企業內部控制及風險管理優化分析

王雅楠

內部控制是企業為實現經營管理目標，建立和實施有效的風險管理體系，保證企業資產安全完整，促進經營效率和效果的提高而建立的一套相互聯系、相互協調的管理機制。而風險管理則是在企業已經建立了內部控制制度的基礎上，以識別、分析和評估企業經營風險為主要內容的一種管理活動。在現代企業的管理工作中，二者相輔相成，缺一不可。

一、內部控制和風險管理的相關性

（一）二者的區別

目標不同：內部控制，強調財務報告真實可靠、經營效率和效果，確保企業經營方針貫徹執行，實現發展戰略；風險管理，是指如何在項目或者企業一個肯定有風險的環境里把風險可能造成的不良影響減至最低的管理過程。

重點不同：內部控制側重于財務報告真實可靠；風險管理側重于識別、分析和評估企業經營風險。

方法不同：內部控制主要采取合理保證措施；風險管理主要采取風險評價手段。

原則不同：內部控制遵循有效性原則；風險管理遵循適當性原則。

范圍不同：內部控制涵蓋會計和財務活動，涉及企業管理的所有方面；風險管理更多地關注與財務報告相關的風險。

（二）二者的聯系

實現企業經營管理目標。二者的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進實現發展戰略。因此，二者都是為了企業的持續穩定發展。

涉及風險識別和評估。內部控制涉及對風險的識別、評價，風險管理則主要是對風險進行分析評估，通過采取必要的措施將風險降到可接受水平。內部控制與風險管理兩者都是在識別企業經營管理中存在的風險的基礎上，對其進行分析評估，并通過采取必要的措施將其降到可接受水平，保證企業資產安全和財務報告真實完整。

一項管理活動。內部控制和風險管理都是一項管理活動，即通過一系列有效措施將企業經營管理中存在的風險降到可接受水平，以確保企業持續穩定發展。內部控制是為了保證經營活動合法合規、資產安全、財務報告及相關信息真實完整，促進實現發展戰略；而風險管理則是為了識別企業經營管理中存在的各種風險，分析其產生原因并評估其產生的影響程度，采取必要措施將其降到可接受水平。

二、企業內部控制和風險管理存在的問題

（一）缺乏內部控制與風險管理意識

企業管理層缺乏必要的風險意識和內控意識，甚至認為企業內部控制與風險管理可有可無，沒有將其納入企業戰略規劃之中。由于管理層不重視，很多企業在實施內部控制與風險管理時都缺乏有效的執行力度，這也造成了內部控制和風險管理效果不佳。此外，有的企業雖然設置了相關部門，但其職能定位不明確、職責權限劃分不清晰、崗位設置不科學，導致在內部控制與風險管理方面存在職責分工不明、權限分配不當的問題，難以發揮出應有的作用。

（二）科學的內部控制與風險管理活動缺位

一是企業沒有將內部控制與風險管理有機結合起來，企業的各項決策都是獨立進行的，缺乏協調性。二是企業的內部控制制度和風險管理制度建設不完善，沒有建立起有效的風險預警系統，缺乏風險分析與評價機制。三是企業沒有建立起有效的內部控制監督機制，沒有將內部控制制度與內部審計、人力資源等制度進行有機結合，監督力度不夠。四是企業的業務流程設計不合理、不科學。很多企業在經營管理過程中將注意力放在了如何獲取更多的利潤上，卻忽略了如何才能保證企業長遠發展。五是企業內部控制與風險管理活動缺少系統性，很多企業缺乏科學合理的績效考核標準、薪酬激勵機制、績效考核指標體系以及有效的獎懲措施，在很大程度上影響了員工的工作熱情。

（三）內部控制和風險管理監督機制缺位

我國很多企業在內部控制和風險管理中都缺乏相應的監督機制，這導致內部控制和風險管理中的漏洞和缺陷，企業無法及時發現這些問題，不能制定相應的措施加以解決。例如：很多企業在進行財務預算時沒有考慮到業務流程以及業務操作中存在的風險，這就導致財務預算和實際經營脫節。一旦發生突發事件或者重大支出時，企業也不能及時發現問題并加以處理，這樣就會導致企業的損失進一步擴大。

三、企業內部控制及風險管理優化策略

（一）強化內部控制與風險管理意識

企業應當樹立“風險導向”的內部控制理念，將風險管理貫穿于決策、執行、監督全過程，明確風險管理目標和要求，加強對風險的識別、分析、應對及評價，不斷提高風險管理水平。一是加強員工的職業道德教育，讓員工樹立起強烈的風險意識；二是完善內控制度，建立健全風險識別機制、預警機制和化解機制；三是制定科學合理的目標和考核體系。企業應重視內控與風險管理工作，在建立健全內控制度的同時，強化風險管理意識，提高全體員工對風險管理重要性的認識；建立完善的風險預警機制和防范體系；加大對規章制度執行情況的監督檢查力度；通過企業文化建設、思想政治工作等手段，增強企業員工對制度的認同感和自覺性。

