風險管理為導向的內(nèi)部控制問題初探

目 錄

1.前言3

2.研究背景與意義3

3.內(nèi)部控制概述3

4.企業(yè)內(nèi)部控制現(xiàn)狀與問題分析4

4.1內(nèi)部控制環(huán)境不明確4

4.1.1風險管理意識不強4

4.1.2管理層對內(nèi)部控制認識不到位4

4.1.3公司治理結(jié)構(gòu)不完善4

4.2風險管理體系不完善4

4.3內(nèi)部控制監(jiān)督機制不健全5

5.建立風險導向內(nèi)部控制的措施探析5

5.1改善內(nèi)部控制的內(nèi)部環(huán)境5

5.2養(yǎng)成企業(yè)的風險管理理念5

5.3健全企業(yè)的風險管理體系5

6.結(jié)論7

參考文獻8

內(nèi) 容 摘 要

【摘 要】當前世界經(jīng)濟全球化的趨勢越來越明顯，很多企業(yè)在具有很多對外發(fā)展機會的同時也面臨著更多的風險，如何制定一套健全的風險評估系統(tǒng)以及有效的控制住風險成為企業(yè)首先要注意的問題。雖然國外在這方面的發(fā)展比我國要早一步，但是，企業(yè)發(fā)展管理風險機制仍然是不可避免的，就目前我國的情況來看，很多的企業(yè)都沒有建立一套健全有效的措施去應對和評估風險，而且部分企業(yè)即使建立了相關(guān)的管理措施也沒有實際的投入落實。為了更好的展開課題的討論，本文從風險管理的相關(guān)概念、建立風險管理為導向的內(nèi)部控制必要性、目前以風險管理為導向的我國企業(yè)內(nèi)部控制現(xiàn)狀與存在問題和對策建議等四個方面出發(fā)，在國外的COSO報告《內(nèi)部控制——風險管理框架》的基礎(chǔ)上，結(jié)合我國市場的實際情況，來做出相關(guān)方面的參考建議。

【關(guān)鍵詞】風險管理；內(nèi)部控制；內(nèi)部環(huán)境；風險評估

風險管理為導向的內(nèi)部控制問題初探

1.前言

自2001年以來，各種財務詐騙事層出不窮，企業(yè)也從各種安全事故中注重起了內(nèi)部控制。不僅如此，世界全球化使得企業(yè)各項工作和管理都受到了很大程度的風險影響。更多的企業(yè)管理層注重對企業(yè)內(nèi)部風險管理的控制。2004年以來，國外的內(nèi)部控制開始全方面的在企業(yè)風險管理出現(xiàn)，9月，美國COSO 委員會正式頒布了《企業(yè)風險管理——整合框架》（以下簡稱 ERM 框架），針對這個框架，本文將從多方面展開討論。國內(nèi)企業(yè)理論框架方面,尚未形成類似ERM報告那樣得到廣泛認同的風險管理導向的內(nèi)部控制框架體系,基本規(guī)范對風險管理的關(guān)注還不夠全面,框架體系方面還沒有形成嚴格的懲罰機制,內(nèi)控制度的執(zhí)行力還很薄弱。企業(yè)制度構(gòu)建方面,還普遍存在著風險管理機制缺失或者不健全,內(nèi)部控制制度對風險管理的關(guān)注程度不夠,管理層對內(nèi)部控制不重視所造成的制度形同虛設(shè)等問題，面對日益復雜的內(nèi)外部風險,企業(yè)構(gòu)建風險管理導向的內(nèi)部控制的重要性和迫切性也日益突顯。因此,本文將對如何引導企業(yè)構(gòu)建基于風險管理的內(nèi)部控制,來完善內(nèi)部控制，加強風險管理展開研究,力爭提出切實有效的構(gòu)建措施或建議。

2.研究背景與意義

 企業(yè)風險管理并不僅僅是一個理論上的概念，更為重要的是一個企業(yè)風險管理的運行過程，這個過程受到公司管理層，股東等重要部門的制約。由于風險是存在于企業(yè)上下各環(huán)節(jié)的，所以對于風險管理也是貫穿于整個企業(yè)的。

