湘潭大學商學院 徐恒

企業(yè)內(nèi)部控制和風險管理研究

湘潭大學商學院 徐恒

內(nèi)部控制作為一種重要的管理方法，是上世紀50年代后隨著經(jīng)濟的發(fā)展和管理科學的發(fā)展而建立起來的。對于它的內(nèi)容和定義還沒有完善，而是隨著管理技術(shù)等因素的不斷進步而日益豐富。1992年COSO委員會發(fā)布了COSO框架(簡稱IC—IF框架)，該框架發(fā)布后就得到了廣泛的運用。對于企業(yè)的風險防治，財務(wù)舞弊的減少，內(nèi)部控制是最為有效的方法。我國于2008年7月1日由財政部等5個部門聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》實施，作為我國第一部內(nèi)部控制的規(guī)模要求，它適時地滿足了我國企業(yè)內(nèi)部控制建設(shè)的和防范風險的要求。

內(nèi)部控制 風險管理

1 COSO內(nèi)部控制和風險管理概述

1.1 COSO內(nèi)部控制簡述

1992年美國的資助組織委員會(COSO)發(fā)布了COSO報告《內(nèi)部控制——整體框架》，這一報告發(fā)布后就成為指導內(nèi)部控制在商業(yè)生活中運用的綱領(lǐng)文件。

COSO報告中將控制環(huán)境、風險評估、控制活動、信息與溝通和和監(jiān)控這五個因素作為內(nèi)部控制的完整框架。COSO認為：為了實現(xiàn)經(jīng)營效率、提高財務(wù)真實性，法律規(guī)則有效性，內(nèi)部控制是有效的方法，它需要企業(yè)中的各個階層的人員積極的參與，包括董事會成員、管理者和其他員工。內(nèi)部控制不斷的完善著，隨著企業(yè)管理技術(shù)的進步，管理制度的完善，內(nèi)部控制的理也不斷的得到豐富。

1.2 風險管理理論的發(fā)展及其內(nèi)涵

企業(yè)風險管理是由企業(yè)各個參與者共同在企業(yè)的各個經(jīng)營活動中實施的，為了防范企業(yè)經(jīng)營過程中可能存在的各種潛在的風險，根據(jù)企業(yè)的風險管理偏好，為企業(yè)提供有力的支持。企業(yè)風險管理是內(nèi)部控制的一種擴展，要想企業(yè)的風險管理做的完善，必須先建立一個獨立的不受干擾的風險管理機構(gòu)。內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息與溝通、監(jiān)控是企業(yè)風險管理的八個關(guān)聯(lián)因素。

2 內(nèi)部控制在企業(yè)風險管理中的職能或作用

2.1 風險管理系統(tǒng)的組成部分

(1)內(nèi)控系統(tǒng)：為了實現(xiàn)經(jīng)營效率、提高財務(wù)真實性，法律規(guī)則有效性，內(nèi)部控制是有效的方法，它需要企業(yè)中的各個階層的人員積極的參與，包括董事會成員、管理者和其他員工。

(2)監(jiān)督協(xié)調(diào)系統(tǒng)：指通過監(jiān)督和協(xié)調(diào)促使實現(xiàn)企業(yè)目標，使企業(yè)有更高的適應(yīng)能力，以及反應(yīng)能力。監(jiān)督的任務(wù)在風險管理系統(tǒng)中是以風險為方向?qū)嵤┑摹?/p>

(3)風險預警系統(tǒng)：為了使企業(yè)所有者能及時的發(fā)現(xiàn)各種風險，并對可能造成的影響做到充分的了解。風險預警系統(tǒng)需要在內(nèi)控系統(tǒng)和監(jiān)督協(xié)調(diào)系統(tǒng)作為基礎(chǔ)。

