楊有紅（博士生導(dǎo)師）

自2008 年五部委頒布《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引以來，我國各類企業(yè)相繼進入內(nèi)部控制構(gòu)建的高峰期，并且逐步實施內(nèi)部控制評價和審計。2009年國務(wù)院國有資產(chǎn)監(jiān)督管理委員會頒布的《中央企業(yè)全面風(fēng)險管理指引》不僅推動了中央企業(yè)進入全面風(fēng)險管理的新時期，而且對其他組織形式企業(yè)的風(fēng)險管理起到了示范和引領(lǐng)作用。實施內(nèi)部控制和風(fēng)險管理有助于我國企業(yè)合理保證經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整，提高經(jīng)營效率和改善經(jīng)營效果，實現(xiàn)發(fā)展戰(zhàn)略。

但是，對于企業(yè)內(nèi)部控制和風(fēng)險管理的關(guān)系，理論界和實務(wù)界存在著認(rèn)識誤區(qū)。內(nèi)部控制和風(fēng)險管理是什么關(guān)系？兩者是相互獨立的系統(tǒng)還是存在替代關(guān)系？認(rèn)識上的模糊妨礙了企業(yè)內(nèi)部控制和風(fēng)險管理的有機結(jié)合，增加了管理成本并抑制了管控效率和效果。因此，厘清內(nèi)部控制和風(fēng)險管理的關(guān)系、實現(xiàn)兩者的深度融合，是改善管控效果、助推企業(yè)可持續(xù)性發(fā)展的重要手段。

本文試圖通過對企業(yè)內(nèi)部控制與風(fēng)險管理發(fā)展歷程回顧、內(nèi)部控制與風(fēng)險管理的比較研究，厘清兩者間的關(guān)系，并在此基礎(chǔ)上探討兩者的整合運用，為企業(yè)經(jīng)營的合規(guī)性和效益性提供合理保證，助推企業(yè)可持續(xù)性發(fā)展。

一、企業(yè)內(nèi)部控制與風(fēng)險管理發(fā)展歷程回顧

集不相容職務(wù)分離、分級授權(quán)、監(jiān)督為一體的內(nèi)部控制思想產(chǎn)生于18 世紀(jì)產(chǎn)業(yè)革命導(dǎo)致的企業(yè)規(guī)?；唾Y本大眾化[1]。最早提及內(nèi)部控制的職業(yè)文獻是1929 年美國會計師協(xié)會和聯(lián)邦儲備委員會修訂發(fā)布的《會計報表的驗證》（Verification of Financial Statements）。最早定義內(nèi)部控制的是1936 年在上述基礎(chǔ)上修訂發(fā)布的《獨立公共會計師對會計報表的審查》（Examination of Financial Statements by Independent Public Accountants）。1985 年，由美國管理會計師協(xié)會、美國注冊會計師協(xié)會、美國會計協(xié)會、財務(wù)經(jīng)理人協(xié)會、內(nèi)部審計師協(xié)會聯(lián)合成立的反虛假財務(wù)報告委員會下屬的發(fā)起人委員會（COSO）于1992 年發(fā)布《內(nèi)部控制——整合框架》［簡稱“內(nèi)部控制框架（1992）”］，并于1994 年進行增補、2013 年進行修訂。上述五個非政府性與會計相關(guān)的職業(yè)團體各有其承擔(dān)的使命，涉及通過內(nèi)部控制提升財務(wù)報告質(zhì)量、通過決策及戰(zhàn)略實施中的風(fēng)險管理提升企業(yè)績效、通過內(nèi)外部審計提升治理能力并有效地威懾欺詐，因此整合形成的COSO將使命定位于通過開發(fā)旨在強化內(nèi)部控制、風(fēng)險管理、治理和欺詐威懾的思想領(lǐng)導(dǎo)力來幫助組織提高績效。在這一使命的驅(qū)使下，COSO 在頒布內(nèi)部控制框架的基礎(chǔ)上，研究開發(fā)企業(yè)風(fēng)險管理框架就順理成章。

