基于风险管理的内部控制体系建设探讨

林爱琴　孙茂琴

摘要：良好的内部控制是一个企业健康发展的强有力的保障，同时，企业若想得到快速的发展，就必须把握现有的机遇，除了需要关注内部控制之外，还需要有风险意识。文章在深入了解内部控制与风险管理的框架基础上，分析风险管理与内部控制的关系，构建基于风险管理的内部控制体系。同时提出基于风险管理的内部控制实施保障机制。

关键词：内部控制 风险管理 体系 实施

国企业的内部控制与风险管理这一环节相对薄弱，风险意识不强，管理不到位使得企业的发展存在许多问题，为此，近年来，上交所和深交所出台了《上市公司内部控制指引》和《企业内部控制基本规范》，对公司风险管理和内部控制情况的披露进行了详细的规定，然而效果甚微。究其原因是企业从上到下对于风险管理和内部控制这两者之间的关系并不明确，内部控制的建设过于流于形式，对于企业的发展并没有起到实际的作用。如何利用内部控制与风险管理来有效地促进企业发展是实际工作的难点，也是本文研究的重点。

一、风险管理与内部控制的关系

企业经营管理过程中会遇到各种各样的问题，并可能对企业产生不利的影响或有利的影响。产生不利影响的事件代表了风险，可能阻碍企业价值创造；产生有利影响的事件能够抵消不利影响或者为企业带来机会。风险管理就是对上述不确定的风险和机会的管理，它是企业从战略制定到日常经营过程中对待风险的一系列信念与态度，目的是确定可能影响企业的潜在事项，并进行管理，为实现企业的目标提供合理的保证。

风险管理与内部控制作为企业管理的两大工具，都经过了理论体系的创新和实务操作的发展。内部控制由传统的内部牵制制度逐步发展到以风险为导向的内部控制制度，风险管理也由分散的财务、经营和战略风险管理逐渐发展为整合风险管理。实践证明，内部控制的有效实施有赖于风险管理的技术方法，而风险管理离开了内部控制作为手段支撑也将流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体，由此可见，风险管理与内部控制不是两个独立的概念，它们既有共性也有差别。ERM企业风险管理框架并不是对1992年发布的IC-IF内部控制整体框架的否定，而是对原有内控框架的细化和延伸。因此我们不可能抛开内部控制这一概念去空谈风险管理，也不可能脱离风险管理这一概念来谈内部控制。二者的区别与联系见表1。

二、基于风险管理的内部控制系统的要素

构建有效的基于风险管理的内部控制体系，需要明确内控监控体系中的五个要素之间的关系，建立五要素之间的有机关系，有利于企业进行内部控制的建设。五要素之间的关系：一是在以风险管理为基础的内部控制体系中，内部环境和内部监督奠定了内部控制的基调。因此，如果企业缺乏良好、有效的内部控制基础，可能会影响企业的公众形象，甚至给企业市场价值和资本市场融资带来重大影响。二是内部监督是企业管理中不可缺少的重要组成部分。监督的对象不仅仅是对员工的控制，而且包括管理者自身。好的内部监控能够及时发现企业中存在的不足与遗漏。三是风险评估是企业的控制活动、信息与沟通的基础。企业的控制活动是在风险评估的基础上加以执行的，以此来应对风险，针对不同的风险可以设置多项活动加以应对。四是信息与沟通是企业风险管理的核心环节，尤其在内部审计和财务部门中，有效的沟通能够最大限度地发挥企业的规章制度的作用。

完善的风险管理和内部控制包括哪些基本要素，以及具备哪些优点，是需要探讨的重要内容。笔者认为，完善的风险管理和内部控制基本要素包括：保持精简，风险意识，基本监控（如财务、运营及法律遵守的监控），公司内的全面咨询，持续应用监控策略，认识业务目标，预算机制及迅速反应，可靠的业务资讯，着重行为的改变等。这些基本要素是一个完整的系统，互相联系，互相影响，互相促进，缺一不可。它们共同发挥作用，其优点见表2。

三、基于风险管理的内部控制体系保障机制建设

（一）加强企业的风险管理意识

以风险管理为基础的内部控制体系建设，首先需要企业加强风险管理意识。绝大多数企业关注更多的是财务风险，而企业要想在瞬息万变的时代下快速发展，显然还需要站在战略的高度，关注包括企业所在的发展环境、潜在的各类风险以及应变所需的条件和基础等方面。因此，管理者应当树立全面的风险管理意识，并将全面风险意识融入到企业内部控制建设中去。

（二）基于风险管理的内部环境建设

1.健全组织架构。组织架构设计分为两个层面：一个是治理結构，一个是内部机构。不完善的治理结构或者流于形式的治理结构由于缺乏科学决策机制会导致企业的经营失败；不科学的内部机构，权责分配的不合理会导致企业运行效率低下和人力资源的浪费。所以企业要重视组织架构的建立与健全，建议设立风险管控委员会，从全局角度对企业实现风险管控。

2.完善权责分配体系。权责分离可以避免舞弊和产生错误的风险，岗位之间的制衡性也可以防止贪污舞弊现象的发生。因此，企业要建立完善的组织架构，对各部门及其职能进行合理分配，明确各个岗位的权限和关系，实现职能的制衡和协同。

