摘 要：內部控制與風險管理是推動企業(yè)高質量發(fā)展，打造中國式現代化企業(yè)的重要基礎和核心領域。通過分析梳理二者理論淵源與內在聯(lián)系，探索構建符合現階段中國式發(fā)展的企業(yè)內部控制與風險管理融合框架，探尋具有可操作性的實踐路徑，為有效提升企業(yè)經營管理水平，推動企業(yè)高質量發(fā)展提供參考借鑒。

關鍵詞：企業(yè)管理 內部控制 風險管理 融合框架

中圖分類號：F270? 文獻標識碼：A

文章編號：1004-4914（2024）06-273-03

一、研究背景

近年來，隨著現代企業(yè)管理理論研究與實踐的不斷深入，內部控制和風險管理成為西方發(fā)達國家企業(yè)管理體系中的重要基礎和核心領域。我國企業(yè)在借鑒運用二者理論時，遇到了邊界不清、重復投入、職能交叉、效果不佳等一系列實踐問題，企業(yè)不斷投入增加管理成本，但并未產出預期管理效果。因此，探索構建符合現階段中國企業(yè)的內部控制與風險管理融合框架，探尋具有較強可操作性的實踐路徑，對提高企業(yè)核心競爭力，推動企業(yè)高質量發(fā)展具有重要意義，是全面建設社會主義現代化強國，推進中國式現代化的一項重要課題。

二、理論淵源與關系梳理

1992年，美國COSO委員會發(fā)布了全球聞名的《Internal Control-Integrated Framework（1992）》[1]，成為指導企業(yè)內部控制理論和實踐的首部集大成者，是現代企業(yè)內部控制最具有權威性的理論框架。該框架以控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督為五大管理要素，以運營管理、財務報告、合規(guī)性為三大管理目標，構建了一套較為科學完整的企業(yè)內部控制理論框架模型。時隔20年后，COSO對其第一版發(fā)布的具有國際影響力的內部控制框架進行了更新，但是針對原有5要素的立方體框架沒有做根本性調整，只是對更新文件采用了國際通行的要素加原則的書寫方式，詳述了企業(yè)內部控制的5個要素20個原則以及82個關注點。

2004年，美國COSO委員會發(fā)布了《Enterprise Risk Management-Integrated Framework》[2]，標志美國COSO委員會企業(yè)風險管理理論研究成果面世。該框架以內部環(huán)境、目標設置、事件識別、風險評估、風險反映、控制活動、信息與溝通、監(jiān)督為管理要素，以戰(zhàn)略、經營、報告、合規(guī)為管理目標。時隔13年后，COSO在2017年完成對風險管理框架的修訂工作，修訂版本的內容主要是強調了風險和價值之間的關聯(lián)性，重新審視了企業(yè)風險管理整合框架所關注的焦點，增強了績效和企業(yè)風險管理工作的協(xié)同效應，明確了企業(yè)風險管理和內部控制的關系，優(yōu)化了風險偏好和風險承受度的概念，但在實踐中，風險管理工作者使用2004年發(fā)行的風險管理相關工具和技術的仍占大多數。

1992年版內部控制框架和2004年版風險管理框架在全球范圍內獲得廣泛認可和實踐運用。但是，企業(yè)經過實踐發(fā)現純粹從建立和維護一個健全、有效的內部控制體系，不足以防范某些失敗案例的再次發(fā)生，導致失敗的有些因素已超出了內部控制的范疇，而風險管理理論框架對于初創(chuàng)期或發(fā)展期的企業(yè)過于前衛(wèi)，缺乏業(yè)務支撐點和實施土壤。同時，我國大多數企業(yè)尤其是國有企業(yè)的質量管理體系、安全管理體系、環(huán)保管理體系、預算管理體系、風險管理體系、內部控制體系、審計監(jiān)察體系、合規(guī)管理體系層出不窮，整合各類體系的管理需求日趨緊迫。因此，通過內部控制和風險管理的理論淵源和關系梳理可以看出，內部控制和風險管理是兩個同宗同源、相互補充、取長補短的管理體系，兩者理論框架融合具有可能性，并且內部控制作為一種經歷時間考驗的企業(yè)管理體系，是企業(yè)風險管理工作的一個重要基礎和組成部分。

