风险管理为导向的内部控制问题初探

目 录

1.前言3

2.研究背景与意义3

3.内部控制概述3

4.企业内部控制现状与问题分析4

4.1内部控制环境不明确4

4.1.1风险管理意识不强4

4.1.2管理层对内部控制认识不到位4

4.1.3公司治理结构不完善4

4.2风险管理体系不完善4

4.3内部控制监督机制不健全5

5.建立风险导向内部控制的措施探析5

5.1改善内部控制的内部环境5

5.2养成企业的风险管理理念5

5.3健全企业的风险管理体系5

6.结论7

参考文献8

内 容 摘 要

【摘 要】当前世界经济全球化的趋势越来越明显，很多企业在具有很多对外发展机会的同时也面临着更多的风险，如何制定一套健全的风险评估系统以及有效的控制住风险成为企业首先要注意的问题。虽然国外在这方面的发展比我国要早一步，但是，企业发展管理风险机制仍然是不可避免的，就目前我国的情况来看，很多的企业都没有建立一套健全有效的措施去应对和评估风险，而且部分企业即使建立了相关的管理措施也没有实际的投入落实。为了更好的展开课题的讨论，本文从风险管理的相关概念、建立风险管理为导向的内部控制必要性、目前以风险管理为导向的我国企业内部控制现状与存在问题和对策建议等四个方面出发，在国外的COSO报告《内部控制——风险管理框架》的基础上，结合我国市场的实际情况，来做出相关方面的参考建议。

【关键词】风险管理；内部控制；内部环境；风险评估

风险管理为导向的内部控制问题初探

1.前言

自2001年以来，各种财务诈骗事层出不穷，企业也从各种安全事故中注重起了内部控制。不仅如此，世界全球化使得企业各项工作和管理都受到了很大程度的风险影响。更多的企业管理层注重对企业内部风险管理的控制。2004年以来，国外的内部控制开始全方面的在企业风险管理出现，9月，美国COSO 委员会正式颁布了《企业风险管理——整合框架》（以下简称 ERM 框架），针对这个框架，本文将从多方面展开讨论。国内企业理论框架方面,尚未形成类似ERM报告那样得到广泛认同的风险管理导向的内部控制框架体系,基本规范对风险管理的关注还不够全面,框架体系方面还没有形成严格的惩罚机制,内控制度的执行力还很薄弱。企业制度构建方面,还普遍存在着风险管理机制缺失或者不健全,内部控制制度对风险管理的关注程度不够,管理层对内部控制不重视所造成的制度形同虚设等问题，面对日益复杂的内外部风险,企业构建风险管理导向的内部控制的重要性和迫切性也日益突显。因此,本文将对如何引导企业构建基于风险管理的内部控制,来完善内部控制，加强风险管理展开研究,力争提出切实有效的构建措施或建议。

2.研究背景与意义

 企业风险管理并不仅仅是一个理论上的概念，更为重要的是一个企业风险管理的运行过程，这个过程受到公司管理层，股东等重要部门的制约。由于风险是存在于企业上下各环节的，所以对于风险管理也是贯穿于整个企业的。

风险管理在企业中发挥的作用主要是对于某些隐患进行识别和判断，并通过原有的程序进行控制和风险评估，从而来为企业各方面的运行提供一个安全可靠的环境。从上文提及的企业风险管理的概念可以总结出以下几点：

（一）企业风险管理并非一个停留在表面的概念，而是一个具体的实施应对过程

（二）企业风险管理面对的对象是所有人

（三）企业风险管理用于措施制定

（四）企业风险管理涵括了整个企业上下

（五）企业风险管理把重点放在风险评估上

（六）提供权威保证

（七）企业风险管理有益于企业发展

3.内部控制概述

 所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。

如今全球信息化发展越来越快，通信技术发展的同时各种网络风险也随之而来。就企业而言，经济全球化使得企业各项工作和资料都处于一个较为开发的环境中，这对企业自身而言是尤为不利的，所以我国企业建立风险管理导向型内部控制是防范网络攻击最有效的手段。

企业要想建立风险导向型内部控制首先要从企业底层到高层树立防范的意识，面对企业风险时能够较为快捷的采取相应的措施，及时对抗不良的网络攻击。

就目前我国企业在相关方面的情况来看，首先，我国企业内部控制的风险意识弱。很多企业还没有认识到企业可能面临的潜在隐患，企业内部没有一套健全的体系来处理各项安全风险，不仅如此，对于公司员工而言，也没有树立该有的安全防范意识，如果企业一直这样运行的话，难免会遭受市场淘汰的情况。其次，风险管理形式化。虽然很多的企业有建立很多相关的措施 但是很多都仅仅只停留在表面，并没有深入到企业内部的实际运行中。内部控制被管理层所掌控，而管理层人员往往依照自己的意愿办事情，所以导致管理的缺陷。最后，控制风险的措施不完善。在我国，企业的风险意识薄弱，对风险的管理就更不用说，很多企业依然停留在理论原理上，和实际操作有距离。

