【摘 要】近年来，人们越来越清楚地认识到需要一个强有力的框架以便有效地控制风险。为此，本文提出基于风险管理的企业内部经营控制系统。该系统一方面强调风险管理与内部控制要素的融合；另一方面提出价值导向的内部控制(企业价值最大化是企业内部控制的目标)，即内部经营控制。

　　【关键词】风险管理；经营控制；业务控制

　　一、问题的提出

　　进入新世纪以来，美国一批巨人企业相继倒下，引发了人们对企业内部控制与风险管理的反思。反思的结果直接导致了《萨班斯法案》的出台和COSO《企业风险管理—整合框架》的建立。企业风险管理整合框架进一步拓展了内部控制内涵，更加强调风险管理，并为实现主体的战略、经营、报告和合规四种类型的目标提供了合理保证。诚然，企业风险管理整合框架并没有完全取代内部控制整合框架，但是它涵盖和拓展了后者(方红星，2005)。虽然企业风险管理整合框架有力地推动了内部控制的发展，更加重视风险管理，但关键还在于企业如何深入理解风险管理与内部控制的有效融合，并将其有效运用到内部控制实践当中。近年来，我国相继发生的德隆危机、伊利股份、创维数码、四川长虹、新加坡中航油事件等失败案例或重大丑闻，或多或少都与企业风险管理缺失有关。这些事件的曝光一方面催生了我国企业内部控制标准委员会的成立和企业内部控制规范的颁布；另一方面导致研究和制定基于风险管理导向的内部控制应用指南迫在眉睫。

　　二、理论分析

　　COSO《企业风险管理—整合框架》提出企业的四大目标即战略目标、报告目标、经营目标和合规目标。内部控制按照目标分类可以分为：以实现企业战略目标为目的的战略控制；以保证企业遵守相关法规、法律的法规控制；以保证报告可靠性为主的会计控制；以保证企业经营效率和效果的经营控制。现实中人们通常关注的是报告目标的实现和会计控制。事实上，经营控制是企业实现战略目标的核心和关键，因为企业存在的目的是为它的利益相关者创造价值，也就是经营效率最大化，为此，应该把研究和实践的重点放在经营目标的实现，也就是经营控制。而会计控制是企业实现战略目标的基础，法规控制是企业实现战略目标的保障。战略目标是与企业使命有关的总括性目标，它的实现需要通过分解和细化为经营目标才能得以落实。没有经营控制，战略目标的实现只能是“海市蜃楼”“可望不可及”。

　　笔者认为，经营控制才是企业内部控制的核心和灵魂，是以企业价值最大化为导向的内部控制。但是环境的不确定性导致管理当局不得不在追求价值最大化的过程中关注风险，而实施风险管理能够帮助管理当局有效地处理不确定性以及由此带来的风险与机会，从而提高企业创造价值的能力，实现企业价值最大化的目标，也就是实现企业的经营效率最大化。可见，既关注风险管理，又以经营控制为核心才是研究内部控制的关键所在。基于此，笔者试图以风险管理为导向构建企业内部经营控制系统。

　　三、系统的构建

　　本文在COSO发布的风险管理框架的指导下，设计出一套以控制环境为基础，以监控为整个企业经营正常运行的监督系统，从企业管理角度考虑的管理控制和以生产循环角度出发的业务控制组成的内部经营控制的系统体系。不管是管理控制还是作业控制，它们的最终控制对象都锁定在企业的资源投入产出过程，更具体来说就是企业得以生存发展的流程循环。其关系如图1所示。

　　对以上内部经营控制系统的理解应该把握以下几个方面：

　　(一)控制环境和监控是基础

　　一个企业内部环境的重要性和它对企业内部控制的其他构成要素所能产生的正面或负面影响，怎么强调都不过分。一个无效的内部控制环境影响会很广泛，可能会导致财务损失、损害公众形象或经营失败。因此管理层应加强对以上各方面的管理，建立一个和谐、适宜的内部控制环境。监控是指对执行内部控制过程的质量进行监督，内部控制者本身也需要被控制或监督，这是一个完善的控制系统的必备要素，经营控制系统也不例外。对于一个经营控制如果没有监督，或者说控制得好坏对控制者都一样，势必影响经营控制的水平与效果。