COSO 在1994 年完成內(nèi)部控制框架（1992）的增補后，即著手進行風(fēng)險管理框架的研究，其將“目標(biāo)—要素—單元層次”這一思維范式和研究方法論直接運用于風(fēng)險管理框架的研究，并于2004 年發(fā)布《企業(yè)風(fēng)險管理——整合框架》［簡稱“風(fēng)險管理框架（2004）”］。2013 年修訂的《內(nèi)部控制——整合框架》［簡稱“內(nèi)部控制框架（2013）”］沒有改變內(nèi)部控制的目標(biāo)、要素和單元層次，但為提高內(nèi)部控制框架對企業(yè)類型和規(guī)模的適應(yīng)性，針對五大要素提出了相應(yīng)的17 條原則，并強化了公司治理文化對內(nèi)部控制系統(tǒng)的基礎(chǔ)性作用。2017 年修訂發(fā)布的《企業(yè)風(fēng)險管理框架——與戰(zhàn)略和績效的整合》［簡稱“風(fēng)險管理框架（2017）”］在明確戰(zhàn)略和績效導(dǎo)向、梳理企業(yè)價值創(chuàng)造邏輯的基礎(chǔ)上，強調(diào)了愿景、使命、核心價值觀對戰(zhàn)略設(shè)定和風(fēng)險管理的基礎(chǔ)性作用，并著重基于企業(yè)戰(zhàn)略制定與實施、價值創(chuàng)造與保護提出了風(fēng)險管理五要素和相應(yīng)的20 條原則，該框架充分體現(xiàn)了原則性要求和文化的重要性。

無論是內(nèi)部控制框架還是風(fēng)險管理框架，其內(nèi)容均由目標(biāo)導(dǎo)向下的控制要素構(gòu)成。所不同的是，風(fēng)險管理框架中的目標(biāo)是內(nèi)部控制框架目標(biāo)的拓展，風(fēng)險管理要素是內(nèi)部控制要素的延伸。COSO之所以通過內(nèi)部控制手段來管控風(fēng)險，是因為兩權(quán)分離下需要通過分工協(xié)作才能有效運行企業(yè)。試想一下，“夫妻店”是不需要通過內(nèi)部控制系統(tǒng)來防范風(fēng)險的，而是直接分析外部環(huán)境可能導(dǎo)致的風(fēng)險并直接采取相應(yīng)控制手段。內(nèi)部控制系統(tǒng)主要是解決這一問題：企業(yè)在兩權(quán)分離、分級授權(quán)、部門分工合作的狀況下，如何保障公司治理與管理的合法合規(guī)和管理的效率與效果，并齊心協(xié)力地應(yīng)對外部風(fēng)險，以保障企業(yè)合法、有效運行。企業(yè)風(fēng)險管理框架則是基于企業(yè)能夠接受的風(fēng)險，制定并實施企業(yè)戰(zhàn)略，實現(xiàn)價值增值和可持續(xù)發(fā)展。

二、內(nèi)部控制框架與風(fēng)險管理框架的比較及啟示

1. 風(fēng)險管理框架包括了內(nèi)部控制框架的內(nèi)容。

內(nèi)部控制框架首次頒布于1992 年，早于2004 年頒布的風(fēng)險管理框架。風(fēng)險管理框架（2004）明確指出：“內(nèi)部控制是企業(yè)風(fēng)險管理不可分割的一部分。這份企業(yè)風(fēng)險管理框架涵蓋了內(nèi)部控制，從而構(gòu)建了一個更強有力的概念和管理工具?！睂Ρ葍蓚€框架不難發(fā)現(xiàn)，風(fēng)險管理框架在原來三大目標(biāo)的基礎(chǔ)上加入了戰(zhàn)略目標(biāo)，八要素的內(nèi)容雖未超出內(nèi)部控制五要素的外延，但對原來的五要素進行了細(xì)化和深化。風(fēng)險管理框架將原內(nèi)部控制框架中風(fēng)險評估要素的四個構(gòu)成部分上升為四個要素并嵌入控制環(huán)境、控制活動、信息與溝通、監(jiān)督之中。風(fēng)險管理框架的內(nèi)容比內(nèi)部控制框架更豐富，其由風(fēng)險管理框架（2004）和與之配套的《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》構(gòu)成，而《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》對企業(yè)按八要素構(gòu)建風(fēng)險管理框架提出了具有可操作性的應(yīng)用指南。

