文/李秋娟

?

試論企業(yè)內(nèi)部控制與風險管理

文/李秋娟

摘要：信息化的社會發(fā)展趨勢使得企業(yè)對于內(nèi)部控制的關注重心轉(zhuǎn)向信息化以及時效性，尤其是企業(yè)風險管理已經(jīng)提升到企業(yè)戰(zhàn)略高度，對于企業(yè)的發(fā)展和生存起著決定性的影響。但企業(yè)的內(nèi)部控制與風險管理既有聯(lián)系又有區(qū)別，不能簡單地在他們之間畫上等號。本文將就兩者之間的關系和兩者在企業(yè)中的應用展開分析和論述，并提出相應的完善策略，以期能為我國企業(yè)內(nèi)部控制與風險管理提供更多的理論參考。

關鍵詞：內(nèi)部控制；風險管理

1992年由美國COSO委員會頒布的《內(nèi)部控制——整體框架》中首次提出內(nèi)部控制和風險管理共同作用于交易發(fā)生的過程，進而影響到整個財務管理過程，這標志著企業(yè)內(nèi)部控制和風險管理之間的關聯(lián)性開始正式受到關注。隨著經(jīng)濟的發(fā)展，企業(yè)內(nèi)部控制和風險管理的聯(lián)系不斷加強，隨后基于內(nèi)部控制理論而出臺的新COSO框架下又進一步明確界定了兩者的共同性，這意味著國外內(nèi)部控制正在向企業(yè)風險管理階段轉(zhuǎn)變。雖然我國企業(yè)風險管理導向的內(nèi)部控制現(xiàn)狀很大程度上仍存在不足，但風險管理導向型的內(nèi)部控制發(fā)展趨勢是必然的。

一、企業(yè)內(nèi)部控制與風險管理的內(nèi)涵

企業(yè)內(nèi)部控制的主要目標包括對風險的管理、預防、控制等，是一種基于企業(yè)的專業(yè)管理制度和策略并利用全方位多層次的監(jiān)管模式，通過確立核心控制點、過程監(jiān)控、流程監(jiān)管等不同方式來對企業(yè)生產(chǎn)經(jīng)營各個環(huán)節(jié)的業(yè)務展開多視角的標準式的管理模式。一方面，企業(yè)內(nèi)部控制的重要功能包括確立風險管理的下屬系統(tǒng)：另一方面，企業(yè)內(nèi)部管控也是全面風險管理的重點，屬于全面落實企業(yè)風險管理在的關鍵環(huán)節(jié)。企業(yè)內(nèi)部控制的具體工作內(nèi)容主要包括對企業(yè)以下的內(nèi)部環(huán)境實施專業(yè)的分層監(jiān)控：設置內(nèi)部管控機構(gòu)、內(nèi)部審計、企業(yè)文化、人力資源管理以及企業(yè)的治理模式和社會責任等。與企業(yè)風險評估比較而言，企業(yè)的內(nèi)部控制方式要求進一步保證確立目標的合理性，結(jié)合企業(yè)的風險評估的過程和結(jié)論，明確界定企業(yè)監(jiān)管的內(nèi)部承受范圍，進而制定相關的管理措施。

企業(yè)風險管理的過程主要存在于企業(yè)的董事會以及其他具有管理權(quán)限的人員聯(lián)合制定企業(yè)目標的環(huán)節(jié)，按照戰(zhàn)略標準以及由該標準衍生的其他方面開展的管理模式。企業(yè)風險管理為了確保能順利實現(xiàn)企業(yè)的整體目標，主要致力于鑒別和評估各種相關的潛在風險或基于企業(yè)的管理現(xiàn)狀來分析可能存在風險，并及時規(guī)避或治理不利于企業(yè)實現(xiàn)共同目標進程的風險。此外風險作為企業(yè)管控過程的主要對象，信息是否準確在很大程度上對企業(yè)的進行風險評估產(chǎn)生影響，這也在一定程度上決定了企業(yè)的內(nèi)部控制要十分重視內(nèi)部信息疏導工作，確保企業(yè)各方面信息的有效傳遞以及信息傳播的及時性和穩(wěn)定性。在企業(yè)的內(nèi)部管理和監(jiān)控過程中，風險評估和管控同樣也應結(jié)合企業(yè)的實際，從日常監(jiān)督和專項檢查兩個方面出發(fā)，制定相關的內(nèi)部監(jiān)督措施。若在企業(yè)的決策、措施等環(huán)節(jié)發(fā)現(xiàn)內(nèi)部控制缺陷以及在風險評估部分發(fā)現(xiàn)可能存在引發(fā)企業(yè)內(nèi)部控制過程中的風險質(zhì)變或量變等危險的因素，必須在核查過程中及時處理和改進。

