内部控制和风险管理理论概述

　　第 2 章 内部控制和风险管理理论概述

　　2.1 内部控制理论研究

　　2.1.1 内部控制的涵义

　　中外理论与实务界对内部控制的定义有各种不同的理解与阐述。

　　COSO (Committee of Sponsoring Organizations of the Treadway Commission) 委员会对内部控制的定义为“公司的董事会、管理层及其他人士为实现运营的效益和效率，财务报告的可靠性和遵守适用的法律法规提供合理保证而实施的程序。”

　　我国《企业内部控制基本规范》认为“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”

　　目前，理论界主要根据美国 COSO 委员会颁布的《内部控制—整体框架》（InternalControl－Integrated Framework）和《企业风险管理—整体框架》(Enterprise RiskManagement Framework)以及美国参众两院《萨班尼斯一奥克斯利法》》(Sarbanes-OxleyAct)对企业内部控制进行研究。

　　从现实情况来看，企业实施内部控制主要为解决四方面问题：一是保障企业管理层决策的执行得到贯彻，从而实现企业经营管理的效果，达到企业预期目标；二是保护企业经营管理安全有序，防范经营资产流失和损废；三是保证企业经营信息和财务会计资料真实与完整，提高企业经营决策层决策效果；四是督促企业遵守相关法律法规，确保企业经营活动的合法与合理，避免企业名誉受到损害以及防范其他不确定性风险。

　　因此，内部控制是指企业为了股东方利益考虑，保护经营资产的安全与完整，保证基础信息的安全与可靠，保障决策信息能够有力贯彻和执行，而在其内部建立的一套内部调整、内部评价、相互制约的一些控制方法与管理措施，它不仅包括企业管理层控制与授权管理的各种经济活动方法，还包括对企业日常经营活动的实施进行控制与评价的各项内部管理制度。

　　综上所述，内部控制是企业在经营管理活动中建立起来的一种组织形式和管理制度，它是市场经济发展的产物，贯穿于企业经营管理的全过程，并随着市场经济的逐步成熟和企业内部管理的不断深入而完善，从一定程度来看，只要企业生存发展一天，它就有自身动力去完善其内控管理，从而增强市场竞争能力，提高生存和发展能力。

　　2.1.2 国内外内部控制理论的研究
　　
　　1. 国外研究概述

　　国外理论界研究主要经历了牵制论、结构论和风险论几个重要发展阶段。

　　（1）萌芽阶段－牵制论

　　在企业形成初期，随着各专业技术的发展、各工种的细分，为了提高工作效率，分工合作成为大家的共识，为了监督和保证财产物资的安全，企业内部开始出现了相互牵制的各种活动，从而慢慢形成了内部牵制的实践活动。随着社会的进一步发展，会计核算得以运用更加广泛，为了满足企业管理的需要，每月资金进行结算和企业资产、负债进行试算平衡开始建立，同时其他一些组织管理企业经营活动的举措也开始出现，慢慢就形成了萌芽阶段的内部控制形式―内部牵制制度。这阶段内部控制的主要特点是以职务分离和交互核对为重点，以会计计录、审核为主要控制事项，内部牵制的内涵和外延相对狭小。

　　（2）发展阶段－结构论

　　随着工业革命新兴技术的发展和推动，大量企业得以壮大和发展，但伴随而来经营风险不请自来，有的公司陷入亏损境地，有的公司开始倒闭破产，从而诱发了大量的法律诉讼，这也导致了人们对审计和企业内部控制的怀疑，人们开始思考企业内部控制不能以简单的监督与反监督这种简单的手段去实现，内部控制更多是一种系统性和体系化的建设，因而首先要确定内部控制的具体内容和涵义。

　　1988 年美国注册会计师协会发布《审计准则公告第 55 号》》(SAS55)，它提出了内部控制包括三个基本要素，即控制环境、会计制度和控制程序。这标志着对内部控制的研究进入了更具体的内容。到 1994 年，美国 COSO 委员会在 1992 年的基础上，对《内部控制整体框架》报告进行了修改和增补，指出企业内部控制的整体框架包括控制环境、风险评估、控制活动、信息与沟通、监督等五要素,从而一举奠定了内部控制理论的基础，该理论具有深远意义。

　　该理论的意义主要体现在以下几方面：(1)指出了内部控制的“责任人”。COSO报告明确指出了内部控制制定与实施的责任问题，该报告提出企业组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于提升企业凝集力，让大家团结一心，共同主动维护及改善企业的内部控制，而不是被动地执行内部控制。(2)指出了内部控制不是一个独立的行为，它要与企业的经营活动、经营过程相结合。它指出内部控制是企业经营管理的一个重要组成部分，始终是与经营过程紧密结合在一起，而不是独立于企业的经营活动之外，它能保障企业实现经营目标的同时，又能监督企业经营过程处于受控状态。(3)明确内部控制是一个“动态过程”。内部控制是对企业全部经营管理活动进行监督与控制的一个过程，只要企业没有倒闭破产，企业的经营活动就不会停止，从而企业的内部控制管理过程也不会停止。(4)强调“人”的核心意义。

