（企业管理专业论文）外贸企业内部控制研究.pdf

辽宁科技大学硕士论戈 摘要 摘要 随着经济一体化地不断深入，来自国际市场的竞争越来越激烈。进出 口贸易不断增加，外贸企业重要性越来越突出，为了增强外贸企业在国际 市场上的竞争力，必须加强外贸企业内部控制制度的建设，并向国际化标 准靠拢。 加强企业内部控制，是企业最基础性的工作，也是企业能够持续生存 和发展的保证。本文首先对内部控制的发展历程作了回顾，接着对内部控 制发展的最新框架企业风险管理一一整体框架作了解读介绍，并分析 了新框架与以往内部控制框架相比的突破和进步，新框架开始注重整体风 险控制，并把全面风险管理的方法引入内部控制之中。本文通过对外贸企 q k 与一般仓_ k 的对比分析，总结出外贸企业内部控制制度建设与执行存在 的问题，并从风险管理的角度来指导外贸企业内控制度的建立与完善，提 出针对性的建议。最后以万奥耐火材料有限公司为实例，以内部控制新框 架企业风险管理一一整体框架为指导，结合新框架八大要素制定出了 万奥公司内部控制制度体系。此内部控制体系对万奥公司实际管理工作有 一定的指导意义，同时对目前外贸企业内部控制制度建立也有一定的借鉴 意义。 关键词：外贸企业，内部控制，风险管理 i l 辽宁j 披大学颂士论文 a b s t r a c t w i t ht h ef u r t h e rd e v e l o p m e n to fe c o n o m i cg l o b a l i z a t i o n ，e n t e r p r i s e sa r e f a c i n gm o r ea n dm o r ef i e r c ec o m p e t i t i o nc o m i n gf r o mt h ei n t e r n a t i o n a l m a r k e t i m p o r t sa n de x p o r t st r a d ew i l li n c r e a s eg r a d u a l l y t h ei m p o r t a n c eo f f o r e i g nt r a d ec o m p a n yi sm o r ea n dm o r ec o n s p i c u o u s i no r d e rt oi n c r e a s et h e c o m p e t i t i o n f o rf o r e i g nt r a d e c o m p a n yi n i n t e r n a t i o n a lm a r k e t ，w em u s t e n h a n c et h ec o n s t r u c t i o no fi n t e r n a lc o n t r o ls y s t e ma n dc o m ec l o s et ot h e s t a n d a r do fi n t e r n a t i o n a l i z a t i o n i ti st h eb a s i cw o r kt oe n h a n c et h ei n t e r n a lc o n t r o li nc o m p a n ya n de n s u r e t h ec o m p a n yd e v e l o p m e n t b a s e do nt h er e v i e wo ft h ed e v e l o p m e n tc o u r s eo f i n t e r n a lc o n t r o l ，t h i sp a p e ru n s c r a m b l ea n di n t r o d u c e “t h em a n a g e m e n to f r i s ki nt h ec o m p a n y t h ei n t e g r a t e df r a m e w o r k ”u pt ot h em i n u t e ，a n d a n a l y s i st h ea d v a n c e m e n t so ft h en e w f r a m e w o r kc o m p a r e dw i t ht h eo l do n e s ， w ek n o wt h a tt h en e wf r a m e w o r kb e g a nt op a ym o r ea t t e n t i o nt ot h ew h o l e r i s kc o n t r o l ，a n di n t r o d u c ei ti n t ot h ei n t e r n a lc o n t r 0 1 b yt h ec o n t r a s tf o r e i g n t r a d ec o m p a n yw i t ht h ec o m m o no n e ，w es u m m a r i z e dt h ep r o b l e m so f c o n s t r u c t i o na n di m p l e m e n to fi n t e r i o rc o n t r o ls