二、企業(yè)內(nèi)部控制與風險管理的內(nèi)部結(jié)構(gòu)

(一)企業(yè)的目標是其發(fā)展的根源所在，為其提供了足夠的動力，但另一方面也是導致企業(yè)風險產(chǎn)生的主要原因。企業(yè)目標主要通過以下機制造成相關的企業(yè)風險：首先，目標在人的主觀能動性與客觀環(huán)境之間存在一定的矛盾，在企業(yè)的運作中，人的主觀能動性與客觀活動之間的矛盾有可能上升為不確定因素，這會導致風險發(fā)生。此外目標的建立往往基于較高層次標準，由于企業(yè)發(fā)展的高度結(jié)構(gòu)化趨勢的影響，任何子目標的實現(xiàn)都依賴于其附屬目標的發(fā)展，這要求在子目標之間展開具有重疊性和排斥性的模式化排列，所以排列中的任意關聯(lián)間隙都有可能產(chǎn)生風險因素。最后在企業(yè)的內(nèi)外部不同目標依據(jù)彼此的重要程度進行補充時在融合時存在安全方面的隱患，由此造成的融合間隙極易引發(fā)風險性現(xiàn)象。

(二)制定企業(yè)目標是基于企業(yè)的發(fā)展要求，企業(yè)內(nèi)部控制與風險管理之間的關聯(lián)性也產(chǎn)生于企業(yè)目標的實現(xiàn)過程中。因此影響內(nèi)部控制管理中出現(xiàn)各類風險的重要因素如下：企業(yè)的內(nèi)部管理活動的加強，致力于統(tǒng)一企業(yè)的多樣化發(fā)展目標，在企業(yè)發(fā)展過程中的各類風險相應的維持在企業(yè)可監(jiān)管的水平。

三、企業(yè)內(nèi)部控制與風險識別的劃分

(一) 企業(yè)內(nèi)部控制和風險識別具有的整體反復性。風險辨識的內(nèi)容主要包括目標暗示風險和明示風險。因此企業(yè)應該意識到風險辨識不是簡單的一次性工作，需要與規(guī)劃進行結(jié)合多次重復修正，同時風險辨識的要求應具體分析，不能受到任何以往的經(jīng)驗思維和模式化思維。從企業(yè)發(fā)展的內(nèi)部因素來看，一定的誘因交疊會使得企業(yè)內(nèi)部控制出現(xiàn)新的要求。但企業(yè)的外部因素決定了企業(yè)內(nèi)部控制和風險的整體原則，主要的因素包括突發(fā)的自然災害、新政策的改革、統(tǒng)一的業(yè)內(nèi)應急模式和措施、變動的顧客需要、科技的進步等。此外原材料價格升高直接影響企業(yè)經(jīng)營理念和戰(zhàn)略的轉(zhuǎn)變，市場的價格不穩(wěn)定是造成市場風險度整體性上升的主要原因。在風險的整體性識別中，企業(yè)內(nèi)部的層次性是引發(fā)企業(yè)風險的主要因素，對于風險的整體性梳理過程中的層次性風險問題，應在合并同類項后開展整體性的控制和治理。

(二)企業(yè)不僅應正確識別和分析導致風險的不同因素，還應辨別來自內(nèi)部控制各階段不同層次的風險，以及由層次性運轉(zhuǎn)衍生的不同類型的風險，主要包括生產(chǎn)、技術、營銷各環(huán)節(jié)的風險，研發(fā)過程引發(fā)的風險，以及由于職能部門和研究目標所在的運作單位中人為或者非人為因素

下接(第196頁)