摘 要：内部控制与风险管理是推动企业高质量发展，打造中国式现代化企业的重要基础和核心领域。通过分析梳理二者理论渊源与内在联系，探索构建符合现阶段中国式发展的企业内部控制与风险管理融合框架，探寻具有可操作性的实践路径，为有效提升企业经营管理水平，推动企业高质量发展提供参考借鉴。

关键词：企业管理 内部控制 风险管理 融合框架

中图分类号：F270  文献标识码：A

文章编号：1004-4914（2024）06-273-03

一、研究背景

近年来，随着现代企业管理理论研究与实践的不断深入，内部控制和风险管理成为西方发达国家企业管理体系中的重要基础和核心领域。我国企业在借鉴运用二者理论时，遇到了边界不清、重复投入、职能交叉、效果不佳等一系列实践问题，企业不断投入增加管理成本，但并未产出预期管理效果。因此，探索构建符合现阶段中国企业的内部控制与风险管理融合框架，探寻具有较强可操作性的实践路径，对提高企业核心竞争力，推动企业高质量发展具有重要意义，是全面建设社会主义现代化强国，推进中国式现代化的一项重要课题。

二、理论渊源与关系梳理

1992年，美国COSO委员会发布了全球闻名的《Internal Control-Integrated Framework（1992）》[1]，成为指导企业内部控制理论和实践的首部集大成者，是现代企业内部控制最具有权威性的理论框架。该框架以控制环境、风险评估、控制活动、信息与沟通、监督为五大管理要素，以运营管理、财务报告、合规性为三大管理目标，构建了一套较为科学完整的企业内部控制理论框架模型。时隔20年后，COSO对其第一版发布的具有国际影响力的内部控制框架进行了更新，但是针对原有5要素的立方体框架没有做根本性调整，只是对更新文件采用了国际通行的要素加原则的书写方式，详述了企业内部控制的5个要素20个原则以及82个关注点。

2004年，美国COSO委员会发布了《Enterprise Risk Management-Integrated Framework》[2]，标志美国COSO委员会企业风险管理理论研究成果面世。该框架以内部环境、目标设置、事件识别、风险评估、风险反映、控制活动、信息与沟通、监督为管理要素，以战略、经营、报告、合规为管理目标。时隔13年后，COSO在2017年完成对风险管理框架的修订工作，修订版本的内容主要是强调了风险和价值之间的关联性，重新审视了企业风险管理整合框架所关注的焦点，增强了绩效和企业风险管理工作的协同效应，明确了企业风险管理和内部控制的关系，优化了风险偏好和风险承受度的概念，但在实践中，风险管理工作者使用2004年发行的风险管理相关工具和技术的仍占大多数。

1992年版内部控制框架和2004年版风险管理框架在全球范围内获得广泛认可和实践运用。但是，企业经过实践发现纯粹从建立和维护一个健全、有效的内部控制体系，不足以防范某些失败案例的再次发生，导致失败的有些因素已超出了内部控制的范畴，而风险管理理论框架对于初创期或发展期的企业过于前卫，缺乏业务支撑点和实施土壤。同时，我国大多数企业尤其是国有企业的质量管理体系、安全管理体系、环保管理体系、预算管理体系、风险管理体系、内部控制体系、审计监察体系、合规管理体系层出不穷，整合各类体系的管理需求日趋紧迫。因此，通过内部控制和风险管理的理论渊源和关系梳理可以看出，内部控制和风险管理是两个同宗同源、相互补充、取长补短的管理体系，两者理论框架融合具有可能性，并且内部控制作为一种经历时间考验的企业管理体系，是企业风险管理工作的一个重要基础和组成部分。

三、融合框架模型

从理论渊源的角度分析，美国COSO委员会首先研究发布企业内部控制框架，经历12年后，研究颁布企业风险管理框架。内部控制作为基础理论框架，相较于风险管理理论框架，更具有基础性和可塑性，更适合两者融合框架的主体模型;从我国企业发展阶段的角度分析，与西方发达国家企业相比，国内大多数企业还处于低水平时期，距离科学化、精细化管理的现代企业还具有较大差距，风险管理理论框架对于企业管理水平和能力要求更高，内部控制理论框架更加适应符合我国企业管理的实际情况;从企业管理需求的角度分析，近年来风险管理理论被提升到文化战略、价值创造等层面，是一项更为高层次的企业管理需求，内部控制相较于风险管理更加符合现阶段我国企业的实际管理需求。

