企业内部控制与风险管理范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇企业内部控制与风险管理范例，将为您的写作提供有力的支持和灵感！

篇1

2内部控制整体框架与企业风险管理整体框架

2．1内部控制整体框架

在1929年美国AAA（会计师协会）和FRB（联邦储备委员会）的《会计报表的验证》中，首次提到内部控制这一名词，1992年美国的COSO委员会提出的《内部控制—整体框架》中指出，内部控制是一个过程，一个由经理以上阶层和员工共同实施的过程，其主要的目的就是使企业达到运营效果，与此同时，要严格遵循相关的法律法规，并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中，明确提出了支撑内部控制的框架五要素，分别是：控制环境、控制活动、信息与沟通、风险评估以及监督，这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。

2．2企业风险管理整体框架

企业风险管理是一个过程，它是渗透于企业各项活动中的行动，企业风险管理所涉及的人员是整个企业的员工，不分阶层，一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析，也可以从单独的部门对企业有一定认识，企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为：内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中，需要注意的是风险反应，它主要分为四类：减少风险、共担风险、规避风险与接收风险四类，企业应对每一个重要的风险都要考虑相应的风险反应方案。

3从企业内部控制走向全面风险管理———3C全面风险管理框

在企业中实施企业全面风险管理是新时期下的环境所导致的，在我国企业的管理中，风险管理是一个相对薄弱的环节，近年来，由于我国企业的风险管理工作薄弱而引发的事件不再少数，所以，建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础，这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》，在这一规范中，能够明显看出，我国由原来的理论框架已经逐渐走向了风险管理，进一步完善了中国企业内部控制规范体系，在2010年4月，我国又相继了《企业内部控制配套指引》，并在2012年进一步完善了该条例，要求实行企业内部控制规范体系的企业，要对企业本身进行自我评估，并相应地作出自我评价报告，交由政府监管部门进行监督检查，这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力，实现可持续发展，就要建立完善的企业内部控制体系，首先，管理者要树立风险管理理念，提高管理层的风险意识，对企业所涉及的风险要素进行分析，并制定相应的措施去应对，同时，还要加强道德与行为准则体系建设，适当地激励或是约束企业员工，建立一套具有操作性的行为规范和准则。除此之外，要明确企业的战略目标，需要注意的是，在设定战略目标的时候，要考虑企业自身能够承受的风险数量。

在以上的基础上，借鉴国外企业风险管理的经验，将目标—风险—管理这三个体系结合在一起，构建3C全面风险管理框架。在3C全面风险管理框架下，具体要实现以下五个目标，分别是：保护企业不因灾害事件遭受损失；达到企业整体经营战略目标；保证信息沟通以及财务报告的可靠性；有效率的运营；遵守法律。3C全面风险管理初步分成三层，还可以根据企业的自身情况进行细分。制定3C全面风险框架的目的就是将风险整合起来进行管理，有利于推动我国企业的进一步发展。以中国电信湖南公司为例，中国电信湖南公司构建全面风险管理，主要是为顺应国有资产出资人的要求和资本市场监管机构的要求，提出了企业全面风险管理的目标和要求，同时，也是为了促进企业内部经营管理的需要，随着中国电信这个大集团的不断发展，该公司面临的挑战越来越多，那么相对应的风险程度也就越来越高，所以，为了提高企业的经营管理效率，该公司决定实现全面风险管理。在整个管理的过程中，中国电信湖南公司完全按照国家的政策执行，并且不断进行体制机制的创新和改革，切实地推进五项集中管理，通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系，加强内部控制，来满足了国有资本监督管理的要求。此外，中国电信湖南公司还要成立独立的风险管理部门，以此来确定整个企业的风险管理工作，同时，还成立了全面风险管理工作团队，将整体的风险管理策略传递到各个部门中并予以实施，总之，要将系统论的思想重新进行考量，并且切实地应用到电信企业全面风险管理中，以此提高公司的抗风险能力，保证公司全面风险管理水平能够上升，进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统，从某种程度上说，企业风险管理包含了企业内部制度，同时，二者之间又形成了新的目标—战略目标，这是企业的最高目标。实际上，企业风险管理具有四个构成要素，分别是：目标设定、风险评估、风险应付和事项识别，它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度，提高全面风险管理意识。企业为了适应当前千变万化的市场环境，应该将全面风险管理切实地应用到管理活动中，与此同时，企业要根据ISO的《风险管理原则与实施指南》加强风险管理，将风险管理带进新的发展阶段。

