风险管理与内控建设的现实意义

风险管理与内控建设的现实意义

财政部等五部门制定了我国上市企业内控实施时间表——

自2011年1月1日起首先在境内外同时上市的公司实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司实施；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大型企业提前执行。

至此，肇始于美国萨班斯-奥克斯莱法案1的强制性内控体系建设终于在我国上市企业开始推行。

那么为什么要进行内控体系建设？风险管理的意义何在哪？

由于我研究生毕业论文做的就是关于战略风险管理的研究，所以对这个问题（内控建设的意义）的认识与相关职能部门为实施内控所作的宣传有些差异。

内控体系是社会组织的财产管理发展到一定阶段的产物

这首先要从内控发展的历史上去考察。

简要的说，控制是人类在超越原始社会以道德约束为主的阶段，产生社会分工后对于物资财富管理的必然要求，控制经历了这样几个时期，萌芽期——内部牵制阶段、发展期——内部控制形成阶段、成熟期一内部控制结构和内部控制整体架构成熟阶段。

1 萨班法案：2002年7月30日，美国紧急出台了公司改革法案《萨班尼斯奥克斯莱法案》（SarbanesOxleyAct）该法案的另一个

名称是“公众公司会计改革与投资者保案”，该法案是1930年以来美国证券立法中最具影响的法案，它加重了公司主要管理者的法律责任；加强了对公司高级管理层的收入监管；对公司内部的审计委员会做出法律规范；强化了对公司外部审计的监管；加强了信息披露制度和其他有关公司监管的规定。

从3000年前我国古代国家的财产管理就存在内部牵制制度，在资本主义发展到一定阶段后，现代意义上的内部控制逐步发展起来，以在泰罗等科学管理理论和方法的指导下，企业经营管理者从内部牵制原则出发，尝试着把以职务分离、账户核对主要内容的内部牵制，逐渐演变成由组织结构、职务分离、业务程序、处理手续等因素构成的控制系统，把内部控制工作深入到企业所有部门及业务活动的各个环节，超越会计及财务范畴，涉及到如生产标准、质量管理、内部稽核、统计分析及人员培训等领域，甚至包括提高经营效率的各种方法与步骤，这样，预防性的内部控制就发展为过程性的了。

1988年，美国《审计准则公告第55号》正式提出“内部控制结构”这一概念来取代原有的“内部控制”，指出:“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种和程序”，并明确了内部控制结构的三个组成要素:控制环境、会计系统及控制程序。这一制度性事件标志着内控体系的发展有了质的改变。

随着安然、世界通讯公司申请破产保护、安达信退出审计业，美国朝野人士分别从四条战线同时出击：个体股民的诉讼、证券交易委员会的稽查、司法部的刑事起诉和国会的调查。在此情况下《萨班尼斯奥克斯莱法案》通过后，催生了美国针对所有公众公司的强制性内控体系建设，在法律上确立了内部控制体系的地位。

在我国上世纪90年代市场经济确立以来，上市公司管理经历了从乱到治的过程，由于大量国有上市公司占资本市场主体，在中国这种特殊的社会历史背景下，国有企业高级管理人员实际上既是代理人又是委托人之一。因此对于这些高级管理人员来说，来自委托人的监督约束很弱，为肆意造假，巨额造假提供了可乘之机，因此深交所、上交所、国资委、财政部先后出台有关风险管理或内部控制的相关法规，推动了我国内控体系的发展和成熟。

内控体系是资本市场为上市公司设计的“紧箍咒”

科学发展首先要求提高我国的资源配置效率，提高经济发展的质量。

市场经济的条件下直接融资有助于提高资源的配置效率，而提高企业直接融资比例，首先要保证资本市场的有效性，作为资本市场最基本的单元—企业的资源利用效率是资本市场有效的前提，一个有效率的成功企业，根据目前普遍认可的观念，对投资者来说是股东价值最大化的企业，对利益相关者来说是社会效益最大化的企业，对国有企业来说也要保持国有资产的保值增值，这就要求我们研究企业内部控制机制、提高企业战略决策和战略风险管理水平。

因此，企业将面临更多的战略抉择，战略工作不仅事关重大，需要企业高层重视，而且是一个系统工程，需要全员关心和配合。在环境变化迅速，竞争变数增多，员工素质和自主性日益增强的今天，要想将企业建成长寿公司，必须在增强高层的战略驾驭能力的同时，保证既能持续地监控、分析和反馈内外环境变化的战略意义，提前示警；同时培养企业快速反应的能力，保证在需要做出反应时，能及时、有效地应变。不仅如此，它还应该能妥善处理、系统考虑，从完善企业内部控制角度入手，通过对企业面临的整体风险的分析，建立企业全面风险管理的控制体系，尤其对在企业整体风险管理的基础上关注企业战略风险管理。企业战略风险是企业面临的生存和发展的致命的风险，企业所有的战略决策都和环境高度相关，因此企业的战略风险管理是企业不可回避的重大课题。

