王雅楠

内部控制是企业为实现经营管理目标，建立和实施有效的风险管理体系，保证企业资产安全完整，促进经营效率和效果的提高而建立的一套相互联系、相互协调的管理机制。而风险管理则是在企业已经建立了内部控制制度的基础上，以识别、分析和评估企业经营风险为主要内容的一种管理活动。在现代企业的管理工作中，二者相辅相成，缺一不可。

一、内部控制和风险管理的相关性

（一）二者的区别

目标不同：内部控制，强调财务报告真实可靠、经营效率和效果，确保企业经营方针贯彻执行，实现发展战略；风险管理，是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。

重点不同：内部控制侧重于财务报告真实可靠；风险管理侧重于识别、分析和评估企业经营风险。

方法不同：内部控制主要采取合理保证措施；风险管理主要采取风险评价手段。

原则不同：内部控制遵循有效性原则；风险管理遵循适当性原则。

范围不同：内部控制涵盖会计和财务活动，涉及企业管理的所有方面；风险管理更多地关注与财务报告相关的风险。

（二）二者的联系

实现企业经营管理目标。二者的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。因此，二者都是为了企业的持续稳定发展。

涉及风险识别和评估。内部控制涉及对风险的识别、评价，风险管理则主要是对风险进行分析评估，通过采取必要的措施将风险降到可接受水平。内部控制与风险管理两者都是在识别企业经营管理中存在的风险的基础上，对其进行分析评估，并通过采取必要的措施将其降到可接受水平，保证企业资产安全和财务报告真实完整。

一项管理活动。内部控制和风险管理都是一项管理活动，即通过一系列有效措施将企业经营管理中存在的风险降到可接受水平，以确保企业持续稳定发展。内部控制是为了保证经营活动合法合规、资产安全、财务报告及相关信息真实完整，促进实现发展战略；而风险管理则是为了识别企业经营管理中存在的各种风险，分析其产生原因并评估其产生的影响程度，采取必要措施将其降到可接受水平。

二、企业内部控制和风险管理存在的问题

（一）缺乏内部控制与风险管理意识

企业管理层缺乏必要的风险意识和内控意识，甚至认为企业内部控制与风险管理可有可无，没有将其纳入企业战略规划之中。由于管理层不重视，很多企业在实施内部控制与风险管理时都缺乏有效的執行力度，这也造成了内部控制和风险管理效果不佳。此外，有的企业虽然设置了相关部门，但其职能定位不明确、职责权限划分不清晰、岗位设置不科学，导致在内部控制与风险管理方面存在职责分工不明、权限分配不当的问题，难以发挥出应有的作用。

（二）科学的内部控制与风险管理活动缺位

一是企业没有将内部控制与风险管理有机结合起来，企业的各项决策都是独立进行的，缺乏协调性。二是企业的内部控制制度和风险管理制度建设不完善，没有建立起有效的风险预警系统，缺乏风险分析与评价机制。三是企业没有建立起有效的内部控制监督机制，没有将内部控制制度与内部审计、人力资源等制度进行有机结合，监督力度不够。四是企业的业务流程设计不合理、不科学。很多企业在经营管理过程中将注意力放在了如何获取更多的利润上，却忽略了如何才能保证企业长远发展。五是企业内部控制与风险管理活动缺少系统性，很多企业缺乏科学合理的绩效考核标准、薪酬激励机制、绩效考核指标体系以及有效的奖惩措施，在很大程度上影响了员工的工作热情。

（三）内部控制和风险管理监督机制缺位

我国很多企业在内部控制和风险管理中都缺乏相应的监督机制，这导致内部控制和风险管理中的漏洞和缺陷，企业无法及时发现这些问题，不能制定相应的措施加以解决。例如：很多企业在进行财务预算时没有考虑到业务流程以及业务操作中存在的风险，这就导致财务预算和实际经营脱节。一旦发生突发事件或者重大支出时，企业也不能及时发现问题并加以处理，这样就会导致企业的损失进一步扩大。

三、企业内部控制及风险管理优化策略

（一）强化内部控制与风险管理意识

企业应当树立“风险导向”的内部控制理念，将风险管理贯穿于决策、执行、监督全过程，明确风险管理目标和要求，加强对风险的识别、分析、应对及评价，不断提高风险管理水平。一是加强员工的职业道德教育，让员工树立起强烈的风险意识；二是完善内控制度，建立健全风险识别机制、预警机制和化解机制；三是制定科学合理的目标和考核体系。企业应重视内控与风险管理工作，在建立健全内控制度的同时，强化风险管理意识，提高全体员工对风险管理重要性的认识；建立完善的风险预警机制和防范体系；加大对规章制度执行情况的监督检查力度；通过企业文化建设、思想政治工作等手段，增强企业员工对制度的认同感和自觉性。