总而言之，就一个企业而言，不管其工作效率高低，员工素质高低，影响的最为重要的因素还是企业的管理层，管理层要从自身做起，严格实施相关制度与措施，加强员工的安全防范意识，从实际出发，落实好各项控制风险的措施。

4.企业内部控制现状与问题分析

4.1内部控制环境不明确

4.1.1风险管理意识不强

当今世界，经济政治全球化，很多国内的企业大胆的走向世界，而我国也积极引进国外企业，在这样的形势下，竞争越来越激烈，企业所面临的挑战也越来越多，风险也越来越大。就目前形势而言，我国的企业较之国外企业仍有很多不足，比如：缺乏风险管理的意识。

4.1.2管理层对内部控制认识不到位

内部控制制度的实施是以稳定的环境所决定的。大部分企业认为：对内部控制的完善和加强，能很好的帮助企业进行风险的防范，同时也保障了企业的顺利运行。但是仍然有一部分企业认为：对内部控制的投入，不仅需要更多的资源，而且，并没有很明显的改善，员工的工作效率和以前一样。这也说明了，还有一部分企业没有正确认识到内部控制的作用。在企业中，建立健全完善的内部控制体系是需要企业上上下下所有人员的积极参与的。

4.1.3公司治理结构不完善

企业的管理者是企业的内部控制者，完善的企业治理结构能促进企业的发展，相反，则会造成企业的利益分配不平衡，内部控制也就不起作用了。根据ERM框架，在企业中，企业在风险管理方面的核心要素是董事会。所以，董事会和企业内部风险管理有着很重要的联系。

4.2风险管理体系不完善

 当今世界，经济政治一体化，企业面临的机遇很多，但是同时，也面临着很多风险，因此，企业有必要设立单独的风险管理部门，对企业所面临的风险进行分析和提出建议。在我国，企业的风险意识还很薄弱，大部分企业没有单独设立风险管理部门，缺乏风险意识。虽然一些企业也有设立风险管理部门，但是并没有运行，使风险管理部门没有充分发挥其作用。

4.3内部控制监督机制不健全

企业的内部控制是一个长期的工程，这个工程需要和企业管理相配合才能得到很好的实现。企业的发展不仅需要企业内部控制制度的实施，还需要对其实施过程进行有效的监督。这样才能保证企业的健康发展。在企业内部控制系统中，有一个很重要的部分：内部审计。它主要是对企业的运行进行监督，是对企业内部控制体系的实施的保障。

5.建立风险导向内部控制的措施探析

对于我国目前企业内部控制存在的问题，在ERM框架的基础上，以我国建立内部控制如何以风险管理为导向提供建议提供，为中国企业建立和完善风险管理导向式的内部控制提供一些启示。

5.1改善内部控制的内部环境

内部环境即是企业建立、加强或削弱特定政策、程序和影响效率的各种因素。影响企业内部环境的因素主要有：董事会、企业管理层的质量、领导者的行为和管理理念、道德与行为准则、企业文化、人力资源政策和实践等。企业风险管理的根本基调是由内部环境所决定，内部环境左右了内部控制和风险管理的好坏，所以，中国企业应首先关注内部环境的改善。

5.2养成企业的风险管理理念

风险管理是从战略决策贯彻到日常活动的每一个环节，体现领导者在管理经营企业过程中的各个环节。在激烈的市场经济竞争和全球化的环境下，领导者必须始终注重风险管理的理念，致力于把这一理念体现在企业管理的全过程中，并且努力培养各个阶层的员工在风险管理方面的意识。员工对风险的认识由领导者管理理念的标识性和领导作用决定，只有领导者把这种风险管理理念引入到整个企业经营中的，其他员工可能才会在各自的工作中始终凭借风险管理的理念来安排、协作和完成工作。

具体来说，我们可以通过以下几个方面来养成企业的风险管理意识：第一，明确了风险管理的中心地位；第二，企业建立专门的风险管理部门。

综上，需要迅速加强对中国的理论和实践行业的风险管理意识，从理论水平来指导实践，引导企业建立以风险管理为导向的思想，用来完善内部控制，以应付日益增加的各种风险。

5.3健全企业的风险管理体系

①制定合理的控制目标

内部控制必须先有一个目标，管理部门要找出影响目标实施的潜在问题。内部控制目标一般分为三大类：战略目标、业务目标、报告目标和合法的目标。目前，在我国的内部控制标准中，对于战略和经营目标的提及很少，随着企业管理的不断完善，企业内部控制制度的制定目标应转向促进企业实施战略等等方面的拓展，建立合理的经营战略和目标，并进行延伸，对企业的发展非常重要。