內(nèi)部控制框架和風(fēng)險管理框架分別于2013 年和2017 年由COSO 進行了更新，這說明COSO 并沒有用風(fēng)險管理框架代替內(nèi)部控制框架之意。也就是說，盡管風(fēng)險管理框架涵蓋了內(nèi)部控制框架的內(nèi)容，但這兩者是不可相互替代的。內(nèi)部控制是企業(yè)風(fēng)險管理的重要組成部分，而企業(yè)風(fēng)險管理是公司治理的一部分，企業(yè)受托人通過風(fēng)險與收益的平衡制定并實現(xiàn)戰(zhàn)略與績效目標(biāo)是向委托人解脫受托責(zé)任的重要手段。內(nèi)部控制框架（2013）對內(nèi)部控制、企業(yè)風(fēng)險管理、公司治理三者的關(guān)系進行了明確的闡述，如圖1 所示?？梢?，不能用公司治理代替企業(yè)風(fēng)險管理，也不能用企業(yè)風(fēng)險管理取代內(nèi)部控制。

圖1 內(nèi)部控制、企業(yè)風(fēng)險管理、公司治理的關(guān)系

2. 內(nèi)部控制是外部監(jiān)管部門對企業(yè)的強制性要求。監(jiān)管機構(gòu)通過發(fā)布內(nèi)部控制規(guī)范和指引或借用專業(yè)機構(gòu)內(nèi)部控制框架等方式提出了對公司建立和維護內(nèi)部控制的要求，并要求董事會或類似機構(gòu)按相關(guān)規(guī)定對內(nèi)部控制的有效性進行年度評價、聘請外部審計機構(gòu)對內(nèi)部控制評價報告進行審計。英美國家雖然要求公司建立和運行內(nèi)部控制、評價并聘請外部機構(gòu)審計內(nèi)部控制，但政府相關(guān)部門并未頒布可供企業(yè)直接參照執(zhí)行的內(nèi)部控制法規(guī)，而是由非政府性職業(yè)組織發(fā)布內(nèi)部控制框架并由政府認(rèn)可。這類似于由政府相關(guān)機構(gòu)監(jiān)管會計信息質(zhì)量，但由民間機構(gòu)承擔(dān)發(fā)布會計準(zhǔn)則之責(zé)。COSO對其在內(nèi)部控制和風(fēng)險管理領(lǐng)域的職責(zé)定位有著明顯區(qū)別：成為全球內(nèi)部控制規(guī)則的權(quán)威機構(gòu)并為政府監(jiān)管提供內(nèi)部控制法規(guī)支持，同時成為全球風(fēng)險管理思想的引導(dǎo)者。這一定位傳出的信號是：無論是內(nèi)部控制還是風(fēng)險管理領(lǐng)域，COSO均致力于成為全球具有顯著影響力的機構(gòu)。因各國監(jiān)管當(dāng)局均對企業(yè)構(gòu)建、維護與評價、審計內(nèi)部控制有著強制性要求，COSO將努力滿足監(jiān)管機構(gòu)的要求；但風(fēng)險管理并非各國監(jiān)管當(dāng)局的強制性要求，而是企業(yè)基于戰(zhàn)略導(dǎo)向下風(fēng)險收益平衡的自我要求，COSO將為它們提供思想引領(lǐng)。事實也是如此，迄今為止，沒有哪個國家的監(jiān)管機構(gòu)頒布或借用專業(yè)機構(gòu)發(fā)布的風(fēng)險管理框架來規(guī)范企業(yè)的風(fēng)險管理行為，也不要求企業(yè)對風(fēng)險管理狀況進行評價和審計。

