（工商管理专业论文）从A公司的衰败反思我国企业内部控制制度建设.pdf

摘要 摘要 内部控制是决定现代企业管理水平的关键因素。企业为确保业务活动的有 效进行和资产的安全与完整，防范、发现和纠正错弊所制定和实施的一系列政 策、措施及程序组成了企业的内控体系。在我国企业内部控制尚不完善的现阶 段，知识经济浪潮的冲击和加入w t o 后面临的全球性竞争带给企业日益严峻的 生存、发展压力。而企业要提高经济效益、打造核心竞争力，建立、健全内部 控制体系是势在必行且迫在眉睫的一环。 基于国内企业整体内控水平亟待提高，尤其是对风险管理认识方面与国际 水平差距甚远的现实，本文旨在通过对国内外先进、成熟内部控制尤其是全面 风险管理经验的借鉴、推广，整体架构、持续改进企业内部控制，以期提升我 国企业的核心竞争力，从而实现优质、稳健、可持续发展。 本文运用案例分析法，理论与实务相结合，在依照美国c o s o 内部控制一企 业风险管理框架对a 公司内部控制进行案例分析的基础上，提出优化我国企业 内部控制的若干建议。 关键词：内部控制c o s o 框架风险管理 a b s t r a c t a b s t r a c t i n t e m a lc o n t r o ls y s t e mi sak e yf a c t o ro fm o d e me n t e r p r i s e sm a n a g e m e n t i n t 懿n a lc o n t r o lo fe n t e r p r i s e si sas e r i e so f p o l i c i e sa n dp r o c e d u r e su s e dt og u a r a n t e e t h ee f f e c t i v eo n g o i n go ft r a n s a c t i o n s ； s a f e l yg u a r dt h ea s s e t s ：p r e v e n t ，d i s c o v e r a n dc o r r e c tt h em i s s t a t e m e n ta n dp o s s i b l ef r a u d n o w , i n t e r n a lc o n t r o lo fo u r c o u n t r yi sn o tp e r f - 鳅w i t ht h ei m p a c to f t h ew a v eo f k n o w l e d g ee c o n o m ya n d t h e g l o b a lc o m p e t i t i o na f t e ro u rc o u n t r yj o i n i n gw t o ，t h ee n t e c p r i s e so fo u rc o u n t r y a r e f a c i n gt h ep r e s s u r eo fs u r v i v a la n dd e v e l o p m e n t f o rs e t t i n gu pa n di m p r o v i n gt h e i n t e r n a lc o n t r o ls y s t e m ，i ti si m p e r a t i v ea n di m m i n e n tf o rt h ee n t e r p r i s e st oi m p r o v e e n t e r p r i s e se c o n o m i cb e n e f i t sa n di t so w nc o m p e t i t i v ec a p a b i l i t y ，t h e q u a l i t yo fi n t e r n a lc o n t r o l sw i t h i nd o m e s t i cc o m p a n i e s ，a n dt h eo v e r a l l k n o w l e d g e 0 1 1r i s km a n a g e m e n ta r e a 8a t en o tu pt od a t ew i t ht h ei n t e r n a t i o n a l s t a n d a r d s t h ea r t i c l ei st r y i n gt oh e l pd o m e s t i ca n di n t e r n a t i o n a lc o m p a n i e st os e t u p s u f f i c i e n ta n du pt od a t ei n t e r n a lc o n t r o lp r o c e d u r e ，e s p e c i a l l yt ol e a r n , p r o m o t e ， s e t u pf r a m ew o r ka n dc o n t i n u ei m p r o v i n gt h eo v e r a l lr i s km a n a g e m