　　(二)风险管理与目标制定、控制活动、绩效评价以及信息沟通要素之间是相互作用的关系

　　风险评估贯彻于其他四个要素之中。企业在制定内部经营控制目标时，应该确定和选择一个与战略目标相一致的风险偏好，“风险容忍度”是相对于目标的实现而言所能接受的偏离程度。在选择控制活动时，管理层应该考虑他们的相互关联性，确保是在企业风险容忍度范围内的有效控制活动；在绩效评价时不仅需要衡量一些确定的量化因素，还需要一些不确定的非量化指标如对风险大小的衡量，从而全面地衡量一个企业的业绩水平。同样，要实现对风险的有效控制，其他几个要素是其保证。企业在制定风险管理决策时，需要根据风险大小制定目标，从而很好地预防或者应对风险；控制活动本身就是一个风险应对过程，一个公司可能依靠一个单一的控制活动来应对多重风险。另一方面也可能针对一项风险应对措施考虑多种控制活动；绩效评价是一个企业衡量实际效果偏离预算目标的量化指标，一般而言，偏离程度越大，风险越大；信息沟通与反馈是一个桥梁，连接战略目标和经营控制效果，只有高质量的信息和畅通的交流沟通才能最大限度地减小风险。

　　(三)对于管理控制或者是作业控制应该怎样把观点付诸于行动，即如何控制问题

　　可以把各种控制要素分解为几种方法达到控制目的。如可以把控制活动分解为组织规划控制、授权批准控制、全面预算控制、文件记录控制、实物保护控制等，也可以把风险管理控制分为全面预算控制、风险防范控制以及内部审计控制等等，如图2所示。

　　(四)经营控制的起点和落脚点都在战略目标

　　战略目标是高层次的目标，它与主体的使命相协调，反映管理当局就主体如何为它的利益相关者创造价值作出选择。它是进行经营控制的起点。只有制定出企业的战略目标，然后将其分解为切实可行的具体控制目标，经营控制才有目标和依据。而内部控制(经营控制也不例外)存在的根本原因就在于保证战略目标的实现，从而最终实现企业的根本目标即最大可能地追求企业价值最大化。经营控制在企业组织中的地位如图3所示。

　　在这里业务控制是对以风险管理导向的经营作业流程中出现的关键点而制定的控制活动，对于各业务循环的控制流程，重点分析并鉴别其中容易发生偏差的环节。这些可能发生错弊因而需要控制的业务环节，通常称为控制环节或控制点。控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有重要的影响，即为关键控制点；相比之下，那些只能发挥局部作用，影响特定范围控制点，则为一般控制点。作业控制出现在整个企业内的各个职能部门，包括诸如核准、授权、验证、复核营业绩效、保障资产安全以及职务分工等多种活动。

　　四、应用前景

　　本文以国内外一系列令人瞩目的公司丑闻爆发为契机，以美国COSO发布的《企业风险管理—整合框架》为理论基础，结合我国内部控制理论，提出价值导向的以风险管理为核心的内部控制系统。该系统的构建一方面满足了从实践出发的要求；另一方面以我国最新出台的内部控制法律法规的出台为背景，具有较强的实践指导意义。希望本文的研究框架能够引导国内企业制定切实可行的内部控制制度，从而加强对风险的防范与管理，实现企业价值最大化的经营目标。

　　【参考文献】

　　[1] 方红星，等译.COSO.全面风险管理：整合框架[M].第1版.辽宁大连：东北财经大学出版社，2005.16-32.

　　[2] 张宜霞，等译.COSO.全面风险管理：应用技术[M]. 第1版.辽宁大连：东北财经大学出版社，2006.20-30.

　　[3] 金昉，李若山，等.“COSO报告下的内部控制新发展”[J].会计研究，2005，(2)：32-38.

　　[4] 李心合.“内部控制：从财务报告导向到价值创造导向”[J].会计研究，2007，(4)：54-60.

　　[5] 张先治.内部管理控制论[M].第1版.北京.中国财政经济出版社，2004.139-145.

　　[6]朱荣恩，贺欣.“内部控制框架的新发展——企业风险管理框架”[J].审计研究，2003，(6)：11-15.