作者单位：中央财经大学会计学院2004年年底，针对国际企业界频繁发生的高层管理人员舞弊现象以及企业面临的激烈的市场环境，COSOCOSO报告——《企业风险管理——整合框架》。该整合框架中除了经营目标和合法性目标与内部控制整体框架相似以外，提出了一类新的目标——战略目标。因此，不管是战略执行的内在要求还是内部控制的发展方向，战略与内部控制的有机结合是其发展的必然趋势。一、战略、风险、内部控制的关系：战略的执行视角风险就像战略的幽灵一样，如影随形，从某种意义上说，风险是战略的自然属性。格里约翰逊、凯万斯科尔斯认为，战略是一个组织长期发展方向和范围，它通过在不断变化的环境中调整资源配置来取得竞争优势，从而实现利益相关者的期望。从中可以看出，战略是诞生于风险之中的。风险有两个特征：一是风险的不确定性；二是风险会给人们带来损失。战略一方面能降低企业发展过程中的不确定性，但又要合理承担一部分风险。企业的内部控制通过识别和管理风险为战略目标的实现提供合理保证，风险因素体现在内部控制各个要素之中：（1）内部环境，是其他所有风险管理要素的基础，是风险的源泉；（2）目标制定，是管理者制定企业的战略目标，选择战略并确IM电竞 IM电竞平台定其他与之相关的目标并在企业内层层分解和落实，是风险容量的确定；（3）事项识别，是对风险的甄别；（4）风险评估，是对风险的度量；（5）风险反应可以分为规避风险、减少风险、共担风险和接受风险四类，是应对风险的策略；（6）控制活动，是帮助保证风险反应方案得到正确执行的相关政策和程序，是对风险的控制；（7）信息和沟通，是风险控制的保障；（8）监控，是指评估风险管理要素的内容和运行以及一段时期执行质量的一个过程。可以看出，风险管理是贯穿内部控制的核心主线，内部控制就是控制风险，控制风险就是风险管理。3．战略与内部控制：相见恨晚影响战略制订和执行的因素很多，贝尔德（Baird）和汤马斯（Thomas）提出战略风险可能性模型指出，战略风险包括：（1）宏观环境风险；（2）行业风险；（3）组织风险；（4）战略问题风险；（5）决策制定者风险。但是，企业内部制度也是影响战略有效实现的关键。企业确定战略目标时，既要考虑现有的资源和能力基础。同时还要超越现有条件，这样就需要具备强大的战略执行力。如前所述，战略与内部控制整合的基础是风险。整合模型应是一个以战略为轴心，将战略层层分解到组织的各个部门、各个业务流程，以风险控制为主要内容，将各层次影响战略实现的风险因素作为控制对象，合理保证战略目标的实现的内部控制体系，如图1所示。可以将该整合模型称为战略导向内部控制模型，该模型的特点是以控制对象是战略为中心轴的风险控制，重点是控制体系之间的战略协同与协调。战略导向内部控制是以战略为中心轴，来协调企业内部管理各个部门和环节。将战略分解到不同层次，再分析各个战略层级的目标实施过程中的风险，通过对这些风险的控制来实现内部控制的目标。这里的风险是以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。战略导向内部控制提出的初衷就是解决内部控制体系之间的隔阂，使内部控制之间相互协调，形成一个有机的整体。而传统的内部控制最大的缺点就是缺乏相互之间的协调，各控制系统之间缺乏联系、比较凌乱。将战略引入到内部控制框架为内部控制的发展提供了新的生命力，以战略中心轴为基础为内部控制的协调提供了根本上的途径。英国巴林银行、美国安然公司、世通公司等国际知名公司相继暴露出严重的财务失败事件，引起了社会各界对企业风险的研究和立法行动的重视，加强公司治理、内部控制和风险管理的呼声愈来愈高，人们越来越清楚地认识到需要一个强有力的框架以便有效识别、评估和控制风险。在此背景下，2004月，美国反欺诈财务报告全国发起组织委员会（简称COSO）在广泛吸收各国理论界和实务界研究成果的基础上，发布了《企业风险管理——整合框架》，用以指导企业的全面风险管理活动，并被众多企业用于风险管理领在我国，风险管理是企业管理中的一个相对薄弱环节，风险意识不强，风险管理工作薄弱，是企业发生重大风险事件的重要原因。2006月，制定并发布了《中央企业全面风险管理指引》，对于建立健全风险管理长效机制，推动风险管理工作具有一定的意义。