风险管理导向的企业内部控制研究

1、 学号_ 密级_ 武汉大学本科毕业论文风险管理导向的企业内部控制研究以A股份有限公司为例院（系）名 称：专 业 名 称 ：学 生 姓 名 ：指 导 教 师 ： 二一三年六月郑 重 声 明本人呈交的学位论文，是在导师的指导下，独立进行研究工作所取得的成果，所有数据、图片资料真实可靠。尽我所知，除文中已经注明引用的内容外，本学位论文的研究成果不包含他人享有著作权的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确的方式标明。本学位论文的知识产权归属于培养单位。本人签名： 日期： 风险管理导向的企业内部控制研究-以A股份有限公司为例摘要内部控制是企业进行生产经营的重要管理手段。

2、近年来，随着市场经济迅速发展，国际化趋势日益加强，企业将面临更多更复杂的不确定风险。当前内部控制的发展已经跳出了会计和审计的局限领域内，以风险为导向的企业内部控制管理已经成为一种必然的发展趋势。本文以“风险管理导向的企业内部控制以A股份有限公司为例”作为研究对象进行了相关的研究。文中首先介绍了选题的背景以及研究的意义，阐述了内部控制的发展历程以及国内外研究成果。接着讨论了内部控制理论和风险管理理论，然后基于这两种理论对国内企业内部控制的现状进行了分析，指出了我国内部控制在目标设定、环境控制、风险预警和应对机制、控制活动、信息传递、内部监督等方面的问题。同时根据前面的理论基础进行风险导向的企业内

3、部控制体系构建。文章最后以A股份有限公司为案例进行了实证分析，说明了内部控制重构的应用。最后结论部分进行了相关研究的展望。关键词 ：内部控制 ，风险管理 ，重构A risk management-oriented study of the Internal Control Take A Co., Ltd for exampleABSTRACTInternal control is an important means of management for enterprises production and operation. In recent years .In recent years

4、, with the rapid development of market economy ,and the strengthening of the international trend , enterprises will face more and more complex uncertain risks. Current development of internal control has jumped out of the limitations of accounting and auditing, internal control of risk management -o

5、riented has become an inevitable trend "A risk management -oriented study of the Internal Control Take A Co., Ltd for example" is the object of the study. This paper first introduces the topics of the background and significance of the study, describes the development process of internal c

6、ontrol and the research achievements at home and abroad. Then discusses the theory of internal control and risk management theory, after that , analyzes the status of domestic enterprises internal control based on these two theories .And points out the problems of Internal Control of Listed Companie

7、s , including goal setting, control environment, risk early warning and response mechanisms, control activities, information transmission, internal oversight and so on.At the same time,try to build the risk management-oriented Internal Control system based on the theory mentioned before. Finally,we

8、take A Co.,Ltd as an example for empirical analysis,illustrates the application of internal control reconstruction.The conclusion part presents an outlook of the relevant study.Keywords : Internal control, risk management-oriented, reconstruction目录第一章 绪论11.1研究背景与研究意义11.2国内外研究概况11.2.1国外研究概况11.2.2国内研究

9、概况31.2.3国内外研究概况评述31.3研究内容框架与研究方法41.3.1研究内容41.3.2本文的研究方法5第二章 内部控制与风险管理理论52.1内部控制理论52.1.1内部控制的基本概念52.2.2内部控制理论的发展62.2风险管理理论82.2.1风险管理的基本概念82.2.2风险管理理论的发展92.3内部控制与风险管理的关系分析10第三章 我国公司内部控制现状及成因分析113.1我国公司内部控制现状分析113.1.1目标设定缺乏战略眼光113.1.2控制环境中缺乏风险文化的培育123.1.3缺乏风险预警机制和应对机制123.1.4控制活动流于形式123.1.5信息传递不畅133.1.6

10、内部监督不得力133.2我国公司内部控制存在问题的成因分析133.2.1我国内部控制和风险管理理论研究和实践仍处在摸索阶段143.2.2投资者与管理者非合作博弈显著致内控建设缺乏动力143.2.3公司管理结构缺陷对内部控制建设产生消极影响15 3.2.4 风险导向作用缺失凸显内部控制的不完备性16第四章 构建风险管理导向的企业内部控制体系174.1风险管理导向的企业内部控制的定义与目标174.2企业构建风险管理下的内部控制体系的原则184.3构建风险管理导向的企业内部控制体系的要素19第五章 内部控制重构的应用A股份有限公司内部控制案例分析215.1 A股份有限公司内部控制现状215.2 A股

11、份有限公司内部控制问题与原因分析225.3 A股份有限公司内部控制方案设计23第六章 结论与展望28致谢33武汉大学本科生毕业设计（论文）风险管理导向的企业内部控制研究-以A股份有限公司为例第一章 绪论1.1研究背景与研究意义 近年来，企业之间的竞争日益激烈，寻求加强企业内部管理的手段和方法因此显得至关重要。数据研究显示，一半以上的企业因为内部控制问题导致了破产等不可挽回的结局，内部控制制度的缺失和不完善已经成为众多企业发展的重要瓶颈，内部控制失败必然会导致企业蒙受重大损失，可见，企业内部控制对于风险规避与应对以及公司长远目标的实现具有深远意义。但是现阶段国内许多企业仍没有内部控制制度，或者只

