企业内部控制与风险管理论文

企业内部控制与风险管理论文

【摘要】风险控制行为是那些集中于避免、防止、减少或其他控制风险与不确定性的行为。

【关键词】 coso报告内部控制风险管理

近几年来，国内外发生了一系列的企业丑闻和失败事件，投资者、公司员工和其他利益相关者因此而遭受了巨大的损失。在不规范的市场环境里企业面临各种独特的风险，我国企业迫切需要完善公司的内部控制以有效地防范和控制企业面临的各种风险。

一、企业风险管理的发展回顾

在内部控制和风险管理的演进过程之中，美国coso委员会的突出贡献是举世公认的。coso委员会1992年提出并于1994年修改了《内部控制——整体框架》，coso报告提出了内部控制要素概念，并将其分为控制环境、风险评估、控制活动、信息与沟通和监控。风险评估则是指管理层识别并采取相应行动来管理对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别、风险分析和管理。风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。

2008年6月28日，我国财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》（下称“内控规范”）。自2009年7月1日起在上市公司范围内施行，同时鼓励非上市的

大中型企业执行。内控规范要求企业建立内部控制体系时应符合以下目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。内控规范借鉴了以美国coso报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：内部环境；风险评估；控制活动；信息与沟通；内部监督。

2004年9月，coso委员会正式发布《企业风险管理——整合框架》，报告拓展了内部控制，更加广泛地关注于企业风险管理这一更为宽泛的领域。企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在主体的风险容量之内，并为主体目标的实现提供合理的保证。企业风险管理基本框架包括八个方面内容：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成。这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念，为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。

二、我国企业风险管理的现状及问题

目前我国企业的内部管理和风险控制方面，与国际化、现代化集团公司相比，还存在以下问题和不足。

1、从思想认识方面看。首先在有些管理人员对内部控制的认识和理解上存在偏差。内部控制远远不是各项工作制度和业务规章的汇总，规章制度必须包括制度制定，制度执行和制定执行结果的考核，三者构成了一个统一的有机整体。其次表现在管理人员重经营轻管理、风险管理观念淡薄，低估风险管理的重要性。有些员工甚至认为风险管理仅仅是公司高层的事情、老板的事情，与自己无关。此外，不少员工还习惯于在风险面前明哲保身，往往出现经营效率低、资源浪费严重、不求进取等弊端。

2、从制度建设方面看。首先表现在不少公司内部机构设置不料学、部门之间分工不明确，权力制衡在运行中失灵。不少公司的机构设置一直处于变化之中，对分支机构等部门的管理授权不清，责任不明确。监事会和内部审计部门的内部核查工作往往流于形式。其次，缺乏有效的资源调剂系统和资金成本核算机制，各个分公司和有关分支机构之间竞相争夺资源，有限的资源无法得到优化配置，从而不能为企业及股东创造价值。

3、从经营管理方面看。首先表现在我国不少企业缺乏明确的经营方针，不能制定适合自身实际的发展战略和中长期经营目标。不少企业不断地转换行业，短期行为倾向极其明显。其次表现在许多企业的会计管理十分薄弱，无法提供详细真实的会计信息，有些企业内部监督层次不高，没有受到足够的重视。企业的内部审计机构形同虚设，人员很少，审计部门根本无法真正发挥应有的作用。三、加强内部控制系统，防范企业的风险

由于上述问题的存在，我国企业在发展和成长过程中，在扩展和创新业务时，必须有效地防范和化解风险以减少资产损失。内部控制是企业风险管理不可分割的一部分，企业做好风险管理的前提就是做好内部控制，加强内部控制是防范风险最有力的保障措施之一。要完善我国企业的风险管理，我们应该做好以下几方面的工作。

1、在思想认识方面。我国企业应明确内部控制的目标、原则和内容，在实践中找出差距和不足，正确评价企业的内部控制系统，明确如何完善其内部控制系统。我国财政部、人民银行、中国证监会等有关部门颁布的各种规范，就值得我们在建立内部控制的过程中加以贯彻。

2、在制度建设方面。通过制度的方法将风险减低到可以接受的地步。我国企业要强化制度建设，使之适应企业的经营战略，同时企业应完善岗位责任制制定严格的奖惩机制。以工程公司为例，首先应从各个工程项目入手，制定流程控制和管理控制制度，其次对各项岗位间的衔接点要有相应的制约和控制。公司需要对风险控制的流程加以明确，对不同岗位人员、确定不同的管理权，制定与之相应的岗位责任制。针对该公司的实际情况，公司还对各种岗位的流程图逐一加以说明。最后应完善内部审计制度，降低风险防范系统的剩余风险。

3、在经营管理方面。我国企业首先应认清自己的竞争中所处的位置，根据市场变化确定目标客户，并按照客户的需求进行产品创新，明确企业的发展战略和中长期经营目标。其次要建立高效的会

计控制系统管理，以数据化、网络化实现内部控制现代化。再次要设置专职从事监督管理和风险管理的部门，安排资源的风险管理人员。

四、借鉴西方发达国家经验，完善企业内部控制建设

在通过制度的方法将风险减低到可以接受的地步方面，我国企业则明显落后于西方企业。在经济全球化的大背景之下，企业更需要学会积极主动地承担风险和管理风险，把内部控制框架的建立与企业的风险管理相结合，使企业能够有效地应对不确定性，增进创造企业价值的能力。

1、培育讲究诚信的企业文化，完善公司的内部控制系统。即使公司已经设计出一个理想的内部控制制度，这一制度的有效性也还要取决于执行制度的人的胜任能力和可靠性。公司只有拥有能胜任工作要求、诚实可信的员工，才能使其内部控制有效地运行起来。公司应培育讲究诚信的企业文化，防范员工的失德行为，提高公司员工的诚信程度，从而增加公司内部控制系统的有效性。比较可行的措施和方法有：讨论建立公司的行为准则，建立以诚信为基础的公司文化。完善公司的人力资源政策和实务，千方百计地招聘和留住那些能力强、诚实可信的员工。

2、大力加强对员工的风险控制管理，规范员工行为。企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的过程，涉及一个企业各个层次的员工。公司应大力加强对员工的守法意识、职业道德教育，严禁员工利用职务之便为自己和他人谋取私利，