基于风险管理的企业内部控制研究

■郑启超 安徽安科生物工程（集团）股份有限公司

后疫情时代下，随着我国企业数量及规模的快速扩张，以及市场经济体制的不断完善，企业经营、管理与发展所面临的风险、竞争压力也越来越大。在如此复杂的经济环境之下，企业必须要正视市场风险、竞争压力，并通过内部控制来应对日新月异的经济环境及外部压力，从制度层面上来不断地优化、调整企业各项生产经营活动，确保企业正常运转。而基于风险管理对企业内部控制展开研究，就是要从风险管理的视角，通过对企业发展内外部风险问题的分析与探究，灵活地将风险识别、风险评估等方法应用到内部控制之中，在风险管理这一框架下构建内部控制体系、工作机制等。鉴于此，基于风险管理视角考虑企业内部控制是非常必要的。

一、内部控制理论概述

1.内部控制的含义

内部控制是企业或是单位内部为了更好地发展，实施了各种制度、计划、程度等，以达到内部资源利用效率最大化、经营效益持续提升的做法、环节等总和。内部控制需要企业或是单位总体人员共同参与，这一概念最早由西方发达国家指出，我国对内部控制的研究起步较晚，但随着国家经济快速发展，普遍提倡企业持续强化内部控制，并结合企业内部控制实际情况，不断地完善企业内部控制的法律规范。

2.内部控制与风险管理之间的关系

（1） 关于控制与风险管理的内在联系紧密

内控控制与风险管理之间的关系，学术界大致有这样的三种看法：第一种观点主张风险管理包括了内部控制，美国的COSO会议（2004）指出，内部控制是风险管理的主要部分，二者是有机统一的整体。第二个观点则主张风险管理是内部控制的一部分，而英国CICA管理会议（1999）则指出，内部控制应当包括了危险的发现和降低，但赞同这个观点的专家相对较少。第三个观点则指出，控制和风险管理是逐渐走向融合的，并具有实质上的区别。本文认同第一种观点，并由此对企业内部控制展开分析。

（2） 内部控制和风险管理所监控的侧重点有所不同

从内部控制与风险管理人员的定义中可以发现，它们所监控的侧重点完全不同。通过内部控制制度发展中所经过的五个阶段可以发现，内部控制的发展主要是指规章制度的发展与完善的过程，但它的最主要目的还是通过建立相应的内部法规制度来对企业的活动加以规范，并保证企业的顺利运行。而内部风险管理则有所不同，它的管理范畴较内部控制制度下对经营风险的规避要求更加广泛，是对传统内部控制方法的一种延续与拓展。

（3） 风险管理一直是企业内部控制发展的重点方面

按照美国COSO委员会（2004）的看法，企业风险管理是建立在内部制度整合框架基础上的，也是对传统企业内部管理形式的拓展与延续，企业内部管理也包含于企业风险管理。而随着国内经济国际化步伐的推进，国内企业在迎来了更多机遇的同时也面临着更多的潜在风险，以企业内部风险管理为基础的新内部管理形式，将会为企业的生存与发展带来更多的空间，因此企业内部风险管理也将随之成为国内企业内部管理发展的重点方向。

二、风险管理视域下我国企业内部控制现状分析

1.缺乏风险管理意识及绩效关联程度

首先，企业的内部控制中没有风险管理意识。随着我国有关规定要求在企业的经营管理流程中开展风险管理，不少企业也进行了一些关于企业内部风险管理的工作，比如，撰写有关企业风险管理人员的基本报告等，但经过比较深入的调查研究之后发现，由于现阶段很多企业内部人员对关于企业风险管理的工作意识还很欠缺，所以我国大多数企业尚未形成注重风险管理意识的文化氛围。在企业各个部门的内部控制中，人员并没有匹配相关的岗位风险管理知识，在内部控制的过程中也没有融入风险意识。

其次，企业的内部控制与员工管理程度相对较低。现阶段企业的绩效考核工作管理通常和营业收入、成本费用管理、融资效益和产出绩效等指标有关，但是没有对企业内部控制的绩效考核机制，企业内在的管理风险得不到有效防范，使企业无法推进内部科学管理化以实现企业战略目标，企业内部控制秩序不佳。

2.企业战略目标及风险评估机制缺乏技术支撑

企业的战略目标是企业长远规划和经营的指向，但现阶段许多企业的战略目标并未加入内在管理因素，往往只注重了产品、经营、合规等目标，企业在寻找产品创新、市场拓展以及产品结构上跑得更远，而企业内部的制度管理也无法跟随企业外部拓展的脚步，在企业战略目标上，内在管理规划处于缺位的状况。

