基于風險管理的內部控制研究

錢一梅

摘要：隨著互聯網時代的到來，信息化地迅速發展使得企業更多地暴露在風險之中，這也就意味著企業需要有更高的風險抵抗能力和內部控制水平。但許多企業目前對于如何建立基于風險管理的內部控制尚未找到明確的道路。文章主要在風險管理與內部控制理論基礎之上，深入分析我國內部控制中的風險管理實施中存在的問題，并據此提出關于內部控制優化的建議。

關鍵詞：風險管理 企業內部控制 風險識別

一、引言

隨著互聯網時代的不斷發展，證券市場的日漸成熟，企業目前已經面臨越來越的風險，稍有不慎就會導致企業多年的經營成果毀于一旦，這意味著企業的內部控制和風險管理水平必須再上一個臺階。

由于安然財務造假事件導致企業失敗等事件的爆發，企業對于建立更加完善的基于全面風險管理的內部控制體系的重要性認識的也在不斷提高，國際上內部控制的發展越來越完善，我國內部控制與風險管理的建設也在持續推進中。現代企業的各種成功或者失敗的實踐都表明，企業的管理都必須建立在內部控制的基礎之上，沒有完善的內部控制，企業的管理活動都無法有效開展。因此本文通過梳理內部控制的內涵及其與風險管理的關系，以此為依據深入分析我國企業內部控制存在的一些問題，并對基于風險管理的內部控制的建立提出建議。

二、風險管理與內部控制關系分析

（一）內部控制

內部控制最初來源于西方企業財務舞弊系列事件的發生，與美國公司財務造假導致破產倒閉事件的周期性爆發有著密不可分的關系，每一次的財務造假以及破產倒閉事件都推動的內部控制理論的發展。從最初單純的內部牽制發展到為保證會計信息的真實性和可靠性以及企業經營的效率效果而存在的較為成熟的內部控制，其發展到今天，已經融入到企業的日常活動、各個業務處理環節，融入企業各類人員的工作中。

雖然內部控制經歷了許多的變革，但是從內部控制的目標來說，其本質卻不曾發生變化，都是為了控制企業的風險。在最初的內部牽制階段，其目的是為了避免員工徇私舞弊導致企業的財產損失；到后來的內部控制結構階段，其目的除了防止舞弊和財產損失風險，還增加了降低企業經營效率低下的風險，而在企業內部控制與風險管理整合框架階段，內部控制的目的已經發展到全面控制企業的風險，而不是局限于一個小的方面。

（二）風險管理與內部控制的關系

對于內部控制和風險管理的關系，COSO的報告曾明確表示：風險管理包含內部控制； 內部控制是風險管理不可分割的一部分。但另一種觀點認為，從內部控制與風險管理的本質來說，風險管理與內部控制是完全等價的。如謝志華（2007）認為“內部控制和風險管理就是控制風險的兩種不同的語義表達形式”。

在內部控制的實施之中，它本質上是企業針對各種風險而采取的措施，內部控制機制的設計和運行的主要依據正是風險，甚至在某些情況下，內部控制是完全由風險來決定的，當風險程度越高，就越有必要采取適時而又恰當的內控措施，若風險系數持續升高，那么企業不得不采取更多的內部控制措施去減少風險。企業如果想要實現長久而持續的發展，就必須對企業生產經營過程中面臨的各種風險都采取有效的防范措施去控制風險，內部控制作為企業內部管理的重要手段，正是控制風險的最有效的方法，通過風險識別以及風險評估，利用內部控制措施控制風險，將企業風險遏制在萌芽狀態下，避免風險失去控制從而最終導致企業失敗。

無論內部控制和風險管理之間是什么關系，隨著實際運用的發展，二者都將逐漸融合，這是因為它們有著相同的目標，都是基于風險防范的目的而作用于風險。企業越早將內部控制建立在風險管理的目標之上，就能越迅速地實現風險控制的目標，因為在實際企業的生產經營中，企業離不開內部控制，同時也需要風險管理，二者是相輔相成，共同作用的。典型的風險管理主要指關注特定事項中的戰略實施或者與決策相關的收益與風險；典型的內部控制更多的是指會計程序控制，它們都局限于一個小范圍之內，而沒有融入整個企業的管理與信息系統之中。隨著二者的不斷完善，更高效率的內部控制一定是基于風險管理的，而有效的風險管理也一定是與內部控制相統一的。

三、我國企業內部控制存在的問題

當前，我國整體的內部控制環境還不完善，計劃經濟的長期影響導致整體范圍內部控制得不到許多企業的重視。并且我國企業的內部控制實踐時間也比較短，許多企業對于內部控制的內涵還不太理解，甚至有一些錯誤的理解，因此我國企業的內部控制實施還存在一些問題。

（一）內部控制意識薄弱

由于我國市場經濟實施時間不長，許多企業的高層領導者仍然停留在過去行政領導的形象上，沒有轉變管理理念和經營方式。雖然許多企業依法設立了股東大會，董事會等權力機構，但是這只是形式上的改變，在實質實施上，許多公司仍然缺少完善的公司法人治理結構，存在著董事會和監事會的作用弱化，董事會成員不發揮作用等問題，很多公司的內部控制依舊是企業一把手個人做決定， 控制權，監督權與執行權并無分離。

