王海生

摘要：內(nèi)部控制是現(xiàn)代企業(yè)管理的一項重要活動，從內(nèi)部控制理論的變遷歷史中可以看出，內(nèi)部控制與風險管理之間聯(lián)系十分緊密?，F(xiàn)代企業(yè)面臨著諸多風險，因此，企業(yè)應(yīng)該完善基于風險管理的內(nèi)部控制體系，提升企業(yè)價值創(chuàng)造的能力，實現(xiàn)企業(yè)目標。

關(guān)鍵詞：內(nèi)部控制；風險管理；企業(yè)價值

早期的內(nèi)部控制是通過賬目核對、崗位分離等方式實現(xiàn)內(nèi)部人員之間的相互制衡與牽制，達到預防錯弊和控制合謀風險的目的。隨著社會經(jīng)濟環(huán)境的發(fā)展以及企業(yè)經(jīng)營管理的變化，企業(yè)面對的風險類別和強度也在不斷變化，內(nèi)部控制理論也經(jīng)歷了一個從內(nèi)部牽制到內(nèi)部控制整體框架四階段的演變過程。雖說在前三個階段中沒有明確指出風險管理的問題，但從內(nèi)部控制的演進背景和目的中可以知道它與風險是相伴相隨。因此，內(nèi)部控制不能忽視對風險的管理。一個有效的關(guān)注風險的內(nèi)部控制對企業(yè)價值創(chuàng)造起著重要的作用。然而，目前理論界和實務(wù)界并不十分注重風險的內(nèi)部控制。此外，近年來諸如世通、安然等國際知名公司的失敗案例也在不斷地警示著現(xiàn)代企業(yè)要建立重視風險的內(nèi)部控制體系。

1.風險管理視角下的內(nèi)部控制

1.1內(nèi)部控制理論的變遷歷史

內(nèi)部控制理論研究起源于20世紀40年代中期，伴隨著企業(yè)規(guī)模、組織結(jié)構(gòu)及經(jīng)濟環(huán)境的變化，內(nèi)部控制理論也在變遷過程中不斷地豐富。20世紀40年代以前，內(nèi)部控制理論以內(nèi)部牽制為主要形式。該階段強調(diào)企業(yè)內(nèi)部人員之間的相互制衡與牽制，通過賬目核對、崗位分離等方式來控制合謀風險，以達到確保公司賬目的正確及資產(chǎn)的安全的目的；20世紀40年代至70年代之間，內(nèi)部控制制度產(chǎn)生，該階段強調(diào)注冊會計師的審計責任，通過技術(shù)性的手段加強會計和管理的控制，預防和發(fā)現(xiàn)錯弊；20世紀80年代，美國注冊會計師協(xié)會首次提出“內(nèi)部控制結(jié)構(gòu)”概念，該階段強調(diào)控制環(huán)境、會計制度和控制程序的有機結(jié)合，目的是通過制定各種規(guī)則和程序來控制企業(yè)的各項業(yè)務(wù)活動，確保企業(yè)目標的實現(xiàn)；20世紀90年代，COSO委員會構(gòu)建了含三項目標、五個要素的內(nèi)部控制整體框架，該階段在內(nèi)部控制系統(tǒng)中加入了風險評估要素，強調(diào)企業(yè)的內(nèi)部控制活動是一個動態(tài)的過程，需要對企業(yè)的風險點進行整體把控。

從內(nèi)部控制理論的變遷歷史中可以看出，內(nèi)部控制與風險管理之間聯(lián)系十分緊密。早期的內(nèi)部牽制是企業(yè)為了避免相關(guān)人員通過合謀來侵害企業(yè)財產(chǎn)安全以及保證信息真實性而采取的一種風險防范行為。應(yīng)該說內(nèi)部牽制本身是對合謀風險的控制，其實質(zhì)就是風險管理。隨著經(jīng)濟環(huán)境的日益復雜，企業(yè)規(guī)模，組織結(jié)構(gòu)的不斷變化，內(nèi)部控制理論也不斷演變，歷經(jīng)四個階段?？墒?，無論如何演變，內(nèi)部控制都離不開風險的影子，企業(yè)風險管理的現(xiàn)實需要推動了內(nèi)部控制理論的發(fā)展，兩者在發(fā)展過程中也日趨融合。