篇2

美国次贷危机引发的全球性金融危机,对我国的经济发展产生了强烈冲击,经济增长速度明显放缓,世界范围内的经济危机对我国实体经济的负面影响持续蔓延,市场环境变得更加动荡不安,经营风险加大,由此也引发了企业对如何加强风险管理的思考。

一、风险管理

风险表现为发生损失的可能性。风险管理就是企业识别、评估和应对各种经营风险的过程。企业的经营风险是不可避免的,企业应当结合不同发展阶段和业务拓展情况,积极进行风险管理,尽可能地降低风险,有效地减少可以避免的损失。

内部控制,是指为了合理保证企业财务报告的可靠性、经营的效率和效果、资产的安全以及对法律法规的遵守,由企业治理层、管理层和全体员工设计和执行的政策和程序。作为每个企业管理中非常重要的一环,良好的内部控制,是企业重要的风险管理手段之一,加强企业内部控制对提高企业经营管理水平、风险行为防范能力,确保企业战略目标得以实现具有重要意义。2009年公布的《中国上市公司2009年内部控制白皮书》统计结果表明:内部控制越好的公司投入资本回报率越高,内部控制的加强有助于提高投入资本回报率。

现阶段,由于我国的市场经济体制尚不完善,市场环境的不规范性较为突出,再加上许多企业正处于转型期,各种不确定因素加剧。因此,我国企业迫切需要完善其内部控制,有效地防范和应对企业面临的各种风险。

二、我国企业内部控制与风险管理的现状

1.管理层的内部控制观念薄弱,员工不参与风险管理

有些管理人员对内部控制的认识和理解上存在偏差,认为内部控制只是企业内部的各种规章制度的简单汇总。他们错误地认为内部控制只能起到日常管理员工的作用,对其在风险管理中的重要性认识不足。有的企业内部控制的可操作性不强,风险管理水平较低。他们通常只重视风险的应对,而轻视风险的预防,导致企业出现重大以外事件的可能性增大。殊不知有效地预防风险,比风险发生后再想办法去补救以及事后纠正更有利于降低企业的损失,而且事先防范风险比事后应对风险更容易掌握主动权。

有的企业没有树立全员参与风险管理的观念,认为风险管理只是企业治理层和管理层的事情,与一般的基层员工无关。没有让企业的一线员工参与风险管理,其后果通常是难以发现风险管理过程中的薄弱环节,防患于未然。让企业的每一位员工在工作时,都考虑风险因素,才能从源头上防范风险。

2.内部控制设计存在缺陷,风险管理机制不健全

传统的内部控制设计仅仅局限于对财务信息的真实性和可靠性的监督管理,对于财务风险以外的其他风险则往往不加以考虑。而合理的内部控制设计应全方位地考虑企业所面临的各种风险,如市场风险、金融风险、法律风险和投资风险等也应当包含在内。企业应该抓住经营管理过程中的所有关键控制点,根据实际情况设计相应的内部控制,而且要防止企业管理层可能出于欺诈目的或屈从于外部压力的因素(如时间或成本等)而凌驾与内部控制之上,内部控制可能会被规避,形同虚设。

3.缺乏有效的风险监管措施

保障制度的有效执行,需要有效的监督加以配合。有效地执行设计合理的内部控制,才能真正达到防范风险的目的。所以,对内部控制的监督是重要的风险管理措施之一。目前,我国许多企业忽视对内部控制的监督制度,尤其缺乏可以量化的风险管理制度。例如,内部审计是一种风险监督的重要措施。但由于内部审计工作不带有强制性,也不能对外出具具有法律效力的审计报告;所以,我国的内部审计工作长期以来一直得不到重视,很多企业不是没有建立内部审计制度,就是内部审计没有真正发挥其监督管理的作用。比如,从岗位设置看,目前企业大部分的内部审计部门,基本上与其他职能部门平行,大多数中小企业甚至还没有独立的内部审计部门。从已有岗位设置的企业来看,这种机制也往往会使内部审计机构及人员受集团利益因素制约、中国传统的人际关系的影响,无法独立、客观、真实、公正、深入地开展工作,做出的审计处理也往往因管理体制的制约,致使许多内部审计过程流于形式,工作也缺乏自身应有的地位和威信,使内部控制这样的有效机制,变成“内部人控制”的机制。