e n te x p e r i e n c ei n o r d e rt oi m p r o v ec o m p a n i e si n t e r n a lc o n t r 0 1 i tw i l lm a k eo u rd o m e s t i cc o m p a n i e s b e c o m em o r ec o m p e t i t i v ea n dm a k eah i g h - s t a n d a r d ，s t e a d ya n dc o n s i s t e n t i m p r o v e m e n t t h i sa r t i c l ea d o p t st h ef o r mo ft h es u r v e yr e p o r tt o g e t h e rw i t ht h et h e o r y t h e a u t h o r a n a l y z e d a n e n t e r p r i s e , a c c o r d i n g t ot h e e n t e r p r i s e i u s k m a n a g e m e n t - i n t e g r a t e df r a m e w o r ko ft h ec o s oi n t e r n a lc o n t r o lr e p o r t b a s e do n t h i sa n a l y s i s ，t h ea u t h o rm a d es o m er e w o m m e n d a t i o n st oi m p r o v ei n t e r n a lc o n t r o lo f t h ee n t e r p r i s e s k e yw o r d s ：i n t e r n a lc o n t r o l c o s of r a m e 砒s km a n a g e m e n t 厦门大学学位论文原创性声明 兹呈交的学位论文，是本人在导师指导下独立完成的研究成 果。本人在论文写作中参考的其他个人或集体的研究成果，均在 文中以明确方式标明。本人依法享有和承担由此论文产生的权利 和责任。 声明人( 签名) ： 年月日 厦门大学学位论文著作权使用声明 本人完全了解厦门大学有关保留、使用学位论文的规定。厦门大 学有权保留并向国家主管部门或其指定机构送交论文的纸质版和电 子版，有权将学位论文用于非赢利目的的少量复制并允许论文进入学 校图书馆被查阅，有权将学位论文的内容编入有关数据库进行检索， 有权将学位论文的标题和摘要汇编出版。保密的学位论文在解密后适 用本规定。 本学位论文属于 l 、保密() ，在年解密后适用本授权书。 2 、不保密( ) ( 请在以上相应括号内打“4 ) 作者签名： 导师签名： 日期： 日期： 年月日 年月 日 第l 章引言 第1 章引言 在当前中国迅速融入全球经济、现代企业制度初步建成、持续完善的大背 景下，企业内部控制成为了学术界和实务界探讨的热点问题。日新月异的经营 环境、不断发展的管理理论以及近年来频频曝光的财务造假丑闻，都对企业构 造有效运作的内部控制制度、确保会计信息质量提出了迫切的要求。内部控制 的持续优化对于完善公司治理结构和信息披露制度、保护投资者的合法权益、 保证资本市场的有效运行均具有积极、重大和深远的意义 近年来中外发生的恶性财务舞弊案所引致的损失重大、影响深刻。美国布 鲁斯学会公布的一项研究报告显示，仅安然公司和世界通信公司的造假丑闻将 使2 0 0 2 年美国经济损失3 7 0 _ - 4 2 0 亿美元。美国证券交易委员会委员保罗阿 特金坦言，由于接连发生的美国大公司财务欺诈丑闻，美国证券市场遭受重创， 损失约5 万亿美元的市值，如果将损失分摊到全体美国人身上，每户美国家庭 要承担6 万美元。我国的舞弊和信息失真状况也不容乐观，根据财政部2 0 0 3 年会计信息质量检查公告第九号显示，财政部有针对性地选取了民营企业、 被注册会计师出具否定意见或拒绝表示意见审计报告的国有或国有控股企业、 以及1 9 9 9 - - 2 0 0 1 年会计信息质量检查中被公告的部分企业进行了检查，共查出 1 5 2 户企业资产不实8 5 8 8 亿元，所有者权益不实4 1 3 8 亿元，利润不实2 8 7 2 亿元。其中：资产不实比例5 以上的企业2 3 户，占被检查企业户数的1 5 1 3 ；利润不实比例1 0 以上的企业8 2 户，占被检查企业户数的5 3 9 5 ；利润 严重不实，虚盈实亏企业有5 户，其报表反映盈利3 5 5 1 万元，实际亏损1 5 亿元：虚亏实盈企业有6 户，其报表反映亏损1 4 亿元，实际盈利4 亿元；有 1 6 户企业违规设置账外账。 持续优化内部控制也是发展资本市场、巩固国家财政、完善公司治理构、 建立预防和惩治腐败体系等的内生要求。因此，近年来我国企业内部控制相关 法律法规陆续出台，内部会计控制也受到我国监管部门、自律组织、中介机构 朱荣恩，应唯，袁敏企业内部控制制度设计一理论与实践 m i ：海财经大学出版社，2 0 0 5 年，p 卜2 从a 公司的衰败反思我国企业内部挖制制度建设 及企业自身的普遍关注。