摘 要：內(nèi)部控制與風險管理是推動企業(yè)高質(zhì)量發(fā)展，打造中國式現(xiàn)代化企業(yè)的重要基礎和核心領域。通過分析梳理二者理論淵源與內(nèi)在聯(lián)系，探索構(gòu)建符合現(xiàn)階段中國式發(fā)展的企業(yè)內(nèi)部控制與風險管理融合框架，探尋具有可操作性的實踐路徑，為有效提升企業(yè)經(jīng)營管理水平，推動企業(yè)高質(zhì)量發(fā)展提供參考借鑒。

關鍵詞：企業(yè)管理 內(nèi)部控制 風險管理 融合框架

中圖分類號：F270? 文獻標識碼：A

文章編號：1004-4914（2024）06-273-03

一、研究背景

近年來，隨著現(xiàn)代企業(yè)管理理論研究與實踐的不斷深入，內(nèi)部控制和風險管理成為西方發(fā)達國家企業(yè)管理體系中的重要基礎和核心領域。我國企業(yè)在借鑒運用二者理論時，遇到了邊界不清、重復投入、職能交叉、效果不佳等一系列實踐問題，企業(yè)不斷投入增加管理成本，但并未產(chǎn)出預期管理效果。因此，探索構(gòu)建符合現(xiàn)階段中國企業(yè)的內(nèi)部控制與風險管理融合框架，探尋具有較強可操作性的實踐路徑，對提高企業(yè)核心競爭力，推動企業(yè)高質(zhì)量發(fā)展具有重要意義，是全面建設社會主義現(xiàn)代化強國，推進中國式現(xiàn)代化的一項重要課題。

二、理論淵源與關系梳理

1992年，美國COSO委員會發(fā)布了全球聞名的《Internal Control-Integrated Framework（1992）》[1]，成為指導企業(yè)內(nèi)部控制理論和實踐的首部集大成者，是現(xiàn)代企業(yè)內(nèi)部控制最具有權威性的理論框架。該框架以控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督為五大管理要素，以運營管理、財務報告、合規(guī)性為三大管理目標，構(gòu)建了一套較為科學完整的企業(yè)內(nèi)部控制理論框架模型。時隔20年后，COSO對其第一版發(fā)布的具有國際影響力的內(nèi)部控制框架進行了更新，但是針對原有5要素的立方體框架沒有做根本性調(diào)整，只是對更新文件采用了國際通行的要素加原則的書寫方式，詳述了企業(yè)內(nèi)部控制的5個要素20個原則以及82個關注點。

2004年，美國COSO委員會發(fā)布了《Enterprise Risk Management-Integrated Framework》[2]，標志美國COSO委員會企業(yè)風險管理理論研究成果面世。該框架以內(nèi)部環(huán)境、目標設置、事件識別、風險評估、風險反映、控制活動、信息與溝通、監(jiān)督為管理要素，以戰(zhàn)略、經(jīng)營、報告、合規(guī)為管理目標。時隔13年后，COSO在2017年完成對風險管理框架的修訂工作，修訂版本的內(nèi)容主要是強調(diào)了風險和價值之間的關聯(lián)性，重新審視了企業(yè)風險管理整合框架所關注的焦點，增強了績效和企業(yè)風險管理工作的協(xié)同效應，明確了企業(yè)風險管理和內(nèi)部控制的關系，優(yōu)化了風險偏好和風險承受度的概念，但在實踐中，風險管理工作者使用2004年發(fā)行的風險管理相關工具和技術的仍占大多數(shù)。

1992年版內(nèi)部控制框架和2004年版風險管理框架在全球范圍內(nèi)獲得廣泛認可和實踐運用。但是，企業(yè)經(jīng)過實踐發(fā)現(xiàn)純粹從建立和維護一個健全、有效的內(nèi)部控制體系，不足以防范某些失敗案例的再次發(fā)生，導致失敗的有些因素已超出了內(nèi)部控制的范疇，而風險管理理論框架對于初創(chuàng)期或發(fā)展期的企業(yè)過于前衛(wèi)，缺乏業(yè)務支撐點和實施土壤。同時，我國大多數(shù)企業(yè)尤其是國有企業(yè)的質(zhì)量管理體系、安全管理體系、環(huán)保管理體系、預算管理體系、風險管理體系、內(nèi)部控制體系、審計監(jiān)察體系、合規(guī)管理體系層出不窮，整合各類體系的管理需求日趨緊迫。因此，通過內(nèi)部控制和風險管理的理論淵源和關系梳理可以看出，內(nèi)部控制和風險管理是兩個同宗同源、相互補充、取長補短的管理體系，兩者理論框架融合具有可能性，并且內(nèi)部控制作為一種經(jīng)歷時間考驗的企業(yè)管理體系，是企業(yè)風險管理工作的一個重要基礎和組成部分。