三、完善内部控制,加强风险管理

1.加强员工业务素质培训,提高员工业务能力

随着社会主义市场经济的发展和现代企业制度的建立和完善,企业面临着严峻的挑战。企业包括会计人员在内的现有员工的知识结构、业务能力和法制观念已不能满足需要。对于企业来讲,员工应具备良好职业道德、专业能力和职业技能,但是企业往往现有的员工并不能完全具备这些能力,提高员工风险意识和职业技能是企业应该补上的重要一课,企业要针对人员的现状,应采取多种措施加强员工教育培训,并注意内部控制管理模式,体现相关培训体系性和实效性。只有通过提升全体员工的职业意识和基本职业技能,提高全体员工理性对待企业和工作的能力,才能适应国家发展经济的需要,提高整个企业的团队职业形象和职业技能,进而提高企业的经济效益。

2.重视以风险管理为导向的企业文化建设

有些企业存在员工因为缺乏合理对待公司和工作的心态而带来的浮躁和动荡。建设以风险管理为导向的企业文化,其目标就是培育员工积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新的团队合作精神,树立现代管理理念,重视内部控制,强化风险意识。在加强员工业务素质培训的同时,还要开展诚信教育,增强其自我约束能力。努力建立以诚信为基础的企业文化,一方面可以保证企业的经营合法合规,另一方面可以防范由于员工的失德行为给企业带来不必要的损失。而且口碑好的企业文化还有助于提高企业的知名度,树立良好的社会形象,为企业带来创造无形的收益。

3.规范内部控制,加强风险管理

规范企业内部控制的是一项非常重要的工作,合理的内部控制制度可以体现的经营管理的各个环节。按照相互制约和牵制的原理,建立科学合理的内部控制,即合理设置管理机构和工作岗位,明确员工的权利和责任,才能保证企业日常经营活动的正常进行,同时让企业的风险管理制度化、程序化。但是管理人员在设计监督管理时,必须从人性化的角度考虑,防止管理制度设计过分苛刻,导致妨碍正常生产经营的情况发生。同时,针对某些存在特殊风险的事项或交易(如重大的投资支出等),还要建立相应的特别内部控制,以防其给企业造成重大损失。

企业应当制定有利于其可持续发展的人力资源政策,考核制度实行奖惩结合,让员工的薪酬与企业风险管理的绩效相结合,激励全体员工积极参与风险管理,设置全面风险内部控制组织体系,形成至上而下的全员风险管理和全过程的风险管理制度。

4.加强内部监管,纠正偏差

企业要以风险管理为中心,将风险管理流程贯穿于日常经营和管理各个阶段,建立一个以风险管理为核心的内部控制,对风险管理进行岗位责任制的识别、监督、分析和评价。加强对企业风险的监管,特别是针对企业发展战略、组织结构、经营活动、业务流程、关键工作岗位等发生重大调整或变化的情况下,对内部控制的某些方面进行的专项监督是非常必要的。努力构建与内部控制相结合的可量化的风险预警机制,事先制定风险管理解预案,对这样才可以全方位、全过程、进行风险管理,及时地发现、识别和评估风险,积极地进行风险应对,掌握经营的主动权。企业还应结合内部监督发现的实际情况,定期对内部控制的有效性进行自我评价,并及时纠正在监督检查过程中发现的内部控制缺陷,同时进行必要的整改。

企业应当保证内部审计机构设置、人员配备和工作的独立性。大力推行以风险为导向的内部审计方法,内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。如果企业能够充分发挥内部审计的作用,尤其应对关键控制点实施重点监管,可以达到事半功倍的效果。

四、结语

商场上许多成功的案例告诉我们:经营成功的企业离不开良好的内部控制状况与风险管理体制。面对当今变幻莫测的市场环境和激烈的市场竞争,企业面临的风险无处不在。可是,我国企业的内部控制和整体风险管理制度还明显落后于西方发达国家。在我国在加入WTO以后,企业更需要学会积极主动地承担风险和管理风险,把内部控制框架的建立与企业的风险管理相结合,不断完善企业的内部控制,建立起风险管理的壁垒,有效地防范风险,积极应对风险。

参考文献:

[1]王建和:我国企业内部控制与风险管理[J].中国西部科技.2005(6):21-22.

[2]杨光:浅议企业内部控制与风险管理[J].中国乡镇企业会计.2009(6)

篇3

中图分类号:F23文献标识码:A文章编号:1672-3198(2009)23-0195-02

1内部控制与风险管理的内在联系

1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键

随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。

1.2风险管理是对内部控制的自然发展

内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。

1.3技术的发展推动内部控制走向风险管理

技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。

2内部控制与风险管理的外在联系

2.1它们都能为企业目标的实现提供合理的保证

风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。

2.2风险管理与内部控制的组成要素有五个方面是重合的

(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。

2.3风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念

《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。

3从内部控制走向风险管理

有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。

笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。

尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。

参考文献

[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.