風險管理在企業(yè)中發(fā)揮的作用主要是對于某些隱患進行識別和判斷，并通過原有的程序進行控制和風險評估，從而來為企業(yè)各方面的運行提供一個安全可靠的環(huán)境。從上文提及的企業(yè)風險管理的概念可以總結(jié)出以下幾點：

（一）企業(yè)風險管理并非一個停留在表面的概念，而是一個具體的實施應對過程

（二）企業(yè)風險管理面對的對象是所有人

（三）企業(yè)風險管理用于措施制定

（四）企業(yè)風險管理涵括了整個企業(yè)上下

（五）企業(yè)風險管理把重點放在風險評估上

（六）提供權(quán)威保證

（七）企業(yè)風險管理有益于企業(yè)發(fā)展

3.內(nèi)部控制概述

 所謂內(nèi)部控制，是指一個單位為了實現(xiàn)其經(jīng)營目標，保護資產(chǎn)的安全完整，保證會計信息資料的正確可靠，確保經(jīng)營方針的貫徹執(zhí)行，保證經(jīng)營活動的經(jīng)濟性、效率性和效果性而在單位內(nèi)部采取的自我調(diào)整、約束、規(guī)劃、評價和控制的一系列方法、手段與措施的總稱。

COSO內(nèi)部控制框架認為，內(nèi)部控制系統(tǒng)是由控制環(huán)境、風險評估、內(nèi)控活動、信息與溝通、監(jiān)督五要素組成，它們?nèi)�決于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用其模型表示。

如今全球信息化發(fā)展越來越快，通信技術(shù)發(fā)展的同時各種網(wǎng)絡(luò)風險也隨之而來。就企業(yè)而言，經(jīng)濟全球化使得企業(yè)各項工作和資料都處于一個較為開發(fā)的環(huán)境中，這對企業(yè)自身而言是尤為不利的，所以我國企業(yè)建立風險管理導向型內(nèi)部控制是防范網(wǎng)絡(luò)攻擊最有效的手段。

企業(yè)要想建立風險導向型內(nèi)部控制首先要從企業(yè)底層到高層樹立防范的意識，面對企業(yè)風險時能夠較為快捷的采取相應的措施，及時對抗不良的網(wǎng)絡(luò)攻擊。

就目前我國企業(yè)在相關(guān)方面的情況來看，首先，我國企業(yè)內(nèi)部控制的風險意識弱。很多企業(yè)還沒有認識到企業(yè)可能面臨的潛在隱患，企業(yè)內(nèi)部沒有一套健全的體系來處理各項安全風險，不僅如此，對于公司員工而言，也沒有樹立該有的安全防范意識，如果企業(yè)一直這樣運行的話，難免會遭受市場淘汰的情況。其次，風險管理形式化。雖然很多的企業(yè)有建立很多相關(guān)的措施 但是很多都僅僅只停留在表面，并沒有深入到企業(yè)內(nèi)部的實際運行中。內(nèi)部控制被管理層所掌控，而管理層人員往往依照自己的意愿辦事情，所以導致管理的缺陷。最后，控制風險的措施不完善。在我國，企業(yè)的風險意識薄弱，對風險的管理就更不用說，很多企業(yè)依然停留在理論原理上，和實際操作有距離。

總而言之，就一個企業(yè)而言，不管其工作效率高低，員工素質(zhì)高低，影響的最為重要的因素還是企業(yè)的管理層，管理層要從自身做起，嚴格實施相關(guān)制度與措施，加強員工的安全防范意識，從實際出發(fā)，落實好各項控制風險的措施。

4.企業(yè)內(nèi)部控制現(xiàn)狀與問題分析

4.1內(nèi)部控制環(huán)境不明確

4.1.1風險管理意識不強

當今世界，經(jīng)濟政治全球化，很多國內(nèi)的企業(yè)大膽的走向世界，而我國也積極引進國外企業(yè)，在這樣的形勢下，競爭越來越激烈，企業(yè)所面臨的挑戰(zhàn)也越來越多，風險也越來越大。就目前形勢而言，我國的企業(yè)較之國外企業(yè)仍有很多不足，比如：缺乏風險管理的意識。