（二）建立內部控制與風險管理制度體系

企業應當根據經營管理的實際需要，結合國家法律、法規和監管要求，建立健全符合企業規模、業務特點和管理要求的內部控制與風險管理制度體系。比如：企業應當建立健全財務管理制度，明確財務部門對會計核算、資產管理、負債投資等方面的職責權限，規范會計工作流程，確保會計信息真實可靠、完整及時；建立財務風險管理制度，明確財務部門在財務風險識別、評估、防范、報告和應對等方面的職責權限，規范財務風險的識別、評估與應對程序，加強對財務風險的監控和管理；建立投資項目風險管理制度，明確投資項目立項程序、決策權限及實施措施等方面的職責權限和運行程序；建立財務信息內部報告制度，明確信息報告的種類、格式和內容等方面的職責權限和運行程序；建立財務監督與風險預警機制，對不符合內部控制規范要求或者已發現問題未能及時糾正的事項和行為，應當及時向企業負責人報告；建立資產損失責任追究制度，明確責任主體并根據情況采取相應措施；建立重大財務事項內部審批制度，重大財務事項包括但不限于投資決策、對外擔保等事項。

（三）強化內部控制下的風險管理活動

一是風險識別。風險識別是指在風險管理過程中，對可能發生的各種風險進行的全面識別和分析。根據風險識別的內容，可以把風險識別分為兩個階段：第一階段是對企業所面臨的各種風險進行全面的調查、分析、匯總，對所有可能發生的風險進行全面的確認；第二階段是將已經確認的風險根據其潛在損失程度、發生概率等情況，逐一排序，對重大和關鍵的風險進行重點分析和識別。首先，要針對不同行業、不同類型和規模企業制定不同的風險識別方法；其次，要充分考慮企業面臨的各種風險之間相互影響和作用的關系；最后，要根據具體情況選擇不同的識別方法。

二是風險評估。風險評估是風險管理策略的基礎，是對企業所面臨的各種風險進行分析、識別、分類和評估，并確定企業所面臨的風險性質及風險程度，為企業風險管理策略的確定提供依據。一般來說，企業應從以下三個方面對風險進行評估：對可能發生的各種風險進行識別，包括識別企業內外部可能會影響目標實現的各種因素；分析影響目標實現的各種因素發生變化的可能性；評估目標實現過程中可能發生的各種意外事件及其造成的損失程度。通過上述三個方面的分析，可以確定企業可能面臨的主要風險和次要風險。

三是風險等級確定。企業的風險分為財務風險、市場風險、技術風險、內部管理風險等。企業在確定風險管理策略時，要考慮企業自身的特點和實際情況，確定不同的風險等級，并采取不同的措施進行管理。例如：對于財務風險，可以通過建立健全會計信息系統來防范，采用全面預算管理、內部審計等手段來控制；對于市場風險，可以通過完善市場研究、信息管理、預測等手段來防范；對于技術風險，可以通過技術創新和流程再造等手段來防范。需要注意的是，企業的風險管理不是一成不變的，隨著企業不斷發展壯大，其面臨的具體環境和面臨的具體問題會發生變化。

四是風險控制。風險控制是指在企業經營活動過程中，根據企業的風險狀況和風險管理目標，制定一系列的管理措施，以降低或消除風險的影響，確保企業經營目標的實現。控制是手段，而不是目的。風險控制必須以企業整體戰略為導向，結合企業的經營狀況，考慮成本效益原則，全面考慮風險管理與控制的要求。

（四）落實內部控制與風險管理監督與評價

企業落實內部控制與風險管理監督與評價的方法包括：內部審計部門與有關部門的協同監督，內部審計部門在公司治理下，負責對企業經營管理活動的內部控制與風險管理實施獨立監督。財務、審計等部門共同參與，對公司內部控制與風險管理制度的執行情況進行監督；建立有效的內控評價機制，將公司管理及經營活動中的風險控制在合理范圍內，并對內控設計的有效性進行評價。同時，建立內控評價制度，明確評價原則、程序和方法，對各項業務和事項開展定期或不定期的監督評價，及時發現并糾正控制缺陷；建立有效的信息溝通機制，保證監督評價結果的有效運用。

四、結 語

綜上所述，隨著經濟全球化的發展，我國企業所面臨的競爭壓力越來越大。企業要想在激烈的市場競爭中站穩腳跟，就必須不斷地提高自身的競爭力，而提高競爭力最有效的方法之一就是加強企業內部控制。建立完善的內部控制體系，才能幫助企業規避風險，使其健康發展。