前言：本站為你精心整理了企業(yè)內(nèi)部控制管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

【摘要】筆者認為，在我國企業(yè)面臨WTO全面對外開放的環(huán)境下，從風險管理的角度研究企業(yè)內(nèi)部控制既是一個重要的理論問題，也是一個迫切的實踐問題。本文從多個角度對這一命題進行了深入分析。

內(nèi)部控制是社會經(jīng)濟發(fā)展到一定階段的產(chǎn)物，其內(nèi)容隨著企業(yè)對外滿足社會需要、對內(nèi)強化管理而不斷豐富和發(fā)展。內(nèi)部控制是現(xiàn)代企業(yè)管理的重要手段，建立有效的企業(yè)內(nèi)部控制制度是經(jīng)濟管理工作的重要基礎。不斷完善企業(yè)內(nèi)部控制制度，對于防范舞弊，減少損失，提高資本的獲利能力，保障企業(yè)各項資產(chǎn)安全、完整具有積極的意義。

但是進入21世紀，安然、世通和施樂等世界知名大公司的一系列財務丑聞，給廣大投資者帶來了嚴重的打擊，同時也暴露了企業(yè)內(nèi)部控制存在的問題。各國理論界和實務界認為當前的內(nèi)部控制框架有一定的局限性，如對風險的強調(diào)不夠，使得內(nèi)部控制無法與企業(yè)的風險管理相結(jié)合。一時間，企業(yè)的風險管理成為人們關(guān)注的焦點，也作為企業(yè)戰(zhàn)略管理中的核心登上了公司治理的舞臺。2004年10月份COSO（CommitteeOfSponsoringOrganizationsOfTheTread-wayCommission）的《企業(yè)風險管理——整合框架》是在1992年報告的基礎上，結(jié)合《薩班斯——奧克斯法案》的相關(guān)要求進行擴展研究得到的。該框架強化了風險管理，涵蓋了原有內(nèi)部控制的合理內(nèi)容。風險管理的興起對內(nèi)部控制產(chǎn)生了重大的影響。COSO認為，內(nèi)部控制是風險管理的一部分，企業(yè)風險管理框架是在內(nèi)部控制整體架構(gòu)基礎上發(fā)展而來的，內(nèi)部控制與風險管理有著密切的聯(lián)系。

目前在經(jīng)濟建設不斷加快的背景下，中國企業(yè)要提高自身的國際競爭力以及在國際資本市場的信譽度，減少財務丑聞的發(fā)生，必須加緊改善自身的管理，建立完善的內(nèi)部控制制度，識別和衡量企業(yè)所面臨的內(nèi)外部風險，并根據(jù)風險評估結(jié)果開展恰當?shù)目刂苹顒樱驕p少企業(yè)風險帶來的損失，提高企業(yè)的應對能力和競爭力。同時，為了適應世界經(jīng)濟發(fā)展的形勢，我國企業(yè)也迫切需要學習和借鑒國際上關(guān)于內(nèi)部控制的理論研究成果。

一、風險的概念剖析

風險的定義目前主要有兩種觀點：其一是以美國學者威利特等為典型代表的靜態(tài)學派，他們把風險理解為不確定事件。這種理解從風險管理與保險關(guān)系的角度出發(fā)，以概率的觀點對風險進行定義。其二是以美國學者威廉姆斯和賽因斯為典型代表的動態(tài)學派，他們認為：“風險是在一定條件下，一定時間內(nèi)可能產(chǎn)生結(jié)果的變動?！边@種變動就是預期結(jié)果與實際結(jié)果的差異，意味著預期結(jié)果和實際結(jié)果的不一致或偏差。因此，這種變動越大，風險越大。

另外，也有人將風險分為純粹風險和投機風險兩類。純粹風險是指有可能帶來損失的風險；投機風險是指既有可能帶來損失，又有可能帶來機會的風險，如股票投資，既可以為投資者帶來豐厚的利潤，也可能使投資者遭受重大的損失。

對現(xiàn)代企業(yè)來說，風險是某種不利因素產(chǎn)生并造成實際損失致使企業(yè)目標無法實現(xiàn)或降低實現(xiàn)目標的效率的可能性。企業(yè)風險可以分為政策風險、戰(zhàn)略風險、日常經(jīng)營管理風險及財務風險。政策風險主要是國家宏觀經(jīng)濟政策或行業(yè)政策改變導致企業(yè)所面臨的風險；戰(zhàn)略風險主要表現(xiàn)在企業(yè)的多元化經(jīng)營與企業(yè)并購方面；日常經(jīng)營管理風險按照日常運轉(zhuǎn)的關(guān)鍵環(huán)節(jié)劃分，主要包括供應風險、生產(chǎn)風險和銷售風險；企業(yè)的財務風險則是指企業(yè)財務活動目標不能得以實現(xiàn)的可能性，包括籌資風險、資金投放的風險及企業(yè)其他財務活動風險。