12、有流于形式，这就急需企业加强和规范内部控制，提升风险防范意识，以促进企业的可持续发展。我国的企业内部控制发展得比较晚，为了规范企业内部控制制度，相继颁布了一系列的法律法规，例如1996年的独立审计具体准则第9号内部控制与审计风险、2008年的企业内部控制基本规范和2010年的企业内部控制配套指引等。当前，我国内部控制正在往风险管理导向型发展，完善内部控制、加强风险管理，构建以风险管理为导向的内部控制已是当前内部控制发展的一大趋势。虽然我国为了引导并推动企业建立健全企业内部控制制度，做了一系列的工作，颁布了有针对性的法律法规，可是和国外相对成熟的企业风险管理框架相比，我国的内部控制标准体系仍是不

13、够完善，需要进一步的改进。2010 年颁布的企业内部控制配套指引从新的角度着眼内部控制机制建设，尝试把以往的会计和审计视角转向以风险为导向，旨在融合风险管理和内部控制，因此，本文主要针对完善我国企业内部控制制度建设进行研究，对相关方面提出一定的建议。1.2国内外研究概况1.2.1国外研究概况内部控制的思想产生于18世纪，但是直到二十世纪四五十年代才于美国出现了真正具有现代意义的内部控制概念。内部控制应用的领域相当广泛，一般说来，内部控制的研究视角主要分布于管理学、审计学与经济学三个领域(Maijoor,2000)1。审计学领域的内部控制是现代控制理论的主要组成部分。管理学领域中的内部控制则兼具

14、控制系统自身整体性研究与企业组织的整体性研究(Gasparetal.，2005:Kraus&Lind，2010)23。从经济学角度出发的内部控制主要基于委托代理理论，针对信息不对称的情况，研究内部控制如何应对利益冲突导致的代理问题 企业内部控制与管理者代理问题研究_周继军D2011.10。当前世界上比较认可的内部控制发展是四阶段说，即：内部控制牵制阶段内部控制制度阶段内部控制结构阶段内部控制整体框架阶段。但随着内部控制理论逐渐的融入风险管理的先进理念，内部控制的研究进入了新的风险管理与内部控制融合发展阶段。美国在内部控制研究领域具有相当的国际影响力，美国反虚假财务报告委员会(Commi

15、ttee of Sponsoring Organizations of the Treadway Commission，简称COSO)于1992年发布的内部控制整体框架在内部控制理论发展史上具有里程碑的意义，框架一度成为西方各国所借鉴和引用的标准模板，该报告强调内部控制与企业管理结合的重要性，模糊了管理和控制的界限，同时指出风险评估也是内部控制的组成要素，强调企业内部控制中不可缺少风险意识。2004年COSO发布了企业风险管理整合框架把全面风险管理的理念融入内部控制框架体系中，从此把内部控制引向了企业风险管理发展方向。加拿大COCO委员会1995年在COSO报告的基础上发布了控制指导纲要，即“

16、COCO标准”。该框架认为承诺、目标、能力、监控和学习是内部控制的四个基本要素，同时还列举了20条核心原则4,纲要指出风险评估和风险管理是控制的关键要素。英国Tumbull 委员会1999颁布的内部控制：董事会在综合章程方面的指南（又称“Tumbull 报告”）中定性的阐述了内部控制系统，并明确指出内部控制与风险管理之间并不独立。Tumbull 委员会（2005）指出，风险管理对在企业目标的实现具有重要作用，企业的内部控制应把风险管理纳入内部控制体系中。1.2.2国内研究概况国内具有现代意义的内部控制理论起步比较晚，关于内部控制与风险管理的研究大多建立于解读、分析美国COSO报告的基础上。二十

17、世纪八十年至今，我国颁布了一系列针对会计、证券商业银行等各个领域内部控制的法律法规，以规范企业的内部控制。近些年来，我国关于内部控制的研究也紧跟国际前沿，开始往风险管理导向的内部控制发展。2006年，国资委颁布了中央企业全面风险管理指引，详细说明了中央企业开展全面风险管理工作的总体原则、基本流程、风险管理信息系统、风险评估以及风险管理策略5。2008年颁布的企业内部控制基本规范结合了本国内部控制发展经验与国际先进经验，借鉴了COSO内部控制整合框架和企业风险管理整合框架的形式与内容，建立了符合我国国情的企业内部控制标准体系。2010年发布的企业内部控制配套指引进一步完善与规范了我国企业内部控制