另外，企业如果想要稳固市场地位，需要有相对稳健的管理体系，但不少企业没有确定自己未来的核心价值与企业愿景，对规模很大的企业集团来说，子企业的发展策略计划无法与企业整体相吻合。在经营风险管理中，许多企业在经营风险评估中迫切需要改进。企业目前没有科学合理的风险评价办法，企业当前经营主要依赖风险管理或依靠经验分析预测，结果往往产生了较大的主观性，由于缺乏完善的风险评价制度和量化的科学计算方法，企业难于建立完善的风险评价制度，而风险评价不真实、不客观也会造成企业之后的风险管理难以为继。

3.没有风险管理信息共享平台

随着企业规模的增加，企业部门结构和员工职务设定也越来越繁杂，企业各个层次、各种部门之间的管理信息沟通与交流也复杂而困难。当企业建立基于风险业务管理的内部控制系统时，由于缺乏良好的内部信息共享与交流，往往会导致企业的内部控制效能降低。

现阶段，企业内部控制系统中的内部信息共享与沟通还面临着不少障碍，企业内部大多未能搭建起风险管理信息共享网络平台，而内部控制中的信息沟通板块功能也只是通过上级机关直接向基层传递和接收信息信号，进行风险业务时管理所需要的风险评价、风险预警等关键数据也无法建立与入库，从而造成了风险管理内部的控制工作信息低效。

此外，企业内部控制也没有风险管控报告会议机制。企业风险管理作为现代企业管理中的重要环节，目前不少企业在商务会议交流时却忽略了这一环节，在议程中并未对企业经营风险管理作出定期汇报与研讨，缺乏正确的经营风险信息汇报制度，无法在企业内部建立良好的风险管理气氛。

三、基于风险管理的企业内部控制建设与发展对策

1.基于风险管理整合企业内部控制框架

（1） 企业治理机制的整合

管理机制的重整，是基于企业风险管理的一个管控系统的核心。一家企业不能有多个机制同时并行，因此一切的运营控制活动必须在一种统领性的管理机制内进行，而这种管理机制便是企业的风险管理体系。将内部控制、风险监控、财务管理等融入风险管理体系中，将内部控制视为风险管理职能作用的行为表现，为企业的风险管理提供合理的保障。这样在一种管理体系下，企业的管理人员可以清楚其活动在整个管理机制中的地位和影响，从而提高管理过程控制的精度，从而进一步完善管理活动。

（2） 组织目标层级的整合

企业核心层级的确立是内部管控结构的重点。在企业内部控制和风险管理整合的进程中，关键是风险管控的基础、核心和边界问题，而又以核心整合为基础。COSO出版的《企业风险管理——整体框架》在企业风险管理的三项指标基础上新增战略目标，而这之前的内部控制主要以提高管理质量与效率、财务报表的准确性以及资产的稳定性等为核心。基于风险管理的企业内部管控中将合规性风险管理对象纳入其中，在战略目标的指导下，将企业实物风险管控内容纳入了风险管理的报告范围中。

（3） 信息共享与控制的整合

信息共享与控制系统的整合，是企业实现内部控制有效性不断提高的基本要求。从信息论的观点出发，现代企业中基于信息风险管理的内部管控系统的形成，也正是基于对信息资源的社会价值获取和信息风险防范。企业构建安全的共享信息系统，在内部可以确定各层次标准、增进内部沟通、建立完善的内部控制平台，不断评估和改进内部控制活动；在外部能够进行内部风险管理，及时发现和管理外部潜在问题，同时收集外部关键数据。

2.建立基于风险管理的内部控制体系

（1） 突出风险管理理念

由于国内多数企业存在风险管理意识淡薄、内部控制落实不到位等现象，想要进一步践行风险管理理念，企业就必须要尽快建立内部控制基本制度，使内部控制和企业风险管理相互融通，逐步形成以企业风险管理为导向的内部控制体系。

（2） 加强内部控制环境建设

首先要确定企业发展目标，突出战略思维，并深入分析企业所面临的内部结构环境，明确企业优势与劣势，机遇与挑战，并根据企业目标提出企业的发展战略目标。逐步形成内部控制理念，将风险管理纳入企业价值与发展目标和企业战略中，形成企业文化与经营风格，突出风险辨识评估，并逐渐改变企业的内部控制方法，把风险管理作为企业的总体发展战略。采取日常信息沟通、及时评价、奖惩和制约措施等方法，把企业的发展战略、内部控制目标和风险管理理念传递给每一位职工，逐步建立对员工管理的激励机制。

