国有企业内部控制风险管理论文

浅析国有企业内部控制与风险管理中图分类号：f275 文献标识：a 文章编号：1009-4202（2011）03-122-02

摘要本文从国务院各部委颁布的内部控制规范和风险管理有关法规政策出发，通过对内部控制与风险管理的联系和区别进行比较，针对目前国有企业内部控制与风险管理的现状，分析其形成原因，并提出运用风险管理方法构建风险导向型内部控制体系的对策与建议。

关键词国有企业控制规范风险机制

2008年由美国次贷危机引发的全球金融海啸，引起我国各行各业对企业内部控制与风险管理体系建设和评价达到了前所未有的

重视程度。为有效控制企业风险，我国相继出台了一系列法规政策，2006年6月为促进中央企业内部控制建设和全面风险管理工作国资委出台了《中央企业全面风险管理指引》；财政部会同审计署等五部委2008年6月联合发布了《企业内部控制基本规范》，2010年4月再次发布了《企业内部控制配套指引》，共同构建了中国企业内部控制规范体系，对企业防范风险、控制舞弊、促进发展产生积极的推动作用。本文通过剖析内部控制与风险管理的联系和区别，针对目前国有企业内部控制与风险管理的现状，分析了其形成原因，并提出了运用风险管理方法构建风险导向型内部控制体系，形成“自我免疫机制”的对策与建议。

一、内部控制与风险管理的联系和区别

内部控制与风险管理是一对既相互联系又存在区别的概念。内部控制是指为合理保证企业经营管理合法合规、资产安全、财务信息真实完整，提高经营效率和效果，促进企业实现发展战略，由董事会、监事会、经理层和全体员工设计与实施的政策和程序，旨在实现控制目标的过程。风险管理是由企业董事会、经理层和全体员工共同参与的，应用于企业战略和内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

两者相同点：（1）目标一致性，均为提高经营效率和效果、经营合法合规、财务报告可靠、资产安全、实现发展战略等5个目标，首要目标提高经营效率和效果，终极目标是实现发展战略；（2）都强调是全员参与的管理，是由企业董事会、管理层以及全体员工共同实施的，指出各方在内部控制或风险管理中都有相应的角色与职责；（3）也都是企业全方位的管理，明确是一个持续不断的“过程”，其本身并不是一个目标，而是实现目标的一种工具和手段，都是渗透于企业日常管理过程中的一系列行动，需作为一种常规运行的机制来建设；（4）都是为企业目标的实现提供合理保证，而不能提供百分之百绝对保证。

两者的差别主要体现在：（1）在报告目标的范围上风险管理有所扩展，将“财务报告的可靠性”发展为“报告的可靠性”，报告范围由“财务报告”扩展到“内部的和外部的”“财务的和非财务的”报告，涵盖了企业的所有报告；（2）在内容上风险管理更丰富，

引入了风险管理文化、风险偏好、风险承受度以及风险应对策略等新概念；（3）两者侧重点不一样，风险管理更偏向过程的前端，更偏向于对影响目标实现因素的识别、分析、评估与应对，是一个更为独立的过程，而内部控制更加重视实施，嵌入到企业各业流程的具体业务活动中，融合在企业的各项规章制度之中。

可见，内部控制与风险管理既相辅相成、又各有侧重的现代管理元素，不存在包涵或被包涵关系，也无法完全替代，两者都是公司治理极为重要的组成部分。

二、目前我国国有企业内部控制与风险管理的现状

从目前总体情况来看，我国国有企业内部控制与风险管理建设工作还处于起步阶段，基本上都建立了自已的内部控制体系，也有一些风险管理策略，但其内部控制和风险管理的水平和效果尚不容乐观，实际执行中存在诸多问题，主要如下：

1．法人治理结构不完善，内部人控制现象严重。现阶段我国绝大多数国有企业虽然进行了公司制改造，但其法人治理结构普遍存在问题，设计不科学，股东会、董事会和监事会等核心机构形同虚设，审计委员会、风险管理委员会、董事、独立董事和监事会只是形式上挂个名，没有实际行使监督治理职责，导致董事不“懂事”、独董不“独立”、监事不“干事”。企业管理者集控制权、执行权和监督权于一身，内部人控制现象严重，自觉不自觉地凌驾于内部控制之上。

2．内部控制制度缺乏系统性，制度执行流于形式。绝大多数国

有企业都建立了比较多的内部控制制度，其内容应有尽有，但制度间缺乏有效衔接，甚至存在“互相打架”现象。一些新开展业务领域，其风险容易发生的关键环节没有有效控制措施。制度执行流于形式，主要有3种情形：一是执行不到位，出现制度与实际执行“两层皮”现象，纸上写的、墙上挂的是一套，执行的是另一套；二是不愿意执行，因人员数量不足、水平不够、能力有限，以忙于具体工作业务为由没时间去执行；三是故意不执行，为谋求个人利益，先把水搅混，好从中摸鱼。

3．内部审计机构不健全，内外部监督未形成有效合力。有的没有设立内部审计部门，有的内部审计部门与财务或纪检合署办公，有的虽然单独设立了内部审计部门却形同虚设，不具备真正意义上审计的独立性，从而缺乏客观性，发现不了问题，或者发现了问题也不让追查，内部审计没有发挥其应有监督作用。企业、注册会计师和有关监督部门在在内部控制监督评价工作中，监督标准不一，各种监督职能交叉，各监督主体缺乏横向沟通，未能形成有效合力。

4．风险管理薄弱，缺乏有效风险管理体系。企业缺乏有效对已经面临的和即将面临的风险作出系统分析、整体评价和管理风险的机制，没有制订具体的风险控制点，也没有将风险控制点分解和责任控制到岗、到人；一旦盲目扩张出现了问题，采取“头痛医头，脚痛医脚”的“灭火式”风险管理模式，抗风险能力较差。更没有将企业风险管理与内部控制有机结合起来，建立风险导向型内部控制体系。

三、原因分析

导致上述问题的产生，既有大环境下法规政策和理论研究方面存在缺陷的深层次原因，也有企业本身对内部控和风险管理制重视不够、设计制度不足、执行和监督评价不到位等方面的个性原因：1．我国内部控制和风险管理制的理论研究和实践工作仍处在摸索阶段，其理论研究基本上借鉴美国coso《内部控制-整合框架》、《企业风险管理-整合框架》相关理论，与实际国情、行业特点结合不够。在《配套指引》出台之前，相关法规政策条例倾向于定性描述，缺乏具体标准，没有实务操作指引，为企业内部控制的实际执行和客观评价工作带来一定难度。企业董事长、总经理、监事由上级任命，且董事会成员和管理层成员高度重叠，企业内部人集控制权、执行权和监督权于一身，经营权得不到有效的监控，容易产生滥用职权、以权谋私等现象，进而影响内部控制的实施和健全。治理结构不完善是阻碍国有企业实现发展战略的根本性问题。

2．没有风险文化，缺乏风险意识。没有风险文化，企业的风险管理机制就失去了灵魂，缺乏风险意识，是企业最大的风险源。风险管理意识不足，一方面风险意识淡薄，投机心理、侥幸心理比较重，另一方面求稳心态较重，经营偏保守，注重规避风险，而不是管理风险，不能有效控制风险并利用其发展机会。

3．企业没有对内部控制制度进行测试评价，并根据测试评价结果及时修订。内部控制评价是推动企业内部控制机制建立健全的重要手段，内部控制制度在实行之前，一定要对其完整性、有效性、