基于风险管理的内部控制体系研究

马力

摘要：随着我国市场经济迅速发展以及资本证券市场逐渐成熟，我国企业面临的内外部环境越来越复杂、企业间竞争日益加剧，风险因素已成为影响企业目标实现的重要因素之一。风险影响着每个经济单位的生存能力和竞争能力。许多企业已逐渐意识到风险管理在企业管理中的重要地位。建立规范、有效的内部控制体系，将风险控制在一个合理的水平上，这已经成为企业经营实现战略目标和维护企业持续经营的一个必要条件。在长期的实践中，内部控制和风险管理的理论不断改进和变化，两者在目标、程序、控制方式上呈现趋向性，内部控制与风险管理逐渐走向融合。本文主要对内部控制与风险管理进行积极的探索和研究，理论依据主要来自美国cOs0委员会1992年颁布的《内部控制统一框架》和2004年颁布的《全面风险管理统一框架》的内容，阐述了内部控制和风险管理的概念、框架以及两者的联系和区别，在我国内部控制存在的问题进行深入分析基础上，构建风险导向的内部控制体系，来不断完善企业运营管理，降低企业各种风险，保证企业生存和发展。

关键词：内部控制；风险管理；企业；cOs0

当前市场竞争越发激烈，风险几乎无处不在，时刻威胁着企业生存与发展.为保证企业可持续经营、健康发展，许多企业构建了比较规范的内部控制体系。内部控制可以帮助企业防范舞弊、堵塞漏洞、降低内部管理风险、提高经营效率和效果，但是对于防范和控制外部不确定性因素仍然存在一定的局限性。而风险管理贯穿企业各个方面，更加重视战略风险和经营风险。所以，将内部控制与风险管理有机结合，从风险管理角度来设计与完善企业内部控制是必然趋势。

一、内部控制和风险管理的理论和关系

（一）内部控制和风险管理的理论

1.内部控制理论

随着经济发展和内部控制体系的发展，内部控制的概念不断改进。其中，比较权威、影响力比较大的是美国cOs0委员会1992年发表了cOs0报告，也就是著名的《内部控制一整合框架》。cOs0报告核心内容包含内部控制定义、三个目标和五个要素。内部控制定义为“是一个由企业董事会、管理层和其他员工实施的，为达到经营的有效性和效率、财务报告的可靠性、相关法律和法规的遵守性等目标提供合理保证的过程。”三个目标为经营效率与效果、财务报告可靠和遵纪守法。五个构成要素为控制环境、风险评估、控制活动、信息与沟通和监测活动。这些概念的提出，为内部控制系统的建立、评价提供了一套完整的标准。报告中蕴涵了许多的理念和思想，也对现在的企业管理、财会工作和独立审计都有着重要影响。

2.风险管理理论

cOs0委员会于2004年颁布实施了《全面风险管理统一框架》。在全面风险管理框架中，明确将风险定义为“对企业的目标产生负面影响的事件发生的可能性”，区分了风险和机会，体现出管理者尋找机会及控制风险的思路。企业风险管理定义为“是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证”。风险管理框架中，内部控制要素由五要素增加到八要素，增加了3个要素即目标设定、事件识别、风险对策，风险管理流程更加清晰、顺畅。风险管理框架在三类目标基础上增加了战略目标，扩大了报告目标的范畴，同时，对原有要素也进行了深化和拓展。风险管理范围与内容扩展到战略管理，战略目标层次高于其他三类目标等，这是新报告的重要变化。

（二）内部控制和风险管理的关系

1.主要区别

从cOs0委员会1992年颁布的《内部控制统一框架》和2004年颁布的《全面风险管理统一框架》内容看，两个框架都强调了企业全员参与、运行动态管理、保证实现目标几个观念，以及有5个要素是重合的。但风险管理框架与内部控制框架比较，增加了目标设定、事件识别、风险对策3项要素和战略管理目标。风险管理在目标、内容、要素范畴等方面对内部控制进行了延伸和扩展。风险管理框架还提出了风险组合与整体管理的观念，引入了风险偏好、风险容忍度、风险对策等相关概念和方法。从实质上看，内部控制是企业内部管理的一项职能，而风险管理包含企业管理的各个方面，贯穿整个管理的全过程。