其次，要强化企业员工职业道德建设与行为准则规范建设，进一步增强企业内部控制的能力。要重视对企业员工的激励与约束，将企业文化中加入职业道德与价值观，明确企业人员必须做什么，不必须做什么。加强对企业员工年终考评，将企业员工的年终业绩与工资相挂钩，并鼓励企业员工主动服从与落实。

（3） 逐步完善企业法人治理结构

逐步形成以股东大会、管理人员、监督、管理人员为基础的现代企业管理框架。更注重独立董事的法律地位，以充分发挥独立董事在企业组织中的基础地位。在企业管理层设立专门委员会，以完善内部风险管理与监控。建立了健全的风险管理制度，对企业存在和发生的风险实施了事前辨识，事中评价和事后预警。对风险加以分类，并采取了差异化的处理方法。明确区分了企业内在因素与外来风险，通过量化和定性相结合的方法合理化解风险。构建了财务风险和内部风险预警评价体系，及时发现重大问题，并把企业损失控制在可以承受的范围内。

（4） 完善以内部审计为基础的内部监督制度

加强风险导向审计，提高了内部审计的独立性，增强了审计的专业素养，在审计过程中强化了对企业内部控制水平的评价，形成了完备的企业内部控制评估框架。要加强监管能力，适时公开内部控制的有关资料，帮助员工及时发现内部控制漏洞，完善内部控制，提高内部控制的实效性。

3.基于风险管理构建内部控制长效工作机制

（1） 优化内部控制设计企业的内部控制体系

企业管理者应充分考虑内部风险管理的要素结构，把风险管理渗透到企业内部的管理体系建设中去。而根据这一理念，企业在进行内部风险管理之前一定要先全面了解COSO内部控制的五大要素框架，从整个企业的内在管理框架上进行完善管理建设。首先，企业一定要从追溯风险管理本源入手，充分利用整个企业人力资源，培育高素质人力资源团队，并进行资源要素的内部流动和管理机制的改革创新。其次，企业还需要在原有的内部控制系统上加以创新完善，包括建立量化风险的评价体系，以及建立风险管理信息系统，而内部控制结构的完善就必须有具体的管理标准，力求形成主动地、灵活地基于风险的内部控制结构，从而全面提升对企业的风险管理的控制能力。

（2） 建立风险评价制度，成立专业的风险管理委员会

为达到内部控制目标，提高风险处理水平，增强经营者和职工的风险意识，必须完善风险评估制度。在建立风险评估制度过程中，必须建立风险严重性评估指标积极处理风险，以提升企业运作质量，从而提高领导层的经营水平，减少风险，改善经营效益。同时还应成立专业的风险管理委员会，主要审核企业内部控制设计方案，内部控制评估指标与缺陷准则、审定风险评价指标，以及审核年度的内部控制评估报表和风险管理文件等。在必要时，还应委托专门评价组织审核，但亦可临时委托中介机构以及有关领域专家学者参加审核，对企业风险判断提出专业建议。

（3） 在风险导向内部控制体系下完善监督体系

企业通过使用自己的内部审计机构实施定期评价，将持续监控贯彻于企业运营与控制行为的始终。长期有效地监控，可以降低企业会计信息滞后率和信息不对称，从而主动地适应企业内部条件的变迁。内部审计机构由董事长直接主管，并向董事长和股东报告，以便自主地进行内审操作。审计项目也要具备整体性，涵盖整个部门的项目。同时，也要建立风险评价体系和内部审计体系，将风险评价与预警体系嵌入内部监督系统，最大限度地防范与避免经营风险。另外，企业还需做好财务交叉部分的互相监督，业务经理和员工之间的互相监督，因此，企业经营机构与企业机构之间可以交叉监管。需要按照以往成功经验进一步细化的监管机制与程序，推进内部监控活动的规范化。

四、结语

综上所述，通过对我国企业现阶段内部控制现状以及内部控制与风险管理二者关系的分析，在后疫情时代下我国企业，应在COSO内部控制的理论框架上，以风险管理为企业内部控制优化、强化的导向，切实将风险管理作为企业内部控制的主体框架，进一步加强风险管理与内部控制的融合，通过优化内部控制设计、完善内部控制体系、优化内部控制制度等措施，让企业资金、财务、经营等各方面管理更为高效、安全，以便更好地实现企业战略发展目标，在市场竞争中取得优势地位。