也許有人認(rèn)為，在內(nèi)部控制框架的三大目標(biāo)中，報告目標(biāo)和合規(guī)目標(biāo)無疑是外部監(jiān)管的強制性要求，但運營目標(biāo)（運營的效果和效率目標(biāo)，具體包括經(jīng)營和財務(wù)業(yè)績目標(biāo)）屬于公司戰(zhàn)略規(guī)劃的內(nèi)容，不屬于外部監(jiān)管部門對企業(yè)的強制性要求。事實上，內(nèi)部控制作為執(zhí)行系統(tǒng)，需要解決的是如何通過控制手段保障運營目標(biāo)實現(xiàn)，其并不包括目標(biāo)的制定，戰(zhàn)略決策和運營目標(biāo)的制定屬于風(fēng)險管理框架中的內(nèi)容。在兩權(quán)分離的情況下，公司向外部投資者和利益相關(guān)者公布運營目標(biāo)是公司義不容辭的責(zé)任。按我國現(xiàn)行法規(guī)的規(guī)定，上市公司需要向投資者報告企業(yè)戰(zhàn)略，通過發(fā)布盈利預(yù)測、與投資者溝通、發(fā)布業(yè)績等方式向外界報告運營目標(biāo)及其實現(xiàn)方式。例如，我國上市公司當(dāng)年的財務(wù)業(yè)績目標(biāo)和下一年度的財務(wù)業(yè)績目標(biāo)必須以財務(wù)決算報告和財務(wù)預(yù)算報告的方式向股東匯報并由股東大會審議和審批，當(dāng)年的運營目標(biāo)和下一年度的運營目標(biāo)必須在董事會年度報告中闡述并經(jīng)過股東大會審議和審批。

3. 內(nèi)部控制是風(fēng)險管理的基礎(chǔ)。比較內(nèi)部控制框架和風(fēng)險管理框架后不難發(fā)現(xiàn)，盡管風(fēng)險管理框架包含了內(nèi)部控制框架的內(nèi)容，內(nèi)部控制框架和風(fēng)險管理框架都將目標(biāo)定位于合規(guī)和績效兩個維度，但兩個框架的側(cè)重點是不同的，前者側(cè)重于合規(guī)維度的目標(biāo)，后者則側(cè)重于績效維度的目標(biāo)。

（1）風(fēng)險管理框架以內(nèi)部控制框架為支撐。從框架構(gòu)成來看，內(nèi)部控制框架由三目標(biāo)、五要素構(gòu)成，而風(fēng)險管理框架（2004）由四目標(biāo)、八要素構(gòu)成。風(fēng)險管理框架（2004）在內(nèi)部控制經(jīng)營、報告、合規(guī)三目標(biāo)的基礎(chǔ)上加上了戰(zhàn)略目標(biāo)，并指出：戰(zhàn)略目標(biāo)是“高層次目標(biāo)，與使命相關(guān)聯(lián)并支撐其使命”，“企業(yè)風(fēng)險管理技術(shù)被運用到制定戰(zhàn)略和目標(biāo)過程之中”。風(fēng)險管理框架（2004）八要素與內(nèi)部控制框架（2013）五要素相比，并無實質(zhì)性區(qū)別。風(fēng)險管理框架（2004）將內(nèi)部控制框架五要素中的風(fēng)險評估細(xì)分為目標(biāo)設(shè)定、事項識別、風(fēng)險評估和風(fēng)險應(yīng)對。兩個框架都認(rèn)為風(fēng)險來自內(nèi)部和外部兩大方面且存在于企業(yè)的各個層面，都注意到管理理念和風(fēng)險偏好對風(fēng)險應(yīng)對的影響，而且都強調(diào)風(fēng)險評估過程中必須分析沒有采取任何措施情況下的固有風(fēng)險和采取風(fēng)險應(yīng)對措施后的剩余風(fēng)險，并評價采取應(yīng)對措施后的剩余風(fēng)險是否超過風(fēng)險容忍度。兩個框架最核心的區(qū)別在于：風(fēng)險管理框架（2004）采用事項識別代替風(fēng)險識別，以此評估其對目標(biāo)實現(xiàn)的正面和負(fù)面影響，并引入風(fēng)險組合觀，以考慮風(fēng)險組合以及風(fēng)險與收益的組合所產(chǎn)生的復(fù)合風(fēng)險。為提高新框架對環(huán)境變化、商業(yè)模式變更、信息技術(shù)水平提升的適應(yīng)力，聚焦于戰(zhàn)略決策制定和企業(yè)績效提升，COSO 發(fā)布了風(fēng)險管理框架（2017），該框架由治理和文化、戰(zhàn)略和目標(biāo)設(shè)定、績效、審閱與修訂、信息溝通與報告五要素構(gòu)成，并通過原則指導(dǎo)框架要素在企業(yè)風(fēng)險管理中的運用。但COSO同時明確指出，內(nèi)部控制框架（2013）與風(fēng)險管理框架（2017）相互補充，內(nèi)部控制與風(fēng)險管理的共同性內(nèi)容不在新的風(fēng)險管理框架中進行重復(fù)規(guī)范。