y s t e mi nf o r e i g nc o m p a n y ， a n dp u tf o r w a r dt h ep e r t i n e n ts u g g e s t i o n sf r o mt h ea n g l et h er i s km a n a g e m e n t i nt h el a s t ，w et o o kt h ea n s h a nw a n a or e f r a c t o r ym a t e r i a lc o ，l t d a st h e e x a m p l et o e s t a b l is ht h ei n t e r n a lc o n t r o ls y s t e ma c c o r d i n gt ot h ei n t e g r a t e d f r a m e w o r k k e y w o r d s ： f o r e i g n t r a d e c o m p a n y ，i n t e r n a lc o n t r o l ，r i s k m a n a g e m e n t 1 1 1 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得辽宁科技大学或其它教育机构的学位或证书而使用过的材料，与 我一同r t 作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示了谢意。 签名：金盔匿压日期：兰! ! ：! ：。 关于论文使用授权的说明 本人完全了解辽宁科技大学有关保留、使用学位论文的规定， 即：学校有权保留送交论文的复印件，允许论文被查阅和借阅：学校 可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手 段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：奎墨导师签名： j 日期：型! ：! ：? 辽宁科技大学硕士论文 第1 章绪论 1 1 选题背景 第1 章绪论 经济全球一体化加速了世界市场经济一体化的进程，这不仅加深了各 国之俐的相互依赖，同时也加剧了各国的相互竞争，随着国际贸易的不断 深入，外贸企业将显得越来越重要。随着跨越国晃的新的市场经济运行方 式的形成，行业竞争将日趋激烈，这对现代外贸企业的经理们提出了新的 课题。面对历史的机遇和严峻的挑战，外贸企业要维持生存和获得发展， 就必须苦练内功，通过加强管理，提高自身的核心竞争力。 经济全球化的迅速发展，对于外贸企业的内部管理水平提出更高的要 求，而现有的内部控制机制不适应发展需要的问题变得越来越突出，甚至 制约了外贸企业的快速发展，成为外贸企业体制转轨过程中暴露出的薄弱 环节。 本文试图通过对外贸企业内部控制机制薄弱环节的剖析，探求完善外 贸企业内部控制制度的切入点，以增强内部控制制度的针对性、适应性和 实用性，以期在企业内部形成制度化、规范化、科学化的健全的管理体制。 1 2 相关研究综述 进入2 0 世纪以来，内部控制在国际上发展迅速，从理论到实务内容 不断丰寓。其发展先后经历了内部牵制、内部控制制度、内部控制结构和 内部控制整体框架及企业风险管理整体框架五个阶段。 19 1 2 年，为了应对西方股份公司规模日益扩大、所有权与经营权进一 步的分离，r h 蒙哥马利提出了“内部牵制”理论，通过职务分离和账 目核对等手段，实现对钱、账、物等的控制，达到查错防弊的目的】。6 0 、 7 0 年代，竞争加剧，企业界出现很多新问题，使得许多工程师、数学家开 始关注控制问题。他们与会计学者紧密配合，利用工程学、数学以及会计 学的理论，重点在策略控制、存货产量控制、信息控制和内部控制等四个 方而进行了深入研究【2j 。2 0 世纪8 0 年代，信息技术对企业组织结构产生 巨大影响，人们转向管理时空的秩序研究，探讨了会计控制在组织中的作 用 3 l 。1 9 9 0 年哈莫( m i c h a e lh a m m e r ) 、1 9 9 8 年马卡斯等人 ( w m c c a r t h y ，j s d a v i da n db s o m m e r ) 和1 9 9 9 年霍兰德( h o l l a n d e r ) 等人 4 - 6 ，密切注视了信息技术对会计的影响，审视了i t 环境下现代企业 辽宁科技太学硕士论文第1 章绪论 的控制问题。2 0 0 4 年9 月2 9 日c o s o 委员会又正式发布了企业风险管 理整体框架【7 1 ，并提出将以此取代1 9 9 2 年发布的内部控制整体框架， 这是内部控制第五阶段的开始 从欧美等住l 学者对内部控制理论的研究可以发现，对内部控制理论的 研究经历了一个从发展到成熟的过程，并丁f 由传统内部控制的理论研究转 向结合风险管理的内部控制理论研究。但目前国际上从内部控制风险管理 方面研究的学者并不多。 