企业内部控制和风险管理研究

湘潭大学商学院 徐恒

企业内部控制和风险管理研究

湘潭大学商学院 徐恒

内部控制作为一种重要的管理方法，是上世纪50年代后随着经济的发展和管理科学的发展而建立起来的。对于它的内容和定义还没有完善，而是随着管理技术等因素的不断进步而日益丰富。1992年COSO委员会发布了COSO框架(简称IC—IF框架)，该框架发布后就得到了广泛的运用。对于企业的风险防治，财务舞弊的减少，内部控制是最为有效的方法。我国于2008年7月1日由财政部等5个部门联合发布的《企业内部控制基本规范》实施，作为我国第一部内部控制的规模要求，它适时地满足了我国企业内部控制建设的和防范风险的要求。

内部控制 风险管理

1 COSO内部控制和风险管理概述

1.1 COSO内部控制简述

1992年美国的资助组织委员会(COSO)发布了COSO报告《内部控制——整体框架》，这一报告发布后就成为指导内部控制在商业生活中运用的纲领文件。

COSO报告中将控制环境、风险评估、控制活动、信息与沟通和和监控这五个因素作为内部控制的完整框架。COSO认为：为了实现经营效率、提高财务真实性，法律规则有效性，内部控制是有效的方法，它需要企业中的各个阶层的人员积极的参与，包括董事会成员、管理者和其他员工。内部控制不断的完善着，随着企业管理技术的进步，管理制度的完善，内部控制的理也不断的得到丰富。

1.2 风险管理理论的发展及其内涵

企业风险管理是由企业各个参与者共同在企业的各个经营活动中实施的，为了防范企业经营过程中可能存在的各种潜在的风险，根据企业的风险管理偏好，为企业提供有力的支持。企业风险管理是内部控制的一种扩展，要想企业的风险管理做的完善，必须先建立一个独立的不受干扰的风险管理机构。内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控是企业风险管理的八个关联因素。

2 内部控制在企业风险管理中的职能或作用

2.1 风险管理系统的组成部分

(1)内控系统：为了实现经营效率、提高财务真实性，法律规则有效性，内部控制是有效的方法，它需要企业中的各个阶层的人员积极的参与，包括董事会成员、管理者和其他员工。

(2)监督协调系统：指通过监督和协调促使实现企业目标，使企业有更高的适应能力，以及反应能力。监督的任务在风险管理系统中是以风险为方向实施的。

(3)风险预警系统：为了使企业所有者能及时的发现各种风险，并对可能造成的影响做到充分的了解。风险预警系统需要在内控系统和监督协调系统作为基础。

风险管理系统的这几个组成部分是一个有机的整体，并不能完全清晰地划分其界限。比如监督是预警的承担者，同时也执行着内控的任务。另外，检验监督的功能又是内控的组成要件内部审计的任务，反过来，监督在发现重大的偏差时会促使内部审计去执行特殊审查。内部审计此外还担负着审查整个风险管理系统组成要件是否齐备，其功能是否正常的任务，但同时它自己本身又是风险管理系统的组成部分之一，因此在风险管理系统中，内控起着至关重要的作用。

2.2 内部控制的两大功能

内部控制和风险管理的功能最主要的就是预防风险和对已发生事件的纠错。预防功能指的是通过控制和检查措施去防止偏差的发生；纠错功能主要指通过检验去确定风险管理系统各项措施的功能是否正常，并且在必要时给予纠正。

风险管理过程中，内部控制起着不可替代的作用，因为风险管理必须被监控。

一方面，内部控制可以发现企业风险发生的源泉，并检验企业是否具有完善的风险管理系统，并且能能完整的、持续的记录风险管理的整个过程。越来越多的企业加强了自身的内部控制，同时外部环境的变化以及企业发展的条件也促使企业对内部控制的重视。风险管理系统在内部控制的促使下，成为了一个保证风险管理系统与环境变化相适应的动态系统。

另一方面，内部控制系统可以提高风险管理的效率，因为它可以持续的检查保证风险管理系统。独立的内部审计通过检查风险管理的过程中是否按照规定的要求进行执行，来检测风险管理是否具有高效率。

3 目前我国企业风险管理中存在的问题

近些年来，国内企业发生了很多产品问题，企业信誉问题，这些问题往往就是因为企业没有建立好企业内部控制系统，以及失败的风险管理。据德勤会计师事务的调查，对于建设企业内部控制体系，我国的上市公司大多表示了愿意或是渴望建设，然而只有不到五成的企业建立了企业的内部控制体系，其他企业在建设内部控制系统时，或是有各种实施障碍，或是没有内部控制意识。可见在我国大部分企业并没有建立起内部控制系统和风险管理体系，因此就没有有效的监督考核机制，这就导致我国企业会出现众多的问题。

3.1 公司治理结构存在缺陷

为了实现经营效率、提高财务真实性，法律规则有效性，内部控制是有效的方法，它需要企业中的各个阶层的人员积极的参与，包括董事会成员、管理者和其他员工。从中可以看出内部控制其实质就权力与责任的配置是否得到有效地分配。由于在我国众多公司的董事长和总经理由一人兼任，这就导致企业的股东大会、董事会、监事会的权力被架空，无法对企业进行监督和建议，企业往往有“独裁者”一人独自制定或变更经营战略。公司治理结构的这些缺陷导致企业出现管理问题就不足为奇，另一方面这也为高管人员以权谋私提供了更有利的条件。

