陈 祉 云南民族大学

现如今，如何做好风险管理及内控体系建设成为了企业发展、研究的热点问题，企业要想在经营中获得成功，就必须合理建立、完善风险管理及内控体系。随着企业经营规模的不断扩大，企业所面临的市场风险也日益扩大，这就要求企业加强风险管理，注重内部控制建设。本文针对我国企业目前内部控制体系的现状，结合实际提出了一些内控体系构建路径，并深刻探究了国内企业以风险管理为基础的内控体系构建问题。

一、风险管理和内部控制的内涵及其关系

(一)风险管理的内涵

对生产目标或劳动成果产生的不确定性，通常被称为“风险”。基于企业视角看，所谓风险，即“受不利因素影响引发的实际损失，从而导致企业无法实现目标或影响了目标变现的效率。”而风险管理指“利用科学举措检测评估风险，把风险调控到能接受的范围，使风险等级经控制满足可接受要求。”通常控制环境及活动、信息与沟通、检查与监督、风险评估共同构成了风险管理及内部控制的五要素。

(二)内部控制体系的内涵

所谓内部控制体系，即“企业在经营目标实现、为管理活动提供保障时，以风险防范为目的，研究、设计的整套组织、制约、调节、监督规章制度及方法。”风险是企业生存、发展时必然会遇到的，多数指管理、制度缺陷、操作等风险。风险并非企业不可抵御的不可抗力，比如企业能利用构建内控体系的方式对风险予以防范、化解。通常控制环境、控制程序、会计制度共同构成了内控结构的组成的三要素。

(三)风险管理、内部控制之间的联系

研究发现，两者不仅存在一定的关系，还有一定的差异。基于理论发展、社会实践视角分析，双方正朝融合方向发展。

1.风险管理与内部控制的实施主体是一样的。双方实施主体均由全体员工、经理层、董事会构成，都对全体参与性予以了突出，也对企业在风险管理及内控时内部各方需承担的职责予以了确定。

2.目标上双方基本相同。诸如双方在经营、财务、战略及法规制度遵循性这四大目标中存在一致性。比如关乎企业生存、发展的高层次战略目标双方也基本趋同，这表示风险管理除了要为企业经营效率及效果提供保障外，还在企业制定发展整体战略时被囊括其中。

3.双方在组成要素方面由大量的重合。比如，控制环境、检查与监督、信息与沟通、控制活动、风险评估要素同是双方构成的主要要素。在控制环境、控制程序、会计制度共同构成了企业内部控制三要素。

4.双方的作用基本一致。基于总体视角分析，双方均属于渗透于企业常规经营管理活动内的常见行为，它们的行为目的均为“实现企业目标，并在根本上发挥对企业资产完整、持续创造价值、维护投资者利益的作用。”研究显示，内控出现的历史较早，属于企业管理制度的关键构成要素，内控目的则是“为会计信息准确性、真实性提供保障，约束人为操控报表的行为现象，做好有关法律法规的贯彻、执行，为企业财产安全提供保障。”风险管理则为当企业生存、发展的内外条件持续改变时，向内部控制的自然延展。

二、国内企业风险管理、内部控制状况及表现的问题

(一)国内企业风险管理、内控状况分析

国内企业风险管理尚在发展环节，诸多企业风险管理体制缺乏系统性、完整性。多数企业防范、控制风险的措施不到位，缺乏专门的风险管理机构和人员，一些企业，特别是未上市企业内部控制建设迟缓，很多都处于起步阶段，缺乏科学、健全的内控制度，未能采取合理的内控手段处理基础会计资料、投资控制、资金管理等方面的问题，为现代企业埋下了风险隐患。

(二)风险管理及内控方面国内企业具呈现的问题

1.缺少风险意识。现如今国内诸多企业风险管理意识匮乏，为主动做好风险管理方面的工作。企业采取的风险管理活动呈现暂时性、间断性特征，如有意识了便管理，做完就不管不顾、任其发展；而且企业没有做好风险的准时复核、评估，让企业改变环境、风险管理及规避的能力受损。同时，在获取最大利润理念影响下，企业盲目的追求眼前利益，忽视了相关决策行为在企业发展中造成的负面影响，而企业未能系统性的全面解析项目风险，容易使企业遭受不可估量的损失。

2.企业缺少健全的风险管理组织结构。如今大量企业的风险管理组织结构并不健全，产生了企业有关部门与岗位人员不能确定工作职责与操作程序及风险承担主体的现象，这导致形成独立的风险管理部门难度较大，加之企业负责风险专业管理工作的人员匮乏，即便是筹建了风险管理部门，但因为专业风险经历的缺失，及未明确风险承担主体，致使各部门及岗位间相互推诿责任，并无法有效约束风险管理、承担独立且权威的管理企业风险的职责。

