王海生

摘要：内部控制是现代企业管理的一项重要活动，从内部控制理论的变迁历史中可以看出，内部控制与风险管理之间联系十分紧密。现代企业面临着诸多风险，因此，企业应该完善基于风险管理的内部控制体系，提升企业价值创造的能力，实现企业目标。

关键词：内部控制；风险管理；企业价值

早期的内部控制是通过账目核对、岗位分离等方式实现内部人员之间的相互制衡与牵制，达到预防错弊和控制合谋风险的目的。随着社会经济环境的发展以及企业经营管理的变化，企业面对的风险类别和强度也在不断变化，内部控制理论也经历了一个从内部牵制到内部控制整体框架四阶段的演变过程。虽说在前三个阶段中没有明确指出风险管理的问题，但从内部控制的演进背景和目的中可以知道它与风险是相伴相随。因此，内部控制不能忽视对风险的管理。一个有效的关注风险的内部控制对企业价值创造起着重要的作用。然而，目前理论界和实务界并不十分注重风险的内部控制。此外，近年来诸如世通、安然等国际知名公司的失败案例也在不断地警示着现代企业要建立重视风险的内部控制体系。

1.风险管理视角下的内部控制

1.1内部控制理论的变迁历史

内部控制理论研究起源于20世纪40年代中期，伴随着企业规模、组织结构及经济环境的变化，内部控制理论也在变迁过程中不断地丰富。20世纪40年代以前，内部控制理论以内部牵制为主要形式。该阶段强调企业内部人员之间的相互制衡与牵制，通过账目核对、岗位分离等方式来控制合谋风险，以达到确保公司账目的正确及资产的安全的目的；20世纪40年代至70年代之间，内部控制制度产生，该阶段强调注册会计师的审计责任，通过技术性的手段加强会计和管理的控制，预防和发现错弊；20世纪80年代，美国注册会计师协会首次提出“内部控制结构”概念，该阶段强调控制环境、会计制度和控制程序的有机结合，目的是通过制定各种规则和程序来控制企业的各项业务活动，确保企业目标的实现；20世纪90年代，COSO委员会构建了含三项目标、五个要素的内部控制整体框架，该阶段在内部控制系统中加入了风险评估要素，强调企业的内部控制活动是一个动态的过程，需要对企业的风险点进行整体把控。

从内部控制理论的变迁历史中可以看出，内部控制与风险管理之间联系十分紧密。早期的内部牵制是企业为了避免相关人员通过合谋来侵害企业财产安全以及保证信息真实性而采取的一种风险防范行为。应该说内部牵制本身是对合谋风险的控制，其实质就是风险管理。随着经济环境的日益复杂，企业规模，组织结构的不断变化，内部控制理论也不断演变，历经四个阶段。可是，无论如何演变，内部控制都离不开风险的影子，企业风险管理的现实需要推动了内部控制理论的发展，两者在发展过程中也日趋融合。

1.2风险管理视角下的内部控制——《企业风险管理整合框架》

2004年，COSO委员会在对内部控制整体框架进一步研究的基础上为企业风险管理构建了一个从企业战略目标制定到最终目标实现的完整框架，即著名的《企业风险管理整合框架》。该框架明确指出风险管理是一个为实现企业目标，而由企业各个层级人员所共同实施的贯穿整个企业的动态过程。整个风险管理过程集内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控八大要素。但企业风险管理的过程并非严格按照八要素的顺序依次完成，而是根据企业管理的需要进行有机的整合。《企业风险管理整合框架》拓展了内部控制，对企业所面临的风险进行集中全面的关注。为企业董事会与管理层在经营管理过程中识别风险、规避陷阱、把握机遇进而提升企业价值提供了清晰的指南。

企业风险管理的目标是使得管理者在面对内外部众多不确定因素时，能够有效地应付由之所带来的机会和风险，增进企业价值创造的能力。因此，在风险视角下，内部控制是一种管理企业风险、实现企业价值的重要制度保证，能够有助于企业总体目标的实现。

