刘禹宁

（吉林大学管理学院，吉林长春，130022）

基于内部控制视角的企业风险管理研究

刘禹宁

（吉林大学管理学院，吉林长春，130022）

以内部控制为视角对风险管理进行深入的理解，并根据我国企业内部控制现状，采取内部控制与风险管理二者相融合的方法，对企业内部影响风险管理的问题进行深度剖析。通过科学的方法研究一套有效的全面的风险管理体系，以公司建立起的内部控制规范化管理体系为基础，规范公司的全面风险管理制度，开辟新的风险管理途径和思路。

内部控制；风险管理；COSO

一、我国企业风险管理现状分析

目前，我国企业的规模在不断扩大，所面临的环境也越来越复杂多变。因此，企业通过科学的方法研究一套有效的全面的风险管理体系变成了国家和社会经济发展的必然要求，也是企业自身维持发展的重要保证。内部控制由于其强大的生命力以及与风险管理趋于一致的目标，使得内部控制为构建风险管理体系提供了理论支持。2010年，我国颁布了《企业内部控制应用指引》，这是我国首次强制要求企业进行内部控制与风险管理。从2005年起，中国一些大型企业的管理者经过对国外大型成功企业的考察和学习，发现这些公司有惊人的相似点，那就是都非常重视内部控制的管理。如今，中石油等企业已经陆续重视建设内部控制制度，但与国外发达国家相比，我国企业的内部控制和风险管理水平都还比较落后。因此，尤其是中国加入WTO之后，加强我国企业的风险管理体系是企业的当务之急，只有这样，才能在建立全面的风险管理体系，从而使企业面对复杂环境中更有市场竞争力。

由于在企业建立内部控制制度的过程中，也会间接地得到一些全面风险管理的途径，因而内部控制的研究为全面风险管理提供了路径支持。可以说，企业的内部控制制度是全面风险管理体系的基础部分。二者的目标趋向相同，内容也有部分的重合，二者在彼此当中的地位越来越高。内部控制系统能促使企业采取有效的措施规避可能出现的风险。另外，通过内部控制系统的建立，使企业管理当局和全体员工都大大增强风险意识，良好的内部控制系统的建立，无疑是为企业确立了规避风险、化解风险的导向。

目前，随着我国市场经济的成熟以及市场开放程度的增大，全面风险管理逐渐被企业看做重点关注的管理对象。但由于我国企业对内部控制的重视程度不够，造成企业在面对风险的时候应对能力是相对比较薄弱和滞后的。很多企业的风险仍无法及时和准确地预防和应对而给企业带来负面影响甚至损失的次数很多，等到风险来了才慌忙想办法，往往想到的方法都不是最适宜的，无法起到好的作用。这说明企业在风险管理方面不够成熟，还没有认识到将风险管理与内部控制联系到一起是一种更加全面的风险管理方式。具体不足归纳为以下几点：

一是企业的风险意识和相关知识比较缺乏。企业的全面风险管理方面的活动是间断性的，偶尔有意识就会积极地管理，其它时间可能会忽略管理，同时在管理的时候也缺乏对全面风险管理的监督和评估。这些说明在企业内部，风险意识比较淡薄，会降低企业对环境变化的应对和预防能力。企业为了过于获取最大利润，会把经营目标立的不太理性，致使只照顾到了眼前的利益，而忽视了应该利用一些资源为企业的内部控制以及风险管理进行系统全面的分析和改善。一些企业常年在低风险环境下运营，久而久之便降低了对风险的预防意识以及能力，导致企业的管理层对风险防范意识也比较淡薄，对风险知识的了解也比较缺乏，导致预防风险的管理手段和方法也缺乏。而2008年爆发的金融危机已经让企业不得不必须意识到企业必须要随时准备好自己在复杂环境下运作，因为风险可能随时来临，增强风险管理的知识和意识有很大的必要性。

二是企业的全面风险管理有滞后性。目前，我国企业主要采取的控制方法大多是事后控制，使得风险管理存在比较严重的滞后性。一般当企业感觉到管理或经营中出现了问题时，状况已经开始恶化，这时往往已错过了全面风险管理的最好时机，因此就不能做到防患于未然，并且加大了全面风险管理投入的成本，却不见得会有好的结果。如果可以在风险显现初期就予以分析化解，一定会起到事半功倍的效果，这就需要企业在平时做好内部控制的管理，在此基础上才能做好全面风险管理体系的构建。

