竇永紅 康 華 高永博

2008年美國次貸款危機引發(fā)的全球經濟衰退波及我國沿海地區(qū)出口型的成千上萬中小企業(yè)破產，2009年石家莊三鹿集團的“三聚氰胺”嬰幼兒奶粉案件，2011年臺灣“塑化劑”飲料事件，河南雙匯集團“瘦肉精”火腿腸事件，這一系列觸目驚心事件再次引起人們對內部控制系統(tǒng)地重視，對風險管理地關注。導致內部控制失效的原因主要在于這些問題公司企業(yè)風險管理意識薄弱，內部控制制度流于形式，造成了許多企業(yè)抗風險能力低下。因此提高風險管理導向的內部控制是我國企業(yè)的重之至重。

近年來我國已經重視企業(yè)全面風險管理體系建設和企業(yè)內部控制建設，先后出臺了針對中央企業(yè)全面風險管理指引和針對上市公司的內部控制基本規(guī)范和配套指引，標志著適應我國企業(yè)實際情況、融合國際先進經驗的中國企業(yè)風險管理體系與內部控制規(guī)范體系基本建成。對于內部控制和風險管理，企業(yè)不能簡單當作應急的手段或是應付國家行業(yè)管理的要求，而應將其當做企業(yè)的基本建設來認識。內部控制應從“消極合規(guī)”向“積極合規(guī)”轉變，由“審計方法”要求向“管理方法”要求轉變，由單純的“內部控制”向綜合的“風險管理”發(fā)展。

一、內部控制與風險管理的區(qū)別與聯(lián)系

（一）內部控制與風險管理的涵義

1.內部控制的涵義

內部控制是企業(yè)董事會、監(jiān)事會、經理層和全體員工共同實施的、旨在實現(xiàn)控制目標的過程。內部控制的目標有促進遵循國家法律法規(guī)的合法合規(guī)目標、促進維護資產安全的資產目標、促進提高信息報告質量的報告目標、促進提高經營效率和效果的經營目標和促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略的戰(zhàn)略目標。借鑒COSO框架，我國《企業(yè)內部控制基本規(guī)范》將內部控制的要素歸納為內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督五大方面。

2.風險管理的涵義

風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響。這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件和管理風險，使之在企業(yè)的風險偏好之內，從而合理確保企業(yè)取得既定的目標。風險管理的目標包括企業(yè)的戰(zhàn)略目標、經營目標、報告目標、合規(guī)目標。風險管理包括內部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監(jiān)控八個要素。

（二）內部控制與風險管理涵蓋的范圍不同

風險管理從企業(yè)戰(zhàn)略制定一直貫穿企業(yè)的各項活動中的風險范疇，是對內部控制的延展，全面風險管理的范圍比內部控制的范圍更寬泛。內部控制則表現(xiàn)為企業(yè)管理的職能和控制方法，全面的風險管理在企業(yè)制定目標時就考慮到了風險的存在，風險管理實現(xiàn)的目標包含了內部控制目標所沒有的戰(zhàn)略目標。

（三）內部控制與風險管理作用方式不同

內部控制注重的是風險管理過程中及過程之后的重要活動，針對實施控制活動、信息與溝通和監(jiān)督活動進行評價和缺陷糾正工作，全面風險管理不僅包括風險管理目標和戰(zhàn)略的設定，風險評估方法的選擇，還包括管理人員的選聘，預算的執(zhí)行和行政管理，報告程序等活動。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法。內部控制所能起的作用只是在目標既定的前提下，采取一系列措施進行風險控制。然而這不是風險管理的全部。企業(yè)要想有效地管理風險，還必須要借助于目標的設定，對風險借助于目標的設定，對風險進行計劃:借助于內部控制對風險進行事中控制；最后還應該采取風險應對措施。

（四）內部控制與風險管理高度相關的辯證統(tǒng)一關系

1.近年國內外法律法規(guī)要求將內部控制與風險管理相結合

隨著世界經濟的全球化，企業(yè)競爭的深度和廣度會大大增加，面臨的競爭將會更加激烈，為了適應已趨激烈的競爭，必須提高管理水平。加強企業(yè)內部控制建設，特別是強化風險管理，是提高企業(yè)經營管理水平的基礎性工作，也是不可回避的現(xiàn)實需要。

2006年，美國頒布了《薩班斯-奧克斯利法案》明確要求上市公司必須披露基于風險管理的內部控制體系的建設情況，聘請專業(yè)機構對企業(yè)內部控制體系的合理性、完整性發(fā)表評價意見。我國五部委聯(lián)合2006年發(fā)布的《企業(yè)內部控制規(guī)范——基本規(guī)范》，2010年發(fā)布的通稱為《企業(yè)內部控制配套指引》。這些法律法規(guī)表明內部控制開始從財務報表導向偏向了企業(yè)管理導向。這種觀念導向的偏離對企業(yè)企業(yè)內部控制的建立和實施有重大影響，其好壞直接決定了企業(yè)內部控制整體框架實施的效果。因此，要準確把握通過內部控制制度達到規(guī)范和提升企業(yè)經營效果的目的，就必須將全面風險管理與內部控制融合在一起，通盤考慮企業(yè)的管理工作。