3.企业风险管理和内部控制脱节。研究发现，企业管理层没有充分结合风险管理及内部控制构建风险管理突出的高效内控系统。①企业缺乏风险管理意识，多数未能对风险评估及风险管理时必须的信息数据予以储存、备份；②企业基于主动减损、防损的风险转移行为较少；③企业的安全管理内容内未添加风险评估内容，同时，内部部门缺乏对风险评估的实践研究；④企业制定的战略决策中过渡性冒险赌博行为较多，加之对科学风险评估意义、技能缺乏认知，导致企业经常要对无需承担的风险进行承担，并且还未能合理判断风险，返将机遇丢失；⑤企业经常以感觉为主导方向处理组织经营管理活动，决策则过于随便且缺少科学性、合理性，常有经营理念方面的短期性行为。

三、健全企业内部控制体系的对策

(一)完善企业的控制环境

企业内控系统的基础以内部环境为主，内部环境对内控效果及目标产生了直接影响。所以，和谐的内控环境成为了维护内控系统稳定性的基础。在企业内控环境完善中，应明确“以人为本”理念，帮助管理人员改善素质及能力，企业在对内部控制活动内容实施管理时要以价值管理为核心，做好优良环境气氛营造，有效激发全员创造性、积极性，由此实现企业内控目标。要树立先进的管理哲学与经营风格，结合企业需求确立一个合理的、具备企业发展特点的经营哲学及理念，该目标时刻都在考验着企业领导人的管理理论修养及实务能力。应构建科学的组织结构，合理划分权责。企业应按照不相容职务相分离原则，做好各职能结构责任权限划分。要建立适宜的人力资源管理政策。招聘人才，培养人才，发现人才，留住人才，挖掘人才。

(二)完善企业风险评估体系

目前，筹资、合同、投资等风险评估成为了企业风险评估的核心构成要素。企业的风范防范行为属于日常的基础性、经常性工作内容，且可以结合自身需求筹建风险评估部门与岗位，从而有效的识别、规避风险。开展风险评估工作时，可引入工作目标、风险评估、控制风险等举措。风险评估起点常以工作目标为主，通过确定工作目标，方可对控制环境内的各要素加以识别，什么要素会对工作目标实现产生风险，可采取评估风险程度等方式，通过科学高效的控制举措，确保实现相关工作目标。比如，可采取事情评估、事中监督、事后考核监督的办法。企业在内控工作中要做好风险预警分析及控制机制的构建，有效规避或减小各类财务及经营风险，促进企业经营管理工作得到良性发展。

(三)设立有效的内部控制活动

企业在对风险进行评估、确定应对策略后，要通过合理举措控制剩余风险，采取控制活动。控制活动即“管理层经营理念及管理制定被执行的核准、职务分工、验证等政策、程序。”控制举措即“基于相关关键控制点设计的，企业在设计控制活动期间应做好关键控制点的把握。”另外，常见的控制活动方式由企业绩效评价、对信息处理的控制、职责分离等。

(四)建立广泛的信息与沟通

信息与沟通的含义为“将内控相关信息进行准确收集、传递，确保企业内部及企业与外部间实现信息的有效沟通”属于内控实施的关键条件。企业需结合控制系统要求，了解使用者的信息需要，归集、加工整理信息，筹建合理的信息系统支撑对策，科学结合信息系统、企业营运；优选合理时间对信息系统实施更新，确保信息品质的有良性。同时，企业员工应从最高管理层主动获取承担控制责任的有关信息，且一定要掌握和上级部门交流重要信息的方法，同时，要和外界顾客、政府主管机关等进行有效性的沟通。

(五)做好内部控制的监督及评审工作

企业负责管理监督内部控制的经营管理部门的活动及负责再监督、再评价内部控制的内审监察部门的活动统称监督及评审。为了保证内控制度落实及执行的效果，应严格监督内控全过程，从而在日常工作阶段时刻监督、评价内控总体效果。监督评审可以持续进行，也能分别独立开展，更相互结合到一起实施的。对评审活动进行监督及纠正缺陷时，需构建监督评审内控总体效果、建立有效的交流渠道的原则。企业只有不断地适应各种变化，完善其内部控制制度，才能为其成功地运作提供有效的保证。

四、结语

企业做好内部控制的加强、改善，才能帮助企业有效提高经营管理水平及风险防范能力，属于企业对经济结构调整、发展方式转变的重要着力点。企业要想有效贯彻、落实内部控制体系内容，必须做好实施阶段新问题及情况的有效处理，确保做到组织、认识、人员、实施、监督五项到位。才能让内控变成企业内需、惯常思维及行为习惯。