内部控制视角下风险管理构建

无锡商业职业技术学院 董丽丽

内部控制视角下风险管理构建

无锡商业职业技术学院 董丽丽

一、内部控制与风险管理理论发展

（一）内部控制理论发展历程 内部控制理论发展经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段。内部牵制阶段主要内容是账目间的核对，设定岗位分离是内控的主要方式；内部控制制度阶段重点是建立健全规章制度；内部控制结构阶段认为内部控制是为合理保证企业特定目标的实现而建立的各种政策和程序，包括控制环境，会计制度和控制程序三个方面；内部控制整体框架阶段以1992年美国COSO委员会提出的《内部控制——整体框架》报告为标志。COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程；内部控制是由控制环境，风险评估，控制活动，信息与沟通，监控五要素组成。COSO认为，内部控制应建立在风险管理的基础上，因此该委员会又扩展了内部控制的框架，在2004年形成了《企业风险管理——总体框架》。风险管理是一个过程，在企业范围内由董事会、管理层以及其他人员执行，用于企业的战略制定，用来识别可能对企业造成影响的潜在事项，并将其风险控制在企业可接受的范围内，为企业目标的实现提供合理的保证。可见内部控制是风险管理的一部分。

（二）内部控制建设的发展 我国的内部控制建设是一个不断的发展过程。从上个世纪80年代开始，内部控制逐渐被我国企业和理论界所关注。在2008年6月我国财政部等五部委发布了《企业内部控制基本规范》，标志着中国企业内部控制规范体系建设取得重大突破。规范中明确内部控制的概念，指企业为了实现其经营目标，保护资产的安全完整。保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。

二、企业内部控制与风险管理现状

（一）内部会计控制缺陷 按国家规定、财务制度要求该建账的没有建，有的虽已建账但账目不清；账外设账，私设小金库或做假账；随意核销费用，任意减少利润或增加亏损；企业岗位设置没有互相牵制，业务经办人、财会人员利用职务之便大量收受贿赂、占用单位资产，挪用公款；为了掩盖真实的财务状况和经营成果，任意伪造和变造虚假的会计凭证；业务费用的开支范围没有严格规定，处于失控状态等。

（二）内部管理控制缺陷 公司治理结构不健全，董事长、总经理一人兼任；单位负责人对重大事项决策、审批实行一支笔。内部控制制度说一套，做一套，制度放空炮；制度设计“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互矛盾。单位负责人违法干预会计工作，致使核算不实造成信息失真现象较为严重；有的职能部门形同虚设，多数企业的内部审计未能发挥真正的监督作用。企业管理混乱等。

（三）缺乏合理规避风险意识 对现代企业而言，风险是某种不利因素产生并造成实际损失致使企业目标无法实现或降低实现目标的效率的可能性。内部控制是一个系统，一旦某个细节出现一个或一个以上的风险点，企业内部控制环境就存在缺陷，继而危及企业整体发展。

三、内部控制下风险管理构建

（一）内部控制下风险管理构建原则 具体如下：

（1）注重成本效益原则。企业规模不同应适当选择内控制度。《企业内部控制基本规范》自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。最严格、最规范的内部控制可以最大可能性的确保经营管理目标的实现，有的企业全搬照抄所谓知名企业内控模式将给企业造成额外的负担，内控也不能达到理想的效果。如果适当的内部控制就可以实现企业经营目标，如较少的控制环节，或者较少部门、人员，则更具有管理效率。另外，企业类型不同应适当选择内控制度。企业类型不同，风险表现往往不同。其内控的关键控制点与风险要具有针对性。

（2）注重风险与效率的协调。首先明确内部控制不会影响效率。对一些大企业而言，一项业务流程常常会需要多个部门审核批准。这会产生控制过多影响业务发展的错误认识，因此认为企业应当优先考虑业务开展，而不应过多地设置内部控制。美国上市公司的财务数据经统计表明，内部控制在刚建设的几年内，的确会影响企业的利润增长；但是过渡期结束，内部控制对企业利润增长的贡献是一个正向的促进作用。其次，控制并非越多越好，要体现重要性原则。我们应该在风险评估基础上，进行风险分析，识别企业内控缺陷和关键控制点，对重大内控缺陷予以重点控制，而对非重大缺陷则酌情取舍；关键控制点予以重点控制，而对非关键控制或不必要控制点，避免眉毛胡子一把抓。充分体现重要性原则。通过建立健全科学、系统的内部控制体系，可以起到优化流程、提高经营效率的作用。

表1 IPO公司盈余管理水平的描述性统计

（3）注重内部控制与风险的适应性。随着风险的变化，内部控制也必然随之发生变化。风险的存在不仅要求与之相适应的内部控制，风险的变化同时也要求内部控制变化。简单来说，企业在创业时期，更关注资金筹集，供应商渠道，客户关系，货款收回等方面，因此企业在建立内部控制时，特别重视对经营风险的关键控制。对于发展中处于转型时期的企业来说，该企业往往有一定的内控基础，但在转型时期可能面临着业绩高速成长，人员迅速扩充，已建立的规章制度过时，经常性涉及组织结构及人员调整等情况。这类企业面临着比创业时期更大的风险，应当审视现有的规章制度和业务流程，废止已经过时失效的内控制度，制定新的内部控制，确立新的关键控制点，应对新的风险。

（二）内部控制中风险应对 企业管理层应充分考虑影响企业战略目标实现的内外部因素，通过分析各种风险提供管理风险应对措施。企业应根据规模大小设置风险管理部门或具有风险管理职能部门，并建立流程以识别企业的外部风险和内部风险，明确风险的表现形式，根据内部控制建立和实施的原则合理采取控制措施应对风险。本文结合基本规范与BRM风险分析，考虑如表1。

此外，企业经济活动的多元化发展，使经济业务突破了传统的会计核算形式。会计部门应建立流程适应会计准则的重大变化。当企业业务操作发生变化并影响交易记录的流程时，会计部门应通知风险管理部门，并召开会议进行讨论。会计部门应学习新准则法规以识别其重大变化；及时参加后续教育跟进会计准则的最新进展。

［1］肖湘子：《论公司治理结构下的内部控制》，《财经界》2009年第8期。

（编辑 向玉章）