此外，許多企業不重視“軟環境”，實施內部控制僅靠“硬處理”，建立一些硬性制度來對企業的某些業務形成控制，但是實施效果不理想。這是因為缺乏“軟環境”，導致內部控制缺乏參與性，未能建立自己獨特的企業文化，沒有將制度的執行與企業的文化、習慣融合在一起，也就不能形成一種好的制度執行氛圍，這就導致企業整體對內部控制不夠重視，員工不能自覺執行內控制度。正如美國COSO報告將控制環境作為內部控制的基礎，如果僅僅只依靠硬性手段和措施來保障內部控制的實施，即使企業制定了較為合理的制度，員工也不能很好地執行。甚至更有一些企業沒有建立內部控制制度，這也反映出部分企業尚未意識到內部控制的重要性。

（二）內部控制制度不健全

很多企業的內部控制制度僅針對單獨的業務設施控制，而沒有一個整體的內部控制框架，導致內部控制制度流于形式，僅體現在制度的文字編寫上，可執行性差，形成一個不健全不完善的內部控制機制，無法觸及許多內控死角。而且現有的制度也常常局限于會計業務的控制，而不能融入到企業其他的日常活動中，無法提高企業組織管理，風險控制的效率和效果，導致職工職責分工不明確，操作不規范，缺乏日常監督和專項監督機制，責任人缺乏控制意識和責任心，更重視上下級之間的權力與責任區別而忽視同級各部門之間的分工協調，導致部門之間信息傳遞與溝通不暢，工作效率低下。企業內部控制實質上應該是一種過程，貫徹到企業的每一項業務之中，通過員工的廣泛參與來實現。內部控制要能隨時隨著變化而變化，并且必須被監督才能夠被切實執行并且達到預期的效果。

（三）企業風險意識淡薄

風險意味著不確定性，可能會為經營者帶來難以估量的損失。 企業在日常活動中，隨時隨地都會遭受來自企業自身和外部環境的風險。風險并不可怕，因為它是普遍存在并且是可以預防規避的，可怕的是意識不到風險的存在，無法對風險采取相應的措施。一個優秀的企業應該深刻了解自身的優點和缺陷，并據此建立適應的風險管理制度，建立高效的風險識別以及風險應對機制，以未雨綢繆的心態管理企業，規避可能的風險，才能減少暴風雨來臨時的損失。

從目前的現狀來看，企業整體上的風險意識還比較淡薄，多數企業都缺乏風險應對、控制的有效機制。很多企業制定的內部控制制度只是關注一個一個的業務控制點，而忽略從整體上控制風險，這樣企業就很可能忽略現存的風險，從而導致不能及時的識別風險并采取措施分散風險，企業就可能因此而蒙受巨大的損失。

四、完善企業基于風險管理的內部控制的對策

（一）建立完善的內部控制制度

企業應當將更加重視控制環境，風險評估，而不是僅將內部控制建立在片面的會計控制和內部審計上。企業應當建立基于整個企業層面的完整的內部控制系統，既不能只針對具體業務實施控制點控制，也不能忽視風險因素實施內部控制。完善的內部控制，應當在業務細節上落實到位，崗位機構設置合理不累贅，同時依據企業的長遠發展，將企業的控制目標和控制原則貫穿到企業的每一個流程之中。

（二）以“現金流量”為核心實施內部控制

資金是企業的血液，是企業持續生產經營的基礎，企業的血液能否正常循環流通，決定著企業的生存和發展，如果資金周轉不暢通，企業就會出現財務危機企業就會面臨停產甚至倒閉清算的危險，這也正是企業可能面臨的最大的風險之一。企業基于風險管理的內部控制如果需要一個中心內容，那只能是企業的資金。而企業的現金又是企業流動性最強的資金，現金能否及時的周轉，有效的被利用直接決定著企業的財務狀況。因此企業必須要強化現金流的內部控制，來保證企業正常的資金運作以及各項業務的資金需求，預防和減少資金風險，提升資金的使用周轉效益。建立以現金流量為核心的內部控制和風險管理體系可以幫助企業實現快速并且持久的發展。

（三）強化企業內部控制軟環境

內部控制不僅僅是一種制度，更為重要的是企業內部全員都參與其中并且高效地執行，才能達到預想的效果。而為了實現全員參與，企業勢必需要采取一些措施，例如建立適合自身的企業文化，營造氛圍，同時采取手段激勵并且監督企業員工積極參與內部控制的執行，這對于提高企業經營效率效果，培養員工的主動性都有著非常重要的意義。在此基礎上，企業需要重視人才，同時還要優化企業的結構，需要協調好機構與機構，部門與部門之間的關系。

參考文獻：

[1]謝志華.內部控制、公司治理、風險管理：關系與整合[J].會計研究，2007，（10）：37-45

[2]丁友剛，胡興國.內部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[J].會計研究，2007，（12）：51-54

[3]楊雨.從風險管理的角度分析電力企業內部控制[J].現代商貿工業，2016（4）：127

[4]陳關亭，黃小琳，章甜.基于企業風險管理框架的內部控制評價模型及應用[J].審計研究，2013，（6）：93-101

[5]李維安，戴文濤.公司治理、內部控制、風險管理的關系框架——基于戰略管理視角[J].審計與經濟研究，2013，（4）：3-12

[6]周筱琪.基于風險管理的內部控制體系研究——來自啟明信息技術股份有限公司的案例[D].吉林：東北師范大學，2013

[7]Chih-Yang Tseng. Internal Control，Enterprise Risk Management and Firm Performance[M]. Simth School of Business.2007