内部控制与企业风险管理

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇内部控制与企业风险管理，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

关键词:风险管理;内部控制;机制

中图分类号:F23

文献标识码:A

文章编号:1672-3198(2010)04-0167-02

1 风险管理的演进历史及现状

风险管理是采取一定的措施对风险进行检测评估, 使风险降低到可以接受的程度, 并将其控制在某一可以接受的水平上。从职能上说, 风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失, 保证组织目标的实现。对风险管理的定义可以理解为: 一是风险管理是一个系统过程, 包括风险的识别、衡量和控制等环节; 二是风险管理的目标在于控制和减少损失, 提高有关单位或个人的经济利益或社会效果; 三是风险管理是一种管理方法。

风险管理作为企业的一项管理活动,产生于 20 世纪 50 年代的美国, 当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时, 风险管理是企业管理的一个重要组成部分, 主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单, 因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。

20世纪80年代后, 企业的经营环境开始发生了巨大变化, 以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁, 使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动, 并没有形成完整的理论和方法体系。反而在金融机构中, 由于所经营的金融产品带来的各种风险加剧, 逐步形成了针对金融机构的相对完整而系统的金融风险管理体系, 其针对的对象和内容都与传统风险管理有很大不同。

到 20 世纪末, 随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂, 开始出现了将企业的所有风险, 包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期, 并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起, 形成一个崭新的概念――全面风险管理。

全面风险管理是指企业围绕总体经营目标, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。

2 构建我国企业全面风险管理整体框架

2.1 我国全面风险管理现状与发展趋势

目前,我国为数众多的企业中的全面风险管理基本是一种被动式的管理,没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对工作中的风险孤立地采取一定对策,缺乏系统性、全局性。

笔者认为,要建立企业全面风险管理体系,首先要树立风险意识,转变观念,提高认识,使企业中每个部门每个员工都理解企业全面风险管理的价值,协调全面风险管理目标和政策,把全面风险管理融入日常的企业管理中,使风险管理成为人们一项日常的管理行为。

随着知识经济发展程度的加深,受其影响,现代企业全面风险管理体系从指导思想到具体制度建设上,出现了以下四个方面的发展趋势:一是由着眼于控制向关注环境转变;二是由回顾历史向着眼于未来转变;三是以零起点的风险预测取代评价;四是由关注经营风险向关注战略风险转变。

企业需要经过一个循序渐进、不断完善的过程,从最初的简单风险管理达到全面风险管理的高阶段。全面风险管理将风险管理视为企业追寻机遇过程中一个合理有序的流程,将商务风险管理行为与战略管理、业务计划制定过程结合在一起,使用一种复杂的、高度透明的、持之以恒的方法将战略、过程、人员、技术和知识联结在一起,以实现使整个企业的风险、收益、增长与资本得到充分优化的目的。

2.2 企业全面风险管理整体框架的构建

目前我国企业全面风险管理还处于起步阶段,还未形成成熟的理念和管理工具,受制于发展现状,还需要一个有序不断地改进过程。在构建中要先抓住关键要素,努力以最小的成本达到最大的安全保障,这些关键要素包括以下四个方面。

(1)明确企业全面风险管理目标,建立有效的监督体系。

企业全面风险管理整体框架是建立在明确的企业监督框架和适当的人员责任分配基础之上的,其目标是使风险成为企业文化的内在有机组成部分。企业全面风险管理一定要与企业的技术及战略管理相结合,要在全企业范围内明确宣布风险目标和计划,并将其与企业业务、战略及业绩目标结合起来,建立一个由全企业层次集体支持的风险管理过程。

(2)营造企业全面风险管理的文化氛围,推进风险管理的实践。

企业全面风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业全面风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业全面风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业全面风险管理水平将不断提高。

