基于风险管理的企业内部控制研究

李 军

(黑龙江省高速公路建设局，黑龙江 哈尔滨 150030)

基于风险管理的企业内部控制研究

李 军

(黑龙江省高速公路建设局，黑龙江 哈尔滨 150030)

内部控制理论的发展经历三个阶段，分别是内部牵制时期、审计导向时期和风险管理时期。风险管理与内部控制体系整合的过程中，由于没有权威统一的指导性文件，导致学者们在此问题上存在诸多争论。通过对COSO委员会发布的《企业风险管理——整体框架》报告进行再解析，结合企业内部控制现状，在风险管理的概念框架下重新整合企业的内部控制体系。重点整合企业治理机制、组织目标层级和信息共享控制系统，有效解决内部控制体系存在的问题。

内部控制;风险管理;整合框架

企业作为一个经济契约组织，各种契约的订立与达成是实现预计战略目标的过程。契约的安排隐含大量的不确定性，这种不确定性常被表述为风险与机会，内部控制的核心就是将各类不确定因素产生的结果控制在预期可接受范围内，以确保企业战略目标的达成和组织整体利益的实现。

1 内部控制理论的历史演进及评述

内部控制理论的历史演进是另一个角度的现代企业管理制度的发展，其理论一直随着时代的渐进而不断完善，同时反映了实务的要求和各时代企业管理的特征。近代内部控制理论起源于美国，现代企业内部控制是从工业革命和工厂制度产生后才出现的，经历了三个发展时期。

1.1 内部控制的内部牵制时期

19世纪中期至20世纪30年代是内部控制的萌芽时期，当时内部控制这一术语并未明确提出，内部牵制是企业管理的核心内容，此时的内部牵制思想是较为原始的内部控制理论。此阶段的内部牵制是指“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计”，其本质是内部控制中控制活动要素的体现。早期的内部控制雏形是在第二次工业革命的时代背景下，产业分工和现代公司制度的企业对管理的需要推动了内部牵制理论的发展，这一时期的企业管理注重控制职能的作用。

1.2 内部控制的审计导向时期

20世纪40年代至80年代是内部控制的审计导向时期，这一时期美国注册会计师协会发布了4个关于“内部控制”的报告文件，为内部控制理论的发展打下了基础，如表1所示。

表1 内部控制报告文件

这一时期主要是审计行业在推动企业内部控制理论的发展，注册会计师们发现企业建立完善的内部控制体系能够较为有效地防止财务舞弊，并提高审计的效率和有效性。这样的审计导向促使企业把本应是内部管理需求的内部控制变成了外部监管者加诸在企业上的一项监管技术。

1.3 内部控制的风险管理时期

20世纪90年代至今是内部控制的风险管理时期，这一时期的内部控制开始关注企业内部的管理者、所有者及其他利益相关者。该时期的内部控制理论发展以COSO委员会发布的四个报告为标志，如表2所示。

表2 COSO委员会发布的报告文件

从COSO委员会发布的报告中，分析得出内部控制已回归到企业管理者内部管理需要本位，内部控制已经被企业管理者选为管理风险的一个核心手段。

2 风险管理与内部控制的关系

风险管理一词最早出现在拉赛尔·加拉尔(Russell B.Gallagher)发表的名为《风险管理——成本控制的新名词》文章中。该篇文章为成本控制提供了新的思想，并提出组织中应有专门负责管理纯粹风险的人。企业经营管理的过程，就是机会获取与风险防范的过程。管理者通过内部控制的职能手段，把贯穿于企业战略执行之中的风险保持在可容忍风险容量内，如图1所示。

图1 风险管理与内部控制关系整合

风险管理是企业宏观层面的管理策略，更侧重于战略层面的决策，而具体落实到企业内部的经营管理问题，风险管理必须依靠内部控制的实施而达到预期效果，完成风险管理目标。内部控制的本质是解决组织内部的委托代理问题，使组织行为在内控作用维度范围内完成既定战略计划，不偏离风险管理目标，做好战略评价反馈。

3 企业内部控制存在的问题及成因分析

3.1 企业内部控制存在的问题

1)以财务审计制度代替内部控制制度。有很多企业的管理者在建立内部控制时，认为只是重新建立财务部门和审计部门的财务审计制度，这种认识误区反映了内控主体在内部控制思维上的局限性。以财务审计制度来代替内部控制制度导致内部管理控制功能的缺失，只有内部会计控制支撑的内部控制制度使企业付出了大量成本进行内部控制建设，但依然面临众多的风险暴露点。

2)内部控制节点设置不恰当。目前大多数企业在设置内部控制节点时，没有全面评估运营管理流程中包含的风险点，内部控制节点与风险点存在错位现象，使得内部控制的执行留下大量风险敞口。另外，企业在布置内部控制节点时只考虑分离式牵制手段，但分离式牵制也暗含风险，最直接的表现是信息共享程度不够，容易形成信息壁垒，导致企业内部出现舞弊问题。