18、体系，其主要内容有企业内部控制评价指引、鉴证指引与应用指引。在学术研究上，学者们在以风险管理角度研究内部控制上提出了许多重要观点，基于风险管理导向的内部控制研究得到了很大的发展，也取得了一定的成果。近几年的研究有，古淑萍(2009)提出构建以风险管理为导向的内部控制制度，并认为控制环境、风险评估体系、控制活动、信息与沟通、监督与评审等五个方面是基础。张玉（2010）指出企业内部控制不仅受制于企业内部，还同时受到外部诸多影响，企业的风险防范与既定目标的实现很大程度依赖企业内部控制6。吴春梅（2011）认为对于企业而言，内部控制与风险管理都是必不可少的，无论缺了哪一个，都不利于企业的有效管理与健康

19、发展。杨洪亮（2011）则认为企业需要根据自身实际建立合适的内部控制制度，以动态的思维看待与应对环境变化，实时调整与优化制度，识别、评估与防范风险，提高企业的综合竞争能力。1.2.3国内外研究概况评述综上所述，从国外的文献综述可以看出，国外内部控制已经开始融进风险管理理论，全面风险管理导向的内部控制理论已经形成一大趋势。最为成熟和完善的并得到广泛认可的是美国COSO发布的企业风险管理整合框架，其它各国的框架都借鉴了其中的思路。从国内的研究综述可以看出，我国的内部控制理论和实践发展得相对较晚，而且大多都是基于国外先进理论框架进行的，特别是构建基于风险管理导向的内部控制发展趋势这一点。不过，虽然起

20、步较晚，随着学者们在更广泛的领域中进行内部控制理论研究，并开始引入风险管理之后，国内在相关方面的研究也获得了一定的成果。关于我国企业如何构建风险管理导向的内部控制制度，也有不少学者进行了相关的研究，只是都没有形成较完善、成熟的体系。基于以上情况，本文主要是在前人研究成果的基础上进行归纳、总结，展开构建风险管理导向的企业内部控制体系研究。1.3研究内容框架与研究方法1.3.1研究内容本论文的研究内容分为两大部分。（1）理论研究部分。本文对内部控制理论和风险管理理论进行分析，同时探究两者之间的关系。首先，从企业内部控制理论研究、风险管理论研究、企业内部控制理论和风险管理理论之间关系问题三方面对国内

21、外的理论文献进行综述，并进行总结和评价，提出本文研究视角，为后续研究奠定基础。其次，在阐述企业内部控制理论的基础上，对我国企业内部控制的现状进行分析，探究我国公司内部控制存在问题的成因。最后，基于我国企业内部控制研究的情况，进行风险导向的企业内部控制体系构建，主要解决：一、企业构建风险管理下的内部控制体系的原则；二、构建风险管理下的内部控制体系的要点；三、基于风险导向的企业内部控制的构建。（2）实证研究部分。以国内具体企业为案例进行关于企业内部控制重构的应用分析。首先从企业层面进行全方位的企业内部控制现状分析，着眼实际问题，并根据之前建立的风险导向企业内部控制体系，设计符合本企业的内部控制方案

22、。1.3.2本文的研究方法本文主要采用文献分析、理论与实证相结合的方法，通过对内部控制和风险管理进行论述的规范性研究，并运用最新理论知识，结合案例分析探讨风险管理和内部控制的关系，为风险管理导向的企业内部控制的建立与实施提供研究建议。第二章 内部控制与风险管理理论2.1内部控制理论2.1.1内部控制的基本概念内部控制的概念并不是一成不变的，随着内部控制体系的不断发展，对于内部控制的理解也不断的改进和完善。不同领域的学者对于内部控制的理解和定义也各有不同，他们的看法分别体现在以下的几个报告中78910。美国注册会计师协会先后于1988年、1995年发布的审计标准公告第55号（简称SAS55)和审

23、计标准公告第78号（简称SAS78)，报告主要针对外部审计师，认为内部控制是一个由组织董事会、管理层和其他人员共同主导的过程，内部控制的目标则是获得具有可靠性的财务报表、实现有效经营并遵循法律法规，同时给出内部控制要素：控制环境、风险评估、控制活动、信息与沟通、监控。1991年， IIARF发布了系统可审计性和控制（简称SAC报告），并于1994年进行了修正，其认为内部控制是由一系列为实现目标而进行的过程和活动、功能、子系统以及里面的人员的共同组合形成的。它所定义的内部控制目标与SAS55/78的一致，而认为内部控制的要素包括控制环境、人工和自动的系统以及控制程序。1996年，ISACF发布了

24、对信息及相关技术的控制目标（简称COBIT报告），报告认为内部控制是过程的集合，其包括组织结构、程序和政策实践。内部控制的目标是获得有效的经营、完整和可用的信息、具有保密性和可靠性的财务报表。同时认为内部控制的要素主要包括组织与规划、识别与实施、传送与支持、监测。美国COSO委员会于1992年和2004年发布的内部控制整合框架(简称COSO框架）和企业风险管理整合框架（简称ERM框架）都针对管理者定义了内部控制，前者认为内部控制是企业的董事会、管理层以及员工为保证合理实现企业目标而实施的程序， 后者提出了新的理念，认为内部控制就是风险管理的过程，主张风险管理导向的企业内部控制。ERM对于内部控

