论企业风险与内部控制

　　一、健全企业风险管理的必要性

　　当今现代企业面对着许多隐藏在不同层次的各种风险，使利润的增长变得不稳定，而同时现代企业又要面对投资者不断提高的各种要求，因而迫切需要采取各种方法控制风险，避免损失。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构，它应该能够帮助企业建立并强化应对困难的组织能力，这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力，就是现代企业必须构建一种切实有效的内部控制框架体系。

　　二、风险管理与内部控制、内部审计的关系

　　（一）风险管理与内部控制

　　内部控制与风险管理有着密切的联系。COSO认为，内部控制是风险管理的一部分。COSO对内部控制与风险管理的定义及其组成要素分别是：

　　内部控制：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通、监督。

　　风险管理：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。

　　从COSO的两份报告来看，企业风险管理与内部控制有以下相似或不同之处：第一，它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。第四，风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。第五，风险管理提出了风险组合与整体风险管理的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露，以统筹考虑风险对策，防止分部门分散考虑与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门，并考虑到风险事件之间的交互影响

　　（二）内部控制与内部审计的关系

　　澄清认识，转变观念，正确处理内控与内审的关系，是加强企业内控的前提。在实际工作中，内控工作往往被领导委派给内审部门去计划和安排，原因是多方面的。首先，一些单位没有理解内控工作的内涵，简单地把内控任务交给本单位的内审部门。其次，具体业务部门有重业务经营，轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”，而把内控作为“软任务”推给“综合部门”去应付。第三，尽管各经济实体中都存在内控制度和控制机制，但其控制系统有不同程度的缺陷。第四，内审部门曾经是缺乏权威性的比较薄弱的部门，现在虽然提高了该部门的地位，但在许多单位仍显现不出稽核部门足够的重要性。

　　要正确理解内控与内部审计的关系，明确内控主要是经营管理部门的责任，对内控的检查评价也主要是经营管理部门的责任;同时，内部审计部门要把工作的重点尽快转向对经营管理的内控系统进行有效的和全面的审计再监督，并在监督评审中注意保持独立性，建议和敦促经营管理部门纠正控制的缺陷。

　　三、对内部控制制度设计的一些建议

　　在内部控制制度的设计上，必须转变观念，以风险管理为中心来设计企业的内部控制制度。

　　（一）开展建章立制，搞好内部控制制度的创新。依据有关的法规政策，认真分析解剖自己企业存在的问题，抓住改进和改善企业管理水平和管理效率这个中心，围绕减少企业风险，提高企业经济效益和赢利水平这个核心，制订本企业内部控制制度或具体的实施办法。

　　（二）分级风险管理。风险可以分为战略风险、日常经营管理风险、财务风险。对于涉及到战略风险，如合并兼并、重大的投融资、新产品的开发等涉及到企业未来发展的重大前景的，要通过股东大会或董事会的进行表决。

　　（三）搞好内部会计控制的体系建设。

　　1.建立内部会计控制的班底。就公司制的企业而言，董事会、监事会、总经理层为内部控制机构的建立、职责分工与制约提供了基本的组织框架，应该结合自身特点建立适合企业内部控制需要的职能机构。董事会下可以设立包括审计委员会在内的若干专业委员会，作为实施决策和内部控制的支持机构。

　　2.建立和完善内部审计制度，促使企业的经营管理正常进行。内部审计是企业对其内部各项经济活动和管理制度是否合理、合规、有效所进行的监督和评价，它可以说是其他内部控制的再控制。内部审计有助于企业发现经营管理中存在的问题，对于促进企业依法经营，提高会计信息质量有十分重要的作用。

　　建立健全内部审计机制。建立由董事会或审计委员会直接领导的内审体制，内审不受管理层制约，独立客观地开展工作。明确内审的宗旨、职能和地位、权限，以及内审范围、程序、方法等。内审机制要有畅通的报告关系，能直接向内部管理层之外的阶层报告。

　　内审与外审、上一级审计与下一级审计相结合多层次开展内部审计工作。由于客观地位的局限性，内审无法对本企业领导者和同级管理层进行审计，为弥补这一控制的薄弱环节，应该会同外部审计或上级内审部门负责对下级管理层的审计，对各级管理层进行有效的监督和控制，充分发挥内审的作用。