2008月财政部发布企业内部控制基本规范，并将在2009日起在大中型企业实施，强调企业应当建立了实施风险评估程序。然而，纵观我国企业内部控制与风险管理，尚存在许多问题，在新的经济管理下需要以新的措施和方法予以改进。一、内部控制与风险管理的关系分析内部控制与风险管理的关系，是指内部控制这一事物与风险管理这一事物之间的关系。结合国际上对内部控制与风险管理的权威定义，对内部控制与风险管理的关系，目前已有的代表性观点有三种:第一种观点是风险管理包含内部控制，例如,《企业风险管理———整合框架》中明确指出风险管理包含内部控制；内部控制是企业风险管理不可分割的一部分；内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。杨雄胜2005认为，没有系统而有效的内部控制，公司治理将成为一纸空文，而内部控制是实现公司治理的基础设施建设。英国Turnbull委员会2005也认为，风险管理对于企业目标的实现具有重要意义，公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。第二种观点是内部控制包IM电竞 IM电竞app含风险管理，按照施控主体的不同，可将控制分为内部控制和外部控制。《内部控制———整体框架》中将风险评估作为企业内部控制的一个组成要素，实际上就是将风险管理包含在内部控制的范围之内。加拿大COCO报告1995将风险定义为“一个事件或环境带来不利后果的可能性”，阐明了风险管理与控制的关系：“当您在抓住机会和管理风险时,您也正在实施控制。”该报告认为，风险评估和风险管理是控制的关键要素。第三种观点是内部控制就是风险管理，MatthewLeitch2004认为,理论上，风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，正在变为同一事物。从结构说，风险管理与内部控制的组成要素有五个方面是重合的，即控制环境、风险评估、控制活动、信息与沟通、监督。风险管理不仅包括了内部控制的五个要素，而且增加了目标设定、事件识别以及风险对策三个要素，并且在重合的要素中，风险管理的内涵也都有所扩展。此外，从二者的框架结构来看，风险管理不仅包括内部控制的三个目标，而且增加了战略目标。从目的说，风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理，内部控制仅仅是管理的一项职能，不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，主要是通过事后和过程的控制来实现其自身的目标，内部控制制度的制定的主要依据是风险，在某些极端情况下甚至完全是由风险来决定。因此，笔者认为从总体上来说，风险管理涵盖了内部控制，内部控制为风险管理的一方面。 我国企业内部控制与风险管理现状及其问题（一）我国 20世纪 90 年代起，我国开始在企业大力推行内部控 制。1996 年，财政部发布《独立审计具体准则第9 月，财政部颁布《内部会计控制规范——基本规范（试行）》和《内部会计控制规范—— 货币资金（试行）》；2006 年财政部发布企业内部控制规范（征 求意见稿）；2003 月，内部审计准则委员会发布《内部审计具体准则第5 号——内部控制审计》和《内部审计具体 准则第16 号——内部控制中的风险管理》。2006 定并发布了《中央企业全面风险管理指引》，对于建立健全风险管理长效机制，推动风险管理工作具有一定的意义。 2008 月财政部发布企业内部控制基本规范，强调了企业实施风险评估的基IM电竞 IM电竞app本方法。从内部控制理论的发展来看，现 代企业制度下的内部控制已不仅仅是传统的查弊和纠错，而 是涉及到企业的各个方面，成为公司治理的具体体现。在现 代公司制下，内部控制制度的职能不仅仅是保证企业财产的 安全完整，检查会计资料的准确、可靠，还包括促进企业贯 彻经营方针、提高企业经营效率。在实践中，我国企业内部 控制仍停留在保障 会计资料安全、完整及资金的安全性上，无法有效实现会计的监督与参与企业内部管理的职能。 （二）我国企业 内部控制与风险管理运行中存在的问题 我国企业内部控 1．是内部控制对控制环境的关注不够。