关于企业风险管理和内部控制的思考

关于企业风险管理和内部控制的思考
摘要：风险管理和内部控制作为现代企业管理理论和方法，对于完善内部管理、预防和控制各种风险、顺利实现组织目标、保护资产的安全与完整，具有不可忽
视的作用。

如何保证企业财会信息真实可靠，构建有效的内部控制和风险管理机制，已经成为当前企业高管层关注的重点。

关键词：风险管理；内部控制；企业
1 企业风险管理与内部控制的含义
企业风险管理又名危机管理，是指生产过程中，风险管理部门对可能遇到的各种风险因
素进行识别、分析、评估，以最低成本实现最大的安全保障的过程。

风险管理是一个过程，
涵盖内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控
框架的实质8 个方面要素。

它们一环扣一环，反复地相互影响，渗透和隐藏在管理层经营企
业的方式之中。

企业内部控制是以专业管理制度为基础，以防范风险、有效监管为目的，通
过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形
成的管理规范。

内部控制包括控制环境、风险评估、控制活动、信息与沟通、内部监督等5
个相互联系的要素，是为企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略提供一种合理的保证。

2 企业风险管理与内部控制的区别与联系
2.1 企业风险管理与内部控制的区别
第一，企业风险管理与内部控制的目的不同。

风险管理的目的是要及时地发现风险、预
测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。

风
险管理注重防范和控制风险可能给企业造成损失和危害，同时把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。

而内部控制是企业内部采取的
风险管理流程规范，仅仅是管理的一项职能，以专业管理制度为基础，实施的遵循性控制活动，它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。

第二，企业风险管理
与内部控制的范围不一致。

企业开展全面风险管理工作是与其他管理工作紧密结合，在综合
考虑内部环境和外部环境的情况下，把风险管理的要求融入企业管理和业务流程中。

而内部
控制则是在内部环境下，根据国家有关法律法规和企业章程建立的公司治理结构和议事规则。

风险管理是以应有的风险意识开展企业管理的各项工作，内部控制是开展各项工作应遵循的
操作规范。

第三，企业风险管理与内部控制对目标的阐述不一致。

风险管理，指企业围绕总
体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好
的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保
证的过程和方法。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告
及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

2.2 企业风险管理与内部控制的联系
第一，在风险导向内部控制的观念下，风险管理将成为组织发展的关键。

随着风险管理
导向内部控制时代的来临，内部控制的工作重点也发生了变化。

现代内部控制除了关注传统
的内审之外，更加关注有效的风险管理机制和健全的企业治理结构。

在风险导向内部控制的
观念下，风险管理成为组织发展的关键，使得内部控制的工作重点不仅包括测试控制，而且
还包括确认风险及测试管理风险的方法。

由于内部控制的自身特点，其参与风险管理拥有一
定的优势。

内部控制机构和人员熟悉本单位情况，对企业面临的风险更了解；内部控制机构
和人员是企业内部成员，其利益同企业发展、兴衰密切相关，对防范企业风险、实现企业目
标有着更强烈的责任感；内部控制机构的独立性使其不同于其他风险管理部门，作为高层次
的监督部门，其风险评估意见直接报告给董事会、审计委员会，足以引起企业领导层的重视。

内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人，通过对长短期计
划的调节、调控，指导企业的风险管理策略。

在现代企业经营管理中，随着内外部环境的变化，各种风险因素增多，内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更
加积极作用，同时内部控制也被赋予了更多的职责和使命。

第二，风险管理是对内部控制的
自然发展。

内部控制和风险管理的根本作用都是维护投资者利益、保护企业资产，并创造新
的价值。

从理论上说，企业的内部控制是企业制度的组成部分，是在企业经营权与所有权分
离的条件下对投资者利益的保护机制。

其目的就是保证会计信息的准确可靠，防止经营层操
纵报表与欺诈，保护企业的财产安全；遵守法律以维护企业的名誉以及避免招致经济损失等。

内部控制的历史起源更早，其要求更为基本，更容易和适合上升到立法层次。

企业风险管理
则是在新的技术与市场条件下对内部控制的自然扩展。

COSO 在《企业风险管理框架》中谈
到风险管理的意义时是这样论述的：“企业风险管理应用于战略制定与组织的各层次活动中。

它使管理者在面对不确定性时能够识别、评估和管理风险，发挥创造与保持价值的作用。

风
险管理能够使风险偏好与战略保持一致，将风险与增长及回报统筹考虑，促进应对风险的决策，减小经营风险与损失，识别与管理企业交叉风险，为多种风险提供整体的对策，捕捉机
遇以及使资本的利用合理化。