三、融合框架模型

從理論淵源的角度分析，美國COSO委員會首先研究發(fā)布企業(yè)內(nèi)部控制框架，經(jīng)歷12年后，研究頒布企業(yè)風險管理框架。內(nèi)部控制作為基礎理論框架，相較于風險管理理論框架，更具有基礎性和可塑性，更適合兩者融合框架的主體模型;從我國企業(yè)發(fā)展階段的角度分析，與西方發(fā)達國家企業(yè)相比，國內(nèi)大多數(shù)企業(yè)還處于低水平時期，距離科學化、精細化管理的現(xiàn)代企業(yè)還具有較大差距，風險管理理論框架對于企業(yè)管理水平和能力要求更高，內(nèi)部控制理論框架更加適應符合我國企業(yè)管理的實際情況;從企業(yè)管理需求的角度分析，近年來風險管理理論被提升到文化戰(zhàn)略、價值創(chuàng)造等層面，是一項更為高層次的企業(yè)管理需求，內(nèi)部控制相較于風險管理更加符合現(xiàn)階段我國企業(yè)的實際管理需求。

綜上所述，融合框架模型以內(nèi)部控制模型作為主體框架，融入風險管理模型的先進理念和管理要素，將目標設定和戰(zhàn)略視角融入管理要素和管理目標，構(gòu)建符合現(xiàn)階段我國企業(yè)的內(nèi)部控制與風險管理融合框架。融合框架以內(nèi)部環(huán)境、目標設定、風險評估、控制活動、信息與溝通、監(jiān)督活動為六大管理要素，以戰(zhàn)略、運營、報告、合規(guī)為四大管理目標。其中，目標設定和戰(zhàn)略管理是融合框架的重要內(nèi)容，對于探索構(gòu)建符合現(xiàn)階段中國企業(yè)內(nèi)部控制與風險管理融合框架，推動企業(yè)高質(zhì)量發(fā)展具有重要意義。目標設定主要表現(xiàn)為內(nèi)部控制和風險管理的目標預期，對于不同發(fā)展階段和類型的企業(yè)，需要結(jié)合自身內(nèi)部管理環(huán)境，結(jié)合企業(yè)自身實際設定內(nèi)部控制和風險管理的目標預期，從而更好地在企業(yè)內(nèi)部推動內(nèi)部控制和風險管理各項工作。戰(zhàn)略管理主要表現(xiàn)為內(nèi)部控制和風險管理要為以企業(yè)發(fā)展戰(zhàn)略服務為核心目標，根據(jù)不同時期企業(yè)的發(fā)展戰(zhàn)略或企業(yè)的戰(zhàn)略調(diào)整，相應調(diào)整內(nèi)部控制和風險管理的工作環(huán)節(jié)和流程，必要時可根據(jù)企業(yè)自身實際需要做出大范圍的結(jié)構(gòu)性調(diào)整。

四、實踐路徑

（一）內(nèi)部環(huán)境

內(nèi)部環(huán)境是企業(yè)實施有效內(nèi)部控制和風險管理的重要基礎和實施土壤[3]。絕大多數(shù)企業(yè)內(nèi)部控制和風險管理效果不好，主要原因就在于企業(yè)內(nèi)部環(huán)境較差。西方發(fā)達國家企業(yè)已經(jīng)歷上百年的發(fā)展歷程，積累了大量的企業(yè)管理經(jīng)驗，內(nèi)部控制和風險管理的管理環(huán)境已發(fā)展成熟，而中國企業(yè)隨著改革開放經(jīng)歷了幾十年跨越式高速發(fā)展，遺留下來不少企業(yè)管理方面的問題，尤其是企業(yè)內(nèi)部管理環(huán)境問題，已成為制約企業(yè)高質(zhì)量發(fā)展的重要阻礙。具體實施路徑如下：在企業(yè)組織架構(gòu)方面，從頂層設計層面將企業(yè)內(nèi)部控制和風險管理職能合并，是推動內(nèi)部控制和風險管理有效融合和貫徹實施的有效手段，如將企業(yè)董事會或類似決策機構(gòu)作為內(nèi)部控制和風險管理工作的主責機構(gòu)，其附屬職能管理機構(gòu)根據(jù)企業(yè)自身條件和實際情況聯(lián)合設置，并將內(nèi)部控制和風險管理工作作為董事會年度工作報告機制的重要部分，每年按法定程序提交股東（大）會審議通過;在企業(yè)文化建設方面，內(nèi)部控制和風險管理在本質(zhì)上是企業(yè)風險文化意識的體現(xiàn)[4]，將兩者融合集中形成一股新興文化加以宣傳培訓，不僅能夠有效提高企業(yè)管理資源配置效率，還能在一定程度上減輕企業(yè)職工的抵觸心理，跳出形式主義的工作怪圈，切實有效推進工作。

