企业内部风险管理的意义

第一节　内部控制概述

内部控制是管理学中的概念，但在管理学中论述不多，管理学中只讲控制，因控制是管理职能之一，并且多数讲控制程序和一些专门的控制技术。会计学中也谈控制。如马克思在《资本论》第二卷中提到：“簿记——当作生产过程的控制。”此处的控制是指企业的会计控制，即常说的会计监督。实务中内部控制的调查、测试和评价与审计有密切关系。刘大贤在《简明审计学原理》(1991)中指出：“为有效实现和加强内部控制，就需要制订和组织实施一整套规章制度、合理设计组织体系、科学制订经济管理手续和程序等各种手段，这些手段的总称，就是内部控制制度。”

一、内部控制的概念及其演进发展

根据内部控制概念与思想的历史对称，对内部控制的定义主要经历了内部牵制、内部会计控制与管理控制、内部控制结构、内部控制整体框架和企业风险管理框架五个发展阶段^[1]。

(一)20世纪40年代以前的“内部牵制”阶段

现代意义上的内部控制理论是由早期的内部牵制发展而来的。一般认为20世纪40年代以前内部控制理论都处在以内部牵制为表现形式的萌芽状态。内部牵制的思想源远流长，早期的内部牵制主要产生于官厅财计组织设置之中，是国家财计组织建设完善的保证，例如，我国西周财计中的出纳组织就分为“职内”、“职岁”、“职币”三方面，分掌“收入”、“支出”与“结余”，以便形成有效的经济牵制。对企业而言，内部牵制成为一种重要制度并得到广泛应用是15世纪以后的事。15世纪，资本主义经济关系在意大利北方城市得到发展，企业对收入、费用的核算日益重视，同时复式记账法的出现也推动了管理和内部牵制的发展。这一阶段的内部牵制仅仅局限于一般性的经济制约关系，其特征可以概括为：以业务授权、职责分工、定期核对等会计控制为基本内容，采用账簿之间的核对和账簿与财产之间的一致性验证为主要手段，控制的目的主要是查错防弊。

(二)20世纪40年代末至70年代的“内部会计控制与管理控制”阶段

20世纪40年代后，欧美各国的产业革命相继完成，生产的社会化得到了极大的提高，股份制公司代替了原有的手工工场，成为先进资本主义国家的主要企业组织形式，与之相适应的是内部控制进入了它的发展时期。一些企业在传统内部牵制思想的基础上，纷纷在企业内部组织结构、经济业务授权、处理程序等方面借助各种事先制订的科学标准和程序，对企业内部的生产标准、质量管理、统计分析、采购销售、员工培训等经济活动及相关的财务会计资料分别实施了控制。使得以账户核对和职务分工为主要内容的内部牵制，从20世纪40年代起逐步演变为由组织结构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。

1949年美国注册会计师协会的审计程序委员会对内部控制首次作出定义：“内部控制是企业所制订的旨在保护资产安全，保证资料的准确性和可靠性，提高经营效率，以及促进管理部门所制订的各项政策得以贯彻执行的组织计划和相互协调的各种方法和措施。”这个定义对当时审计界的影响是较大的，导致了以评价内部控制的健全性，有效性为基础的审计模式的诞生。但是，由于该定义过于宽泛，美国注册会计师协会的审计程序委员在1958年颁布的《审计程序公告第29号》中将内部控制划分为“内部会计控制”和“内部管理控制”两类。其中，前者涉及与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。这一划分方法即称为内部控制“制度二分法”。

(三)20世纪80年代至90年代的“内部控制结构”阶段

进入20世纪80年代后，人们对内部控制的研究重点逐步从一般含义向具体内容深化，其标志是美国会计师注册协会在1988年发布的《审计准则公告第55号》。在公告中以“内部控制结构”概念取代了“内部控制制度”，并指出：“企业的内部控制结构包括为取得企业特定目标的合理保证而建立的各种政策和措施程序”，包括控制环境，会计制度和控制程序三个有机要素。有的学者将其称为内部控制的“三点论”。在这三个构成要素中，会计制度是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。这一概念跳出了“制度二分法”的圈子，特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用，指出这些环境因素是实现内部控制目标的环境保证，要求审计师在评估控制风险时不仅要关注会计控制制度与控制程序，还应对企业所面临的内外环境进行评估。内部控制结构概念的提出，适应了经济形式发展和企业经营管理的需要，因而得到了会计审计界的认可。20世纪80年代末兴起的风险基础审计法便是在这一概念基础上产生和发展起来的。