二、風險管理的演進歷史及現(xiàn)狀

風險管理是采取一定的措施對風險進行檢測評估，使風險降低到可以接受的程度，并將其控制在某一可以接受的水平上。從職能上說，風險管理就是在對風險進行觀察、評估的基礎上控制風險可能造成的損失，保證組織目標的實現(xiàn)。對風險管理的定義可以理解為：一是風險管理是一個系統(tǒng)過程，包括風險的識別、衡量和控制等環(huán)節(jié)；二是風險管理的目標在于控制和減少損失，提高有關(guān)單位或個人的經(jīng)濟利益或社會效果；三是風險管理是一種管理方法。

風險管理作為企業(yè)的一項管理活動，產(chǎn)生于20世紀50年代的美國，當時美國一些大公司發(fā)生的重大損失使公司的高層決策者開始認識到風險管理的重要性。在那時，風險管理是企業(yè)管理的一個重要組成部分，主要涉及的是對企業(yè)純粹風險的管理。這一特征是和那時企業(yè)經(jīng)營環(huán)境相對簡單，因而純粹風險給企業(yè)經(jīng)營帶來的影響最為嚴重以及通過保險手段可以對純粹風險進行有效管理是密切相關(guān)的。

20世紀80年代后，企業(yè)的經(jīng)營環(huán)境開始發(fā)生了巨大變化，以價格風險、利率風險、匯率風險等為代表的財務風險開始給企業(yè)帶來巨大的威脅，使得企業(yè)開始尋求規(guī)避財務風險的工具。但企業(yè)在這方面的努力僅限于一些孤立的實踐活動，并沒有形成完整的理論和方法體系。反而在金融機構(gòu)中，由于所經(jīng)營的金融產(chǎn)品帶來的各種風險加劇，逐步形成了針對金融機構(gòu)的相對完整而系統(tǒng)的金融風險管理體系，其針對的對象和內(nèi)容都與傳統(tǒng)風險管理有很大不同。

到20世紀末，隨著大型企業(yè)特別是巨型跨國公司面臨的風險管理日趨多樣和復雜，開始出現(xiàn)了將企業(yè)的所有風險，包括純粹風險和財務風險綜合起來進行管理的需要。這種需求使得在歷史上不同時期，并沿著兩條不同軌跡發(fā)展起來的傳統(tǒng)風險管理和金融財務風險管理終于結(jié)合在一起，形成一個嶄新的概念——全面風險管理。

全面風險管理是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

三、COSO風險管理框架

近年來，許多公司關(guān)注企業(yè)風險管理，他們對企業(yè)風險管理框架的需求日益增加。2001年，COSO委托普華永道設計一種能被企業(yè)管理層用來評估和改善企業(yè)風險管理的框架。在這一時期，美國出現(xiàn)了包括安然公司在內(nèi)的一系列公司財務丑聞，使投資者蒙受了巨大的損失。之后，要求改善公司治理結(jié)構(gòu)和提高風險管理能力的呼聲日益高漲。2002年美國通過了薩班斯——奧克斯利法案（Sarbanes——OxleyActof2002），其中的404條款要求上市公司管理當局對內(nèi)部控制的有效性進行披露報告，同時也要求注冊會計師對上市公司內(nèi)部控制的效果進行審計。正是在這一背景下，COSO于2004年10月了《企業(yè)風險管理——整合框架》的報告。

（一）風險管理的定義

COSO對其定義為：“企業(yè)風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內(nèi)，從而合理確保企業(yè)取得既定的目標。”

ERM框架對內(nèi)部控制的定義明確了以下內(nèi)容：1.是一個過程；2.被人影響；3.應用于戰(zhàn)略制定；4.貫穿整個企業(yè)的所有層級和單位；5.旨在識別影響組織的事件并在組織的風險偏好范圍內(nèi)管理風險；6.合理保證；7.為了實現(xiàn)各類目標。對比COSO1992年的定義，ERM概念要細化得多。由于新COSO報告提出了風險偏好、風險容忍度等概念，使得ERM的定義更加明確、具體。

