论企业风险管理与内部控制

龙江进

摘 要：当今世界瞬息万变,企业和市场受到外界环境的影响,必须快速作出反应。企业要提高自身的国际竞争力及在国际资本市场的信誉度, 减少财务丑闻的发生,必须加紧改善自身的管理,建立完善的内部控制制度,识别和衡量企业所面临的内外部风险,开展恰当的控制活动,消除或减少企业风险带来的损失,提高企业的应对能力和竞争力。文章主要通过对内部控制与风险管理的概述，阐述内部控制与风险管理的关系，对企业内部控制制度存在的问题进行研究，提出企业风险防范的有效途径，从而构建企业风险管理的预警体系，做好企业风险的防范工作。

关键词：风险管理 内部控制 风险防范

中图分类号：F270文献标识码:A

文章编号:1004-4914（2012）09-265-03

随着社会主义市场经济建设的不断深入、全球经济一体化进程的加快，国内市场和国际市场融为一体,企业所面临的风险与机遇也是越来越多。企业在新的竞争条件下要想立于不败之地，实现自身经营目标，建立现代企业制度，必须注重于内部控制与风险管理的研究。

一、风险管理与内部控制概述

（一）风险管理的涵义、要素及目标

企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。企业风险管理一般由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。

1.内部环境。企业的内部环境是其它所有风险管理要素的基础，为其它要素提供规则和结构，也为风险管理的其它组成因素提供了框架。其中特别是管理当局的风险偏好，决定了公司对可能出现的预料之外的事件的态度，管理当局和董事会必须明确战略及其执行过程中的风险和回报。

2.目标设定。每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件是制定目标，风险评估就是分析和辨认实现所定目标可能发生的风险。

3.事件辨别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上，企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件，事件辨别的基础是将可能的风险与环境进行对比。

4.风险评估。一般用可能性（概率）和影响结果两个维度度量风险，前者是一定的负面影响事件发生的可能性；后者是假设事件发生，对经营、财务报告以及战略产生影响的可能结果，潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。

5.风险反应。风险反应是企业风险管理的整体重要组成部分。企业对每一个重要的风险及其对应的回报进行平衡和评价，结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险，后者又包括风险分离、风险转换或者减少的形式。

6.控制活动。控制活动是管理当局设计的政策和程序，为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。

7.信息和交流。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息，与财务信息一样，风险信息必须以一定的形式和框架进行交流，使员工、管理层以及董事履行各自的责任。

8.监督。与内部控制一样，企业应通过持续的监督和独立的评价活动，监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象，包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础，或者以日常监督中发现的意外为起点，由于在独立调查、风险评估和报告方面具备能力、技巧和经验，内部审计师是提供独立评价的合适人选。

内部控制是社会经济发展到一定阶段的产物，其内容随着企业对外满足社会需要，对内强化管理而不断丰富和发展。内部控制经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段。内部控制是一个机构内董事会、管理层和其它各方进行的旨在加强风险管理、促进实现既定目标的行为，是一个组织的内部活动，它是通过组织制度、组织机构和组织指令或程序来完成的。

一个完善的企业内部控制系统应该包括五类要素：

1.控制环境。控制环境提供企业纪律与框架,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的原则和道德价值观；评定员工的能力；管理哲学和经营风格；组织结构；责任的分配与授权；人力资源政策及实务；其成员参与管理的程度以及公司内部的董事会和审计委员会等。

2.风险评估。每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件是制定目标，风险评估就是分析和辨认实现所定目标可能发生的风险。

3.控制活动。企业管理阶层辨识风险,然后应针对这种风险发出必要的指令。控制活动是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括:高层经理人员对企业绩效进行分析；直接部门管理；对信息处理的控制；实体控制；绩效指标的比较和分工。

4.信息与沟通。企业在其经营过程中,需要按其某种形式辨识、取得确切的信息进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供货商、政府主管机关和股东等做有效的沟通。

5.监控。内部控制系统需被持续监控。监控是由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程。监控活动由持续监督和个别评估所组成,其可确保企业内部控制能够持续有效的运作。

