財經縱橫

作者：董倩

摘要：近年來，震驚中外的世通公司財務欺詐案、巴林銀行倒閉案、安然事件以及我國一些企業的控製失靈事件，再次證明了內部控製與風險管理的重要性。保證財會信息真實可靠，構建有效的內部控製和風險管理機製，成為了政府監管部門、企業高管層以及內審部門所關注的重點內容。本文從認識及基本思路方麵，淺談如何構建基於風險管理的內部控製框架。

關鍵詞：風險管理；內部控製

中圖分類號：F275文獻標識碼：A文章編號：1001-828X（2011）08-0115-02

一、內部控製與風險管理理論

1.內部控製

內部控製，是由企業董事會、經理階層和其他員工實施的，為經營的效率效果、財務報告的可靠性和相關法律遵循等目標的實現，而提供合理保證的過程，分為五個方麵：控製環境，即一個企業的氛圍，是影響內部人員控製其他成分的基礎；風險評估，是管理層識別並采取行動管理對經營、財務報告的符合性目標有影響的內部或外部風險，包括風險識別與風險分析；控製活動，指針對已確認風險采取措施，以確保企業實現其目標的政策和程序，包括業績評價、信息處理、實物控製和職責分離四個部分；信息與溝通，是指為有效實現企業目標，企業要對內部和外部信息進行識別、記錄及交流；監督與控製，即對內部控製活動進行評價與監督。以上五個因素相互聯係、相互製約、又相互配合，形成一個完整的內部控製係統。

2.風險管理

企業風險管理，是由企業的董事會、管理層和其他員工共同參與的，應用於企業戰略製定及企業內部各層次和部門的，用於識別可能對企業造成潛在影響的事項，並在其風險偏好範圍內管理風險的，為企業目標實現提供合理保證的過程。這是廣義的風險管理定義，適用於各類組織、行業及部門。分為：內部環境、目標製定、事項識別、風險評估、風險反應、控製活動、信息和溝通、監控等八個相互關聯的要素，貫穿於企業管理過程之中。

3.內部控製與風險管理的融合

1992年，COSO委員會發布《內部控製整體框架》以來，該框架已獲得全球廣泛認可及應用，理論界和實務界不斷對其提出改進建議，強調建立內部控製整體框架，應與風險管理相結合。2004年9月，COSO委員會在COSO報告基礎上，結合《薩班斯法案》在報告方麵的要求，頒布《企業風險管理整體框架》的報告（ERM）。該報告把企業風險管理定義為：“企業風險管理是一個受企業的董事會、管理當局和其他職員影響，應用於戰略製定並貫穿於整個企業，用於識別可能影響企業的潛在事項並在企業的風險偏好內管理風險，為企業目標的實現提供合理保證的過程”。

2008年6月28日，由財政部、證監會、審計署、銀監會、保監會聯合製定、自2009年7月1日起施行的《企業內部控製基本規範》，在形式上借鑒了COSO報告為代表的內部控製整合框架，同時也在內容上體現了風險管理整合框架的實質。

風險管理是為了防止風險、及時發現風險、預測風險可能造成的影響，設法把負麵影響控製在最低程度。內部控製是企業內部的風險管理，內部控製製度的主要製定依據是風險。風險越大，越需要設置適當的內部控製，風險極大時還應設置多重內部控製。做好內部控製是企業風險管理的前提。隻有加強內部控製，提高風險意識，尤其是提高管理者的風險意識，才能使企業正常運行。風險管理是內部控製的自然延伸。隨著內部控製和企業風險管理的不斷完善，內部控製與風險管理呈現逐漸融合的趨勢，即以風險管理為主導，建立適應企業風險管理戰略的新的內部控製，從內部控製走向企業風險管理，實現二者的融合統一。