企业内部控制与风险管理研究

摘   要：本文通过对前人关于内部控制和风险管理研究的文献回顾，以COSO报告为标准，比较内部控制与风险管理的异同，最终得出结论：内部控制测重制度层面通过规章制度规避风险;而风险管理侧重交易层面以自由竞争的市场或者说市场交易来规避风险。同时分析我国内部控制与风险管理现状，并提出改进意见。

关键词：内部控制;风险管理;风险控制

一、风险管理与内部控制文献回顾

学者们对于风险管理和内部控制两者的关系争论不休，他们的观点也是仁者见仁智者见智。总的来说，大致可以分为三类观点：一是风险管理包含内部控制;2004年颁布的COSO框架明确将内部控制纳入风险管理范畴，认为内部控制是企业风险管理的一部分;二是内部控制包含风险管理;加拿大的COSO报告指出，“控制”是一个为实现组织目标的多要素的集合体，实际上就是“内部控制”的概念。COSO报告认为，风险评估和风险管理是内部控制的要素之一。三是两者具有一致性，风险管理是对内部控制的继承和发展;董月超（2009）认为风险管理是对内部控制的继承与发展，它们二者都强调参与的全员性，以及运用相关的技术手段来主动应对风险，为实现组织目标提供合理保证。

二、COSO报告下内部控制与风险管理的异同点

《企业风险管理——整合框架》是内部控制框架的拓展，更有力、更广泛的吸引大家关注企业风险管理这一领域。风险管理将内部控制框架纳入其中，形成了一个比内部控制框架更为有力的概念和管理工具。

1.内部控制与风险管理的相同点。通过对比两份COSO報告，企业风险管理和内部控制有以下相同点：

（1）都强调全员参与性。企业风险管理和内部控制都需要企业各个层级的人员共同参与。（2）企业风险管理和内部控制都是作为组织实现目标的过程，而非结果。这两项活动是渗透在企业日常经营的各项活动之中，是促进企业实现目标的手段，而不是最终结果。（3）二者都是为一个主体的管理当局和董事会提供合理保证。它们的目标是为企业目标的实现提供合理保证。

2.内部控制与风险管理的区别

（1）构成要素不同。风险管理对内部控制的相关内容进行了补充和提升。

（2）目标不同。风险管理有四类目标体系，包括战略目标、经营目标、报告目标和合规目标，对主体目标的这种分类更加关注企业风险管理的不同层面。与内部控制目标体系既有所重合又有所发展。3.产生效果的方法不同。风险管理贯穿企业各个活动的各个方面，关于项目的风险与收益，侧重在市场交易层面控制风险;而内部控制主要从规章制度层面约束规范企业员工行为从而规避风险，这二者实现目标的手段是不同的。

三、我国企业内部控制与风险管理现状分析

1.企业缺乏内部控制意识，全员参与观念未形成

面临国内外经济发展的压力，我国国内企业的风险控制意识仍然比较薄弱。在过去，提到风险管理只是单纯的认为是控制财务风险，更具体的说是筹资风险，对于目前经营风险、金融风险等存在认识上的不足。我国市场经济发展起步晚，虽然已有相关的内部控制法律体系，但是到管理层深刻认识到内部控制的重要性还需要很长时间。其次，有些企业认为风险管理是管理层的任务，没有形成各层级人员共同参与的理念，在这种观念下，导致企业的普通员工没有机会参与企业的风险管理。

2.企业未建立内部控制风险系统

随着经济的不断发展，企业所面对的外部环境越来越复杂，不确定因素的增加，加大了企业的风险因素。所以在应对风险的过程中，对风险进行识别、评估、应对的手段和方法尤为重要，虽然一些企业建立了专门的风险管理部门，但这一部门的实质功能未完全发挥，缺乏健全的风险识别和预警机制，尤其是小企业。

3.监督机制不健全

企业内部控制作为企业目标实现的一个过程，不仅需要建立完善的内部控制体系，而且还需要一系列的规章制度来保证内部控制的有效性。良好地内部控制监督体系是保障内部控制有效运行的必要手段。

四、完善企业内部控制与风险管理对策

1.强化风险管理理念，加强员工素质培训

加强风险管理理念是企业内部控制重要的环境要素，也是风险管理有效实施的重要前提。只有使企业各个工作岗位上的员工共同树立风险管理理念，才能够面对风险时做到及时评估和合理对待。要求所有员工对风险管理有正确的认识，并具有一定的职业技能，与经济发展的需求相适应。

2.不断完善公司风险应对管理体系

企业应该成立专门的风险应对部门，对财务指标进行随时监控，识别和处理日常经营过程中的财务风险、经营风险等一系列的风险，使风险管理成为现实，否则风险管理只是纸上谈兵。当前企业发展速度很快，若不建立相关风险管理部门，势必会落后于其他企业。同时结合企业自身的特点和行业特征，创建出符合自身实际的一套风险管理体系。

3.发挥企业内部审计作用，加强内部监督机制

内部审计部门是企业内相对独立的一个部门，为了保障其独立性一般受董事会领导，它对企业内部的各项活动进行独立评价，防止舞弊和错误的发生。内部审计制度规范、系统，来对各部门和各项业务活动进行风险识别、评估和应对，是一项根据风险导向型审计活动。在这个过程中，内审人员以识别风险为主，来为管理层提供相应的风险信息。

4.设立风险管理委员会，建立有效信息沟通机制

目前我国企业组织中大多是由企业董事会或是审计委员会进行风险管控，未建立独立的风险管理部门，建立起一批有专业素质的风险管理团队是风险管理有效实施的前提条件。另外，加强对信息沟通的管理，有利于企业更快更准的把握信息，进而提高风险管理和内部控制效率。

参考文献：

[1]毛新述，杨有红.内部控制与风险管理——中国会计学会2009内部控制专题学术研讨会综述[J]，2009.5

[2]吴水澎，陈汉文，邵贤弟.企业内部控制理论的发展与启示[J].会计研究，2000.5

[3]柳立立.新COSO框架下的内部控制与风险管理[J].黑龙江对外经贸，2006.7

作者简介：崔薯予（1990-  ），女，汉族，河北石家庄人，硕士研究生，单位：河北大学管理学院，研究方向：财务管理