COSO报告认为,企业建立完善的内部控制体系,旨在达到三个目标：第一是经营的效率和效果；第二是财务报告真实完整；第三是恰当地遵循了相关法律、法规。

（二）风险管理与内部控制的联系与区别

1.风险管理与内部控制的联系。

（1）内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识，内部控制是为了实现经济组织的管理目标而提供的一种合理保障，良好的内部控制可以保证企业合规经营、财务报表的真实可靠。

（2）风险管理涵盖了内部控制。风险管理与内部控制的组成要素有五个方面是重合的，即控制环境、风险评估、控制活动、信息与沟通、监督，这些重合是由它们目标的多数重合及实现机制相似决定的。内部控制是一个系统工程，风险管理是一个更大的系统工程。全面风险管理控制的手段不仅包括事中和事后控制，更为重要的是在事前制订目标时就充分考虑了风险的存在，尤其是对战略计划制定当中的风险进行评估。

2.风险管理与内部控制的区别。

（1）内部控制仅仅是管理的一项职能，而全面风险管理属于风险范畴，贯穿于管理过程的各个方面。

（2）风险管理与内部控制都是为了实现企业的目标提供合理的保证。风险管理的目标不仅包括内部控制的三个目标，还包括报告类目标。而且报告类目标有所扩展，它不仅要求财务报告准确可靠，而且要求所有的非财务类报告准确可靠。另外，风险管理增加了战略目标，这意味着风险管理不仅是确保经营的效果与效率，而且介入了企业战略制定过程。

（3）COSO全面风险管理框架对风险的定义是：对企业的目标产生负面影响的事件发生的可能性。因此，该框架可以涵盖信用风险、市场风险、战略风险以及业务风险等各种风险，而内部控制框架并没有区分机会和风险。

（4）内部控制是为实现经营的效率、财务报告的真实与可靠性、合规性三类目标而提供合理保证的过程，而风险管理则是为实现包含经营的效果和效率、财务报告的可靠性、合规性三类目标在内的组织所有目标提供合理保证的过程。显然，风险管理概念外延更广。

（5）《企业风险管理框架》借用现代金融理论中的资产组合理论，提出了整体管理与风险组合的理念，要求企业从总体上把握分散于企业各层次及各部门的风险问题，以统筹考虑风险对策，防止分部门分散考虑与应对风险。因此，该框架在风险度量的基础上，有利于企业的长期发展战略与企业的风险偏好保持一致，风险与回报相联系，从而帮助董事会和高级管理层实现全面风险管理的目标，而这些内容都是内部控制框架中所没有的。

二、企业在防范风险方面存在的问题

在企业风险管理框架中内部控制系统是风险管理的重要环节，内部控制是企业对其所面临风险的一种反应，是在风险状态下对企业目标的实现提供合理的保证。所以说要防范风险首先必须完善内部控制制度，建立健全的内控体制。我国由于实行市场经济时间只有十多年的时间，企业刚刚认识到内部控制的重要性，对内部控制的研究和实践正处于摸索阶段。因此,企业内部控制制度存在很多问题,主要表现在以下几方面：

一是对内部控制制度的认识不足，而且执行不力。由于内部控制制度的不能直接产生经济效益，间接效益需要较长周期才能看出，因而多数企业把精力放在生产和营销上。

二是缺乏有效的监督机制，目前我国虽形成了包括政府监督和社会监督在内的企业外部监督体系，但是监管体系中的工作人员对一些企业的重视程度不够，加上企业的内部审计缺乏有效的监督机制，不能充分发挥其职能，因此种种监管形同虚设。

三是未形成完善的内部会计控制制度体系。许多企业只注重建章建制,不考虑实际情况也没有配套相应的责权制度,而且制度没有随着业务发展和竞争环境的改变及时进行修订和补充,使得内部控制制度操作性不足,有效性和完整性缺乏。