4.1.2管理層對內(nèi)部控制認識不到位

內(nèi)部控制制度的實施是以穩(wěn)定的環(huán)境所決定的。大部分企業(yè)認為：對內(nèi)部控制的完善和加強，能很好的幫助企業(yè)進行風險的防范，同時也保障了企業(yè)的順利運行。但是仍然有一部分企業(yè)認為：對內(nèi)部控制的投入，不僅需要更多的資源，而且，并沒有很明顯的改善，員工的工作效率和以前一樣。這也說明了，還有一部分企業(yè)沒有正確認識到內(nèi)部控制的作用。在企業(yè)中，建立健全完善的內(nèi)部控制體系是需要企業(yè)上上下下所有人員的積極參與的。

4.1.3公司治理結(jié)構(gòu)不完善

企業(yè)的管理者是企業(yè)的內(nèi)部控制者，完善的企業(yè)治理結(jié)構(gòu)能促進企業(yè)的發(fā)展，相反，則會造成企業(yè)的利益分配不平衡，內(nèi)部控制也就不起作用了。根據(jù)ERM框架，在企業(yè)中，企業(yè)在風險管理方面的核心要素是董事會。所以，董事會和企業(yè)內(nèi)部風險管理有著很重要的聯(lián)系。

4.2風險管理體系不完善

 當今世界，經(jīng)濟政治一體化，企業(yè)面臨的機遇很多，但是同時，也面臨著很多風險，因此，企業(yè)有必要設(shè)立單獨的風險管理部門，對企業(yè)所面臨的風險進行分析和提出建議。在我國，企業(yè)的風險意識還很薄弱，大部分企業(yè)沒有單獨設(shè)立風險管理部門，缺乏風險意識。雖然一些企業(yè)也有設(shè)立風險管理部門，但是并沒有運行，使風險管理部門沒有充分發(fā)揮其作用。

4.3內(nèi)部控制監(jiān)督機制不健全

企業(yè)的內(nèi)部控制是一個長期的工程，這個工程需要和企業(yè)管理相配合才能得到很好的實現(xiàn)。企業(yè)的發(fā)展不僅需要企業(yè)內(nèi)部控制制度的實施，還需要對其實施過程進行有效的監(jiān)督。這樣才能保證企業(yè)的健康發(fā)展。在企業(yè)內(nèi)部控制系統(tǒng)中，有一個很重要的部分：內(nèi)部審計。它主要是對企業(yè)的運行進行監(jiān)督，是對企業(yè)內(nèi)部控制體系的實施的保障。

5.建立風險導向內(nèi)部控制的措施探析

對于我國目前企業(yè)內(nèi)部控制存在的問題，在ERM框架的基礎(chǔ)上，以我國建立內(nèi)部控制如何以風險管理為導向提供建議提供，為中國企業(yè)建立和完善風險管理導向式的內(nèi)部控制提供一些啟示。

5.1改善內(nèi)部控制的內(nèi)部環(huán)境

內(nèi)部環(huán)境即是企業(yè)建立、加強或削弱特定政策、程序和影響效率的各種因素。影響企業(yè)內(nèi)部環(huán)境的因素主要有：董事會、企業(yè)管理層的質(zhì)量、領(lǐng)導者的行為和管理理念、道德與行為準則、企業(yè)文化、人力資源政策和實踐等。企業(yè)風險管理的根本基調(diào)是由內(nèi)部環(huán)境所決定，內(nèi)部環(huán)境左右了內(nèi)部控制和風險管理的好壞，所以，中國企業(yè)應首先關(guān)注內(nèi)部環(huán)境的改善。

5.2養(yǎng)成企業(yè)的風險管理理念

風險管理是從戰(zhàn)略決策貫徹到日常活動的每一個環(huán)節(jié)，體現(xiàn)領(lǐng)導者在管理經(jīng)營企業(yè)過程中的各個環(huán)節(jié)。在激烈的市場經(jīng)濟競爭和全球化的環(huán)境下，領(lǐng)導者必須始終注重風險管理的理念，致力于把這一理念體現(xiàn)在企業(yè)管理的全過程中，并且努力培養(yǎng)各個階層的員工在風險管理方面的意識。員工對風險的認識由領(lǐng)導者管理理念的標識性和領(lǐng)導作用決定，只有領(lǐng)導者把這種風險管理理念引入到整個企業(yè)經(jīng)營中的，其他員工可能才會在各自的工作中始終憑借風險管理的理念來安排、協(xié)作和完成工作。