（二）風險管理的目標

ERM認為風險管理的目標有：戰(zhàn)略目標——與使命相關(guān)聯(lián)并支撐其使命；經(jīng)營目標——有效和高效率地利用其資源；報告目標——報告的可靠性；合規(guī)性目標——企業(yè)經(jīng)營符合相關(guān)法律法規(guī)的規(guī)定。

ERM整體框架中除了經(jīng)營目標和合規(guī)性目標與內(nèi)部控制整體框架相似以外，還將“財務報告的可靠性”發(fā)展為“報告的可靠性”。原COSO報告把財務報告的可靠性界定為“編制可靠的公開財務報表，包括中期和簡要財務報表以及從這些財務報表中摘出的數(shù)據(jù)，如利潤分配數(shù)據(jù)”；新報告則將報告拓展到“內(nèi)部的和外部的”、“財務的和非財務的報告”，該目標涵蓋了企業(yè)的所有報告。除此之外，新COSO報告提出了一類新的目標——戰(zhàn)略目標。該目標的層次比其他三個目標更高。企業(yè)的風險管理在應用于實現(xiàn)企業(yè)其他三類目標的過程中，也應用于企業(yè)的戰(zhàn)略制定階段。

（三）風險管理的控制要素

1994年COSO報告《內(nèi)部控制——整體框架》中，提出了五個要素：控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)督。ERM框架對這五個要素進行了深化和拓展，將其演變?yōu)榘藗€要素，即增加了控制環(huán)境內(nèi)部化；目標作為要素；風險要素的擴展。

主要有：1.內(nèi)部環(huán)境——內(nèi)部環(huán)境包含組織的基調(diào)，它為主體內(nèi)的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀以及他們所處的經(jīng)營環(huán)境。2.目標設定——必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。3.事項識別——必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風險和機會。機會應被反饋到管理當局的戰(zhàn)略或目標制訂過程中。4.風險評估——通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應立足于固有風險和剩余風險。5.風險應對——管理當局選擇風險應對、回避、承受、降低或者分擔風險，采取一系列行動以便把風險控制在主體的風險容限和風險容量以內(nèi)。6.控制活動——制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施。7.信息與溝通——確保有關(guān)員工履行其職責的信息得以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。8.監(jiān)控——對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結(jié)合來完成。

（四）相關(guān)角色和任務的變化

新老COSO報告都將組織的董事會、管理層、內(nèi)部審計等職員看成是內(nèi)部控制框架中的相關(guān)責任人。董事會制訂戰(zhàn)略，管理、指引和核查一些特殊交易和政策。董事會既是內(nèi)部控制的因素，也是企業(yè)風險管理的重要因素。ERM框架使董事會在企業(yè)風險管理方面扮演更加重要的角色，即擔負總體責任，企業(yè)風險管理的成功與否在很大程度上依賴于董事會，董事會需要批準組織的風險偏好。

在ERM框架中，管理層必須識別目標和戰(zhàn)略方案，并將其分類為戰(zhàn)略目標、經(jīng)營目標、報告目標和遵循性目標四類。每一個業(yè)務單元、分部、子公司的領導也需要識別各自的目標，并與企業(yè)的總體目標相聯(lián)系。一旦設定了目標，管理層就需要識別影響風險的事項、評估風險并采取控制措施。

在ERM框架中，內(nèi)部審計人員在監(jiān)督和評價成果方面承擔重要任務。他們要協(xié)助管理層和董事會監(jiān)督、評價、檢查、報告風險。對于內(nèi)審人員來說，最大的挑戰(zhàn)是在ERM中扮演何種角色，很多內(nèi)審人員可能被要求提供ERM的教育和訓練，甚至“處理企業(yè)風險管理過程”。但是，新報告認為：內(nèi)審人員并不對建立ERM體系承擔主要責任。內(nèi)審人員職責的另一個變化是原來對CFO和內(nèi)審委員會負責，現(xiàn)在可能要對CFO、內(nèi)審委員會和風險主管負責。

在ERM框架中，新增加了一個角色——風險主管或風險經(jīng)理。風險主管除了需要和其他管理人員一樣在自己的職責范圍內(nèi)建立起風險管理外，還要幫助其他經(jīng)理人報告企業(yè)風險信息，并可能是風險管理委員會的成員之一。

四、內(nèi)部控制與風險管理的關(guān)系

從新的COSO框架對企業(yè)內(nèi)部控制的完善來看，企業(yè)內(nèi)部控制逐漸呈現(xiàn)與風險管理靠攏和一體化的趨勢，即以風險管理為主導，建立適應企業(yè)風險管理戰(zhàn)略的新的內(nèi)部控制，從內(nèi)部控制走向風險管理。

