全面風險管理視角下的企業(yè)內部控制體系構建初探

張超

[摘 要]企業(yè)發(fā)展同時受內部和外部環(huán)境的影響，內控體系的建設與執(zhí)行非常重要。在現(xiàn)代風險管理理論下，原有的內控體系存在一定的不足，不能滿足企業(yè)經(jīng)營戰(zhàn)略管理的需要，因此，有必要分析全面風險管理和內部控制之間的聯(lián)系，并在全面風險管理的基礎上搭建內控體系，以更好地幫助企業(yè)實現(xiàn)目標?；诖?，本文分析了全面風險管理視角下的內控體系。

[關鍵詞]風險管理；內部控制；體系建設

doi：10.3969/j.issn.1673 - 0194.2018.18.014

[中圖分類號]F239.45 [文獻標識碼]A [文章編號]1673-0194（2018）18-00-02

1 全面風險管理與企業(yè)內部控制理論

風險指結果發(fā)生的不確定性，即最終結果與原有預期之間的偏離，人們往往用偏離的程度來衡量風險，而在企業(yè)實際經(jīng)營管理的過程中，人們更加注重損失發(fā)生的可能性，也就是控制不確定結果所帶來的期望損失。風險管理是在實踐中不斷發(fā)展、完善起來的，總體來說風險管理可以分為傳統(tǒng)風險管理、現(xiàn)代風險管理和全面風險管理3個階段。全面風險管理理念使企業(yè)能圍繞經(jīng)營發(fā)展的戰(zhàn)略目標，將風險管理的理念貫穿于企業(yè)管理的各個層面和各個環(huán)節(jié)，培養(yǎng)全員參與的風險管理文化，從管理策略、管理措施、管理職能、管理信息系統(tǒng)和內部控制等諸多方面綜合考慮實現(xiàn)企業(yè)經(jīng)營管理的總體目標。

內部控制是指控制企業(yè)經(jīng)營管理中的風險，并以實現(xiàn)企業(yè)盈利為最終目的而采取的一系列管理、控制活動的基礎上產(chǎn)生發(fā)展起來的過程性活動。現(xiàn)階段對內部控制最具代表性的解讀是《內部控制整體框架》，COSO委員會在這個框架中明確地指出，內部控制是為了保障企業(yè)正常運營并不斷提升企業(yè)的經(jīng)營管理效率，要求公司董事會、管理層、普通員工各階層與各部門共同參與的企業(yè)管理過程，內部控制包括控制環(huán)境、風險評估、控制活動、信息的溝通與交流和環(huán)境監(jiān)控5個方面。同時，框架明確規(guī)定了各個層面的控制職責，即管理層、董事會、內部審計師和外部人員都需要按照各自的職責構建內部控制保障體系。

2 全面風險管理與內部控制的區(qū)別和聯(lián)系

全面風險管理和內部控制的區(qū)別包括以下幾個方面。第一，全面風險管理體系包含了內部控制，是風險管理中不可或缺的一部分。因此，全面風險管理比內部控制更加廣泛，是對內部控制的進一步擴展和細化，包含了內部控制中所沒有的經(jīng)營目標、事項分析和風險處理等環(huán)節(jié)。第二，企業(yè)經(jīng)營管理包括內部風險和外部風險兩個方面，既包括經(jīng)營風險、財務風險，也包括利率風險、政策風險。內部控制主要針對企業(yè)內部經(jīng)營管理風險，且更加關注企業(yè)過去和現(xiàn)在的經(jīng)營狀況，以過去的信息為分析的主要出發(fā)點，而對影響企業(yè)未來經(jīng)營發(fā)展的因素關注較少。第三，全面風險管理不僅注重損失產(chǎn)生的可能性，還從風險容忍度和風險偏好入手，幫助企業(yè)正視其所能接受多大程度的潛在風險，管理里風險的手段和工具也較為豐富。