中因学术理论界对内部控制的研究主要有以下几个方面：周勤业、朱 荣恩等从美国萨班斯一奥克斯利法案以下简称萨班斯法案以及出台的有 关规则出发，研究关于内部控制信息披露的问题，并对内部控制信息披露 提出建议j ；杨有红、李连华、程新生等把公司治理和内部控制结合起来， 在公司治理的范畴下研究内部控制，以期实现它们的对接 9 - 1 3 】；林钟高、 韩传模等提出公司财务丑闻，会计信息质量失真和内部控制不力有关，并 对建立内部控制制度，内部控制和监管之间关系进行了研究 1 4 1 ；严若森等 对实施内部控制的成本，及实施内部控制须遵循成本效益原则进行了研究 5 】；张砚等从组织演化的角度探讨了内部控制的历史沿革，提出内部控制 的发展与组织的发展是密不可分的对于内部控制如何有效实施【1 6 。7 】；朱荣 恩、陈汉文、田细菊等对我国与国际内部会计控制制度的差异和如何接轨 问题进行了研究【”o9 1 。 纵观t i ，囡研究现状可以看出政府部门对内部控制的研究、对内部控制 法律法规的发向仅停留在内部会计控制上，理论界学者大都还是停留在i l i t 的内部控制框架下研究内部控制，实务界对内部控制研究的很少，缺少他 们在内部控制一线实践中的经验总结。 1 3 主要研究内容 本文先从内部控制概念变迁入手，重点阐述介绍内部控制理论的最 新动态一c o s 0 委员会的企业风险管理一一整体框架，并对此进行相 关评价和分析。继而对外贸企业内部控制存在的问题进行系统全面地分 析，并提出针对性的建议。并以鞍山万奥耐火材料有限公司为实例，以企 业风险管理整体框架为理论基础，使理论与实际相结合，提出有效 建议。 1 4 研究方法 本文主要采取规范研究的方法，重点运用比较分析、归纳、综合等基 2 辽宁科技大学硕士论文 第1 章绪论 本方法。即综合描述内部控制的最新理论和内部控制理论和实务的现状， 归纳形成内部控制实务水平低下的原因，并对内部控制规范以及实务现状 和内部控制最新进展进行比较分析，在此基础上提出完善内部控制规范和 概念框架及建设企业内部控制的建议。 1 5 研究成果及创新点 本文通过研究内部控制理论的发展历程和外贸企业内部控制存在的 问题，提出提高外贸企业内部控制的有效措施。并将j x l 险管理整体 框架与具体公司内部控制存在的实际问题进行结合，从实践的角度进行 有效探索，得出外贸企业加强内部控制风险管理的有效途径。本文的主要 创新之处有： ( 1 ) 详细分析了内部控制的发展历程，并对最新的内部控制整体框架 进行了详细的解读和分析，理顺了内部控制新框架的主要理论脉络，对以新 框架为基础进一步研究内部控制问题具有一定的借鉴意义。 ( 2 ) 对外贸企业与一般企业内部控制现状进行对比分析，总结出外 贸企业内部控制制度建设与执行存在的主要问题，并从风险管理的角度对 外贸企业内控制度的建立与完善提出针对性的建议。 ( 3 ) 以内部控制整体框架为理论基础，从实务的角度对内部控制进行 研究，在内部控制一线实践中的应用具有引导和借鉴的作用。 辽亭科技大学硕士论文第2 章内部控制理论发展历程 第2 章内部控制理论发展历程 2 0 世纪初期，资本主义经济迅速发展，现代企业制度的主要组织形式 股份公司规模闩益扩大，其特征是所有权与经营权的分离。根据公司 制企业的特征，为防止和揭露错误和舞弊，保证会计信息的质量，保证资 产安全与完整，逐步形成了一些组织、调节、制约和监督企业经营管理活 动的方法，进而形成了内部控制。历史地看，内部控制概念是一个不断变 迁的动态结构。其中以美国的内部控制的理论和实务发展最先进和完整， 而且具有代表性和权威性。因此笔者主要以美国的内部控制发展为主线， 将内部控制概念的演变大致分为四个阶段：萌芽时期( 2 0 世纪4 0 年代前) 、 奠基时期( 2 0 世纪4 0 年代末至7 0 年代初) 、发展时期( 2 0 世纪7 0 年代 至9 0 年代初) 、成熟时期( 2 0 世纪9 0 年代至今) 。 2 1 内部控制的萌芽时期一一内部牵制 约2 0 世纪4 0 年代以前是内部控制的萌芽时期。美国著名审计学家蒙 哥马利在1 9 1 2 年的著作审计理论与实践一书中已明确的表述过内 部牟制的思想。根据柯氏会计辞典的解释，内部牵制是指：“以提供 有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其 主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力 的方式进行组织上的责任分工，每项业务通过正常发挥其他人或部门的功 能进行交叉检查或交叉控制。”该定义隐含着内部牵制是一种制衡，两个 和两个以上的个人和部门发生同样的错误的概论很小，并且串通舞弊的可 能性也大大降低。可见，这一时期内部牵制主要是以查错防弊为目的。 内部牵制的思想在管理实践中产生并发展，成为现代内部控制理论中 有关组织控制、职责分离控制的雏形，在现代内部控制理论中占有相当重 要的地位。内部控制在内部牵制阶段完成了实践塑造的过程。 2 2 内部控制的奠基时期一一内部控制制度 2 0 世纪4 0 年代术至7 0 年代初，正式提出了“内部控制”这一术语， 并把内部控制划分成内部管理控制和内部会计控制。这是内部控制发展的 第二阶段奠定了内部控制发展的基础。1 9 3 6 年美国注册会计师协会 ( a i c p a ) 的前身美国会计师协会( a i a ) 在其发布的注册会计师对财 务报表的审查中，首次正式使用了“内部控制”这一专业术语，但它显 4 辽宁科技大学硕士论文 第2 章内部控制理论发展历程 然将内部控制混同于内部牵制：“注册会计师在制定审计程序时，应考虑 的一个重要因素是审查企业的内部牵制和控制，内部牵制和控制这一 术语，是指为了保护公司现金和其他资产，检查簿记事项的准确性，而在 公司内部采用的手段和方法”。