企业内部控制和全面风险管理分析

杨秀忠

摘 要：全面风险理念是在传统内部控制无法满足企业需要基础上产生的，但全面风险管理不能完全取代内部控制。内部控制与全面风险管理之间既存在着联系又有区别，只有充分了解二者之间的关系，才能更好的构建内部控制体系，从而提高企业全面风险管理水平。

关键词：内部控制；风险管理；建议

中图分类号：F23

文献标识码：A

文章编号：16723198（2014）12012501

1 引言

内部控制是一种企业内部活动，它是通过组织机构、组织制度和组织指令来完成的。内部控制有三项目标，一是保证财务报告的可靠性，二是提高经营的效果和效率，三是保证企业经营的合法合规性。同时企业内控应具备五个要素：信息与交流、风险评估、控制环境、监控、控制活动。全面风险管理，是由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中的过程，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。1995年美国COSO委员会发布了《内部控制—综合框架》，给企业和其他实体评估和提升内部控制系统提供了极大帮助。但随着经发展，传统内部控制已力不从心，风险管理的理念开始受到学者们的广泛关注，在这一背景下，美国COSO委员会于2004年底发布了全新的COSO报告，即《企业风险管理（ERM）—综合框架》。全面风险管理框架提出后，我国也开始注重推行全面风险管理，国资委2006年6月发布了《中央企业全面风险管理指引》。

虽然全面风险管理理念出现晚于内部控制理念，但美国《企业风险管理（ERM）—综合框架》明确指出内部控制是风险管理不可分割的一部分，但同时又强调风险管理框架“的确没有取代内部控制框架”，因此二者之间的关系成为许多学者研究的热点，实务中就内部控制与风险管理的认识上有一定的误区，导致对提升内控体系执行的有效性和全面风险管理水平带来一定的影响。这些误区主要表现在，一是认为内部控制和全面风险管理是相互独立的，认为二者虽然具有共同点，但是二者在方式手段上具有本质区别，得出这一结论的依据主要是认为二者管控的目的不完全一直，且二者的业务关注重点不同。二是内部控制和风险管理的作用被夸大，认为只要企业建立了内部控制体系和风险管理框架，企业就可以高枕无忧。三是内部控制和风险管理的重要性被忽视，认为传统的管理模式就可以达到目的。四是认为内部控制和风险管理体系的建设仅仅是整章建制。五是认为内部控制和风险管理理念难以适应很多企业的现状，认为其与企业原有的管理体系间存在较大差距。出现上述认识误区的原因在于对二者的关系理解不够，因此了解二者的联系与区别，才能更好的构建内部控制体系，从而提高企业全面风险管理水平。

2 内部控制与全面风险管理的区别与联系

2.1 内部控制与全面风险管理的区别

（1）二者范围不同。

内部控制重点在与进行事中和事后控制，其是企业的一种管理职能，而全面风险管理则贯穿于企业的生产经营活动的全过程，兼具事前、事中、事后控制功能，因此全面风险管理的范围大于内部控制的范围。

（2）二者管理理念不同。

风险管理把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。而内部控制则是以专业管理制度为基础，实施的遵循性控制活动，它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。内部控制解决的是“正确地做事”，不仅要解决“正确地做事”，关键要解决“做正确的事”。

（3）二者目标范围不同。

风险管理增加了战略控制目标，这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略的控制。

（4）二者环境覆盖面不同。

全面风险管理工作综合考虑了内部环境和外部环境，把风险管理的要求融入企业管理和业务流程中，而内部控制考虑更多的是企业内部环境。

（5）二者执行方式不同。

全面风险管理包含了选择风险评估方法、制定风险管理目标、制定相关战略、报告程序及聘用管理人员等多个环节。这其中的很多管理活动都是不需要内部控制来完成的，内部控制更多的是倾向于对企业经营流程的事中和事后进行控制，其中包括对信息交流进行监督、对不规范的操作流程纠正、对财务报告的评估等。

