論企業風險管理與內部控制

龍江進

摘 要：當今世界瞬息萬變,企業和市場受到外界環境的影響,必須快速作出反應。企業要提高自身的國際競爭力及在國際資本市場的信譽度, 減少財務丑聞的發生,必須加緊改善自身的管理,建立完善的內部控制制度,識別和衡量企業所面臨的內外部風險,開展恰當的控制活動,消除或減少企業風險帶來的損失,提高企業的應對能力和競爭力。文章主要通過對內部控制與風險管理的概述，闡述內部控制與風險管理的關系，對企業內部控制制度存在的問題進行研究，提出企業風險防范的有效途徑，從而構建企業風險管理的預警體系，做好企業風險的防范工作。

關鍵詞：風險管理 內部控制 風險防范

中圖分類號：F270文獻標識碼:A

文章編號:1004-4914（2012）09-265-03

隨著社會主義市場經濟建設的不斷深入、全球經濟一體化進程的加快，國內市場和國際市場融為一體,企業所面臨的風險與機遇也是越來越多。企業在新的競爭條件下要想立于不敗之地，實現自身經營目標，建立現代企業制度，必須注重于內部控制與風險管理的研究。

一、風險管理與內部控制概述

（一）風險管理的涵義、要素及目標

企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。企業風險管理一般由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。

1.內部環境。企業的內部環境是其它所有風險管理要素的基礎，為其它要素提供規則和結構，也為風險管理的其它組成因素提供了框架。其中特別是管理當局的風險偏好，決定了公司對可能出現的預料之外的事件的態度，管理當局和董事會必須明確戰略及其執行過程中的風險和回報。

2.目標設定。每個企業都面臨著來自內部和外部的不同風險，這些風險都必須加以評估。評估風險的先決條件是制定目標，風險評估就是分析和辨認實現所定目標可能發生的風險。

3.事件辨別。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上，企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件，事件辨別的基礎是將可能的風險與環境進行對比。

4.風險評估。一般用可能性（概率）和影響結果兩個維度度量風險，前者是一定的負面影響事件發生的可能性；后者是假設事件發生，對經營、財務報告以及戰略產生影響的可能結果，潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。

5.風險反應。風險反應是企業風險管理的整體重要組成部分。企業對每一個重要的風險及其對應的回報進行平衡和評價，結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險，后者又包括風險分離、風險轉換或者減少的形式。

6.控制活動。控制活動是管理當局設計的政策和程序，為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。

7.信息和交流。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息，與財務信息一樣，風險信息必須以一定的形式和框架進行交流，使員工、管理層以及董事履行各自的責任。

8.監督。與內部控制一樣，企業應通過持續的監督和獨立的評價活動，監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象，包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎，或者以日常監督中發現的意外為起點，由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗，內部審計師是提供獨立評價的合適人選。

內部控制是社會經濟發展到一定階段的產物，其內容隨著企業對外滿足社會需要，對內強化管理而不斷豐富和發展。內部控制經歷了內部牽制、內部控制制度、內部控制結構和內部控制整體框架四個階段。內部控制是一個機構內董事會、管理層和其它各方進行的旨在加強風險管理、促進實現既定目標的行為，是一個組織的內部活動，它是通過組織制度、組織機構和組織指令或程序來完成的。

一個完善的企業內部控制系統應該包括五類要素：

1.控制環境。控制環境提供企業紀律與框架,塑造企業文化,并影響企業員工的控制意識,是所有其它內部控制組成要素的基礎。控制環境的因素具體包括:誠信的原則和道德價值觀；評定員工的能力；管理哲學和經營風格；組織結構；責任的分配與授權；人力資源政策及實務；其成員參與管理的程度以及公司內部的董事會和審計委員會等。

2.風險評估。每個企業都面臨著來自內部和外部的不同風險，這些風險都必須加以評估。評估風險的先決條件是制定目標，風險評估就是分析和辨認實現所定目標可能發生的風險。

3.控制活動。企業管理階層辨識風險,然后應針對這種風險發出必要的指令。控制活動是確保管理階層的指令得以執行的政策及程序,如核準、授權、驗證、調節、復核營業績效、保障資產安全及職務分工等。控制活動在企業內的各個階層和職能之間都會出現,這主要包括:高層經理人員對企業績效進行分析；直接部門管理；對信息處理的控制；實體控制；績效指標的比較和分工。

4.信息與溝通。企業在其經營過程中,需要按其某種形式辨識、取得確切的信息進行溝通,以使員工能夠履行其責任。信息系統不僅處理企業內部所產生的信息,同時也處理與外部的事項、活動及環境等有關的信息。企業所有員工必須從最高管理階層清楚地獲取承擔控制責任的信息,而且必須有向上級部門溝通重要信息的方法，并對外界顧客、供貨商、政府主管機關和股東等做有效的溝通。

