基于风险管理的企业内部控制问题探究

高 峰

内部控制是企业管理的关键，不但直接影响了企业资金和资产的安全，而且决定了企业经营活动的成败。而企业内部控制和风险管理二者存在必然的联系，本文通过对此问题进行探讨，力求推动企业内部控制工作的不断完善，促进企业可持续发展。

一、内部控制与风险管理的涵义

美国审计准则委员会对内部控制提出了如下定义：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标而在单位内部实施的各种制约和调节的组织、计划、程序和方法。风险管理是指企业为应对内、外部经营管理的不确定性而采取的措施，以期能够减少这种不确定性带来的损失。企业内部控制和风险管理相辅相成，两者既相互包含又相互促进。

二、企业内部控制和风险管理存在的问题

市场的不可控因素很多，使得企业在进行内部控制和风险管理的环节中遇到了很多问题，也面临了众多风险。

1.管理者的内部控制与风险管理意识不够

有的企业在发展过程中风险管理意识不够，要么丧失发展机会，要么高估自身的风险承受能力，最终给企业造成损失。企业普遍缺乏风险应急机制，内部控制职责划分不清，多数企业认为内部控制和风险管理是风险控制部门的事，各部门的参与度不够，内控监督仅仅局限于制定制度及评估，并未给企业发展提供有力支持。除此之外，领导对信息系统面临的风险不够重视，没有制定信息系统管理方案来指导信息安全工作，也忽略了对信息系统流程的管理。企业内部风险识别工作的执行力度不够，企业考虑到了一些风险因素，但没形成风险识别系统，对重大风险事项仍无法有效识别。

2.内部控制未形成体系，缺乏科学的风险评估及控制方法

企业一方面对自身风险容量和风险容限缺乏准确认识，另一方面是未建立风险数据库体系，调研基础数据不全面、不准确。内控方法不科学，企业对内、外部风险把握不准确，组织架构不合理，制度体系存在设计和实施缺陷，风险评估内容框架不全面，未形成科学的风险评估体系。企业对于内部控制过程管理不到位，比如资产管理部门对新购入的固定资产流程缺乏管控、合同缺乏全过程管控。

3.缺乏明确的内部控制目标，市场定位不准确

内控目标，是决定内部控制运行方式和方向的关键，企业的内部控制和风险管理在本质上是一脉相承的，具有相辅相成的联系和关系。很多企业在发展过程中一味追求短期利益，市场定位不准确，对于当前的热门行业不断加大投入而没有依据自身发展的需要进行分析，没有对国家政策以及未来的发展进行科学规划。除此之外在资金投入方面没有进行科学的风险预测，这将会给企业带来不可估量的损失。

三、内部控制建立与实施应遵循的原则

企业建立、实施有效的内部控制应遵循科学合理的风险控制原则：(1)全面性原则。风险控制的制度设计应该涵盖各个职能部门，同时还应该渗透到业务链、财务链的每个环节；(2)谨慎性原则。企业进行内控的主要目的是在企业的筹资、经营、投资等各个环节中能够有效地规避风险；(3)独立性原则。企业在进行风险控制的工作中需要给予各职能部门一定的独立权限及信任度并在日常工作中加以实施。

四、基于风险管理的内部控制优化措施

企业在建立与完善内部控制体系时应以“目标”为导向、以“内部环境”为起点，通过对风险评估模型与风险图谱的运用形成企业风险数据库。具体应从以下几方面入手：

1.明确各部门内控职责，提高内部控制与风险管理意识

内部控制必须能够高效地对企业组织结构、管理体制、内控制度、风险管理等方面进行监督和评估，分析风险管理活动中存在的问题并提出整改措施。企业应提高自身风险责任意识，积极完善企业的风险预警评估系统。内部控制监督包括持续监督和独立评估。COSO 报告指出，内部控制的监督措施对保证内控系统的有效性至关重要。

有助于公司管理质量和运营效率的提高，同时帮助公司内部控制目标的实现。建议通过设置风险管理部门来负责企业的风险管理，也需要企业的其他职能部门的配合，做到统筹兼顾才能实现企业的风险管理目标。

