淺談企業內部控制與風險管理

摘要:從構建風險管理體系入手，分析完善的內部控制系統是防范經營風險的有效途徑，針對企業內部控制失效是導致經營風險發生的重要原因，從中剖析并提出加強內部控制、防范經營風險的基本策略。

關鍵詞:風險管理;內部控制;企業

中圖分類號:F720.7文獻標志碼:A文章編號:1673-291X(2010)01-0028-03

目前， 風險管理是企業管理中的一個相對薄弱環節， 風險意識不強， 風險管理工作薄弱， 是企業發生重大風險事件的重要原因。2006年6月，國資委制定并發布了《中央企業全面風險管理指引》， 對于建立健全風險管理長效機制， 推動風險管理工作具有重要意義。2008年6月財政部發布企業內部控制基本規范， 將于2009年7月1日起在大中型企業實施， 該規范強調企業應當建立和實施風險評估程序。然而， 縱觀中國企業內部控制與風險管理， 尚存在許多問題， 在新的經濟形勢下需要以新的措施和方法予以改進。

一、風險管理概念

1.風險。風險是傷害、損毀或損失的機會，或是損失的可能性程度。我們可以推而廣之，風險就是由某種不利因素產生并可能造成實際損失，致使組織目標無法實現或降低實現目標的效率的可能性。企業風險除涵蓋一般的風險項目外，更包括了財務風險、形象風險、營運風險、環境風險、法律風險、人力風險、業務風險等等，而根據美國損失控制協會對于美國企業18 000例巨災的統計，其中70%未設置風險管理系統的企業，在遭受巨災后五年內會結束營業。

2.風險管理。全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中，用于識別那些可能影響企業的潛在事件和管理風險，使之在企業的風險偏好之內，從而合理確保企業取得既定的目標。從某種角度來說，風險管理是企業通過對潛在意外或損失的識別、衡量和分析，并在此基礎上進行有效的控制，用最經濟合理的方法處理風險，以實現最大的安全保障的科學管理方法。

二、風險管理系統構建

根據風險管理理論，風險管理系統的構建主要有以下幾個方面:

1.內部環境。企業的內部環境是所有風險管理要素的基礎，為其他要素提供規則和結構。企業的內部環境不僅影響企業戰略目標的制定、風險的識別、評估和對策，還影響企業內部控制活動、監督行為的制定和執行。

2.目標制定。根據企業的愿景，管理者制定企業的戰略目標，選擇戰略并確定其他與之相關的目標并在企業內層分解和落實。

3.事項識別。事項識別是確定哪些因素會給經營管理帶來風險。有來自于企業外部的因素和內部的因素。內部因素反映了管理層的選擇，包括基礎設施、員工、流程和技術等。同時還要關注企業的過去和未來。

4.風險估測和評價。風險估測和評價模塊主要是在風險識別的基礎上，對風險進行量化，預測和評估風險大小，為風險控制提供依據。風險評估主要包括兩個方面:風險損失頻率估計和風險損失程度估計。估計風險損失頻率，主要是通過計算損失次數的概率分布，這需要考慮三個因素:風險暴露數、損失形態和危險事故，三項因素的不同組合，影響著風險損失次數的概率分布。如果企業建有完善的風險管理信息系統，也可根據信息系統提供的歷史數據來估計損失頻率。一般依據風險發生的可能性可將風險分成五類: (1)幾乎不發生，約每一百年或更長時間發生一次;(2)可能但未曾發生，約每二十年發生一次;(3)發生過數次，約每五年發生一次;(4)經常發生，每兩年發生一次;(5)絕對發生，一年發生一次或幾次。不同的企業還可予以細分。

5.風險控制。風險管理是一項系統工程，對風險的控制應該貫穿于整個風險系統之中。風險控制包括實施風險管理方案以便在項目過程中對風險事件做出回應。當變故發生時，需要重復進行風險識別，風險量化以及風險對策研究一整套基本措施。

6.風險管理評價。由于市場條件不同，各主體面臨的風險也是不同的。為了對風險進行及時的控制和管理，必須對風險的識別、估測、評價及管理方法進行定期檢查、修正，以保證風險管理方法適應新的狀況。

