§四内部控制五要素（第1页）

§四、内部控制五要素

近30年来，美国在企业内部控制方面进行了诸多的研究和实践，使内部控制理论得到了重大改进，并为世界各国所广泛借鉴。如何建立一个完整的内部控制整体框架，对总经理加强企业管理具有重要意义。

企业建立内部控制制度的目的在于，提高企业经营管理水平，并加强企业的风险防范能力，促进企业可持续发展。一个有效和健全的内部控制制度至少包含图12-2所示的五个要素。

1．规范的内部环境

内部环境是企业实施内部控制的基础，比如企业治理结构是否完善、机构设置及权责分配是否合理、是否拥有健康的企业文化，以及完善的内部审计、人力资源政策等。

内部环境是其他内部控制要素的根本，其中管理效率是一个重要的衡量指标。在上例中，公司在生产经营的过程中，出现了矿井安全隐患问题，但未得到领导重视，说明该公司某些员工，特别是管理层的人员亦在一定程度上缺乏安全意识；领导未能及时给予任何答复，也反映出该公司管理效率的低下。

【提示】内部环境的好坏取决于管理层的理念和经营风格。通常情况下，如果企业主要管理人员武断专行、刚愎自用，都会导致公司治理结构形同虚设，对内部控制环境造成破坏。

2001年，美国世通公司宣告破产。该公司曾经位列财富500强的第42位，鼎盛时期的雇员总数为8万人，年收入达352亿美元。其创始人伯纳德·埃伯斯从一家电话公司起步，通过兼并、收购、上市等一系列资本运作使公司快速扩张，于1995年更名为世界通信公司，埃伯斯任首席执行官（CEO）。到1999年6月21日，世界通信公司股票涨至64。50美元的最高峰，市值则冲破1960亿美元。2001年，大量收购行为导致世通高额负债并引起美国证券监管机构的关注，为此证监会展开调查，埃伯斯被迫辞职。在离职审计中，审计部门发现公司财务造假金额高达90多亿美元，而埃伯斯向世通公司的个人借款也高达3。66亿美元。

世通公司以及其他许多从零起步快速扩张最终破产的企业（如美国南方保健等），都表现出一个惊人的相似的特征，即公司创始人的个性刚愎自用，而且企业管理权限过度集中于创始人或CEO手中。这种控制权的过度集中导致公司治理结构中的监督、制衡功能难以发挥，通常在企业达到破产等不可挽回的地步后才被发现。我国许多小公司在做大过程中也存在类似问题，有时还未做成大公司就难以前进。公司治理结构在公司正常发展扩张中具有不可或缺的监督作用，同时也是对高管人员行为的必要制衡。内部环境是企业必须着力打造的企业氛围。

企业应当结合业务特点设置内部机构，如内部审计部门等，明确职责权限，将权利与责任落实到各责任部门。在达到一定规模后，企业还应当在董事会下设立审计委员会，负责审查企业内部控制，监督内部控制是否得到有效实施，并对企业内部控制进行自我评价。

2．严谨的风险评估

风险评估就是企业采取一定的程序和方法，及时识别经营活动中的风险，并对风险进行系统分析，合理确定风险应对策略。上述煤矿公司的案例就是缺乏必要的风险分析程序，导致潜在风险未能及时被发现和防范。

某集团是一家从事海洋运输的公司，在全球90多个国家和地区设立有海外公司。2008年4月1日，该集团宣布成立集团风险控制和管理委员会，集团总裁亲自担任委员会主任，旨在加强集团风险控制和管理。

2006年6月以来该集团两次爆出“资金门”事件。2008年春节前后该集团驻韩国釜山公司被查出挪用公司巨额运费收入及部分投资款，公司内部人员先后进行非法截留转移多达一百多次，被挪走的资金总额大约4000万美元，约合人民币3亿元。釜山分公司采用的造假手法包括虚报费用、虚开发票、和供应商内外勾结等。

该集团的财务体制是：控股公司掌控下属企业的全部财务和资金结算，海外分公司通常都采取独立核算制度，分公司只需要在年底报年账，不需要报明细账，有些公司甚至连现金流都不用向总部汇报。如果海外分公司不涉及上市公司，总部通常也不对海外分公司实施定期审计。公司内部控制存在的严重漏洞导致财务造假和巨额资金挪用。

该集团成立集团风险控制和管理委员会，事实上就是针对该事件的，并进一步借此完善公司的内部治理结构，建立风险评估制度，加强公司防范风险的能力。

一个严谨的风险评估程序通常包括以下步骤：

（1）进行风险分析

近年来，西方国家开始出现风险分析团队和首席风险分析师，企业设置风险控制委员会，其目的就是进行风险分析和判断。风险分析需要具备专门技术，采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等概率进行测算，对识别的风险进行分析和排序，确保风险分析结果的准确性。

我国企业也在逐步建立风险控制机构，上述中海集团的案例就是一个典型代表。建立风险控制和管理机构的目的就是使企业的风险防范和控制行为规范化、制度化和长久化。

（2）确定风险应对策略

企业应当根据风险分析的结果，在风险与收益中进行权衡比较，并结合企业的风险承受度，确定风险应对策略，以对风险进行有效控制。通常情况下，企业可以采取的风险应对策略有三种：

1）规避风险

对于超出企业风险承受度的事项，企业可以选择放弃或者停止与之相关的业务活动，以避免和减轻损失。比如本书第五章提到的好易控公司针对某大型国企的中控产品销售及安装调试服务，如果该状况不能改善并长期持续下去，好易控公司就应当采取避免越陷越深、公司积压款过多的策略，其作用就是减少乃至停止与该国有企业的合作。

2）降低风险或分担风险

降低风险是指从企业内部采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

分担风险是指企业借助外部力量，采取业务分包、购买保险、合作经营等方式，将风险控制在风险承受度之内。比如钢铁企业为保证原材料供应与上游铁矿石厂商联营，就是一种分担风险的方式。

3）承受风险

承受风险是指企业对风险进行评估后，认为风险可以接受，准备实施新项目。通常情况下，企业应该对项目的风险进行充分估计并有充足的应对措施。

（3）风险的持续关注

企业的风险随实际情况和环境的变化在不断发生变化，企业需要根据不同发展阶段的具体情况，结合业务拓展，持续收集并关注与风险变化有关的信息，不断调整对风险的评价和分析，并及时调整风险应对策略，对风险进行适时动态的把握。

（4）重大风险预警机制

通过重大风险预警机制和突发事件应急处理机制，可以及时应对可能发生的重大风险或突发事件，确保突发事件得到及时妥善处理。

3．有效的控制活动