浅谈企业内部控制与风险管理的有效策略

王宇

摘 要：内部控制的有效性能够充分体现出企业自身管理水平的高低，特别是近年来，风险管理内涵有了明显改变，逐步由传统思路转向管理，在企业风险管理过程中，内部控制所能发挥的作用日益显现，二者相互交融已经成为一种必然趋势。鉴于此，本文将立足风险管理视角，从企业内部控制现状及相关问题着手，并针对这些问题提出相应地对策。

关键词：风险管理；内部控制

在2008年，随着《企业内部控制基本规范》的联合发布，表明我国企业内部控制建设取得明显突破。实际上，《企业内部控制基本规范》是对美国COSO报告的内部控制框架体系的合理借鉴，并在我国国情基础上所作出的调整和改进，符合我国经济环境和经营管理实践现状，为广大企业内部控制建设提供全套统一标准。强化企业内部控制，就是要不断促进企业经营管理与风险防范能力的提升，推动企业持续快速发展。本文将专就国企内部控制和风险管理进行深入探讨。

一、内部控制与风险管理的关系分析

近年来，以COSO为代表的美国内部控制框架体系对国内内控风险管理理论产生了深入影响，不难看出，在内部控制与风险管理之间，存在着既独立又联系紧密的管理。内部控制是风险管理理论发展的垫脚石，同时风险管理发展又反过来推动内部控制理论的进步，随着风险管理理论的逐渐丰富，其与内部控制之间的联系将会越趋紧密。

内部控制和风险管理有所区别。在企业管理早期阶段，风险管理与内部控制相互分离，内部控制关注的是对确定性的经营活动进行控制，重点是对企业经营过程中财务信息的控制，传统风险管理也只是被动的面对企业经营活动中偶然发生的或不可控的风险，并通过规避风险来减少损失。具体到目前风险管理与内部控制的区别上来说，从形式上来看，COSO《内部控制框架》主要包含了风险对策、事件识别、目标设定、过程监督、信息沟通、控制活动、风险评估、环境控制这八个要素，这些要素，将企业战略、风险管理、内部控制紧密地联系在一起。从实质上来讲，风险管理贯穿于企业的整个战略层面，风险是系统化、全员化的将风险管理作为價值中心的风险应对理论，得而内部控制是企业进行管理的一项方法，而《内部控制框架》只是单纯考虑了不确定的风险。

内部控制与风险管理逐步走向相互融合。内部控制内部控制进入了整体战略层面。对应的，风险管理也从单一风险应对发展到系统的风险管理，要求更加主动的应对和利用风险，风险管理进入了现代风险管理阶段。把握给企业带来发展和壮大的机会的同时也要注意把握机会带来的风险，并要求内部控制对经营者把握机会的风险进行控制，这些都促进了内部控制与风险管理的相互融合。“从上到下”的控制基础和“从下到上”的风险基础执行模式相互结合。

二、风险管理下的我国企业内部控制现状

国内企业投资金融衍生品遭遇亏损的案例有许多，例如中国中铁和中国铁建的外汇结构性存款业务、中信泰富投资杠杆式外汇产品以及深南电原油期权合约和中远集团的远期费用协议合约等，都发生了巨额亏损，这些情况使得广大企业不得不重视风险管理在企业经营中的作用。外部经济环境的突变导致了一些企业在金融衍生品投资上产生了一些亏损，但不可否认，这也与普遍存在的企业内部控制和风险管理体系不健全或存在重大缺陷有很大的关系，具体来说，主要体现在以下几个方面：

1.内部控制制度建设不足、漏洞频出

范炜等著名内部控制研究领域的专家学者，依据内部控制理论的发展演进历程，采用邮寄调查函和实地调查等方法，对我国部分企业内部控制的构建现状进行了探析，通过对15家国有独资企业、24家股份有限公司和43家有限责任公司，总计82份有效调查问卷进行系统的统计与研究，最终得出我国企业内部控制体系的构建参差不齐，总体处于较低的发展水平这一结论。

