张丽

摘要：随着市场经济的发展和企业环境的变化，现代企业不仅面临的困难日益增大，而且还会面临一定的风险，这个风险包含的内容是多方面的，而且这种风险已经成为影响企业发展的重要因素。虽然目前许多企业表面存在着其内部控制制度，但在内部控制制度的设计、实施和监督等环节，存在诸多问题。本文以风险管理为主导对企业内部控制体系的建立，进行了一定的分析和探讨，并提出了一定的见解。

关键词：风险管理；内部控制；体系；建立

1.风险管理与内部控制的概念简述

1.1风险管理简而言之是指如何在一个有风险的环境里把风险减至最低的管理过程。

国资委发布的《中央企业全面风险管理指引》中关于全面风险管理的定义是：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

1.2企业内部控制的概念

内部控制，其实质就是企业是为了保证经营活动的正常进行、资产的完整安全、会计信息数据的真实可靠等一系列经营目标的实现而对企业内部进行调整、约束、监督和评价的方法和措施的总称。企业内控的目的就是保证会计信息之准确可靠，防止操纵报表与欺诈，保护公司的财产安全，维护公司的名誉并避免经济损失等。

1.3 风险管理和内部控制的联系

（1）二者都是由企业管理层以及其他管理人员共同实施的，强调全员参与，各部门在内部控制或风险管理中都有相应的角色与职能。（2）二者都是动态的过程，而非静态，都渗透于企业各项活动之中，其本身并不是一个结果，而是实现结果的一种方式。（3）二者都为企业目标的实现提供合理、合法的保证。（4）二者在控制环境、风险评估、控制活动、信息与沟通、监督机制上是一致的。

内部控制是企业风险管理的一种手段，是企业风险管理不可分割的一部分；健全的内部控制是企业风险管理的基础；内部控制也应该是以风险为主导的内部控制，而不是单纯制度、政策或表面程序。

2.建立以风险管理为主导的内控制度应考虑的因素

2.1明确内部控制的目标。内部控制目标，是决定内部控制运行方式和方向的关键，也是认识内部控制的出发点。以风险管理为主导，建立可操作性强、富有成效的内部控制，必须对内部控制的目标进行清晰定位。具体体现在：（1）信息的可靠性。企业的大量事项是靠有关行为人接受企业的委托而行使的，故在委托条件下，受托人必须向委托人报告受托事项的真实履行情况，防止受托人制造虚假信息，故保证信息的真实是风险控制的一个基本目标；（2）企业资产安全的保障。在企业经营管理过程中，各责任主体因工作关系必然会占用一部分资产，而这些财物因控制或管理不当，有可能被侵吞，或被转移或被租赁，或被挪用等。所以，保障资产的安全当是风险控制的又一目标；（3）企业内部各种制度的遵守。有效避免所属分层各责任主体可能违反这些制度，保证各责任主体的行为合乎规范是风险控制的目标之一；（4）经营的效率与效益。企业的目标是生存、发展，要实现这些，必须保证经营的效率与效益，以实现企业价值的最大化；（5）根据企业实际情况，制订的其他内控目标。

2.2 明确内控对象及风险的控制范围。风险控制必须针对全员，而非只包括决策层，或普通员工。全员包括领导决策层、中间管理层和其他员工。风险控制亦包括企业的全部运行环节。在企业运行的各个环节、各个要素、各个主体之中企业的风险无处不在、无时不在。

2.3明确风险控制应抓好源头控制。风险控制必须从风险发生的原因进行识别和控制。风险控制可分为预防、发现和纠正三个环节，风险控制应该更多地关注源头控制和全程控制，而不是结果控制，即预防性控制措施应体现在内部控制的各个层面和各个具体控制关键节点上。在内部控制中强调关键控制点，实质上就是控制风险产生的源头。风险源头包括：（1）一开始签订合同带来的风险；（2）关联方直接加入如股东增加、增资扩股等带来的风险；（3）新拓展的业务带来的风险；（4）企业经营环境变化带来的风险；（5）其他风险。

3.以风险管理为主导的内部控制体系的建立

3.1 加强内部控制环境建设，培育企业风险管理文化。（1）领导层积极参与本企业内部控制活动，并以内部考核的形式对各基层单位、个人予以奖惩兑现。（2）各层面管理人员在领导层的监督下，实事求是的组织实施，把成绩、问题集中展示。（3）建立正规的行为约束机制；（4）对各层面执行员工胜任能力做到心中有数，有合理的人力资源管理制度和具体办法，应当建立人员台帐和动态档案；（5）经营模式、管理权限和职责分工搭配得当、分工明确具体；（6）促进全体员工树立风险意识、风险预防意识、风险识别意识和风险救济意识。

3.2健全自我风险评价管理体系。（1）管理层首先应做好风险自我评估和控制，以避免决策失误。尽管很多风险的产生并不能被控制，但管理层应当首先确定可以承受的风险水平，然后识别这些风险并采取一定的应对和救济措施，以把风险控制在风险容忍度之内。（2）做好风险内控定期测评。企业应采取全员参与的自我测评方式，以各部门为责任主体，对内部控制执行情况进行自检，纳入考核机制。通过内控定期测评，使内部控制的各项工作得以落实，强化内控实际执行力。（3）做好新业务拓展的风险识别和预防并做好及时调整工作。新业务的推出可能伴随着新的风险，尤其对于关联方交易的出现，必须高度重视。为了有效控制风险，在新业务开展之前就应设计相应的风险识别控制程序，并根据环境和条件的变化适时作出相应调整。

3.3抓住关键节点，提高风险管控能力。制定各个环节的控制措施，抓住重要的控制节点，提高控制措施的针对性、有效性。及时消除工作中发现的管控缺陷，并立即改进，全面提升企业管理水平，形成内控促管理、管理推内控的有效机制。

3.4 完善信息体系，建立信息沟通机制，畅通信息沟通渠道。信息系统与沟通是收集企业内部执行、管理和控制业务活动中所需要的信息的一个过程，包括收集和提供信息给关键部门人员，使之能够正确履行职责。那么信息的质量就直接影响到对经营活动做出正确决策、控制经营风险的能力。企业应注重信息的内部监督机制并保证其有效。可以采用监控或定期评价两种方法。具体包括：监督日常经营过程中的内部控制及人员；实施内部审计方法以及实施外部审计对内部审计相结合的方法，一旦发现不足及时改正；对监管部门提出的可行性建议及时回复。

3.5强化管理，建立监督联动机制；抓好职能部门对源头防治任务的具体落实。建立防范体系，发挥监督职能；通过改善和加强对监督人员的管理，建立高素质的监督队伍，从而有效防止和排除外部的干扰。（作者单位：胜利石油管理局胜中社区胜利交管中队）

参考文献：

[1]王晖 郑宏涛. 基于风险管理的内部控制研究.现代企业教育.2010年02月下期

[2]钱黎 汪子林 张伟. 浅论内部控制与风险管理的区别和联系.现代经济信息.2009年9月

[3]王宇峰.企业风险管理与内部控制分析. 现代商贸工业. 2010年第4期