三、風險管理與內部控制的關系

內部控制關注的是經營中的風險。內部控制評估管理活動中突出的是風險點，負責重要的風險控制活動，在風險管理中居于十分重要的地位，沒有內部控制，風險管理無從談起。內部控制只能提供合理的保證而不是絕對的保證。內部控制框架的新發展是建立企業風險管理框架。

四、企業實施內部控制防范經營風險過程中存在的問題

中國企業內部控制與風險管理運行中主要存在以下方面的問題:

1.內部控制對控制環境的關注不夠。內部控制理論認為， 內部環境對于企業戰略目標的制定、業務活動的組織以及風險的識別都有著非常深刻的影響。中國主要是從會計控制的角度來規范內部控制，而一些企業的內部控制之所以失效，很大程度上緣于缺乏良好的內部控制環境。例如，中國企業缺乏有效的現代企業治理機制，很多公司雖然形式上設立了董事會、監事會、審計委員會等，但實際中，因一股獨大、內部人控制等原因，中小股東利益得不到切實保護。

2.內部控制不能應對凌駕于內部控制之上的風險。內部控制主要側重于服務高層管理者控制資產、業務的需要，側重于對企業中層管理者和員工的控制，對于高層管理者如總經理、執行董事缺乏制約能力，而企業往往會因為缺乏對公司高層管理者的有效控制和監管而帶來風險。

3.中國企業風險管理水平較低，風險管理手段落后。風險管理思想和理論尚未融人中國企業管理過程中，重收益、輕風險企業風險管理技術水平低，風險識別、風險評估、風險應對等風險管理技術手段落后。

4.風險管理中過多強調傳統的內部控制風險，對傳統內部控制之外的風險關注不足。目前中國企業對于傳統意義上的內部控制比較重視，強調分工和牽制，但對于內部控制之外的風險卻缺乏關注，如外部重大不利事件、法律變化、技術變化、收購兼并等風險游離于內部控制之外。

5.未能建立起有效的風險管理信息系統，風險管理決策缺乏定量依據。各類風險數據、損失數據是企業經營管理的重要決策基礎，在一定程度上，通過擴充豐富這類資源，可以提高企業的經營水平和經營彈性。因此，實踐上就要求中國各類企業建立一個完整的信息系統對這類資源進行收集、挖掘和利用。由于缺乏這類基礎數據的支持，使企業的經營決策依據不足，帶來企業風險管理的被動狀況。

五、改進內部控制與風險管理框架的措施

加強內部控制，從而防范經營風險，其重點就應是會計系統和控制程序建立健全。應考慮交易授權;職責隔離;對財產的有形控制以保證其安全;精確記錄交易數據及匯總保存;周期性地核對和分析數據;有規律地將經過分析數據得到的信息與預期結果進行比較?？刂瞥绦蚝突顒討陕殕T的日常職責構成，通過財務會計控制，及時發現企業的經營風險。另外，會計系統和控制程序的設計應特別關注收入和費用循環，因為大多數欺詐行為都發生在這些環節上。具體從以下幾個方面得以加強:

第一，構建起健全、有效的經營風險控制機制。經營風險控制機制是指在經營風險管理中所形成的互相聯系、互相制約的功能體系。構建完善的經營控制機制是防范經營風險的關鍵所在。(1)建立起經營風險的全過程控制機制。(2)建立和完善經營風險預警機制。規避資本營運和資金管理風險最為有效的是建立經營預警系統，加強經營危機管理。建立經營預警系統，對企業的資本營運過程進行跟蹤、監督，通過對財務報表和財務指標的分析，一旦發現某種異常征兆就著手應變，以避免或減少風險損失。(3)實行全員風險管理，健全風險控制的動力機制。實行全員風險管理，將風險，將風險機制引入企業內部，使管理者、職工、企業共同承擔風險責任，做到權、責、利三位一體。

