摘要：随着社会经济的发展，内部控制也在不断地发展并越来越受到企业的关注。文章从风险管理的角度研究内部控制，首先介绍了企业全面风险管理的提出背景，进而介绍了我国企业内部控制的体系及差距、融入风险管理的企业的内部控制完善措施，并进一步探讨了我国上市公司内部控制未来的发展方向。
　　 关键词：风险管理；内部控制；风险评估
　　 近年来，国内外大型企业财务丑闻频出，人们将问题的焦点聚集在企业内部控制的有效性上。2002年，美国国会通过了《萨班斯——奥克斯利法案》，要求上市公司管理当局自行评估其内部控制的有效性，并且聘请社会审计人员做出验证报告。美国反对虚假财务报告委员会也于2004年颁布《企业风险管理——综合框架》，将内部控制从企业管理的构成要素提升为企业管理不可分割的过程，同时也将内部控制提升为企业风险管理（enterprise risk management，ERM）。这一制度性的变革正受到许多国家的关注及试验性应用。本文旨在借鉴ERM综合框架，对我国建立以ERM为核心的内部控制体系进行探讨。
　　 一、企业风险管理的提出及内涵界定
　　 （一）ERM的提出
　　 美国的内部控制建设起步较早。现已经建立了世界上较为系统的企业内部控制体系。这一发展历程耗用近70年的时间，相关概念也经历了由内部牵制、内部控制直至风险管理的发展历程。每次对内部控制制度的变革都不是对其历史的否定，而是对内部控制内涵及外延的扩展。纵观其发展过程，可以总结出以下趋势。
　　 1.内部控制从最初的以保护财产、账簿、财务报告的正确性为主，发展到现在的更加重视内部控制与管理的结合，将内部控制作为现代企业管理不可或缺的一部分。
　　 2.内部控制的目标不断提高，从期初的以基本的资本保全和合法性为目的，发展为企业制定战略的必要手段之一。
　　 3.内部控制规范日趋完善。美国于1992年发布了《内部控制——整合框架》，受到理论界与实务界的广泛关注。在SOX法案发布后，该框架草案得到了进一步的修改与完善，2004年发布了最终报告《企业风险管理——整合框架》。
　　 毋庸置疑，新框架以企业风险管理这一更广泛的主题为核心，扩展了内部控制的含义，填补了有关各方对企业风险管理的迫切需求。新框架认为，内部控制是企业风险管理的一部分，新框架包含了企业内部控制的内涵，并形成了一套更为概念化的管理工具。《企业风险管理——整合框架》可以满足企业对内部控制的需求，并进行更为全面的风险管理。
　　 （二）ERM内涵的界定
　　 从企业内部控制概念的发展历程可以看出，不同的历史发展阶段，内部控制的含义是不同的。内部控制概念在发展过程中经历了数次变化，其关系如图1所示。
　　 由图1可见，ERM的范围已涵盖了传统意义上的内部控制的内容及目的。从严格的概念上说，在美国ERM已经取代了内部控制；但在我国的理论与实务中，由于内部控制的基础还很薄弱，对内部控制的基础工作仍然不能放松，所以在概念上仍称之为内部控制。
　　 二、我国内部控制体系建设的现状
　　 在我国，规范意义上的内部控制的体系建设至今已有将近10个年头，跨越了很多发达国家几十年所走过的道路，可谓成绩斐然。但同我国经济的发展形势相比较，尤其是同资本市场发展的要求相比，内部控制已成为发展的瓶颈。我国内部控制体系建设还存在如下问题。
　　 （一）内控制度的推行积极性不高，重视程度不够
　　 由于内控制度不能直接产生经济效益，其间接效益也需要较长时间才能体现，并且需要投入一定的人力、物力，需要整理或制定大量的规章制度，需要增加办事环节、程序，因而大多数企业不愿在落实内控方面投入精力。有的企业领导片面地认为推行内控制度用条条框框束缚了自己的手脚，影响了办事效率等。
　　 （二）企业风险意识薄弱，风险评估机制尚未完全建立
　　 经济环境的风云变幻使竞争越来越激烈，企业经营风险不断提高。内部控制作为防范企业弊端的一种积极、主动的防范机制，可以将企业面临的风险控制在最低程度。然而，目前许多企业的风险管理意识并没有提到应有的高度，对市场风险也没有充分认识，应对风险能力不足。
　　 （三）风险管理机制缺失
　　 在我国，真正重视风险管理，并建立风险管理机制的是银行、保险公司、证券公司等金融机构。而我国的一般企业多数没有建立风险防范机制，且相关机构也不重视对一般企业风险管理问题的研究。但从COSO委员会提出的新报告来看，风险管理已是企业内部控制的一个重要组成部分，国外有些学者甚至认为，企业风险管理是企业的核心竞争力。企业风险管理是一种积极主动地关注企业内外部各种变化，并通过对这些变化进行分析和识别，从中发掘发展机会并规避风险的机制。因此，我国企业风险管理机制的缺失是一个相当严重的缺陷。
　　 （四）没有形成良好的控制大环境，影响了内控制度的有效执行
