查贵良 杨维杰

一、企业内部控制与风险管理

1.基于风险导向的企业内部控制的定义及目标

企业内部控制是指由企业董事、监事、经理人员和其他关键人员制定的对所有影响企业可持续发展的风险进行有效控制的制度体系以及由企业所有成员严格执行制度以实现有效控制和风险管理并不断自省和完善的动态过程。董事会对企业内部控制的建立和实施负责。

企业内部控制的目标由总体目标和具体目标构成。总体目标是指实现企业价值最大化，具体的目标包含确保企业的生产经营活动合法合规、提高经营活动的效果、真实完整的反映企业的财务状况。总体目标与具体目标相辅相成，促进内部控制的实现。

2.内部控制与风险管理的联系

企业内部控制与风险管理是相辅相成的。内部控制在于确保企业的生产经营活动合法合规，保证企业的资金资产安全完整，能够提供真实可靠的财务信息。而风险管理是采用各种方式来评估和管理企业风险，将风险控制于可以承受的范围内，有利于企业实现内部控制的目标。从本质上来说，内部控制与风险管理的目标一致，随着企业逐步地关注外部风险，内部控制将逐渐地与风险管理融合，成为在风险管理导向下的内部控制体系。

二、基于风险导向的企业内部控制的要素

1.内部环境

内部控制的基础是内部环境，环境在很大程度上影响了内部控制是否能够良好的实施。内部环境中包含硬环境与软环境。硬环境是指设置和安排企业内部机构的职能，软环境是指企业的文化、经营方式和人力资源政策。设置企业内部的各个部门是指防范企业的内部风险，让企业的固有风险有所制衡，例如分离不相容的职责。分配职责是指合理安排各个部门和各个员工的工作任务，并形成良好的监督和制衡关系。

2.控制活动

控制活动是指企业根据风险分析的情况，采用一定的措施，有效的控制风险。根据不同的风险事项，可划分控制活动为两种类别，分别为一般控制活动、特别控制活动。一般控制活动是指控制一般的风险事项，特点为数量多、原则性强。特别控制活动在于控制特别的风险，特点为灵活度高、变化性强。企业应当设置风险管理部门，特别关注特别风险，确保及时的控制和解决所有的特别风险。

3.信息与沟通

信息是指与企业内部控制相关的所有信息，包含内部信息与外部信息，形式多种多样，包含电子、纸质、传媒等等。沟通是指拥有信息的主体进行互相的交流，包括企业各个员工之间的交流、企业内部与外部之间的交流。企业应该采用各种方式获取内部信息与外部信息，并有效将信息在企业内部进行分享。

4.内部监督

内部监督是指企业监督、检查、管理内部控制的设置和执行情况，发现内部控制中存在的缺陷并及时反馈。内部控制不仅与管理层相关，还与审计委员会、企业各个员工密切相关。企业内各个员工都拥有监督和检举内部控制的权力，而且越多的使用权力，内部控制越完善。

监事会负责实施监督行为，制定如何界定内部控制缺陷，明确每个员工监督管理内部控制的职责，建立健全检举内部控制缺陷制定，完善保护检举人制定，明晰检举渠道，营造检举内部控制缺陷的氛围。一旦发现内部控制缺陷，应及时与相关人员沟通，并向管理层汇报，分析缺陷产生的原因及其性质，明确更正缺陷的方案，并实时跟踪缺陷整改情况。

内部监督可以分为日常监督与专项监督。日常监督是指监督、管理、检查日常性的内部控制活动，专项监督是指监督、管理、检查企业特别事项的内部控制活动。日常监督应该充分发挥每个员工拥有检举内部控制缺陷的权力，专项监督应该关注特别风险的性质并积极应对。

5.自我评价

自我评价是指企业定期或不定期的分析和评价内部控制是否有效，并出具内部控制评价报告，需对外进行披露。企业应该成立内部控制委员会或聘请外部专业的内部控制结构执行自我评价工作。自我评价工作完成后，执行自我评价的相关负责人应在内部控制评价报告上签字，对所披露的信息负责。自我评价包含两方面：合理的设置自我评价方案、有效的执行自我评价方案。内部控制评价报告中应该包含企业的评价方式、执行过程以及最终结果，对于评价结果应详细说明，不能一句话带过，应说明内部控制是否有效，无效的地方是设计无效还是未有效执行，目前内部控制缺陷在哪，是否制定整改计划，是否有效执行整改计划。报告最后应当在附录中详细说明两个问题：一是所评价期间对重大风险的识别、评估及控制情况；二是所评价期间对重大控制缺陷的发现、整改及再监督情况。