風險管理系統(tǒng)的這幾個組成部分是一個有機的整體，并不能完全清晰地劃分其界限。比如監(jiān)督是預警的承擔者，同時也執(zhí)行著內(nèi)控的任務(wù)。另外，檢驗監(jiān)督的功能又是內(nèi)控的組成要件內(nèi)部審計的任務(wù)，反過來，監(jiān)督在發(fā)現(xiàn)重大的偏差時會促使內(nèi)部審計去執(zhí)行特殊審查。內(nèi)部審計此外還擔負著審查整個風險管理系統(tǒng)組成要件是否齊備，其功能是否正常的任務(wù)，但同時它自己本身又是風險管理系統(tǒng)的組成部分之一，因此在風險管理系統(tǒng)中，內(nèi)控起著至關(guān)重要的作用。

2.2 內(nèi)部控制的兩大功能

內(nèi)部控制和風險管理的功能最主要的就是預防風險和對已發(fā)生事件的糾錯。預防功能指的是通過控制和檢查措施去防止偏差的發(fā)生；糾錯功能主要指通過檢驗去確定風險管理系統(tǒng)各項措施的功能是否正常，并且在必要時給予糾正。

風險管理過程中，內(nèi)部控制起著不可替代的作用，因為風險管理必須被監(jiān)控。

一方面，內(nèi)部控制可以發(fā)現(xiàn)企業(yè)風險發(fā)生的源泉，并檢驗企業(yè)是否具有完善的風險管理系統(tǒng)，并且能能完整的、持續(xù)的記錄風險管理的整個過程。越來越多的企業(yè)加強了自身的內(nèi)部控制，同時外部環(huán)境的變化以及企業(yè)發(fā)展的條件也促使企業(yè)對內(nèi)部控制的重視。風險管理系統(tǒng)在內(nèi)部控制的促使下，成為了一個保證風險管理系統(tǒng)與環(huán)境變化相適應(yīng)的動態(tài)系統(tǒng)。

另一方面，內(nèi)部控制系統(tǒng)可以提高風險管理的效率，因為它可以持續(xù)的檢查保證風險管理系統(tǒng)。獨立的內(nèi)部審計通過檢查風險管理的過程中是否按照規(guī)定的要求進行執(zhí)行，來檢測風險管理是否具有高效率。

3 目前我國企業(yè)風險管理中存在的問題

近些年來，國內(nèi)企業(yè)發(fā)生了很多產(chǎn)品問題，企業(yè)信譽問題，這些問題往往就是因為企業(yè)沒有建立好企業(yè)內(nèi)部控制系統(tǒng)，以及失敗的風險管理。據(jù)德勤會計師事務(wù)的調(diào)查，對于建設(shè)企業(yè)內(nèi)部控制體系，我國的上市公司大多表示了愿意或是渴望建設(shè)，然而只有不到五成的企業(yè)建立了企業(yè)的內(nèi)部控制體系，其他企業(yè)在建設(shè)內(nèi)部控制系統(tǒng)時，或是有各種實施障礙，或是沒有內(nèi)部控制意識。可見在我國大部分企業(yè)并沒有建立起內(nèi)部控制系統(tǒng)和風險管理體系，因此就沒有有效的監(jiān)督考核機制，這就導致我國企業(yè)會出現(xiàn)眾多的問題。

3.1 公司治理結(jié)構(gòu)存在缺陷

為了實現(xiàn)經(jīng)營效率、提高財務(wù)真實性，法律規(guī)則有效性，內(nèi)部控制是有效的方法，它需要企業(yè)中的各個階層的人員積極的參與，包括董事會成員、管理者和其他員工。從中可以看出內(nèi)部控制其實質(zhì)就權(quán)力與責任的配置是否得到有效地分配。由于在我國眾多公司的董事長和總經(jīng)理由一人兼任，這就導致企業(yè)的股東大會、董事會、監(jiān)事會的權(quán)力被架空，無法對企業(yè)進行監(jiān)督和建議，企業(yè)往往有“獨裁者”一人獨自制定或變更經(jīng)營戰(zhàn)略。公司治理結(jié)構(gòu)的這些缺陷導致企業(yè)出現(xiàn)管理問題就不足為奇，另一方面這也為高管人員以權(quán)謀私提供了更有利的條件。