(3)构建独立的企业全面风险管理体系。

为了确保企业全面风险管理活动被很好地理解和执行,企业首要的任务就是建立一个全面风险管理组织结构。这个结构划分为两个层次:一是高级管理层(董事会)。它承担全面风险管理的最终责任。这种责任要求高级管理层对本企业的产品、业务过程和相关风险有全面了解。其下面设全面风险管理委员会,负责全面风险管理实施过程中的授权和日常决策工作,向董事会提交独立风险报告,它直接对董事会负责。二是建立独立的全面风险管理职能部门。其任务是辅助高级管理层完成其风险管理责任。主要负责评估和监控企业整体的风险情况,并及时向风险管理委员会报告,提出针对风险来源的具体管理办法,制定本企业全面风险管理的各项制度,策划全面风险管理的各项工作,提出全面风险管理的改进方法,建立有效的事后补救机制等。基层所属单位应改变管理模式,在矩阵式管理的基础上实现管理过程的扁平化,使风险管理横向延伸,纵向管理。

(4)建立健全风险识别、评估体系。

要评估风险首先要识别风险,收集分析并综合处理相关的内部及外部数据为企业提供可靠、及时的风险管理信息。我们可借鉴国际先进经验并运用现代科技手段,通过风险组织流程,风险计量模型、风险数据库、风险管理信息系统等手段,采用列出事项目录、进行内部分析、推进式的研讨与访谈、过程流动分析、损失事项数据方法等技术,识别、分析、度量风险与机遇持续过程。建立科学的评估方法,组建一套统一完整的管理工具和风险管理的共同语言,帮助管理层更好地关注,选择应对风险的措施。这种风险评估体系一旦发展起来并投入实施,就逐步走向了企业风险管理。

3 构建体现全面风险管理的内部控制新机制

3.1 构建具有本企业特色创新风险管理理念

将全面风险管理作为企业文化的一部分,是一个全新的概念。这一概念的提出到最终确立为企业文化还需要一个过程,需要全体员工在全面风险管理理念下的共同努力。因此,要多学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,只有这样,全面风险管理的理念才能真正融入到实际工作中,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。

3.2 构建切合实际的内部控制评价机制

传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,岗位管理职责的长期稳定成为保证权威的第一要义,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来修补。作为岗位职责监督者的稽核部门也只是“例行检查”。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。

3.3 构建全新的内部控制组织体系原则

一是全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,但目前,企业内部控制体系与全面风险的要求还存在较大的差距。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现对全体员工强化风险意识,做到“横到边、纵到底”,将风险意识,印在脑海里,落实在行动上;(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。

二是分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。三是风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。

四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。

3.4 构建符合内控要求的业务管理新制度

传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。

参考文献

[1]许谨良,周江雄.风险管理[M].北京:中国金融出版社,1998.

[2]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,(2).

第2篇

【关键词】风险管理 内部控制 企业

社会主义市场经济的快速发展，给我国的企业带来了不少新的机遇和挑战。特别是我国在加入世贸组织后，这样的竞争风险越来越激烈。企业要长期运行下去，只有与我国的社会主义市场经济的要求相适应，强化企业的风险管理和内部控制，避免风险，才能使企业在激烈的竞争中有最大的效益，使企业能够健康良好地发展下去。

一、企业风险管理和内部控制间的关系

（一）从企业风险管理的含义角度来讲

所谓的企业风险管理，指的就是对企业经营的各个层面中所蕴藏的风险及时发现与了解，来达到企业的预期战略目标，分析研究风险，并积极采取措施，来降低企业经营的失败程度和不确定性。在这个含义中存在两个重要的因素：①企业存在的风险与目标是密不可分的，风险的造成直接受到企业发展目标的影响；②风险的管理要有科学合理的控制措施，具体来讲就是要使风险能够化解，最重要的就是进行内部控制。

（二）从企业风险管理的方法来讲

企业风险的管理是在企业目标的基础上，所进行的分析风险和测评风险，再通过积极有效的措施进行内部控制。内部控制机制的主要作用就是在内部控制主体所设立的行为规范上，进行内部控制主体行为的调整，如此能够使企业顺利进行各项经济活动，使企业内部在经济交易中产生的不同行为得到限制和激励，从而使交易的成本大大节省。