(四)20世纪90年代后的“内部控制整体框架”阶段

20世纪90年代以来，内部控制进入了它的成熟时期。该时期关于内部控制的概念具有国际影响力的是由美国全国反舞弊性财务报告委员会，即Treadway委员会下属的COSO委员会提出来的。1992年，COSO委员会在《内部控制——整体框架》中将内部控制定义为：“内部控制是由企业董事会，经理阶层和其他员工实施的，为经营的效率效果，财务报告的可靠性和相关法律的遵循等目标的实现而提供合理保证的过程。”该报告指出内部控制是环境控制、风险评估、控制活动、信息与沟通和监督五要素的有机结合。该定义不但丰富了可控制环境、会计系统的基本内涵，而且形成了在实现某种目标的指导下，由五个相互联系的要素共同构成的一个整体的框架：以控制环境为基础，风险评估为依据，控制活动为手段，信息与沟通为载体，监督为保证。有的学者称其为内部控制的“五点论”。

(五)21世纪开始至今的“企业风险管理框架”阶段

2001年年底以来，美国一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会，使人们对美国式自由市场经济制度产生质疑，也暴露了美国现行法律的诸多不足。为了提高民众对美国金融市场、政府经济政策的信心，2002年7月30日，美国总统签署了《萨班斯—奥克斯利法案》，这是一项旨在加强会计监督、强化信息披露、完善公司治理、防止内幕交易的法案。它规定对违反本法案和渎职以及做假账的企业主管将实行严厉的制裁，同时对上市公司实行更为严厉的监督，这是自20世纪30年代美国企业法规基本框架建立以来最大的一次改革，使美国的公司治理迈入新里程。

在此背景下，2002年，美国Treadway委员会下属的发起组织委员会(COSO)在内部控制框架概念的基础上，提出了企业风险管理(Enterprise Risk Management，ERM)的概念，使内部控制的研究发展到一个新的阶段。2004年，COSO委员会发布了最新的《企业风险管理—总体框架》。新的企业风险管理框架是在1992年的研究成果——《内部控制框架》报告的基础上，结合《萨班斯—奥克斯利法案》在报告方面的要求，进行扩展研究得到的。2004年的COSO报告认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制订和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。企业风险管理的构成要素为内部环境、目标制订、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素，各要素贯穿在企业的管理过程之中。

二、我国对内部控制的界定

我国对内部控制的研究从20世纪90年代开始。1996年12月财政部发布《独立审计具体准则第9号——内部控制和审计风险》，直至2001年6月陆续发布内部会计控制的一系列规范。包括：《内部会计控制规范——基本规范》(2001)、《内部会计控制规范——货币资金》(2001)、《内部会计控制规范——销售与收款》(2002)、《内部会计控制规范——采购与付款》(2002)、《内部会计控制规范——工程项目》(2003)，2003年还对担保、成本费用、对外投资、预算等内部会计控制规范发布了征求意见稿。这些规范主要从内部会计控制的角度出发，为进一步规范上市公司内部控制行为，2008年6月，中国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。该规范中将内部控制定义为：“内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现内部控制目标的过程。”规范同时指出，内部控制的目标包括：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果，促进企业实现发展战略。

《企业内部控制基本规范》(2008)中提到的内部控制的要素包括：内部环境、风险评估、控制活动、信息与沟通、内部监督。其中内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。控制活动是企业根据风险评估结果，采取相应的控制措施，将风险控制在可承受度之内。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。这和1992年COSO委员会在《内部控制——整体框架》中对内部控制定义的要素相同。图6-1反映了内部控制五要素的关系。

图6-1　内部控制五要素关系图^[2]

三、内部控制的特征

从内部控制的概念描述中我们可以发现，内部控制不仅仅指的是控制，它还包括了管理、激励、监督、指导等多方面的含义，缓和了单纯的遵守规章制度的生硬和僵化，增加了执行的弹力，使其成为结合各方要素的综合实际过程，体现出了以下突出的特点：

(1)广泛性或者称全面性。内部控制涉及了企业组织的每一位员工，上至董事会，下至普通职工，控制活动的范围涵盖了企业组织的各项业务，它不仅仅要对财务、资产和人事等各个方面的计划与执行情况进行控制，还要负责这些工作的分析与研究，总结经验，提出完善措施。

(2)标准性。在内部控制中，书面的法律法规以及企业组织内部的相关规定尽管需要具体的执行，但是依然属于关键部分，为内部控制的各项活动，从设计到执行提供了标准与依据，使企业可以提前避免可以预知的某些风险。

(3)经常性。内部控制不是短期某一段活动，或者是一个时间点上某一个活动，而是自企业建立之日起就产生，随着企业的消亡而消灭。在企业存在的整个过程中，会分阶段有规律地对企业的所有活动进行检查考核。

(4)潜在性。内部控制不是与企业的日常工作明显割裂的独立活动，而是暗含在工作的每一个方面和每一个步骤。不管企业采取哪种方式进行管理和执行业务，都会有潜在的内部控制行为。

(5)关联性或动态性。企业的管理经营过程与内部控制是相互交错与相互关联的，在内部控制的实行过程中不断地与管理经营过程磨合，针对不同的外部环境对自身进行修正与改进，起到事半功倍的作用。