为尽快建立既适合我国国情又与国际惯例相协调的内 部会计控制规范体系，基于新会计法关于各单位必须建立、健全内部会计控制 制度的相关规定和中央关于完善社会主义市场经济体制的要求，财政部通过一 系列卓有成效的工作，先后发布了 内部会计控制规范基本规范( 试行) ( 2 0 0 1 ) 和货币资金( 2 0 0 1 ) 、采购与付款( 2 0 0 2 ) 、销售与收款( 2 0 0 2 ) 、工程项目 ( 2 0 0 3 ) 、对外投资( 2 0 0 4 ) 、担保( 2 0 0 4 ) 等6 项具体控制规范；同时印发了固 定资产、存货、筹资、成本费用、预算等控制规范( 征求意见稿) ；尤其是2 0 0 7 年3 月公布的旨在引导企业加强以财务报告内部控制为主线的相关标准建设的 企业内部控制规范( 征求意见稿) 被业内人士称为中国版“c o s 0 ( 内部控制框 架) 与萨班斯一奥克斯利法案合体 、与财政部的积极引导、强力推动相呼应， 企事业单位纷纷根据内部会计控制的基本规定，结合自身的经营特点和管理要 求，相继制定、完善了自身内部控制制度。实务界的观念更新和实践热忱，客 观上要求理论界顺势而为、因势利导，提供更为及时、充分、有效的理论支持 和技术指导。 因而，基于切实加快推进内部控制制度建设这一大势所趋，潮流所向，研 究我国企业的内部控制现状，探寻我国企业内部控制失效、无序的深层次原因， 借鉴国际先进、成熟经验，探索出持续优化我国企业内部控制、切实提升我国 企业核心竞争力的途径和方法，是一项任重道远而又亟待开展的工作。 2 第2 章内部控制理论概述 第2 章内部控制理论概述 2 1 内部控制的涵义 无规矩不成方圆，失控则无序、低效。因此，大至国家乃至整个国际社会 的经济、社会生活，小至企事业单位乃至家庭的业务运营和日常事项，都需要 适时、适度地调整和控制。 所谓“内部控制一，望文生义即指在组织系统内部所实施的控制，其具体内 涵随着历史的变迁和相关管理理论的发展而不断演进。1 9 3 6 年美国注册会计师 协会发布的注册会计师对财务报表的审查文告中最早述及内部控制的定义。 目前被广泛采用和认可的内部控制定义则源自美国c o s o 委员会于1 9 9 2 年提出、 1 9 9 4 年修订的内部控制整体框架，即企业内部控制是由董事会、经理 层及其他员工实施的，旨在为业务运营的高效性、财务报告的可靠性及相关法 令的遵循性提供合理保证的过程。 2 2 内部控制理论的发展 2 2 1 内部牵制阶段 在上世纪3 0 年代内部控制作为一个专用名词和完整概念被人们提出、认 识和接受之前，内部控制的雏形即“内部牵制早已存在并作用于人类社会发 展史。古罗马帝国宫廷库房采取的“双人记账制度、我国西周时期的互相牵制 制度都是内部控制基本思想和初级形式的典型表现。 2 2 2 内部控制制度阶段 内部控制最初( 即“内部牵制”阶段) 以职务分离和账户核对为主要内容， 随着资本主义经济的发展，逐渐演变成由组织结构、职务分离、业务程序、处 理手续等因素构成的控制系统，并同益成为企业生死攸关的核心要素。因此， 企业经营管理者基于对内部牵制原理的实践摸索，借鉴并引用泰罗制等管理思 想，尝试从组织结构、业务程序、处理手续等方面设计并执行一系列控制措施， 3 从a 公司的衰败反思我国企业内部控制制度建设 以实现对辖属人员及业务的组织、制约和调节。实务界的迫切要求和积极实践 也激起了理论界的探索热忱。1 9 4 9 年审计程序委员会下属的内部控制专门委员 会发表了题为内部控制、协调系统诸要素及其对管理部门和注册会计师的重 要性的专题报告，标志着控制系统正式形成。该报告对内部控制做出了如下 权威定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准 确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计 划和相互配套的各种方法及措施 。 2 2 3 内部控制结构阶段 1 9 8 8 年美国注册会计师协会发布了自1 9 9 0 年始取代审计准则公告第1 号的审计准则公告第5 5 号( s a sn o 5 5 ) ，提出“企业的内部控制结构 包括为合理保证企业特定目标的实现而建立的各种政策和程序，具体涵盖控 制环境、会计系统、控制程序三个层面。这是“内部控制结构( i n t e r n a lc o n t r o l s t r u c t u r e ) 一词的首次面世。 2 2 4 内部控制整体框架阶段 1 9 9 2 年，内部控制一整体架构( i n t e r n a lc o n t r o l - - i n t e g r a t e d f r a m e w o r k ) 即c o s o 报告由美国“反对虚假财务报告委员会 ( n a t i o n a l c o m m i s s i o no nf r a u d u l e n tr e p o r t i n g ) 辖属的内部控制专门研究委员会所发起 成立的机构委员会( c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n so ft h et r e a d w a y c o m m i s s i o n ，简称c o s o 委员会) 提出。