3.2 風險管理機制不健全

當企業(yè)發(fā)生突發(fā)的事件，如果企業(yè)建立了并加以貫徹實行了一套有效的風險管理機制，也就做好了防御風險的準備，也就能從容的應(yīng)對各種風險。但是在現(xiàn)實的商業(yè)生活中，卻是很少有企業(yè)能夠從更高的視角，更科學的高度來建設(shè)企業(yè)的風險管理體系，因此企業(yè)的可持續(xù)發(fā)展得不到保證，企業(yè)對風險的預測能力、預防能力、控制能力得不到增強，同時，當風險發(fā)生后企業(yè)的應(yīng)對能力、轉(zhuǎn)化能力也得不到提高。雖然在少數(shù)企業(yè)中建立了風險管理機制，但是僅僅是一種形式存在著，根本不具有任何的效用，如沒有監(jiān)督，導致規(guī)章制度得不到實行，使企業(yè)風險管理機制形同虛設(shè)。

3.3 內(nèi)部控制活動中方法和內(nèi)容存在缺陷

在國內(nèi)一些企業(yè)中雖然建立內(nèi)部控制體系，但是還是一種較傳統(tǒng)的內(nèi)部控制理論，它沒有將人、財、物三大要素有機的結(jié)合起來，而是更多的關(guān)注了財和物的管理。或是在設(shè)計和實施內(nèi)控機制時沒有將約束和激勵有效的結(jié)合起來，而是對于人的行為設(shè)定一般化而且局限于對人的約束。企業(yè)擁有了健全的內(nèi)部控制體系，就有了完善的風險管理基礎(chǔ)，企業(yè)就擁有了管理和控制企業(yè)風險的最為簡單有效的方法，企業(yè)就可以減少對風險建設(shè)的投資。

3.4 對風險管理的各種技術(shù)方法運用水平差

健全的內(nèi)部控制和風險管理體系的實施，需要一定的技術(shù)支持，雖然我國從國外引進了先進的管理技術(shù)，更新了管理軟件等方式來提高我國企業(yè)自身的管理風險水平和內(nèi)部控制的有效性，但是我國由于專業(yè)的人才缺失，導致企業(yè)引進的先進的管理技術(shù)并沒有得到充分利用，對風險管理的技術(shù)方法運用水平差。

4 完善企業(yè)內(nèi)部控制，強化風險管理的建議或?qū)Σ?/h2>

4.1 構(gòu)建嚴密的風險管理組織框架

企業(yè)風險管理的有效實施，需要企業(yè)各個參與者共同在企業(yè)的各個經(jīng)營活動中實施的，為了防范企業(yè)經(jīng)營過程中可能存在的各種潛在的風險，根據(jù)企業(yè)的風險管理偏好，為企業(yè)提供有力的支持。因此企業(yè)應(yīng)建立煙密度風險管理組織架構(gòu)。

首先，應(yīng)更加嚴格規(guī)范信息披露制度，防范潛在的信用風險；其次，加強對關(guān)聯(lián)交易和對外擔保的管理和規(guī)范，以減少經(jīng)濟違規(guī)案件的發(fā)生；再次，加強企業(yè)各個部門的聯(lián)系，尤其是審計部門的作用應(yīng)進一步提高，各部門的積極參與可以加強對風險防范和監(jiān)督，這也就使得企業(yè)的抗風險能力得到了提升。

4.2 創(chuàng)建有效的內(nèi)部控制系統(tǒng)

在現(xiàn)實的商業(yè)生活中，企業(yè)內(nèi)部控制是風險管理的基礎(chǔ)，這也就說明了兩者是密不可分的。企業(yè)應(yīng)選擇不同的內(nèi)部控制模式，以滿足不同的根企業(yè)經(jīng)營目標和可能面臨的風險。因此，企業(yè)要建立健全的風險管理體系就必須創(chuàng)建有效的內(nèi)部控制系統(tǒng)。企業(yè)應(yīng)該將企業(yè)運營過程中的各個環(huán)節(jié)分配給不同的員工，通過職位分工細化，明確每個員工的權(quán)利與責任。使企業(yè)的正常運營形成一個高效的內(nèi)部控制網(wǎng)路。

