淺談企業內部控制體系的建立

張麗

摘要：隨著市場經濟的發展和企業環境的變化，現代企業不僅面臨的困難日益增大，而且還會面臨一定的風險，這個風險包含的內容是多方面的，而且這種風險已經成為影響企業發展的重要因素。雖然目前許多企業表面存在著其內部控制制度，但在內部控制制度的設計、實施和監督等環節，存在諸多問題。本文以風險管理為主導對企業內部控制體系的建立，進行了一定的分析和探討，并提出了一定的見解。

關鍵詞：風險管理；內部控制；體系；建立

1.風險管理與內部控制的概念簡述

1.1風險管理簡而言之是指如何在一個有風險的環境里把風險減至最低的管理過程。

國資委發布的《中央企業全面風險管理指引》中關于全面風險管理的定義是：指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

1.2企業內部控制的概念

內部控制，其實質就是企業是為了保證經營活動的正常進行、資產的完整安全、會計信息數據的真實可靠等一系列經營目標的實現而對企業內部進行調整、約束、監督和評價的方法和措施的總稱。企業內控的目的就是保證會計信息之準確可靠，防止操縱報表與欺詐，保護公司的財產安全，維護公司的名譽并避免經濟損失等。

1.3 風險管理和內部控制的聯系

（1）二者都是由企業管理層以及其他管理人員共同實施的，強調全員參與，各部門在內部控制或風險管理中都有相應的角色與職能。（2）二者都是動態的過程，而非靜態，都滲透于企業各項活動之中，其本身并不是一個結果，而是實現結果的一種方式。（3）二者都為企業目標的實現提供合理、合法的保證。（4）二者在控制環境、風險評估、控制活動、信息與溝通、監督機制上是一致的。

內部控制是企業風險管理的一種手段，是企業風險管理不可分割的一部分；健全的內部控制是企業風險管理的基礎；內部控制也應該是以風險為主導的內部控制，而不是單純制度、政策或表面程序。

2.建立以風險管理為主導的內控制度應考慮的因素

2.1明確內部控制的目標。內部控制目標，是決定內部控制運行方式和方向的關鍵，也是認識內部控制的出發點。以風險管理為主導，建立可操作性強、富有成效的內部控制，必須對內部控制的目標進行清晰定位。具體體現在：（1）信息的可靠性。企業的大量事項是靠有關行為人接受企業的委托而行使的，故在委托條件下，受托人必須向委托人報告受托事項的真實履行情況，防止受托人制造虛假信息，故保證信息的真實是風險控制的一個基本目標；（2）企業資產安全的保障。在企業經營管理過程中，各責任主體因工作關系必然會占用一部分資產，而這些財物因控制或管理不當，有可能被侵吞，或被轉移或被租賃，或被挪用等。所以，保障資產的安全當是風險控制的又一目標；（3）企業內部各種制度的遵守。有效避免所屬分層各責任主體可能違反這些制度，保證各責任主體的行為合乎規范是風險控制的目標之一；（4）經營的效率與效益。企業的目標是生存、發展，要實現這些，必須保證經營的效率與效益，以實現企業價值的最大化；（5）根據企業實際情況，制訂的其他內控目標。

2.2 明確內控對象及風險的控制范圍。風險控制必須針對全員，而非只包括決策層，或普通員工。全員包括領導決策層、中間管理層和其他員工。風險控制亦包括企業的全部運行環節。在企業運行的各個環節、各個要素、各個主體之中企業的風險無處不在、無時不在。

2.3明確風險控制應抓好源頭控制。風險控制必須從風險發生的原因進行識別和控制。風險控制可分為預防、發現和糾正三個環節，風險控制應該更多地關注源頭控制和全程控制，而不是結果控制，即預防性控制措施應體現在內部控制的各個層面和各個具體控制關鍵節點上。在內部控制中強調關鍵控制點，實質上就是控制風險產生的源頭。風險源頭包括：（1）一開始簽訂合同帶來的風險；（2）關聯方直接加入如股東增加、增資擴股等帶來的風險；（3）新拓展的業務帶來的風險；（4）企業經營環境變化帶來的風險；（5）其他風險。

3.以風險管理為主導的內部控制體系的建立

3.1 加強內部控制環境建設，培育企業風險管理文化。（1）領導層積極參與本企業內部控制活動，并以內部考核的形式對各基層單位、個人予以獎懲兌現。（2）各層面管理人員在領導層的監督下，實事求是的組織實施，把成績、問題集中展示。（3）建立正規的行為約束機制；（4）對各層面執行員工勝任能力做到心中有數，有合理的人力資源管理制度和具體辦法，應當建立人員臺帳和動態檔案；（5）經營模式、管理權限和職責分工搭配得當、分工明確具體；（6）促進全體員工樹立風險意識、風險預防意識、風險識別意識和風險救濟意識。

3.2健全自我風險評價管理體系。（1）管理層首先應做好風險自我評估和控制，以避免決策失誤。盡管很多風險的產生并不能被控制，但管理層應當首先確定可以承受的風險水平，然后識別這些風險并采取一定的應對和救濟措施，以把風險控制在風險容忍度之內。（2）做好風險內控定期測評。企業應采取全員參與的自我測評方式，以各部門為責任主體，對內部控制執行情況進行自檢，納入考核機制。通過內控定期測評，使內部控制的各項工作得以落實，強化內控實際執行力。（3）做好新業務拓展的風險識別和預防并做好及時調整工作。新業務的推出可能伴隨著新的風險，尤其對于關聯方交易的出現，必須高度重視。為了有效控制風險，在新業務開展之前就應設計相應的風險識別控制程序，并根據環境和條件的變化適時作出相應調整。

3.3抓住關鍵節點，提高風險管控能力。制定各個環節的控制措施，抓住重要的控制節點，提高控制措施的針對性、有效性。及時消除工作中發現的管控缺陷，并立即改進，全面提升企業管理水平，形成內控促管理、管理推內控的有效機制。

3.4 完善信息體系，建立信息溝通機制，暢通信息溝通渠道。信息系統與溝通是收集企業內部執行、管理和控制業務活動中所需要的信息的一個過程，包括收集和提供信息給關鍵部門人員，使之能夠正確履行職責。那么信息的質量就直接影響到對經營活動做出正確決策、控制經營風險的能力。企業應注重信息的內部監督機制并保證其有效。可以采用監控或定期評價兩種方法。具體包括：監督日常經營過程中的內部控制及人員；實施內部審計方法以及實施外部審計對內部審計相結合的方法，一旦發現不足及時改正；對監管部門提出的可行性建議及時回復。

3.5強化管理，建立監督聯動機制；抓好職能部門對源頭防治任務的具體落實。建立防范體系，發揮監督職能；通過改善和加強對監督人員的管理，建立高素質的監督隊伍，從而有效防止和排除外部的干擾。（作者單位：勝利石油管理局勝中社區勝利交管中隊）

參考文獻：

[1]王暉 鄭宏濤. 基于風險管理的內部控制研究.現代企業教育.2010年02月下期

[2]錢黎 汪子林 張偉. 淺論內部控制與風險管理的區別和聯系.現代經濟信息.2009年9月

[3]王宇峰.企業風險管理與內部控制分析. 現代商貿工業. 2010年第4期