具體來說，我們可以通過以下幾個方面來養(yǎng)成企業(yè)的風險管理意識：第一，明確了風險管理的中心地位；第二，企業(yè)建立專門的風險管理部門。

綜上，需要迅速加強對中國的理論和實踐行業(yè)的風險管理意識，從理論水平來指導實踐，引導企業(yè)建立以風險管理為導向的思想，用來完善內(nèi)部控制，以應付日益增加的各種風險。

5.3健全企業(yè)的風險管理體系

①制定合理的控制目標

內(nèi)部控制必須先有一個目標，管理部門要找出影響目標實施的潛在問題。內(nèi)部控制目標一般分為三大類：戰(zhàn)略目標、業(yè)務目標、報告目標和合法的目標。目前，在我國的內(nèi)部控制標準中，對于戰(zhàn)略和經(jīng)營目標的提及很少，隨著企業(yè)管理的不斷完善，企業(yè)內(nèi)部控制制度的制定目標應轉(zhuǎn)向促進企業(yè)實施戰(zhàn)略等等方面的拓展，建立合理的經(jīng)營戰(zhàn)略和目標，并進行延伸，對企業(yè)的發(fā)展非常重要。

②充分進行事項識別

設(shè)定目標后，企業(yè)必須立即確定與目標相關(guān)的和主要影響主體的潛在問題。只有企業(yè)充分認識到機遇，才能采取相應的措施抓住機遇，只有企業(yè)完全充分能夠意識到風險，才會可能使用有關(guān)措施進行有效防范和風險應對。相反，企業(yè)必然錯過機會或承擔風險所帶來的一系列傷害。在識別潛在事件是一個機會或風險時，企業(yè)應充分考慮相關(guān)的內(nèi)部和外部因素。另外，企業(yè)也需要應用科學技術(shù)以確定潛在的問題。常用的項目識別技術(shù)包括項目清單、推進式研究、訪談和問卷調(diào)查等。通過采用每一種事項識別技術(shù)或技術(shù)的結(jié)合，判斷出代表機遇的潛在事件，能夠?qū)︻I(lǐng)導者確定相應的戰(zhàn)略與目標起到引導作用，以采取行動抓住機會，同樣的，對于判斷出代表風險的潛在事件，領(lǐng)導者就要對此加以評估和響應。

③全面進行風險評估

在企業(yè)確定與目標相關(guān)的所有風險后，企業(yè)需要進行全面、準確的風險分析和評估。那么企業(yè)該如何進行全面系統(tǒng)有效的風險評估?第一，公司對評估潛在風險的方式主要是來自2個方面：一是可能性，二是影響程度。可能性的含義是一個給定的事件將發(fā)生概率，從而影響即是其后果，結(jié)合考慮可能性與影響會更加有效。

④謹慎分析風險應對策略

風險應對策略是風險評估與控制活動之間的連接，分析和選擇風險應對策略，直接影響到下一步的控制活動的實施。所以，企業(yè)在風險評估中，我們必須謹慎地比較每一個風險應對策略。第一，在風險的可能性和影響的綜合評價之后，需要采取各種措施，旨在為不同類型的風險進行分析，并獲得相應的有效實施策略，用來降低風險的發(fā)生可能性和影響。第二，企業(yè)應當把發(fā)生風險可能性的大小和影響同企業(yè)本身風險能力進行結(jié)合考慮，以選擇最滿意的風險應對策略。在評價風險應對策略的同時，還需要考慮各種策略的成本和效益。就是在充分考慮實施策略和成本效益的情況下，最終必須確定風險應對策略的選擇。

