□张冬花

一、企业内部控制与风险管理的发展和演变

（一）内部牵制阶段

内部控制概念产生于20世纪40年代之前，其最原始的内涵仅指内部牵制。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制(Internal check)。15世纪末，随着资本主义经济的初步发展，以意大利复式记账法的出现为标志，内部控制渐趋成熟。这一阶段主要以查错防弊为目的，以职务分离和账目核对为手段，保证财物的安全与完整，确实有效地减少了错误和舞弊行为，即是典型的内部牵制措施。即使在现代内部控制理论中，内部牵制仍然发挥着重要作用。

（二）内部控制阶段

1.会计控制和管理控制

1934年美国《证券交易法》，首先提出了“内部会计控制”(Internal accounting control system)的概念。1949年美国审计程序委员会下属的内部控制专门委员会对内部控制首次做出了如下权威定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。1953年10月，审计程序委员会又发布了《审计程序公告第19号》，将内部控制划分为会计控制和管理控制。1972年，美国审计准则委员会(ASB)在第1号公告中，不断修正和完善内部控制的定义，将内部控制划分为内部会计控制与内部管理控制两个方面。1988年4月美国注册会计师协会发布的《审计准则公告第55号》，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以“内部控制结构(Internal Control Structure)”一词取代原有的“内部控制”。

2.内部控制整体框架

鉴于20世纪70年代至80年代间发生的财务欺诈、可疑商业行为及金融机构破产等一系列事件的巨大影响，1985年由美国注册会计师协会，内部审计师协会，财务经理协会，美国会计学会，管理会计协会联合创建反虚假财务报告委员会。1992年9月，该委员会所属的内部控制专门研究委员会发起机构委员会(简称COSO委员会)在进行专门研究后提出专题报告《内部控制——整体框架(Internal Control一Integrated Framework)》，也称COSO报告。COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及合法合规性。同时，还将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监督五个要素。

（三）风险管理阶段

1.风险管理整合框架阶段

2001—2002年，美国安然、世通财务舞弊事件接连发生，震惊了世界各国监督机构。大家开始从更深层次思考企业内部控制的有效性和运营风险的关系。2004年10月，COSO委 员会对《内部控制——整体架构》做了进一步的延伸和扩展，提出了《企业风险管理——整合框架（(Enterprise Risk Management—Integrated Framework)》，其中明确提出了内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和内部监督八个风险框架要素，使内部控制延伸到了全面风险管理。

2.公司治理阶段

近十几年来，由于新技术、新环境的不断演变，新的风险层出不穷，并且风险的复杂性也发生了重大变化。2017年6月，COSO更新版的《企业风险管理框架》正式发布，更新版的框架，强调了在战略制定过程和战略实施过程中考虑风险的重要性。这一阶段的内部控制开始从企业的使命、愿景与核心价值观入手，提升员工的风险管理意识和素质。

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。2010年4月，财政部等五部委又联合发布了《企业内部控制配套指引》，包括应用指引、评价指引和审计指引。《企业内部控制规范》在形式上借鉴了COSO《内部控制——整体框架》的五要素内控框架，而在内容上包含和体现了COSO《企业风险管理—整合框架》的八要素实质。

二、内部控制与风险管理的关系

（一）内部控制和风险管理在内涵上有重合

内部控制制度是企业内部建立的使各项业务活动相互联系、相互制约的措施、方法和规程；风险管理是指企业怎样在一个确定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。风险管理要着眼于风险控制，大多数企业通常会采用积极的措施来应对可控制风险，通过降低其损失发生的概率，缩小其损失程度来达到控制目的。

（二）内部控制是风险管理的手段之一

企业的风险按其来源可以分为外部风险和内部风险，外部风险是指由企业的外部环境产生的各种风险，如政治风险、法律风险、市场风险等；内部风险是指由企业自身的运营活动所带来的各种风险，如经营风险、财务风险等。内部控制仅是对内部风险在业务流程和授权层面上的控制，通过把财务风险管控和业务活动相勾稽，规范企业经营过程管理，防范内部的程序性风险，促进经营和战略目标的实现。

（三）风险管理是对内部控制的延伸和扩展

一般来说企业内部控制工作主要由以下五个方面构成，即控制环境、风险评估、控制活动、信息与沟通、内部监督，在此基础之上风险管理又增加了目标设定、事项识别、风险应对三个要素。因此可以看出风险管理是对内部控制的延伸，强调企业的内部控制必须向治理结构和战略规划方向延伸，要重视对风险因素的识别、评估和控制，在竞争激烈的市场经济环境下，企业需要以风险管理为导向强化内部控制体系建设。

三、企业内部控制和风险管理存在的问题

（一）风险管理文化的缺失

企业建立系统、规范、高效的风险管理机制，必须要培育和塑造良好的风险管理文化，从员工到管理层都必须树立正确的风险管理理念，强化风险管理意识。在全球经济一体化的背景下，从我国企业的实际情况来看，企业内部控制工作和风险管理水平仍需要进一步提升。当前，国内很多企业的管理层对于企业的可持续发展情况并未能十分重视，而是更加关注企业的盈利状况和经营业绩，内部控制意识薄弱，风险管理的认同感比较差，尚未将风险管理文化建设融入企业文化建设全过程。

（二）风险防范机制不健全

建立并落实一整套完善、高质量的内部控制制度和风险防范机制，能确保维护企业的资产安全，减少程序性风险所带来的损失，同时不断提高企业经营管理效率。当前，一部分企业在日常经营中，没有结合实际情况构建完善的内部控制制度，另一部分企业虽然建立了内部控制制度，但是还没有形成系统化的管理模式和风险防范机制。2018年12月27日，联合石化（中国石油化工股份有限公司的全球子公司）被曝出因原油套期保值发生巨额交易亏损，当日中石化在A股和港股两个市场蒸发掉681亿元市值。国有企业金融衍生产品业务发生巨额亏空，追逐高额利润套利投机是要害所在。另外，违规越权操作、风险控制不力、内控机制不健全等原因也值得深刻反思。

