企業(yè)研究論文-基于風險管理的企業(yè)內部經(jīng)營控制系統(tǒng)構建【摘要】近年來,人們越來越清楚地認識到需要一個強有力的框架以便有效地控制風險。為此,本文提出基于風險管理的企業(yè)內部經(jīng)營控制系統(tǒng)。該系統(tǒng)一方面強調風險管理與內部控制要素的融合；另一方面提出價值導向的內部控制(企業(yè)價值最大化是企業(yè)內部控制的目標),即內部經(jīng)營控制?！娟P鍵詞】風險管理；經(jīng)營控制；業(yè)務控制一、問題的提出進入新世紀以來,美國一批巨人企業(yè)相繼倒下,引發(fā)了人們對企業(yè)內部控制與風險管理的反思。反思的結果直接導致了薩班斯法案的出臺和COSO企業(yè)風險管理整合框架的建立。企業(yè)風險管理整合框架進一步拓展了內部控制內涵,更加強調風險管理,并為實現(xiàn)主體的戰(zhàn)略、經(jīng)營、報告和合規(guī)四種類型的目標提供了合理保證。誠然,企業(yè)風險管理整合框架并沒有完全取代內部控制整合框架,但是它涵蓋和拓展了后者(方紅星,2005)。雖然企業(yè)風險管理整合框架有力地推動了內部控制的發(fā)展,更加重視風險管理,但關鍵還在于企業(yè)如何深入理解風險管理與內部控制的有效融合,并將其有效運用到內部控制實踐當中。近年來,我國相繼發(fā)生的德隆危機、伊利股份、創(chuàng)維數(shù)碼、四川長虹、新加坡中航油事件等失敗案例或重大丑聞,或多或少都與企業(yè)風險管理缺失有關。這些事件的曝光一方面催生了我國企業(yè)內部控制標準委員會的成立和企業(yè)內部控制規(guī)范的頒布；另一方面導致研究和制定基于風險管理導向的內部控制應用指南迫在眉睫。二、理論分析COSO企業(yè)風險管理整合框架提出企業(yè)的四大目標即戰(zhàn)略目標、報告目標、經(jīng)營目標和合規(guī)目標。內部控制按照目標分類可以分為:以實現(xiàn)企業(yè)戰(zhàn)略目標為目的的戰(zhàn)略控制；以保證企業(yè)遵守相關法規(guī)、法律的法規(guī)控制；以保證報告可靠性為主的會計控制；以保證企業(yè)經(jīng)營效率和效果的經(jīng)營控制?，F(xiàn)實中人們通常關注的是報告目標的實現(xiàn)和會計控制。事實上,經(jīng)營控制是企業(yè)實現(xiàn)戰(zhàn)略目標的核心和關鍵,因為企業(yè)存在的目的是為它的利益相關者創(chuàng)造價值,也就是經(jīng)營效率最大化,為此,應該把研究和實踐的重點放在經(jīng)營目標的實現(xiàn),也就是經(jīng)營控制。而會計控制是企業(yè)實現(xiàn)戰(zhàn)略目標的基礎,法規(guī)控制是企業(yè)實現(xiàn)戰(zhàn)略目標的保障。戰(zhàn)略目標是與企業(yè)使命有關的總括性目標,它的實現(xiàn)需要通過分解和細化為經(jīng)營目標才能得以落實。沒有經(jīng)營控制,戰(zhàn)略目標的實現(xiàn)只能是“海市蜃樓”“可望不可及”。筆者認為,經(jīng)營控制才是企業(yè)內部控制的核心和靈魂,是以企業(yè)價值最大化為導向的內部控制。但是環(huán)境的不確定性導致管理當局不得不在追求價值最大化的過程中關注風險,而實施風險管理能夠幫助管理當局有效地處理不確定性以及由此帶來的風險與機會,從而提高企業(yè)創(chuàng)造價值的能力,實現(xiàn)企業(yè)價值最大化的目標,也就是實現(xiàn)企業(yè)的經(jīng)營效率最大化?？梢?既關注風險管理,又以經(jīng)營控制為核心才是研究內部控制的關鍵所在?；诖?筆者試圖以風險管理為導向構建企業(yè)內部經(jīng)營控制系統(tǒng)。三、系統(tǒng)的構建本文在COSO發(fā)布的風險管理框架的指導下,設計出一套以控制環(huán)境為基礎,以監(jiān)控為整個企業(yè)經(jīng)營正常運行的監(jiān)督系統(tǒng),從企業(yè)管理角度考慮的管理控制和以生產(chǎn)循環(huán)角度出發(fā)的業(yè)務控制組成的內部經(jīng)營控制的系統(tǒng)體系。不管是管理控制還是作業(yè)控制,它們的最終控制對象都鎖定在企業(yè)的資源投入產(chǎn)出過程,更具體來說就是企業(yè)得以生存發(fā)展的流程循環(huán)。