基于风险管理的企业内部控制问题

【摘要】内部控制是企业管理工作中不可或缺的重要环节，只是随着新世纪初国内外众多知名企业陆续被披露出财务舞弊造成巨额损失的丑闻，传统内部控制的缺陷逐渐被公众发现和认识。于是企业内部控制加强风险管理开始成为各管理机构和行业企业关注的焦点。文章通过分析风险管理和内部控制的关联与差异，阐释了企业内部控制常见问题，并就具体的优化策略提出了若干建设性意见。

【关键词】风险管理 企业管理 内部控制

企业风险管理的关注和重视源于本世纪初爆发的安然公司财务丑闻事件，这起世界知名企业的财务舞弊案让全球商业企业乃至学术界深刻意识到传统的企业内部控制存在着巨大漏洞，于是有了美国反虚假财务报告委员会下属发起人委员会（COSO）的《企业风险管理整合框架》。而当本世纪第一场金融危机席卷全球后，基于风险管理的企业内部控制问题愈发成为新世纪全球经济发展最为引人瞩目的核心内容之一，无论理论界还是实业界均对企业内部控制提出了更高要求，即提升企业内部控制水平，尤其需要加强风险管理能力。且二者需要不断地密切关联、彼此协调，以使企业管理工作更加适应经济与社会发展的新要求。

一、风险管理和内部控制的关联与差异

风险管理顾名思义，是专门针对风险的管理措施，指企业利用风险管理手段（包括理论和技术）对企业生产经营过程中潜藏的风险进行评估、监测，并设法提高测评效率的管理过程，其主要目标是降低企业的投资风险并设法确保企业战略规划得以实现。

内部控制则是企业内部管理工作的重要组成部分，主要是评价和约束企业业务活动过程，旨在确保经营与生产顺利实施以达到预期的战略规划。

风险管理与内部控制间既有关联又存在差异。比如二者均需要企业上至董事会、管理层下至基层一线全员共同参与。然而传统模式下的企业内部控制更加倾向于事中的过程控制，使企业经营与生产得以遵循事先预设的规划发展，而风险管理虽然同样在事中甚至事后均有涉猎，但其关注的重点却更多在事前的预测。从这个角度看，显然风险管理较传统的内部控制预设的目标更多、更广泛。

由此延伸来看，风险管理与内部控制内容叠加的部分有环境控制、活动控制、评估风险、信息交流沟通等。风险管理超出内部控制的内容还包括制定目标、识别事项与风险反应等，内部控制则还会对进度控制有所涉及[1]。

二、企业内部控制常见问题

（一）重条例制定轻具体实施

传统内部控制工作总是伴随着众多规章条例的制定，包括各环节的工作制度和具体的业务内容与流程等。因此不少企业的内部控制极为重视制度建设，认为完善、系统的制度建设能够确保内部控制工作的优质与高效。然而，“控制”显然是对动作的描述，因此内部控制本质上应当是动态管理的活动过程而不是静态的条条框框。不少企业满足于完备的条例制定，误以为有了规章制度就是有了健全的内部控制，于是在具体实施环节反而有所放松。这类问题最明显的缺陷是企业无法对变动中的环境作出及时反应，也就导致内部控制无法保持持续的动态优化，造成内部控制不得不反复处于事后补救的“救火”状态，不仅无法使内部控制的计划得以落实，也不断耗费时间和精力。

（二）内部控制缺乏足够的风险控制

企业经营活动的趋利本能让许多企业对生产经营的重视远大于管理，即便部分企业设置了风险控制管理的机构或部门，但真正赋予实权的情况并不多，更常见的是这些风控部门偏向于情报收集整理的参谋功能。因此，企业的内部控制始终缺乏足够的前瞻性和预见性，无法将风险控制做在事前，而只能在事后补救的不良循环中难以自拔。更有一些企业的内部控制缺乏整体化、全局化考量，不同部门之间的内部控制制度互不关联且无法彼此牵制，一些部门甚至存在内部控制和矛盾冲突的问题。这不仅造成企业内部控制工作成效欠佳，自然也难以有效掌控风险，同时也会在相当程度上制约企业长远发展的规划与实施。