5.監控。內部控制系統需被持續監控。監控是由適當的人員,在適當及時的基礎上,評估控制的設計和運作情況的過程。監控活動由持續監督和個別評估所組成,其可確保企業內部控制能夠持續有效的運作。

COSO報告認為,企業建立完善的內部控制體系,旨在達到三個目標：第一是經營的效率和效果；第二是財務報告真實完整；第三是恰當地遵循了相關法律、法規。

（二）風險管理與內部控制的聯系與區別

1.風險管理與內部控制的聯系。

（1）內部控制是風險管理的必要環節。內部控制的動力來自企業對風險的認識，內部控制是為了實現經濟組織的管理目標而提供的一種合理保障，良好的內部控制可以保證企業合規經營、財務報表的真實可靠。

（2）風險管理涵蓋了內部控制。風險管理與內部控制的組成要素有五個方面是重合的，即控制環境、風險評估、控制活動、信息與溝通、監督，這些重合是由它們目標的多數重合及實現機制相似決定的。內部控制是一個系統工程，風險管理是一個更大的系統工程。全面風險管理控制的手段不僅包括事中和事后控制，更為重要的是在事前制訂目標時就充分考慮了風險的存在，尤其是對戰略計劃制定當中的風險進行評估。

2.風險管理與內部控制的區別。

（1）內部控制僅僅是管理的一項職能，而全面風險管理屬于風險范疇，貫穿于管理過程的各個方面。

（2）風險管理與內部控制都是為了實現企業的目標提供合理的保證。風險管理的目標不僅包括內部控制的三個目標，還包括報告類目標。而且報告類目標有所擴展，它不僅要求財務報告準確可靠，而且要求所有的非財務類報告準確可靠。另外，風險管理增加了戰略目標，這意味著風險管理不僅是確保經營的效果與效率，而且介入了企業戰略制定過程。

（3）COSO全面風險管理框架對風險的定義是：對企業的目標產生負面影響的事件發生的可能性。因此，該框架可以涵蓋信用風險、市場風險、戰略風險以及業務風險等各種風險，而內部控制框架并沒有區分機會和風險。

（4）內部控制是為實現經營的效率、財務報告的真實與可靠性、合規性三類目標而提供合理保證的過程，而風險管理則是為實現包含經營的效果和效率、財務報告的可靠性、合規性三類目標在內的組織所有目標提供合理保證的過程。顯然，風險管理概念外延更廣。

（5）《企業風險管理框架》借用現代金融理論中的資產組合理論，提出了整體管理與風險組合的理念，要求企業從總體上把握分散于企業各層次及各部門的風險問題，以統籌考慮風險對策，防止分部門分散考慮與應對風險。因此，該框架在風險度量的基礎上，有利于企業的長期發展戰略與企業的風險偏好保持一致，風險與回報相聯系，從而幫助董事會和高級管理層實現全面風險管理的目標，而這些內容都是內部控制框架中所沒有的。

二、企業在防范風險方面存在的問題

在企業風險管理框架中內部控制系統是風險管理的重要環節，內部控制是企業對其所面臨風險的一種反應，是在風險狀態下對企業目標的實現提供合理的保證。所以說要防范風險首先必須完善內部控制制度，建立健全的內控體制。我國由于實行市場經濟時間只有十多年的時間，企業剛剛認識到內部控制的重要性，對內部控制的研究和實踐正處于摸索階段。因此,企業內部控制制度存在很多問題,主要表現在以下幾方面：

一是對內部控制制度的認識不足，而且執行不力。由于內部控制制度的不能直接產生經濟效益，間接效益需要較長周期才能看出，因而多數企業把精力放在生產和營銷上。

二是缺乏有效的監督機制，目前我國雖形成了包括政府監督和社會監督在內的企業外部監督體系，但是監管體系中的工作人員對一些企業的重視程度不夠，加上企業的內部審計缺乏有效的監督機制，不能充分發揮其職能，因此種種監管形同虛設。

三是未形成完善的內部會計控制制度體系。許多企業只注重建章建制,不考慮實際情況也沒有配套相應的責權制度,而且制度沒有隨著業務發展和競爭環境的改變及時進行修訂和補充,使得內部控制制度操作性不足,有效性和完整性缺乏。