（2）風(fēng)險管理框架的側(cè)重點在績效。風(fēng)險管理框架（2017）明確指出，風(fēng)險管理框架是管理框架而非控制框架。企業(yè)經(jīng)營的宗旨是在合理保證報告目標(biāo)和合規(guī)目標(biāo)的情況下，通過管控措施保障戰(zhàn)略的實施，努力實現(xiàn)運營目標(biāo)和財務(wù)業(yè)績目標(biāo)。內(nèi)部控制系統(tǒng)實施的前提條件是企業(yè)已有明確的戰(zhàn)略、運營目標(biāo)和財務(wù)業(yè)績目標(biāo)，但如何制定戰(zhàn)略、運營目標(biāo)和財務(wù)業(yè)績目標(biāo)不屬于內(nèi)部控制框架應(yīng)規(guī)范的內(nèi)容，因為如何制定與使命、愿景和核心價值觀相匹配的戰(zhàn)略、商業(yè)模式和業(yè)績目標(biāo)超越了外部監(jiān)管部門的監(jiān)管責(zé)任。從《企業(yè)風(fēng)險管理——應(yīng)用技術(shù)》中不難看出，風(fēng)險偏好、風(fēng)險容忍度、固有風(fēng)險、剩余風(fēng)險更多地被用于戰(zhàn)略選擇與戰(zhàn)略目標(biāo)制定。相較于風(fēng)險管理框架（2004），風(fēng)險管理框架（2017）凝練了風(fēng)險和價值之間的關(guān)聯(lián)性，認(rèn)為風(fēng)險是可能會發(fā)生的影響企業(yè)戰(zhàn)略和業(yè)務(wù)目標(biāo)實現(xiàn)能力的事件，并優(yōu)化了風(fēng)險偏好和風(fēng)險承受度的概念，在此基礎(chǔ)上強調(diào)制定戰(zhàn)略和提升績效過程中的風(fēng)險管控。該框架的側(cè)重點在于提升企業(yè)創(chuàng)造、保護和最終實現(xiàn)價值的能力。戰(zhàn)略和風(fēng)險之間的關(guān)系及其對整體績效的影響，是最新的COSO框架闡述的關(guān)鍵點之一。

三、夯實內(nèi)部控制，優(yōu)化風(fēng)險管理，助推企業(yè)可持續(xù)性發(fā)展

加強內(nèi)部控制是提升企業(yè)風(fēng)險管理水平的重要路徑。風(fēng)險管理框架涵蓋了內(nèi)部控制框架的全部內(nèi)容，是在內(nèi)部控制系統(tǒng)基礎(chǔ)上制定的。在風(fēng)險管理框架要素中，最核心的特色是在控制環(huán)境中建立風(fēng)險管理、風(fēng)險文化和風(fēng)險偏好，以及風(fēng)險評估中的事項識別和風(fēng)險組合觀，其他方面的要點與內(nèi)部控制框架基本上別無二致。對于內(nèi)部控制框架中闡述得十分清楚的內(nèi)容，風(fēng)險管理框架則基于與其銜接而采取簡單闡述的方法，甚至一筆帶過。風(fēng)險管理不能離開內(nèi)部控制系統(tǒng)而獨立運行，因此企業(yè)必須在夯實內(nèi)部控制系統(tǒng)的基礎(chǔ)上，將內(nèi)部控制系統(tǒng)的外延延伸到戰(zhàn)略和績效目標(biāo)，服務(wù)于企業(yè)的價值創(chuàng)造、價值保護和價值實現(xiàn)。內(nèi)部控制側(cè)重于企業(yè)的合規(guī)性，風(fēng)險管理側(cè)重于企業(yè)的效益性。在我國企業(yè)治理和管理實踐中，無論是合規(guī)性還是效益性，都存在著很大的提升空間。