（二）建立内部控制与风险管理制度体系

企业应当根据经营管理的实际需要，结合国家法律、法规和监管要求，建立健全符合企业规模、业务特点和管理要求的内部控制与风险管理制度体系。比如：企业应当建立健全财务管理制度，明确财务部门对会计核算、资产管理、负债投资等方面的职责权限，规范会计工作流程，确保会计信息真实可靠、完整及时；建立财务风险管理制度，明确财务部门在财务风险识别、评估、防范、报告和应对等方面的职责权限，规范财务风险的识别、评估与应对程序，加强对财务风险的监控和管理；建立投资项目风险管理制度，明确投资项目立项程序、决策权限及实施措施等方面的职责权限和运行程序；建立财务信息内部报告制度，明确信息报告的种类、格式和内容等方面的职责权限和运行程序；建立财务监督与风险预警机制，对不符合内部控制规范要求或者已发现问题未能及时纠正的事项和行为，应当及时向企业负责人报告；建立资产损失责任追究制度，明确责任主体并根据情况采取相应措施；建立重大财务事项内部审批制度，重大财务事项包括但不限于投资决策、对外担保等事项。

（三）强化内部控制下的风险管理活动

一是风险识别。风险识别是指在风险管理过程中，对可能发生的各种风险进行的全面识别和分析。根据风险识别的内容，可以把风险识别分為两个阶段：第一阶段是对企业所面临的各种风险进行全面的调查、分析、汇总，对所有可能发生的风险进行全面的确认；第二阶段是将已经确认的风险根据其潜在损失程度、发生概率等情况，逐一排序，对重大和关键的风险进行重点分析和识别。首先，要针对不同行业、不同类型和规模企业制定不同的风险识别方法；其次，要充分考虑企业面临的各种风险之间相互影响和作用的关系；最后，要根据具体情况选择不同的识别方法。

二是风险评估。风险评估是风险管理策略的基础，是对企业所面临的各种风险进行分析、识别、分类和评估，并确定企业所面临的风险性质及风险程度，为企业风险管理策略的确定提供依据。一般来说，企业应从以下三个方面对风险进行评估：对可能发生的各种风险进行识别，包括识别企业内外部可能会影响目标实现的各种因素；分析影响目标实现的各种因素发生变化的可能性；评估目标实现过程中可能发生的各种意外事件及其造成的损失程度。通过上述三个方面的分析，可以确定企业可能面临的主要风险和次要风险。

三是风险等级确定。企业的风险分为财务风险、市场风险、技术风险、内部管理风险等。企业在确定风险管理策略时，要考虑企业自身的特点和实际情况，确定不同的风险等级，并采取不同的措施进行管理。例如：对于财务风险，可以通过建立健全会计信息系统来防范，采用全面预算管理、内部审计等手段来控制；对于市场风险，可以通过完善市场研究、信息管理、预测等手段来防范；对于技术风险，可以通过技术创新和流程再造等手段来防范。需要注意的是，企业的风险管理不是一成不变的，随着企业不断发展壮大，其面临的具体环境和面临的具体问题会发生变化。

四是风险控制。风险控制是指在企业经营活动过程中，根据企业的风险状况和风险管理目标，制定一系列的管理措施，以降低或消除风险的影响，确保企业经营目标的实现。控制是手段，而不是目的。风险控制必须以企业整体战略为导向，结合企业的经营状况，考虑成本效益原则，全面考虑风险管理与控制的要求。

（四）落实内部控制与风险管理监督与评价

企业落实内部控制与风险管理监督与评价的方法包括：内部审计部门与有关部门的协同监督，内部审计部门在公司治理下，负责对企业经营管理活动的内部控制与风险管理实施独立监督。财务、审计等部门共同参与，对公司内部控制与风险管理制度的执行情况进行监督；建立有效的内控评价机制，将公司管理及经营活动中的风险控制在合理范围内，并对内控设计的有效性进行评价。同时，建立内控评价制度，明确评价原则、程序和方法，对各项业务和事项开展定期或不定期的监督评价，及时发现并纠正控制缺陷；建立有效的信息沟通机制，保证监督评价结果的有效运用。

四、结 语

综上所述，随着经济全球化的发展，我国企业所面临的竞争压力越来越大。企业要想在激烈的市场竞争中站稳脚跟，就必须不断地提高自身的竞争力，而提高竞争力最有效的方法之一就是加强企业内部控制。建立完善的内部控制体系，才能帮助企业规避风险，使其健康发展。