第二，按照相互制約原理，建立科學的內部控制制度體系。內部控制體系是內部控制目標得以實現的充分必要條件。建立相關的內控制度和健全有效的內部控制運行體系，是實現內部控制目標的重要保障。企業內部控制體系，具體應包括三個相對獨立的控制層次:第一個層次是在企業一線“供產銷”全過程中融入相互牽制、相互制約的制度，建立以“防”為主的監控防線。有關人員在從事業務時，必須明確業務處理權限和應承擔的責任，對一般業務或直接接觸客戶的業務，均要經過復核，重要業務最好實行會簽制，禁止一個人獨立處理業務的全過程。第二個層次是設立事后監督，即在會計部門常規性會計核算的基礎上，對其各個崗位、各項業務進行日常性和周期性的核查，建立以“堵”為主的監控防線。事后監督可以在會計部門內設立一個相應職務的專業崗位，配備責任心強、工作能力全面的人員擔任此職，并納入程序化、規范化管理，將監督的過程和結果定期直接反饋給財務部門的負責人。第三個層次是以現有的稽核、審計、紀律檢查部門為基礎，成立一個直接歸董事會管理并獨立于被審計單位的審計委員會。審計委員會通過內部常規稽核、離任審計、落實舉報、監督審查企業的會計憑證、會計報表等手段，對會計部門實施內部控制，建立起有效的以“查”為主的監督防線。以上三個層次構筑的內部控制體系，對企業發生的經濟業務和會計部門進行“防、堵、查”遞進式的監督控制，對于及時發現問題，防范和化解企業經營風險和會計風險，將具有很重要的作用。另外，內控體系無論是單獨設置還是在會計制度中體現，設計時均應充分考慮體系的嚴密性、有效性、先進性和可操作性，并充分發揮它們之間的能動作用。

第三，強化相關人員思想認識，把內部控制工作落到實處。一切好的內控制度和方法最終還是要由人去執行，否則再好的制度也難以發揮作用。對會計作業人員，包括管理人員和操作人員的控制是內部控制的核心。就目前情況及案例看，出現問題的關鍵不是沒有制度而是制度不落實。因此，一要及時掌握企業內部會計人員思想行為狀況。定期對重點崗位人員的思想和行為進行分析，著重了解他們近期出現的反常情況，掌握可能使有關人員犯罪的外因，以便采取措施加以防范和控制。二要加強對會計人員進行職業道德教育和業務培訓，增強會計人員自我約束能力，自覺執行各項法律法規，遵守財經紀律，做到奉公守法、廉潔自律。雙管齊下，使內部控制工作得以有效施行。

第四，實施內部控制評價制度，提高企業內部控制效果。任何機制有效運作都需要有相應的配套制度和措施，內控機制也不例外，相關的評價制度是促進其運行有效的必要條件。內部控制評價是對內部控制執行有效性的檢測。對企業內部控制進行評價，應該執行哪些評價程序，遵循什么樣的評價標準，用什么樣的評價形式等，都是值得思考的問題。只有建立一整套完善的、符合實際的、具有可操作性的評價指標體系并加以實施，內部控制制度在實踐中才能有現實的可運行性和有效性。

第五，強化內控制度的檢查考核，推行有效的激勵機制。為了保證企業內部控制制度能有效地發揮作用，并使之不斷地得到完善，企業必須定期對內部控制制度的執行情況進行檢查與考核?？雌髽I內部控制制度是否得到有效遵循，執行中有何成績，出現了什么問題，為什么某項內部控制制度不能執行或不完全執行，估計可能產生或已造成什么后果，這些都是考核的重要內容。對那些違反規定、鉆制度空子的人員予以相應的懲罰，而對那些認真履行職責、與違規行為做斗爭的人給予一定的獎勵，從而做到獎罰分明，并與職務升降掛鉤，形成長效機制。只有做到壓力與動力相結合，才能最終達到內部控制的目的。

參考文獻:

[1]仇穎.基于戰略控制的內部控制模式[J].經濟導刊，2008，(5) .

[2]王永生.加強內部控制，搞好企業管理[J].科技與企業，2007，(5).

[責任編輯 吳高君]