三、融合框架模型

從理論淵源的角度分析，美國COSO委員會首先研究發(fā)布企業(yè)內部控制框架，經歷12年后，研究頒布企業(yè)風險管理框架。內部控制作為基礎理論框架，相較于風險管理理論框架，更具有基礎性和可塑性，更適合兩者融合框架的主體模型;從我國企業(yè)發(fā)展階段的角度分析，與西方發(fā)達國家企業(yè)相比，國內大多數企業(yè)還處于低水平時期，距離科學化、精細化管理的現代企業(yè)還具有較大差距，風險管理理論框架對于企業(yè)管理水平和能力要求更高，內部控制理論框架更加適應符合我國企業(yè)管理的實際情況;從企業(yè)管理需求的角度分析，近年來風險管理理論被提升到文化戰(zhàn)略、價值創(chuàng)造等層面，是一項更為高層次的企業(yè)管理需求，內部控制相較于風險管理更加符合現階段我國企業(yè)的實際管理需求。

綜上所述，融合框架模型以內部控制模型作為主體框架，融入風險管理模型的先進理念和管理要素，將目標設定和戰(zhàn)略視角融入管理要素和管理目標，構建符合現階段我國企業(yè)的內部控制與風險管理融合框架。融合框架以內部環(huán)境、目標設定、風險評估、控制活動、信息與溝通、監(jiān)督活動為六大管理要素，以戰(zhàn)略、運營、報告、合規(guī)為四大管理目標。其中，目標設定和戰(zhàn)略管理是融合框架的重要內容，對于探索構建符合現階段中國企業(yè)內部控制與風險管理融合框架，推動企業(yè)高質量發(fā)展具有重要意義。目標設定主要表現為內部控制和風險管理的目標預期，對于不同發(fā)展階段和類型的企業(yè)，需要結合自身內部管理環(huán)境，結合企業(yè)自身實際設定內部控制和風險管理的目標預期，從而更好地在企業(yè)內部推動內部控制和風險管理各項工作。戰(zhàn)略管理主要表現為內部控制和風險管理要為以企業(yè)發(fā)展戰(zhàn)略服務為核心目標，根據不同時期企業(yè)的發(fā)展戰(zhàn)略或企業(yè)的戰(zhàn)略調整，相應調整內部控制和風險管理的工作環(huán)節(jié)和流程，必要時可根據企業(yè)自身實際需要做出大范圍的結構性調整。

四、實踐路徑

（一）內部環(huán)境

內部環(huán)境是企業(yè)實施有效內部控制和風險管理的重要基礎和實施土壤[3]。絕大多數企業(yè)內部控制和風險管理效果不好，主要原因就在于企業(yè)內部環(huán)境較差。西方發(fā)達國家企業(yè)已經歷上百年的發(fā)展歷程，積累了大量的企業(yè)管理經驗，內部控制和風險管理的管理環(huán)境已發(fā)展成熟，而中國企業(yè)隨著改革開放經歷了幾十年跨越式高速發(fā)展，遺留下來不少企業(yè)管理方面的問題，尤其是企業(yè)內部管理環(huán)境問題，已成為制約企業(yè)高質量發(fā)展的重要阻礙。具體實施路徑如下：在企業(yè)組織架構方面，從頂層設計層面將企業(yè)內部控制和風險管理職能合并，是推動內部控制和風險管理有效融合和貫徹實施的有效手段，如將企業(yè)董事會或類似決策機構作為內部控制和風險管理工作的主責機構，其附屬職能管理機構根據企業(yè)自身條件和實際情況聯(lián)合設置，并將內部控制和風險管理工作作為董事會年度工作報告機制的重要部分，每年按法定程序提交股東（大）會審議通過;在企業(yè)文化建設方面，內部控制和風險管理在本質上是企業(yè)風險文化意識的體現[4]，將兩者融合集中形成一股新興文化加以宣傳培訓，不僅能夠有效提高企業(yè)管理資源配置效率，還能在一定程度上減輕企業(yè)職工的抵觸心理，跳出形式主義的工作怪圈，切實有效推進工作。

