淺談企業內部控制與全面風險管理

趙紅彬

一、企業內部控制與全面風險管理之間的關系

內部控制是指由企業董事會、監事會、經理層和全體員工所共同實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。企業內部控制主要包含內控環境、風險評估、控制活動、信息與溝通以及內部監督五個要素。

全面風險管理是一個過程管理，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。

內部控制與全面風險管理兩者之間既有一致性，也有不同之處。內部控制和全面風險管理兩者都貫穿于企業日常經營管理活動中，最終目的都是要實現企業價值；內部控制是全面風險管理的必要環節，全面風險管理涵蓋了內部控制的業務范圍。企業全面風險管理是站在更高戰略層次上分析問題，它比內部控制更加全面和細化，能更好的解決企業經營活動中出現的各類風險問題。

二、我國企業內部控制與全面風險管理現狀

1.企業內部控制對內部制環境建設重視程度不夠

內部環境對于企業發展戰略、經營活動及風險識別有重大影響。內部環境是企業實施內部控制的基礎，企業內部控制是否有效很大程度上取決于內部環境。我國企業在內部環境的建設方面還不完善。

2.內部審計缺乏獨立性，在內部控制發揮的作用有限

內部控制主要服務于企業內部管理，而內部審計是公司治理的重要基石。內部審計在企業風險管控體系中是相對獨立的監督系統，對風險管理、內部控制以及公司治理的充分性和有效性進行監督和評價，把風險和控制信息傳遞組織的的適當領域。現實中大多數企業的內部審計部門往往不被重視，受管理層直接領導，對高層管理者帶來的風險無法有效監控。

3.企業風險控制概念相對狹窄,對全面風險管理理解不夠

企業沒有形成全員共同參與風險管理的觀念，認為風險管理是公司高層考慮的事情，與大多數員工沒關系。在這樣傳統思維的影響下，無法激起全體員工參與企業全面風險管理的積極性和主動性，不能在第一時間發現和處理經營管理中的風險問題，致使全面風險管理無法在企業全流程中得到貫徹與實施。

4.企業風險管理決策缺乏支撐依據，無完善的風險評估體系

目前，我國大多數企業內部控制具有很大的主觀性，隨企業領導變化而改變。企業風險管理水平較低,風險管理手段落后；風險管理評價標準不統一，風險評估體系不健全。企業進行風險預測、識別和處理，主要根據已有的經驗，缺少科學的分析模型及量化分析。風險數據庫是企業經營管理的重要決策基礎，沒有歷史風險數據的支撐，企業的風險管理就無法做到防患于未然，就會給經營決策帶來較大風險。

5.信息孤島問題突出，信息資源共享受限

我國的普遍情況是企業內部沒有整合信息資源，無法實現信息資源共享。主要表現在：信息更同步性差，信息使用和管理效率低下，孤立的信息系統無法實現信息共享，局部信息不能形成有價值的管理信息，對企業的決策支持只能流于表面，無法為企業治理帶來實質性的幫助。

三、改進和完善我國企業內部控制與全面風險管理的主要措施

1.建立、健全科學有效的風險管控機制

構建完善的風險管控機制是防范企業風險的關鍵所在。首先是建立和完善風險管理的預警機制和過程控制機制，其次是實行全員風險管理,將風險機制引入企業內部，做到權責利相匹配。

2.依據制衡原理，建立科學的內控體系

內控體系是內部控制目標順利實現的充分必要條件和重要保障。企業內控體系主要由三部分組成：一是在企業一線業務單位全過程融入相互制衡的以“防”為主的監督防線；二是建立企業內控部門以“管”為主的監督防線；三是開展由審計委員會領導的、對董事會負責的獨立的內控綜合評價及內部審計，對企業各單位實施全流程監管,建立起以“審”為主的監查防線。三個層次構筑的內部防控體系,對企業經濟活動進行全過程、系統性的監督控制,對于企業及時發現問題、防范和解決企業管理風險，具有積極的作用。

3.深入開展內部控制評價工作，全面、透徹的分析企業內部控制的有效性

任何機制的有效運作都需要有相應的配套措施和好的執行力。內部控制評價制度是企業內部控制有效運行的必要條件。建立一套高層重視、管評結合、方法科學、全程追蹤、實用性強的評價指標體系并加以貫徹實施，才是企業內部控制制度有效運行的重要保證。

4.建立和完善動態的風險評估機制，確定合理的風險政策

一般情況下，風險和控制總是緊密相伴的。內部控制是否有效的最主要依據就是風險評估，企業要實施有效的內部控制，就要識別和衡量它所面臨的風險及其風險因素，這是采取有效控制活動的依據和前提。企業應結合自身情況，根據成本效益原則、全面性原則等，建立適當的風險評估模型，減少風險負面影響，有效防范企業風險。

5.構建高效暢通的信息溝通機制，實現內外信息共享

建立健全企業內部控制系統的充分必要條件是擁有完善的信息傳遞、溝通與反饋的信息系統。無障礙的信息溝通不是簡單的信息系統建設，而是企業對內、外部信息的傳遞、使用及質量要求。企業應該結合自身的經營特點，建立適應自身發展的信息管理系統，使信息在企業內部的傳遞與使用變得高效、透明，為公司治理提供強大的信息技術支撐。

總之，在日常經營管理中，用全面風險管理思想貫穿其中，積極有效的防范和應對風險，完善和細化企業內部控制，利用現代化的信息管理手段，把二者緊密結合起來，使公司治理變得日益科學化、精細化、信息化和國際化，這樣企業才能做到風險管理與內部控制的完美統一，才能有望成為市場的“百年老店”。

[1]周兆生.COSO企業風險管理框架(中文版)[R].華融資產管理公司,2007.

[2]國資委《中央企業全面風險管理指引》2006年.

[3]財政部等五部委《企業內部控制基本規范》2008年.