浅析企业内部控制与风险管理

浅析企业内部控制与风险管理

浅析企业内部控制与风险管理

【摘要】随着社会主义市场经济建设的不断深入、全球经济一体化进程的加快，国内市场和国际市场融为一体，企业的内部控制环境和外部竞争环境都发生了很大变化，加之信息的不完备与非对称性，导致企业面临更大的风险。加强企业内部控制制度建设，提高风险管理水平成为当务之急。

【关键词】企业风险；内部控制；风险管理

一、内部控制与风险管理的涵义

（一）内部控制的含义

内部控制的概念是在实践中逐步产生、发展和完善起来的。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等要素，内部控制就是以专业管理制度为基础，以防范风险、有效监管为目的，通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。

（二）风险管理的概念剖析

风险管理又名危机管理，是指通过对风险的识别、衡量并采用一定的控制手段，防止风险的发生或以最低的成本使风险导致的各种损失降到最低程度的管理方法。从职能上说，风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失，保证组织目标的实现。对风险管理的定义可以理解为：一是风险管理是一个系统过程，包括风险的识别、衡量和控制等环节；二是风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果；三是风险管理是一种管理方法。

二、内部控制与风险管理的关系

内部控制与风险管理之间的关系是既有区别又有联系，我们既不能将两者隔离开来，也不能简单的将两者等同起来。

（一）内部控制与风险管理的联系

从内部控制和风险管理的结构上说，风险管理与内部控制的组成

要素有五个方面是相同的，即控制环境、风险评估、控制活动、信息与沟通和监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定事件识别和风险应对三个新要素，并且在重合的要素中，风险管理的内涵也都有所扩展，因此，两者存在着不可分离的内在联系。

从内部控制到风险管理的发展上说，内部控制和风险管理的根本作用都是为了维护投资者利益、保全企业资产，并且创造新的价值。理论上说，企业的内部控制是企业制度的组成部分，是在企业所有权与经营权分离的条件下对投资者利益的保护机制。其目的就是防止经营层的欺诈与操纵，保护公司的财产安全。而企业风险管理是应用于战略制定的各层次中，它使管理者在面对不确定性时能够评估、识别和管理风险，起到发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致，促进应对风险的决策，减小经营风险与损失。所以，企业风险管理是在新的技术与市场条件下对内部控制的自然扩展。

（二）内部控制与风险管理的区别

首先，两者的职能定位不同。风险管理贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制来实现，更重要的在于其事前制定目标时就充分考虑风险的存在；而内部控制仅是风险管理的一项职能，主要是通过事后以及过程的控制来实现其自身的目标。在两者所要达到的目标上，全面风险管理多于内部控制。

其次，两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了战略的设定和风险管理目标、风险评估方法的选择、管理人员的聘用、有关的预算和报告程序、以及行政管理等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

再次，看待风险的理念不同，风险管理强调从宏观环境、企业全

局的角度关注风险，统筹事件之间的相互影响。综合考虑风险应对措施，企业内部控制从公司治理的角度，通过部门之间的权力制约与监督来防范风险。因此，风险管理在对待风险上比内部控制更加有针对性，更加主动，它要求按照风险组合与整体管理的思路，综合考虑风险对策之间以及风险事件之间的交互影响，统筹制定风险管理方案，这些内容都是内部控制做不到的。

三、企业内部控制与风险管理的现状分析以及存在的问题

（一）企业内部控制与风险管理的现状分析

从目前中国企业的实际情况来看，其内部控制和风险管理的水平和效果尚不容乐观。现阶段中国绝大多数公司，尤其是由原来国有企业改制而成的公司，其法人治理结构普遍存在问题，主要表现在股东大会、董事会和监事会等核心机构虚设，经营者行为得不到监控，并由此导致了公司内部人员之间无法形成有效的牵制，进而影响内部控制的实施和健全。

从内部控制理论的发展来看，现代企业制度下的内部控制已不仅仅是传统的查弊和纠错，而是涉及到企业的各个方面，成为公司治理的具体体现。在实践中，中国企业内部控制仍停留在保障会计资料安全、完整及资金的安全性上，无法有效实现会计的监督与参与企业内部管理的职能。中国企业虽普遍认识到风险管理的重要性，以及加强内部控制有助于防范风险，但实际仍存在着很大的不足。一是内部控制未形成常态，尚未构成内部控制工作的长效机制。二是风险管理停留在理念阶段。我国目前大部分企业的风险管理活动往往是”亡羊补牢”式的”救火”应对措施。这都充分说明中国企业风险管理还处于相对落后的状态。

（二）企业内部控制与风险管理运行中存在的问题

1.内部控制的重视不够，风险管理意识淡薄

目前中国大多数企业重经营轻管理，内部控制与风险意识薄弱，对内部控制与风险管理存在着不少误区，特别是对建立健全内部控制、风险管理的重要性和现实意义认识不够，抱着有与没有无所谓的态度。此外，中国企业的内部控制机制还不够健全完善，企业对内部控制的重要性认识不足，风险防范意识淡薄。当面临风险时，企业缺

乏有效的应对措施，只能被动地承担风险带来的不利后果。 2.内部监督机制的缺失

要确保内控的长期有效性，除了制定完善的内控制度外，必须建立强大而独立的内控监督机制。这项任务通常是由公司内部审计部门承担的。对内控的监管，主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查，了解掌握企业内部控制的各主体是否出现缺位，内部控制流程是否得到有效的执行，内部控制流程是否能够很好地适应外部环境的发展变化，其效率能否得到提高，内控环境的变化情况和企业的风险管理状况等，提出完善内部控制的建议措施，并监督这些措施的落实和贯彻。

3.对企业的风险评估、识别不足，缺乏完善的风险评估机制

建立明确的和统一的目标是企业机构评估风险的前提条件。对风险的认识和评估是降低风险的前提，只有恰当地评估了风险，才会使风险防范”有的放矢”，而所有的内部控制组成部分，从控制环境到监督，都需要评估风险。其如：确认战略计划和年度计划制定、执行和执行结果中的风险，据以进行风险管理。总而言之，对企业风险的评估认识不足，缺乏完善的风险评估机制，就会被市场所淘汰。

四、完善企业内部控制、强化企业风险管理的策略

（一）提高内部控制认识，强化风险意识

企业要充分认识内部控制的重要性，建立和完善内部控制体系，通过实施内部控制，防范风险，形成内部控制促进风险管理、风险管理保证内部控制目标实现的有效机制。要树立全面、全员、全过程控制的理念，不断建设和完善以风险管理为主线的内部控制机制，以实现企业的持续健康发展。要注重对员工进行培训，强化风险意识，形成主动的风险管理环境，对风险的处置要做到町防、可控、可化解，并通过分析经济、法律、社会、科学技术、自然环境等外部因素以及人力资源、管理、自主创新、财务、安全环保等内部因素可能给企业带来的风险，建立相应的风险防范应对体系，用制度规避风险的发生，用机制控制风险的影响，用责任降低风险的损失，最终达到降低风险、化解风险的目的，最大程度消除风险给企业带来的不利影响。

（二）加强企业的内外部监督，促进内控建设