赵国粮

摘 要：企业的内部控制和风险管理是两个关系密切又容易混淆的两个概念。内部控制是实施风险管理的必要环节，两者都是为企业价值增值服务的。本文以两者之间的联系展开，首先说明有效的内部控制有助于提高企业全面风险管理水平，并进一步说明我国企业内部控制与风险管理的现状，就目前来看，我国企业在内部控制和风险管理上面依然存在着许多的问题，本文主要是根据我国企业的现状提出相关建议和措施，进而促进内部控制和风险管理的协调发展，有助于实现企业增加价值、改善经营的目标。

关键词：内部；控制；风险管理；框架监管机制

一、引言

企业之所以会面临严重的风险事件主要是因为该企业的风险管理方面的工作比较薄弱。从2006年6月份开始，我国国资委制定并发布了《中央企业全面风险管理指引》的规章制度，此次政策的出台对企业的风险管理具有长效机制，进一步对企业的风险管理起到了推波助澜的效果。直到2008年6月，我国财政部发布了企业内部控制的基本规范政策，其重点是为了加强企业对风险评估的预期，企业应该建立一套风险评估的程序。但是，目前我国的风险管理是企业管理中一个相对薄弱的环节，企业内部控制与风险管理尚存在许多问题。因此，如何利用两者之间的关系来防范风险，提高企业规避风险和经营管理水平的能力，已经成为大多数企业为了维持企业的持续经营和健康的发展必须要接近的一个问题。

二、内部控制与风险管理的相互关系

内部控制与风险管理在很多文献里面都有提及到，通常情况下很容易将这两个混为一谈。关于内部控制和风险管理两者之间的关系，从理论界的角度來看，这两者具有很强的争议性，但是这并没有得到一个共同的结果，对学者们来说，内部控制和风险管理之间的关系都是仁者见仁智者见智的存在方式。本文只要是根据风险管理来对内部控制促进的作用谈论，进一步分析清楚两者的关系，对内部控制与风险管理关系的协调进行分析。对两者的研究目的主要是为了发掘其存在的实际意义，其中对风险控制的发掘是为了更好的服务于实践。

（一） 企业内部控制和风险管理两者之间的关系

1、 内部控制是风险管理的基础。每个企业的内部控制都是以专业的管理制度作为基础的，其主要目的是为了能够更好的对风险进行预估、防范，实施有效的监督管理。企业通过健全的控制系统、描述关键的控制点、以流程形式的直观表达生产经营业务过程中形成的企业内部管理规范行为。风险管理主要是企业在组织经营的过程中，风险管理部门对企业有可能面临的各种风险因素进行整体的识别、评估、分析控制和监督，在遵循成本效益原则下，实现保障企业最大安全的过程。事实上，企业内部控制是风险管理实施前的内部环境净化器和理论基础。因此，企业的风险有些可以通过内部控制进行规避，有些则是客观不可控。企业在健全的内部控制下对公司进行风险管理可以使企业的识别性增强，防范风险的能力得到提升，使企业能够有效的发挥风险管理的能动性。

2、 企业内部控制在技术发展推动下逐渐走向风险管理模式。在当今现代化的信息条件下，使以前传统的查错、防弊的会计控制被现代化的电子控制，实时更新系统所取代。然而，来源于新兴市场实践的交易和组织创新往往都会附带着潜在的巨大风险。此外，随着不断完善的环境及消费者权益的立法保护，企业的社会责任也在不断的增强，一旦不慎企业就将面临着来自商品市场或者资本市场的惩罚，这种惩罚主要体现在企业资本市场的市值或者是企业品牌价值的降低。面对这样的市场风险，企业需要正常的运行功能和有效的机制以此来对企业的风险进行防范。可见，风险管理与企业内部控制在维护与促进价值创造这一方面的根本功能上所表现的目标是一致的。但是，在当前新的技术和市场条件下，企业为了能够更加有效的保障投资者的利益，所以必须在内部控制的基础上对企业的发展更加主动，建全风险管理制度。

（三） 企业的内部控制与风险管理的区别

1.两者的职能定位不同。内部控制仅是管理的一项职能，主要通过事中和事后控制来实现其自身目标，而风险管理则贯穿于管理的各个方面，不仅体现在事中和事后的控制，还负责具体设立企业经营目标，但只是评价目标的制定过程，特别是评估目标和战略计划制定中的风险，更重要的是风险管理是事前在充分考虑了风险存在后制定目标。而且，全面风险管理要达到的目标多于内部控制。

2.两者对风险的识别不同。《企业风险管理——整合框架》明确定义风险为“对企业的目标产生负面影响的事件发生的可能性”，它将产生正面影响的事件视为机会，区别了风险与机会；而在《内部控制——整体框架》框架中，并没有区分风险和机会。

3.两者对风险的对策不同。《企业风险管理——整合框架》在风险度量的基础上引入了风险偏好、风险容忍度、风险对策等概念和方法，因此，有利于企业的发展战略与风险偏好的统一，协调风险与收益，进行分配经济资本及对业务前台决策流程的风险信息支持等，进而帮助董事会和高级管理层实现全面风险管理的四项目标。《内部控制——整体框架》中没有这些内容，也是其无法做到的。但由于两者的最终目的的同质性，要求我们可以使用风险控制的手段，但不应过于强调风险控制，否则容易引起误解，导致风险控制成本大于收益，影响企业效益的发挥。