全面風險管理和內部控制的主要聯(lián)系包括以下幾個方面。第一，內容體系有所重合。全面風險管理和內部控制中都包括了控制環(huán)境、控制活動、信息溝通、風險評估和監(jiān)督5大因素，二者并不是完全孤立的，而是有所重合、相互融合的。第二，全面風險管理和內部控制的最終目標都是不斷提升經(jīng)營管理的效率并最終實現(xiàn)企業(yè)目的。二者的實現(xiàn)路徑都包括風險識別、風險評估和風險防范。第三，實施過程相互影響。內部控制的主要目標就是風險預測、風險防范，其主要針對企業(yè)內部的經(jīng)營風險，而全面風險管理的管理內容包括了內部經(jīng)營風險、外部風險以及具體的實現(xiàn)路徑，因此具有更加廣泛的意義。從上述可知，內部控制可以被視為全面風險管理的有機組成部分，在風險管理和實施的過程中，雙方也是相互影響、相互融合的。

3 全面風險管理模式下構建內部控制體系的原則

內部控制體系的構建原則是企業(yè)完善內部控制系統(tǒng)、提升內部控制作用、實現(xiàn)內控控制目標的依據(jù)，是企業(yè)內部控制的出發(fā)點和首先需要解決的問題。全面風險管理模式下的內控體系構建原則應該以全面風險控制理論為基礎，在此基礎上擴大內部控制的范圍，使內控體系建設服務于風險管理目標，具體來說應包括以下幾個方面。

（1）全面原則。全面風險管理包括企業(yè)內部風險和外部風險管理，要求企業(yè)需要綜合考慮風險的識別、判斷和解決途徑，而全面風險管理下的內部控制不僅需要企業(yè)管理層和員工層加入內部控制體系的建設、完善和執(zhí)行，也需要綜合考慮企業(yè)愿景、企業(yè)文化、企業(yè)戰(zhàn)略和現(xiàn)行政策、操作實用性、解決風險的各項途徑等各項問題，既包括決策管理又包括操作細節(jié)，是一種全過程、全方位的管理。

（2）重要原則。全面風險管理要求企業(yè)綜合考慮企業(yè)在生存發(fā)展過程中面臨的現(xiàn)實性和未來可能發(fā)生的風險，同時需要有主有次、有張有弛，掌握影響企業(yè)發(fā)展的重點環(huán)節(jié)、重點領域、重大風險，通過控制重大風險達到推動企業(yè)發(fā)展的目的。

（3）真實原則。內控體系所控制的對象和有關活動應該是真實的，源頭失真會導致整個內控體系崩潰，無法起到規(guī)避和防范風險的效果。同時，在全面風險管理下，風險影響因素錯綜復雜，各種風險相互交織，風險的誤讀、誤判會導致內控徒勞無功，評價和控制的過程存在根本性的錯誤，最終的結果也只能以失敗告終。

（4）獨立原則。內控體系是建立在對各項活動的控制和監(jiān)督上的完整的、相互配合的體系，因此，內控體系的實施和評價部門需要具有較高的獨立性，不能與監(jiān)督、管理對象存在利益上的糾葛，從而才能真正發(fā)揮內控體系的作用。

（5）成本原則。影響企業(yè)的因素各種各樣，內控體系不是包打天下的，內控體系的搭建和執(zhí)行本身也是企業(yè)的一種經(jīng)濟活動。內控體系一定要在成本效益環(huán)節(jié)上下功夫，尋求風險控制和經(jīng)濟效益的平衡點，以最小的成本防范企業(yè)風險，最大限度地增加企業(yè)效益。

4 全面風險管理模式下內部控制體系構建

通過對全面風險管理、內控體系的區(qū)別和聯(lián)系，以及內控體系的構建原則進行闡述，說明全面風險管理是建立內控體系的基礎，也為如何構建內控體系指明了方向。