由此可知，企业风险管理与内部控制是相互存在的，内部控制机制是否健全严重影响着企业的风险管理，所以，内部控制机制的建立健全是企业规避风险、提高经营管理水平最佳人的方法。

二、企业风险管理和内部控制中存在的问题

（一）风险管理意识淡薄，不能很好地预测风险

企业目前所面临的风险主要包括市场风险、运营风险、法律法规风险等等。运营风险在所有的风险中是最重要的一个。企业要建立一个能够辨别风险和控制管理风险机制，且高风险的范围要明确，从而加强管理。可这种机制正是我国企业所缺少的，管理风险的意识相当淡薄，没有辨认风险、评估风险的相应机制。

（二）风险的有效防范措施力度不够

风险和收益在有效资本市场的条件中是成正比关系的，风险低则收益低，风险高则回报必丰厚。可从内部控制的层面来讲，企业在辨认和分析过风险之后，理应通过一些积极又有创新意义的管理风险的措施，使企业能够接受这样的风险。不少企业为了获得更高的经济效益，冒着风险进行违法运营，让股东承担负债风险和公司破产的风险，造成了风险资产的不断增加，也加大了经营的风险和财务的风险，结果损害了公司和股东的利益。

（三）内部控制的制度没有执行力，缺少机制的评价

我国有不少企业把内部控制的制度都贴在墙上或写于纸上，没有切实的执行力，也很少有企业进行评价其内部控制的制度，大多数都是走于形式。此外，长时间以来，企业管理者考核的根据主要是以利润为主，其方式也非常单一，鲜有内部控制的综合评价。

三、加强企业风险管理和内部控制的对策

（一）健全内部控制组织机构，注重内部审计工作

为了提高内部控制制度的执行力，就要不断完善内部控制制度的组织结构，把内部审计机构的工作提升。内部审计机构的地位，企业要有明确的说明，赋予审计机构部门一定的权威性和独立性，使企业的审计部门成为企业内部控制制度执行的主要监督机构，且赋予各监督部门进行考核评价其控制制度的执行效果，这样，才能切实有效地执行企业内部的控制制度。

（二）强化内部控制执行部门的防范风险意识

在加强内部审计监管的同时，也要提高每个执行部门自身的防范风险的意识，执行部门必须根据规定的具体制度进行执行，避免出现由于执行力度不够、把关不紧而导致的经办部门和个人为一己之利而给企业带来整体利益谋私的行为风险。尤其是在信息化的今天，企业的外部环境更是千变万化，企业如果对内部网络数据的风险控制不予以重视，那么就有可能导致企业内部人员出现道德风险或者是系统性的风险，从而造成泄露商业数据的风险。所以，执行内部控制的工作人员一定要把泄露商业信息的风险意识加强，以此杜绝为企业带来巨大的损失。

（三）风险评估要做好，内部控制制度要健全

企业有效进行内部控制的基础的根据就是企业风险的评估。企业要按照实际工作情况，根据内部控制制度的标准依法建立与企业实际情况相符且有较强操作性的科学合理的制度，要做好风险的评估以及内部控制制度的完善就要从制定制度、执行制度、评估制度和改善制度等方面入手。如果企业的风险评估能够做好，再依照实际情况进行设立内部控制制度和有关程序，这样在很大程度上能使人为带来的风险和制度上风险等得到有效防范。

（四）企业各部门间的执行要相互配合，取得内部控制制度的高效执行

各个部门的工作程序对企业来说都非常的重要，尤其是作为内部控制制度的每个执行部门和个人，要把整体利益作为出发点，内部控制决不能把部门利益和个人利益当作自己工作的出发点，每个执行部门之间的信息要及时沟通，信息要及时共享，这样更有利于工作的相互配合，能够快速发现存在的问题，一起分析解决，以避免管理不足，从而使企业整体效益得到提升，企业内部控制的程序也能很好的协作，更加高效地使企业内部的控制制度得以执行，把内部控制制度的意义发挥至极致。