　　它提出，企业内部控制活动是由企业董事会、管理阶层及全体员工来完成的，只有人才可能制定企业的目标，并设置控制的机制，反过来，内部控制也影响着人的行为。

　　（3）完善阶段－风险论

　　经过安然事件之后，鉴于企业面临的经营面临的风险日益增大，2004 年年底，COSO 委员会在 1992 年报告的基础上，结合《萨班斯一奥克斯利法案》的相关要求，发布了《企业风险管理—整合框架》。该框架认为“企业风险管理是个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”从而使内部控制从控制环境、风险评估、控制活动、信息与沟通以及监督等五要素一下子扩展到内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通以及监控等八要素，大大充实和完善了内部控制的理论研究。

　　2. 国内研究概述

　　我国对内部控制的研究起步较晚，从 20 世纪 80 年代开始，政府部门开始加大对企业内部控制的推动力度，相继颁布了一系列的法律和法规，从而有力推动了内部控制理论的研究与发展。【表2.1】

　　
　　与此同时，学界也对内部控制进行了多方位的研究与探讨。在内部控制建设实践和理论探讨中，尽管内部控制的一般原则有普适性，但是其表现和应用形式因国家、区域、文化和企业发展阶段的不同而有所差别。杨雄胜（2004）认为，没有系统而有效的内部控制，公司治理将成为一纸空文，而内部控制是实现公司治理的基础设施建设;阎达五、杨有红（2001）认为随着公司治理机制的完善，内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系;陈忠阳（2002）提出，如果不强化公司治理结构的基础建设，要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈①。

　　客观上看，虽然我国关于内部控制管理的理论和实践取得了不小成绩，但内部控制规范还缺乏一个完整系统的体系。同时由于更多是倾向于会计与审计的角度，独立审计准则中的定位也着重于企业的会计责任方面，没有将公司治理、内部环境、文化理念、经营理念等控制环境因素与风险因素全面纳入企业内部控制的范围。

　　与国外相关法规相比，我国有关法规在现实中的可操作性、推广性、可矫正性及可评价性都不够。这些都表明我国对企业内部控制理论的研究与实践的探索还有待于进一步的完善。

　　2.2 风险管理理论研究

　　2.2.1 风险管理的涵义

　　作为一门新兴的交叉的边缘管理学科，风险管理起源于 20 世纪 50 年代的美国。

　　在国际上，对风险管理的系统研究以威廉姆斯(Wiliams)与汉斯(Hans)《风险管理与保险》（risk management and insurance）（1964）的出版为标志。它提出风险管理是通过对风险的三环节管理来实现的，即通过风险识别、风险衡量和风险控制，用最少成本实现风险最小的系统管理方法。从国内来看，陈秉正认为，“风险管理是通过对风险进行识别、衡量和控制，以最小的成本使风险损失达到最低的管理活动。”许瑾良认为，“风险管理就是应用一般的管理原理去管理一个组织的资源和活动，并以合理的成本尽可能减少灾害事故损失和它对组织及其环境的不良影响。”

　　2.2.2 风险管理理论的演进

　　理论界认为风险管理理论主要经历了一个三个大的发展阶段，即传统风险管理理论，现代风险管理理论及全面风险管理理论等三个跨越发展阶段。【表2.2】

　　
　　与此同时，我国也加强了对风险管理理论的研究，2006 年 6 月国资委颁布了《中央企业全面风险管理指引》。该指引要求中央企业要及时识别各种经营风险，制订相应风险应对措施，提升风险管理水平。各企业也积极改善内部控制环境、完善内部控制机制，在建立健全全面风险管理组织机构和管理制度上建章立制，在投资决策、资金运作等重要内控流程防范风险都取得了一定成绩。

　　2.3 内部控制与风险管理的关系

　　1. 风险管理包含了内部控制，风险管理与内部控制相辅相成
　　
　　风险管理和内部控制两种理论是有交叉点的，风险管理包含了内部控制。企业全面风险管理理论是企业风险管理研究的新发展、新创举和新提高，也是内部控制理论的最新发展。研究风险管理理论，我们可以看出，企业风险管理是在企业内部审计与控制理论的基础上进行的创新和提高，回顾内部审计与控制的发展脉络，可以看出，理论的演进经历了“平面－三维－立体”的过程：在内部会计控制阶段，控制环境、控制活动和会计系统三要素构成了一个平面的管理系统；在内部控制结构理论中，控制环境、控制活动、风险评估、信息与沟通以及监控五要素，形成了一个三维的管理系统；到了风险管理理论阶段，内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通和监控等八要素，塑造了一个立体的管理系统。②
　　
　　（1）企业风险管理是企业内部控制的有机延伸