[2]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.

篇4

随着经济的不断发展，公司制企业犹如雨后春笋般涌现在市场上，因而市场竞争也越来越激烈，这就导致了公司的经营和财务风险不断增加，致使企业面临倒闭的危险。企业要想快速健康的发展就必须进行有效的风险防范，规避风险的有效措施就是进行内部控制与风险管理。如果企业内部控制与风险管理所解决的问题不一致就会增加企业控制的成本，如果两者所解决的问题是一致的就没有必要制定两种控制规范。由此看来研究企业内部控制与风险管理之间的关系对于建立有效的企业控制体系和完善现代企业制度有着深刻的意义。本文主要从以下几个方面阐述企业内部控制与风险管理之间的关系，并提出了自己的见解。

一、企业内部控制与风险管理的关系分析

（一）风险管理包含内部控制

企业内部控制是目前企业内部进行风险管理的一项重要方法，企业进行风险管理的主要目的是有效减少企业经营不善所带来的损失，有效规避企业的各项风险从而保证企业又快又好的发展。风险管理主要由八项要素组成： 内部环境、事件识别、目标设定、风险评估、风险对策、控制活动、信息与沟通以及监督。而内部控制主要由五项要素组成： 控制环境、风险评估、控制活动、信息与沟通、监督。由此可以看出内部控制包含在风险管理之中。企业进行风险管理能有效的预测风险、发现风险，从而降低风险所带来的影响。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序，主要是通过目标制定过程和事后的控制来实现其自身的目标，不必设立企业的具体经营目标，只需评价目标的制定过程，是企业进行风险管理的一项重要职能。与此同时，内部控制以企业风险为主要制定依据，在某些情况下甚至完全依靠企业风险来制定。所以，企业内部控制对于风险管理发挥有着重要作用，应该被企业管理者看作是企业风险管理的一个重要组成方面。当然企业内部控制更是企业风险管理的基石，作为风险管理的一部分，如果企业缺少内部控制就不能进行有效的风险管理，从而导致企业不能健康稳步的发展。

（二）内部控制等同于风险管理

内部控制与风险管理之间还存在着一种观点，即内部控制就是风险管理。企业内部控制所使用的风险控制方式包含了风险控制的目的， 如果企业内部控制没有指定其实施的目标那么其实现方式与手段也就显得毫无意义。企业进行风险管理需要必要的风险控制的方式和手段， 如果缺少必要的控制方式与手段，其风险管理的目的也无法实现。由此看来，企业内部控制与风险管理的目的是一致的，理论上其风险控制系统没有差异，内部控制是风险管理外延的扩展，其在发展的过程中逐渐变为同一事物。企业内部控制是在财产不安全和信息不真实的基础上所产生的，企业风险的产生大多是企业进行决策的失误，内部控制从自身而言，就是风险控制， 进而控制风险以求达到企业风险的管理的目的。

（三）企业内部控制与风险管理互为前提

企业进行风险管理的目的不仅仅是规避风险，而是要事先预测企业承受风险的能力，企业只有将风险控制在所能承受的范围内才能保证企业的良好发展。从逻辑的角度来推理，企业的风险是来源于对未来收益的不确定性，因而企业进行有效的经营管理就是有效的对风险进行控制，企业风险控制就是企业风险管理。企业进行风险管理的目的就是实现企业利益的最大化，使收益达成企业的目标。从一定程度上讲，只有把企业风险降到最低才能实现企业利益的最大化。但是进行任何风险控制都会产生成本，这就导致了企业经营成本的增加，需要企业管理者在风险控制成本与风险控制效益之间做出权衡，尽可能的减少企业经营的成本。总之，企业的设立始终与风险相伴，而风险是否发生则与企业的决策有着重大关系，从这个意义出发，企业内部控制与风险管理互为前提，都属于企业管理的范畴，两者的目的都是为了进行有效的风险控制从而实现企业利益的最大化。