2.主要联系

从内部控制和风险管理的发展趋势来看，两者有相互融合发展的趋向。在实际管理过程中，内部控制基于风险控制目标，采取措施将识别与分析出的风险控制在企业可以接受的范围之内。内控机制制定和实施的依据主要是风险，风险越高、越重大，就必须采取更多的内部控制措施。内部控制是企业实施风险管理的有效手段和措施，企业内部控制的健全、有效影响着企业的风险管理机制。风险管理是企业设计、实施内部控制体系的目的。风险管理拓展了内部控制的内涵，是内部控制的发展与完善的必然结果。如此看来，企业的内部控制与风险管理是相互依存、一脉相承的。

二、基于风险管理的内部控制现状及分析

（一）内部控制环境不良

我国企业存在着内部控制环境紊乱的问题.主要体现在治理结构控制缺失、组织机构控制缺失、对内部控制管理重视程度不够、职责分工与制约不清晰等情况。在实际运行中，没有按照公司章程和制度规定的职责和权限进行，董事会没有发挥预期作用，存在不合理治理结构的问题，比如应当由董事会做决策的事项，而由经理办公会直接进行决策。企业为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但缺少满足企业监控职能的机构或机构独立性差，使得对经理层的权力缺乏必要的监督和约束。企业组织机构设置不符合内部控制中不相容职务分离和程序控制的要求，存在职责不明，流程运行不顺畅现象。如企业的董事长和总经理为一人，董事会成员和总经理班子人员重叠，权力过分集中于董事长或总经理，违背了内部控制的基本假设，必然带来权责不清、制衡力差的结果。此外，企业员工作为内部控制运行的主要参与者，职业素质与修养的高低、执行力的强弱也影响着内控体系的运行。团队和创新精神缺乏、企业文化建设缺失等，也会使得内部控制与风险管理流于形式。

（二）风险管理意识薄弱，风险管理体系不健全

我国多数企业风险管理方面比较薄弱。一是没有设置专门的风险管理部门或风险管理部门，独立性差，不能开展风险识别、风险评估、风险控制工作。当前企业所遇到的不确定因素越来越多，设置专职机构来管理和控制风险尤为重要。二是缺少健全的风险识别和风险预警机制。风险信息的收集、识别与分析工作较滞后，风险决策机制、方法不科学，交易决策的主观随意性和盲目性较大等，导致企业缺少有效的风险管理。三是未进行全面评估体系管理，风险评估方法不健全，未采用定性与定量相结合的方法来评估风险。企业应建立持续、动态的风险评估体系，来保证企业内控体系良好运行。四是企业建立了风险管理机制却没有得到有效执行，发现了风险而没有采取适当的管理措施来避免或降低风险，造成企业重大损失。

（三）信息沟通不及时

信息与沟通是内部控制各个要素间连接的桥梁，对内部控制的深入执行、整体战略目标及企业经营目标的实现有重大且直接影响。在我国，信息与沟通频率很低，只发挥了传递信息的作用，执行也不到位，达不到提高效率的目的。企业相对重视管理层之间的信息与沟通，但对外部渠道、管理层与员工之间的信息与沟通不够重视。企业重要信息受到管理层控制，信息传输时效性差、信息内容不全面、实用性弱等，造成下层员工盲目听从上层指挥，工作效率极低。此外，下层员工对内部控制运行过程中发现的问题未能及时反馈给上层领导或缺少信息沟通渠道，管理者不能及时发现企业风险，做出不符合企业管理实际的决策，影响企业正常的经营生产。

（四）内部控制监督机制不健全

内部监督是实施内部控制的重要保证，是改进内部控制薄弱环节的有效手段。审计机构作为内部监督部门，缺乏必要的独立性，使得内部审计形同虚设，监管不到位。企业开展了内部控制体系评价，却未在有效实施上发挥作用，只是走形式。企业内部审计机构提交了风险评估报告、内部控制评价报告，却没有对缺陷整改进行跟踪落实监督，未形成一个持续、动态的良性循环。企业应不断检查内部控制是否能够控制风险，来保证对风险的管理是有效的。除此之外，企业没有建立内部监督考核机制或建立了考核机制而考核指标欠科学或难以量化等问题，也使得内部监督有效性欠缺。

三、构建基于风险管理的内部控制体系

（一）创建良好的内部环境

内部环境是企业实施内部控制的基础，对内部控制的建立和实施起着非常重要的作用，对实现控制目标有重要意义。营造良好的内部环境，第一要完善法人治理结构，建立权责清晰的组织体系。通过合理的组织结构设计和职能安排，形成有效制衡的法人治理结构，保证内部控制和风险管理有效实施。第二要把风险管理理念融入到企业文化建设的全过程，培养全体员工的风险意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业管理目标达成。第三企业要建立有效的风险管理制度和内部控制制度，通过制度规范每一个员工的行为，提高员工工作自觉性和执行力。除此之外，企业也可以通过完善风险管理信息系统、风险事故应急机制等多种方式，防范企业各类风险。

