浅议我国企业内部控制与风险管理

　伴随着我国经济的发展和企业的壮大，各种潜在的风险日益显现。近年来，由于企业缺乏内部控制和风险管理，或者内部控制和风险管理失效而引发的巨额财产损失、经营失败、破产或整顿的事件时有发生，如中航油新加坡公司、科龙、德隆等，这些企业灾难性风险的相继发生，促使很多企业越来越重视与加强公司内部控制和风险管理。
　　
　　一、风险管理和内部控制
　　风险管理是指如何在一个存在风险的环境里把风险减至企业承受度之内的管理过程。内部控制是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
　　对于风险管理和内部控制二者的关系，在理论界一直存在不同看法。针对这一问题，我国2008年出台《内部控制基本规范》时，在该文件中强调了二者的统一：内部控制的目标是防范和控制风险，并促进企业实现发展战略，风险管理也是为了促进企业实现发展战略，要求将风险控制在企业可承受范围之内。这一观点应该是代表了官方或者主流的观点。
　　事实上，内部控制和风险管理是一脉相承的理论成果，很多理论界人士认为，COSO(2004)的风险管理框架中超过60%的内容得益于COSO(1992)的内控框架，而COSO也在新的风险管理框架中明确指出，风险管理框架建立在内部控制框架的基础上，是对内部控制框架的扩展。也就是说风险管理与内部控制并非平行的关系，应该说内部控制是风险管理的渊源，风险管理是当前经济条件下对内部控制的完善和提升，从而更加丰富和拓展了内部控制的内涵和外延。
　　但内部控制和风险管理彼此也存在差异，各有侧重。内部控制侧重制度层面并通过规章制度来规避风险；风险管理则侧重交易层面并通过市场化的自由竞争或市场交易规避风险。一般来说，典型的内部控制依然是为了保证资金安全和会计信息的真实可靠；典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较，它贯穿于管理过程的各个方面。风险管理更强调主动的对未来的判断，管理的关键在于管理层通过积极的监管手段，根据内外因素的变化，抓住机遇，事前应对，创造收益，增加收益。因此，风险管理是内部控制在新技术和市场条件下的自然延伸，风险管理包括内部控制，内部控制是风险管理的基础。
　　内部控制只能防范风险,不能转嫁、承担、化解或分散风险。所以即使建立了合理而有效的内部控制系统，科学而全面的风险管理仍然是必不可少的，不能将它们二者混为一谈。对于企业经营活动中发生概率较大，且企业能够承担控制成本的风险，要力求通过企业自身的控制系统，并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小，或控制成本较大的风险，则应在加强管理、增强自身素质的基础上，降低风险对企业的影响程度。
　　
　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、我国企业内部控制与风险管理的现状
　　（一）企业内部环境基础薄弱
　　内部环境的特性最终会影响企业战略和目标的确立，会对风险的识别、评估和风险对策的实施产生影响。受长期经营历史的影响，我国多数企业内部环境不完善，从而导致内部控制和风险管理的建设和执行存在缺陷。其中最典型的表现就是公司治理方面的缺陷，表现为股东大会和监事会的作用难以发挥，中小股东的知情权、质询权无从体现。很多上市公司在形式上建立了董事会、监事会，聘任了总经理班子，但在实际工作中，真正的法人治理结构并未建立。“董事”不“懂事”，经常只是一个虚职；监事会也只是一个受董事会控制的议事机构，起不到监督作用。
　　此外，企业发展缺乏战略眼光，“食品安全、安全事故、员工权益”等有关社会责任、企业文化方面的问题也是层出不穷。
　　（二）对内控和风险管理的认识不够
　　目前，有相当一部分企业管理者对内部控制和风险管理认识不足，往往用传统经验来替代规范化的管理措施和手段。要么根本就没有建立内部控制制度，要么虽然建立了制度，但对风险管理的认识只是停留在职能管理的层面上，缺乏战略性、系统性的规划。而且大多数员工还没有理解和认同风险管理，因此，就无法落实到具体的日常工作中，未能实现立体交叉、多角度、全方位的风险预防监控，内部控制建设不成体系，步入了内控建设的另一个误区。例如1994年在上海证券交易所上市，曾一度是国内股市中少有的绩优股的长虹公司在2004年12月28日发布了上市10年以来的首次预亏公告，亏损主要源自对单一应收账款户(美国APEX公司)的坏账准备，从1998年到现在，APEX公司已经累积拖欠四川长虹4.67亿美元货款。背后的原因是对运营风险掌握不足，缺乏有效的内部控制制度，在应收账款回收方面存在诸多问题,管理者可能刻意隐瞒已发生的损失。
　　（三）管理层凌驾于内控制度之上
　　内部控制侧重于服务高层管理者控制资产、业务的需要，侧重于对企业中层管理者和员工的控制，对于高层管理者则缺乏制约效力，而企业往往会因为缺乏对公司高层管理者的有效控制和监督而陷入风险之中。国内企业高管违规的案例可谓是层出不穷，例如伊利公司董事长郑俊怀2004年12月因被控动用公司资金进行MBO落马、创维公司董事局主席黄宏生因透过贪污手法进行诈骗及挪用公司资金被拘等等。这些案例背后的主要原因就是管理层违规经营，而企业内部缺乏有效的监督机制。