二、企业内部控制与风险管理的关系是异是同

对于企业控制与风险管理，对二者的关系有各种不同的看法， 一般都认为二者是密不可分的，互相联系的。笔者也认为，尽管二者在字面意思上存在差异， 但企业内部控制与风险管理是相辅相成的，缺一不可，就其实质而言是相同的。从历史的演变来看，两者具有同一性。无论是企业内部控制还是风险管理，其实际要达到的目的，也都是有效避免企业在经营过程中所存在的风险，例如，企业性质由自然人企业向公司制企业过渡，其风险控制也由内部控制发展为风险管理。此外，COSO内部控制标准的名称为“企业风险管理框架”，也将内部控制与风险管理紧密的结合在一起。实践证明，企业的风险是不能完全消除的，只能使用一些有效的管理措施进行防范，而且，企业必须具备承担一定风险的能力，不然在竞争激烈的市场中无法生存下去。

三、结束语

企业内部控制与风险管理的关系是紧密相连的，它们之间的关系存在着以下三种观点：第一种观点是风险管理包含内部控制， 第二种观点是等同关系， 第三种观点是互为前提关系。既然两者的关系如此密切甚至完全等同，这就要求企业管理者充分认识到这两者的作用，以内部控制为方法构成一个企业风险管理的有机整体，从而实现企业利益的最大化。

参考文献：

[1]谢志华.内部控制、公司治理、风险管理： 关系与整合[J].会计研究，2007

篇5

企业内部控制主要是由内部监督、风险评估、信息与沟通、控制活动以及内部环境五个方面组成的，而风险管理则在此基础上增加了目标设定、风险识别以及风险应对三个重要的因素。因此，企业风险管理的外延要比内部控制大，其已经延伸到企业战略层面和治理层面的管理，并且尤为强调对企业风险的识别、评估和控制。风险管理中提出了战略目标的概念，而内部控制的重点主要放在制度层面，通过制度的设计和实施来对风险进行防范。因此，在激烈的全球市场竞争下，建立风险管理体系更加有助于企业规避风险能力的提高。

2、内部控制与风险管理存在很大的互补性

风险管理能够有效地将企业面临的潜在风险识别出来，再通过企业内部控制来对风险进行防范、控制和管理，最终实现企业的经营管理目标。因此，内部控制作为企业风险管理的重要环节，对实现企业长远战略目标有着极为重要的意义；同时，内部控制的有效性又依赖于风险管理对风险的合理识别和评估，两者具有很大的互补性。

二、风险管理视角下企业内部控制存在的问题

1、企业风险管理意识比较淡漠

市场经济的发展以及经济全球化增加了市场的各种不确定性因素，企业不仅面临着传统的经营、财务风险，还面临着经济全球化给企业带来的新型金融风险、控制风险、信息风险等。内部控制以及风险管理的主要目的就是对企业潜在风险进行防范和控制，为企业战略目标的有效实施提供保证。然而，目前我国大多数企业风险管理意识较弱，对风险的理解还停留在传统的经营、财务风险阶段，对完善企业风险管理机制的重要性认识不足。虽然我国一些企业制定了内部控制制度和程序，但是很少有企业将风险管理的理念融入到企业内部控制制度中，内部控制有效性的发挥大打折扣。另外，一些建立了较为完善的风险管理与内部控制的企业，由于企业的管理层缺乏重视，制度往往难以得到有效的执行和实施。

2、企业缺乏完善的风险管理体系

从内部控制的角度而言，企业应该对面临的风险进行主动的识别和分析，并采取相应的管理和防范措施，尽量降低或避免风险。然而，目前我国一些企业风险管理的意识不强，定量和定性相结合的风险评估方法缺失，没有成立专门进行风险识别、评估、分析和管理的机构，风险评价与预警机制不健全，风险防范和管理的能力比较低下。尤其是近些年来，随着我国很多企业逐步涉足资本金融市场，参与金融衍生产品交易的程度越来越深，很多企业为了追逐高收益，往往忽视了金融衍生品交易带来的高风险，企业对新型金融风险的管理能力严重缺乏，导致企业所面临的财务风险、法律风险以及破产风险等大大提升，严重损害了企业的长远利益，制约了企业的健康可持续发展。近些年中航油以及中信泰富等企业参与金融衍生品交易发生的巨亏事件，就是由于企业内部控制以及风险管理体系不健全，导致企业没有能够对风险进行及时的识别、分析和应对，给企业带来了巨大的损失。