1. 完善內(nèi)部控制系統(tǒng)，提升企業(yè)合法合規(guī)水平。內(nèi)部控制系統(tǒng)通過預(yù)防和及時發(fā)現(xiàn)不合規(guī)行為來為合法合規(guī)目標(biāo)的實現(xiàn)提供合理保證。合法合規(guī)體現(xiàn)為經(jīng)營管理合法合規(guī)和包括財務(wù)報告在內(nèi)的信息披露合法合規(guī)。隨著公司外部治理環(huán)境的優(yōu)化和內(nèi)部治理結(jié)構(gòu)的完善，企業(yè)合法合規(guī)程度理應(yīng)不斷提高，違規(guī)公司比例理應(yīng)不斷下降。但是，從2019～2021 年上市公司違規(guī)處罰的情況看（見表1），違規(guī)公司總體占比是不斷上升的；在當(dāng)年違規(guī)的上市公司中，信息披露違規(guī)（包括未及時披露公司重大信息、信息虛假信息或誤導(dǎo)性陳述）公司占違規(guī)公司總數(shù)的比例逐年上升，未履行其他職責(zé)而違規(guī)（包括收購中未按約定履行相關(guān)業(yè)績補償承諾導(dǎo)致公司支付大額資金收購資產(chǎn)后面臨重大虧損、未按規(guī)定授權(quán)審議擔(dān)保事項或投資事項、大股東非經(jīng)營性資金占用、融資融券中的違規(guī)行為、違反安全管理規(guī)定等）的公司所占比例則逐年下降；在因違規(guī)而受處罰的公司中，受到2次及以上處罰的公司占違規(guī)公司的比例基本上在三分之一左右。

表1 2019～2021年上市公司違規(guī)處罰情況

內(nèi)部控制為合法合規(guī)目標(biāo)的實現(xiàn)提供合理保證而非絕對保證，違規(guī)公司比例上升不能簡單歸咎于內(nèi)部控制質(zhì)量下降，導(dǎo)致違規(guī)公司比例上升的原因是內(nèi)部控制系統(tǒng)提升的程度趕不上控制環(huán)境變化的速度以及監(jiān)管部門合法合規(guī)要求的提升步伐。為保障企業(yè)在合法合規(guī)的軌道上持續(xù)發(fā)展，國家相關(guān)監(jiān)管部門通過法律法規(guī)的形式強制要求企業(yè)建立內(nèi)部控制系統(tǒng)，并進行內(nèi)部控制評價和審計。但是，這并不是說內(nèi)部控制只來自于企業(yè)外部的要求，企業(yè)因趨于外在壓力而建立內(nèi)部控制系統(tǒng)并進行內(nèi)部控制系統(tǒng)的評價和審計。內(nèi)部控制的構(gòu)建、維護、評價和審計是在當(dāng)前監(jiān)管方式和資本市場運作模式下企業(yè)可持續(xù)發(fā)展的內(nèi)在要求。企業(yè)內(nèi)部控制系統(tǒng)的維護和提升必須從以下兩個方面下功夫：

（1）隨控制環(huán)境的變化及時調(diào)整完善內(nèi)部控制系統(tǒng)?？刂骗h(huán)境變化主要體現(xiàn)在三個方面：一是法律法規(guī)變化，如新《證券法》的實施、退市新規(guī)、會計準(zhǔn)則變化等，法律法規(guī)的變化意味著合規(guī)標(biāo)準(zhǔn)的變化，海外經(jīng)營的公司還必須依據(jù)所有國法律法規(guī)的變化相應(yīng)調(diào)整自身內(nèi)部控制系統(tǒng)；二是商業(yè)模式變更導(dǎo)致企業(yè)與供應(yīng)商、銷貨方業(yè)務(wù)交往手段發(fā)生變化以及企業(yè)內(nèi)部授權(quán)、業(yè)務(wù)流程發(fā)生變化，這些變化要求內(nèi)部控制系統(tǒng)進行相應(yīng)調(diào)整；三是管理模式創(chuàng)新以及智能化地運用信息傳遞與反饋、分析與判斷模式導(dǎo)致風(fēng)險事項的類型、嚴(yán)重程度和應(yīng)對方式必須進行相應(yīng)調(diào)整。企業(yè)必須針對以上環(huán)境變化及時調(diào)整內(nèi)部控制系統(tǒng)，化解由此引發(fā)的風(fēng)險。

