内部控制与风险管理理论综述
2011-09-28吴璇
吴璇
内部控制的重要性被越来越多的企业所重视,他们纷纷趋之若鹜地着手建立自己企业的内部控制系统,但是大多数人对内部控制都没有完整的认识,本文在深入探讨内部控制基本概念和回顾整理内部控制和风险管理相关文献的基础上为人们更清晰认识内部控制提供了研究结果。
内部控制基本概念
内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。控制环境是基础,包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等;风险评估是重要环节和内容,包括目标设定、风险识别、风险分析和风险应对;控制活动是具体方式和载体,包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制等;信息与沟通是重要条件,包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等;监测是重要保证,要进行持续性监督检查,提交检查报告并提出改进措施。
内部控制理论文献综述
吴水澎、邵贤弟、陈汉文等人探讨了企业内部控制理论的发展与启示。作者在研究了内部控制理论当时的最新进展,即COSO报告之后,提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面,即完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督;同时建议有关部门和团体制定企业内部控制准则或指南,为企业内部控制建设提供一个框架和参考依据。
陈关亭讨论了企业内部控制的假说,并着重分析了如下几个问题:第一,风险管理与管理的关系。作者认为管理包括机会管理和风险管理两个方面。机会管理主要是增加价值,而风险管理主要防止价值减少。第二,风险管理与内部控制的关系。作者认为风险管理与内部控制并不是包含关系,而是完全等价的。第三,内部控制与财务报告的关系。作者认为,既然企业可以作假帐,那么就同样可以超越内部控制,内部控制很难防止虚假财务报告。第四,企业层面控制与业务层面控制的关系。认为企业层面控制应贯通业务层面控制。第五,COSO框架与我国内部控制现状。在COSO框架评价下我国企业的内部控制远未取得预期的效果。
杨雄胜则指出传统的内部控制理论已面临来自研究对象、控制立足点及前提条件三方面的挑战。控制对象已不再是权力制衡、结构稳定的组织,内部控制成为组织全力制衡的机制,应使组织具有学习型特征。必须把基于权力控制的内部控制转变为基于信息观的内部控制。
潘琰与郑仙萍则注重对内部控制理论构建的基本假设进行了探讨。他们在界定内部控制基本假设的内涵和厘清内部控制基本假设的特征之后,提出内部控制的四个基本假设:控制实体假设、可控性假设、复杂人性假设和不串通假设。
谢志华则探讨了内部控制的本质和结构。作者指出企业组织关系包括设立关系和运行关系,这两种关系决定了企业内部控制的本质和结构。在企业组织关系中,在发起设立时会形成平等的契约关系,以此为基础所形成的企业内部控制的本质是制衡。而在运行时会形成科层的等级关系,以此为基础所形成的企业内部控制的本质是监督。制衡和监督既相互区别又相互联系。
内部控制其实就是企业在日常经营活动中形成的预防企业常规风险的管理体制和行为,其目的在于未雨绸缪,在灾难与事故发生之前通过良好有效地控制制度对其进行识别和辨认,然后通过良好的信息沟通渠道在企业内部进行传输,作为企业各部门制定应对即将面临的困难的措施,从而避免灾难事故或者减轻其对企业造成的影响。
因此,内部控制和风险管理在本质上是一体的,是相辅相成,相互包含的,在实施内部控制的过程中也即是进行了风险管理,在进行风险管理的过程中,其实就是实施了内部控制的行为,不能将两者进行机械性的分离和割裂,应用较强的风险管理意识,加强内部控制制度的建设,为企业的正常经营和快速发展提供良好的环境。
(作者单位:中山大学管理学院)