企業如何構建風險管理下的內部控制體系

相關內控的指引和規定，對公司風險管理和內部控制作了詳盡規定，并要求企業必須對內部控制進行自我評估。但在實施中，效果不是十分明顯。本文對企業內部控制和風險管理的關系進行了詳細分析，對企業內部控制中的風險管理存在的問題深入分析，提出了相應的對策，為我國企業風險管理內部控制機制完善提供理論參考。

一、我國內部控制現況

2006年，上交所和深交所提出鼓勵上市公司出具內部控制自我評價報告，并需要注冊會計師進行核實或出具內部控制評價意見。之后，我國發布了《企業內部控制基本規范》，要求從2009年7月開始率先在上市公司范圍內實施。但就目前的執行情況來說并不是太理想。首先，上市公司中，部分未建立內部審計機構，部分未按要求披露內部控制自我評價報告或未聘請會計師事務所對內部控制進行鑒證。其次，許多企業建立內部控制制度只是為了應付相關法律、法規的要求，而沒有真正的結合企業自身的實際情況。再者，許多企業仍停留在內部控制體系的建立上，而不重視內部控制體系的操作和實施。

二、企業內部控制和風險管理關系分析

從國際內部控制和風險管理的發展趨勢來看，企業內部控制和風險管理有相互融合發展趨向。全面風險管理和內部控制既存在一定的差異，也有共同之處。首先，從全面風險管理和內部控制的框架結構來看，全面風險管理不僅增加了三個內部控制的目標，而且還增加了相應的戰略目標。其次，從實質性內容上來看，全面風險管理和內部控制兩者之間也是存在一定差異。全面風險管理貫穿于整個管理的全過程，而內部控制僅僅是企業管理的一項職能。最后，由于全面風險管理引入了風險對策、風險零容忍度、風險偏好等相關概念和方法，因此，全面風險管理建立在風險準確度量的基礎上，更有利于企業風險偏好和發展戰略的一致性。

就內部控制實質而言，風險管理是企業在內部針對風險所采取的各種措施和手段。當風險系數越高的時候，設置適當的內部控制措施就越有必要，當風險系數高到一定程度的時候，就必須采取更多的內部控制措施。內部控制作為企業管理的重要環節，是企業防范風險的最有效手段，可以通過財務風險識別進行風險評估，采取風險控制措施，將企業生產經營各類風險遏制在萌芽狀態之中。

三、完善企業內部控制的風險管理對策

（一）營造良好的內部控制環境。內部環境應主要關注以下幾點：

第一，企業應深化對內部控制的理解，培養風險管理理念。應充分認識內部控制是全面的控制，是全員參與的控制。

第二，建立公司治理結構并充分發揮各機構職責。企業各部門之間應分工明確，并相互監督、相互牽制。公司可以通過公司章程的規定及完善相關的激勵約束機制來保障公司機構職責的實現。

第三，培養員工的職業道德和勝任能力。企業員工是企業生產經營活動的執行者，員工良好的職業道德可以保證企業經營活動的順利進行，可以避免舞弊事件的發生。企業應以誠信等職業道德作為員工的行為準則，建立獎懲機制，加強員工的再教育，對關鍵崗位實行定期輪崗制。

（二）設定企業戰略目標。企業應根據企業的使命或愿景來設定企業的戰略目標。企業根據戰略目標再層層分解，并由各部門來落實。

（三）完善風險管理體系。企業應建立風險導向型內部控制體系。完善企業風險管理體系，應關注一下幾點：

第一，建立風險預警機制。企業應通過目標分析、過程分析等方法來識別影響企業目標實現的內部及外部的潛在事項，分清潛在事項是機會還是風險，明確風險預警標準。

第二，建立風險評估體系。企業應對已識別的風險進行進一步的分析與評估，分析潛在風險是固有風險還是剩余風險，分析風險發生的可能性及其影響，并關注重大風險。

第三，建立風險反應機制。風險應對是控制風險的關鍵步驟，在風險評估后，企業應針對風險發生的可能性、影響的不同程度，采取不同的應對措施，其中應特別關注重大風險。

（四）建立良好的控制活動。企業應建立良好的控制活動以確保管理層應對風險的各種措施得以有效執行。控制活動應該包括：對員工績效的分析與考核，部門的自我復核，對信息處理的控制（包括一般控制和應用控制），實物資產的控制，責任劃分與不相容職位相分離控制。

（五）充分的信息與溝通。在經營過程中，企業應建立信息的傳遞和溝通以確保員工了解內部控制，明確自己的職責。同時通過對外部市場信息、競爭對手信息的了解和掌握，通過與各方的溝通，有利于企業及時處理風險、抓住機會，實現更好的發展。

（六）建立內部控制監督與評價機制。內部控制監督與評價機制的建立主要包括兩個方面：第一，企業應建立獨立、權威的內部審計機構。第二，提高外部監督與評價。（作者單位為山西財經大學會計學院）