25、制目标的设定比之COSO框架有了很大的区别，已经从实现经营的有效性和效率等发展为：战略目标、经营目标、报告目标与合规目标。大致认为内部控制要素包括：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。通过以上关于内部控制概念的表述，我们可以看出虽然不同的框架针对的是不同群体做出的定义，但是概念之间也有许多共同之处。文献综述中我们已经了解到COSO框架是最被广泛认可的内部控制框架。基于本文的研究思路，主要采用的是ERM框架的定义，内部控制是风险管理的过程，主张建立风险管理导向的企业内部控制体系。2.2.2内部控制理论的发展内部控制理论的发展历程，广大学者比较认同的是分为

26、内部牵制、内部控制制度、内部控制结构、内部控制整体框架和企业风险管理框架五个阶段11。(1) 内部牵制阶段从内部控制出现到二十世纪四十年代，都是以内部牵制这种内部控制的最初形式存在。美国著名审计学家在其审计理论与实践一书中提出，内部牵制的主要内容是账目间的互核，要求实施岗位分离，以达到减少错误和舞弊行为。这个阶段的内部控制主要基于以下两个假设：（1）两个或两个以上的人或部门无意识的犯相同错误的概率是极小的；（2）两个或两个以上的人或部门有意识的合伙舞弊的概率也大大低于单独个人或部门舞弊的概率。经实践检验，这些设想是合理的，因为内部控制机制的确有效的减少了错误与舞弊行为。这种初始的内部控制思想非

27、常适合那个时代企业的组织结构，但随着现代企业的发展，组织发展壮大，内部牵制已经无法满足企业管理新需求，因此对内部控制的研究有了进一步的发展。（2）内部控制制度阶段这个阶段内，“内部控制”已作为正式的术语被提出。社会化大生产、规模化经济、新技术出现急需企业组织化发展，从而也推动了内部控制制度的产生，新阶段的内部控制制度集合了传统内部牵制思想和古典管理理论。1958年美国注册会计师协会的审计程序委员会AICPA发布了审计程序公告第29号独立审计人员评价内部控制的范围，把内部控制划分为会计控制和管理控制，并重新进行了定义。这一分类也就是现在所说的内部控制“二分法”。（3）内部控制结构阶段1988年美

28、国注册会计师协会的审计准则委员会发布审计准则公告55号，第一次以“内部控制结构”替代“内部控制制度”，会计控制和管理控制不再做区分，结构具体包括了三要素：控制环境、会计制度和控制程序。公告把控制环境纳入了内部控制范畴，使得内部控制从“二分法”发展向了“三分法”，并重点强调了建立和运行有效的内部控制体系需要有良好的内部控制环境作为基础。（4）内部控制整体框架阶段COSO于1992年发布并于1994年改进的内部控制整体框架，其提供了一个广泛认可、内涵一致的内部控制概念和评价方法，由于具有广泛的普适性，该框架一直是世界各国建立内部控制框架的标准。框架定义了内部控制：内部控制是由企业董事会、管理层和相

29、关工作人员实施，为获得可靠财务报告、有效经营、遵循相关法律法规所提供合理保证的过程。框架将内部控制划分为五要素：控制环境、风险评估、控制活动、信息与沟通、监控。随着企业经济的发展，不同时期需要不同内部控制理念来适应企业管理，内部控制制度也因此而不断的发展完善。（5）全面风险管理框架随着研究的深入，学者们意识到内部控制的过程也涵盖于企业风险管理过程中，于是尝试把内部控制与风险管理相互融合，内部控制由此走进了企业全面风险管理整体框架阶段。2004年，COSO委员会正式颁布了企业风险管理整合框架（简称ERM），这是内部控制走向风险管理的一个关键文件，预示着基于风险管理导向的企业内部控制将是未来企业管

30、理的重要发展方向。至此，内部控制理论发展已经融入了风险管理理念。通过内部控制理论发展的五个阶段，我们可以看到，内部控制理论每段时期的进步都与经济环境的变化有着千丝万缕的关系，为了更好地适应企业管理需要，内部控制理论不断地发展和完善，所面向的研究领域也不断的扩展延伸，可以断定的是，随着经济进步以及社会实践的发展，内部控制理论必然也会有更进一步的发展。2.2风险管理理论2.2.1风险管理的基本概念风险管理理论的发展是随着社会和经济的进步与发展而发展的，但是由于风险研究所针对的领域不同，不同学者对风险的理解和认识程度不一样，因而对风险及风险管理的概念各有不同理解。最早关于风险管理较全面的定义是由美国

31、风险管理专家威廉姆斯和汉斯提出的。他们1964年共同出版的风险管理与保险一书中指出，“风险管理是一种科学方法，其通过对风险的识别、衡量和控制，旨在以最少的成本将风险导致的各种不良后果降低到最低限度”。目前国际上相对权威的是COSO对风险管理的定义：企业风险管理是由企业董事会、管理层和其他人员所实施的，应用于战略制定并贯穿于企业中的一个过程，其旨在识别影响主体的可能风险潜在事项，管理风险以使企业在风险承受范围之内，同时也为企业目标的实现提供合理保证12。COSO的这个定义结合了多方观点，在国际上也达成了共识，具有广泛适用性和代表性。COSO对于风险管理概念的定义充分考虑了企业和其他组织如何管理风