（二）完善风险评估活动

企业应建立持续、动态的风险评估机制，根据公司内部资源和外部环境条件的变化，定期或不定期的实施风险识别，不断完善风险清单和风险数据库。风险分析应采用定性与定量相结合的方法，识别风险发生的可能性和分析预计带来的后果，确定重点关注和优先控制的风险，并基于成本效益考虑，选择合理、有效的风险应对策略。企业通过信息化辅助风险管理，建立风险预警系统，将重大风险的承受度分级、分类，便于企业做出快速反应、适当决策。同时，为保证风险应对策略的有效执行，企业应建立相应的考核与激励机制，加大风险防范与管理力度。

（三）业务流程层面的内部控制

企业内部控制是一个过程，这个过程需要通过纳入管理过程中的大量制度及控制活动来实现。控制活动是企业在实现既定目标过程中对可能遇到的风险制定和实施相关措施的过程。控制活动是实施有效内部控制的关键步骤，是风险应对策略的具体实施途径，与风险应对的联系是一体的。进行业务流程层面内部控制设计，首先根据风险控制目标来设计业务流程，要考虑目的是什么，然后考虑谁来实施、实施什么、怎么实施的问题。设计内部控制要结合企业具体业务和事项的特点和要求，将业务融人到控制活动流程当中，明确风险控制措施和执行部门。一个企业，所涉及的业务是多方面的，因此针对业务流程内部控制的设计是多方面的。企业控制活动的建立、流程的设计、风险控制措施等的选择，应根据企业的实际情况因地制宜、灵活运用，才能达到防范风险的目的。

（四）完善信息与沟通

实施有效内部控制的信息主要考虑信息来源与收集、处理与分析及报告等。收集、处理、传递信息的方法和方式多种多样，因信息的不同而有所差异。企业应对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。信息方面主要控制措施包括建立内、外部信息的收集机制，信息筛选、分析和报告制度，以及建立完善信息系统等，确保信息必须及时、准确的传递给需要的人，以帮助其行使各自的控制和其他职能。

企业对在信息沟通中发现的问题，应及时报告并加以解决。建立良好的沟通渠道，具体的方法包括开辟员工信息反映渠道，使经营管理层能够获得特殊信息和合理化建议；通过文件会签、办公会议、内部刊物等多种形式，向员工传达企业信息；建立外部沟通渠道，接受客户对产品、服务及其他事项的投诉、建议等，利用媒体、广告、公关等有效手段，提升企业形象。

（五）强化内部监督

要保证内部控制切实执行且执行的效果良好，内部控制必须被监督。内部监督是对企业内部控制制度健全性，方法、流程的合理性，执行的有效性进行全面监督。企业应建立内部控制管理制度，明确内部审计机构或其他机构的职责权限，规范内部监督的程序、方法和要求，保证审计机构的独立性、权威性、专业性。我国审计署于2018年1月修订了《关于内部审计工作的规定》，要求国有企业应当按照有关规定建立总审计师制度，来增强内部审计独立性。通过国家法规保证保障内部审计工作的权威性。同时，企业应定期或不定期的实施风险导向性内部控制审计，识别影响发展目標实现的风险因素，及时制定有效措施，督促内部控制缺陷及时整改，维护内部控制体系的健全有效。同时，企业应建立内部监督考核机制，通过科学的方法确定考核指标，与企业管理层和员工绩效奖金挂钩，强化内部监督。此外，企业应加强内部控制信息披露，使企业管理者、员工都能了解自身内部控制的设计与运行情况，增强内部控制与风险管理意识，凝聚企业力量。

四、结束语

风物长宜放眼量，不畏浮云遮望眼。稳固的内部控制是抵御风险的重要防线，是投资者有效的保护伞。建立风险导向型内部控制体系，将内部控制与风险有机融合，可以有效防治舞弊欺诈的发生，提升企业风险防范能力，促进企业可持续发展，实现企业总体战略目标。

参考文献：

[1]张宇，全面风险管理框架与内部控制框架的比较分析[J].山东纺织经济，2010（05）：32.

[2]陈矜，张艳.基于风险管理的企业内部控制研究[J].湖北经济学院学报，2013（04）：88-89.

[3]李莉，论企业内部控制的风险管理机制[J].企业经济，2012（03）：53-54.

[4]黄捷，企业内部控制与风险管理存在的问题及对策研究[J].会计师，2017（01）：48.