2.企業(yè)發(fā)展目標的一致性要求將內部控制與風險管理相結合

內部控制與風險管理最終目標都是維護企業(yè)資產的安全，保障投資者、債權人和其他相關者的利益，提高經營效率和效果，促進實現(xiàn)發(fā)展戰(zhàn)略，終極目標的一致性要求二者有機地結合。

3.內部控制與風險管理密切相關、互為影響要求將內部控制與風險管理相結合

內部控制與風險管理都是在董事會、經理層、其他相關共同影響下的全員參與的管理行為，都是貫穿于企業(yè)經營管理全過程的行為。內部控制最基本的作用就是防范風險，內部控制是全面風險管理的重要組成部分，是風險管理不可或缺的有效方式，以內部控制為中心，構建以風險管理導向的內部控制體系是保障企業(yè)可持續(xù)發(fā)展的保障。

二、目前企業(yè)風險管理中存在的問題

（一）企業(yè)風險管理體系不健全，管理目標不明確

管理者及相關人員風險意識淡薄，對瞬息萬變的外部經濟環(huán)境敏感度差，對風險管理的認識停留在職能管理層次上，缺乏從戰(zhàn)略角度認識風險管理的重要性。2008年金融危機波及我國沿海地區(qū)出口型的成千上萬中小企業(yè)破產，許多企業(yè)沒有應對風險的任何準備，這造成了許多企業(yè)抗風險能力低下。

（二）風險管理機構不健全

大多風險管理機構從屬于內部審計部門，缺乏應有的獨立性。風險管理機構應該是保持機構獨立，人員獨立，才能保證管理的獨立。健全的全面風險管理能夠對企業(yè)風險進行充分的分析識別，采取不同的風險應對策略，并設法將風險降低到可控的最低的范圍之內。

（三）缺乏系統(tǒng)的風險管理手段，同時對風險缺乏持續(xù)的監(jiān)控

企業(yè)運營存在著企業(yè)層面的、經營風險、財務風險、投資風險、并購風險、業(yè)務層面的各項業(yè)務活動的資金風險，采購銷售風險，資產管理風險，研發(fā)活動風險等等，這就需要采用定性與定量分析結合的方法，定期跟蹤與持續(xù)監(jiān)控結合的方法，對風險采取規(guī)避、承受、降低、分擔多種應對策略，而不是一味地規(guī)回避或放任自流。

三、構建以全面風險管理導向的內控管理體系

（一）建立以風險評估為前提的內部控制體系

風險評估是企業(yè)及時識別、科學分析經營活動中與實現(xiàn)目標相關的風險，合理確定風險應對策略，是實現(xiàn)內部控制的重要環(huán)節(jié)。風險評估包括目標設定、風險識別、風險分析和風險應對。按照風險發(fā)生的可能性及對組織目標的影響程度，對識別的風險進行分析歸類排序，確定和優(yōu)先控制的風險。以風險為導向規(guī)劃內控體系。

（二）培育創(chuàng)新的全面風險管理觀念

將風險管理理念深入人心，成為企業(yè)文化的一部分?！耙匀藶楸尽睆钠髽I(yè)最高管理者到普通員工，人人都有風險意識。將風險管理理念貫徹到企業(yè)經營的全過程、全方位。企業(yè)的每個業(yè)務流程都有風險管理的內控制度規(guī)范，達到風險管理要求應該達到的基本狀態(tài)。

（三）建立全新的以風險管理導向的內部控制評價機制

全面梳理現(xiàn)有的內部控制制度，結合風險控制環(huán)節(jié)，分層落實，具體到各部門、各崗位賦予管理風險的職責權限，定期檢查評估和考核，強化風險管理責任，提高整體風險防范能力，由單一風險部門的防范轉向全企業(yè)的防范。

（四）構建以全面風險管理導向的內控管理體系

企業(yè)應當結合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，與時俱進，適應瞬息萬變的經濟環(huán)境，及時補充完善以風險管理內部控制體系。

全面風險管理是企業(yè)管理的核心，應融入企業(yè)日常經營管理中。內部控制主要作用就是防范風險。將風險管理引進內部控制體系中，使內部控制作為實現(xiàn)全面風險管理重要環(huán)節(jié)和有力保障，從而全面提升企業(yè)抗風險能力，可以使企業(yè)在激烈的市場競爭中立于不敗之地。

[1]閆金萍.論現(xiàn)代企業(yè)內部控制機制[J].現(xiàn)代管理科學，2007，（1）92-94.

[2]胡為民.內部控制與企業(yè)風險管理[M].電子工業(yè)出版社，2007.

[3]陳曉更.論企業(yè)建立全面風險管理體系的必要性[J].會計之友，2008，（9）30-31.