三是企业尚未形成风险管理的专业部门。我国大部分企业没有形成风险管理专业部门，导致没有专业人员进行企业风险管理，在一些相关部门，也没有具有专业风险知识的管理人员，导致员工对风险工作职责和流程不够清晰，企业承担风险的负责人也不明确。因此公司不能针对风险而进行风险评估、信用等级评定等有效的评定标准以及进行有效的管理。

四是企业对重要业务缺乏及时的风险监督。企业对重要业务的风险管理监督手段还比较缺乏。由于企业内部管理层的判断有误差或内部管理无序以及只关注短期效益等一系列原因，容易导致企业一旦出现风险问题就会没法及时想到合适的办法。因此需要公司对重要业务的实时监督技术进行改善。不能对风险的认识仅仅停留在以往的经验判断等粗放管理阶段，要增加一些有效的风险管理的技术以及风险管理方面的人才。

综上所述，目前我国企业在探索构建内部控制管理的制度方面以及全面风险的管理方面都取得了一定的成效，但仍有一些不足导致目前我国企业还不足以应对激烈的竞争。内部控制是一个永无止境的管理流程，管理者可以根据不同的情况和问题及时再进行改善。因此，针对这些不足,企业应当结合自身的实际情况,建立一套属于自己的有效的内部控制。可以适当地借鉴外国的经验来辅助本公司建立内部控制的体系,以帮助本公司尽快建立健全内部控制制度。从内部控制管理的基础上来构建企业的全面风险管理体系，通过内部控制系统的合理构建及其8大要素之间相互的作用和影响而进行协调，公司在经营中的风险隐患就会降到最低，最终达到企业价值最大化的目标就是安全的也是必然的。

二、COSO内部控制理论对风险管理的启示

通过研究COSO中内部控制理论，对风险管理有了进一步的理解，也得到了一些对企业风险管理的启示:

（一）企业进行风险管理应以内部控制理论为基础

在COSO报告中，内部环境的影响和作用被提升到很高的地位，控制环境被认为是企业管理的氛围和条件，它存在于企业文化之中，影响企业其他控制要素作用的发挥，也对企业整体目标的设定和实现起到重要作用。受到COSO的启示，企业对内部环境有了更深层次的了解，内部环境包含的内容有企业员工的价值观、职业发展计划、职业胜任能力、管理者的经营模式和职责分配的方式等。另外，内部环境的内容中与风险相关的也比较丰富，包括风险文化、风险偏好、经营风险等。内部环境直接关系着企业的管理水平，是联系内部控制与风险管理的纽带，也是整个内部控制系统的基础。企业只有了解了这些，才能建立起健全的内部环境。根据COSO内部控制理论，企业的管理者也是内部环境的组成部分之一，管理者的职责是创造企业的全面风险文化、建立风险管理的理念，将企业的风险管理和内部控制融合。通过对内部环境中的风险分析，可以更好地加强对内部环境的完善，同时构建内部控制下的企业文化，而不仅仅关注于强制性的特定控制。最终可以通过好的内部环境支撑起内部控制的体系框架，推动风险的全面管理。

（二）企业应重视“人”在内部控制及风险管理中的地位

受COSO的启示，我们知道只有“人”才能制定完整战略并构建管理系统，反过来，好的内部控制系统也会积极影响人的行为。所以，在员工的管理制度方面，公司必须重视起来，需要在原来的基础上形成一套完整的聘用、培训、考评、晋升、淘汰等员工管理制度。广泛地使企业员工的薪酬与其个人表现相联系，构建一套完整的激励制度——把员工培训与员工的晋升、奖惩、福利等密切地联系起来。在员工有好的表现时，组织一定要为其提供晋升或加薪的机会。这样不仅能使培训效果更好，还能激发员工的创造性思维到工作中来，为企业献出自身最大价值，体现出“人”在内部控制以及风险管理中的举足轻重的作用。