4.1 構建全面風險管理為基礎的內控體系的影響因素

為確保內控體系符合企業(yè)的發(fā)展要求，使內控體系真正發(fā)揮作用，企業(yè)應從以下幾個方面入手。第一，培養(yǎng)全面風險管理意識。企業(yè)需要具有將全面風險管理和內控體系結合起來的意識，真正認識到風險管理和內控體系的內在關系，從而才能組織開展有效的活動，保障內控體系有效運行。第二，劃分組織機構。內控體系的一個重要環(huán)節(jié)就是合理劃分各個部門的職能，清楚地劃分各部門的職能邊界，能在有效提高效率的同時明確權利與義務，保障內部各部門的有效運轉。第三，營造企業(yè)文化。企業(yè)文化是企業(yè)員工共同遵守的信條，良好的企業(yè)文化能有效提升效率，保證員工認同企業(yè)經(jīng)營管理理念和風險管理活動，對風險管理下的內控體系運行起到了至關重要的作用。

4.2 全面風險管理下的內控體系指標構建

根據(jù)COSO框架和全面風險管理的有關理念，本文對內控體系的評價指標體系進行了優(yōu)化。該指標體系分為兩個層面、20個指標，具體指標體系如下。①控制環(huán)境要素。該指標包括企業(yè)文化、人員素質、組織架構、公司治理和規(guī)章制度。②風險控制要素。該指標包括管理目標、有效性、風險識別、風險控制。③控制活動要素。該指標包括銷售環(huán)節(jié)、采購環(huán)節(jié)、存貨環(huán)節(jié)、生產(chǎn)環(huán)節(jié)和投融資環(huán)境。④信息與溝通要素。該指標包括信息系統(tǒng)、信息質量、信息系統(tǒng)自動化。⑤監(jiān)督管理要素。該指標包括內部控制報告、內部審計、外部審計。

4.3 權重設定

概括來說，指標權重的確定方法有定性和定量兩種方法，定性方法包括德爾菲法、層次分析法等，定量分析法包括熵值法、灰色關聯(lián)度法等。本文主要介紹定性方法。

（1）德爾菲法。該方法需要在匿名的情況下進行多輪調查，直至各專家的意見趨于一致。在此基礎上，對專家的評價意見進行匯總分析，如果各專家的意見集中度和離散度達到能接受的程度，則對權重進行歸一化處理，得到各指標的權重。該方法的優(yōu)勢在于可操作性強，不受數(shù)據(jù)的約束，缺點在于受人為的主觀性影響大，準確度較低。

（2）層次分析法。在應用層次分析法時，首先需要對問題進行層次化，將不同問題分為不同的影響因素，再對第1層的影響因素進行分解，形成第2層的影響因素并以此類推。在假設每個影響因素都是相互獨立影響上層指標的前提下，對每層的影響因素以及隸屬關系將不同層次的因素進行聚合，形成一個多層次的分析結構模型，根據(jù)各因素的重要性程度進行賦值，最終形成優(yōu)劣次序的排列。

5 結 語

本文首先梳理了全面風險管理和內部控制理論，在此基礎上對全面風險管理及內部控制之間的區(qū)別與聯(lián)系進行了系統(tǒng)的闡述，說明了二者之間的區(qū)別和聯(lián)系，并重點說明了二者之間的融合性。之后，本文基于全面風險管理的視角構建了內部控制評價指標體系，對影響因素、指標體系、權重設定進行了全面分析，說明基于全面風險管理的內部控制體系可以更好地指導內部控制實踐，確保能夠順利實現(xiàn)企業(yè)目標，希望能夠為企業(yè)的風險管理及內部控制提供借鑒。

主要參考文獻

[1]袁春燕.全面風險管理視角下企業(yè)內部控制體系構建研究[D].蘭州：甘肅政法學院，2015.

[2]岳世忠，袁春燕.基于全面風險管理視角下的企業(yè)內部控制研究[J].生產(chǎn)力研究，2014（12）.

[3]潘玉琪.全面風險管理視角下的企業(yè)內部控制體系研究[J].中國內部審計，2016（8）.