综上所述，融合框架模型以内部控制模型作为主体框架，融入风险管理模型的先进理念和管理要素，将目标设定和战略视角融入管理要素和管理目标，构建符合现阶段我国企业的内部控制与风险管理融合框架。融合框架以内部环境、目标设定、风险评估、控制活动、信息与沟通、监督活动为六大管理要素，以战略、运营、报告、合规为四大管理目标。其中，目标设定和战略管理是融合框架的重要内容，对于探索构建符合现阶段中国企业内部控制与风险管理融合框架，推动企业高质量发展具有重要意义。目标设定主要表现为内部控制和风险管理的目标预期，对于不同发展阶段和类型的企业，需要结合自身内部管理环境，结合企业自身实际设定内部控制和风险管理的目标预期，从而更好地在企业内部推动内部控制和风险管理各项工作。战略管理主要表现为内部控制和风险管理要为以企业发展战略服务为核心目标，根据不同时期企业的发展战略或企业的战略调整，相应调整内部控制和风险管理的工作环节和流程，必要时可根据企业自身实际需要做出大范围的结构性调整。

四、实践路径

（一）内部环境

内部环境是企业实施有效内部控制和风险管理的重要基础和实施土壤[3]。绝大多数企业内部控制和风险管理效果不好，主要原因就在于企业内部环境较差。西方发达国家企业已经历上百年的发展历程，积累了大量的企业管理经验，内部控制和风险管理的管理环境已发展成熟，而中国企业随着改革开放经历了几十年跨越式高速发展，遗留下来不少企业管理方面的问题，尤其是企业内部管理环境问题，已成为制约企业高质量发展的重要阻碍。具体实施路径如下：在企业组织架构方面，从顶层设计层面将企业内部控制和风险管理职能合并，是推动内部控制和风险管理有效融合和贯彻实施的有效手段，如将企业董事会或类似决策机构作为内部控制和风险管理工作的主责机构，其附属职能管理机构根据企业自身条件和实际情况联合设置，并将内部控制和风险管理工作作为董事会年度工作报告机制的重要部分，每年按法定程序提交股东（大）会审议通过;在企业文化建设方面，内部控制和风险管理在本质上是企业风险文化意识的体现[4]，将两者融合集中形成一股新兴文化加以宣传培训，不仅能够有效提高企业管理资源配置效率，还能在一定程度上减轻企业职工的抵触心理，跳出形式主义的工作怪圈，切实有效推进工作。

（二）目标设定

目标设定是风险管理框架中的先进理念和管理要素，在内部控制框架中加入目标设定这一管理要素，更能满足不同管理水平和发展阶段企业的实际管理需求，对于探索构建符合现阶段中国企业内部控制与风险管理融合框架，推动企业高质量发展具有重要意义。具体实施路径如下：对于初创期企业，应当适当降低内部控制和风险管理目标阀值，在组织架构设置、业务流程审批，内部管理制度等方面的目标设定要结合自身实际，满足基本管理需求;对于发展期企业，应当逐步提高内部控制和风险管理目标阀值，妥善选择风险偏好和风险承受度，增加风险评估的强度和频率，梳理完善企业管理制度和业务流程;对于成熟期企业，应当全面提高内部控制和风险管理目标阀值，进一步强化内部流程监督管理，审慎选择风险管理策略，在必要的情况下选择风险管理解决外包方案。

（三）风险评估

风险评估是内部控制和风险管理框架中重合度最高的管理要素，实施风险评估的基本流程和工作环节基本一致。具体实施路径如下：在对所收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估时，企业可在风险种类、风险原因、影响程度等方面制定统一标准，采用相同的风险评估方法，共用一套风险数据库、风险事件清单[5];在具体组织开展风险评估时，可结合企业所处发展阶段和具体经营状况，按照风险辨识、风险分析、风险评价三个基本流程，定期预测分析外部和内部环境变化对企业造成的潜在风险，同时根据管理需求和能力，可对全部或部分重要业务流程开展风险评估。