三、目前我国企业内部控制与风险管理现状及存在的问题

根据我国目前的实际情况来看，企业的内部控制和风险管理的整体水平和所表现的效果任然很不乐观，尤其是由原来国有企业改制而成的公司法人治理结构普遍存在问题，迫切需要对企业的内部控制和风险管理进行完善。

（一） 制度内容不全面。现在我国很多的企业内部控制仍然还停留在仅仅对财务工作的管理和控制，对企业中的其它部门经营管理活动的各类业务和事项还没有涉及到。然而，企业的风险管理也还是把重心放在了财务风险上面，将企业可能会面临的法律法规风险、道德风险、市场风险仍旧忽略掉了，企业内部没有一套完整的制度来对其进行有效的坑恒。

（二） 企业的监管制度不健全。内部审计是在企业发展中对其风险管理和内部控制进行的一项重要检查和监督举措，就目前的情形而言，企业对内部审计并不重视。在一些企业内部虽然设置有审计部门，但此部门归属于财会机构，而有的企业并没有进行审计部门的设置，只是让企业管理者简单进行，这样一来，审计部门失去了自身应有只能。

（三）在风险管理和内部控制上缺乏认识。部分企业中，管理者并没有看到内控在风险管理中的作用，认为内控只是多种规章制度的汇总，导致无法充分开展内部控制工作，致使无法正确预防各种风险和问题的发生。在一些企业中甚至只在风险出现后采取措施拯救，而忽视事前的防范，导致了企业诸多不必要损失。

四、提升和完善企业风险管理与内部控制的措施及建议

完善的内部控制制度与风险管理机制是实现企业经营管理目标的重要保障，因此，必须采取措施加强企业内部控制与风险管理。

（一）合理配置权限，完善法人治理结构。风险管理和内部控制的顺利实施需要一个良好的企业内控环境作为保障。为了能够保证风险管理和内控制度能够有效进行，必须要求企业完善法人治理结构。企业内部控制的监控范围应该涵盖企业最高管理者自身和其行使权力的过程，需要明确董事会、股東会、监事会和经理层所需履行的职责进行明确，并严格执行，进一步优化企业管理层的监督机制，充分发挥监事会的作用，使企业财会机构的设置和运行都符合我国相关法律法规的要求，保障企业财务拥有足够的治理、决策、执行和监督等权利力。

（二）建立健全完善的风险管理体系。风险管理体系是对且实现企业目标影响因素的分析，也是对企业内部、外部各项风险的分析，对这些影响因素进行研究，并对影响程度进行层次分类，并从根本上对这些影响因素进行弱化和防范。首先，开设风险管理部门和审计委员会，对风险评估体系进行完善和提升，对企业经营、财务、市场、政策法规等风险进行监控并建立风险预警机制；第二，采取有效的控制措施应对已经发生的企业各类风险，建立一套有效的风险管理措施对企业各项重要环节和薄弱环节进行管理，做到防范已知风险、降低和转移未知风险。第三，建立资信信息档案记录企业重要客户和供应商，对与公司发展目标不一致的项目进行定期整理，从根本上避免这些项目对公司发展造成的风险损失。

（三） 完善内部审计体系。 企业的内部控制活动主要体现在内部审计上面，一个企业的内部控制制度的落实是一项十分重要的工作，因此，企业必须健全并重视内部审计体系，具体涵盖如下：第一，设立内部机构。企业需要有一个完善的法人管理结构，以此来保证内部审计机构的独立性与权威性。第二，完善内审工作内容。从违规违纪审计转向内部控制审计和绩效审计，发挥咨询服务作用以优化配置企业内部生产资源的科学决策。第三，强化对各关键环节的风险控制。内控流程要求对每个关键控制点提出风险分析。第四，内部审计进行全程控制。内部审计的全程包括事前、事中、事后审计，以降低企业经营风险，制止在财务工作中发现的问题并提出合理建议。第五，提高内审人员综合素质。内审人员拓展除财务和审计知识外多方面知识，具备良好的职业道德操守，还要加强内审人员的培训和考核。

五、结语

风险控制是内部控制与风险管理的实质或者共同方向。风险管理是在内部控制的基础上面发展起来的，从某种程度上来讲风险管理使内部控制的内容和思想得到了丰富，因而我们能够看出内部控制是风险管理中的一部分。本文通过内部控制在实践实施过程中表现出来的缺陷，提出了风险管理导向内部控制的改善方案，分析了我国的内部控制基本规范，展现了风险管理的思想与内容在内部控制中的协调和渗透，进而说明了两者之间的紧密关系。预示着风险管理中的内部控制将来会成社会的主流。（作者单位：中国移动通信集团山东有限公司）

参考文献

[1] 黄苏荣.企业内部控制与风险管理初探[J]. 2010（6）：1-2；

[2] 林萍.企业内部控制与风险管理研究[J]. 商业现代化. 2010（8）：2-3；

[3] 张正兵.浅析内部控制与风险管理的关系及改进方法[J]. 中国总会计师. 2009（7）：1-2；

[4] 纪景涛.浅谈企业内部控制与风险管理.经济研究导刊[J]. 2010（1）：1-2；

[5] COSO 委员会.方红星，王宏.企业风险管理整合框架： 中译本[M]. 大连： 东北财经大学出版社， 2004（4）3-4；

[6] 李凤鸣.内部控制学[M]. 北京： 北京大学出版社，2004（5）：1-2；