内部控制理论 认为，内部环境对于企业战略目标的制定、业务活动的组织 以及风险的识别都有着非常深刻的影响。我国主要是从会计 控制的角度来规范内部控制，而且总的来说，我国企业内部 控制IM电竞 IM电竞平台之所以失效，很大程度上在于缺乏一个良好的内部控制 环境。并且，我国企业缺乏有效的现代企业治理机制。在多 极代理关系的现代企业环境下，我国很多上市公司虽然形式 上设立了董事会、监事会、审计委员会等，但在实际行动中， 因国有股和法人股较大，一票制胜，中小股东的权益得不到 切实保护；同时企业“内部人控制”现象较为普遍。 2．现有的内部控制不能控制凌驾于传统内部控制之上的风险。按照上市公司的制度框架，股东大会是其最高权力机 构，但是在国有企业改制为上市公司的过程中，其董事会成 员其实已经由原国有企业的上级部门安排好了，股东，特别 是新加入公司的中小股东对此根本没有什么发言权。有的上 市公司的董事会，甚至成了退下来的党政干部的“安乐窝”。 公司治理制度的缺位，使上市公司的董事长实际上处于无人 监督的境地，在许多“一股独大”的上市公司中，实际也成了 犯罪分子“一人独大”的温床。由此可见，加强和完善上市公 司公司治理层面的内部控制是当务之急。 企业倒闭、破产或不能正常经营，外界常把原因归结于内部控制设计上的缺陷，这虽然没有错，但忽视了内部控制 失效的另一个重要原因，即内部控制固有的局限性，COSO 报告阐述的内部控制四大局限中的两大局限，即一不能解决 管理阶层人员素质问题，二不能左右政府政策或经营环境。 如果没有得到较好的控制，也会直接导致内部控制的失效。 这是凌驾于传统内部控制之上的风险，传统的内部控制很难 解决。 4．我国企业风险管理水平较低，风险管理理念不强。表现在：风险管理作为一种管理职能还基本上没有被融于我国 企业管理中，企业经营基本上还是财务型控制被动经营。企 业发展的总体决策在相当程度上缺乏风险管理理念；企业风 险管理技术水平低，风险评估、信用等级评定缺乏有效的评 定标准，风险控制和风险融资的方式相当有限。很多企业在 风险控制过程中，以事后控制为主要控制方法，对风险的事 前控制重视不够。 5风险管理中过多强调传统的内部控制风险，对传统的内部控制之外的风险关注不足。目前我国企业对于传统的内 部控制十分重视，对各部门都十分严谨的相关规定，但对于 传统的内部控制之外的风险却缺乏关注。例如对董事长、总 裁等高层人员就没有明确规定，致使高层人员无人管理，如 果高层人员命令下属人员作假、舞弊，下属人员只能是听从， 10 这是我国由来已久的问题，但是却一直没有解决。五是未能 建立起有效的风险管理信息系统，风险管理决策缺乏依据。 各类风险数据、损失数据是企业经营管理的数理基础，在相 当程度上也可以说，企业可以通过扩充丰富这类资源，提高 企业的经营水平和展业范围。因此，在理论和实践中都要求 我国各类企业建立一个完整的信息系统对这类资源进行保 护、开发和利用。缺乏这类基础数据的支持，将导致企业的 经营决策缺乏合理的依据。 三、改进内部控制风险管理 框架的措施 笔者认为，针对以上问题，可以从以下三个方面着手改进我国内部控制的风险管理框架。 （一）借鉴 COSO 当前我国企业内部控制基本规范已经建立，但仅有风险评估的内容，并未纳入风险应对的有关内容。根据我国企业 的实际情况，结合《萨班斯——奥克斯法案》和《企业风险 管理——总体框架》，探索和完善有关风险应对的方法和流 （二）加大我国企业内部控制环境关注度。企业应建 立一个良好的内部控制环境，高层人员必须增强内部控制和 防范企业风险的意识，注重企业文化建设，完善公司治理结 构，确认相关的管理职能，充分发挥审计的作用，并且要灵 活运用各种管理控制方法。 （三）加强公司治理层面的 11 内部控制。 公司治理层面的内部控制主要解决凌驾于传统内部控制之上的风险，利用董事会，监事会，股东的相互制衡的方式来 解决企业高层人员一人独大，无人管理而带来的风险。传统 的内部控制侧重于公司经营层面风险应对，但对于许多凌驾 于公司经营的风险却无法控制。因此，应实现公司经营层面 的内部控制和公司治理层面的内部控制结合，实现对公司风 险的全面控制。 百度搜索“就爱阅读”,专业资料、生活学习,尽在就爱阅读网92tocom,您的在线图书馆!