1 9 9 4 年，历经多轮修订、扩充了保障 资产安全相关内控内容的c o s o 报告得到了美国审计署( g e n e r a la c c o u n t i n g o f f i c e ，g a o ) 和a i c p a 的认可。1 9 9 5 年a i c p a 据以发布了两年后取代审汁准 则公告第5 5 号的审计准则公告第7 8 号( s a sn o 7 8 ) 。根据c o s o 报告， 内部控制是一个受企业董事会、管理层及其他员工影响，旨在保证财务报告的 可靠性、经营的效果和效率以及现行法规的遵循的过程，内部控制整体框架包 括控制坏境( c o n t r o le n v i r o n m e n t ) 、风险评估( r i s ka s s e s s m e n t ) 、控制活 动( c o n t r o la c t i v i t i e s ) 、信息与沟通( i n f o r m a t i o na n dc o m m u n i c a t i o n ) 牛成占上c o s o 框架下的内部控制【m 】经济科学i i 版社，2 0 0 5 年。p 4 牛成晶c o s o 框架下的内部控制【m 】经济科学 l 版社，2 0 0 5 年，p 7 4 第2 章内部控制理论概述 和监控( m o n i t o r i n g ) 五项要素。这一内部控制整体框架，为实务界和理论界 所广泛接受和应用，对近年来世界各国的内部控制实践产生了直接的指导和深 远的影响，在内部控制理论的发展史上占有非常重要的地位。 2 2 5 企业风险管理阶段 多年来的管理实践使人们逐步认识到，一个企业内部不同部门或不同业务 的风险，或相互叠加放大，或相互抵消减少因此，企业仅从某项业务、某个 部门的角度考虑风险是片面、微观、低效甚至失控的，必须基于风险组合的观 点，实行“企业风险管理 ( e n t e r p r i s er i s km a n a g e m e n t ，简称e 蹦) ，即从 统揽全局、贯穿整个业务流程的视角监测、防范和控制风险。顺应时势要求， c o s o 委员会自2 0 0 1 年始着手相关方面的研究，于2 0 0 3 年完成了企业风险 管理框架( 草案) ，在公开征求并充分吸纳业界意见、建议的基础上，于2 0 0 4 年正式发布了 ：企业风险管理框架( 简称e p o l ! 框架) 。e 跚框架指出“企业风 险管理是一个受董事会、管理层及其他人员影响，贯穿企业战略决策和执行始 终，旨在识别潜在风险并通过管理使之符合企业的风险偏好，从而合理确保企 业达成既定目标的过程”，提出企业风险管理包括且将全面取代内控，确立了 内部控制向企业风险管理发展的必要性和必然性，标志着内部控制理论产生了 新的跃升。 2 。3 内部控制原理 2 3 1 控制论 美国数学家维纳( n o r b e r tw i e n e r ) 创立了控制论( c y b e r n e t i c s ) 这一关 于动态系统控制调节的机理和一般规律的科学，阐释了“信息的交换和反馈过 程是一切控制系统共有的基本特性，籍此特性可以达到对系统的认识、分析和 控制的目标 的基本观点。 控制论为内部控制的制定和实施提供了可靠的理论依据，其在企业管理领 域的广泛实践推动了内部控制的形成。内部控制的研究对象和运作方式与控制 论并无二致，即通过对目标信息系统中信息的变换和反馈，辅以专门的施控方 牛成占占c o s o 框架下的内部控制【m 】经济科学出版社，2 0 0 5 年，p 8 s 从h 公司的衰败反思我国企业内部控制制度建设 法，达到控制的目的。换言之，内部控制是旨在确保企业按既定目标前进的内 部管理过程，是在组织内部架构具有控制效果的反馈前馈系统，运用组织 规划控制、授权批准控制、文件记录控制、实物保护控制、职工素质控制、计 划预算控制、业绩报告控制、内部审计控制等施控方式，组织、制约、考核和 调节经济活动，从而保护财产安全完整、会计信息真实可靠、经营目标高效达 成。 从控制论角度，企业内控制度可以描述为：股东作为最终控制主体，董事 会、经理层、各职能部门和全体员工作为不同层级的控制主体与受控对象，通 过全方位、各层级主体间的信息耦合，使系统契合企业整体战略、朝着企业既 定目标运行的各类规范的总和。具体可分为公司治理结构、公司管理制度两个 层次。企业内控制度与公司治理相伴相生。现代企业中所有权与管理权的分离 表现为契约控制权的授权过程，即所有者即股东仅保留了董事选举、企业兼并 与新股发行的控制权，而将大部分权利授予了董事会；董事会也仅保留了聘用 与解聘总经理、重大投资等战略性决策的控制权，而将日常产、供、销和人事 等管理权授予经理层。由于职业经理人取代业主控制企业经营产生的代理成本 问题以及代理人道德风险与逆向选择而产生的内部人控制问题，使公司治理机 制表现为股东、董事会、总经理之间的责、权、利安排和相互制衡机制，这形 成了企业内控制度的第一层次。企业管理当局为实现董事会确定的目标，确保 企业运营合规、高效和资本保值增值所建立起一系列政策、规则和组织程序， 形成了企业内控制度的第二层次。 