　　 内控制度的有效推行，需要建立一个良好的内控环境作为保障。目前不少管理部门及人员对内控制度的认识、理解不足，把内控制度混同于一般规章制度建设。甚至一些企业对推行内控制度应付了事，把内控制度“印在纸上、说在嘴上、挂在墙上”，没有实质行动，造成内控制度缺乏有效地执行。
　　 （五）考核监督及评价机制滞后，监督力度不够
　　 由于内控制度兴起时间较短，大部分企业忙于搞制度建设，而疏忽了对检查评价制度的建立，也没有建立起有效的内部控制激励机制，从而造成制度执行力度不够，搞形式、走过场现象不同程度地存在。一些企业虽然建立了一些奖惩制度，但缺乏合理性与科学性，且没有完全制度化。内控制度的推行有始无终、虎头蛇尾，使内控制度没有发挥出应有的作用和约束力。
　　 三、完善企业融入风险管理内部控制的举措
　　 风险管理是企业经营成败的关键，企业管理当局要牢固树立风险管理理念，培养全体员工的风险防范意识。在内部控制建设中可以采取以下对策来防范和控制风险。
　　 （一）完善相关的法律法规
　　 2008年6月，五部委联合发布《企业内部控制基本规范》（简称基本规范）。基本规范率先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。2010年4月又联合发布《企业内部控制配套指引》，该指引和前面发布的基本规范共同构建了我国企业内部控制规范体系。至此，我国基本建成了既适应我国企业实际情况、又融合国际先进经验的中国企业内部控制规范体系。
　　 （二）构建全新的风险管理原则
　　 内部控制组织结构的设置应使风险管理的要求和目标渗透到企业的各个操作环节和各项业务过程中。内部控制要遵循风险管理的原则：全员管理原则；全方位风险管理原则，不但要包括业务风险，还要包括法律风险、技术风险等；全过程管理原则，对企业的发展、业务操作的全过程实行风险控制。
　　 （三）进行全面有效的风险评估
　　 环境控制与风险评估是提高企业内部控制效率的关键。随着社会经济环境的不断变化，企业间的竞争越来越激烈，对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部各种风险因素，而须从环境及风险的分析入手。可以通过设置风险管理委员会来负责整体风险的控制，并下设若干专业委员会，以实现对源于不同业务层面风险的全面、有效控制。
　　 （四）实行“控制自我评估”
　　 内部控制的一个新趋势是实行“控制自我评估（CSA）”，使每个组织定期或不定期地对自己的内部控制系统进行评估，评估内部控制的适当性以及实施的有效性，以便更好地实现内部控制目标。我国企业可试行定期或不定期地进行CSA。
　　
　　 （五）发挥中层管理者的作用
　　 在一个完善的风险控制体系中，中层管理者是不可或缺的一环。由于他们是战略细分的执行者，所以对风险和机会有更加直观的感知。但他们不是企业的所有者，主要是通过向上报告风险，发挥监督职能。针对我国现行的公司治理和内部控制框架，应将监事会的职能经过适当修改后赋予中层管理者。
　　 四、我国上市公司内部控制建设的发展方向
　　 目前，企业内部控制问题越来越受到市场有关各方的关注。2006年上海与深圳证券交易所各自推出了不同版本的《上市公司内部控制指引》。因为要同时适应内地、香港或纽约证交所的内部控制要求，不少公司在内控建设方面陷入了无所适从的困境。而且内地的内部控制标准建设要么照搬美国模式，要么坚持内部控制就是内部会计控制，缺乏内在逻辑一致的理论框架。在实践中，不少公司推行内部控制建设仅仅是为了满足监管要求，实际效果无法得到充分体现。综观西方内部控制的最新进展及其基本趋势，我国上市公司内部控制建设的基本方向将集中体现于以下几方面。
　　 第一，强调环境分析，确保国际化与本土化的有机协调。在上市公司的内部控制建设过程中，要加强风险防范意识，形成良好的内部控制大环境。否则，再多再细的内部控制标准也仅仅是赋予了内部控制的外在形式。
　　 第二，加强理论研究，尽早形成中国的内部控制理论框架。必须在国情与环境分析的基础上，探讨内部控制与会计规范、风险管理、公司治理与企业管理的关系，理清内部控制的融合型角色定位，找到收益大于成本的契合点，并由此形成中国内部控制理论整合框架。
　　 第三，驱除陈旧思想，强调内部控制的内生化、全员化和动态化。这就要求打破内部控制只控“下”、不控“上”的定性思维模式，实现内部控制与企业管理、公司治理与风险管理的有机结合，确保内部控制的动态化和全员化。
　　 第四，调动各方积极性，确保原则导向与规则导向的有机结合。要使内部控制与我国环境保持良好的契合度，使内部控制获得较为理想的执行力，在内部控制标准或指引的制定上，必须坚持原则与规则相融合，确保既给操作者留下一定的弹性空间，又为具体操作提供一些切实指导。
　　 参考文献：
　　 1.高智斌.浅析如何加强上市公司风险管控[J].现