内部控制作为风险管理的工具，其水平低下，容易导致企业风险管理上存在漏洞。造成我国企业内部控制制度建设不足的原因有以下几个方面。一是我国市场经济发展时间短，企业在整体管理水平上与国际同类企业水平有较大差距，在内部控制上的不到位是企业整体管理水平的一个反映。二是内部控制缺乏相关监管，执行力度不大，相关的内部审计部门由于自身权力的局限性也无法在内部控制上有较大作为。

2.风险管理意识不强、水平低下

由于我国中小企业多，企业管理水平不高，对风险的管理自然水平也较为低下。多数企业缺少系统性、全局性的风险规划、没有风险管理信息系统、也不设置专业的风险应对部门。企业经营风险的产生以及影响主要是和企业经营管理者的风险偏好以及企业内控体系是否完整有着密切关系，特别是和企业内控机制是否健全及风险管理措施是否得到有效执行有较大关系。企业内控体系发挥作用的前提是要有完善的风险识别和风险评估体系，企业必须要设置可辨识、可分析、可管理的风险管理机制，对企业所处的风险进行及时识别、评估。

3.在公司整体运行层面没有将风险管理与内部控制置于战略层面。治理、风险、控制的相互整合，丰富了公司管理理论，企业需要在整体战略层次上考虑风险管理，遗憾的是，我国大多数企业在此方面严重缺位。

三、企业内部控制构建措施与风险应对策略

提升企业综合管理水平，在企业管理中引入风险管理的思维与方法，切实提升企业内部控制的实际效果、构建有效高效的内部控制体系，需要从以下几个方面进行改进：

1.培育企业良好的风险管理文化、完善风险管理体系

风险管理要求企业在进行风险管理时要做到系统化、持续性、全员参与、总体布局。在一个企业之中，只有让风险管理的文化深入人心，风险管理才能真正起到实效。企业要将风险文化建设纳入到企业文化建设的整个体系中来，要通过多种方式，加强员工风险意识教育，让各级员工能够充分认识到风险无处不在、要严格防控风险、审慎处置机会风险、明确认识自身岗位风险。只有将风险意识融入到每个员工和管理层的日常工作和思维之中，风险管理才能起到实效，防范与未然。

构建风险管理体系，需要构建科学的风险识别、风险评估、风险应对体系，需要选择正确的风险策略，运用专业的风险管理技术与方法。风险识别，一个企业必须的识别出对其目标的实现可能产生影响的潜在事项。事项识别的意义在于准确及时的辨明企业所面临的各种风险，分清机会和风险，以便企业能采取措施抓住机会或采取措施有效地防范和应对风险。风险评估，需要引入动态风险评估机制，进行科学的风险衡量，通过分析初始风险信息，对于各种风险能够进行定量分析、定量测量，能够实时反映风险矩阵和排序频谱。风险应对，需要制定高效的风险管理策略，明确企业自身的风险偏好于与风险承受能力和风险有效性标准，在此之后针对不同风险选择多样的风险管理工具和风险应对策略，并确定风险管理所需要的资源支持。

2.完善公司法人治理结构

形成股东（大会）、监事会、董事会及管理层的沟通合作与权力制衡对于公司正常运作和风险管控有重要作用。通过其各部门各司其职、高效运转，保证企业制度尤其是内部控制制度得以有效的运行、监管、纠正以及预警风险。可以说，完善的公司法人制度，是保障企业内部控制运转良好的重要保障。

要积极发挥独立董事制度，聘请专业水平高、道德修养好、独立性强的独立董事，进一步管控公司在重大决策的风险，保证企业股东的利益。

3.加强内部监督与外部监管

加强内部监管，需要所有层和管理层的积极支持、需要内部审计与风险监督管理部门的通力协作。要保障内审部门的相应权限，保证内审部门的独立性，使之真正发挥作用。

在外部监管上，要积极借助外部注册会计师的审计工作成果，提升自身内部控制水平。相关政府机构及监管部门也应当积极帮助企业，提升风险管理水平。

参考文献：

[1]王青松.企业内部控制与风险管理[J].山西财经大学学报，2008（04）.

[2]李连华，聂海涛.我国内部控制研究的思想主线及其演变：1985-2005[J].会计研究，2007，（3）.