（2）充分利用內(nèi)部控制評價和審計成果完善內(nèi)部控制系統(tǒng)。內(nèi)部控制評價和審計是滿足外部監(jiān)管要求的手段，對企業(yè)而言，應(yīng)該將其作為完善自身內(nèi)部控制系統(tǒng)的良好契機。雖然已有統(tǒng)一的《企業(yè)內(nèi)部控制評價指引》，但企業(yè)間的內(nèi)部控制評價存在著很大差別。從內(nèi)部控制評價的實踐看，存在企業(yè)集團未按指引要求進行全面評價的情況，具體表現(xiàn)為以下兩點：一是部分企業(yè)采取企業(yè)集團統(tǒng)一評價和下屬企業(yè)自評相結(jié)合的做法，每年選出一小部分企業(yè)進行統(tǒng)一評價，但大部分下屬企業(yè)自行評價，且集團未給予適當(dāng)指導(dǎo)；二是部分企業(yè)簡單地下發(fā)內(nèi)部控制評價通知，并根據(jù)下屬企業(yè)提交的內(nèi)部控制自評報告匯總得出企業(yè)年度內(nèi)部控制評價報告。上述做法使企業(yè)失去了以評價促完善的契機。企業(yè)必須嚴(yán)格按照《企業(yè)內(nèi)部控制評價指引》及相關(guān)要求成立或指定內(nèi)部控制評價機構(gòu)，依照“制定評價工作方案—組成評價工作組—實施現(xiàn)場測試—認(rèn)定控制缺陷—匯總評價結(jié)果—編報評價報告”的流程進行內(nèi)部控制評價，并做出評價結(jié)論。上市公司還必須按《公開發(fā)行證券的公司信息披露編報規(guī)則第21號——年度內(nèi)部控制評價報告的一般規(guī)定》的要求進行內(nèi)部控制年度評價的信息披露。內(nèi)部控制年度評價結(jié)果為有效、內(nèi)部控制被出具標(biāo)準(zhǔn)無保留意見的審計報告并不表示企業(yè)的內(nèi)部控制系統(tǒng)不存在問題，企業(yè)應(yīng)該在審計與風(fēng)險委員會（或類似機構(gòu)）的指導(dǎo)下根據(jù)內(nèi)部控制評價過程中發(fā)現(xiàn)的重要缺陷、一般缺陷，以及會計師事務(wù)所提交的管理建議書中所列的問題、整改建議，提出相應(yīng)整改措施，并追蹤評估整改措施落實情況。

2. 按照內(nèi)部控制的要求健全戰(zhàn)略制定環(huán)節(jié)的風(fēng)險控制流程?；诩榷ǖ氖姑贫☉?zhàn)略目標(biāo)、選擇戰(zhàn)略路徑是風(fēng)險管理的重要內(nèi)容。風(fēng)險管理框架及與之配套的應(yīng)用技術(shù)十分重視戰(zhàn)略目標(biāo)和業(yè)績提升，對戰(zhàn)略目標(biāo)制定和業(yè)績提升過程中的固有風(fēng)險、剩余風(fēng)險、風(fēng)險偏好、風(fēng)險容忍度的度量進行了詳細(xì)論述并提供了詳細(xì)的技術(shù)指引。但是，風(fēng)險管理框架并未對戰(zhàn)略目標(biāo)制定和戰(zhàn)略制定過程中的風(fēng)險把控進行詳細(xì)闡述，企業(yè)戰(zhàn)略制定過程中的流程設(shè)計、權(quán)責(zé)劃分、信息溝通、決策機制需要在內(nèi)部控制系統(tǒng)中做出具有可操作性的規(guī)定，并將風(fēng)險管理的應(yīng)用技術(shù)嵌入戰(zhàn)略制定流程中。在此基礎(chǔ)上，修訂完善預(yù)算控制系統(tǒng)，準(zhǔn)確地用預(yù)算績效（目標(biāo)）指標(biāo)描述年度戰(zhàn)略目標(biāo)、用預(yù)算控制指標(biāo)表述風(fēng)險承受度，進而將戰(zhàn)略目標(biāo)轉(zhuǎn)化為預(yù)算績效指標(biāo)、戰(zhàn)略實施中的風(fēng)險承受度轉(zhuǎn)化為預(yù)算控制指標(biāo)，并通過建立預(yù)算評價指標(biāo)體系考核戰(zhàn)略實施效果[2]。