这次财政部的内控指引也是以COSO2框架为基础的，其实，应用广泛的是COSO的5要素内部控制框架，8要素全面风险管理整合框架的内容，财政部《企业内部控制基本规

2

COSO委员会是Treadway委员会（Treadway Commission,即反欺诈财务报告全国委员会（National Commission on Fraudulent Financial Reporting）,通常根据其首任的姓名而称为Treadway委员会）的简称。该委员会于1992年和2004年分别发布了内控体系框架（5要素）和全面风险管理整合框架（8要素）。

范》也做了一定参照和吸纳，从目前来看，我认为财务部框架还是相对规范完整的一个内控框架，而且按照我国企业的特点，又发布了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》等18个具体指引。

这次财政部对内控建设提出了时间要求，但国内企业对内控的理解和落实还有很长的路要走，对企业来说，怎样建立合乎财政部内控指引规范的内控体系并切实执行，关键是在于内部主动性与外部强制性约束，那不是发一个法规文件那么简单。

前天浏览国内一些在国内上市企业的网站，发现有几家有了内控专栏，但打开网页仅仅是一系列制度而已，没有按照财政部规范的内控5要素建立内控结构体系，“内控”这个“紧箍咒”还要“唐僧”给套上，唐僧是谁呢？除了监管机构、职能部门，我认为还需要大量成熟的会计师事务所和其他风险管理咨询机构的努力，但是对我国的会计师事务所来说，内控也是很新鲜的东西，需要消化和吸收，从国外经验和我国的现实来看，监管部门没有精力管内控实施，对公司内控体系有效性的评价主要是会计师事务所和大量合格会计师的任务。

内控体系是战略风险管理的有效工具

企业面临的风险多是一般的运营风险、市场风险、信用风险，但在企业战略执行过程中，一些普通的风险不及时防范都有可能变成危及企业战略目标的战略风险，企业的经营管理永远是一个动态的过程，可能一般的风险在企业内控制度的有效框架下可以得到有效治理，这时，企业的内部控制制度足以支持企业风险管理的要求，但一旦环境变化或个别环节的内控失效导致危及企业战略目标的风险发生，没有内控体系就无法胜任化解风险的要求，在内控机制发挥作用情况下，风险来临必然要企业管理当局从企业战略高度调动企业可以控制的资源，研究风险的特性，度量风险的危害程度，采取规避措施或其他管理手

段。

企业风险管理框架也强调在企业日常经营管理中全员参与风险管理，这个过程中企业内控制度可能发挥防止一般的经营风险和信用风险发生的作用，不符合企业内控规范的事得以有效避免，但企业风险管理框架更多的是要求参与者保持一种主动参与的姿态，强调在具体的领域里实际操作者利用其工具方法管理面临的风险、捕捉有益的市场机会，从而为企业创造价值。

从风险管理过程看，企业应制定严密的业务操作规程及信息传输报告制度，建立一个有效的全面风险管理框架来全面管理各方面的风险，这就决定了企业风险管理最后形成的成果也是更好控制企业风险的内部控制制度或内部控制制度的完善。

企业风险管理最终以内控制度形式出现，是企业风险管理能力的提高，以后类似的风险就从企业第一次的面对的风险变成了企业可以以常规管理控制的一般风险，纳入企业内控制度处理的管理规程，使企业在不断变化的环境中减少被动，增加反应和控制能力。

从以上企业经营中的风险管理的过程考察，企业内控制度是日常情形下企业运营监控体系，包括对普通风险的控制，企业战略风险管理是特殊情形下企业管理的手段和工具，企业决策者在战略决策过程中虽然分析战略风险管理,但对风险在企业内控体系中如何实施有效监管可能较少考虑，COSO框架下的企业整体风险管理要求根据企业战略决策的需要完善内部控制体系，以适应企业战略规划目标的执行，在这个意义上，实施财政部的内控指引。

结语

必须认识到，内控体系在一定程度上防范风险的能力是有限的，有些风险领域是无法提供绝对保障的，比如联合舞弊的风险可能会逾越很多控制环节，造成实际运行中的内控体系失效。

还会由于企业所处的环境的变化，由于企业的业务和管理活动是人所具体执行的等因素，企业的内部控制体系无论如何完美都不可能一劳永逸的解决企业可能面临的全部风险，所以企业风险管理，特别是企业战略风险管理，是企业应对企业动态环境和资源变化，化解风险捕捉机会的必备工具；同时，企业可以在风险管理的实践中不断增强抗风险能力，不断完善企业的内部控制体系，这将是一个不断循环往复的过程，每一个循环，企业的内部控制体系都将得到一次完善和提高。

内控体系的有限性和风险的不确定性永远都是存在的，这也许是全面风险管理与内控建设的意义所在吧。