3.2 风险管理机制不健全

当企业发生突发的事件，如果企业建立了并加以贯彻实行了一套有效的风险管理机制，也就做好了防御风险的准备，也就能从容的应对各种风险。但是在现实的商业生活中，却是很少有企业能够从更高的视角，更科学的高度来建设企业的风险管理体系，因此企业的可持续发展得不到保证，企业对风险的预测能力、预防能力、控制能力得不到增强，同时，当风险发生后企业的应对能力、转化能力也得不到提高。虽然在少数企业中建立了风险管理机制，但是仅仅是一种形式存在着，根本不具有任何的效用，如没有监督，导致规章制度得不到实行，使企业风险管理机制形同虚设。

3.3 内部控制活动中方法和内容存在缺陷

在国内一些企业中虽然建立内部控制体系，但是还是一种较传统的内部控制理论，它没有将人、财、物三大要素有机的结合起来，而是更多的关注了财和物的管理。或是在设计和实施内控机制时没有将约束和激励有效的结合起来，而是对于人的行为设定一般化而且局限于对人的约束。企业拥有了健全的内部控制体系，就有了完善的风险管理基础，企业就拥有了管理和控制企业风险的最为简单有效的方法，企业就可以减少对风险建设的投资。

3.4 对风险管理的各种技术方法运用水平差

健全的内部控制和风险管理体系的实施，需要一定的技术支持，虽然我国从国外引进了先进的管理技术，更新了管理软件等方式来提高我国企业自身的管理风险水平和内部控制的有效性，但是我国由于专业的人才缺失，导致企业引进的先进的管理技术并没有得到充分利用，对风险管理的技术方法运用水平差。

4 完善企业内部控制，强化风险管理的建议或对策

4.1 构建严密的风险管理组织框架

企业风险管理的有效实施，需要企业各个参与者共同在企业的各个经营活动中实施的，为了防范企业经营过程中可能存在的各种潜在的风险，根据企业的风险管理偏好，为企业提供有力的支持。因此企业应建立烟密度风险管理组织架构。

首先，应更加严格规范信息披露制度，防范潜在的信用风险；其次，加强对关联交易和对外担保的管理和规范，以减少经济违规案件的发生；再次，加强企业各个部门的联系，尤其是审计部门的作用应进一步提高，各部门的积极参与可以加强对风险防范和监督，这也就使得企业的抗风险能力得到了提升。

4.2 创建有效的内部控制系统

在现实的商业生活中，企业内部控制是风险管理的基础，这也就说明了两者是密不可分的。企业应选择不同的内部控制模式，以满足不同的根企业经营目标和可能面临的风险。因此，企业要建立健全的风险管理体系就必须创建有效的内部控制系统。企业应该将企业运营过程中的各个环节分配给不同的员工，通过职位分工细化，明确每个员工的权利与责任。使企业的正常运营形成一个高效的内部控制网路。

在这个内部控制网中，信息系统至关重要，必须加强对信息的控制，要满足信息的真实性、及时性以及保密性工作。同时更要注意信息的在企业内部的有效流通，防治出现信息断带的出现。因此企业要定期的对信息系统进行检查和分析，为企业有效的内部控制系统提高优质的信息保证。

4.3 完善与提升风险控制体系

(1)内部审计部门的监督职能应得到充分的发挥。内部审计在防范企业风险时所起到的作用是其他部门无法替代的。内部审计部门可以更加客观地对企业的风险进行监控。这里需要强调的是必须加强其独立性和应有的权威性。内部审计部门的独立性是内部审计部门实现其职能的最基本的要求，因此必须保证内部审计部门的独立性。

(2)提升企业应变能力。内部控制自身并不是万能的，并不是所有的风险都能得到有效的发现和控制。所以，企业必须不断的提升自身的应变能力和转变能力，以应对突发的风险。因此，建立一套完善的应急措施，成为企业必须考虑的问题，以便企业可以更好地应对各种潜在的或是已发生的风险。

4.4 使用和培养高素质人才

专业的人才是企业的风险管理得以有效实现的关键。因此，企业应加强对相关人才的培养和引进。首先，可以和高校建立合作，通过高校培养专业的人才；其次，可以引进世界优秀企业的专业人才；再次，应该提高重要部门的员工的招聘条件，提升员工的教育水平；最后，应增加企业对员工的培训，提高人才的技术水平。同时，企业应该提高企业员工对企业的忠诚度，防止高素质人才的流失。

风险管理内控体系完善的建立，不是原本的企业制度的否认。而在已有的内部控制体系的基础上，根据企业外部环境的改变，依据企业自身发展的优势和劣势进行完善和提高。在内部控制体系的设计上，必须进行科学地分析各个控制点的设立，保证整个建设过程平稳积极，不断的提升公司的治理水平。

此外，内控体系必须取得公司董事会、管理层等各方面的理解和支持，取得思想统一，这不仅需要公司高层领导高度重视，而且更要在公司内部充分宣传。

[1] 刘金文.论相关理论对内部控制研究的启发与影响[N].财务与会计,2009.

[2] 魏良华,邓彦,李华军.企业内部控制规范建设探微[M].财会月刊,2009.

[3] 陈国辉,耿慧敏.浅析内部审计与风险管理[J].财务与会计,2009(03).

[4] 李天.内部控制与财务管理在风险防范中的异曲同工[J].会计之友,2007(7).

[5] 孙立新.关于加强上市公司内部控制制度建设的几点建议[J].商场现代化,2007(02).

F272

A

1005-5800(2012)08(a)-124-02