（五）设立内部控制执行的考核与监督激励的机制

在建立健全了内部的控制制度之后，最重要的问题还是各部门的执行和个人的执行，所以，企业在根据国家法律和企业有关规定的制度运营的同时，也要设立对应的考核机制以及激励机制，直接影响到执行人员的工作业绩，从而使风险防范意识能力得以提高。内部控制制度能够安全可靠地运行，其可靠的考核机制和工作激励是重要的保障。

（六）通过市场杠杆的途径来使企业风险管理水平提高

在企业进行风险管理时，要把市场杠杆所带来的积极作用发挥至极致，对于企业风险的控制、转移均可以通过期货、保险等一些金融手段来实现，但要注意的是操作必须安全规范，同时，还要及时建立健全各种措施策略，以使风险的发生比率大大降低。比如，为了对付多种不同的且无法事先预测的自然灾难，就可以采用购买商业保险的方法进行应对，在风险管理中，其作用是十分明显的。

四、结语

企业风险管理和内部控制是密不可分的，在很大的程度上，企业内部控制制度健全与否直接影响着本企业的风险管理，而要想使企业能够避免风险、填充不足，提高经济效益和管理的水平，必须要有健全的内部控制制度。

参考文献

[1] 谢巧云.基于企业目标、风险管理的内部控制[J].现代商业，2011（18）：123-125.

[2] 刘丽萍.企业风险管理措施及内部控制策略探讨[J].现代商贸工业，2011，23（19）：96-97.

[3] 何洪峰.浅谈企业风险管理与内部控制[J].新疆有色金属，2011，34（3）：152-153.

[4] 吴会茹.试论我国中小企业内部控制与风险管理[J].佳木斯大学社会科学学报，2011，29（6）：102-103.

[5] 赵来朋.浅议企业风险管理与内部控制[J].现代营销，2011（11）：140-141.

第3篇

风险管理概念：损失/不确定性等

风险管理的特征：客观性/普遍性/偶然性/可测性/可变性

风险的类型：环境风险/经营风险/财务风险

企业做大个人的管理能力显得非常渺小，只有通过科学的控制才有效。

风险可以事先管理，企业时时刻刻承担着风险如同人的一生活着就有风险都可能得病。

二内部控制的定义：内部控制是一个过程，皆在保证财务报告的准确性，可靠性。

内部控制整体架构：控制环境/风险评估/控制活动/信息沟通/监督

内部控制遵循的原则：全面性原则/重要性原则/制衡性原则/适应性原则/成本效益原则

内部控制五要素a内部环境（治理结构/机构设置/责权分配/内部审计/人力资源/企业文化）

b风险评估（不相容岗位设置：会计与出纳分开，管物与管账分开，采购谈判价格与供应商分开，责权分离。授权审批控制即所有人都有审批权，会计系统控制即财务报表的真实性，财产保护控制即企业资产盘点，预算控制即全面预算管理）

c内部监督（分为日常监督与专项监督）

d信息与沟通（各种信息的收集方式与渠道，电子信息的应用，部门之间的沟通与协调）

三企业各类风险：a货币资金风险：货币资金即企业现金与银行现金，货币资金的安全必须岗位不相容才能保证，公司主营业务收入好说明公司持续稳定，货币资金应日清或第三人清查或审计清查。对企业预留印鉴专人保管严禁一人保管全部印鉴，经授权人签字后使用印鉴,现金和银行存款的控制：库存现金限额制度/规定现金开支范围/专人定期核对银行帐/定期不定期盘点

b应收账款风险：客户到期不付款或无能力付款，前期要正确评估客户的资信程度，如同银行贷款程序，千万别把业务员培养成只会卖货不会收钱的业务员，商务谈判能力决定着应收款。应收账款的监督应每季或半年做应收账款的信用等级风险评估（有表格），应收账款的增长率不能高于主营业务增长率（否则公司吃老本倒闭），超过4年的坏账应放入计提坏账会使企业净资产优良。应收账款如何摊销？账龄法：一年以内提2-5%，二年以内提10-20%，三年以内提30-50%，四年以内提50-80-100%