（三）风险监管评价体系缺失

企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。从实际情况看，一些企业内部控制体系中缺乏量化的评价指标和评估方法。同时，还有相当一部分企业内部控制环节出现失误的主要原因并不是企业缺乏内部控制制度，而是缺乏对内部控制执行情况的检查监督。因此，企业要建立专业的内部控制监管机构，强化对企业各个环节的监督管理，通过对内部控制检查，形成相应的评价报告，健全考核评价机制，从而提升企业风险控制的能力和水平。

（四）风险管理的方法和技术过于简单

提升企业的风险管理水平，就必须具备专业的风险管理人才，而且还要能熟练运用先进的风险管理方法。风险管理各项工作的开展必须依靠专业的风险管理方法和技术，企业风险管理的每一个环节都离不开方法和技术的支撑。但是目前大部分国有企业尚缺少这么一套引进、培养和培训风险管理人员的体制，基本上不具备风险管理的专业人才。很多企业在外汇期货、原油期货、期权等高风险的业务领域基本上是采取“摸着石头过河”的方式来应对。2008年，中国国际航空股份有限公司的燃油套期保值业务，损失超过31亿元人民币，而中国东方航空股份有限公司损失高达62亿元人民币，皆是由于没有专业的风险管理人才，风险管理的方法太简单所导致。

四、企业内部控制如何向风险管理延伸

（一）全面识别企业风险

风险识别，是指在风险事故发生之前，人们运用各种方法系统的、连续的认识所面临的各种风险以及分析风险事故发生的潜在原因。风险识别是风险管理的第一步，也是风险管理的基础。只有在正确识别出自身所面临的风险的基础上，人们才能够主动选择适当有效的方法进行的处理。根据国资委2006年发布的《中央企业全面风险管理指引》，可以将企业风险按战略、市场、运营、财务和法律五大风险管理进行识别，再结合企业实际进行具体分类。具体见表1。

（二）用定量分析方法分析风险

对风险进行定量分析的方法有很多，例如，综合分析法、蒙特卡罗分析法、事件树分析法等。下面主要说明综合分析法的运用。

风险综合评价的方法中，最常用的方法是通过调查专家的意见，获得风险因素的权重和发生概率，进而计算出某类风险的整体风险程度。其步骤如下：

第一，建立风险调查表。在风险识别完成后，建立主要风险清单，将该类风险可能遇到的所有风险因素全部列入表中。

第二，判断风险权重。风险权重表示某个风险因素在企业风险中的重要性程度。

第三，确定每种风险因素发生的概率。可以采用0.01—0.10表示不太可能、0.11—0.30表示偶然、0.31—0.80表示可能，0.81—1.0表示很可能。

第四，计算每个风险因素的等级。用每个风险因素的权重乘以概率就是该因素的风险等级。

第五，最后将风险调查表中全部风险因素的等级相加，得出该类风险的综合等级。若数值在0—0.25之间为低度风险，在0.26—0.50之间为中度风险，在0.51—0.75之间为高度风险，在0.81—1.0之间为极高风险。下面以B企业的运营风险为例介绍综合分析法的应用，具体见表2。

通过计算得出B企业的综合风险指数为0.379，表明B企业的运营风险为中度风险，需加强管理，不断改进。

表1 风险分类表

表2 B企业运营风险调查表

（三）制定明确的风险策略

一般情况下，对战略、财务、运营和法律风险，可采取风险规避、风险转移、风险控制、风险承担等策略。

1.风险规避

当确定一个投资项目所获得的收益将无法弥补该项目所造成的损失时，避免风险就是最简单可行的处理方法。例如，拒绝向不守信用的客户提供信用；不从事高风险领域的业务等。但是这种策略的缺点是，投资者在规避损失的同时，往往也放弃了潜在的目标收益。

2.风险转移

风险转移是指通过订立契约的方式，将企业的风险转嫁给受让人承担的行为。实践证明通过风险转移可以有效降低企业的风险程度。例如向专业性保险公司投保；通过战略联盟、技术转让、特许经营和业务外包等实现风险转移。

3.风险控制

风险控制是通过制定计划和采取措施控制风险因素，减少风险的发生，或者是控制风险发生的频率，降低风险的危害程度。风险控制的阶段包括事前、事中和事后三个阶段。事前控制的目的主要是为了降低风险发生的概率，事中和事后的控制主要是为了减少实际发生的损失。例如通过市场调研和论证，可以降低新产品开发的风险；通过汇率预测可以减少企业在跨境投资和进出口贸易中的外汇风险。

4.风险承担

风险承担是指如果损失发生，企业将以现实的资金进行偿付。风险承担可分为风险自担和风险自保两种。风险自担是指风险损失发生时直接将损失计入成本或费用，或冲减利润。风险自保是指企业预留一笔资金来处理风险事项所带来的损失，如资产减值准备和坏账准备金的计提。

（四）建立风险预警指标体系

建立完善的风险预警机制，即使已经出现了风险，也可以将其损失尽可能地减少，以此来帮助企业度过危机。风险预警指标体系，是企业风险预警机制的重要内容。一般来说，企业风险预警指标可以分为财务风险指标和非财务风险指标，财务指标又可以进一步划分为基本能力风险指标和发展能力风险指标。具体分析见表3。

表3 企业风险预警指标