（四）控制活动

控制活动是内部控制框架最核心的管理要素，同时也是风险管理框架中风险控制的重要环节，在风险管理框架的风险管控措施中，基本上可以用到内部控制活动的技巧和方法。具体实施路径如下：企业可将控制活动分为预防性措施和检查性措施，包括一系列手工控制和自动化控制，如授权、审批、验证、调节、业绩评价等，在制定各项工作流程中，将企业风险识别嵌入其中;职责分离是内部控制中最基本的控制措施，在设计可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责分离时，将风险管理策略方法贯穿于整个企业，遍及各个层级、业务单元和流程以及技术环境，尤其是企业在采购、销售、投资管理、资金管理、工程项目、产权交易等重大业务领域的岗位职责权限，要与企业风险识别和管理措施相互衔接、相互融合。

（五）信息与沟通

对于内部控制和风险管理框架而言，信息与沟通均是不可或缺的管理要素[6]。一方面，企业信息化水平在一定程度上能够反映出企业发展水平，另一方面，企业信息与沟通是投资者与管理者、管理者与执行者之间最重要的桥梁，关乎整个企业运行效率和发展。因此，打通企业内部控制和风险管理之间的中间屏障，对于推动企业内部控制和风险管理实现融合具有重要意义。具体实施路径如下：信息化程度较低的企业，出于成本和效率考虑，应当在企业信息系统规划时未雨绸缪，建立内部控制和风险管理的一体化信息系统;有一定信息化基础的企业，内部控制与风险管理牵头部门要与业务部门、审计部门、信息化建设部门协同配合，推动企业在投资和项目管理、财务和资产、物资采购、人力资源等信息系统的集成应用，实现内部控制和风险管理体系与业务信息系统互联互通、有机融合;信息化基础较好的企业，可探索利用大数据、云计算、人工智能等技术手段，实现内部控制与风险管理体系实时监测、自动预警、监督评价等在线监管功能。

（六）监督活动

监督活动是企业内部控制和风险管理实现系统自我更新、形成闭环管理的重要步骤[7]。企业在组织开展内部控制评价和重大风险动态监测评估等工作时，可根据企业自身实际一并协同开展，具体实施路径如下：企业首先应当明确内部审计机构（或经授权的其他监督机构）及其他内部机构在监督活动中的职责权限，将监督活动分为日常监督和专项监督，不断规范监督的程序、方法和要求[8];企业在对内部控制和风险管理的实施情况开展常规性和持续性的监督检查，将识别出来的风险点及时纳入风险数据库，在内部控制年度评价报告中根据实际情况披露;企业在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制和风险管理的某一方面或者某些方面进行有针对性的监督检查，监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

五、结语

综上所述，本文以西方发达国家企业管理理论和实践经验为基础，结合中国企业现阶段发展的实际情况，以内部控制模型框架作为主体框架，融入风险管理模型的先进理念和管理要素，构建了一套符合现阶段中国企业的内部控制与风险管理融合框架，框架以内部环境、目标设定、风险评估、控制活动、信息与沟通、监督活动为六项管理要素，以战略、运营、报告、合规为四项管理目标，突出强调目标设定和战略管理在融合框架中的地位和作用，在六项管理要素中探寻具有可操作性的实践路径，为有效提高企业经营管理水平和切实增强企业核心竞争力提供参考借鉴。

参考文献：

[1] Commission C . Internal control-integrated framework[M]. Committee of Sponsoring Organizations of the Treadway Commission， 1994.

[2] Commission C . Enterprise Risk Management-Integrated Framework[M]. Committee of Sponsoring Organizations of the Treadway Commission， 2004.

[3] 李迎春.企业内部控制现状及完善对策探讨[J].企业改革与管理，2022（18）：3.

[4] 李莉.论企业内部控制的风险管理机制[J].企业经济，2012（03）：4.

[5] 李维安，戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J].审计与经济研究，2013（4）：10.

[6] 黄华.企业风险承担与内部控制：从“灵丹妙药”到“机会主义”[J].经济与管理研究，2019，40（07）：12.

[7] 芦雅婷，田雨绯.内部控制影响国有企业竞争优势的中介效应研究[J].企业经济，2022，41（02）：11.

[8] 梁党育.风险管理视角下的国有企业内部控制探究[J].财会学习，2019（24）：2.

[作者简介：何松霖，贵州铁路投资集团有限责任公司法律合规部高级职员，经济师，硕士研究生，研究方向：工商管理。]

（责编：贾伟）