風險管理的目的是要防止風險、及時地發(fā)現(xiàn)風險、預測風險可能造成的影響，并設法把不良影響控制在最低的程度。內(nèi)部控制就是企業(yè)內(nèi)部采取的風險管理，內(nèi)部控制制度的制定依據(jù)主要是風險，在某些極端情況下甚至完全由風險因素來決定。風險越大，越有必要設置適當?shù)膬?nèi)部控制措施，風險相當大時，還要設置多重內(nèi)部控制措施。而且做好內(nèi)部控制是做好風險管理的前提。一家企業(yè)只有從加強內(nèi)部控制做起，通過風險意識的提高，尤其是提高企業(yè)中處于關(guān)鍵地位的中、高層管理人員的風險意識，才能使企業(yè)安全運行，否則，處于失控狀態(tài)的企業(yè)最終將被激烈競爭的市場經(jīng)濟大潮淹滅。

風險管理是內(nèi)部控制概念的自然延伸。在新技術(shù)和市場的推動下，內(nèi)部控制走向風險管理。例如，在計算機網(wǎng)絡和金融衍生工具市場存在的條件下，企業(yè)可以運用金融衍生工具防范因匯率和利率波動給企業(yè)帶來的財務風險。內(nèi)部控制是企業(yè)防范風險的日常運行功能與結(jié)構(gòu)，包括確保財務信息的真實可靠、遵守相關(guān)的法律法規(guī)等。在新技術(shù)和市場條件下，為維護股東的利益，實現(xiàn)企業(yè)目標，還需要基于內(nèi)部控制更主動、更靈活、更全面的風險管理。

內(nèi)部控制和風險管理各有側(cè)重。內(nèi)部控制側(cè)重制度層面，通過規(guī)章制度規(guī)避風險；風險管理側(cè)重交易層面，通過市場化的自由競爭或市場交易規(guī)避風險。一般來說，典型的內(nèi)部控制依然是為了保證資金安全和會計信息的真實可靠，會計控制是其核心，內(nèi)部控制一般僅限于財務及相關(guān)部門，并沒有滲透到企業(yè)管理過程和整個經(jīng)營系統(tǒng)，控制只是管理的一項職能；典型的風險管理關(guān)注特定業(yè)務中與戰(zhàn)略選擇或經(jīng)營決策相關(guān)的風險與收益的比較，如銀行的授信管理、匯率風險管理和利率風險管理等，它貫穿于管理過程的各個方面。從以上分析可以看出，風險管理是內(nèi)部控制概念在新技術(shù)和市場條件下的自然延伸，風險管理包括內(nèi)部控制，內(nèi)部控制是風險管理的基礎。風險管理側(cè)重于市場交易層面。

正因為內(nèi)部控制與風險管理有內(nèi)在的聯(lián)系，各國分別以不同的方式逐步將內(nèi)部控制與風險管理聯(lián)系起來。巴塞爾委員會的《銀行業(yè)組織內(nèi)部控制系統(tǒng)框架》中指出：“董事會負責批準并定期檢查銀行整體戰(zhàn)略及重要制度，了解銀行的主要風險，為這些風險設定可接受的水平，確保管理層采取必要的步驟去識別、計量、監(jiān)督以及控制這些風險……”，顯然是把風險管理的內(nèi)容納入到內(nèi)部控制框架中了。2004年1月8日，我國有關(guān)方面舉辦了“商業(yè)銀行風險管理與內(nèi)部控制論壇”，這表明我國銀行業(yè)也開始將內(nèi)部控制與風險管理聯(lián)系起來。

盡管風險管理與內(nèi)部控制有內(nèi)在的聯(lián)系，但現(xiàn)實中的內(nèi)部控制應用水平與風險管理還有不小的差距。典型的風險管理關(guān)注特定業(yè)務中與戰(zhàn)略選擇或經(jīng)營決策相關(guān)的風險與收益比較；典型的內(nèi)部控制是指會計控制、審計活動等，一般局限于財務相關(guān)部門。它們的共同點都是低水平、小范圍，只局限于少數(shù)職能部門，并沒有滲透或應用于企業(yè)管理過程和整個經(jīng)營系統(tǒng)，因此，有時看上去風險管理與內(nèi)部控制還是相互獨立的兩件事。但是，隨著內(nèi)部控制或風險管理的不斷完善，它們之間必然會相互交叉、融合，直至統(tǒng)一。