在企业内控制度的不同层次中，通过对企业内部控制总目标的分解，企业 内控制度形成了一个层级繁复、交叉制衡的大系统，在系统整体的总目标之下， 各层次的子系统均着眼由总目标分解而来的分目标实现各自的最优控制；系统 整体的控制通过对子系统的协调来实现。其运行方式为：每个层级均只控制下 一级的活动，而不越级去直接控制更下一级的活动，仅最底层的控制子系统才 直接控制系统的运行，上级层次的系统只起协调器的作用。 2 3 2 委托代理理论 委托代理关系被詹森( m j e n s e n ) 和麦克林( w m e c k l i n g ) 定义为“一 6 第2 章内部控制理论概述 个人或一些人( 委托人) 委托其他入( 代理人) 基于委托人利益从事某些活动， 并相应地赋予代理人某些决策权的契约关系一。 委托代理理论，则是基于信息 不对称条件下契约的形成过程，探讨委托人如何花费尽量低的成本设计一种契 约或机制，促使代理人努力工作，从而最大限度增加委托人效用的理论。 从委托代理理论的视角看，现代企业是由契约关系联系在一起的多层次委 托代理关系的集合体。所有权和经营权分离是现代企业的重要特征，股东 的分散使其放弃了经营权，而以委托的方式将资产托付于高层管理者经营，从 而形成了第一层委托代理关系。职业经理入作为受托人，为提高企业的经营绩 效，确保提供给委托人( 所有者) 的财务报表的合法性和公允性，必须建立内 部控制以有效降低代理成本、切实履行受托责任。日趋扩大的企业规模、日益 复杂的业务门类又使得高层管理者不得不将部分业务和职能部门管理权转授给 中、下层管理者，从而形成了第二层、第三层的委托代理关系。或者也可以把 内部控制划分为外部和内部两个层面，前述第一层次的委托代理关系客观 上催生了所有者等外部利益关系人对管理者实行的控制，即基于外部利益关系 人和管理者之间的代理关系而进行的监督；第二层次的委托- 代理关系客观 上催生了管理者对生产经营过程的控制。会计目标的经管责任学派认为，会计 目标是以恰当的方式有效的反映资源受托者的受托经管责任( a c c o u n t a b i l i t y ) 及其履行情况。 究其实质，内部控制是为了降低代理成本、确保受托责任履行所构建的一 套牵制、调控体系。差异化的组织结构、管理方式、企业文化、企业类型和规 模产生了差异化的委托代理关系，也引致了差异化的内部控制。 2 3 3 博弈论 博弈论( g a m et h e o r y ) ，即游戏理论、对策论，是研究各方策略相互影响 的条件下，理性决策人的决策行为的一种理论，包含博弈参加者( p l a y e r ) 、策略 空间( s t r a t e g ys p a c e ) 、博弈次序( t h eo r d e ro fp l a y ) 、博弈信息( i n f o r m a t i o n ) 四项要素。 经济活动中参与博弈的各方都期望利益最大化，拟采取的行动多取决于对 李健公司治理论【m 】经济科学 l 版社，1 9 9 9 年 7 从a 公司的衰败反思我国企业内部控制制度建设 对方举措的信息研判，即彼此的言行往往相互影响。博弈就是研究决策主体的 行为发生直接的相互作用时，行为主体的决策以及该决策的均衡问题。 内部控制涉及到所有者、管理层、内部监督部门、普通员工等多方主体， 而博弈论正是分析多方利益主体之间关系的有力工具。在内部控制过程中，存 在着施控者与受控者之间的博弈，通过多方的博弈实现内部控制的最终结果。 作为施控一方的企业董事会或高级管理层，试图通过一系列的控制程序和手段 对管理层或普通员工施加影响，从而实现运营高效、资产保全、利润增长等企 业目标。而作为受控方，则尽力追求个人收入增长、闲暇时间增加、劳动强度 降低以实现个人利益的最大化。 2 4 内部控制框架与企业风险管理框架 2 4 1c o s o 内部控制一整合框架 l 、c o s o 对内部控制的定义 1 9 2 9 年美国会计师协会( a a a ) 和联邦储备委员会( f r b ) 修订发布的会计报 表的验证( v e r i f i c a t i o no ff i n a n c i a ls t a t e m e n t s ) 是最早述及内部控制的 专业文献。1 9 3 6 年发表的独立公共会计师对会计报表的审查( e x a m i n a t i o n o ff i n a n c i a ls t a t e m e n t sb yi n d e p e n d e n tp u b l i ca c c o u n t a n t ) 则对内部控制 提出了最早的定义。而美国的c o s o 委员会于1 9 9 2 年提出并于1 9 9 4 年修改的内 部控制一整体框架将内部控制阐释为“由企业董事会、管理层及其他员工实 现的过程，旨在为下列目标提供合理保证：( 1 ) 财务报告的可靠性；( 2 ) 经营 的效果和效率；( 3 ) 符合适用的法律和法规 ，得到了广泛的认可并沿用至今。 2 、内部控制五要素 c o s o 委员会的报告内部控制一整体框架明确了实现内部控制有效性所 不可或缺、有机联系的五大要素支持即控制环境、风险评估、控制活动、信息 与沟通、监督( 详见图2 1 ) 。 