（三）企业的控制活动应更灵活一些

通过COSO给我们的启示是,我国企业的内部控制管理系统形式可以灵活一些。可以从相对非正式的方式来开始进入控制活动，以行成内部控制的目标，先不着急马上追求形式上的很正式化，然后随着行进中，一步一步改进，逐渐正式化和规范化。这样将使管理层的管理控制面更加广泛，并且沟通方式更加直接，更容易立刻做好内部控制基础上的全面风险管理。

（四）企业应增强信息与沟通

根据COSO的启示，好的信息技术常常可以简化控制风险，以达到有效的内部控制从而在此基础上进行全面风险管理。因此，企业应当对内部控制以及风险管理的技术方面进行改善，增强信息与沟通能力。不能对风险的认识仅停留在以往的经验判断等粗放的了解阶段，要增加有效的风险管理技术以及风险管理方面的人才。利用好信息技术才能更好地促进沟通，更有效地促进全面风险管理。

（五）通过COSO丰富了基于内部控制构建风险管理体系构建的思路

受COSO的启发，构建风险管理体系如果以内部控制为基础，即先建立良好的内部控制管理体系，之后进一步进行风险管理，这应该是一种新的思路。首先，要结合企业自身的独特之处来构建内部控制管理制度。然后，就可以设计客观的、有针对性的风险指标。接下来，在内部控制的各个要素的基础上及时进行风险预测和评估，同时，通过设置并跟踪一些重要风险指标的变化，及时地对公司内部和外部可能将要面临的风险进行事先风险评估和事后的风险应对。最后通过内部控制的发展态势及状况，对企业风险进行综合的管理。

三、基于内部控制视角的风险管理研究方法和流程

本文根据COSO报告以及国内外文献，对内部控制以及全面风险管理进行深入的理解，然后根据我国企业内部情况，采取使内部控制与全面风险管理二者相融合的方法，并通过对企业内部的管理及其不足进行深度剖析。采用全新的视角，用更广阔的视野来思考和讨论本研究的方法和结论。采取管理层集体讨论、案例分析、统计风险因素、要素分析、风险评估、咨询专家等方法，最后确定公司的风险程度并建立规范化体系机构。与此同时，同步规范公司的内部控制系统，根据内部控制八大要素，逐一根据公司的具体情况及其不足，对公司的内部环境以及企业文化等进行改善。并以公司建立起的内部控制规范化管理体系为基础，按照内部控制和风险管理的融合为原则设计一个风险管理的体系框架表，按照此表来规范公司的风险管理制度，开辟新的风险管理渠道和思路，通过试运行这个实施方案，随时监督和改善此方案，最后达到规范化的运转。风险管理流程包括：管理准备、管理实施、管理报告和管理监督。基于内部控制视角，对风险管理的流程总结出以下几个步骤：

（一）收集风险管理的初始信息

由于风险种类很多，包含了企业的内部环境和外部环境，并且随时随地都有可能发生。因此，风险初始信息的收集应该贯穿于企业各个业务的环节。有了这些初始信息，风险管理的历史就被积攒了下来，方便以后的分析以及防范各类风险，也有利于研究怎样构建风险管理体系。企业如果建立了风险的信息收集与管理系统，就可以丰富地掌握与企业各种风险管理相关的内部、外部风险的相关信息。这些信息对企业的战略目标设定以及实现都有很重要的意义。

（二）进行的风险评估

对之前收集到的风险管理的初始信息进行评估，同时也对企业重要的业务流程进行评估。具体步骤包括：风险识别、风险分析和风险评价三个过程。其目的在于查找以及描述企业可能存在的风险，并识别出各类风险发生的可能性，以及对企业的影响程度。为了提高风险评估的效率与准确度，企业要统一各种风险评估单位和框架，保证风险评估的数据来源和评估程序的准确性，对各种风险进行集中、全面的管理，也要对各类风险之间的关系进行相关性的分析。

（三）制定和实施以内部控制为基础的风险管理方案

基于企业制定的内部控制管理的战略目标，以及企业可能面临的各类风险因素来制定风险管理的方案，这是两个管理方法、思路的融合。企业应根据内部环境和外部环境的综合，识别出各类风险，并结合自身的目标、条件与战略，选择适当的风险承担、风险规避、风险转移和风险控制等风险管理策略。这个方案应该从设立风险管理的目标开始，规范性地坚持内部控制与风险管理策略的统一，定期地检测和监督所制定的风险管理的方案，对于不合适的风险管理方案及时地修正和改善，最终建立规范的风险管理制度。