　　随着信息技术的革命，以及市场经济的发展，客观上要求市场进行自主调节资源，从而促使企业内部控制向企业风险管理升级换代。一方面信息技术的发展，为企业会计核算实现电算化提供了可能，企业通过“云计算”等方式，可以对会计记录过程实现动态化和可追溯化，企业的发展与壮大，也需要有信息技术去支撑其发展，这时，大量的交易信息，采购信息、销售信息都是储存在电脑中，而且通过网络进行实时传输，这就客观上要求传统会计控制为主的内部控制手段要进行更新与升级，伴随着这些新兴技术的发展，创新的管理往往带来了更多的不确定性。同时，随着社会公益意识的加强，消费者权益保护行动日益增多，企业稍有不慎，一旦生产的产品质量不合格或者有损公共环境，企业就要接受市场、政府主管部门或公益组织的各种惩罚，包括各种诉讼，直接影响企业的品牌形象，甚至受到来自资本市场的贬损。因此，企业自身客观上需要有一套机制来防范日常经营风险，以确保企业信息的准确和会计报表的真实。

　　（2）内部控制和风险管理两者的目的是统一的

　　企业的内部控制是企业经营者为了实现对所有者的最终利益，采取的一系列管理举措，通过会计信息的准确真实，关联岗位相互牵制，防止人为操纵和欺诈，保护公司资财安全，以实现公司经营活动合理合法合规，从而维护公司名誉，避免法律纠纷，最终达到股东利益最大化的目标。

　　企业的企业风险管理是贯穿企业经营活动过程，是企业经营者面对不确定性时能够及时识别、准确评估和管理风险，确定企业当前所能承受的风险，抑制经营意外和损失，同时针对企业面临的风险情况优化配置资源，从而获得最佳收益。从这个角度来看，两者的最终目标都是实现股东利益最大化。

　　2. 内部控制是风险管理的基础，两者有机结合为风险控制管理

　　说到底，企业内部控制其实就是控制企业面临的各类风险，风险包括内部风险和外部风险，那么怎样控制风险呢？最有效的手段就是通过风险管理。在内部控制结构发展理论中就已经把风险控制的内容列入其中，说明内部控制的研究内容包含了风险管理，随着内部控制管理理论的进一步发展深入，内部控制从五要素发展到八要素，其中相应也增加了对风险管理的阐述。从风险管理理论的发展历程也可以看出，内部风险最早是由财务会计的职责分离，相互监督，相互牵制开始的，在某种意义上，内部风险管理是源自内部控制管理的具体实践活动。离开内部控制来谈风险管理，风险管理就变成空中楼阁，无本之木；同样，离开风险管理来谈内部控制，内部控制就变成掉线的风筝，失去前进的方向。

　　内部控制的发展动力来源于企业风险的管理，对企业而言，企业身处竞争激烈的市场经济中，面临的风险是全面的、系统的，有来自外部的风险，如政策风险，市场风险，体制风险等，也有来自内部的风险，如管理风险，决策风险，财务风险等，怎样有效防范风险，保障股东方利益，建立与完善内部控制系统就显得相当必要和必须。

　　企业内部控制离不开内部控制环境的建设，从内部控制发展历史来分析，从内部牵制开始，内部控制环境就是内部控制中需要考虑的重要因素，随着市场经济的发展，现代企业制度的建立，企业与企业之间越来越开放，企业与企业之间影响越来越大，同时，外部环境对公司经营管理和发展的影响越来越明显，外部环境对公司的风险的形成与影响，特别是内部风险的形成与影响，表现的越来越突出，为了有效防范与控制风险，企业就需要更加关注风险的产生一线，自然就更加关注对控制环境的再造与改善。

　　从逻辑角度来说，企业风险表现在企业对收入、成本的变动和不确定性上，从某种意义上来说，企业经营活动其实就是经营风险的一个过程，企业管理活动其实也就是管理风险的一个过程，企业从它成立存在开始，就注定与风险相伴一生，企业的经营管理过程是为了达到预期目标，不断调整、优化资源配置的过程，在配置和运用资源过程中，由于所有权与经营权的分离，人的私利性本质容易造成背叛现象，导致欺诈以及违背委托人所确定的各种行为规则。同时，由于企业内部存在分工与合作，企业业务繁多，自然就出现了很多拥有决策能力与执行决策的管理条线，这些决策与执行能否真正做到科学合理，能否真正得到贯彻落实，同样受人和外部复杂环境的影响。基于以上两种风险，企业它必然要求进行风险管理。