四是企業忽視事前事中的風險防范控制,過多地偏重于補救為主的事后控制,也造成了內部控制不及時。

三、企業防范風險的有效途徑

（一）健全內部控制制度以防范企業風險

內部控制貫穿于企業經營活動的各個方面，只要存在企業的經營管理和經營活動，就存在企業的內部控制。要想做好企業的內部控制，我認為應從以下幾個方面入手：

1.完善企業內部治理結構。這一體系要求職業的管理者階層和管理者市場，要求所有權與管理權的分離。

2.加強單位負責人的自覺控制意識。內部控制成敗取決于企業員工的控制意識和行為，而單位負責人內部控制的自覺意識和行為也是關鍵。

3.企業要重視風險評估。現代社會是一個充滿激烈競爭的社會，每一個企業都面臨著成功的挑戰和失敗的風險。

4.建立有效的組織結構與控制程序。在組織結構方面，要建立健全符合會計制度要求的企業財務管理部門，要明確企業財務人員的職權范圍，明確劃分財會部門人員的權利和義務。

5.加強信息溝通。企業的信息系統包括企業的財務信息系統和管理信息系統。在企業內部通過信息溝通，使每位員工都必須了解內部控制制度的有關方面

6.加強內部審計。內部控制是對企業的整個經營管理活動進行監督與控制的過程，企業內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。

（二）加強風險管理,化解企業風險

內部控制雖然可以防范企業風險，并構成風險管理的必要環節，但內部控制并不等于風險管理本身，它不能轉嫁、承擔、化解或分散企業風險。因此，企業必須加強風險管理。

1.明確風險控制的目標責任。在健全的法人治理結構下，企業經營者全盤負責本單位的風險管理，建立從董事會到各職能部門、員工個人的嚴密、暢通的信息網絡，一旦發現問題，能夠及時尋找負責對象，并結合有效的獎懲制度，促使責任人在未來經營期間不再重蹈覆轍。

2.建立風險預警機制,規避事前風險。風險的預警、評估既是現代企業內部控制的重要組成內容，更是企業風險管理的基礎。把風險消滅在萌芽狀態，以避免或減弱對企業的破壞程度。

3.事中風險、事后風險的管理。在企業經營活動過程中，風險與危機可能存在的前提下，運用各種定量、定性分析方法，觀察監督風險狀況，及時預防、阻止、抑制不利因素的發展，將風險損失及其有關財務后果轉嫁給其它單位或組織，實現風險社會化。

四、構建企業風險管理的預警體系,做好企業風險防范工作

每個企業應按照風險管理的基本程序做好風險識別、風險評估和風險控制，按照內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流、監督等要素構建風險管理的基本框架。

1.要結合企業實際制定風險管理總體目標。在制定風險管理目標時要綜合考慮這幾個因素：第一是企業風險的承受能力；第二是確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；第三是要遵守有關法律法規；第四確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果,降低目標的不確定性；第五確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。

2.加強對員工的風險控制管理，完整風險管理體系。大力加強對員工的職業道德教育，對員工開展誠信教育，使其增強自我控制能力，從而增強公司內部控制系統的有效性。建立以誠信為基礎的公司文化，對違反誠信的員工進行懲罰，同時要加強員工的業務素質培訓，使其在各自崗位上盡職盡責。全面風險管理是對整個機構內部各個種類、各個層次風險的通盤管理，全面風險管理可使組織中各業務單位分散的決策者之間協調合作，有利于審計和監督。

3.建立健全風險分析、評估、預警、處置工作流程。要能夠很好地防范企業經營風險，必須按照風險級別建立一套有效的企業風險管理制度和流程。

參考文獻：

1.樊行建.企業風險管理與內部控制.會計之友,2007(10)

2.閆修輝,熊華根.論內部控制與企業風險管理.航空工業經濟研究,2007(5)

3.張曉麗.加強內部控制防范企業風險.商業現代化,2007(4)

4.宋蔚蔚.新內部控制規范風險導向化思路謅議.財會通訊,2007(8)

5.張穎萍.審計風險及其控制研究.會計之友,2007(6)

6.楊曉華.企業內部控制與風險管理關系探究.集團經濟研究，2007(5)

7.COSO制定發布.企業風險管理——整合框架.東北財經大學出版社，2005

8.劉志遠.企業風險管理理念與公司治理和經營治理的協調.財務與會計，2007

9.楊書懷.企業風險管理框架》與《內部控制整體框架》的比較分析.技術經濟，2006(4)

10.劉霞.關于企業風險管理框架的若干思考.經濟研究導刊，2007(2)

11.王福年.內部控制在風險管理中的作用.工業審計與會計，2007(3)

12.曹亞勇.企業風險管理與內部控制.當代經濟，2007(7)

13.劉升勇.企業風險管理與內部控制比較研究.財會新空,2006(1)

14.宋常，丁衛.企業風險管理與內部控制關系探微.學術交流，2007(2)

（作者單位:西山煤電（集團）有限責任公司 山西太原 030053）

（責編:賈偉）