”显然，企业的存在是为了创造价值，而价值创造不仅是被动的资产安全等，还应包括机会的利用。

第三，技术的发展推动内部控制走向风险管理。

技术及
市场条件的新进展，推动了内部控制走向风险管理。

在先进的信息技术条件下，会计记
录实现了电子控制、实时更新，使传统的查错与防弊的会计控制显得过时。

然而，风险往往
是由交易或组织创新造成的，这些创新来源于新兴的市场实践。

另一方面，环境保护及消费
者权益保护的加强，都强化了企业的社会责任，稍有不慎，企业就可能遭受来自商品市场或
资本市场的惩罚，表现为企业的品牌价值或资本市场上的市值贬损。

因此，企业需要一种日
常运行的功能与结构来防范风险，包括遵守法律与法规、确保投资者对财务信息的信任以及
保证经营效率等。

因此，从维护与促进价值创造这一根本功能来看，风险管理与企业内部控
制的目标是一致的，只是在新的技术与市场条件下，为了更有效地保护投资者利益，需要在
内部控制的基础上发展更主动、更全面的风险管理。

第四，风险管理与内部控制的组成要素
有5 个方面是重合的。

控制环境、风险评估、控制活动、信息与沟通、监督这5个方面都是
风险管理与内部控制的组成要素。

这些重合是由它们目标的多数重合及实现机制相似决定的。

风险管理增加了目标设定、事件识别和风险对策3个要素。

重合的要素中，内涵也有所扩展。

3 风险管理和内部控制的作用和意义
风险管理和内部控制是社会经济发展到一定阶段的产物，是现代企业管理的重要手段。

如今我国许多企业对内部控制的熟悉还停留在内部牵制阶段，碰到具体新问题都强调灵活性，使内部控制制度流于形式，失去了应有的刚性和严肃性。

随着社会主义市场经济的深入发展，原有内部控制制度的内容和方法已不能满足新形势的发展要求。

由于社会经济环境的变化，
企业将会面临更大的环境变化和生存风险，企业间竞争越来越激烈，企业的经营管理将面临
来自各方面的经营风险，如筹资风险、投资风险、开拓市场的风险、产品集中度的风险、客
户结构的风险、担保风险、信用风险、法律风险、管制风险、声誉风险、技术风险等。

不管
是什么风险，企业都应该建立可以辨认、分析和管理风险的机制，并识别高风险领域，以加
强管控。

风险管理和内部控制的完善不是一朝一夕的事，只有企业提高风险管理和内部控制
意识，提高对风险管理和内部控制的重视，建立和完善企业的风险管理和内部控制机制，风
险管理和内部控制机制才能真正在企业经营管理中发挥出应有的功能，促进企业的发展，从
而改变当前企业由于风险管理和内部控制缺失或失效造成的内部道德风险、营私舞弊、激励
机制失效、会计信息失真的现象。

风险管理和内部控制是衡量现代企业管理的重要标志，“得控则强、失控则弱、无控则乱”，加强和完善企业风险管理和内部控制制度，已成为当前理论界和实务界最为关注的话题之一。

由此可见，完善企业风险管理和内部控制制度，对于完善
企业治理结构和信息披露制度，保护股东的合法权益，增强企业市场风险驾驭能力，有着非
常重要的意义。

现实企业活动中，很多企业里只有内部控制制度或者是只有风险管理活动，
而无法很好的把两者结合起来。

如果只重视内部控制，忽略了风险管理活动，那么企业经营
目标就无法完善地设立，对于风险就不能很好地评估，而且也不能做到对风险的事前预测，
另外一些相互关联的风险也无法规避和降低。

结束语
综上所述，我们可以得知内部控制与风险管理是有一定差异的，但是两者又是辩证统一的，要把内部控制与风险管理融合起来。

不要单单认为风险管理与内部控制只是一项经营活动，它是一项包括了咨询、决策、控制的综合管理系统。

只有把两者结合起来，才能为企业
的健康发展提供有力的保障。

参考文献
[1]王光远，刘秋明.公司治理下的内部控制与审计[J].中国注册会计师，2006，（3）.
[2]周兆生.COSO 企业风险管理框架（中文版）[R].华融资产管理公司，2007.
[3]朱荣恩，贺欣.内部控制框架的新发展———企业风险管理框架[J].审计研究，2003，（6）.
[4]王寅入.谈风险管理与内部控制的区别与联系[J].上海国资，2010，（6）
作者简介：谢琪，身份证号码：31010919******2553。