2.风险管理视角下的内部控制对企业价值创造的作用机制

2.1风险管理有助于战略目标的制定

企业战略目标是企业战略构成的基本内容，是企业使命和宗旨的展开与具体化。反映了企业在一定时期内经营活动的方向和所要达到的水平。企业风险管理整体框架增加了战略目标，强调了企业整体层面上对于风险识别和管理的重要性，同时也将企业风险管理整体框架应用于企业的战略制定过程之中，要求企业在战略制定阶段就应该考虑到各种可能的风险因素，对企业的战略方案进行综合分析，将企业的战略风险控制在合理范围之内。将风险管理的思想植入企业战略决策的初期，一方面可以使企业避免在源头上犯错误，好的开始就是成功的一半，一个好的战略方案的实施对于企业价值的提升将会起到极大的推动作用；另一方面，也可以减少因风险因素考虑不周，对战略目标不断进行修改的成本以及错误的战略实施所造成的损失。

2.2风险管理可以有效控制风险

市场经济条件下，风险存在于企业运营的每个环节中。风险表现为一种不确定性，这种不确定性可能会是一种机会，给企业带来收益，也可能是一种威胁，给企业造成损失。李心和（2007）认为，风险是一项价值驱动因素，在价值管理中风险并非越小越好，为了获得机会，很多时候需要管理者正视风险，愿意并有技巧地应对风险。企业在生产经营过程中需要对其战略风险、经营和财务及相关风险、具体业务风险等不同层次的进行管理。《企业风险管理整合框架》为风险管理构建了一个由事件识别、风险反应和风险评估结合的完整过程。针对每个层次的风险，都需要从事件识别开始，即识别可能的机会与威胁，并在此基础上，对风险进行分析和评估，在企业可接受的风险限度内，采取措施，积极应对风险。从而保证机会的实现，降低可能的威胁，使得企业的收益尽可能的大而损失尽可能的小，让企业的价值在不断的经营过程中得到提升。

3.强化风险管理视角下的内部控制，提升企业价值创造的能力

3.1完善风险管理内部控制组织体系

一个完善的内部控制组织体系是风险管理活动得以在企业顺利进行的有力保障。企业需要构建一个集董事会、管理者和员工共同组成的全员式、分层级的内部控制组织架构。首先应该在董事会下设风险管理委员会，该委员会应该独立于企业的其他部门，直接向董事会负责。作为企业风险管理的最高决策和审议机构，风险管理委员会要保证企业的风险管理战略与企业的风险偏好相一致。与此同时，在风险管理的执行层面，企业各部门应该成立风险管理领导小组，在风险管理委员会的领导下具体负责部门风险管理事务，以便对业务灵越出现的各种风险作出快速有效地应对。

3.2建立风险预警和风险报告机制

企业处在一个动态的环境中，所面临的风险也在不断的变化。企业的风险管理必须适应形势的变化，是一个动态的系统的过程。很多时候企业需要提前预测潜在的风险并及时报告发现的风险，从而使企业能够快速的对风险作出反应，将风险控制在企业可接受的范围内。因此，应该在企业中建立风险预警机制和风险报告机制。风险预警机制可借鉴现代风险管理技术来预测风险发送的几率及强度。风险报告机制要求企业各个层面的员工一旦识别可能存在风险因素时，应及时向风险管理部门汇报。从而使风险管理部门和管理层能够及时对风险信息进行评估，并采取应对措施，降低风险发生的概率，减少风险所带来的损失。

3.3优化内部控制的评价系统

内部控制评价是对企业内部控制活动的监控和保障。企业需要将风险管理过程评价纳入到内部控制评价系统中。要充分发挥内部审计在内部控制评价中的作用，要求内部审计全程参与到风险管理过程中，对风险管理的过程进行评价，推动企业优化风险管理体系。此外，企业还需要加强对内部控制中的风险管理活动进行监督，并对风险管理的执行情况进行绩效考评。在不断的改进和激励过程中，促进企业风险管理水平的提升，通过内部控制评价系统是自我优化，来促进企业价值的增长。