牛成吉吉c o s o 框架下的内部控制【m 】经济科学出版社，2 0 0 5 年，p 7 8 第2 章内部控制理论概述 图2 1 内部控制整体框架图 资料来源：朱荣恩，应唯，袁敏企业内部控制制度设计 m 上海财经大学出版社，2 0 0 5 年 ( 1 ) 控制环境( c o n t r o le n v i r o n m e n t ) 控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各 种因素的总和，具体包括员工诚信度、责任感和能力、管理当局经营管理风格、 组织结构、董事会和审计委员会的参与、权责安排、人力资源政策及运用等。 控制环境决定了组织的氛围，影响着组织中人们的内控意识，是整个内部控制 框架的基础。优化企业内部控制，控制环境的建设首当其冲。 ( 2 ) 风险评估( r is ka s s e s s m e n t ) 内、外部的风险与企业相伴相生。企业必须制定与生产、销售、财务一系 列作业相结合的目标，构筑风险评估的先决条件。风险评估是指判别和分析指 阻碍目标达成的各种风险，从而奠定风险管理的基础。由于外部政治、法律、 经济、金融环境的不断变化，企业必须建立判别和处理环境变化产生相应风险 9 从a 公司的衰败反思我国企业内部控制制度建设 的动态机制。 ( 3 ) 控制活动( c o n t r o la c t i v i t i e s ) 控制活动是指通过对企业目标达成过程中的风险采取必要的行动，以确保 管理目标实现的政策和程序，包括范围的设定、授权、核实、协调、经营业绩 的考核、资产安全和职责划分等方面，贯穿于整个组织的各个层次和各个部门。 ( 4 ) 信息与沟通( i n f o r m a t i o na n dc o m m u n i c a t i o n ) 信息与沟通是指企业内部各方人员必须能有效获取并交换其在执行、管理 和控制企业过程中所需的业务、财务等信息，作为经营和控制企业的依据。企 业内、外部的决策相关信息都属于信息系统处理的范畴。 ( 5 ) 监督( m o n i t o r i n g ) 必须对内部控制全程施以恰当的监督，以评价控制系统的运行质量，必要 时予以纠正。 上述五个因素以控制环境为基础、风险评估为依据、控制活动为手段、信 息与沟通为载体、监督为保证，共生互动、综合作用，构成对处于变化中的环 境作出动态反应的整体框架。 2 4 2c o s o 企业风险管理新框架 2 0 0 4 年c o s o 委员会应实务界对统一的概念性指南的迫切需要正式颁布了 企业风险管理框架，以期确立衡量企业风险管理有效与否的标准，为企业董 事会和管理者提供能够公允衡量企业管理团队风险处理能力的有用工具。 不确定性使企业风险与机遇并存，即同时赋予企业增值和减值的可能。于 保护和提高企业利益相关者的价值而言，持续确认风险与适时抓住机遇同样至 关重要。而企业风险管理框架恰是一个在实现企业目标的进程中，帮助企业管 理者有效处理不确定性和减少风险，从而提高企业价值创造能力的框架。 1 、企业风险管理的定义 广义的企业风险管理是指识别可能对企业造成潜在影响的事项，并通过管 理使其符合企业风险偏好，以对企业目标的实现提供合理保证的过程。风险管 理应用于企业战略制定和企业内部各方，由企业的董事会、管理层及其他员工 共同参与。 这一定义直接关注企业目标的实现，为衡量企业风险管理的有效性提供了 l o 第2 章内部控制理论概述 基础，适用于各类组织、行业和部门。该定义强调： ( 1 ) 企业的风险管理本身并不是一个结果，而是实现结果的一种方式，即过 程。企业风险管理是企业日常管理的固有组成部分，渗透于企业各项活动中。 ( 2 ) 企业风险管理应用于企业内部各层次和部门，涉及企业内部各方，是全 员参与的过程。 ( 3 ) 企业风险管理过程可作用于企业的战略制定。企业最高层次的目标即战 略目标与企业的预期和任务相联系并支持预期和任务的实现。管理者基于与不 同的战略相关联的风险分析，围绕企业战略目标制定战略，将战略分解成相应 的子目标，再将子目标层层分解到业务部门、行政部门和各运营环节。 ( 4 ) 企业管理者应对企业所面临的风险持风险组合观，从全局、总体的高度 综合考虑从企业总体活动( 如战略计划和资源分配) 到部门个体活动( 如市场部、 人力资源部) ，再到具体业务流程( 如生产过程、客户信用复核) 的各层面活动。 ( 5 ) 风险管理过程旨在识别可能对企业造成潜在影响的事项，并将其管控予 企业风险偏好的范围内。 ( 6 ) 设计合理、运行有效的风险管理能合理保证企业董事会、管理者既定的 各层次企业目标得以实现。 ( 7 ) 企业风险管理框架针对若干类相互独立但又交叉重叠的目标，旨在实现 企业目标。 人们往往在评估风险管理要素设计和执行正确与否的基础上，对企业的风 险管理过程的有效性作出主观判断。企业风险管理的有效性取决于某一时点的 某一状态或条件，取决于其设计是否涵盖所有的要素并得到切实执行。无论从 企业总体，还是从单部门个体或多部门群体的角度来认识，企业风险管理均应 涵盖下文述及的八项要素。 2 、企业风险管理八要素 内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息 和沟通、监控等组成了企业风险管理要素( 详见图2 2 ) 。