三、完善基于风险导向建立内部控制的建议

1.完善公司治理结构

三鹿集团的破产原因之一在于内部环境比较恶劣，机构设置及权责分配不合理。我们从田文华的高度集权(田文华，原三鹿集团党委书记、董事长、兼总经理)就可以看出三鹿很难有强有力的内部牵制，治理结构不完善。企业的内部控制应该从公司治理结构入手，整合组织结构、业务流程、资金运营和会计工作与审计体系。公司治理是股东、董事会、监事会、经理层之间形成的权责分配、激励与约束和权利制衡的关系。科学的公司治理结构包括民主、透明的决策程序和管理议事规则。高效、严谨的业务执行系统以及健全、有效的内部监督和反馈系统。实行公司治理的关键是实施相互制衡的共同治理，主要治理人有股东、董事会、监事会、经理和银行。

2.识别重要风险并建立风险评估和回应机制

首先应建立风险识别制度，完善企业的风险预警系统。企业的风险预警系统是指分析一系列的指标，检查是否出现不符事项。风险预警系统包含分析风险的组织模式、设置会计信息系统、收集财务信息、传递各种信息以及风险分析机制。风险预警系统能够有效的收集各种信息，并通过分析这些信息发现企业的内部控制是否存在缺陷。企业应该按照管理的流程，从每层组织开始，并考虑企业外部风险，从下而上的进行。当然，一个完善的财务风险预警制度应该包含有效的内部控制制度、监督管理制度，否则财务风险预警制度无法完善的执行。由于各个企业的经营方式不同、企业规模也存在差异，企业应该根据自身的情况来设计风险预警系统，让风险预警系统符合企业的特征，满足企业要求。

其次建立风险评估制度，正确的评估企业的风险水平。完善的风险评估制度应包含风险评估标准、风险评估方案、风险评估准则。因此，企业应设置各个风险指标的标准值，尤其是明晰风险高低的临界值以及风险范围，方便企业使用，风险范围太大或太小都会影响风险评估的效果。从总体上来说，风险评估方法可以分为定性评估方法和定量评估方法。在风险评估的过程中，企业应该分析自身最关键的问题是什么，哪些会严重影响企业实现自身的目标，在风险评估的过程中使用定量评估方法还是定性评估方法，并且还需确定衡量风险的单位和衡量风险的模型以确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。从而可以有效的了解风险的级别和程度。另外，完善的风险评估机制需使用完善的风险制度来规范，因此企业应制定与企业相适应的规章制度，约束和管理风险评估人员，确保有效的实现风险评估。

最后企业应建立健全有效的风险应对制度，增强抵抗风险的能力。企业面临的风险具有多样性、复杂性的特征，这样要求企业建立健全相应的制度来应对风险、有效的管理风险，只有企业能够组织化的运作风险，这样才能足够的重视风险并真正的运作。企业可以单独设置一名财务人员进行风险管理，职责在于预测、分析、控制、应对企业的财务风险，需及时的发现风险并有效的应对，建立健全风险管理制度。为了有效的防范未来可能产生的风险，企业应该从长远角度出发，建立健全企业的风险应对机制。企业可以采用如下方式，例如分散风险制度，即使用风险的分散方法，采取多样化经营、多方位经营来分散市场的产品风险；转嫁风险制度，即采取合法的方法和途径将风险转嫁给其他的企业承担，签订远期合同、实行承包经营方式、购买相应保险等转嫁风险至其他企业。在应对风险的过程中，企业应根据不同风险的类别，采取不同的方式，控制风险，促进企业达成其自身的目标。

3.实行风险导向内部审计，促进内部控制的监督和再控制

现代内部控制的作用之一是将风险管理制度贯穿于企业的各项管理活动。根据已经明确的企业目标来发现、管理、控制企业风险，促进企业实现自身目标。而风险导向内部审计是指内部审计人员分析企业的经营计划是否与风险一致，并在审计过程中贯穿风险管理。风险管理是一项重要的组织活动，内部审计的重点是识别风险并管理风险。内部审计在继续发挥评价内部控制执行的效率与效果的作用，并在一定程度上促进内部控制的完善，帮助企业保持有效的内部控制的同时，并参与管理企业风险，帮助企业发现风险、评价风险、控制风险，促进企业完善风险管理制度。风险导向的内部审计，一方面可以作为公司管理层的风险指南，另一方面可以作为企业发现风险、控制风险、管理发现、信息沟通、监督风险等方面的职能。可见，风险导向内部审计的功能是将风险作为最初的出发点，通过确证和咨询活动为内部控制提供能动的反馈，将反馈控制向事中实时反应以及事前前馈延伸。风险导向内部审计和现代内部控制两个要素以风险作为共同的语言，相互协同作用。其目标都在于增加企业价值，其功能实现了“1+1＞2”的整体大于部分和的效应，从而有力地促进内部控制的监督和再控制。

四、结语

综上所述，文章首先探讨了企业内部控制与风险管理，接着分析基于风险导向的企业内部控制的要素，最后探讨了完善基于风险导向建立内部控制的建议。在现实生活中，相信随着我国市场经济的发展和市场经济制度的健全，内部控制也会越来越完善。