雖然COSO 基于戰(zhàn)略與績效的風(fēng)險管理系統(tǒng)對于建立戰(zhàn)略制定和實施中的風(fēng)險控制體系具有借鑒作用，但我國企業(yè)的中國特色決定了不能簡單照搬美國COSO的框架來構(gòu)建企業(yè)風(fēng)險管理體系。企業(yè)在戰(zhàn)略目標(biāo)和路徑的選擇中，必須充分考慮《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標(biāo)的建議》中提出的“堅持新發(fā)展理念，在質(zhì)量效益明顯提升的基礎(chǔ)上實現(xiàn)經(jīng)濟持續(xù)健康發(fā)展”的要求，以及企業(yè)所處產(chǎn)業(yè)鏈的業(yè)態(tài)特征和所處的國內(nèi)外環(huán)境；在戰(zhàn)略制定和實施的風(fēng)險控制體系中，必須按黨委“把方向、管大局、促落實”、董事會“定戰(zhàn)略、做決策、防風(fēng)險”、經(jīng)理層“謀經(jīng)營、抓落實、強管理”的要求細(xì)化風(fēng)險管控流程中的權(quán)責(zé)分派體系、不相容職務(wù)分離、分級授權(quán)、監(jiān)督與糾偏責(zé)任落實。

3. 將內(nèi)部控制與風(fēng)險管理嵌入數(shù)字化管理和智能化管理之中。盡管目前人工智能尚未被系統(tǒng)化應(yīng)用于企業(yè)經(jīng)營的所有方面和所有環(huán)節(jié)，但在某些領(lǐng)域或某些環(huán)節(jié)已得到較充分的運用。隨著機器學(xué)習(xí)模式從非深度學(xué)習(xí)模式向深度學(xué)習(xí)模式和強化學(xué)習(xí)模式演化，人工智能在企業(yè)中運用的深度和廣度將不斷提高。但是，人工智能在提高流程效率和改善現(xiàn)有產(chǎn)品和服務(wù)的同時，也會引發(fā)新的風(fēng)險，如網(wǎng)絡(luò)安全漏洞、AI 故障影響業(yè)務(wù)運營、未經(jīng)同意使用個人隱私資料產(chǎn)生惡劣后果、基于AI的建議做出錯誤決策等。因此，在企業(yè)運營與管理數(shù)字化和智能化成為發(fā)展趨勢的情況下，企業(yè)必須建立與數(shù)字化管理和智能化管理相匹配的內(nèi)部控制與風(fēng)險管理系統(tǒng)。應(yīng)針對AI模式、算法設(shè)計、網(wǎng)絡(luò)漏洞應(yīng)對，以及數(shù)據(jù)收集、數(shù)據(jù)訪問、數(shù)據(jù)使用、數(shù)據(jù)保留等方面評估合規(guī)風(fēng)險和可能引發(fā)的倫理道德問題（如承保方案設(shè)計、醫(yī)療診斷和治療方案等），判斷其是否與企業(yè)愿景、使命和核心價值觀相一致，在此基礎(chǔ)上建立基于AI的法規(guī)與道德規(guī)范體系、技術(shù)規(guī)范體系和監(jiān)控體系，實現(xiàn)內(nèi)部控制和風(fēng)險管理與數(shù)字化管理、智能化管理的深度整合。

【 主要參考文獻】

［1］閻達五，楊有紅.內(nèi)部控制框架的構(gòu)建［J］.會計研究，2001（2）：9 ～15.

［2］楊有紅.戰(zhàn)略引領(lǐng)預(yù)算的機理和實現(xiàn)方式［J］.北京工商大學(xué)學(xué)報（社會科學(xué)版），2020（3）：13 ～20.