（二）目標設定

目標設定是風險管理框架中的先進理念和管理要素，在內(nèi)部控制框架中加入目標設定這一管理要素，更能滿足不同管理水平和發(fā)展階段企業(yè)的實際管理需求，對于探索構(gòu)建符合現(xiàn)階段中國企業(yè)內(nèi)部控制與風險管理融合框架，推動企業(yè)高質(zhì)量發(fā)展具有重要意義。具體實施路徑如下：對于初創(chuàng)期企業(yè)，應當適當降低內(nèi)部控制和風險管理目標閥值，在組織架構(gòu)設置、業(yè)務流程審批，內(nèi)部管理制度等方面的目標設定要結(jié)合自身實際，滿足基本管理需求;對于發(fā)展期企業(yè)，應當逐步提高內(nèi)部控制和風險管理目標閥值，妥善選擇風險偏好和風險承受度，增加風險評估的強度和頻率，梳理完善企業(yè)管理制度和業(yè)務流程;對于成熟期企業(yè)，應當全面提高內(nèi)部控制和風險管理目標閥值，進一步強化內(nèi)部流程監(jiān)督管理，審慎選擇風險管理策略，在必要的情況下選擇風險管理解決外包方案。

（三）風險評估

風險評估是內(nèi)部控制和風險管理框架中重合度最高的管理要素，實施風險評估的基本流程和工作環(huán)節(jié)基本一致。具體實施路徑如下：在對所收集的風險管理初始信息和企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行風險評估時，企業(yè)可在風險種類、風險原因、影響程度等方面制定統(tǒng)一標準，采用相同的風險評估方法，共用一套風險數(shù)據(jù)庫、風險事件清單[5];在具體組織開展風險評估時，可結(jié)合企業(yè)所處發(fā)展階段和具體經(jīng)營狀況，按照風險辨識、風險分析、風險評價三個基本流程，定期預測分析外部和內(nèi)部環(huán)境變化對企業(yè)造成的潛在風險，同時根據(jù)管理需求和能力，可對全部或部分重要業(yè)務流程開展風險評估。

（四）控制活動

控制活動是內(nèi)部控制框架最核心的管理要素，同時也是風險管理框架中風險控制的重要環(huán)節(jié)，在風險管理框架的風險管控措施中，基本上可以用到內(nèi)部控制活動的技巧和方法。具體實施路徑如下：企業(yè)可將控制活動分為預防性措施和檢查性措施，包括一系列手工控制和自動化控制，如授權、審批、驗證、調(diào)節(jié)、業(yè)績評價等，在制定各項工作流程中，將企業(yè)風險識別嵌入其中;職責分離是內(nèi)部控制中最基本的控制措施，在設計可行性研究與決策審批、決策審批與執(zhí)行、執(zhí)行與監(jiān)督檢查等崗位職責分離時，將風險管理策略方法貫穿于整個企業(yè)，遍及各個層級、業(yè)務單元和流程以及技術環(huán)境，尤其是企業(yè)在采購、銷售、投資管理、資金管理、工程項目、產(chǎn)權交易等重大業(yè)務領域的崗位職責權限，要與企業(yè)風險識別和管理措施相互銜接、相互融合。

（五）信息與溝通

對于內(nèi)部控制和風險管理框架而言，信息與溝通均是不可或缺的管理要素[6]。一方面，企業(yè)信息化水平在一定程度上能夠反映出企業(yè)發(fā)展水平，另一方面，企業(yè)信息與溝通是投資者與管理者、管理者與執(zhí)行者之間最重要的橋梁，關乎整個企業(yè)運行效率和發(fā)展。因此，打通企業(yè)內(nèi)部控制和風險管理之間的中間屏障，對于推動企業(yè)內(nèi)部控制和風險管理實現(xiàn)融合具有重要意義。具體實施路徑如下：信息化程度較低的企業(yè)，出于成本和效率考慮，應當在企業(yè)信息系統(tǒng)規(guī)劃時未雨綢繆，建立內(nèi)部控制和風險管理的一體化信息系統(tǒng);有一定信息化基礎的企業(yè)，內(nèi)部控制與風險管理牽頭部門要與業(yè)務部門、審計部門、信息化建設部門協(xié)同配合，推動企業(yè)在投資和項目管理、財務和資產(chǎn)、物資采購、人力資源等信息系統(tǒng)的集成應用，實現(xiàn)內(nèi)部控制和風險管理體系與業(yè)務信息系統(tǒng)互聯(lián)互通、有機融合;信息化基礎較好的企業(yè)，可探索利用大數(shù)據(jù)、云計算、人工智能等技術手段，實現(xiàn)內(nèi)部控制與風險管理體系實時監(jiān)測、自動預警、監(jiān)督評價等在線監(jiān)管功能。