3、企业缺乏健全的内部控制监督机制

内部控制以及风险管理作用的发挥是一个长期的持续性的过程，因此需要有健全的监督机制提供保障。内部审计是目前我国大多数企业内部监督机制的主要方式，很多企业在内部审计制度建设方面存在着问题。主要表现在：首先，很多企业的内部审计水平比较低下，内部审计工作的重点主要放在企业经营、舞弊以及特殊项目审计方面，而在内部控制制度的执行以及风险管理体系有效性的发挥方面严重缺失；其次，我国大多数企业虽然成立了内部审计部门，但是由于独立性的缺失，导致内部审计的监督作用无法有效发挥。很多企业内部审计职能往往是由财务人员代为实施，内部审计的程序以及手段极其不专业。一些企业的内部审计人员在开展工作时往往要受到企业管理层以及其他部门的干涉，这些因素都导致内部审计的独立监督作用无法发挥，内部控制以及风险管理的执行无法得到监督。

三、风险管理视角下加强企业内部控制的对策建议

1、建立内部控制的持续风险管理机制

企业要将风险管理理念融入到内部控制制度中去，从而建立内部控制的持续风险管理机制。首先，企业要建立科学完善的内部控制框架。一是要不断提高企业管理者的素质，强化其对于内部控制和风险管理的认识，使其积极领导全体员工参与内部控制和风险管理工作。二是要促进企业全体员工积极参与内部控制管理，要在员工中树立良好的内部控制与风险管理理念，营造良好的内部控制氛围，从而为内部控制各个环节的顺利开展提供保障。三是要建立企业风险管理文化，要将风险管理纳入到企业战略经营目标中去，让企业文化成为风险管理和内部控制作用发挥的土壤。其次，要建立健全以风险管理为基础的内部控制管理体制。一是要对风险管理与内部控制的关系有着清晰的认识，要将风险评估、风险防范和风险管理融入到企业内部控制的各个环节中去。二是要通过风险管理来有效化解企业的潜在风险，企业要建立全面的风险管理流程，将风险管理予以制度化。

2、优化企业的内部控制环境及风险管理文化

企业要不断对内部控制环境以及风险管理文化进行优化，从而为内部控制和风险管理的实施创造良好的环境。首先，企业要不断强化内部控制人才队伍建设，在企业管理者以及全体员工中加强对风险管理的宣传，建立健全运行规范的内部控制体系。其次，企业要不断优化自身的风险管理文化，树立良好的风险管理观念，完善公司治理制度，推动股东文化水平不断成熟提高。最后，要加强企业的文化建设，培育具有自身特色的企业文化，培养员工的归属感和认同感，为企业的内部控制营造良好的企业文化氛围。

3、完善企业的风险管理体系

完善的风险管理体系应该包括准确的风险识别能力、健全的风险评估机制以及有效的风险应对和防范策略。首先，企业应该不断提高自身的风险识别能力，即能够准确及时地对企业未来可能发生的风险进行辨别，引导企业管理层做出正确的决策。其次，企业应该建立健全风险评估机制，在风险被识别之后要对其进行评估，衡量其对企业未来发展的影响程度，并根据相关的数据和模型分析风险所处的级别和可能给企业带来的损失程度，并以此为依据进行风险防范和管理。风险评估是一个动态可持续的过程，企业所面临的风险是持续变化的，因此企业需要对风险变量进行持续的评估；另外，企业应该针对风险选择科学的风险应对和防范策略，即结合企业发展所面临的内外部环境，依据成本效益原则对风险进行应对和防范，以最小的成本将风险控制在允许范围内。最后，在风险应对策略制定之后，企业还要大力强化执行力度，各个部门要加强沟通和信息共享，相互配合，将内部控制的作用发挥到极致，并建立相应的激励考核机制督促风险管理策略的有效执行。

4、强化企业的内部控制监督机制

企业要不断强化内部控制监督机制，尤其要推动内部审计部门监督控制职责的有效执行。首先，企业要不断提高内部审计人员的专业素质。引入专业的审计人才，充分发挥内部审计部门以及岗位的职能，让其做好信息的反馈者以及企业风险的规避者。其次，企业要让内部审计部门的独立性得以充分保障，赋予内部审计部门独立开展工作的权力，管理层要对内部审计部门的工作予以配合，从而让内部审计充分发挥其内部控制和风险管理的监督作用。再次，企业要不断推进内部审计制度改革。实施以风险为导向的内部审计，使内部审计人员全面参与到企业经营管理的各个环节，运用审计手段进行风险识别、风险评估以及风险管理等。最后，企业还要将内部审计的结果与员工绩效考核进行挂钩，从而提高内部控制和风险管理措施实施的效果。