關于企業內部控制與風險管理的思考

文/夏勝炳

關于企業內部控制與風險管理的思考

文/夏勝炳

COSO是美國反虛假財務報告委員會下屬的發起人委員會的英文縮寫，其最先提出的《內部控制——整體框架》其中將企業的內部控制與風險管理相關聯；在2004年接著發布了《企業風險管理總體框架》，該書將企業內部控制視作風險管理的手段；從上述可見，風險管理已經成為當代企業內部控制管理的必要環節，企業內部控制與風險管理通常是相輔相成的，這樣才能為企業各個戰略目標的實現提供切實的保障。本文主要是闡述了內部控制與風險管理之間的相互關系，以及關于這兩者之間的個人的見解與思考，并針對這些問題提出了現代企業健全內部控制體系以及風險管理的對策。

內部控制；風險管理；思考

一、企業內部控制與風險管理關系闡述

（一）企業內部控制管理本質

企業內部控制管理大體上是根據企業目前的專業管理機制以及策略，同時主要是以風險管控、風險預防、風險監督、風險評估等這幾個方面為主的工作，再借由多維度多層次的管控方式進行生產以及經營中各種類型業務的規范化的管理模式。從管理視角出發，企業內部控制在定義上來說有點像是風險管理的下屬子系統；但是從管理范圍來看，企業內部控制管理作為企業全面風險管理的重要環節，其完全可以作為企業在進行風險管控時最重要的構成部分。企業內部控制管理的過程中是從內部環境為視角出發的，內部控制管理的機構設置有諸如企業內部審計、企業人力資源政策以及內部獎懲制度等等；而對企業的風險進行管控時，就更需要企業內部控制的管控方式進行更為科學與合理化的目標確定，嚴格根據企業風險評估體系，爭取做到企業內部控制的最優化結果。

（二）企業風險管理的含義

任何目標在達到的過程中必然面臨各種各樣的風險。企業更是不必說的。企業風險管理是指企業各級管理層在完成企業戰略目標的過程中，對企業所面臨的各種潛在風險以及企業當下管理模式存在的各類風險進行有效管理與控制。只要是背離或是阻礙企業共同目標的因素與風險，在企業實施風險管控的時候都應該給予治理與規避，這樣才能保證企業的戰略目標得以實現。風險管理中風險是最主要的工作范圍，而這其中信息化程度也是影響著整個風險評估與判別的重要影響環節，這也是現代企業注重信息化的原因；企業進行內部控制與檢測時，在風險評估以及風險管控方面還是需要根據企業的實際需求，布置相應的內部檢測，同時也要針對企業的日常內部監控，一旦在某個企業的內部控制管理出現問題，企業就可以針對該環節進行分析，分析出是政策、機制還是相關實施措施的問題并進行調整，這樣可以使得企業在進行風險管控時不僅避免了風險還不斷的健全風險管理制度。

二、我國企業內部控制存在的風險缺陷

（一）我國企業風險控制體系不成熟

（1）我國企業對風險全面評估不夠重視。企業經營風險的誕生以及企業管理者的風險偏好這些很大程度上取決于企業是否具有完善的內部控制體系。健全的風險界定以及成熟的風險評估體系是企業內部控制體系有效發揮作用的重要前提，但是我國企業管理者并沒有重視對風險管理機制的研究，這就自然形成了不成熟的風險控制體系。（2）我國企業未設置單獨的風險管控部門。當下的時代是信息時代，企業所面臨的風險種類大大增加，企業生產經營的風險波及程度也逐漸加深，從中可以看出設置專門的風險管控部門是十分有必要的；由于我國企業在風險管控這方面的意識薄弱，并沒有設置單獨的風險管控部門，甚至有些企業連最基本的風險識別與風險預警系統都沒有。

（二）企業風險管控意識不夠強烈

目前隨著經濟全球化的進程，我國同世界各國的經濟聯系更為緊密，越來越多的企業進軍到國際這個大舞臺之上，在國際市場中進行更為激烈的市場競爭，同時也有諸多企業涌向國內。在上述背景下國內企業面臨的壓力逐漸增大，尤其是在國內許多企業仍是缺乏風險意識，許多企業管理者所重視的風險也僅僅是在財務風險單方面，由此可見我國企業的風險管控意識薄弱的程度；我國企業普遍在乎的是公司盈利，在風險管控方面實在是無法關心，這樣就極易造成我國企業在經濟全球化的沖擊下無法面臨巨大的挑戰與機遇，相反，國外因為經濟的發達，許多企業早已重視這方面的問題。

（三）企業公司管理結構不夠完善

企業的內部管控要想有效的運行就必須保證企業擁有著完善的治理結構，這是給企業內部管控造就最基本的實施環境。企業內部控制管理的主要實施者當然是企業的經營管理層，但是如果企業的權利設置以及制衡體系之中存在著結構性的問題，則企業的內部控制就無法有效的實施，企業治理結構中作為企業風險與內部管控的核心——董事會，該核心是要對企業的風險管理與內部控制擔負主要責任的，而在我國中董事會存在著職權交錯的問題，在實質上是對公司治理結構不利的，容易造成職權混亂的局面，自然企業就無法有效的運行內部控制機制以及風險管控。

三、企業基于內部控制下的風險管控策略

（一）逐步強化企業風險管控體系以及內部監督機制的建立

（1）對企業風險類別進行明確的區分，這是為了企業能采取相對應的科學的措施來進行風險管控。企業在分類風險時可以從業務活動方面與企業整個方面兩個維度進行分析。通常來看，企業的整體風險主要是由內部與外部構成的，內部因素有組織、經營、財務、戰略等等風險；而外部就是宏觀與不可抗力因素，諸如法律政策、自然天災、市場技術等等風險。而從業務活動層面來看主要取決于企業所處的行業環境來進行分析，企業所處的行業環境不同其所面臨的風險也不盡相同。企業應根據自身特點明確自身的風險種類。（2）建立完善的內部監督機制。完善的內部監督機制自然包裹各個風險指標的檢測等等，尤其是要建立風險導向的審計機制。企業的審計機制可以處于相對客觀且獨立的審查機構，能更加從公正的角度來對企

下接（第232頁）