32、险的关键内涵：1、这是一个全员参与实施的动态过程，企业主体的各种管理活动中普遍存在风险管理。2、风险管理是为制定企业战略而进行的，这过程需要考虑企业内部各层面的活动。3、对可能影响企业活动的事项进行识别，同时要把其控制在风险可承受范围内，这个承受范围称为风险容量，是指现代企业所能接受的广泛意义上的风险数量。4、需要设计一整套能有效运行的合理风险管理机制，该机制能为事项现代企业战略目标提供保证，同时机制理应涵盖现代企业内外环境控制确定战略目标、识别风险事项、评估风险事件、风险反应、风险控制活动、信息和沟通、风险监控等相互关联的因素13。国内的学者对于风险管理的概念主要持两种不同观点：1、方法论或

33、手段论；2、过程论或活动论。方法论强调应当把风险管理看作一种管理手段或方法；而过程论则主张把风险管理理解成一项管理活动或管理过程。王雅芬（1998）、阎天三、李永超（2000）都对风险管理做出过完整的定义，都强调了风险管理中需要对所存在的风险要素进行识别、分析、衡量、评估、管理并处置，要通过规范化的风险管理制度或系统科学的管理方法，降低企业可能的风险损失1415。朱桃林（2001）、王雷（2004）则认为风险管理是一种管理过程，是经济单位在合理全面的系统风险管理制度保障下，科学地进行风险识别、评估、评价、监控与防范，实现以最小的成本达到最大的安全保障的管理过程1617。2.2.2风险管理理论的

34、发展风险管理理论是从风险研究开始的，COSO的两份报告都对风险进行了定义，初始时其纯粹的把风险归为负面因素一类，后来在ERM框架中进行了重新定义，认为内部或外部影响企业目标实现的事件或事故会存在负面和正面影响的事项，其中带负面影响的事项代表风险，事项发生并给目标的实现带来负面影响的可能性即称为风险。首次将风险管理引入企业经营活动的是法国管理大师法约尔在其一般与工业管理中提出的。不同发展阶段的风险管理的特征和关注的对象各有不同。风险管理理论的发展归结起来大致可分为两个阶段：传统的风险管理阶段和现代风险管理阶段。（1）传统的风险管理阶段传统的风险管理阶段是一种不全面并分散的风险管理，一般认为二十世

35、纪九十年代以前都属于这个阶段。这个时期的风险管理本质上是一种以人为对象的风险管理机制，主要针对的是可能带来损失的纯粹风险，这种风险专指只会带来损失而无获利可能的风险。与之对应的投机风险则是兼具损失与获利可能性的风险。传统风险管理阶段中的风险管理理论、实践与方法基本上都是以纯粹风险为研究对象的，这个时期的研究具有片面性，对于风险影响的可能结果没有整体性研究，也缺乏相应的对策研究。这个时期的关注点是企业如何规避、转移只可能带来损失的纯粹风险，对于投机风险的研究这是相对缺少，此时的主要对策是投保。（2）现代风险管理阶段现代风险管理理论在发展过程中经历了三种比较典型的理论，分别是在险价值模型（Valu

36、e-At-Risk，VaR）、整体风险管理理论（TRM）、全面风险管理理论（ERM）。1、在险价值模型（Value-At-Risk，VaR）这个模型的目标是使用数据来衡量所有风险，主要是针对市场风险的管理需求。VaR方法及相关模型主要运用于公司、金融及金融监管机构，由于运用广泛，逐渐发展成风险管理的一种标准。但是这个模型欠缺考虑非正常市场情况，而只是适用于衡量正常市场条件下的风险，这就导致了VaR体系需要包含压力测试。情景分析和返回检验等其他方法才能顺利开展。虽然这个模型存在不足，但是它的出现也开启了风险管理的新阶段。2、整体风险管理理论（TRM）新的需求推动新理论的发展，整体风险管理也应运而

37、生。整体风险管理理论(Total Risk Management，TRM)基本框架包含价格(price)、偏好(preference)和概率(probability)三因素，TRM系统中达到了客观上风险管理计量与主体偏好的均衡最优，皆可以对基础金融工具风险也可对衍生工具带来的风险进行管理，进而达到对风险的全面控制。TRM的3P理论体现为：价格是为规避风险时经济主体必须支付的金额，概率则可衡量各种风险可能性（包括衍生交易本身风险） ，偏好则决定了经济主体愿意承担与理应规避的风险的份额18。3、 全面风险管理理论（ERM）全面风险管理诞生于人们对风险管理的深入认识以及社会实践需要，复杂的企业管理中