1 9 4 9 年美国注册会计师协会发布了一篇题 为内部控制、协调系统各要素及其对管理当局和注册会计师的重要性 的专题报告，该报告首次对内部控制作了权威性的定义：“内部控制包括 组织机构的设计和企业内部采取的所有相互协调的方法和措施，旨在保护 企业资产，审核会计数据的准确性和可靠性，提高经营效率，推动企业执 行既定的管理政策。”此定义强调，内部控制不只限于与会计和财务部门 直接有关的控制，还包括预算控制、成本控制、定期报告经营情况、统计 分析及其报告送交有关部门、制定培训计划，以及设立内部审计部门以保 证管理部门准确制定和落实各种程序，并保证其得到贯彻执行等内容。该 定义首次将触角件入管理领域，有了管理控制的雏形。 1 9 5 3 年1 0 月美国注册会计师协会发布的审计程序公告第1 9 号， 将内部控制首次划分为内部会计控制和内部管理控制：“广义地说，内部 控制按其特点可以划分为会计控制和管理控制。”1 9 5 8 年又发布审计程 序公告第2 9 号独立审计人员评价内部控制的范围的报告，进一步阐 述了内部控制的“制度两分法”，正式界定了内部会计控制和内部管理控 制的定义及其包含的内容。 1 9 7 2 年美国注册会计师协会所属审计准则委员会在审计准则公告第 1 号中，又重新表述了“会计内部控制”和“管理内部控制”的定义， 并进行了明确的分类，为企业进行内部控制提供指导。这一时期推动内部 控制发展的主要是审计职业界，因此就不可避免的带上了审计的烙印。所 谓的两分法也成为出于审计便利的需要之产物注意力仅集中于会计控 制的测试，对管理控制鲜有涉及。两分法未能完整地反映内部控制所涵盖 的内容，也没有考虑控制环境对内部控制制度设计及其实施效果的影响。 尽管如此，这些概念的界定和分类为内部控制的发展奠定了一定的理论基 础，有着承上启下的作用1 2 0 - 2 23 。 2 3 内部控制的发展时期一一内部控制结构 2 0 世纪7 0 年代至9 0 年代初，内部控制概念演变为“内部控制结构”， 是内部控制拗念的第三阶段，即内部控制的发展时期。1 9 7 3 年至19 7 6 年 “水门事件”调查之后，美国国会通过了1 9 7 7 年的反c a p ：n o 2 9s c o p e o ft h ei n d e p e n d e n ta u d i t o r sr e v i e wo fi n t e r n a lc o n t r o l 。不少著名的美国 辽宁科技走学硕士论文第2 章内部控制理论发展历程 公司为取得供货定单，对国外政府官员进行非法的政治援助、可疑或非法 的支付，包括贿赂。该法案包括了一些会计和内部控制的条款。自该法案 生效以来，内部控制丌始在企业得到广泛重视，不过内部控制制度尚不足 以指导企业的内部控制实务的局限性也随之暴露出来。1 9 8 8 年4 月美国注 册会计师协会发布了审计准则公告第5 5 号一财务报表审计对内部控制 结构的考虑，第一次用“内部控制结构”概念代替“内部控制制度”，规 定从1 9 9 0 年1 月起以该公告取代1 9 7 2 年发布的审计准则公告第1 号。 在这份公告中指出，“企业的内部控制结构包括为合理保证企业特定目标 的实现而建立的各种政策和程序”，并指出了内部控制结构包括控制环境、 会计制度和控制程序。 内部控制结构与内部控制制度相比有两点差异：首先，内部控制结构 将内部控制环境纳入内部控制的范畴；其次，它不再区分内部会计控制和 内部管理控制，而是以三要素代替。这一概念仍由审计职业界提出，强调 了管理者对内部控制的态度、认识和行为等控制环境的重要作用，以助于 企业完成既定目标。可见审计职业界也考虑到了企业内部控制的实际需 监，f l 1 1j fl i 色彩仍然过1 ：浓厚，无法满足企业应刈n 益复杂的环境及风 险的需要。 2 4 内部控制的成熟时期一一整体框架 2 0 世纪9 0 年代至今，内部控制研究开始着眼于企业整体以及利益相 关者，而非完全出于审计便利的需要，逐渐形成内部控制和风险管理的整 体框架，并且逐渐强调内部控制和风险管理框架在实务层面的应用。这一 阶段内部控制逐渐走向成熟和相对稳定。1 9 8 5 年，由美国注册会计师协会、 美国会计学会( a a a ) 、财务经理人协会( f e i ) 、内部审计师协会( i i a ) 和全国会计师协会( i m a ) 共同资助成立了美国反欺诈财务报告委员会 ( n a t i o n a lc o m m i s s i o no nf r a u d u l e n tf i n a n c i a l r e p o r t i n g ) ，即著名的 t r e a d w a y 委员会。该委员会在成立两年后提交的报告中强调控制环境、 行为守则、内部稽核功能的重要性；重新呼吁管理当局对内部控制有效性 提出报告；并对公众公司的管理当局及董事会、会计师、证券交易委员会、 主管机关、立法机构及学术界的建议。于是，t r e a d w a y 委员会的赞助机构 成立了c o s o 委员会来制定内部控制指南。 1 9 9 2 年，c o s 0 委员会发布了著名的c o s o 报告，即内部控制 整体框架。