3)内部控制效果不能持续改善。企业在推行一套内部控制制度后，对其运行效果的改善缺少制度推动力，虽然内部控制构成要素中包括监督要素，但是怎样把“监督”与“风险再评估”进行有效衔接，是摆在内部控制主体面前的重要难题。内部控制效果不能持续改善，使得内部控制制度变成僵化的机械制度，也就没有了内部控制中的过程控制、动态控制与循环控制。

3.2 企业内部控制问题的成因分析

1)风险管理目标导向的内部控制意识薄弱。以财务审计制度代替内部控制制度，体现了企业管理者对内部控制在企业管理制度中位置认识的不清晰。内部控制是风险管理具体实施计划的一部分，以风险管理目标为导向建立的内部控制制度，会避免企业内部各部门风险控制责任的推诿，能够把企业内部各部门的控制行为联系起来，达到风险管理中责、权与利的结合。

2)组织流程的风险点分析不够。有些企业在进行内部控制体系建设时，没有充分解构组织内部经营管理流程，风险暴露点的发掘程度不够，内部控制点设置脱离了业务流程。甚至在一个企业内部多个管理制度并行，而管理制度之间没有系统的协同配合，导致内部控制节点重复或者与风险点严重错位，直接影响着企业的管理成果。

3)风险管理评价机制的缺位。促进内部控制效果不断改善的有效手段是建立完善的风险管理评价机制。把内部控制效果评价置于风险管理评价机制中，能有效地把“控制”与“风险”结合起来，减少风险敞口。脱离了风险评价的内部控制评价机制是不完善的，也是缺乏持续改善推动力的评价机制，会使内部控制评价流于形式。

4 基于风险管理的企业内部控制框架整合

4.1 企业治理机制的整合

治理机制的重整是基于风险管理的内部控制体系的核心。一个企业不能有多种管理机制并行，所有的经营管理行为都应在一个统领性的机制中运行，这个机制就是企业的风险管理制度。把内部控制、风险控制、财务管理等整合到风险管理制度中，把内部控制作为风险管理职能作用的行为体现，为企业的风险管理提供合理的保证。这样在一个管理制度下，企业的员工才能明确其行为在整个管理机制中的位置与作用，进而促进控制环节设置的准确性，并不断改善控制行为。

4.2 组织目标层级的整合

组织目标层级的设定是企业整合内部控制体系的着力点。在企业内部控制与风险管理整合的过程中，重点解决风险控制的主体、目标和边界问题，其中又以目标整合为核心。COSO发布的《企业风险管理——整体框架》在原有风险控制的3个目标基础上增加战略目标，在这之前的内部控制是以保证经营效率和效果、财务报告的可靠性和资产的安全性等为目标。基于风险管理的企业内部控制目标将合规性风险控制目标引入其中，在战略目标的统领下，将资产实物风险控制目标融入到经营风险控制和报告风险控制目标内。

4.3 信息共享与控制的整合

信息共享与控制的整合是保证内部控制效果持续改善的基础条件。从信息论的角度来看，企业基于风险管理的内部控制体系的建立，就是对信息资源的潜在机会获取与风险防范。企业建立可控的共享信息系统，在内部有利于明确各层级目标、促进内部信息沟通、形成良好的内部控制环境，持续评价与改善内部控制行为；在外部可以做好信息风险控制，及时发现并控制外部潜在风险，同时获取潜在优势信息。

[1]丁友刚，胡兴国．内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进[J]．会计研究,2007，12：51-54.

[2]李心合．内部控制研究的困惑与思考[J]．会计研究,2013(6)：54-61.

[3]杨有红．论内部控制环境的主导与环境优化[J]．会计研究,2013(5)：67-72.

[4]郑小荣，何瑞铧．企业目标导向下的内部控制与风险管理整合[J]．财会月刊,2011(3)：3-6.

[5]COSO．Internal Control-Integrated Framework[R]．[s.n.],1992.

[6]COSO．Enterprise Risk Management-Integrated Framework[R]．[s.n.],2004

[责任编辑：郝丽英]

Research on internal control of inductries based on risk managementLI Jun

(Heilongjiang Bureau of Highway Construction,Harbin 150030,China)

The development of internal control theory has gone through three stages: internal containment period,audit-oriented period and risk management period.There are no authoritative guidance documents,which leads to the scholars debate on the integration of risk management and internal control system. Analysis is made on COSO committee’s report,Enterprise Risk Management—Integrated Framework,and then an internal control system based on the risk management is established. Focused on the integration of the corporate governance mechanism,organizational goals and information sharing control system,it will solve the problems of internal control system effectively.

internal control;risk management;integration framework

2014-08-05

黑龙江省会计学会资助项目(128)

李 军(1968-)，男，高级会计师，研究方向：财务管理.

F406

A

1671-4679(2014)05-0065-03