38、不仅需要对过去单个业务单个风险进行管理，更需要以系统整体的角度进行综合管理。全面风险管理最有代表性的是美国COSO委员会颁布的企业风险管理整体框架，它全面融合了风险管理理论和方法，完善并丰富了内部控制的内涵和外延，把内部控制理论推向了一个新的发展高度。ERM框架体现了三个维度，分别是企业的目标、全面风险管理要素、企业的各个层级。企业目标包括：战略目标、报告目标、经营目标和合规目标。全面风险管理理论要素有内部环境、目标设定、事件识别、风险对策、控制活动、信息与沟通、监控。而企业层级则包含了整个企业、各职能部门、各条业务线和各下属子公司19。ERM这三个维度之间体现了：全面风险管理的八个要素均是服

39、务于企业的四个目标；企业各个层级需要坚持四个相同目标；每个层次都必须按照八个方面进行风险管理20。2.3内部控制与风险管理的关系分析 关于“内部控制与风险管理的关系”，国内外学者由于所处视角不同，主要存在三个主要观点：内部控制包含于风险管理中，风险管理是内部控制的组成部分，内部控制与风险管理相融合。这三种观点皆有其可取之处，因为不同的角度不同的环境来考虑同一个问题时，总会存在不同的见解，我们需要结合经济环境科学动态地看待这两者之间的关系21。出于后续研究的考虑，本文基本认同内部控制与风险管理融合的观点。随着现代企业的发展，控制和风险意识越发深入人心，风险管理的水平进一步提升，内部控制和风险管理

40、之间会有更多的重合，互补效用会愈发明显22。这种观点主要的可取性在于：1）内部控制和风险管理都属于管理的范畴，均涉及关于风险的评估及风险应对，其方法与技术可以相互借鉴和利用。2）风险管理与内部控制的最终目标是一致的，均是追求企业价值的最大化，通过提高内部控制的效果与效率能对风险进行更好的管理和控制，而通过完善风险管理则可以获得效果更好更显著的内部控制23。经济的多变性与复杂性，企业间竞争的日益激烈，以及风险不确定的增加，使得内部控制与风险管理的融合具有必然性2425。第三章 我国公司内部控制现状及成因分析3.1我国公司内部控制现状分析笔者认为，广义的现状分析应该涵盖缺陷与优势。但基于全文的发展

41、，本节只讨论分析我国公司内部控制体制存在的问题。本节的分析过程主要是基于COSO的全面风险管理框架八要素进行的，只是将“事项识别、风险评估和风险对策”综合为一个考评因素。3.1.1目标设定缺乏战略眼光内部控制的目标设定很大程度上左右着内部控制的结果，只有基于全面战略的高度来设定内部控制的目标，才能真正达到内部控制的终极目标企业价值最大化。目前许多企业的现状是没有认识到战略目标的重要性，依旧停留在“不违反法律法规、确保会计信息真实完整以及资产安全”的层面 张玉中外内部控制与风险管理理论与实务比较会计之友J，2010，(6):44-47。目标设定层次偏低容易造成企业内部控制设计和执行过程局限于某点

42、，从而产生两大负面影响：1）内部控制的日常控制活动缺乏整体性和全局性，使得原本紧密相连的因子被人为的分离开，“板块式”控制很难达到“板块”与“板块”之间的无缝对接，这就为不法分子提供了可乘之机。2）新风险出现的时候，企业习惯性寻求可以对应的“板块”，而很少站在企业的战略高度去分析和评估风险事项的影响，自然也容易缺乏科学应对风险的策略。这种“治标不治本”的目标设定方式不符合现代企业的复杂需求6。3.1.2控制环境中缺乏风险文化的培育企业文化是一个组织由其价值观、信念、仪式、符号、处事方式等组成的其特有的文化形象，是企业的无形力量，影响着公司的整体员工对于工作对于发展的态度。现代企业中风险无处不在

43、，同时也更加复杂多变。风险文化的培养具有重大意义只有让风险意识深入员工内心，风险识别、评估和应对才有可能进行，才能达到有效的内部控制。只是当前国内许多企业在建设内部控制环境时严重缺乏对风险文化的重视 黄齐朴企业风险与内部控制东方企业文化J2007。诸如，新员工的培训中很少涉及关于影响企业正常发展常见风险因素知识的普及，这相当不利于新员工树立风险意识。还有就是在公司的日常文化建设当中，企业也很少专门普及风险管理的知识，久而久之，员工自然容易放松警惕，企业内外因素变化引起的风险没有设防，致使内部控制不得当，使公司蒙受重大损失。3.1.3缺乏风险预警机制和应对机制在现代企业竞争环境中，企业所面临的风

44、险可能是毁灭性的。当前我国大多数企业并没有系统性的风险预警与应对机制，同时识别和评估风险的能力也比较差，在面临风险的时候往往不能及时采取正确有效的行动，最终导致无力处理风险，公司遭受巨大损失。3.1.4控制活动流于形式当前我国大多数企业的问题并不是缺乏内部控制制度，而是缺乏对已有控制制度的执行。例如，理应审批的项目可以不经审批，或审批人越级审批或构造虚假审批手续，但项目仍能“顺利”进行。诸如此类的现象正是导致内部控制形如虚设的源泉，不仅导致了管理者决策越来越随意，还进一步恶化了企业的控制环境，控制环境的恶化反过来将会对内部控制的执行产生消极影响。中航油（新加坡）事件就是一个很典型的案例。中航油