该报告将内部控制定义为：内部控制是由企业董事会、管理 当局和其他员工实施的，为达成经营活动的效率和效果、财务报告的可靠 6 辽宁科技大学硕士论文 第2 章内部控制理论发展历程 性、相关法律法规的遵循性等目标提供合理保证的过程。内部控制包括五 个要素：控制坏境、风险评估、控制活动、信息与沟通、监督活动。2 0 0 2 年7 月2 5 同，美国国会通过了2 0 0 2 年萨班斯奥克斯利法案，其中 对财务报告内部控制的有效性的评价和披露的报告进行了相关的规定。 2 0 0 4 年9 月2 9rc o s o 委员会颁布了最新报告企业风险管理 整体框架，定义了企业风险管理，并引入了风险偏好、风险容忍度、风 险组合观等概念 2 3 - 2 5 l 。c o s o 委员会先后提出的内部控制整体框架 和企业风险管理整体框架，反映了各利益相关方对内部控制的各种 需求，因而较前期几个概念更为全面、综合和系统，表现在c o s o 委员会： 首次正式提出了内部控制的目标，并在后一框架把目标扩展到了战略层 面：首次专门为企业制定了应用指南；首次揉和了管理和控制的界限，表 现为管理和控制职能模糊；首次全面而明确的阐述了内部控制的制定和实 施的责任问题，等等。这两分报告使内部控制概念向纵深方向发展。 2 4 1 出台背景 2 0 世纪末，风险及风险管理己成为公司治理各方参与者关注的内容， 也成为会计职业界的关注焦点之一。人类进入2 1 世纪，经济全球一体化、 市场经济日新月异和竞争日益激烈等都引发不确定性，现代企业就在这种 环境下生存发展，风险管理更是成为企业管理的重要组成部分。同时，这 期间发生了一系列的财务丑闻事件和经营失败案件，使得随后出现的新法 律、法规和各种准则等都在强调公司治理和风险管理。如前述，1 9 9 9 年英 格兰和威尔士特许会计师协会的t u r n b u l l 委员会在“t u r n b u l l 报告”中首 次指出了内部控制与风险管理存在一定的相关性。t u r n b u l l 报告在向公司 董事会、管巡当岗等提供内部控制的指导时，始终将内部控制与风险管理 联系起来，并指出内部控制是进行风险管理的重要工具，对组织目标实现 有着重要影响。在澳大利亚和新西兰的标准委员会1 9 9 9 年修改了风险管 理标准( a s n z s 4 3 6 0 ：1 9 9 5 ) 之后，澳大利亚新南威尔士州财政部发布了 “风险管理及内部控制”的系列研究报告，指出有效的内部控制是风险管 理过程的一部分，是一种评估、限制、监督和控制影响组织目标实现的风 险的复杂、系统的方法。i i a 在2 0 0 1 年职业框架( t h ep r o f e s s i o n a l f r a m e w o r k ) 中将控制定义为组织管理层、董事会及其他方面进行的、旨 礼：加强风险竹理、增大实现既定目标的可能性的行为。从i j 述看来，在众 多职业幽体或组织聚焦风险管理时，对一个能有效的识别、评估承7 管理风 险的强大框架的需求日益强烈，风险管理吸纳内部控制己成为种必然的 辽宁科技大学顽士论文第2 章内部控制理论发展历程 趋势。c o s o 委员会响应这一趋势，在2 0 0 1 年成立了企业风险管理( 简 称e r m ) 项目咨询委员会，并开始对其进行研究。c o s o 委员会在2 0 0 3 年7 月颁布了企业风险管理整体框架征求意见稿，并于2 0 0 4 年9 月2 9 日颁布正式稿。e r m 总共分为两部分。第一部分包括“基本框架” 和经理人要览。“基本框架”定义了企业风险管理，并描述了原则和概念， 为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理 有效性的指南。经理人要览是一个指导首席执行官、其他高级管理人员、 董事会和监管者的高度概括的文件。第二部分是应用技术，举例说明在应 用框架的各个要素过程中的有用技术。 2 4 2 主要内容 1 ) 对e r m 的理解 企业风险管理是企业的董事会、管理当局和其他员工共同参与的一个 过程，应用于企业的战略制订并贯穿于企业经营管理活动之中，旨在识别 可能会影响主体的潜在事项，管理风险将其控制在管理当局的风险偏好 ( r i s ka p p e t i t e ) 之内，为企业目标的实现提供合理保证。该定义直接针 对企业目标的实现，为企业风险管理的有效性提供一个基础。这个定义说 明企业风险管理具有以下几个要点： ( 1 ) 企业风险管理是个过程 企业风险管理不是一个事项或环境，而是渗透于企业各项活动中一系 列管理行为，持续地贯穿于企业内部。这些行为普遍存在于管理者的日常 管理中，是经营管理活动本身所固有的。 ( 2 ) 企业风险管理由人员实施 企业风险管理会受董事会、管理层和其他人员的影响，风险管理是通 过组织内的人来完成的，是通过人的言行实现的。企业风险管理的愿景和 使命、战略和目标也是由企业内的人员制定并实施的。同样，企业风险管 理也影响人的行动。 ( 3 ) 企业风险管理应用于战略制定 企业的战略目标是企业最高层次的目标，它与企业的愿景和使命相联 系并支持其实现。一个企业为实现其战略目标而制定战略方案，并将战略 方案分解成相应的目标，再将目标层层分解到企业的各业务部门、行政部 门和生产线。不同的战略会给企业带来不同的风险，在战略制定时应用风 险管理，其目的是帮助管理者选择与企业的风险偏好相一致的战略。 ( 4 1 企业风险管理应用于整个企业 辽宁午技大学硕士论文 第2 章内部控制理论发展历程 企业的风险管理要想获得成功，企业必须从全局、总体层面上考虑企 业的活动。企业风险管理应考虑组织内所有层面的活动，从企业总体活动 ( 如战略计划) 到各业务部门的活动( 如人力资源部) ，到各业务流程( 如 生产过程) 等等。企业风险管理还可用于特定项目和新的行动计划。企业 风险管理要求氽业以风险组合观( a ne n t i t y l e v e lp o r t f o l i ov i e wo f r i s k ) 看待各个层级和单元的风险。对企业内部每个单位的风险而言，可能都落 在各部门的风险容忍度( r i s k t o l e r a n c e s ) 的范围内，但从总体来看，合并 厉的食! 风险可能超过了总体的风险偏好。因此要以风险组合观考虑总体 风险。 ( 5 ) 企业承担的风险与决定当局风险偏好相关 风险偏好是指一个企业在追求价值最大化的同时所愿意接受的风险 的数量。企业通常采用定性的方法分析风险偏好，将风险偏好分为高、中、 低二三类：或名采用定量的方法分析风险偏好，反映出企业的成长性、收益 性和风险目标，并在三个目标之间进行平衡。风险偏好与企业的战略直接 相关。风险容忍度是与要实现的目标相关的偏差的可接受程度。在确定菜 一特定的风险容忍度时，管理者应考虑相关目标的相对重要性并将风险容 忍度与企业的风险偏好联系在一起。 ( 6 ) 风险管理仅为企业和机关人员提供合理保证 设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业 目标的实现上提供合理的保证。“合理保证”反映了“风险是与未来相关， 而未来是没有人可以确切地预测的”这一思想。内部控制的实质不在于消 除一切风险，而在于帮助管理人员减少或控制风险。 ( 7 ) 风险管理有利于企业目标的实现 有效的风险管理应该能够为企业目标的实现提供合理的保证，包括报 告的可靠性、合法合规性目标等等。这两类目标的实现都是在企业的控制 范围内，其实现依赖于相关活动执行的好坏。战略目标和经营目标的实现 并不总是在企业的控制范围内，受宏观经济的影响。企业风险管理只能合 理保证管理者和董事会从宏观上及时了解企业目标实现的进度，即直接关 注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依 扼。 2 ) e r m 的目标 目标实现是在主体既定的使命和愿景( v i s i o n ) 范围内。管理当局制 定战略 一i 标、选择战略，并在企业内自上而下设定相应的目标。企业风险 管理框架力求实现主体的以下四种类型的目标： ( 1 ) 战略( s t r a t e g i c ) 目标高层次目标，与企业的使命和愿景相联 辽宁科技大学硕士论文第2 章内部控制理论发展历程 系并支持企业的任务和预期的实现。 ( 2 ) 经营( o p e r a t i o n s ) 目标经营的效率性和效果性，包括经营业绩 目标和盈利能力目标。 ( 3 ) 报告( r e p o r t i n g ) 目标报告的可靠性，包括企业内部和外部的 报告，既包括财务信息，也包括非财务信息。 ( 4 ) 合规( c o m p l i a n c e ) 目标符合相关的法律和法规。 对主体目标的这种分类可以使我们关注企业风险管理的不同侧面，有 助于企业管理。 3 1 企业风险管理的构成要素 企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经 营企业的方式，并与管理过程整合在一起。这八个构成要素是： ( 1 ) 内部环境 。 内部环境是组织基调，是其他所有风险管理要素的基础，即为组织内 的人员如何认识和对待风险提供基础，包含很多内容：企业员工的道德观 和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。 董事会、管理者等都是内部环境的重要组成部分。 ( 2 ) 目标设定 企业风险管理必须先有目标，管理当局才能识别影响目标实现的潜在 事项。企业风险管理确保管理当局采取适当的程序去设定目标，选择战略 方案，确保所选定的目标支持和切合该主体的使命，并且与其风险偏好相 一致。企业的目标可以分为四类：战略目标、经营目标、报告目标和合规 目标。企业的这些目标既相互区别又相互重叠，可以明确企业的不同需要。 某些企业还有另一类目标一“资源的安全”，有时也称“资产的安全”。 ( 3 ) 事项识别 管理者必须识别影响事项发生的内部和外部因素。外部因素包括经 济、商业、自然环境、政治、社会和技术因素等；内部因素包括企业的基 础设施、人员、生产过程和技术等事项，反映出管理者所做的选择。事项 识别技术既针对过去，又针对未来。针对过去的事项和趋势的识别技术主 要考虑类似商品价格的变化和浪费时间的突发事件( l o s t t i m ea c c i d e n t s ) 等；而针对未来风险的技术则主要考虑不断变化的人n 统计资料、新市场 和竞争者的行为等事项。潜在的事项对企业可能有正面的影响、也可能有 负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是企业 的风险，要求企业的管理者对其进行评估和建立应对方案。