文/夏胜炳

关于企业内部控制与风险管理的思考

文/夏胜炳

COSO是美国反虚假财务报告委员会下属的发起人委员会的英文缩写，其最先提出的《内部控制——整体框架》其中将企业的内部控制与风险管理相关联；在2004年接着发布了《企业风险管理总体框架》，该书将企业内部控制视作风险管理的手段；从上述可见，风险管理已经成为当代企业内部控制管理的必要环节，企业内部控制与风险管理通常是相辅相成的，这样才能为企业各个战略目标的实现提供切实的保障。本文主要是阐述了内部控制与风险管理之间的相互关系，以及关于这两者之间的个人的见解与思考，并针对这些问题提出了现代企业健全内部控制体系以及风险管理的对策。

内部控制；风险管理；思考

一、企业内部控制与风险管理关系阐述

（一）企业内部控制管理本质

企业内部控制管理大体上是根据企业目前的专业管理机制以及策略，同时主要是以风险管控、风险预防、风险监督、风险评估等这几个方面为主的工作，再借由多维度多层次的管控方式进行生产以及经营中各种类型业务的规范化的管理模式。从管理视角出发，企业内部控制在定义上来说有点像是风险管理的下属子系统；但是从管理范围来看，企业内部控制管理作为企业全面风险管理的重要环节，其完全可以作为企业在进行风险管控时最重要的构成部分。企业内部控制管理的过程中是从内部环境为视角出发的，内部控制管理的机构设置有诸如企业内部审计、企业人力资源政策以及内部奖惩制度等等；而对企业的风险进行管控时，就更需要企业内部控制的管控方式进行更为科学与合理化的目标确定，严格根据企业风险评估体系，争取做到企业内部控制的最优化结果。

（二）企业风险管理的含义

任何目标在达到的过程中必然面临各种各样的风险。企业更是不必说的。企业风险管理是指企业各级管理层在完成企业战略目标的过程中，对企业所面临的各种潜在风险以及企业当下管理模式存在的各类风险进行有效管理与控制。只要是背离或是阻碍企业共同目标的因素与风险，在企业实施风险管控的时候都应该给予治理与规避，这样才能保证企业的战略目标得以实现。风险管理中风险是最主要的工作范围，而这其中信息化程度也是影响着整个风险评估与判别的重要影响环节，这也是现代企业注重信息化的原因；企业进行内部控制与检测时，在风险评估以及风险管控方面还是需要根据企业的实际需求，布置相应的内部检测，同时也要针对企业的日常内部监控，一旦在某个企业的内部控制管理出现问题，企业就可以针对该环节进行分析，分析出是政策、机制还是相关实施措施的问题并进行调整，这样可以使得企业在进行风险管控时不仅避免了风险还不断的健全风险管理制度。

二、我国企业内部控制存在的风险缺陷

（一）我国企业风险控制体系不成熟

（1）我国企业对风险全面评估不够重视。企业经营风险的诞生以及企业管理者的风险偏好这些很大程度上取决于企业是否具有完善的内部控制体系。健全的风险界定以及成熟的风险评估体系是企业内部控制体系有效发挥作用的重要前提，但是我国企业管理者并没有重视对风险管理机制的研究，这就自然形成了不成熟的风险控制体系。（2）我国企业未设置单独的风险管控部门。当下的时代是信息时代，企业所面临的风险种类大大增加，企业生产经营的风险波及程度也逐渐加深，从中可以看出设置专门的风险管控部门是十分有必要的；由于我国企业在风险管控这方面的意识薄弱，并没有设置单独的风险管控部门，甚至有些企业连最基本的风险识别与风险预警系统都没有。

（二）企业风险管控意识不够强烈

目前随着经济全球化的进程，我国同世界各国的经济联系更为紧密，越来越多的企业进军到国际这个大舞台之上，在国际市场中进行更为激烈的市场竞争，同时也有诸多企业涌向国内。在上述背景下国内企业面临的压力逐渐增大，尤其是在国内许多企业仍是缺乏风险意识，许多企业管理者所重视的风险也仅仅是在财务风险单方面，由此可见我国企业的风险管控意识薄弱的程度；我国企业普遍在乎的是公司盈利，在风险管控方面实在是无法关心，这样就极易造成我国企业在经济全球化的冲击下无法面临巨大的挑战与机遇，相反，国外因为经济的发达，许多企业早已重视这方面的问题。

（三）企业公司管理结构不够完善

企业的内部管控要想有效的运行就必须保证企业拥有着完善的治理结构，这是给企业内部管控造就最基本的实施环境。企业内部控制管理的主要实施者当然是企业的经营管理层，但是如果企业的权利设置以及制衡体系之中存在着结构性的问题，则企业的内部控制就无法有效的实施，企业治理结构中作为企业风险与内部管控的核心——董事会，该核心是要对企业的风险管理与内部控制担负主要责任的，而在我国中董事会存在着职权交错的问题，在实质上是对公司治理结构不利的，容易造成职权混乱的局面，自然企业就无法有效的运行内部控制机制以及风险管控。

三、企业基于内部控制下的风险管控策略

（一）逐步强化企业风险管控体系以及内部监督机制的建立

（1）对企业风险类别进行明确的区分，这是为了企业能采取相对应的科学的措施来进行风险管控。企业在分类风险时可以从业务活动方面与企业整个方面两个维度进行分析。通常来看，企业的整体风险主要是由内部与外部构成的，内部因素有组织、经营、财务、战略等等风险；而外部就是宏观与不可抗力因素，诸如法律政策、自然天灾、市场技术等等风险。而从业务活动层面来看主要取决于企业所处的行业环境来进行分析，企业所处的行业环境不同其所面临的风险也不尽相同。企业应根据自身特点明确自身的风险种类。（2）建立完善的内部监督机制。完善的内部监督机制自然包裹各个风险指标的检测等等，尤其是要建立风险导向的审计机制。企业的审计机制可以处于相对客观且独立的审查机构，能更加从公正的角度来对企

下接（第232页）