【摘要】2004年9月，美國COSO委員會《內部控制——企業風險管理框架》正式發布，新框架把風險管理觀念引入內部控制，開創了內部控制的一個新紀元，國外企業也紛紛按照這個內部控制新框架建立及完善自己公司的內部控制，同樣也為我國企業內部控制研究及建設提供了一個全新的思維。風險管理的興起對內部控制產生了重大影響。本文擬就風險管理觀念導向下的內部控制體系的構建進行探討，以改善企業內部控制現狀，提升企業識別風險、防范風險及應對風險的能力。

　　【關鍵詞】風險管理;內部控制;內部控制體系

　　Abstract: In September 2004, Internal Control - Enterprise Risk Management Framework is officially released by the U.S. COSO Committee. This new framework introduces the concept of risk management to internal control, creating a new era of internal control. Therefore, the foreign companies have built and improved their companies’ internal control according with this new framework of internal controla, and it also provides a new way of thinking of internal control construction and research for China's enterprises. The rise of risk management had a significant impact on the internal control. This paper intends to discuss the construction of the internal control system under the concept of risk management-oriented, so as to improve the status quo of corporate internal control, enhance the ability to corporate risk identifying, risk preventing and processing.

　　Key words: risk management; internal control; internal control system

　　中途分類號：C36 文獻標識碼：A 文章編碼：

　　在所有權與經營權分離的企業制度中，存在著經營者有可能不履行其受托經濟責任損害股東利益的風險。有限責任公司的組織形式也可能導致企業不惜損害債權人的利益從事高風險的項目。這些風險無法由市場競爭自發約束或通過市場交易規避。唯一的途徑是通過加強企業治理層監督制度，建立財務報告、內部控制、風險管理及內部審計制度等。

　　一、內部控制與風險管理的關系

　　(一)二者內在聯系

　　內部控制和風險管理都有一個共同的目標，就是維護投資者利益、保護企業資產，并創造新的價值。信息技術及市場條件的新進展，推動了內部控制走向風險管理。在先進的自動化信息技術條件下，會計記錄實現了電子控制、實時更新，使傳統的查錯與防弊的會計控制顯得不合時宜。然而，風險往往是由交易或組織創新造成的，這些創新來源于新興的市場實踐，如金融衍生品的交易。另一方面，環境保護及消費者權益保護的加強，都強化了企業的社會責任，稍有不慎，企業就可能遭受來自商品市場或資本市場的懲罰，表現為企業的品牌價值或資本市場上的市值貶損。因此，企業需要一種日常運行的功能與結構來防范風險，確保投資者對財務信息的信任以及保證經營效率等。因此，從促進價值創造這一根本功能來看，風險管理與企業內部控制的目標是一致的。只是在新的技術與市場條件下，為了更有效地保護投資者利益，需要在內部控制的基礎上發展更主動、更全面的風險管理。

　　(二)二者存在的差異

　　全面風險貫穿于整個企業管理的全過程，而內部控制僅僅是企業管理的一項職能，全面風險管理的內容框架包含了業務風險、倡議風險、操作風險、市場風險等各種風險內容，而內部控制內容框架則沒有對風險和機會進行區分;同時，由于全面風險管理引入了風險對策、風險偏好等相關概念和方法，因此，全面風險管理建立在風險準確度量的基礎上，更有利于企業風險偏好和發展倡議的一致性。

　　二、我國企業內部控制存在的風險問題

　　(一)企業風險控制意識較為薄弱

　　目前國內不少企業重經營輕管理，內部控制與風險意識薄弱，對內部控制與風險管理存在著不少誤區，特別是對建立健全內部控制、風險管理的重要性和現實意義認識不夠，抱著有與沒有無所謂的態度。同時，在全球經濟、政治一體化進程，我國和世界經濟聯系必然更加密切，更多的國內企業要走出國門，參與國際市場競爭，而也有更多外資企業涌入國內，參加國內市場競爭。在此背景下，國內企業所面臨的競爭壓力不斷增大，各種不確定性因素也在逐漸增多，企業所面臨的各種風險更加復雜。但是，許多企業風險意識仍然較為薄弱，大多數企業管理者所關注的風險只是停留在財務風險方面，風險管理和風險控制意識較為薄弱。

　　(二)企業控制環境紊亂

　　控制環境包括董事會、企業文化、管理層的品性和管理理念、風險管理哲學、誠信和道德觀、組織結構等等，設定了被審單位內部控制的基調。我國企業不重視對控制環境的改善，從而出現了控制環境紊亂的現象。比如，董事會未起到應有的作用，高層管理者控制意識淡薄;員工素質不高，企業文化缺失;組織結構不合理等等。我國多數企業沒有很好地把控制環境各要素進行理順，造成企業整個控制基礎比較薄弱。