45、曾经聘请永安会计事务所制定风险管理手册，其中规定：损失超过5000万美元，必须上报董事会，同时立刻采取止损措施等。但在处理期货的过程中，这些既定流程都流于形式，风险管理体系并没有发挥有效作用。显然，制定内部控制制度确实重要，但是空壳的制度并不能抵抗风险，能保证企业有效管理的仍是制度的高效执行27。3.1.5信息传递不畅及时的信息传递和有效的信息管理对于风险管理和内部控制来说有着举足轻重的作用。当前我国许多企业存在信息渠道不明、沟通不畅以及信息管理体系不完善的问题，从而导致信息传递不及时、信息质量地下28。企业内部信息沟通也是问题百出，管理层不重视沟通、不愿意广开言路；员工不愿意也没能完全了解其

46、自身在信息沟通方面的职责和权力，在发生例外情况的时候不知如何处理问题，总是摇摆于是否向上级报告以及如何报告之间。更有，沟通方式单一，使得沟通机会减少。对于企业外部信息，企业更难做到有效沟通，大部分企业都未能充分利用和发觉机会来及时获得市场变动、法律和政策更新的信息，只是安于随大流。在管理信息的过程中，企业未能对杂乱的信息去伪存真、取其精华去其糟粕，也很难做到各部门之间共享信息资源，造成工作冗余。3.1.6内部监督不得力从我国上市公司内部监督角度来看，很多都存在内部审计机构不健全、审计机构缺乏权威性与独立性等问题。上司公司的董事会中，极大一部分并没有正式的审计委员会，内部控制形同虚设，不能有效发

47、挥其应有的作用，自我检测也不到位；虽然也有许多上市公司设有专门的内部审计机构，但独立性不足，这些机构一般直属总经理或隶属于财务部门，很难真正实现内部审计职能。未能形成规范化、法制化和经常化的审计流程，处罚时也往往避重就轻，重人情而轻规则，扭曲了执法的刚性，许多企业不看重内部审计的作用，审计人员的水平参差不齐，或由企业会计人员兼任，或由专业水平不高的人员担当，导致了企业难以真正发挥企业内部审计的作用。按照这种情况，若是企业严格执行内部控制， 充分发挥监督作用，我国就能少一些类似“创维事件”和“伊利事件”此类事故了。3.2我国公司内部控制存在问题的成因分析上述诸多问题的产生，除了大环境下法规政策和

48、理论研究方面的深层次问题，企业自身原因也是一大问题：比如，对内部控制和风险管理制度不够重视、制度设计不全面、执行监督评价不到位、内部不同层级间博弈出现非合作性等。3.2.1我国内部控制和风险管理理论研究和实践仍处在摸索阶段 当前的理论研究与实践基本上是借鉴了美国COSO的内部控制整合框架、企业风险管理整合框架的相关理论。虽然这两个框架的理论是处于国际前沿的，但毕竟不是针对我国特定构建，难免与我国实际国情、行业特点结合不够。在出台配套指引之前，相关法律法规都是定性描述居多，没有具体标准，实务操作指引缺乏，难以真正指导企业内部控制。根据国内文献综述可以了解到，国内关于内部控制和风险管理理论的研究相

49、对比较落后，针对实践的就更是尚无统一标准和共识，加之国内企业内部管理复杂，内部控制的实施难以落实。不完善的管理结构是阻碍国内企业实现发展战略的根本性问题。3.2.2投资者与管理者非合作博弈显著致内控建设缺乏动力现代企业所有者和管理者之间存在着雇佣关系，也即是委托代理关系，两者所处的利益角度并不一致。关于内部控制，董事会当然希望管理者建立完善的内部控制机制，管理者出于工作便利的缘故则希望简化这些工作，博弈由此产生，博弈的结果反过来影响着管理者建设内部控制的动力2930。为论证当前我国企业内部控制建设董事会于管理层之间的博弈存在显著非合作情况，本文将借鉴非合作博弈理论模型进行分析。这是关于投资者与

50、管理者双方的博弈，投资者可选择是否投资，管理者则可决定建立高效或低效的内部控制机制，得益矩阵如图3.1所示。图3.1 投资者与管理者博弈的得益矩阵 基于风险导向的企业内部控制机制研究_文小亮M2011.5.26A：投资者投资对应的效用B：投资者不投资对应的效用a:投资者于财产安全方面效用的增加-b:投资者于财产安全方面效用的减少-c:错失良好投资机会的负效应d:规避不良投资机会的正效用e:于高效内部控制下获得投资的正效应-f:已为建设内部控制投入高额成本却不得投资的负效应g:未费力建设内部控制但却获得投资的正效用-h: 未费力建设内部控制也未得到投资的负效用M：管理者建立高效内部控制产生的效用