（二）目標設定

目標設定是風險管理框架中的先進理念和管理要素，在內部控制框架中加入目標設定這一管理要素，更能滿足不同管理水平和發(fā)展階段企業(yè)的實際管理需求，對于探索構建符合現階段中國企業(yè)內部控制與風險管理融合框架，推動企業(yè)高質量發(fā)展具有重要意義。具體實施路徑如下：對于初創(chuàng)期企業(yè)，應當適當降低內部控制和風險管理目標閥值，在組織架構設置、業(yè)務流程審批，內部管理制度等方面的目標設定要結合自身實際，滿足基本管理需求;對于發(fā)展期企業(yè)，應當逐步提高內部控制和風險管理目標閥值，妥善選擇風險偏好和風險承受度，增加風險評估的強度和頻率，梳理完善企業(yè)管理制度和業(yè)務流程;對于成熟期企業(yè)，應當全面提高內部控制和風險管理目標閥值，進一步強化內部流程監(jiān)督管理，審慎選擇風險管理策略，在必要的情況下選擇風險管理解決外包方案。

（三）風險評估

風險評估是內部控制和風險管理框架中重合度最高的管理要素，實施風險評估的基本流程和工作環(huán)節(jié)基本一致。具體實施路徑如下：在對所收集的風險管理初始信息和企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行風險評估時，企業(yè)可在風險種類、風險原因、影響程度等方面制定統(tǒng)一標準，采用相同的風險評估方法，共用一套風險數據庫、風險事件清單[5];在具體組織開展風險評估時，可結合企業(yè)所處發(fā)展階段和具體經營狀況，按照風險辨識、風險分析、風險評價三個基本流程，定期預測分析外部和內部環(huán)境變化對企業(yè)造成的潛在風險，同時根據管理需求和能力，可對全部或部分重要業(yè)務流程開展風險評估。

（四）控制活動

控制活動是內部控制框架最核心的管理要素，同時也是風險管理框架中風險控制的重要環(huán)節(jié)，在風險管理框架的風險管控措施中，基本上可以用到內部控制活動的技巧和方法。具體實施路徑如下：企業(yè)可將控制活動分為預防性措施和檢查性措施，包括一系列手工控制和自動化控制，如授權、審批、驗證、調節(jié)、業(yè)績評價等，在制定各項工作流程中，將企業(yè)風險識別嵌入其中;職責分離是內部控制中最基本的控制措施，在設計可行性研究與決策審批、決策審批與執(zhí)行、執(zhí)行與監(jiān)督檢查等崗位職責分離時，將風險管理策略方法貫穿于整個企業(yè)，遍及各個層級、業(yè)務單元和流程以及技術環(huán)境，尤其是企業(yè)在采購、銷售、投資管理、資金管理、工程項目、產權交易等重大業(yè)務領域的崗位職責權限，要與企業(yè)風險識別和管理措施相互銜接、相互融合。

（五）信息與溝通

對于內部控制和風險管理框架而言，信息與溝通均是不可或缺的管理要素[6]。一方面，企業(yè)信息化水平在一定程度上能夠反映出企業(yè)發(fā)展水平，另一方面，企業(yè)信息與溝通是投資者與管理者、管理者與執(zhí)行者之間最重要的橋梁，關乎整個企業(yè)運行效率和發(fā)展。因此，打通企業(yè)內部控制和風險管理之間的中間屏障，對于推動企業(yè)內部控制和風險管理實現融合具有重要意義。具體實施路徑如下：信息化程度較低的企業(yè)，出于成本和效率考慮，應當在企業(yè)信息系統(tǒng)規(guī)劃時未雨綢繆，建立內部控制和風險管理的一體化信息系統(tǒng);有一定信息化基礎的企業(yè)，內部控制與風險管理牽頭部門要與業(yè)務部門、審計部門、信息化建設部門協(xié)同配合，推動企業(yè)在投資和項目管理、財務和資產、物資采購、人力資源等信息系統(tǒng)的集成應用，實現內部控制和風險管理體系與業(yè)務信息系統(tǒng)互聯(lián)互通、有機融合;信息化基礎較好的企業(yè)，可探索利用大數據、云計算、人工智能等技術手段，實現內部控制與風險管理體系實時監(jiān)測、自動預警、監(jiān)督評價等在線監(jiān)管功能。