企业风险包括内部风险和外部风险。其中，内部风险包括战略风险、财务风险和运营风险。外部风险包括政策、市场、法律和技术风险。财务风险主要是指在投资管理、融资管理、资产管理和账务处理等方面的风险。财务风险是指账务处理不合规、程序不合理等情况。运营风险主要是指企业日常运营管理不合规，未按照规章制度实施内部控制，无全局意识和发展意识。

风险管理是对企业所有风险的监控和管理，具体包括业务风险和操作风险。内部控制的主要目的是做好对业务风险的防范和控制，是规避操作步骤的风险。管理层需充分感知企业面临的内部与外部风险且有效的应对风险，对于经营过程中各个环节的风险作出预估，将风险评价、风险识别、风险分析等过程与内控评价、缺陷认定和整改等过程进行整合，充分利用流程管理降低风险概率以实现全面风险管理工作与内部控制工作的有效对接，积极完善企业的风险预警评估系统。

2.构建风险评估内容框架及管理机制

根据《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等的要求，结合企业发展实际情况建立内部控制组织体系。我们应重视在内部控制和风险管理过程中的系统化、流程化建设，这并不仅仅是大数据时代的要求，同时也是企业长远发展的需要。应构建与企业相适应的内部控制体系，包括风险预警、风险评估机制。

（1）构建风险预警机制

风险预警是在风险发生之前，为了防患于未然而通过企业的经验和规律察觉预警信号从而对风险进行控制，尽可能减少或消除由于风险而给企业造成的危害。具体包括对预警数据进行分析从而消除潜在危险。

企业应结合自身发展的实际情况建立风险预警指标体系，具体到风险预警指标。指标包括定性指标及定量指标两种。定量指标主要涉及财务风险层面，定性指标主要涉及政策等因素层面。通过对各项指标的计算及运用，可以在发生风险前对风险进行控制，尽可能减少或消除因风险带来的危害。

（2）构建风险评估内容框架

风险评估内容框架的构建可以从固有风险的重要性水平和现有控制措施的有效性两个方面考虑。通过建立风险评估模型，企业可以明确面临的风险并选择何种风险管理工具。企业应加强经营、筹资、投资等活动的风险评估，在开展相关项目之前以其进行科学评估，同时还需要对项目进行全过程监管，做好事中和事后评估以实现全方位、系统化地管理。应从不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等方面做好内部控制及风险评估。

风控管理部门在上级的授权下，按照风险评估方法开展相关工作，根据企业生产与运营等活动的开展情况进行各职能部门的职责分配。风控管理部门应明确各职能部门的具体岗位分工，在执行风控的过程中对各职能部门的工作进行监督。从企业长远发展的角度出发进行全过程的工作分析与绩效考评，最终针对风险评估工作完成的全过程建立风险数据库。

（3）完善风险评估机制

进行风险管理必须要有一套科学、合理的风险评估机制能为此提供决策依据。各企业首先应能准确把握自身风险承受能力并制定行之有效的内控目标，采取积极的措施降低内控风险。根据影响风险因素的程度将风险进行排序，着力关注高风险并及时防范和管控。

企业应依据内部控制的五要素不定期针对内部控制关键领域的风险控制活动开展专项评估，具体包括控制事项的风险水平及控制的范围和频率。除此之外，当国家相关法律法规、行业规定等发生变化时，当企业进行战略调整、组织架构等内部控制环境要素发生重大变化时，当企业拓展新的业务时，都应开展专项评估工作。

3.创新内控方式，明确风险控制目标

企业要成立风险防控委员会，提出合理措施对风险进行防控，从内部控制和风险管理的方法着手做好创新内控方式的基本工作并在实践中不断的优化，切实保障企业内部控制和风险管理的有效实施。

企业风险目标的实现就需要科学的内部控制和风险管理方法作为支撑。企业应该进行积极的实践，积累经验，向相同行业中的优秀企业学习，切实提升自身内部控制和风险管理水平。

综上所述，企业内部控制和风险管理在本质上是一脉相承的，相辅相成。企业通过建立健全系统的内部控制和风险管理机制，能够在经营管理中有效降低风险，提高资金的使用效率，保障项目决策的准确性，持续推进企业健康、快速发展。建立健全内控管理和监督体系，充分保障内控工作开展的高效性，提高企业的核心竞争能力，为企业长期、可持续发展奠定坚实的基础。