1.2風險管理視角下的內(nèi)部控制——《企業(yè)風險管理整合框架》

2004年，COSO委員會在對內(nèi)部控制整體框架進一步研究的基礎(chǔ)上為企業(yè)風險管理構(gòu)建了一個從企業(yè)戰(zhàn)略目標制定到最終目標實現(xiàn)的完整框架，即著名的《企業(yè)風險管理整合框架》。該框架明確指出風險管理是一個為實現(xiàn)企業(yè)目標，而由企業(yè)各個層級人員所共同實施的貫穿整個企業(yè)的動態(tài)過程。整個風險管理過程集內(nèi)部環(huán)境、目標設(shè)定、事項識別、風險評估、風險應(yīng)對、控制活動、信息與溝通和監(jiān)控八大要素。但企業(yè)風險管理的過程并非嚴格按照八要素的順序依次完成，而是根據(jù)企業(yè)管理的需要進行有機的整合?！镀髽I(yè)風險管理整合框架》拓展了內(nèi)部控制，對企業(yè)所面臨的風險進行集中全面的關(guān)注。為企業(yè)董事會與管理層在經(jīng)營管理過程中識別風險、規(guī)避陷阱、把握機遇進而提升企業(yè)價值提供了清晰的指南。

企業(yè)風險管理的目標是使得管理者在面對內(nèi)外部眾多不確定因素時，能夠有效地應(yīng)付由之所帶來的機會和風險，增進企業(yè)價值創(chuàng)造的能力。因此，在風險視角下，內(nèi)部控制是一種管理企業(yè)風險、實現(xiàn)企業(yè)價值的重要制度保證，能夠有助于企業(yè)總體目標的實現(xiàn)。

2.風險管理視角下的內(nèi)部控制對企業(yè)價值創(chuàng)造的作用機制

2.1風險管理有助于戰(zhàn)略目標的制定

企業(yè)戰(zhàn)略目標是企業(yè)戰(zhàn)略構(gòu)成的基本內(nèi)容，是企業(yè)使命和宗旨的展開與具體化。反映了企業(yè)在一定時期內(nèi)經(jīng)營活動的方向和所要達到的水平。企業(yè)風險管理整體框架增加了戰(zhàn)略目標，強調(diào)了企業(yè)整體層面上對于風險識別和管理的重要性，同時也將企業(yè)風險管理整體框架應(yīng)用于企業(yè)的戰(zhàn)略制定過程之中，要求企業(yè)在戰(zhàn)略制定階段就應(yīng)該考慮到各種可能的風險因素，對企業(yè)的戰(zhàn)略方案進行綜合分析，將企業(yè)的戰(zhàn)略風險控制在合理范圍之內(nèi)。將風險管理的思想植入企業(yè)戰(zhàn)略決策的初期，一方面可以使企業(yè)避免在源頭上犯錯誤，好的開始就是成功的一半，一個好的戰(zhàn)略方案的實施對于企業(yè)價值的提升將會起到極大的推動作用；另一方面，也可以減少因風險因素考慮不周，對戰(zhàn)略目標不斷進行修改的成本以及錯誤的戰(zhàn)略實施所造成的損失。

