關于企業(yè)內部控制與風險管理的思考

文/夏勝炳

關于企業(yè)內部控制與風險管理的思考

文/夏勝炳

COSO是美國反虛假財務報告委員會下屬的發(fā)起人委員會的英文縮寫，其最先提出的《內部控制——整體框架》其中將企業(yè)的內部控制與風險管理相關聯(lián)；在2004年接著發(fā)布了《企業(yè)風險管理總體框架》，該書將企業(yè)內部控制視作風險管理的手段；從上述可見，風險管理已經成為當代企業(yè)內部控制管理的必要環(huán)節(jié)，企業(yè)內部控制與風險管理通常是相輔相成的，這樣才能為企業(yè)各個戰(zhàn)略目標的實現提供切實的保障。本文主要是闡述了內部控制與風險管理之間的相互關系，以及關于這兩者之間的個人的見解與思考，并針對這些問題提出了現代企業(yè)健全內部控制體系以及風險管理的對策。

內部控制；風險管理；思考

一、企業(yè)內部控制與風險管理關系闡述

（一）企業(yè)內部控制管理本質

企業(yè)內部控制管理大體上是根據企業(yè)目前的專業(yè)管理機制以及策略，同時主要是以風險管控、風險預防、風險監(jiān)督、風險評估等這幾個方面為主的工作，再借由多維度多層次的管控方式進行生產以及經營中各種類型業(yè)務的規(guī)范化的管理模式。從管理視角出發(fā)，企業(yè)內部控制在定義上來說有點像是風險管理的下屬子系統(tǒng)；但是從管理范圍來看，企業(yè)內部控制管理作為企業(yè)全面風險管理的重要環(huán)節(jié)，其完全可以作為企業(yè)在進行風險管控時最重要的構成部分。企業(yè)內部控制管理的過程中是從內部環(huán)境為視角出發(fā)的，內部控制管理的機構設置有諸如企業(yè)內部審計、企業(yè)人力資源政策以及內部獎懲制度等等；而對企業(yè)的風險進行管控時，就更需要企業(yè)內部控制的管控方式進行更為科學與合理化的目標確定，嚴格根據企業(yè)風險評估體系，爭取做到企業(yè)內部控制的最優(yōu)化結果。

（二）企業(yè)風險管理的含義

任何目標在達到的過程中必然面臨各種各樣的風險。企業(yè)更是不必說的。企業(yè)風險管理是指企業(yè)各級管理層在完成企業(yè)戰(zhàn)略目標的過程中，對企業(yè)所面臨的各種潛在風險以及企業(yè)當下管理模式存在的各類風險進行有效管理與控制。只要是背離或是阻礙企業(yè)共同目標的因素與風險，在企業(yè)實施風險管控的時候都應該給予治理與規(guī)避，這樣才能保證企業(yè)的戰(zhàn)略目標得以實現。風險管理中風險是最主要的工作范圍，而這其中信息化程度也是影響著整個風險評估與判別的重要影響環(huán)節(jié)，這也是現代企業(yè)注重信息化的原因；企業(yè)進行內部控制與檢測時，在風險評估以及風險管控方面還是需要根據企業(yè)的實際需求，布置相應的內部檢測，同時也要針對企業(yè)的日常內部監(jiān)控，一旦在某個企業(yè)的內部控制管理出現問題，企業(yè)就可以針對該環(huán)節(jié)進行分析，分析出是政策、機制還是相關實施措施的問題并進行調整，這樣可以使得企業(yè)在進行風險管控時不僅避免了風險還不斷的健全風險管理制度。

二、我國企業(yè)內部控制存在的風險缺陷

（一）我國企業(yè)風險控制體系不成熟

（1）我國企業(yè)對風險全面評估不夠重視。企業(yè)經營風險的誕生以及企業(yè)管理者的風險偏好這些很大程度上取決于企業(yè)是否具有完善的內部控制體系。健全的風險界定以及成熟的風險評估體系是企業(yè)內部控制體系有效發(fā)揮作用的重要前提，但是我國企業(yè)管理者并沒有重視對風險管理機制的研究，這就自然形成了不成熟的風險控制體系。（2）我國企業(yè)未設置單獨的風險管控部門。當下的時代是信息時代，企業(yè)所面臨的風險種類大大增加，企業(yè)生產經營的風險波及程度也逐漸加深，從中可以看出設置專門的風險管控部門是十分有必要的；由于我國企業(yè)在風險管控這方面的意識薄弱，并沒有設置單獨的風險管控部門，甚至有些企業(yè)連最基本的風險識別與風險預警系統(tǒng)都沒有。

（二）企業(yè)風險管控意識不夠強烈

目前隨著經濟全球化的進程，我國同世界各國的經濟聯(lián)系更為緊密，越來越多的企業(yè)進軍到國際這個大舞臺之上，在國際市場中進行更為激烈的市場競爭，同時也有諸多企業(yè)涌向國內。在上述背景下國內企業(yè)面臨的壓力逐漸增大，尤其是在國內許多企業(yè)仍是缺乏風險意識，許多企業(yè)管理者所重視的風險也僅僅是在財務風險單方面，由此可見我國企業(yè)的風險管控意識薄弱的程度；我國企業(yè)普遍在乎的是公司盈利，在風險管控方面實在是無法關心，這樣就極易造成我國企業(yè)在經濟全球化的沖擊下無法面臨巨大的挑戰(zhàn)與機遇，相反，國外因為經濟的發(fā)達，許多企業(yè)早已重視這方面的問題。

（三）企業(yè)公司管理結構不夠完善

企業(yè)的內部管控要想有效的運行就必須保證企業(yè)擁有著完善的治理結構，這是給企業(yè)內部管控造就最基本的實施環(huán)境。企業(yè)內部控制管理的主要實施者當然是企業(yè)的經營管理層，但是如果企業(yè)的權利設置以及制衡體系之中存在著結構性的問題，則企業(yè)的內部控制就無法有效的實施，企業(yè)治理結構中作為企業(yè)風險與內部管控的核心——董事會，該核心是要對企業(yè)的風險管理與內部控制擔負主要責任的，而在我國中董事會存在著職權交錯的問題，在實質上是對公司治理結構不利的，容易造成職權混亂的局面，自然企業(yè)就無法有效的運行內部控制機制以及風險管控。

三、企業(yè)基于內部控制下的風險管控策略

（一）逐步強化企業(yè)風險管控體系以及內部監(jiān)督機制的建立

（1）對企業(yè)風險類別進行明確的區(qū)分，這是為了企業(yè)能采取相對應的科學的措施來進行風險管控。企業(yè)在分類風險時可以從業(yè)務活動方面與企業(yè)整個方面兩個維度進行分析。通常來看，企業(yè)的整體風險主要是由內部與外部構成的，內部因素有組織、經營、財務、戰(zhàn)略等等風險；而外部就是宏觀與不可抗力因素，諸如法律政策、自然天災、市場技術等等風險。而從業(yè)務活動層面來看主要取決于企業(yè)所處的行業(yè)環(huán)境來進行分析，企業(yè)所處的行業(yè)環(huán)境不同其所面臨的風險也不盡相同。企業(yè)應根據自身特點明確自身的風險種類。（2）建立完善的內部監(jiān)督機制。完善的內部監(jiān)督機制自然包裹各個風險指標的檢測等等，尤其是要建立風險導向的審計機制。企業(yè)的審計機制可以處于相對客觀且獨立的審查機構，能更加從公正的角度來對企

下接（第232頁）