3.完善人力资源政策。人才是企业发展不可缺少的组成部分，要重视人才的引进与培养，招聘人才时需要对人员进行素质测评，尤其是思想道德素质。上岗后要进行定期培训和文化教育，使员工对与企业更具有责任感和使命感。管理层也需要定期培训，重点提高管理层战略意识、全局观念，避免利用权力任人唯亲、损害企业整体利益现象的发生。

4.完善内部审计部门。审计部门人员要具备专业性，专业素质和道德意识要突出，充分发挥内部审计的职能作用。

5.加强企业的文化建设。管理层应该发挥模范带头作用，根据企业自身发展战略和实际情况，总结优良传统，形成企业文化规范，使其成为员工行为守则的重要组成部分。以制度规范员工的行为，使得企业员工有强烈的主人翁意识，达到“人企合一”。

（三）完善业务层面的内部控制

业务层面控制，是指综合运用各种控制手段和方法，针对具体业务和事项实施的控制。由于企业性质、规模、经营范围和业务特点千差万别，多数企业普遍存在的业务控制主要包括：资金活动控制、采购业务控制、资产管理控制、销售业务控制、研究与开发控制、工程项目控制、担保业务控制、业务外包控制、财务报告编制及对外提供与分析利用、全面预算控制、合同管理控制、內部信息传递控制和信息系统控制等方面。本文侧重介绍采购业务的控制，包括以下控制环节：

1.建立科学有效的供应商评估准则和准入制度。审核供应商相关信誉情况的真实性和合法性，并且能够确定合格的供应商清单。采购部门需要按照公平、公开、公正的竞争原则，从中选取最优秀的供应商作为合作伙伴，并与供应商签订质保协议。

2.确定采购价格。企业的目标是在要求的质量标准之上获取最优的价格，而如何获取最优价格，就需要企业建立一个合理的价格采购机制，同时时刻关注市场上价格信息的变化。

3.订立框架协议。在这一环节，企业的风险包括有效协议签订不当，导致物资采购不顺畅；合理的内容中存在着重大疏漏等。为此，企业需要订立采购合同，并在订立采购合同之前应明确采购商品的质量要求，明确双方的权利义务和相应的赔偿机制。

（四）完善信息与沟通机制

信息与沟通是指企业要及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效的传递与沟通。完善信息与沟通机制是实施内部控制的重要条件。

1.信息的收集。收集的信息包括企业的内部信息和外部信息。内部信息是根据经营目标建立的与企业经营活动相关的信息系统。在建立信息系统时企业应该根据自己的发展战略目标、业绩考核和风险控制特点，科学地、系统地规范不同层级的报告指标系统，并与全面预算相结合。外部信息的收集，是企业识别和防范风险的重要环节，企业需要了解自身所在行业的市场状况、竞争状况、政策的变化和环境的变化等。这样企业才能利用这些外部信息更好地评估实现目标过程中存在的风险，采取科学合理的措施应对风险。

2.报告的生成。采集到企业的内部和外部信息之后，下一步需要各职能部门根据企业的需求进行筛选和抽取，然后建立分析模型，在对资料进行详细分析的基础上，起草相应的报告，形成总结性的结论，要注意报告的简洁性和通俗易懂。

3.信息的传递。企业应当完善信息的传递机制，包括内部信息和外部信息的传递机制。内部信息的传递包括了信息向下传递、向上传递和平向传递机制，即对员工传递信息，对公司董事会传递信息以及管理层之间的信息传递。因此企业需要注意信息传递的多样化，以保证信息能够传达到每个员工。

四、结论

首先，要强化管理层的风险和内控意识。风险管理将成为未来内部控制发展的主要方向，我国企业要想在全球化经济竞争中获得成功，就需要管理层转变经营管理意识，强化风险和内控观念，主动加强企业的风险管理和内部控制。

其次，要结合企业实际情况建立完善的风险和内控框架体系。加强风险管理与内部控制要结合企业的自身情况。我国的内部控制与风险管理制度刚开始成型，企业应当以《企业内部控制基本规范》为指导，认真进行风险管理，并在此基础上进行内部控制，提高制度的有效性和经济性。

最后，塑造全员风险和内控观念，营造好的执行环境。再好的管理制度，若得不到良好的执行，只能是“井中月”。因此，企业决策层要重视员工在企业运行中所起到的作用，将激励机制和监督机制有机结合，保证制度的顺利实行。Z

参考文献：

[1]刘霄仑.风险控制理论的再思考：基于对COSO内部控制理念的分析[J].会计研究，2010，（ 3）.

[2]戴文涛.内部控制学科体系构建[J].审计与经济研究，2013，（ 5）.

[3]李维安，戴文涛.公司治理，内部控制， 风险管理的关系框架——基于战略管理视角[J]. 审计与经济研究，2013，（3）.

[4]朱小芳，周大伟.信息化环境下企业内部控制问题探讨[J].商业会计，2011，（20）.

[5]迟晓程.浅谈如何提高企业内部控制制度的执行力[J].财经界（学术版），2012，（07）.