其關系如圖1所示。對以上內部經(jīng)營控制系統(tǒng)的理解應該把握以下幾個方面:(一)控制環(huán)境和監(jiān)控是基礎一個企業(yè)內部環(huán)境的重要性和它對企業(yè)內部控制的其他構成要素所能產(chǎn)生的正面或負面影響,怎么強調都不過分。一個無效的內部控制環(huán)境影響會很廣泛,可能會導致財務損失、損害公眾形象或經(jīng)營失敗。因此管理層應加強對以上各方面的管理,建立一個和諧、適宜的內部控制環(huán)境。監(jiān)控是指對執(zhí)行內部控制過程的質量進行監(jiān)督,內部控制者本身也需要被控制或監(jiān)督,這是一個完善的控制系統(tǒng)的必備要素,經(jīng)營控制系統(tǒng)也不例外。對于一個經(jīng)營控制如果沒有監(jiān)督,或者說控制得好壞對控制者都一樣,勢必影響經(jīng)營控制的水平與效果。(二)風險管理與目標制定、控制活動、績效評價以及信息溝通要素之間是相互作用的關系風險評估貫徹于其他四個要素之中。企業(yè)在制定內部經(jīng)營控制目標時,應該確定和選擇一個與戰(zhàn)略目標相一致的風險偏好,“風險容忍度”是相對于目標的實現(xiàn)而言所能接受的偏離程度。在選擇控制活動時,管理層應該考慮他們的相互關聯(lián)性,確保是在企業(yè)風險容忍度范圍內的有效控制活動；在績效評價時不僅需要衡量一些確定的量化因素,還需要一些不確定的非量化指標如對風險大小的衡量,從而全面地衡量一個企業(yè)的業(yè)績水平。同樣,要實現(xiàn)對風險的有效控制,其他幾個要素是其保證。企業(yè)在制定風險管理決策時,需要根據(jù)風險大小制定目標,從而很好地預防或者應對風險；控制活動本身就是一個風險應對過程,一個公司可能依靠一個單一的控制活動來應對多重風險。另一方面也可能針對一項風險應對措施考慮多種控制活動；績效評價是一個企業(yè)衡量實際效果偏離預算目標的量化指標,一般而言,偏離程度越大,風險越大；信息溝通與反饋是一個橋梁,連接戰(zhàn)略目標和經(jīng)營控制效果,只有高質量的信息和暢通的交流溝通才能最大限度地減小風險。(三)對于管理控制或者是作業(yè)控制應該怎樣把觀點付諸于行動,即如何控制問題可以把各種控制要素分解為幾種方法達到控制目的。如可以把控制活動分解為組織規(guī)劃控制、授權批準控制、全面預算控制、文件記錄控制、實物保護控制等,也可以把風險管理控制分為全面預算控制、風險防范控制以及內部審計控制等等,如圖2所示。(四)經(jīng)營控制的起點和落腳點都在戰(zhàn)略目標戰(zhàn)略目標是高層次的目標,它與主體的使命相協(xié)調,反映管理當局就主體如何為它的利益相關者創(chuàng)造價值作出選擇。它是進行經(jīng)營控制的起點。只有制定出企業(yè)的戰(zhàn)略目標,然后將其分解為切實可行的具體控制目標,經(jīng)營控制才有目標和依據(jù)。而內部控制(經(jīng)營控制也不例外)存在的根本原因就在于保證戰(zhàn)略目標的實現(xiàn),從而最終實現(xiàn)企業(yè)的根本目標即最大可能地追求企業(yè)價值最大化。經(jīng)營控制在企業(yè)組織中的地位如圖3所示。在這里業(yè)務控制是對以風險管理導向的經(jīng)營作業(yè)流程中出現(xiàn)的關鍵點而制定的控制活動,對于各業(yè)務循環(huán)的控制流程,重點分析并鑒別其中容易發(fā)生偏差的環(huán)節(jié)。這些可能發(fā)生錯弊因而需要控制的業(yè)務環(huán)節(jié),通常稱為控制環(huán)節(jié)或控制點?？刂泣c按其發(fā)揮作用的程度而論,可以分為關鍵控制點和一般控制點。那些在業(yè)務處理過程中發(fā)揮作用最大,影響范圍最廣,甚至決定全局成效的控制點,對于保證整個業(yè)務活動的控制目標具有重要的影響,即為關鍵控制點；相比之下,那些只能發(fā)揮局部作用,影響特定范圍控制點,則為一般控制點。作業(yè)控制出現(xiàn)在整個企業(yè)內的各個職能部門,包括諸如核準、授權、驗證、復核營業(yè)績效、保障資產(chǎn)安全以及職務分工等多種活動。四、應用前景本文以國內外一系列令人矚目的公司丑聞爆發(fā)為契機,以美國COSO發(fā)布的企業(yè)風險管理整合框架為理論基礎,結合我國內部控制理論,提