（六）監(jiān)督活動

監(jiān)督活動是企業(yè)內部控制和風險管理實現系統(tǒng)自我更新、形成閉環(huán)管理的重要步驟[7]。企業(yè)在組織開展內部控制評價和重大風險動態(tài)監(jiān)測評估等工作時，可根據企業(yè)自身實際一并協(xié)同開展，具體實施路徑如下：企業(yè)首先應當明確內部審計機構（或經授權的其他監(jiān)督機構）及其他內部機構在監(jiān)督活動中的職責權限，將監(jiān)督活動分為日常監(jiān)督和專項監(jiān)督，不斷規(guī)范監(jiān)督的程序、方法和要求[8];企業(yè)在對內部控制和風險管理的實施情況開展常規(guī)性和持續(xù)性的監(jiān)督檢查，將識別出來的風險點及時納入風險數據庫，在內部控制年度評價報告中根據實際情況披露;企業(yè)在發(fā)展戰(zhàn)略、組織結構、經營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調整或變化的情況下，對內部控制和風險管理的某一方面或者某些方面進行有針對性的監(jiān)督檢查，監(jiān)督的范圍和頻率應當根據風險評估結果以及日常監(jiān)督的有效性等予以確定。

五、結語

綜上所述，本文以西方發(fā)達國家企業(yè)管理理論和實踐經驗為基礎，結合中國企業(yè)現階段發(fā)展的實際情況，以內部控制模型框架作為主體框架，融入風險管理模型的先進理念和管理要素，構建了一套符合現階段中國企業(yè)的內部控制與風險管理融合框架，框架以內部環(huán)境、目標設定、風險評估、控制活動、信息與溝通、監(jiān)督活動為六項管理要素，以戰(zhàn)略、運營、報告、合規(guī)為四項管理目標，突出強調目標設定和戰(zhàn)略管理在融合框架中的地位和作用，在六項管理要素中探尋具有可操作性的實踐路徑，為有效提高企業(yè)經營管理水平和切實增強企業(yè)核心競爭力提供參考借鑒。

參考文獻：

[1] Commission C . Internal control-integrated framework[M]. Committee of Sponsoring Organizations of the Treadway Commission， 1994.

[2] Commission C . Enterprise Risk Management-Integrated Framework[M]. Committee of Sponsoring Organizations of the Treadway Commission， 2004.

[3] 李迎春.企業(yè)內部控制現狀及完善對策探討[J].企業(yè)改革與管理，2022（18）：3.

[4] 李莉.論企業(yè)內部控制的風險管理機制[J].企業(yè)經濟，2012（03）：4.

[5] 李維安，戴文濤.公司治理、內部控制、風險管理的關系框架——基于戰(zhàn)略管理視角[J].審計與經濟研究，2013（4）：10.

[6] 黃華.企業(yè)風險承擔與內部控制：從“靈丹妙藥”到“機會主義”[J].經濟與管理研究，2019，40（07）：12.

[7] 蘆雅婷，田雨緋.內部控制影響國有企業(yè)競爭優(yōu)勢的中介效應研究[J].企業(yè)經濟，2022，41（02）：11.

[8] 梁黨育.風險管理視角下的國有企業(yè)內部控制探究[J].財會學習，2019（24）：2.

[作者簡介：何松霖，貴州鐵路投資集團有限責任公司法律合規(guī)部高級職員，經濟師，碩士研究生，研究方向：工商管理。]

（責編：賈偉）