51、N：管理者建立低效内部控制产生的效用根据图表和博弈者的博弈心理，对于投资者而言，最佳的博弈顺序是：A+a>B+d>B-c>A-b；至于管理者，则是：N+g>M+e>N-h>M-f。可以看出（A+a，M+e）是最优合作状态。实际博弈中，管理者却不太热衷这种合作状态，并更倾向选择（A-b,N+g），这种最优合作解与实际相悖的情况就需要第三方部门来协调规范，使非合作状态逐渐转向合作状态。只是我国目前在这方面却是缺乏引导的权威性与可操作性，对内控的建设也没有从国情出发，缺乏技术评价指标，使得投资者在博弈过程中均不能获得充分有效的内控信息，处于劣势，导致管理者的懈怠，

52、造成内部控制建设的动力不足。3.2.3公司管理结构缺陷对内部控制建设产生消极影响当前国内公司的管理结构存在着缺陷，对内部控制建设产生了不少消极影响。从理论层面来看，股权结构是公司治理的基础，股权的集中程度和大股东的身份皆取决于它。国内大多数公司皆由国企改革而来，或新设于国有股控股，往往存在较严重的“一股独大”情况。这样子将使得股东大会、董事会和监事会等高层机构成为控股股东的利益代表兼权力行使者。如此情况下少数人的意志左右着企业重大决策，小股东群体的利益将得不到保证。公司高层的职责分工不明31，董事会缺乏对应的独立性，监事会难以实施有效监督，都会出现企业难以做出客观正确的判断，经营决策不能贴近实

53、际，十分不利于企业价值最大化的实现。任何控股股东或只少数关键人物为了自身利益而操控公司经营方针和政策、操纵财务报告、封锁不良信息的行为，都可能导致内部控制失效而使从事一些违背企业发展愿景或违规违纪的事件。企业治理结构缺陷将会给企业带来巨大风险，违背内部控制目标，最终使得企业蒙受重大损失。治理结构以高层为重的情况，对控制环境和企业文化塑造都具有极不好的影响。3.2.4风险导向作用缺失凸显内部控制的不完备性当前国内企业缺乏风险导向意识，导致在内部控制过程中企业忽视培养风险文化以及传播风险管理知识的重要性。往往造成不能识别或不能及时识别风险，在评估与防范方面也没有足够的能力，从而失去了管理控制风险的

54、主动权，使得内部控制工作形如虚设，缺乏风险管理实践以及不能纠正传统内部控制理念中不再适用的观点是引起风险导向作用缺失的关键原因：1）过于依赖国家宏观调控的风险规避作用，而不主动寻求自身风险规避方法。2）国有企业改革不彻底而来的公司，存在僵化的安于现状不愿改变政策的习惯；还有是主动与风险撇清关系，转移风险。3）我国发展市场经济以来仍未出现过大范围风险引起的变故，使得大部分企业对于市场环境的变化并不敏感，“居安思危”意识过低。4）国内风险管理导向的内部控制研究思路狭隘，可应用领域不够广泛，内部控制难以进行彻底改革。第四章 构建风险管理导向的企业内部控制体系4.1风险管理导向的企业内部控制的定义与目

55、标（一）风险管理导向的企业内部控制的定义风险导向的企业内部控制是一种全面风险管理。企业内部控制的定义则是：由企业董事会、监事会、管理人员和其他关键员工指定的对所有影响企业可持续发展的风险实行有效控制的制度体系，及由企业所有成员严格执行制度以达到有效控制和管理风险并不断改进和完善的动态过程31罗绍德，唐群力企业内部控制的新制度经济学解析审计与经济研究，2003，（11）：58-60。本定义强调了内部控制的构成部分及其全员性与动态性，图4.1体现了风险管理导向的企业内部控制定义。图4.1 风险管理导向的企业内部控制定义基于风险导向的企业内部控制机制研究_文小亮M2011.5.26（二）风险管理导向

56、的企业内部控制目标企业内部控制的目标有两个层级，第一层是总目标，即战略目标实现企业价值最大化32徐虹，林钟高，郑军，彭琳内部控制、价值管理和企业价值当代财经，2008，(4)：105-111。第二层是具体目标，主要包括：确保经营管理的合法性，提高经营的绩效、确保所披露的信息的真实可靠性。总目标与具体目标并非独立，总目标指导具体目标，具体目标则为总目标服务，具体结构如图4.2所示。图4.2 风险管理导向的企业内部控制目标64.2企业构建风险管理下的内部控制体系的原则本文前面已经有专门的章节描述我国内部控制的现状，得出的观点是我国当前建立的风险导向企业内部控制体系仍存在许多缺陷，同时执行情况也不太乐观，从而导致了许多因此而引起的企业事故。基于这种现状，国内企业应该提高风险意识，建立有效的风险管理机制，并建立配的操作实施标准，保证内部控制有效运行，提升管理结构的合理性，确保内部控制