　　(三)內部控制制度執行不力

　　由于構建企業內部控制體系的成本很高，因此很多企業在完善內部控制方面大都是紙上談兵，不愿意花大力氣去真正地付諸于實踐。眾多企業僅注重內部控制的規章制度的文字編輯，在執行時并不徹底。尤其管理層自身違反內部控制，就會造成上行下效，使內部控制形同虛設。

　　(四)缺乏精通內部控制和風險管理的專門人才

　　我國目前有關內部控制的審核、評價和咨詢主要由注冊會計師來進行，企業沒有專門的內部控制管理人才，因此無法從倡議目標制定和執行、經營目標實現、管理效率提高、資產安全性等角度來評價內部控制，評估風險企業建立和完善內部控制系統時缺乏有效的專業指導。

　　三、風險管理理念對內部控制的影響

　　風險管理理念是企業共同的信念和態度，它決定著該企業在做任何事情時是如何考慮風險的。企業的風險管理理念實質上反映在管理層在經營企業的過程中所做的每一件事情上。風險管理程序的起點是企業的風險倡議，它要考慮與企業有關的人的需求和愿望。通過促進信息流動和強化貫穿組織的溝通，風險管理程序提供了一個連續的循環風險模型。

　　在我國，真正關注和重視風險管理，并建立風險管理機制的是銀行、證券公司、財務公司、投資公司等金融機構。由于金融風險危害的廣泛性和嚴重性，國家相關部門頒布了許多法律法規，很多學者對此也非常重視，發表和出版了不少相關研究成果。而我國的很多生產性企業則沒有建立風險防范機制。目前，相關機構也普遍不重視對一般企業的風險管理問題進行研究。但從美國COSO委員會提出的新報告來看，風險管理是企業內部控制的一個重要組成部分，國外有的學者甚至認為:企業風險管理是企業的核心競爭力。按照COSO報告的理念，企業風險管理不僅僅只是一種對企業所面臨風險的簡單被動應對，而是一種積極主動地關注內外部各種變化，并通過對這些變化進行分析和識別規避風險的機制。

　　四、構建基于風險管理內部控制體系的對策

　　(一)完善企業控制環境

　　1.要有明確的內部控制主體和控制目標

　　科學的組織結構在企業內部應包含四個層次的經濟主體，這四種控制主體都有各自的控制目標。股東的目標是財富最大化，經營者的目標是不斷增加經營效益;管理者的目標是完成責任目標、獲得業務運行的真實報告;普通員工的目標是遵從企業的內部規章制度，不斷提高企業的生產經營效率，提高工資薪酬。

　　2.要有先進的管理控制方法和高素質的管理人才

　　具有先進的管理控制方法，輔以積極的人事政策，培養和引進一批具有高素質、掌握先進管理方法的人才隊伍，以改善企業的全員控制意識，從而形成一個良好的企業控制文化氛圍。

　　(二)健全風險管理體系

　　企業的風險管理體系應自上而下地建立和實施。公司管理層應將風險管理體系的建設融入企業發展的全過程。在企業中，包括全體員工尤其是各級管理人員和內部控制執行人員，應牢固樹立風險無處不在、風險無時不在的意識和理念;企業還應將風險管理體系的建設與職工薪酬制度和人事制度相結合，增強各級管理人員的風險意識，積極構建“企業重視、全員參與、全面覆蓋、全程控制”的內部控制和風險管理體系。

　　(三)優化企業治理結構

　　企業應建立產權明晰、政企分開、管理科學的制度，保證股東大會，董事會和監事會、經理層的真正制衡機制，引進獨立董事，加強內部的控制監督，保持監事會的獨立性，監事會要對企業的決策進行監督。同時，加強內部審計部門的作用，內部審計部門應當向董事會或其審計委員會直接報告工作，并且不斷地在日常工作中監督評審內控的總體效果。

　　(四)設計有效的控制活動

　　1.人員控制。人員控制方面包括：授權管理、職責分離、優化工作流程、票據與記錄控制、資產接觸與記錄使用、績效考評等。

　　2.信息控制系統。在信息系統的日常使用中，信息系統產生的舞弊現象比更具隱蔽性，具體應通過采取權限控制、數據錄入、輸出控制、手工憑證的控制、對輸入數據的自動檢查、對例外報告進行人工干預等方式，規范對數據的查閱或修改。

　　內部控制作為企業生產經營活動自我調節和約束的內在機制，其建立、健全及實施是企業生產經營成敗的關鍵。風險管理與內部控制是密不可分的。內部控制系統與風險管理同樣內置于企業經營管理過程之中，與企業經營管理活動水乳交融、渾然一體。本文通過對企業內部控制和風險管理的研究，提出在企業內部控制框架基礎上，吸收風險管理的要素，構建以風險控制為核心的內部控制體系，并從完善內部控制環境、健全風險管理體系、優化治理結構、控制活動的構建等方面提出建議，希望對完善我國企業內部控制提供一些啟示。