在這個內(nèi)部控制網(wǎng)中，信息系統(tǒng)至關(guān)重要，必須加強對信息的控制，要滿足信息的真實性、及時性以及保密性工作。同時更要注意信息的在企業(yè)內(nèi)部的有效流通，防治出現(xiàn)信息斷帶的出現(xiàn)。因此企業(yè)要定期的對信息系統(tǒng)進行檢查和分析，為企業(yè)有效的內(nèi)部控制系統(tǒng)提高優(yōu)質(zhì)的信息保證。

4.3 完善與提升風險控制體系

(1)內(nèi)部審計部門的監(jiān)督職能應(yīng)得到充分的發(fā)揮。內(nèi)部審計在防范企業(yè)風險時所起到的作用是其他部門無法替代的。內(nèi)部審計部門可以更加客觀地對企業(yè)的風險進行監(jiān)控。這里需要強調(diào)的是必須加強其獨立性和應(yīng)有的權(quán)威性。內(nèi)部審計部門的獨立性是內(nèi)部審計部門實現(xiàn)其職能的最基本的要求，因此必須保證內(nèi)部審計部門的獨立性。

(2)提升企業(yè)應(yīng)變能力。內(nèi)部控制自身并不是萬能的，并不是所有的風險都能得到有效的發(fā)現(xiàn)和控制。所以，企業(yè)必須不斷的提升自身的應(yīng)變能力和轉(zhuǎn)變能力，以應(yīng)對突發(fā)的風險。因此，建立一套完善的應(yīng)急措施，成為企業(yè)必須考慮的問題，以便企業(yè)可以更好地應(yīng)對各種潛在的或是已發(fā)生的風險。

4.4 使用和培養(yǎng)高素質(zhì)人才

專業(yè)的人才是企業(yè)的風險管理得以有效實現(xiàn)的關(guān)鍵。因此，企業(yè)應(yīng)加強對相關(guān)人才的培養(yǎng)和引進。首先，可以和高校建立合作，通過高校培養(yǎng)專業(yè)的人才；其次，可以引進世界優(yōu)秀企業(yè)的專業(yè)人才；再次，應(yīng)該提高重要部門的員工的招聘條件，提升員工的教育水平；最后，應(yīng)增加企業(yè)對員工的培訓，提高人才的技術(shù)水平。同時，企業(yè)應(yīng)該提高企業(yè)員工對企業(yè)的忠誠度，防止高素質(zhì)人才的流失。

風險管理內(nèi)控體系完善的建立，不是原本的企業(yè)制度的否認。而在已有的內(nèi)部控制體系的基礎(chǔ)上，根據(jù)企業(yè)外部環(huán)境的改變，依據(jù)企業(yè)自身發(fā)展的優(yōu)勢和劣勢進行完善和提高。在內(nèi)部控制體系的設(shè)計上，必須進行科學地分析各個控制點的設(shè)立，保證整個建設(shè)過程平穩(wěn)積極，不斷的提升公司的治理水平。

此外，內(nèi)控體系必須取得公司董事會、管理層等各方面的理解和支持，取得思想統(tǒng)一，這不僅需要公司高層領(lǐng)導高度重視，而且更要在公司內(nèi)部充分宣傳。

[1] 劉金文.論相關(guān)理論對內(nèi)部控制研究的啟發(fā)與影響[N].財務(wù)與會計,2009.

[2] 魏良華,鄧彥,李華軍.企業(yè)內(nèi)部控制規(guī)范建設(shè)探微[M].財會月刊,2009.

[3] 陳國輝,耿慧敏.淺析內(nèi)部審計與風險管理[J].財務(wù)與會計,2009(03).

[4] 李天.內(nèi)部控制與財務(wù)管理在風險防范中的異曲同工[J].會計之友,2007(7).

[5] 孫立新.關(guān)于加強上市公司內(nèi)部控制制度建設(shè)的幾點建議[J].商場現(xiàn)代化,2007(02).

F272

A

1005-5800(2012)08(a)-124-02