这八要素涉及企业内 部各方、贯穿企业管理全程，相互作用，不可或缺。 从a 公司的衰败反思我国企业内部控制制度建设 企 业 风 险 管 理 框 架 内部环境 目标设定 事件识别 风险评估 风险反应 控制活动 信息与沟通 监控 风险管理哲学、风险文化、风险偏好、董事会、 操守和价值观、能力、管理哲学和经营结构、 组织结构、授权和责任、人力资源政策和实务 战略目标相关目标选择目标风险偏好风险 容忍度 事项影响风险事件发生的因素事件识别方法 与技巧事件相互依赖事件分类风险与机遇 固有和剩余风险可能性和影响方法和技术 相互关系 确认风险反应方案对可能的风险反应方案进 行评估迸择反应方案风险组合观 与风险反应结合控制活动类型一般控制应 用控制将定主体 信息与策略结合的综合系统沟通 持续的监控独立的监控报告不足 图2 2 风险管理八要素的内容 资料来源；朱荣恩，应唯，袁敏企业内部控制制度设计 m 上海财经大学出版社，2 0 0 5 年 ( 1 ) 内部环境 企业的内部环境为其他七要素提供规则和结构，是企业风险管理的基础要 素。企业战略和目标的制定，业务活动的组织，对风险的识别、评估和反应， 企业控制活动，信息和沟通系统以及监控活动的设计和执行均受企业内部环境 影响。董事会作为内部环境的重要组成，对其他内部环境要素产生重要的影响。 内部环境的另一重要组成管理层则肩负建立企业风险管理理念，确定企业 的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结 合起来的职责。 1 2 第2 章内部控制理论概述 ( 2 ) 目标制定 管理者基于企业既定的任务或预期，制定企业的战略目标并确定与战略目 标密切相关的经营目标、报告目标、合规目标，进而在企业内层层分解和落实。 在企业目标明确的前提下，管理者才能确定对目标的实现存在潜在影响的事项 并加以控制。而企业风险管理恰是通过适当的过程安排，帮助企业管理者制定 企业的目标并使之与企业的任务或预期相衔接，同时保证所制定的目标符合企 业的风险偏好。 ( 3 ) 事项识别 不确定性的普遍存在决定了企业管理者加以识别、评估和反应的必要性。 对企业目标实现可能产生负面影响的事项即企业面i f 6 j 的风险；对企业目标实现 可能产生正面影响的事项即企业面临的机遇，或是可资抵消负面影响的事项。 在企业战略或目标制定的过程中应充分考虑机遇因素，以制定可行的行动计划 抓住机遇；在风险的评估和反应阶段应充分考虑可能发生的可望抵消负面影响 的事项。 ( 4 ) 风险评估 管理者应从风险发生的可能性和影响两方面对风险进行评估，以了解潜在 事项影响企业目标实现的方式和程度。风险发生的可能性是指某一特定事项发 生的可能性，影响则是指事项一旦发生所将产生的影响。因此，管理者应从企 业战略和目标的角度出发，既评估企业的固有风险，确定对固有风险的风险反 应模式和管理措施；又在此基础上评估剩余风险。 ( 5 ) 风险反应 风险反应可以细分为规避风险、减少风险、共担风险和接受风险四类。采 取措施退出给企业带来风险的活动即规避风险；采取措施减少风险发生的可能 性或影响程度即减少风险：采取措施转嫁风险或寻求、增加风险共担者即共担 风险；不采取任何行动，听任风险发生即接受风险。企业应通过有效的风险管 理，促使管理者对每一个重要的风险制定有效的风险反应方案，从而使企业风 险发生的可能性和影响度与企业的风险容忍度相符。 管理者应在选定某一风险反应方案后重新评估剩余风险，即从企业全局高 1 3 从a 公司的衰败反思我国企业内部控制制度建设 度或者组合风险的角度对风险进行重新计量。各行政部门、职能部门或者业务 部门的管理者应采取一定的措施对本部门的风险进行复合式评估，并选择相应 的风险应对方案。 ( 6 ) 控制活动 为帮助和确保风险反应方案得以正确实施，必须确定并执行应该做什么的 政策和影响该政策的一系列程序，这就是控制活动。控制活动广泛存在予企业 的各层面和各部门。 ( 7 ) 信息和沟通 唯有来自于企业内、外部的相关信息能以一定的格式和时间间隔进行准确 及时的确认、捕捉和传递即有效沟通，才能保证企业员工能够有效履责。有效 的沟通应是广义上的沟通，既包括企业内纵向的自上而下、自下而上以及横向 的沟通，也包括企业内部信息与客户、供应商、行政管理部门和股东等外部相 关方的有效沟通和交换。 ( 8 ) 监控 企业可以通过持续监控、个别评估两种方式评估风险管理要素的内容和运 行以及一段时期的执行质量，以确保企业风险管理在企业内各层面、各部门得 以持续执行。风险管理监控的效果和效率在相当程度上受制于记录的适当程度， 而后者往往受到企业规模、经营的复杂性和其他因素的影响。为企业风险管理 设计记录模式并保持相关记录是对外提供企业风险管理效率报告的前提条件。 2 4 3 企业风险管理框架与内部控制框架的比较分析 内部控制与风险管理密切相关，是风险管理的有机组成部分。c o s o 委员会 于2 0 0 4 年出台的企业风险管理框架继承并涵盖了内部控制一整体框架 的主体内容，同时扩展了三个要素、增设了一个目标、更新了部分理念，旨在 为各国的企业风险管理研究与实践提供一个统一术语与概念体系的全面的应用 指南。 