（六）監(jiān)督活動

監(jiān)督活動是企業(yè)內(nèi)部控制和風險管理實現(xiàn)系統(tǒng)自我更新、形成閉環(huán)管理的重要步驟[7]。企業(yè)在組織開展內(nèi)部控制評價和重大風險動態(tài)監(jiān)測評估等工作時，可根據(jù)企業(yè)自身實際一并協(xié)同開展，具體實施路徑如下：企業(yè)首先應當明確內(nèi)部審計機構(gòu)（或經(jīng)授權的其他監(jiān)督機構(gòu)）及其他內(nèi)部機構(gòu)在監(jiān)督活動中的職責權限，將監(jiān)督活動分為日常監(jiān)督和專項監(jiān)督，不斷規(guī)范監(jiān)督的程序、方法和要求[8];企業(yè)在對內(nèi)部控制和風險管理的實施情況開展常規(guī)性和持續(xù)性的監(jiān)督檢查，將識別出來的風險點及時納入風險數(shù)據(jù)庫，在內(nèi)部控制年度評價報告中根據(jù)實際情況披露;企業(yè)在發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、經(jīng)營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制和風險管理的某一方面或者某些方面進行有針對性的監(jiān)督檢查，監(jiān)督的范圍和頻率應當根據(jù)風險評估結(jié)果以及日常監(jiān)督的有效性等予以確定。

五、結(jié)語

綜上所述，本文以西方發(fā)達國家企業(yè)管理理論和實踐經(jīng)驗為基礎，結(jié)合中國企業(yè)現(xiàn)階段發(fā)展的實際情況，以內(nèi)部控制模型框架作為主體框架，融入風險管理模型的先進理念和管理要素，構(gòu)建了一套符合現(xiàn)階段中國企業(yè)的內(nèi)部控制與風險管理融合框架，框架以內(nèi)部環(huán)境、目標設定、風險評估、控制活動、信息與溝通、監(jiān)督活動為六項管理要素，以戰(zhàn)略、運營、報告、合規(guī)為四項管理目標，突出強調(diào)目標設定和戰(zhàn)略管理在融合框架中的地位和作用，在六項管理要素中探尋具有可操作性的實踐路徑，為有效提高企業(yè)經(jīng)營管理水平和切實增強企業(yè)核心競爭力提供參考借鑒。

參考文獻：

[1] Commission C . Internal control-integrated framework[M]. Committee of Sponsoring Organizations of the Treadway Commission， 1994.

[2] Commission C . Enterprise Risk Management-Integrated Framework[M]. Committee of Sponsoring Organizations of the Treadway Commission， 2004.

[3] 李迎春.企業(yè)內(nèi)部控制現(xiàn)狀及完善對策探討[J].企業(yè)改革與管理，2022（18）：3.

[4] 李莉.論企業(yè)內(nèi)部控制的風險管理機制[J].企業(yè)經(jīng)濟，2012（03）：4.

[5] 李維安，戴文濤.公司治理、內(nèi)部控制、風險管理的關系框架——基于戰(zhàn)略管理視角[J].審計與經(jīng)濟研究，2013（4）：10.

[6] 黃華.企業(yè)風險承擔與內(nèi)部控制：從“靈丹妙藥”到“機會主義”[J].經(jīng)濟與管理研究，2019，40（07）：12.

[7] 蘆雅婷，田雨緋.內(nèi)部控制影響國有企業(yè)競爭優(yōu)勢的中介效應研究[J].企業(yè)經(jīng)濟，2022，41（02）：11.

[8] 梁黨育.風險管理視角下的國有企業(yè)內(nèi)部控制探究[J].財會學習，2019（24）：2.

[作者簡介：何松霖，貴州鐵路投資集團有限責任公司法律合規(guī)部高級職員，經(jīng)濟師，碩士研究生，研究方向：工商管理。]

（責編：賈偉）