风险管理导向企业内部控制问题研究.doc

风险管理导向的企业内部控制问题研究 摘要：随着社会经济的发展，内部控制也在不断地发展并越来越受到企业的关注。文章从风险管理的角度研究内部控制，首先介绍了企业全面风险管理的提出背景，进而介绍了我国企业内部控制的体系及差距、融入风险管理的企业的内部控制完善措施，并进一步探讨了我国上市公司内部控制未来的发展方向。 关键词：风险管理；内部控制；风险评估 近年来，国内外大型企业财务丑闻频出，人们将问题的焦点聚集在企业内部控制的有效性上。2002年，美国国会通过了《萨班斯——奥克斯利法案》，要求上市公司管理当局自行评估其内部控制的有效性，并且聘请社会审计人员做出验证报告。美国反对虚假财务报告委员会也于2004年颁布《企业风险管理——综合框架》，将内部控制从企业管理的构成要素提升为企业管理不可分割的过程，同时也将内部控制提升为企业风险管理（enterprise risk management，erm）。这一制度性的变革正受到许多国家的关注及试验性应用。本文旨在借鉴erm综合框架，对我国建立以erm为核心的内部控制体系进行探讨。 一、企业风险管理的提出及内涵界定 （一）erm的提出 美国的内部控制建设起步较早。现已经建立了世界上较为系统的企业内部控制体系。这一发展历程耗用近70年的时间，相关概念也经历了由内部牵制、内部控制直至风险管理的发展历程。每次对内部控制制度的变革都不是对其历史的否定，而是对内部控制内涵及外延的扩展。纵观其发展过程，可以总结出以下趋势。 1.内部控制从最初的以保护财产、账簿、财务报告的正确性为主，发展到现在的更加重视内部控制与管理的结合，将内部控制作为现代企业管理不可或缺的一部分。 2.内部控制的目标不断提高，从期初的以基本的资本保全和合法性为目的，发展为企业制定战略的必要手段之一。 3.内部控制规范日趋完善。美国于1992年发布了《内部控制——整合框架》，受到理论界与实务界的广泛关注。在sox法案发布后，该框架草案得到了进一步的修改与完善，2004年发布了最终报告《企业风险管理——整合框架》。 毋庸置疑，新框架以企业风险管理这一更广泛的主题为核心，扩展了内部控制的含义，填补了有关各方对企业风险管理的迫切需求。新框架认为，内部控制是企业风险管理的一部分，新框架包含了企业内部控制的内涵，并形成了一套更为概念化的管理工具。《企业风险管理——整合框架》可以满足企业对内部控制的需求，并进行更为全面的风险管理。 （二）erm内涵的界定 从企业内部控制概念的发展历程可以看出，不同的历史发展阶段，内部控制的含义是不同的。内部控制概念在发展过程中经历了数次变化，其关系如图1所示。 由图1可见，erm的范围已涵盖了传统意义上的内部控制的内容及目的。从严格的概念上说，在美国erm已经取代了内部控制；但在我国的理论与实务中，由于内部控制的基础还很薄弱，对内部控制的基础工作仍然不能放松，所以在概念上仍称之为内部控制。 二、我国内部控制体系建设的现状 在我国，规范意义上的内部控制的体系建设至今已有将近10个年头，跨越了很多发达国家几十年所走过的道路，可谓成绩斐然。但同我国经济的发展形势相比较，尤其是同资本市场发展的要求相比，内部控制已成为发展的瓶颈。我国内部控制体系建设还存在如下问题。 （一）内控制度的推行积极性不高，重视程度不够 由于内控制度不能直接产生经济效益，其间接效益也需要较长时间才能体现，并且需要投入一定的人力、物力，需要整理或制定大量的规章制度，需要增加办事环节、程序，因而大多数企业不愿在落实内控方面投入精力。有的企业领导片面地认为推行内控制度用条条框框束缚了自己的手脚，影响了办事效率等。 （二）企业风险意识薄弱，风险评估机制尚未完全建立 经济环境的风云变幻使竞争越来越激烈，企业经营风险不断提高。内部控制作为防范企业弊端的一种积极、主动的防范机制，可以将企业面临的风险控制在最低程度。然而，目前许多企业的风险管理意识并没有提到应有的高度，对市场风险也没有充分认识，应对风险能力不足。 （三）风险管理机制缺失 在我国，真正重视风险管理，并建立风险管理机制的是银行、保险公司、证券公司等金融机构。而我国的一般企业多数没有建立风险防范机制，且相关机构也不重视对一般企业风险管理问题的研究。但从coso委员会提出的新报告来看，风险管理已是企业内部控制的一个重要组成部分，国外有些学者甚至认为，企业风险管理是企业的核心竞争力。企业风险管理是一种积极主动地关注企业内外部各种变化，并通过对这些变化进行分析和识别，从中发掘发展机会并规避风险的机制。因此，我国企业风险管理机制的缺失是一个相当严重