四是企业忽视事前事中的风险防范控制,过多地偏重于补救为主的事后控制,也造成了内部控制不及时。

三、企业防范风险的有效途径

（一）健全内部控制制度以防范企业风险

内部控制贯穿于企业经营活动的各个方面，只要存在企业的经营管理和经营活动，就存在企业的内部控制。要想做好企业的内部控制，我认为应从以下几个方面入手：

1.完善企业内部治理结构。这一体系要求职业的管理者阶层和管理者市场，要求所有权与管理权的分离。

2.加强单位负责人的自觉控制意识。内部控制成败取决于企业员工的控制意识和行为，而单位负责人内部控制的自觉意识和行为也是关键。

3.企业要重视风险评估。现代社会是一个充满激烈竞争的社会，每一个企业都面临着成功的挑战和失败的风险。

4.建立有效的组织结构与控制程序。在组织结构方面，要建立健全符合会计制度要求的企业财务管理部门，要明确企业财务人员的职权范围，明确划分财会部门人员的权利和义务。

5.加强信息沟通。企业的信息系统包括企业的财务信息系统和管理信息系统。在企业内部通过信息沟通，使每位员工都必须了解内部控制制度的有关方面

6.加强内部审计。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

（二）加强风险管理,化解企业风险

内部控制虽然可以防范企业风险，并构成风险管理的必要环节，但内部控制并不等于风险管理本身，它不能转嫁、承担、化解或分散企业风险。因此，企业必须加强风险管理。

1.明确风险控制的目标责任。在健全的法人治理结构下，企业经营者全盘负责本单位的风险管理，建立从董事会到各职能部门、员工个人的严密、畅通的信息网络，一旦发现问题，能够及时寻找负责对象，并结合有效的奖惩制度，促使责任人在未来经营期间不再重蹈覆辙。

2.建立风险预警机制,规避事前风险。风险的预警、评估既是现代企业内部控制的重要组成内容，更是企业风险管理的基础。把风险消灭在萌芽状态，以避免或减弱对企业的破坏程度。

3.事中风险、事后风险的管理。在企业经营活动过程中，风险与危机可能存在的前提下，运用各种定量、定性分析方法，观察监督风险状况，及时预防、阻止、抑制不利因素的发展，将风险损失及其有关财务后果转嫁给其它单位或组织，实现风险社会化。

四、构建企业风险管理的预警体系,做好企业风险防范工作

每个企业应按照风险管理的基本程序做好风险识别、风险评估和风险控制，按照内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流、监督等要素构建风险管理的基本框架。

1.要结合企业实际制定风险管理总体目标。在制定风险管理目标时要综合考虑这几个因素：第一是企业风险的承受能力；第二是确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；第三是要遵守有关法律法规；第四确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果,降低目标的不确定性；第五确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

2.加强对员工的风险控制管理，完整风险管理体系。大力加强对员工的职业道德教育，对员工开展诚信教育，使其增强自我控制能力，从而增强公司内部控制系统的有效性。建立以诚信为基础的公司文化，对违反诚信的员工进行惩罚，同时要加强员工的业务素质培训，使其在各自岗位上尽职尽责。全面风险管理是对整个机构内部各个种类、各个层次风险的通盘管理，全面风险管理可使组织中各业务单位分散的决策者之间协调合作，有利于审计和监督。

3.建立健全风险分析、评估、预警、处置工作流程。要能够很好地防范企业经营风险，必须按照风险级别建立一套有效的企业风险管理制度和流程。

参考文献：

1.樊行建.企业风险管理与内部控制.会计之友,2007(10)

2.闫修辉,熊华根.论内部控制与企业风险管理.航空工业经济研究,2007(5)

3.张晓丽.加强内部控制防范企业风险.商业现代化,2007(4)

4.宋蔚蔚.新内部控制规范风险导向化思路诌议.财会通讯,2007(8)

5.张颖萍.审计风险及其控制研究.会计之友,2007(6)

6.杨晓华.企业内部控制与风险管理关系探究.集团经济研究，2007(5)

7.COSO制定发布.企业风险管理——整合框架.东北财经大学出版社，2005

8.刘志远.企业风险管理理念与公司治理和经营治理的协调.财务与会计，2007

9.杨书怀.企业风险管理框架》与《内部控制整体框架》的比较分析.技术经济，2006(4)

10.刘霞.关于企业风险管理框架的若干思考.经济研究导刊，2007(2)

11.王福年.内部控制在风险管理中的作用.工业审计与会计，2007(3)

12.曹亚勇.企业风险管理与内部控制.当代经济，2007(7)

13.刘升勇.企业风险管理与内部控制比较研究.财会新空,2006(1)

14.宋常，丁卫.企业风险管理与内部控制关系探微.学术交流，2007(2)

（作者单位:西山煤电（集团）有限责任公司 山西太原 030053）

（责编:贾伟）