c预收款的内部风险控制：责任分工与授权，销售与发货控制，收款控制。

d存货风险管理：价格变动风险，产品过时风险，自然损失风险在管理上要设立安全库存量，销售人员要了解库存结构努力销售应有库存来降低采购降低库存，不得有同一部门或一人办理采购与付款业务的全过程。采购业务的不相容岗位：请购（技术后勤）与审批（部门主管），询价与确定供应商，采购验收与相关会计记录等，库房保管员要建立收发存明细台账记录物质出入库相信情况。

e资产结构风险：一个企业的实力表现在1总资产2年销售收入3企业员工，企业资产不是越大越好是越合理越好，变现能力越强越好，财务总监要考虑公司现金流与总资产的合理，出纳应每天给刘会现金余额表，销售部每星期报现金汇款计划。企业要把降低费用作为获利的一个根本永远。

f投资风险评估：风险来源表，风险的分类和分组对项目管理其他方面的要求

内部控制环境五要素：治理结构，机构设置，责权分配，内部审计，人力资源政策，企业文化。

内部控制制度设置：a人事制度控制：建立劳动合同，针对不同级别的管理人员建立不同级别的考核制度，形成规范，系统考核体系评价员工据此奖励任用，建立公司骨干员工队伍，有针对性培养，建立内部薪酬体系（薪酬总额与业绩指标挂钩办法，基本工资发放，高级管理人员年薪管理办法）。

b人力资源控制：建立严格的招聘程序保证应聘者符合要求，制定员工工作范围，用于引导员工行为，定期培训用于提高员工素质，坚持绩效考核奖罚分明，对重要岗位员工（销售采购财务）建立信用保险机制，岗位轮换，提高福利增强凝聚力。

第4篇

关键词：风险管理；内部控制

中图分类号：F830 文献标识码：A 文章编号：1674-7712 （2013） 24-0000-01

一、风险管理和内部控制的联系

美国全国虚假财务报告委员会下属的发起人委员会（COSO）1992年提的是“内部控制”，到了2004年是“风险管理”，其内容1992年时包括5个要素，2004年时包括8个要素，说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分，它们是一体化的，不能分割的。

内部控制解决的是常规性风险，风险管理解决的是非常规性风险，内部控制解决的是“如何正确地做事”，而风险管理解决的是“如何做正确的事”，它们既有联系，又有区别，一个企业要成功，二者缺一不可。

二、风险管理和内部控制的区别

“企业风险管理”概念的提出，并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分，企业风险管理框架并未取代内部控制，而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制，是一个更为全面、广泛的概念。二者的区别主要包括以下方面：（1）企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外，还增加了战略目标；企业风险管理的八个要素除了包括原内部控制的全部五个要素之外，还增加了目标设定、事项识别和风险应对三个要素。（2）企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中，风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制，内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下，所开展的各种控制活动。风险控制除了包括内部风险控制之外，还包括外部风险控制。（3）企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法，因此，企业风险管理可以在基于概率统计的基础上，合理确保企业的发展战略与风险偏好相一致，从而帮助董事会和高级管理层实现企业风险管理的目标；而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。

三、目前企业风险管理工作存在的问题

（1）企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估，是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制，往往出现为了追求高收益而盲目投资等风险。（2）现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚，现有的规章制度也是近几年开始施行，而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱，甚至失效。（3）风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定：企业应建立健全风险管理组织体系，主要包括规范公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。（4）风险管理机构缺乏真正独立性。作为企业内部审计的一部分，风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统，审计人员的职责不明确，企业风险责任归属不清晰，都造成了风险管理工作不可能起到真正的监督作用。

四、构建体现全面风险管理的内部控制新机制

（一）构建具有本企业特色的创新风险管理理念

将全面风险管理作为企业文化的一部分，全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验，积极探索适合本企业的内部控制管理新方法，创造一种优良的风险管理文化，改善内部环境，全面风险管理体系才能得到发展。

