企業內部控制與風險管理研究

摘 ? 要：本文通過對前人關于內部控制和風險管理研究的文獻回顧，以COSO報告為標準，比較內部控制與風險管理的異同，最終得出結論：內部控制測重制度層面通過規章制度規避風險;而風險管理側重交易層面以自由競爭的市場或者說市場交易來規避風險。同時分析我國內部控制與風險管理現狀，并提出改進意見。

關鍵詞：內部控制;風險管理;風險控制

一、風險管理與內部控制文獻回顧

學者們對于風險管理和內部控制兩者的關系爭論不休，他們的觀點也是仁者見仁智者見智。總的來說，大致可以分為三類觀點：一是風險管理包含內部控制;2004年頒布的COSO框架明確將內部控制納入風險管理范疇，認為內部控制是企業風險管理的一部分;二是內部控制包含風險管理;加拿大的COSO報告指出，“控制”是一個為實現組織目標的多要素的集合體，實際上就是“內部控制”的概念。COSO報告認為，風險評估和風險管理是內部控制的要素之一。三是兩者具有一致性，風險管理是對內部控制的繼承和發展;董月超（2009）認為風險管理是對內部控制的繼承與發展，它們二者都強調參與的全員性，以及運用相關的技術手段來主動應對風險，為實現組織目標提供合理保證。

二、COSO報告下內部控制與風險管理的異同點

《企業風險管理——整合框架》是內部控制框架的拓展，更有力、更廣泛的吸引大家關注企業風險管理這一領域。風險管理將內部控制框架納入其中，形成了一個比內部控制框架更為有力的概念和管理工具。

1.內部控制與風險管理的相同點。通過對比兩份COSO報告，企業風險管理和內部控制有以下相同點：

（1）都強調全員參與性。企業風險管理和內部控制都需要企業各個層級的人員共同參與。（2）企業風險管理和內部控制都是作為組織實現目標的過程，而非結果。這兩項活動是滲透在企業日常經營的各項活動之中，是促進企業實現目標的手段，而不是最終結果。（3）二者都是為一個主體的管理當局和董事會提供合理保證。它們的目標是為企業目標的實現提供合理保證。

2.內部控制與風險管理的區別

（1）構成要素不同。風險管理對內部控制的相關內容進行了補充和提升。

（2）目標不同。風險管理有四類目標體系，包括戰略目標、經營目標、報告目標和合規目標，對主體目標的這種分類更加關注企業風險管理的不同層面。與內部控制目標體系既有所重合又有所發展。3.產生效果的方法不同。風險管理貫穿企業各個活動的各個方面，關于項目的風險與收益，側重在市場交易層面控制風險;而內部控制主要從規章制度層面約束規范企業員工行為從而規避風險，這二者實現目標的手段是不同的。

三、我國企業內部控制與風險管理現狀分析

1.企業缺乏內部控制意識，全員參與觀念未形成

面臨國內外經濟發展的壓力，我國國內企業的風險控制意識仍然比較薄弱。在過去，提到風險管理只是單純的認為是控制財務風險，更具體的說是籌資風險，對于目前經營風險、金融風險等存在認識上的不足。我國市場經濟發展起步晚，雖然已有相關的內部控制法律體系，但是到管理層深刻認識到內部控制的重要性還需要很長時間。其次，有些企業認為風險管理是管理層的任務，沒有形成各層級人員共同參與的理念，在這種觀念下，導致企業的普通員工沒有機會參與企業的風險管理。

2.企業未建立內部控制風險系統

隨著經濟的不斷發展，企業所面對的外部環境越來越復雜，不確定因素的增加，加大了企業的風險因素。所以在應對風險的過程中，對風險進行識別、評估、應對的手段和方法尤為重要，雖然一些企業建立了專門的風險管理部門，但這一部門的實質功能未完全發揮，缺乏健全的風險識別和預警機制，尤其是小企業。

3.監督機制不健全

企業內部控制作為企業目標實現的一個過程，不僅需要建立完善的內部控制體系，而且還需要一系列的規章制度來保證內部控制的有效性。良好地內部控制監督體系是保障內部控制有效運行的必要手段。

四、完善企業內部控制與風險管理對策

1.強化風險管理理念，加強員工素質培訓

加強風險管理理念是企業內部控制重要的環境要素，也是風險管理有效實施的重要前提。只有使企業各個工作崗位上的員工共同樹立風險管理理念，才能夠面對風險時做到及時評估和合理對待。要求所有員工對風險管理有正確的認識，并具有一定的職業技能，與經濟發展的需求相適應。

2.不斷完善公司風險應對管理體系

企業應該成立專門的風險應對部門，對財務指標進行隨時監控，識別和處理日常經營過程中的財務風險、經營風險等一系列的風險，使風險管理成為現實，否則風險管理只是紙上談兵。當前企業發展速度很快，若不建立相關風險管理部門，勢必會落后于其他企業。同時結合企業自身的特點和行業特征，創建出符合自身實際的一套風險管理體系。

3.發揮企業內部審計作用，加強內部監督機制

內部審計部門是企業內相對獨立的一個部門，為了保障其獨立性一般受董事會領導，它對企業內部的各項活動進行獨立評價，防止舞弊和錯誤的發生。內部審計制度規范、系統，來對各部門和各項業務活動進行風險識別、評估和應對，是一項根據風險導向型審計活動。在這個過程中，內審人員以識別風險為主，來為管理層提供相應的風險信息。

4.設立風險管理委員會，建立有效信息溝通機制

目前我國企業組織中大多是由企業董事會或是審計委員會進行風險管控，未建立獨立的風險管理部門，建立起一批有專業素質的風險管理團隊是風險管理有效實施的前提條件。另外，加強對信息溝通的管理，有利于企業更快更準的把握信息，進而提高風險管理和內部控制效率。

參考文獻：

[1]毛新述，楊有紅.內部控制與風險管理——中國會計學會2009內部控制專題學術研討會綜述[J]，2009.5

[2]吳水澎，陳漢文，邵賢弟.企業內部控制理論的發展與啟示[J].會計研究，2000.5

[3]柳立立.新COSO框架下的內部控制與風險管理[J].黑龍江對外經貿，2006.7

作者簡介：崔薯予（1990- ?），女，漢族，河北石家莊人，碩士研究生，單位：河北大學管理學院，研究方向：財務管理