影響，或者同時降低二者；分擔，即通過轉移的方式來降低風險的可能性或影響，或者分擔一部分風險，如購買保險產(chǎn)品、外包一項業(yè)務活動；承受，即不采取任何措施去改變風險的可能性或影響。

6、控制活動?？刂苹顒邮菐椭芾懋斁謱嵤╋L險應對方案的政策和程序?？刂苹顒迂灤┯谡麄€組織，遍及各個層級和各個職能機構。它們包括一系列不同的活動，例如批準、授權、驗證、調(diào)節(jié)、經(jīng)營業(yè)績評價、資產(chǎn)安全以及職責分離?？刂苹顒右话惆▋蓚€要素：確定應該做什么樣的政策，以及如何執(zhí)行政策的程序。此外，由于信息系統(tǒng)在企業(yè)經(jīng)營和報告及合規(guī)目標方面具有重要影響，因此需要對重要的系統(tǒng)進行控制。對重要的信息系統(tǒng)的控制主要有兩類活動：一般控制和應用控制。

7、信息與溝通。組織中的各個層級都需要信息，以識別、評估和應對風險。信息可以來自內(nèi)部，也可以來自外部；可以以定量的形式出現(xiàn)，也可以以定性的形式出現(xiàn)?？梢允秦攧盏?，也可以是非財務的。管理者面臨的一項挑戰(zhàn)便是處理和提煉大量的數(shù)據(jù)以形成可參考的信息。這項挑戰(zhàn)可以通過建立一套信息系統(tǒng)來解決；另一項挑戰(zhàn)是信息的質(zhì)量問題，例如內(nèi)容是否恰當、信息是否及時、是否準確等。這可以通過建立整個企業(yè)范圍的數(shù)據(jù)管理程序（包括對相關信息的獲取、維護和分配）來解決。

信息是需要溝通傳遞的，溝通包括企業(yè)內(nèi)部溝通和外部溝通。有效的內(nèi)部溝通會出現(xiàn)在組織中向下、平行和向上的流動。例如，全部員工從高層管理者那里收到一個清楚的信息：必須認真擔負起企業(yè)風險管理的責任。他們了解自己在企業(yè)風險管理中的職責以及個人的活動與其他員工工作間的關系。同時，他們也必須具有同級間溝通和向上溝通重要信息的有效方式。除了內(nèi)部溝通，企業(yè)還需要外部溝通。例如，通過有效的外部溝通，客戶和供應商能夠提供與產(chǎn)品或服務的設計和質(zhì)量有關的重要信息，從而使企業(yè)能夠不斷關注客戶需求或偏好的變化。

8、監(jiān)控。企業(yè)風險管理的監(jiān)控是指隨時對其構成要素的存在和運行進行評估，必要時加以修正。企業(yè)曾經(jīng)適當?shù)娘L險應對可能會變得不適用；控制活動可能會變得不太有效，或者不再被執(zhí)行；企業(yè)的目標也可能發(fā)生變化。面對這些變化，管理當局就需要確定企業(yè)風險管理的運行是否持續(xù)有效，他們所依賴的措施便是監(jiān)控。

監(jiān)控可以以持續(xù)監(jiān)控活動或者個別評價兩種方式進行。持續(xù)監(jiān)控建立在企業(yè)正常的、重復發(fā)生的活動之上，一般由直線式的經(jīng)營管理人員或職能式的輔助管理人員來執(zhí)行；個別評價的范圍和頻率主要取決于對風險的評估和持續(xù)監(jiān)控程序的有效程度。此外，監(jiān)控包括內(nèi)部監(jiān)控和外部監(jiān)控兩方面，企業(yè)要將他們所評價出的企業(yè)風險管理缺陷和提供的有關風險管理的重要信息向上報告，嚴重的問題還需報告給高層管理人員和董事會。

四、企業(yè)風險整合框架實現(xiàn)路徑分析

1、內(nèi)部控制環(huán)境方面?？刂骗h(huán)境的定義是五個要素中最重要的因素，控制環(huán)境確定了管理層的基調(diào)，并影響人們的控制意識。這是所有其他內(nèi)控要素的基礎，提供了規(guī)則和結構。其基本原則包括：（1）健全的道德觀和誠信的文化。組織應具有明確的價值觀，監(jiān)控各項活動，并采取措施；（2）有效而獨立的董事會。應建立獨立而有效的監(jiān)督機制。獨立而有效的監(jiān)督，可以是來自于公司外部的機構或個人，也可能來自于公司的擁有者；（3）管理層的運行方式促進良好的控制。管理層應設定目標，并為各項活動設定一個基調(diào)；（4）權限和責任的分配與財務報表的目標是一致的。權限和責任的分配是從董事會和財務總監(jiān)開始的；（5）人力資源政策和規(guī)程支持有效控制。應考慮激勵因素、招聘、培訓和其他活動。

2、內(nèi)部監(jiān)督。監(jiān)控的目的，是通過識別控制的缺陷和漏洞并持續(xù)改進以創(chuàng)造效率。監(jiān)控是指內(nèi)控系統(tǒng)應該被有效監(jiān)控，它是評估內(nèi)控系統(tǒng)在一段時期內(nèi)有效性的流程。這將通過持續(xù)的監(jiān)控活動和獨立評估以及兩者相結合的方式來實現(xiàn)。另外，內(nèi)控的缺陷應向上級匯報，重大事件向管理層和董事會匯報。持續(xù)的監(jiān)控、獨立評估和缺陷報告構成監(jiān)控三要素。

3、信息溝通。企業(yè)應當將內(nèi)部控制相關信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋。信息溝通過程中發(fā)現(xiàn)的問題，應當及時報告并加以解決。利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。

4、控制活動。企業(yè)應該參考《基本規(guī)范應用指引》，確定各種業(yè)務和事項的控制目標并設計控制活動，結合各自業(yè)務流程，將控制活動整合在各項業(yè)務循環(huán)中，常用的控制活動包括：不相容職務分離、授權審批、會計系統(tǒng)、財產(chǎn)保護、預算、運營分析、績效考核等，在每一項經(jīng)營業(yè)務的流程中，必須根據(jù)業(yè)務的特點，選擇相適應的控制活動，這樣才能達到合適的控制目標。

5、風險評估。首先需要建立風險評估機制以確定風險承受度，識別內(nèi)部、外部風險，采用定性與定量相結合的方法，對風險進行分析和排序，這種機制不是一年一度的填表流程，而應該是每個部門定下的工作原則，在每個項目的開始階段必須執(zhí)行的工作流程；然后確定關注重點和優(yōu)先控制的風險，根據(jù)風險評估的結果，結合風險承受度，權衡風險與收益，確定風險應對策略并且持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調(diào)整風險應對策略，要讓風險評估成為日常工作的標準流程，首先必須在制度中明確規(guī)定；另外，必須對員工進行必要的培訓，每個崗位的員工應當知曉本職工作可能存在的各種風險。

[1]謝志華.內(nèi)部控制：本質(zhì)與結構[J].會計研究，2009.12.

[2]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計研究，2007.1.

[3]楊周南，吳鑫.內(nèi)部控制工程學研究[J].會計研究，2007.3.

F27

A

遼寧對外經(jīng)貿(mào)學院）