⑤有效設(shè)計執(zhí)行控制活動

在每一個項目順利實施之前，企業(yè)都需要對項目可能產(chǎn)生的風險進行評估，面臨的風險除了從基本的工作程序設(shè)計到公司的整體管理等各方面，在這些方面里要將控制活動充分考慮進去。一般來說，企業(yè)在進行風險評估時會制定出多個風險應對措施，之后再在眾多的風險應對措施中找到最為全面的一套方案，當確定了企業(yè)該項目的風險應對方案后，就必須要具備其相對應的控制活動，以此來保證方案的順利進行。

一般情況下，企業(yè)制定相關(guān)方面的控制活動可以從兩個方面出發(fā)：第一個是對員工的控制活動。第二個方面是對信息系統(tǒng)進行控制。除此之外，相關(guān)的單位還可以對信息系統(tǒng)設(shè)置口令密碼或者其他保密措施以防止無關(guān)人員對相關(guān)書拒絕進行提取或者修改。

6.結(jié)論

(一)通過對內(nèi)部控制與風險管理理論的發(fā)展過程整理、歸納、分析,運用辯證唯物主義過程論,提出內(nèi)部控制和風險管理在發(fā)展的前期是兩門獨立的學科,但是隨著經(jīng)濟技術(shù)的發(fā)展和進步,內(nèi)部控制和風險管理必然要走向相互融合的趨勢。

(二)在對我國內(nèi)部控制法律法規(guī)整理、歸納的基礎(chǔ)上,得出了我國內(nèi)部控制框架己經(jīng)趨向于風險管理導向的內(nèi)部控制,但是對風險管理關(guān)注不全面的評價。

(三)在案例分析的基礎(chǔ)上,依托ERM框架總結(jié)了企業(yè)內(nèi)部控制建設(shè)存在以下三大問題:①內(nèi)部控制環(huán)境方面,存在風險管理意識淡薄②企業(yè)戰(zhàn)略目標定位不清晰;③內(nèi)部控制監(jiān)督機制不健全等。

參 考 文 獻

[1] COSO: Enterprise Risk Management-Integrated Framework. 2004 

[2] COSO: Enterprise Risk Management Framework (ED). 2003 

[3] Committee of the Sponsoring Organizations of the Tread way Commission: “Enterprise Risk 

Management—Integrated Framework(Executive Summary)”2004. 

[4] Scott, “COSO ERM Released”，Internal Auditor, Oct. 2004. 

[5]謝志華. 內(nèi)部控制、公司治理、風險管理: 關(guān)系與整合[J].會計研究, 2007, (10): 37-45. 

[6]丁友剛、胡興國. 內(nèi)部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[J]. 會計研究, 2007, (12): 51-54. 

[7]方紅星、王宏譯. 企業(yè)風險管理——整合框架[M]. 大連: 東北財經(jīng)大學出版社, 2005. 

[8]王青松.企業(yè)內(nèi)部控制與全面風險管理[J].山西財經(jīng)大學學報, 2008, (4): 94-95. 

[9]裘宗舜.運用企業(yè)風險管理框架:對中航油的案例研究.財務與會計(綜合版). 2007(1)

[10]方紅星,王宏譯.企業(yè)風險管理—整體框架「M」.大連:東北財經(jīng)大學出版社,2005.

[11]友聯(lián)時駿管理顧問.企業(yè)內(nèi)部控制和風險管理—《薩班斯—奧克斯利法案》釋義[M].上海:復旦大學出版社,2005.

[12]陳錦烽,蘇淑美.內(nèi)部審計新紀元—風險管理、控制及治理〔M」.大連:大連出版社,2006.

[13]陳利軍,徐國強.內(nèi)部控制與組織控制實證研究[Ml.大連:東北財經(jīng)大學出版社,2008.

[14]李春瑜,王凡林.基于風險管理的內(nèi)部控制框架解讀[J].會計師,2007,(11):38一40.

[15]李明.企業(yè)內(nèi)部控制與風險管理〔M』.北京:經(jīng)濟科學出版社,2007.

[16]池國華，樊子君.內(nèi)部控制學[M].北京：北京大學出版社, 2013.

[17]李曉慧，何玉潤.內(nèi)部控制與風險管理[M].北京：中國人民出版社.2012.