　　（四）风险管理手段相对落后
　　经过若干年的发展，我国企业风险管理的水平有了长足的发展。但在实务中，仍有较大比例的企业管理者尚未完全接纳风险管理的思想和理论，导致企业风险管理仍处于起步阶段，缺乏科学合理的风险辨识、监测、分析、控制、报告等手段，更缺少专门化的风险管理工具，风险分析方法仅限于财务指标等静态分析。内部报告制度不健全和执行不严格，内部报告的时效性、针对性和有效性不强。财务电子信息系统的数据输入和输出、文件的储存与保管和网络安全等方面存在漏洞和隐患。
　　（五）现有业务流程存在问题
　　业务流程重组（BPR）是美国哈默博士为了提高企业的竞争力、生存能力和发展能力，于二十世纪90年代提出的一种现代企业管理思想和方法。在我国已经喊了多年，很多企业也相继开展了类似的工作，但实际效果却不尽如人意。主要的问题体现在企业的业务流程重组忽略整体性，将流程误解为简单的活动链，忽视了业务流程是贯穿其余的全流程属性。同时，大多数流程过细，没有分级概念，不利于监控和维护。审批繁琐，环节多，时间长，反应速度较慢，不利于企业竞争力提高。在进行流程管理时仍沿袭原有的管理模式，过分依赖金字塔型结构的垂直管理，水平方向的流程管理缺失严重。
　　（六）内部控制组织领导不到位，执行不力，缺乏对内部控制的评价监督机制
　　对任何企业来说，再完美的制度，如果得不到严格执行，就是一种摆设。而目前，部分企业领导者认为内控制度只是会计管理部门或财务管理部门或内部审计部门的事，缺乏统一领导，统一部署，虎头蛇尾，不了了之。
　　
　　三、构建风险管理型的内部控制机制
　　（一）强化企业内部环境
　　内部环境是企业内部控制的根基，完善与否直接影响到企业内部控制的建设和执行，以及企业经营目标及整体战略目标的实现。“我们必须始终如一地遵守内部控制，直到被伤害为止。”一位美国内部控制专家如是说。这充分体现了建立风险管理型的内部控制机制严峻性和艰巨性。内部环境主要包括组织架构、发展战略、人力资源、社会责任和企业文化等。我国企业首先应该结合自身的实际情况建立并完善自身的治理结构，建立科学的聘用、培训、轮岗、考评、晋升、淘汰等人事管理制度，确保公司职员具备和保证正直、诚实、公正、廉洁的品质与应有的专业胜任能力。在发展的过程中形成具有本企业特点的企业文化，并承担起应有的社会责任。




　　（二）优化相关业务流程
　　业务流程的优化主要包含两个层面的含义，一是前面所讲到的BPR，即改善或重组业务流程，建立全球范围内的友好关系界面，提高响应速度，降低运营成本，为客户提供更优质的产品和服务。另一个层面即指按照国家相关部门发布的指导性文件，例如《内部控制基本规范》及配套指引，及时梳理现有业务流程，筛选出需要进行风险管控的重点业务流程，对流程各节点风险情况进行分析，提炼出该流程风险管控信息。对相关业务流程和关键风险点加强有效的监控，确保能有效控制业务流程中的任一环节，及时预警和报告重大风险事项。同时进行定期的审查流程执行情况，确保有效实施各环节的风险管理措施。
　　（三）构建风险管理组织机构
　　为实现有效的风险管理，必须构建完善的组织机构。首先要规范公司法人治理结构，设立风险管理委员会。二是有条件的企业要设立独立的风险管理部门。风险管理部门隶属于风险管理委员会，接受首席风险官的直接领导，与其他的业务部门形成矩阵式的组织结构，组织机构之间进行相互协调。
　　（四）培育和塑造风险管理文化
　　把企业文化建设作为企业内部控制的基础性工作，作为培植企业内部控制制度建设的“土壤”。泰勒曾指出：“在引进最好的制度之后，获得成功的程度同管理人员的能力、言行一致及其职权受到的尊重成正比例”。即好的环境条件不仅是企业成功的基础也是内部控制制度得到贯彻执行的关键。树立“风险管理，全员风险管理”的理念，增强全体员工风险管理意识，并把这种风险管理意识转化为自觉的行动，形成人人关注风险、事事关注风险、时时关注风险的良好风险管理氛围。
　　（五）建立风险管理信息系统和评价机制
　　一个良好的管理信息系统将有助于提高内部控制的效率和效果，具体说将有助于控制标准的建立和修正、控制活动成效的评定、控制报告的拟定,以及改进建议的及时传达。通过管理信息系统，企业内部的员工能够清楚地了解企业内部控制制度，知道其所承担的责任，并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息，使他们能够顺利履行其职责。
　　构建切合实际的内部控制评价机制，根据各自的实际情况，通过确定风险控制环节，分解、落实机构内各部门、各岗位管理职责，并对每一环节的控制状况进行检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而全面有效地控制经营风险。由此可以进一步推进风险管理在每个成员之间的有效实施，并可以将内部控制管理由个人行为和操作行为提升到企业的整体行为，推进企业的内控管理水平不断上新台阶。
　　
　　结束语
　　
论文检测天使-学术行为不端检测免费软件http://www.jiancetianshi.com
综上所述，企业内部控制与风险管理二者是一个动态的统一体。纵观现实，我国企业在内部控制和风险管理上还存在着诸多问题，需要进一步建立和完善内部控制制度，实行风险管理型内部控制，以弥补传统内部控制存在的漏洞。