企业内控风险管理实现方法

企业内控风险管理实现方法

摘要：在国际国内企业频频出现风险管理问题的背景下，首先阐述内部控制的内涵范畴，然后介绍内部控制发展历程，以及全面风险管理内部控制的各个要素组成，最后分析如何实现企业风险管理的整合框架思路。

关键词：内部控制风险管理实现

一、内部控制的内涵

人们对内部控制的定义经历了从简单到复杂、从静态到动态、从以制度为本到以人为本的一种逻辑演绎，体现了人们对内部控制认识的逐渐深化，加深了人们对内部控制的进一步理解，从而使人们对内部控制这一客观事物的认识更能贴近事物的本原。所谓内部控制，是由企业建立的，通过约束和激励等手段，以保障企业各利益相关者的行为能够按契约的要求进行，并能够促使契约自我优化的一种系统化的机制，其目的是为了实现企业目标。

二、企业风险管理整合框架的诸要素构成

1.内部环境。内部环境是企业风险管理其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标的制定、经营活动的组织以及风险的识别、评估和应对，它还影响着控制活动、信息与沟通体系以及监控措施的设计与运行。

2．目标设定。企业在既定的任务和背景下，制定战略目标、选择战略，并制定相关目标，将其细分至企业的方方面面，与战略保持一致并相联系。

3．事件识别。管理当局必须识别可能对企业产生影响的潜在事项。潜在事项具有负面的或正面的影响，或两者兼而有之。具有潜在负面影响的代表风险，管理者要对之进行评估和做出反应。相应地，风险被定义为事项发生并对目标实现产生不利影响的可能性。具有潜在正面影响的事项代表机会。代表机会的事项引导管理者制定战略和相关目标，以便采取行动抓住机会。

4．风险评估。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估：可能性和影响，并且通常采用定性和定量相结合的方法。评估风险时既要考虑固有风险，也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。

5.风险应对。在评估相关风险以后，管理者就要确定如何应对风险。风险应对有四种类型：回避，即退出会产生风险的活动;降低，即采取措施降低风险的可能性或影响，或者同时降低二者;分担，即通过转移的方式来降低风险的可能性或影响，或者分担一部分风险，如购买保险产品、外包一项业务活动;承受，即不采取任何措施去改变风险的可能性或影响。

6.控制活动。控制活动是帮助管理当局实施风险应对方案的政策和程序。控制活动贯穿于整个组织，遍及各个层级和各个职能机构。

7.信息与沟通。组织中的各个层级都需要信息，以识别、评估和应对风险。可以通过建立一套信息系统、建立整个企业范围的数据

管理程序(包括对相关信息的获取、维护和分配)来解决。沟通包括企业内部沟通和外部沟通。有效的内部沟通会出现在组织中向下、平行和向上的流动。除了内部沟通，企业还需要外部沟通。通过有效的外部沟通，客户和供应商能够提供与产品或服务的设计和质量有关的重要信息，从而使企业能够不断关注客户需求或偏好的变化。

8.监控。企业风险管理的监控是指随时对其构成要素的存在和运行进行评估，必要时加以修正。监控可以以持续监控活动或者个别评价两种方式进行。包括内部监控和外部监控两方面，企业要将他们所评价出的企业风险管理缺陷和提供的有关风险管理的重要信

息向上报告，严重的问题还需报告给高层管理人员和董事会。

三、企业风险整合框架实现方法

1．内部控制环境方面。控制环境的定义是五个要素中最重要的因素，控制环境确定了管理层的基调，并影响人们的控制意识。这是所有其他内控要素的基础，提供了规则和结构，其基本原则包括：（1）健全的道德观和诚信的文化。组织应具有明确的价值观，监控各项活动，并采取措施;（2）有效而独立的董事会。应建立独立而有效的监督机制。独立而有效的监督，可以是来自于公司外部的机构或个人，也可能来自于公司的拥有者;（3）管理层的运行方式促进良好的控制。管理层应设定目标，并为各项活动设定一个基调;（4）权限和责任的分配与财务报表的目标是一致的。权限和责任的分配是从董事会和财务总监开始的;（5）人力资源政策和规程支

持有效控制。应考虑激励因素、招聘、培训和其他活动。

2．内部监督。监控的目的，是通过识别控制的缺陷和漏洞并持续改进以创造效率。监控是指内控系统应该被有效监控，它是评估内控系统在一段时期内有效性的流程。这将通过持续的监控活动和独立评估以及两者相结合的方式来实现。

3．信息沟通。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。发现的问题，应当及时报告并加以解决。利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。4．控制活动。企业应该企业发展战略，确定各种业务和事项的控制目标并设计控制活动，结合各自业务流程，将控制活动整合在各项业务循环中，常用的控制活动包括：不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考核等。

5．风险评估。首先需要建立风险评估机制以确定风险承受度，识别内部、外部风险，采用定性与定量相结合的方法，对风险进行分析和排序，这种机制不是一年一度的填表流程，而应该是每个部门定下的工作原则，在每个项目的开始阶段必须执行的工作流程;然后确定关注重点和优先控制的风险，根据风险评估的结果，结合风险承受度，权衡风险与收益，确定风险应对策略并且持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略，要让风险评估成为日常工作的标准流程，首先必须在制度

中明确规定;另外，必须对员工进行必要的培训，使每个岗位的员工应当知晓本职工作可能存在的各种风险。

参考文献：

[1]谢志华.内部控制：本质与结构[j].会计研究，2009，（12）.

[2]陈志斌.信息化生态环境下企业内部控制框架研究[j].会计

研究，2007，（1）.

[3]杨周南，吴鑫.内部控制工程学研究[j].会计研究，2007.