l 、c o s o 的企业风险管理框架与内部控制框架的异同点分析 企业风险管理框架与内部控制框架的共同点： ( 1 ) 均旗帜鲜明地提出了全员参与的必要性，指出须由“企业董事会、管理 层以及其他人员共同实施”，各方在内部控制或风险管理中都有相应的角色与职 1 4 第2 章内部控制理论概述 责。 ( 2 ) 均明确为内置于企业日常管理中的常规运行的动态“过程一，而非制度 文件、技术模型等静态物或检查评估等单独或额外的活动。 ( 3 ) 均为企业目标的实现提供合理的保证，两框架有三类目标即报告类目 标、经营类目标和遵循类目标相互重合。 ( 4 ) 两框架目标的基本一致性及其实现机制的相似性决定了构成要素的重 合度，其五项构成要素即( 控制或内部) 环境、风险评估、控制活动、信息与沟 通、监督相互重合。 企业风险管理框架与内部控制框架的不同点： ( 1 ) 报告目标的差异 在内部控制框架的既有目标的基础上，风险管理框架增设了与企业愿景或 使命相关的战略目标，意味着风险管理从确保经营效率与效果的层面上升到企 业战略( 包括经营目标) 制定的层面；同时扩展了报告类目标，对财务报告及对 内、外发布的非财务类报告均提出了准确性要求。 ( 2 ) 框架构成要素的差异 在内部控制框架的既有五要素( 内部环境、风险评估、控制活动、信息与沟 通、监督) 的基础上，风险管理框架增设了目标设定、事件识别和风险对策三个 要素。同时风险管理框架将风险管理哲学、风险偏好( r i s ka p p e t i t e ) 和风险文 化充实入内部环境要素的内涵；要求在风险评估要素中增加对内在风险与剩余 风险的考量，以期望值、最坏情形值或概率分布度量风险，兼顾时间偏好以及 风险间的关联作用；强调在信息与沟通要素方面完善对过去、现在以及未来相 关数据的获取与分析处理，规定了信息的深度与及时性等。 ( 3 ) 风险管理框架提出了风险组合与整体风险管理( i n t e g r a t e dr i s k m a n a g e m e n t ) 的新理念 借用现代金融理论中的资产组合理论，企业风险管理框架提出了风险组合 与整体管理的理念，要求企业基于对散见于企业各层次、各部门的风险暴露的 全局把握，关注风险事件之问以及风险对策之间的交互影响，统筹考虑风险对 策，避免技术、财务、信息科技、环境、安全、质量、审计等部门在风险应对 中的各自为政、相互割裂。藉此防止以下两种倾向：一是部门个体的风险处于 1 5 从a 公司的衰败反思我国企业内部控制制度建设 风险偏好可承受范围之内，但由于个别风险的乘数效应导致总体风险逾越企业 整体的承受限度；二是部门个体的风险暴露超过容忍度，但由于风险事件之间 的相互抵消效应导致总体风险水平未超出企业整体的承受限度，留出了进一步 承受风险、争取更高回报与成长的空间。 2 、内部控制与风险管理的内在联系 ( 1 ) 企业制度的发展演进与风险相关 有限责任制度的确立使股东的家产与企业的财产及企业的经济责任相互独 立，从而使企业信用能力和企业经营的连续性免受股东变换和股权交易的影响， 加大了股权交易范围和流动性，进而降低了投资风险、促进了企业融资、优化 了资本与经营能力的组合，最终造就了今天巨型的股份公司。因此，有限责任 制确立堪称企业组织从业主制或合伙制走向现代股份公司制的关键步骤。现代 企业制度中高度的两权分离也带来了职业经理人不履行其受托责任而损害股东 利益或从事风险过高的项目而损害债权人利益等新的风险。市场化的风险可以 通过市场竞争自发约束或市场交易提供避险；属于机制问题、组织或交易中的 代理问题则需要制定并执行财务报告、内部控制及审计等一系列规则与制度予 以规范。 ( 2 ) 内部控制和风险管理的根本作用都是维护投资者利益，实现企业资产 保值增值 企业的内部控制是在两权分离的条件下，通过设定并执行一定的机制，保 证会计信息公允可靠，防止经营层操纵报表与欺诈，保护财产安全完整，遵守 法律法规、维护企业声誉等，从而达到保护投资者权益的终极目标。 根据c o s o 企业风险管理框架，风险管理渗透于企业战略制定与组织的 各层次活动中，旨在帮助面临不确定性的管理者识别、评估和管理风险，统筹 考虑风险与增长及回报，通过对多种风险提供整体的对策，确保风险偏好与战 略的一致性，以利机遇捕捉、损失规避、价值创造和资本的利用合理化。 ( 3 ) 企业风险管理是在新兴技术与市场条件下对内部控制的自然扩展 内部控制向风险管理演进的推动力是技术及市场条件的新进展。从市场需 求的紧迫性看，一方面，新兴市场实践中的交易或组织创新带来了新的风险， 如安然公司将能源交易大量发展成类似金融衍生品的交易；另一方面逐步增强 1 6 第2 章内部控制理论概述 的环境保护及消费者权益保护意识都强化了企业的社会责任，企业稍有不慎就 可能招致商誉及市值贬损，遭受来自商品市场或资本市场的惩罚。这一切迫切 要求企业构建日常防护机制，以确保业务经营守法合规、财务信息公允可信以 及经营的效率效果。从技术条件的可行性看，受惠于日新月异的信息技术发展， 会计记录实现了电子控制、实时更新，具备了实施更主动、全面的风险管理以 更有效地保护投资者权益的技术条件，自然不再局限于传统会计控制的查错， 防弊功能。 综上分析可知： ( 1 ) 企业