（二）构建切合实际的内部控制评价机制

传统模式下，由于缺乏统一的风险管理决策，各职能部门成为风险管理的权威，严重缺乏对各项岗位职责的主动跟踪评价系统，往往是出了事故才来补。因此，企业应根据自身的实际情况，通过确定风险控制环节，落实各部门的岗位管理职责，并对各部门的控制状况进行定期检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而有效地推进全面风险管理，实现从风险部门的防范转向全企业、全员防范，将内部控制管理由个人行为提升到企业的整体行为，使企业的内控管理水平不断提高。

（三）构建全新的内部控制组织体系原则

（1）全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统，内部控制要遵循全面风险管理的原则，即：全员管理原则；全过程管理原则；全方位风险管理原则。（2）分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构，形成金字塔型的组织架构。（3）风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内，使风险管理更贴近市场，有利于及时发现风险、控制风险，体现风险管理与业务管理平行作业的特征。（4）协调与效率原则。要保证部门之间权责划分明确、清晰，便于操作；保证部门之间的信息沟通方便、快捷，准确无误，保证企业经营管理系统的高效运作。

（四）构建符合内控要求的业务管理新制度

传统分散风险管理模式下，各职能部门制定了大量的所谓“全面”的制度，但制度运行的有效性较差。究其原因，最主要是制度的制定缺乏系统科学的规划。因此，要在符合内部控制要求的前提下，全面梳理现有规章制度，进一步完善供销业务、财会业务、中间业务等各项业务的管理制度，建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系，实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查，形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用，促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。

参考文献：

第5篇

关键词:内部控制;风险管理;比较

中图分类号:F27文献标识码:A

企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。企业风险管理也是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。尽管风险管理与内部控制有内在的联系,但现实中或代表目前应用水平的内部控制与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,如银行业的授信管理或市场(价格)风险管理(如汇率、利率风险等)。典型的内部控制是指会计控制、审计活动等,一般局限于相关财务部门。它们的共同点是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此有时看上去风险管理与内部控制还是相互独立的两件事。

一、风险管理与内部控制关系研究回顾

内部控制的最初思想是内部牵制。它产生于古埃及的国库管理,其目的是防范财产风险。内部控制的现代思想是企业风险管理,它是企业组织规模扩大和资本大众化的产物。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。主要有以下三种观点:

(一)风险管理包含内部控制。COSO(2004)明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非King II Report(2002)认为,传统的内部控制系统不能管理政治、技术和法律等诸多风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。Krogstad(1999)认为,内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中。

(二)内部控制包含风险管理。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,或者说是用“控制”一词表达“内部控制”概念。COCO报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系,即“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。

(三)内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira等(2003)分析了内部控制是怎样变为风险管理的,并指出“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是它也掩盖了一个不争的事实,即现在没有人真正明白内部控制系统是什么”。Matthew Leitch(2004)认为,理论上风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。

二、基于COSO报告下的内部控制与风险管理比较

内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制框架》的基础上又于2004年出台了最新报告――《企业风险管理框架》。《企业风险管理框架》继承并包含了《内部控制――整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。COSO对内部控制与风险管理的定义及其组成要素分别是:

企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。

企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。

(一)内部控制与风险管理的相同点。从COSO的两份报告来看,企业风险管理与内部控制有以下相同之处:

1、它们对参与主体要求相同。二者都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都承担着相应的角色与职责。

2、它们都对企业实现目标提供合理保证。设计合理、运行有效的企业内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。

3、它们都明确是一个“过程”。二者本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都应该是渗透于企业各项活动中的系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。

4、它们都维护投资者利益。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中,它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体对策,捕捉机遇以及使资本的利用合理化。”从维护与促进价值创造这个根本功能来看,风险管理与企业内部控制目标是一致的,它们都想实现保全资产并创造价值的作用。只是在新的技术市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。