因此，风险是 某一事项将要发生的可能性及其对企业目标的实现造成负面影响的可能 性；机遇是事项对企业有潜在正面影响的可能性。风险管理要区分风险( 负 1 0 辽宁科技大学硕士论文第2 章内部控制理论发展历程 面影响) 和机会( 正面影响) 。抓住机遇以便企业在风险评估和应对阶段 弥补风险对企业的负面影响。 ( 4 ) 风险评估 风险评估可以使企业了解潜在事项对企业的正面和负面的影响，以及 如何影响企业目标的实现等。管理者通过考虑风险出现的可能性和影响来 对其加以分析，并以此作为决定如何进行风险管理的依据。风险发生的可 能性是指某一特定事项发生的概论，影响则是指事项的发生将会带来的影 响。对风险出现的可能性和影响的估计经常需要使用从过去的可观察事项 得到数据。此外，数据按其来源可以分为内部数据和外部数据。内部数据 作为主要的资料来源，外部数据则可以作为一个检查标准或者用来进行改 进分析。一个企业风险评估的方法通常是定量方法和定性分析技术的组 合。首先，应对企业的固有风险进行评估。一旦确定了对固有风险的风险 应对方案，管理者就可以使用风险评估技术确定企业的剩余风险。 ( 5 ) 风险应对 风险应对可分为规避风险、减少风险、共担风险和接受风险等四类。 管理者可以制定不同风险应对方案，并在风险容忍度和成本效益原则的前 提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并 设计和执行风险应对方案。有效的风险管理要求，管理者选择一个可以使 企业风险出现的可能性和影响都落在风险容忍度范围之内的风险应对方 案。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指 减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险是 指通过转嫁或与他人共担一部分风险束降低风险发生的可能性或影响。接 受风险则是不采取任何改变风险发生的可能性或影响的行动。 f 1 为企、l k 风险诅耻的一部分，对于侮一个重婴的风险，企业都应按风 险应对的类型考虑所有的风险应对方案，这有助于风险应对方案的选择。 选定某一个风险应对方案后，管理者应在剩余风险的基础上重新评估风 险，即从企业总体的风险组合的、预测的角度重新计量风险。 f 6 1 控制活动 控制活动是有助于保证风险应对方案得到正确执行的楣关政策和程 序。控制活动是企业努力实现其经营目标的过程的一部分。通常包括两个 要素：确定应该做什么的一个政策和影响该政策的一系列过程。管理当局 应刘企业所有的重要系统进行控制。信息系统控制活动可以分为两类。一 类是般控制，包括对信息技术管理、信息技术基础设施、保密管理和软 件的购买、开发和维护的控制，其中信息技术管理控制又主要包括明确信 息技术的勘漏过程、监督和报告信息技术活动及业务改进的初步行动等 辽宁科技大学硕士论文第2 章内部控制理论发展历程 等。这类控制应用于大多数应用系统，有助于保证系统持续地、正确地运 行。另一类是应用控制，包括用于控制技术应用的应用软件内部的电脑程 序，其的目的是保证数据获得和业务处理过程的完整性、精确性、授权和 有效性。 f 7 ) 信息与沟通 来自企业内部和外部的信息必须以一定的格式和时间间隔进行确认、 捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通是广义 上的沟通，包括企业内自上而下、自下而上以及横向的沟通，还包括将相 关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管 理部门和股东等，以保持外部沟通渠道畅通，为企业风险管理的运行提供 重要的信息。企业管理层都需要信息来帮助识别、评估风险和对风险进行 反应，以及进行经营并实现企业目标。企业的信息来自于各个方面，包括 内部和外部的信息、量化的和非量化的信息。信息来源渠道多样化，可使 企业风险管理对现实中不断变化的环境及时作出反应。将大量信息进行处 理，提炼出指导行动的信息，是企业管理者所面临的一个挑战。解决这一 问题的方法是建立一个信息系统( 包括手工录入或人机界面的电脑系统) 来确认、捕捉、处理、分析和报告相关信息。该信息系统经常是指处理企 业相关业务产生的内部数据的系统。信息是沟通的基础，沟通则必须满足 各部门和各员工的正当要求，以使他们能够有效地履行其职责。最重要的 沟通是高级管理者和董事会之间的沟通。管理者必须使董事会了解关于企 业业绩、发展、风险管理执行和其他相关事项和问题的及时信息。反之， 董事会也应向管理者传递其所需要的信息并进行反馈和指导。高级管理者 和董事会之间的沟通的及时性和详尽程度，影响企业的战略和经营性目标 的实现。 ( 8 ) 监控 监控是指评估风险管理要素的内容和运行以及评价某一时期的执行 质量的一个过程。企业有两种监控方式，即持续监控和个别评估。一般情 况下，持续监控比个别评估更为有效，通常是二者结合使用能更好的保证 企业风险管理长期的有效性。此外，值得一提的是“缺陷”，它是企业风险 管理过程中的某一种情形。缺陷可能代表一种预期的、潜在的或真实的不 足，或者代表加强风险管理过程的一个机会，以增加企业目标实现的可能 性。所有风险管理缺陷都会影响企业确定和执行战略的能力，影响企业实 现其既定目标的能力。