（6）二者对于风险的管理不同。

全面风险管理体系包括风险预警、风险偏好、风险对策等方法及概念，所以全面风险管理体系能够对企业的战略目标和发展方向进行指引，而内部控制体系不涉及此类功能。

2.2 内部控制与风险管理的联系

（1）二者的驱动因素是一致的。

无论是风险管理还内部控制，最初的驱动因素在于满足监管要求。随着认识上的不断创新，驱动因素增加了规模风险，从而减少风险带来的损失。

（2）二者的主体是一致的。

二者实施的主体都是企业董事会、管理层以及其他人员，均强调了全员参与的理念。

（3）二者都均是动态的管理过程。

二者均是一个发现问题、解决问题、发现新问题、解决新问题的不断修正、循环往复的过程，并渗透于企业各项经管理活动中。

（4）二者的目标有共同点。

都是为企业实现目标提供合理保证。风险管理的目标有四类，其中三类与内控控制相重合，即报告类目标、经营类目标、和遵循类目标。

（5）二者的作用是一致的。

都是为了防范风险。内部控制的最重要目的之一就是防范风险，没有风险防范这一既重要又明确的目的，内部控制的存在就大打折扣，至少发挥作用的空间会受到极大的限制。

（6）组成要素有重合。

风险管理与内部控制的组成要素有五个方面是重合的，即控制环境、风险评估、控制活动、信息与沟通、监督。风险管理增加了目标设定、事件识别、和风险对策三个要素，增加了战略目标，对内部控制框架进行拓展，把内部控制带到了一个更加宽泛的管理视角。

（7）内部控制是实现风险管理的重要手段。

内部控制是通过全方位建立过程控制体系，这恰好为风险信息的收集提供了极大的方便，可见内部控制是作为风险管理的一种重要手段而存在的。

3 实施内部控制促进风险管理有效性的建议

3.1 创造良好的控制环境

纵观国内外许多风险案例，即是因为董事会对公司运营风险重视不够、缺乏有效的监督。董事会、管理层的风险管理政策、风险偏好、公司结构、企业文化的价值观直接影响着企业的内部控制与风险管理，因此只有建立良好的内部控制环境，才能为实现全面风险管理提供良好的基础。

3.2 注重企业风险文化建设

首先，公司董事会、管理层和全体员工必须熟悉企业业务相关的风险。其次，要关注重大风险。董事会与管理层将主要精力放在可能产生重大风险的环节上。再次，要深化企业风险管理文化。在有良好的风险意识的团队中，风险在形成或变为重要风险之前，都会被及时识别，及时规避。

3.3 构建责任保障机制

企业应在风险管理委员会的领导下，建立“统一管理、分级负责”的管理体制，建立“谁执行谁负责”的责任机制。建立以“业务主导、部门牵头、审计监督”的职责体系。“业务主导”是指产品研发、市场开发、生产运营、财务管理等业务部门负有内控与风险有效运行的管理责任；“部门牵头”是指内控与风险管理部门统筹管理企业全员、全过程、全方位的风险管理工作，对业务部门负有组织、检查、评价的职能；“审计监督”是指内部审计负责见管理过程的充分性和有效性进行检查、评估、报告，并提出改进意见。

3.4 建立监督检查机制

一是着重落实业务部门的运行监督责任，负责体系运行情况的日常监督检查，特别强调业务主管部门对本专业从上到下管理和监督职责。二是周密安排测试工作，以测试促执行、促有效性。三是编制内部控制有效性报告与风险管理报告，通过编制报告披露问题，分析差距，查找原因，制定应对措施。

3.5 建立考核评价机制

在建立考核评价办法时，重点要关注基础工作部分的考核，包括内控与风险管理委员会的成立及履责情况、机构及岗位人员的配置情况、宣贯培训情况、制度建设情况、测试检查开展情况、考核兑现情况等，同时要关注实质性的内容，如风险识别、风险分析、风险评价、管控措施的制定、实质性漏洞及重大缺陷的发现等。将考核评价结果纳入对各级管理人员的业绩考核，奖罚兑现，形成正向激励的考核方法，促进执行力的提升。

参考文献

[1]闰金萍.论现代企业内部控制机制[J].现代管理科学，2009，（1）.

[2]仇颖.基于战略控制的内部控制模[J].经济导刊，2008，（5）.

[3]肖凌.企业风险管理 ERM一个概念框架[J].经济师，2006，（3）.

[4]詹姆斯林著.黄长全译.企业全面风险管理从激励到控制[M].北京：中国金融出版社，2003.

[5]胡昌红.现代企业风险管理框架研究[D].合肥：安徽大学，2007，（4）.