三、基于风险管理的企业内部控制优化策略

（一）转变观念，加强重视

意识决定行动。企业长期以来在内部控制环节存在种种问题，很重要的原因之一就是管理层缺乏足够重视，尤其是对风险管理的关注。要使企业基于风险管理不断优化内部控制，企业管理层就需要率先转变观念，特别是改变急功近利的短期管理观念。只有在企业的战略规划中给予风险管理和内部控制以足够的重视，才能最终实现基于风险管理的企业内部控制的优化与创新。

企业管理者必须首先成为风险管理与加强内部控制的实施者、宣传者、监督者、推广者，要开展自上而下的宣传推广甚至教育培训工作。企业管理者不仅应当成为开展风险管理和加强内部控制的带头人，还需要将风险管理与内部控制作为建设企业文化的重要形式与内容，要带领全体员工在整个企业营造出全面风险管理和持续优化内部控制的良好氛围。

（二）从管理到技术层面全面内部控制提高风险防范能力

有了意识上的重视，还需要在具体的管理层和技术层上全面推行内部控制尤其是风险控制。管理层面主要是加强对内外部环境的监控、提高反应速度。比如建立健全内部风控机制、定期组织环境研判活动等。企业不能只留意与本企业有直接关系的行业消息或对手等的发展变化，还需要同时关注到国际贸易基本面、国内宏观政策面的动向、行业前沿技术的研发与应用等。应当利用一切可用技术与手段并结合历史经验全力发现和摸索市场、行业的动态变化特点或规律，应及时跟进并主动调整已显陈旧的管理模式与手段。企業需要尽全力使自身保持足够的环境适应性并设法跻身决策的制高点，保持足够活跃的应变度，由此提高内部控制和风险管理的成效性。

至于技术层面则是指企业使用一切合理合法的技术手段将潜藏的风险分散、转移、规避或降低。常见的方式主要有丰富的营销手段与投融资的多元化等。比如面对一项潜在收益可观但潜藏风险同样巨大的项目时，企业不妨联络同行共同投资，虽然收益需要分享，但风险也有人分担。又如避免单一融资可能造成的渠道不畅或资金匮乏现象，采取内部融资结合国际融资的综合模式弱化与分散风险等[2]。

（三）充分利用前沿技术以创新提升风险管理与内部控制能力

前沿技术的利用在信息时代中对企业的生存发展越来越具有至关重要的作用。就以次贷危机为例，仅仅一年时间内，华尔街最负盛名的五大投行有三家轰然倒地，只余下摩根斯坦利与高盛。而摩根与高盛之所以能够在废墟中屹立不倒，根源是其建立在互联网理念和技术之上的风控体系和预估机制。由此，摩根与高盛具备了相对及时和准确的市场风险控制管理能力，不仅在危机袭来时及时转型成为商业银行控股公司，保住了相当的市场份额，而且抵抗住了金融风暴的重压并存活至今。

大数据、云计算、网络技术不仅是炫目的理论，也是现实世界中企业基于风险管理提高内部控制的良方和利器。这些前沿技术能够让企业的内部控制与风险管理实现实时动态化，让决策层、管理者乃至具体的业务操作人员了解和掌握企业内外部环境的变化。并利用技术实现量化管理，从而让曾经隐藏的风险得以逐渐显性和清晰，这无疑能够更好地提升企业内部控制的精准度和风险管理的成效性。

四、结束语

企业基于风险管理的内部控制是一个由管理实践中出现错漏而引发的动态修正与优化过程。随着客观经济环境中越来越多个案的显现，基于风险管理的企业内部控制也必然会相应地推出更加全面、详尽、规范、系统的管控条例与举措，这样的优化是一个与时俱进、螺旋式上升的演进过程，不仅要借助先进技术支持在实践技巧上升级换代，也要在思维模式、管理意识诸多方面推陈出新。这既是企业提升内部控制水平以强化风险管理能力的现实需要，也是整个行业顺利度过转型升级关键节点并实现可持续发展的必由之路。

参考文献

[1]丁友刚，胡兴国.内部控制，风险控制与风险管理：基于组织目标的概念解说与思想演进[J].会计研究，2007（12）：51-54.

[2]李春瑜，王凡林.基于风险管理的内部控制框架解读[J].会计师，2007（11）：38-40.

作者简介：阎晓青（1981-），女，山西太原人，本科，会计师，从事会计工作。endprint