2.2風險管理可以有效控制風險

市場經(jīng)濟條件下，風險存在于企業(yè)運營的每個環(huán)節(jié)中。風險表現(xiàn)為一種不確定性，這種不確定性可能會是一種機會，給企業(yè)帶來收益，也可能是一種威脅，給企業(yè)造成損失。李心和（2007）認為，風險是一項價值驅(qū)動因素，在價值管理中風險并非越小越好，為了獲得機會，很多時候需要管理者正視風險，愿意并有技巧地應(yīng)對風險。企業(yè)在生產(chǎn)經(jīng)營過程中需要對其戰(zhàn)略風險、經(jīng)營和財務(wù)及相關(guān)風險、具體業(yè)務(wù)風險等不同層次的進行管理?！镀髽I(yè)風險管理整合框架》為風險管理構(gòu)建了一個由事件識別、風險反應(yīng)和風險評估結(jié)合的完整過程。針對每個層次的風險，都需要從事件識別開始，即識別可能的機會與威脅，并在此基礎(chǔ)上，對風險進行分析和評估，在企業(yè)可接受的風險限度內(nèi)，采取措施，積極應(yīng)對風險。從而保證機會的實現(xiàn)，降低可能的威脅，使得企業(yè)的收益盡可能的大而損失盡可能的小，讓企業(yè)的價值在不斷的經(jīng)營過程中得到提升。

3.強化風險管理視角下的內(nèi)部控制，提升企業(yè)價值創(chuàng)造的能力

3.1完善風險管理內(nèi)部控制組織體系

一個完善的內(nèi)部控制組織體系是風險管理活動得以在企業(yè)順利進行的有力保障。企業(yè)需要構(gòu)建一個集董事會、管理者和員工共同組成的全員式、分層級的內(nèi)部控制組織架構(gòu)。首先應(yīng)該在董事會下設(shè)風險管理委員會，該委員會應(yīng)該獨立于企業(yè)的其他部門，直接向董事會負責。作為企業(yè)風險管理的最高決策和審議機構(gòu)，風險管理委員會要保證企業(yè)的風險管理戰(zhàn)略與企業(yè)的風險偏好相一致。與此同時，在風險管理的執(zhí)行層面，企業(yè)各部門應(yīng)該成立風險管理領(lǐng)導小組，在風險管理委員會的領(lǐng)導下具體負責部門風險管理事務(wù)，以便對業(yè)務(wù)靈越出現(xiàn)的各種風險作出快速有效地應(yīng)對。

3.2建立風險預警和風險報告機制

企業(yè)處在一個動態(tài)的環(huán)境中，所面臨的風險也在不斷的變化。企業(yè)的風險管理必須適應(yīng)形勢的變化，是一個動態(tài)的系統(tǒng)的過程。很多時候企業(yè)需要提前預測潛在的風險并及時報告發(fā)現(xiàn)的風險，從而使企業(yè)能夠快速的對風險作出反應(yīng)，將風險控制在企業(yè)可接受的范圍內(nèi)。因此，應(yīng)該在企業(yè)中建立風險預警機制和風險報告機制。風險預警機制可借鑒現(xiàn)代風險管理技術(shù)來預測風險發(fā)送的幾率及強度。風險報告機制要求企業(yè)各個層面的員工一旦識別可能存在風險因素時，應(yīng)及時向風險管理部門匯報。從而使風險管理部門和管理層能夠及時對風險信息進行評估，并采取應(yīng)對措施，降低風險發(fā)生的概率，減少風險所帶來的損失。

3.3優(yōu)化內(nèi)部控制的評價系統(tǒng)

內(nèi)部控制評價是對企業(yè)內(nèi)部控制活動的監(jiān)控和保障。企業(yè)需要將風險管理過程評價納入到內(nèi)部控制評價系統(tǒng)中。要充分發(fā)揮內(nèi)部審計在內(nèi)部控制評價中的作用，要求內(nèi)部審計全程參與到風險管理過程中，對風險管理的過程進行評價，推動企業(yè)優(yōu)化風險管理體系。此外，企業(yè)還需要加強對內(nèi)部控制中的風險管理活動進行監(jiān)督，并對風險管理的執(zhí)行情況進行績效考評。在不斷的改進和激勵過程中，促進企業(yè)風險管理水平的提升，通過內(nèi)部控制評價系統(tǒng)是自我優(yōu)化，來促進企業(yè)價值的增長。