所以应将企业风险管理的所有缺陷都报告给适当的 管理层，以保证其采取必要的措施以纠正风险管理缺陷。企业应建立一个 标准来识别某一管理层决策有效所需要的信息。该标准应反映一个基本原 1 2 辽宁科技大学硕士论文 第2 章内部控制理论发展历程 则，即一个管理者在收到实现其特定目标的有关信息外，还应收到影响其 权限范围内人员的行动或行为的所有信息。 企业风险管理的八个要素之间的关系并不是一个严格的顺次过程，每 个构成要素并不是仅仅影响紧接着的要素。它们作用的过程是一个交叉 的、多方| 甸的、反复的过程，在这个过程中几乎每一个构成要素都会影响 其他构成要素。 4 ) 企业风险管理目标与构成要素之间的关系 企业风险管理目标是主体要达到的目的，构成要素则是需要什么来实 现它们，二者之间有着直接的关系。这种关系可以通过图2 1 这个三维矩 阵表示出来。企业风险管理四种类型的目标战略、经营、报告和合规 一一川巫直力。的栏表j ，八个构成要素用水平办i 句的行表示，而一个主 体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体 上关注企业风险管理，也可以从目标类别、构成要素和主体单元的三个角 度加以认识。显然，这形象的整合了目标、要素和实施主体，主体内的各 个单i 通过各要素米实现目标。 垃i 5 1 怀 缝谢 标：鬈i 嚣 环 醛制定 l 缝反 制 妪 幽2 1e r m 目标与八大要素关系图 5 1 应用技术 e r m 的应用技术部分主要是为企业风险管理提供实务操作技术的说 明。该部分认为，每一个企业的规模、业务、文化、管理系统等都会对风 险管理的概念和原则的效率和效果产生影响。由于企业风险管理受各种因 素的影向，而且存在大量的可供选择的应用技术，所以相似的企业实施企 业风险管理也会存在较大的不同。不过，成功的经验还是有其共性的。应 辽宁科技大学硕士论文第2 章内部控制理论发展历程 用技术就是介绍这种通用的技术。主要步骤有：准备一支核心团队；启动 实施；制定实施计划：了解和评估现状；制定愿景；发展能力；实施计划； 修订计划并跟进配置；监督等等。 应用企业风险管理框架的各个要素都有自身的专门技术，如风险评估 的应用技术：对固有风险和残余风险进行分析的技术，风险评估的定性技 术( 风险等级、问卷调查) ，风险评估的定量技术( 概率技术有风险价值、 风险市场价值、损失分布、回归测试，非概率技术有敏感分析、情景分析、 压力测试和标杆管理) 。在估计潜在事项的可能性和影响时，通常使用以 下四类计量指标：类别指标( n o m i n a lm e a s u r e m e n t ) ，计序测量( o r d i n a l m e a s u r e m e n t ) ，区间指标( i n t e r v a lm e a s u r e m e n t ) 和比率指标( r a t i o m e a s u r e m e n t ) 2 4 3 创新与突破 e r m 将内部控制与风险管理相互融合，使内部控制理论向前迈出了一 大步。以下通过与内部控制整体框架( 简称内部控制框架) 比较， 对e r m 进行评析。 c o s o 委员会在e r m 内容摘要中，明确指出了内部控制是企业风险 管理不可分割的部分。e r m 涵盖了内部控制，但并不是对内部控制框架的 取代，从而构建了一个更强有力的概念和管理工具。e r m 包括了内部控制 框架的内容，以其作为基础，同时承认其继续有效的存在。 内部控制框架有着诸多经典之处，但它亦存在较多缺陷。内部控制框 架公布后，在受到关注的同时也有来自各方的批评，其不足主要有：内部 控制框架对企业的战略管理方面关注不够。虽然内部控制框架揉和了管理 与控制的界限，但是还是有较多管理活动被排除在内部控制框架之外，如 制定企业战略目标、长期经营策略规划、制定经营管理目标等；内部控制 框架的关注焦点主要放在财务方面，而财务管理并非企业管理的全部。企 业重视财务管理的同时不能忽视管理活动的其他方面，尤其是战略管理活 动。战略管理是企业高层次的、长远的规划活动，关系到企业的生死存亡。 而内部控制框架却未在这方面给予足够的重视；尽管内部控制框架中把风 险管理归属于管理活动而排除在内部控制之外，但是在其后的信息工具 中还是进行了衍生工具的风险管理。这也表明c o s o 委员会关注的中心从 财务报告内部控制转移到对风险管理的内部控制，同时也可能表示c o s o 委员会意识到其框架中的指南可能需要定期扩展和解释来处理新问题。 相对内部控制框架而言，e r m 新增加了一个观念、一个目标、两个概 1 4 辽宁科技大学硕士论文 第2 章内部控制理论发展历程 念和二三个婪索，即：“风险组合观”“战略目标”“风险偏好”和“风险容 忍度”的概念以及“目标制定”“事项识别”“风险应对”要素。并克服 了内部控制框架不重视战略管理和风险管理的不足之处，并尽量顾及企业 的利益相关者，更多地从企业战略的角度出发考虑风险管理的问题。c o s o 委员会在e r m 中还列举了风险管理的众多优点，前文已述及，在此就不 重复。除此之外，e r m 还有较多值得我们思考和借鉴的地方： 第一、e r m 具备了内部控制框架的所有优点，克服了其对战略管理不 够重视的缺陷，增加了一个战略目标，进一步完善