淺談企業風險管理與內部控制

賈燕 邵君婷

（河南理工大學，河南 焦作 454000）

我國的經濟已由高速增長轉向高質量增長，增長方式的轉換給企業帶來眾多發展機會的同時，也帶來同種程度的威脅與挑戰。為了不被市場競爭淘汰，企業需要整合風險管理和內部控制，提高自身競爭力，促進企業的高質量發展。

一、風險管理與內部控制的概念

（一）風險管理的概念

風險管理是指企業為了實現經營目標，在管理的每個環節和經營的每個過程中執行風險管理的基本流程，培育良好的企業風險管理文化，建立健全如風險管理策略、理財措施、組織職能體系、管理信息系統、內部控制系統的風險管理體系，從而實現風險管理的總體目標的過程。企業風險管理具有戰略性、全員化、專業性、二重性、系統性等特征，其中戰略性強調企業的風險管理主要運用于戰略管理層面，全員化強調企業風險管理要求企業治理層、管理層、全體員工共同參與，專業性強調風險管理需要專業人才實施管理。二重性強調風險與機遇并存，企業要化風險為增進價值的機會。

（二）內部控制的概念

內部控制事指企業為實現遵守適用的法律法規、財務報告可靠性以及運營的效率和效益等目標而實施的程序。企業的內部控制包括控制環境、風險評估、控制活動、信息與溝通、監控五大要素，是一個實現目標的程序和方法而非目標本身，需要企業各級人員的共同參與。但內部控制只提供合理而非絕對保證[1]。

在現代企業的發展中，風險管理與內部控制逐漸融為一體，風險管理需要通過內部控制來實現，內部控制中又包含著風險管理的內容。兩者的目的都是將企業的風險控制在一定的范圍之內，使企業的經營更加科學、高效，從而實現企業的總體戰略[2]。

二、我國企業風險管理與內部控制現狀

目前，我國經濟逐步由高速增長轉向高質量增長，企業也開始關注自身的高質量發展，根據外部環境和自身條件確定自己的風險偏好和承受度，建立健全風險管理流程、風險管理體系、內部控制系統，加大風險管理和內部控制。但是，我國企業依舊面臨著風險管理與內部控制意識缺乏、內部控制與風險管理方法落后、高素質專業人才缺乏等問題。

（一）缺乏全面風險管理制度

風險管理與企業總體目標密不可分，是企業高質量發展中不可缺少的一部分，但是很多企業缺乏全面風險管理念，或者受傳統風險管理理念的影響，致使企業的風險管理基本流程和管理體系不到位，影響企業的健康發展，一方面，企業對自身的認知不夠，從而引發戰略風險、財務風險、運營風險等內部風險；另一方面，企業對外界環境的適應能力不夠，從而引發政治風險、社會文化風險、法律風險、市場風險、技術風險等。在內外部風險的影響下，管理理念和管理技術落后的企業難以取得高質量發展，因而也影響了企業總體目標的實現[3]。

（二）缺乏內部控制制度

內部控制保證了企業風險管理的有效執行，但是很多企業缺乏控制系統，或者內部控制體系不夠規范，致使企業的控制環境存在缺陷，風險評估不夠全面，控制活動不夠合理，信息與溝通不夠及時有效，監控不夠有力，導致企業的經營效率不高，風險管理效果不佳[4]。

（三）缺乏先進的管理方法

許多企業采用的傳統風險管理而不是全面的風險管理理念，企業的風險管理與內部控制存在一定的滯后性、低效性。一方面，傳統的風險管理與企業的戰略目標聯不緊，主要是轉移或規避風險，就單個可保風險和財務風險個體實施管理，著重點為純粹和災害性風險，被動地把風險管理當作成本中心。連續性差，只有管理層認為必要時，財務會計主管部門和審計部門采用事后反應式的方法進行管理。由此，傳統風險管理理念不利于企業的高質量發展。

（四）缺乏專業人才

企業的風險管理與內部控制的過程應當由專業的人才來管理，但是我國許多企業缺乏專門進行這方面工作的員工。部分企業現有員工的風險管理意識不強，難以對風險管理和內部控制的過程和結果進行有效的推進，減弱了企業的快速反應能力和適應變化能力[5]。

三、完善企業風險管理與內部控制的措施

（一）建立健全風險管理制度

企業要建立健全風險管理基本流程和風險管理體系。第一是企業的風險管理基本流程，企業要廣泛而持續地收集與企業風險管理相關的內外部信息，如戰略風險、市場風險、運營風險等，在收集信息的基礎上，企業評估自身所面臨的內外風險，制定風險管理策略，提出和實施方案管理風險，最后對風險管理進行監督與改進。第二是企業的風險管理體系，企業要根據自身內外條件選擇合適的風險管理策略，如承擔、規避、轉移、轉換、控制、對沖、補償風險等。在既有的風險管理策略下，企業要選擇合適的風險理財措施，協調好組織職能體系，完善風險管理信息系統，提高風險管理的效率。

（二）建立健全內部控制制度

企業要完善內部控制系統，第一是控制環境方面，企業要建立良好的企業文化，營造誠實守信、積極向上、愛崗敬業、開拓創新、團隊協助的氛圍，實施有利于企業發展的人力資源政策，同時加強內部審計工作。第二是風險評估方面，企業要根據既定目標和內外的實際情況搜集信息，分析評估企業面臨的內外部風險。在評估的基礎上，企業確定自身的承受度，確定合適的風險應對策略。由于內外部環境是發展變化的，企業要對風險進行持續不斷地評估，及時調整風險應對策略。第三是控制活動方面，企業的不同層次和部門要采取必要的措施管理風險，如采用不相容職務分離控制形成相互制約的工作機制實施應急處理機制妥善處理突發事件等。第四是信息溝通方面，為了確保內外信息使用者及時得到公允的信息，企業應當建立健全信息與溝通制度、反舞弊機制度、舉報投訴制度、舉報人保護制度，使公允且有用的信息在信息使用者之間得到及時流通。第五是監控方面，企業應當建立內部控制監督制度和內部控制缺陷認定標準，及時檢查內部控制的有效性。

（三）采用大數據技術

企業應當將大數據應用到風險管理基本流程、風險管理體系、內控制系統中去。第一，企業要樹立大數據思維，轉變傳統的風險管理理念。第二，企業加強對基礎設施的投入，積極推進信息共享。第三，企業提高風險管理水平，確保企業與客戶的信息安全。一方面，企業要有效控制客戶隱私泄露的風險；另一方面，企業要管理好內部數據，確保信息資料的安全可靠，同時建立應急管理系統，如在企業建立兩套獨立數據庫，防止非法入侵造成的信息泄露等。

（四）優化專業人才隊伍

專業人才是企業進行風險管理和內部控制的關鍵所在，企業要不斷加大對專業人才的引進和培育，對外聘請專業人才，協助處理風險管理和內部控制過程中出現的問題，對內加強培訓力度，同時在薪酬制度上給予這方面專業人才以適當傾斜，激勵他們更好地推進企業風險管理與內部控制的進程。

總之，企業要建立健全風險管理基本流程、風險管理體系、內部控制系統，加強對企業的風險管理與內部控制，促進企業高質量發展。