②充分进行事项识别

设定目标后，企业必须立即确定与目标相关的和主要影响主体的潜在问题。只有企业充分认识到机遇，才能采取相应的措施抓住机遇，只有企业完全充分能够意识到风险，才会可能使用有关措施进行有效防范和风险应对。相反，企业必然错过机会或承担风险所带来的一系列伤害。在识别潜在事件是一个机会或风险时，企业应充分考虑相关的内部和外部因素。另外，企业也需要应用科学技术以确定潜在的问题。常用的项目识别技术包括项目清单、推进式研究、访谈和问卷调查等。通过采用每一种事项识别技术或技术的结合，判断出代表机遇的潜在事件，能够对领导者确定相应的战略与目标起到引导作用，以采取行动抓住机会，同样的，对于判断出代表风险的潜在事件，领导者就要对此加以评估和响应。

③全面进行风险评估

在企业确定与目标相关的所有风险后，企业需要进行全面、准确的风险分析和评估。那么企业该如何进行全面系统有效的风险评估?第一，公司对评估潜在风险的方式主要是来自2个方面：一是可能性，二是影响程度。可能性的含义是一个给定的事件将发生概率，从而影响即是其后果，结合考虑可能性与影响会更加有效。

④谨慎分析风险应对策略

风险应对策略是风险评估与控制活动之间的连接，分析和选择风险应对策略，直接影响到下一步的控制活动的实施。所以，企业在风险评估中，我们必须谨慎地比较每一个风险应对策略。第一，在风险的可能性和影响的综合评价之后，需要采取各种措施，旨在为不同类型的风险进行分析，并获得相应的有效实施策略，用来降低风险的发生可能性和影响。第二，企业应当把发生风险可能性的大小和影响同企业本身风险能力进行结合考虑，以选择最满意的风险应对策略。在评价风险应对策略的同时，还需要考虑各种策略的成本和效益。就是在充分考虑实施策略和成本效益的情况下，最终必须确定风险应对策略的选择。

⑤有效设计执行控制活动

在每一个项目顺利实施之前，企业都需要对项目可能产生的风险进行评估，面临的风险除了从基本的工作程序设计到公司的整体管理等各方面，在这些方面里要将控制活动充分考虑进去。一般来说，企业在进行风险评估时会制定出多个风险应对措施，之后再在众多的风险应对措施中找到最为全面的一套方案，当确定了企业该项目的风险应对方案后，就必须要具备其相对应的控制活动，以此来保证方案的顺利进行。

一般情况下，企业制定相关方面的控制活动可以从两个方面出发：第一个是对员工的控制活动。第二个方面是对信息系统进行控制。除此之外，相关的单位还可以对信息系统设置口令密码或者其他保密措施以防止无关人员对相关书拒绝进行提取或者修改。

6.结论

(一)通过对内部控制与风险管理理论的发展过程整理、归纳、分析,运用辩证唯物主义过程论,提出内部控制和风险管理在发展的前期是两门独立的学科,但是随着经济技术的发展和进步,内部控制和风险管理必然要走向相互融合的趋势。

(二)在对我国内部控制法律法规整理、归纳的基础上,得出了我国内部控制框架己经趋向于风险管理导向的内部控制,但是对风险管理关注不全面的评价。

(三)在案例分析的基础上,依托ERM框架总结了企业内部控制建设存在以下三大问题:①内部控制环境方面,存在风险管理意识淡薄②企业战略目标定位不清晰;③内部控制监督机制不健全等。

参 考 文 献

[1] COSO: Enterprise Risk Management-Integrated Framework. 2004 

[2] COSO: Enterprise Risk Management Framework (ED). 2003 

[3] Committee of the Sponsoring Organizations of the Tread way Commission: “Enterprise Risk 

Management—Integrated Framework(Executive Summary)”2004. 

[4] Scott, “COSO ERM Released”，Internal Auditor, Oct. 2004. 

[5]谢志华. 内部控制、公司治理、风险管理: 关系与整合[J].会计研究, 2007, (10): 37-45. 

[6]丁友刚、胡兴国. 内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进[J]. 会计研究, 2007, (12): 51-54. 

[7]方红星、王宏译. 企业风险管理——整合框架[M]. 大连: 东北财经大学出版社, 2005. 

[8]王青松.企业内部控制与全面风险管理[J].山西财经大学学报, 2008, (4): 94-95. 

[9]裘宗舜.运用企业风险管理框架:对中航油的案例研究.财务与会计(综合版). 2007(1)

[10]方红星,王宏译.企业风险管理—整体框架「M」.大连:东北财经大学出版社,2005.

[11]友联时骏管理顾问.企业内部控制和风险管理—《萨班斯—奥克斯利法案》释义[M].上海:复旦大学出版社,2005.

[12]陈锦烽,苏淑美.内部审计新纪元—风险管理、控制及治理〔M」.大连:大连出版社,2006.

[13]陈利军,徐国强.内部控制与组织控制实证研究[Ml.大连:东北财经大学出版社,2008.

[14]李春瑜,王凡林.基于风险管理的内部控制框架解读[J].会计师,2007,(11):38一40.

[15]李明.企业内部控制与风险管理〔M』.北京:经济科学出版社,2007.

[16]池国华，樊子君.内部控制学[M].北京：北京大学出版社, 2013.

[17]李晓慧，何玉润.内部控制与风险管理[M].北京：中国人民出版社.2012.