浅谈企业内部控制与全面风险管理

赵红彬

一、企业内部控制与全面风险管理之间的关系

内部控制是指由企业董事会、监事会、经理层和全体员工所共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。企业内部控制主要包含内控环境、风险评估、控制活动、信息与沟通以及内部监督五个要素。

全面风险管理是一个过程管理，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

内部控制与全面风险管理两者之间既有一致性，也有不同之处。内部控制和全面风险管理两者都贯穿于企业日常经营管理活动中，最终目的都是要实现企业价值；内部控制是全面风险管理的必要环节，全面风险管理涵盖了内部控制的业务范围。企业全面风险管理是站在更高战略层次上分析问题，它比内部控制更加全面和细化，能更好的解决企业经营活动中出现的各类风险问题。

二、我国企业内部控制与全面风险管理现状

1.企业内部控制对内部制环境建设重视程度不够

内部环境对于企业发展战略、经营活动及风险识别有重大影响。内部环境是企业实施内部控制的基础，企业内部控制是否有效很大程度上取决于内部环境。我国企业在内部环境的建设方面还不完善。

2.内部审计缺乏独立性，在内部控制发挥的作用有限

内部控制主要服务于企业内部管理，而内部审计是公司治理的重要基石。内部审计在企业风险管控体系中是相对独立的监督系统，对风险管理、内部控制以及公司治理的充分性和有效性进行监督和评价，把风险和控制信息传递组织的的适当领域。现实中大多数企业的内部审计部门往往不被重视，受管理层直接领导，对高层管理者带来的风险无法有效监控。

3.企业风险控制概念相对狭窄,对全面风险管理理解不够

企业没有形成全员共同参与风险管理的观念，认为风险管理是公司高层考虑的事情，与大多数员工没关系。在这样传统思维的影响下，无法激起全体员工参与企业全面风险管理的积极性和主动性，不能在第一时间发现和处理经营管理中的风险问题，致使全面风险管理无法在企业全流程中得到贯彻与实施。

4.企业风险管理决策缺乏支撑依据，无完善的风险评估体系

目前，我国大多数企业内部控制具有很大的主观性，随企业领导变化而改变。企业风险管理水平较低,风险管理手段落后；风险管理评价标准不统一，风险评估体系不健全。企业进行风险预测、识别和处理，主要根据已有的经验，缺少科学的分析模型及量化分析。风险数据库是企业经营管理的重要决策基础，没有历史风险数据的支撑，企业的风险管理就无法做到防患于未然，就会给经营决策带来较大风险。

5.信息孤岛问题突出，信息资源共享受限

我国的普遍情况是企业内部没有整合信息资源，无法实现信息资源共享。主要表现在：信息更同步性差，信息使用和管理效率低下，孤立的信息系统无法实现信息共享，局部信息不能形成有价值的管理信息，对企业的决策支持只能流于表面，无法为企业治理带来实质性的帮助。

三、改进和完善我国企业内部控制与全面风险管理的主要措施

1.建立、健全科学有效的风险管控机制

构建完善的风险管控机制是防范企业风险的关键所在。首先是建立和完善风险管理的预警机制和过程控制机制，其次是实行全员风险管理,将风险机制引入企业内部，做到权责利相匹配。

2.依据制衡原理，建立科学的内控体系

内控体系是内部控制目标顺利实现的充分必要条件和重要保障。企业内控体系主要由三部分组成：一是在企业一线业务单位全过程融入相互制衡的以“防”为主的监督防线；二是建立企业内控部门以“管”为主的监督防线；三是开展由审计委员会领导的、对董事会负责的独立的内控综合评价及内部审计，对企业各单位实施全流程监管,建立起以“审”为主的监查防线。三个层次构筑的内部防控体系,对企业经济活动进行全过程、系统性的监督控制,对于企业及时发现问题、防范和解决企业管理风险，具有积极的作用。

3.深入开展内部控制评价工作，全面、透彻的分析企业内部控制的有效性

任何机制的有效运作都需要有相应的配套措施和好的执行力。内部控制评价制度是企业内部控制有效运行的必要条件。建立一套高层重视、管评结合、方法科学、全程追踪、实用性强的评价指标体系并加以贯彻实施，才是企业内部控制制度有效运行的重要保证。

4.建立和完善动态的风险评估机制，确定合理的风险政策

一般情况下，风险和控制总是紧密相伴的。内部控制是否有效的最主要依据就是风险评估，企业要实施有效的内部控制，就要识别和衡量它所面临的风险及其风险因素，这是采取有效控制活动的依据和前提。企业应结合自身情况，根据成本效益原则、全面性原则等，建立适当的风险评估模型，减少风险负面影响，有效防范企业风险。

5.构建高效畅通的信息沟通机制，实现内外信息共享

建立健全企业内部控制系统的充分必要条件是拥有完善的信息传递、沟通与反馈的信息系统。无障碍的信息沟通不是简单的信息系统建设，而是企业对内、外部信息的传递、使用及质量要求。企业应该结合自身的经营特点，建立适应自身发展的信息管理系统，使信息在企业内部的传递与使用变得高效、透明，为公司治理提供强大的信息技术支撑。

总之，在日常经营管理中，用全面风险管理思想贯穿其中，积极有效的防范和应对风险，完善和细化企业内部控制，利用现代化的信息管理手段，把二者紧密结合起来，使公司治理变得日益科学化、精细化、信息化和国际化，这样企业才能做到风险管理与内部控制的完美统一，才能有望成为市场的“百年老店”。

[1]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.

[2]国资委《中央企业全面风险管理指引》2006年.

[3]财政部等五部委《企业内部控制基本规范》2008年.