（四）加强风险管理体系的监督力度

企业应该对其内部、外部的潜在重大风险事件、重大决策以及业务的管理情况进行实时监督，并且采取有针对性的方法对其进行风险应对策略制定。对于监督后的结果，对其发现的不足和缺陷即可以加以修改。一套系统实施前，必须对其进行试运行和监督，并且监督的一定要及时，定期有规范性的监督。企业可以选择对企业风险管理的适当记录的方法，为企业的风险管理设计一套完整的记录模式并保持相关的记录，并根据企业不同的规模和经营方式来控制不同的记录程度，以便公司更好地监督风险管理效果。

四、基于内部控制视角的风险管理流程实施的预期效果

根据本研究，基于内部控制的风险管理的实施将改善我国企业对内部控制狭隘的理解，可以使企业的内部控制方面不仅只关注内部会计和内部审计，而是扩展到公司的管理结构。企业基于内部控制的风险管理体系的实施将可以引导整个企业的一系列活动，使企业今后可以从更高、更综合的角度观察到企业风险管理的框架体系，既提高企业的竞争力，也会使不利的因素渐渐改善。基于内部控制视角的风险管理流程实施的预期效果的具体表现为以下几个方面：

（一）事前做好内部控制管理将改善风险管理的效率

目前，我国企业大部分应对风险能力不是很强，面对严重的风险，企业的管理制度往往难以达到起死回生的效力。相对于风险的出现，风险的诊断和处理处于明显的滞后地位。因此，如果企业可以从内部控制开始改善，并基于完善的内部控制体系为视角来建立规范化的风险管理系统，及时进行风险预警以及风险评估和处理，一经风险预警出现风险危机的信号，就将迅速反应、分析原因，进而全面改善风险管理的效果。

（二）将使企业可以更精确地预测风险趋势

由于企业的风险期间可分为潜伏期、发作期、恶化期和实现期，因而我国企业的管理层要针对各阶段的风险症状对症下药，采取有针对性的有效措施才能控制住风险，最后恢复企业的正常运作。与传统的风险管理不同，本研究中的风险管理是全面的和综合的，要求对风险的发展趋势一定要有定时的跟踪和监督，并不是孤立的分析，而是将风险管理借助内部控制的管理体系来构建，将更快速地分析出企业所处的风险阶段以及追究其管理问题根源，同时以最快的速度采取措施，追加执行情况，最终做出精确的风险趋势判断。

（三）将促进公司的内部控制与风险管理相结合管理

由于风险管理和内部控制的交叉性和关联性很强，因而二者的融合也将必定是一个趋势，也是企业管理发展到一定阶段的必然结果。搞好内部控制，并以此为基础来进行风险管理就会促进风险管理和内部控制的融合，将会使风险控制的目标、手段和流程进行全方面的融合，最终形成以内部控制为中心、以风险为导向的一体化全面管理体系。

（四）将使企业市场份额持续上升，整体经济效益也将提高

基于内部控制的风险管理系统实施后，公司内部风险管理的目标、方式等将更加规范化，企业也将在更系统的风险管理下进行企业经营和控制活动，这样将减少公司可能面临的各类风险的隐患，对重大风险的预案也将有助于公司控制住风险。这些都将使企业的市场份额在良好的管理体系中稳步上升，在同行业中的竞争力越来越突出，整体经济效益也将不断提高。

［1］ 杜莹芬.企业风险管理——理论.实务.案例［M］.北京：经济管理出版社，2008.

［2］ 于潇.美日公司治理结构比较研究［M］.北京：中国社会科学出版社，2003.

［3］ 杨雄胜.内部控制理论研究新视野［J］.会计研究，2005(7).

［4］ 谢海燕.企业集团内部控制制度存在的问题及对策［J］.企业经济，2006(5).

［5］ 杜莹芬.企业风险管理——理论.实务.案例［M］.北京：经济管理出版社，2008.

［6］ 黄世忠.强化公司治理完善控制环境［J］.会计通讯，2001(1).

［7］ 孟林，王春梅.企业风险与应对措施［J］.会计之友,2007(19).

F272

A

刘禹宁（1990-），男，本科，研究方向为管理科学与工程类。