(二)内部控制与风险管理的区别

1、目标体系不同。风险管理的目标有四类,其中经营类目标和遵循性目标与内部控制的目标基本重合,但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。查剑秋等(2009)经研究得出,战略内控体系绩效与企业价值具有显著正向相关性,即企业战略内控的好坏会影响到企业战略执行绩效,并最终影响企业价值。由此可见,风险管理增加了内部控制未提及的战略目标,也弥补了内部控制在企业战略层面的一定缺陷。

2、组成要素不同。风险管理增加了目标设定、事件识别和风险应对三个要素,控制环境要素也改成了内部环境。“目标设定、事件识别和风险应对”不仅丰富和完善了风险管理内容,还体现了风险组合观。“内部环境”要素内容除包含“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理对相关内容都进行了补充和提升。例如,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性。

3、风险管理理念不同。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止各部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。

4、产生效益的方式不同。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面。

三、研究结论

综上所述,内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。而随着时间、技术市场等条件的不断变化,风险管理与内部控制的范畴又在相互转化。从静态上看,风险管理与内部控制互有交叉;从动态上看,二者又互相转化。我们可以看出,风险管理的决策是确定内部控制重点的依据,而一个强有力的内部控制是实现有效风险管理的基础,内部控制的动力来自企业对风险的认识和管理。

(作者单位:河北经贸大学会计学院)

主要参考文献:

[1]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009.5.

[2]陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007.10.

[3]潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008.2.

[4]董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009.4.

[5]杨雄胜.内部控制理论面临的困境及其出路[J].会计研究,2006.2.

[6]吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000.5.

[7]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.10.

[8]于增彪,王竞达,瞿卫菁.企业内部控制评价体系的构建――基于亚新科工业技术有限公司的案例研究[J].审计研究,2007.3.

第6篇

2002年美国牵头颁布了奥克斯法案（又称为萨班斯法案），在萨班斯法案中明文规定企业要保证内部控制体系的有效性。两年后，美国的COSO委员会结合萨班斯法案，又颁布了《企业风险管理框架》（即ERM框架），为企业的风险管理提供应用指引。2008年，我国财政部借鉴美国风险管理得经验，颁布施行了《企业内部控制基本规范》，要求企业根据规范的内容制定内部控制框架，对提高我国企业内部控制的有效性具有重要意义。

二、企业风险管理理论及内部控制理论

（一）企业风险管理的内涵

对于风险管理的内涵，理论界莫衷一是。美国颁布的《企业风险管理框架》对企业风险管理是这样定义的：风险管理是由管理当局、董事会以及相关人员共同实施，贯穿于制定发展战略以及企业管理的过程中，实现对企业潜在风险的鉴别，使所发生的管理风险能在企业的控制范围内，并确保企业战略目标的实现。ERM框架对企业风险管理的定义较为宽泛，因而可以适用于不同类型的企业。这个定义主要注重的是实现企业的战略目标，能有效衡量企业存在的风险，进而对风险进行管理。

（二）企业内部控制的内涵

企业内部控制，贯穿于企业经营管理的全过程，其具体是指企业进行自我约束、自我保障以及自我调节的过程。通过内部控制，可以令企业有效规避经营风险，达到保护企业财产、规范企业管理的目的。完善的企业内部控制系统，有利于优化企业的资源配置，提高企业资源利用效率，最终达到为企业投资股东创造最大利润的战略目标。

（三）风险管理与内部控制的关系

从理论发展以及社会实践角度看，内部控制与风险管理逐渐走向融合，我国商务部颁布的《企业内部控制基本规范》主要是借鉴美国ERM框架的内容，所制定的内部控制的构成要件以及目标与风险管理的要求极为相似，都是注重于发展战略、市场运行、财务管理、法律规范以及经营管理等方面的内容。实际上，风险管理与内部控制的内容是相互交叉、相互融合的，二者相辅相成、密不可分。

三、风险管理导向下企业的内部控制现状

从上文中我们知道，企业的风险管理与内部控制是相互交叉、相互融合的，然而就目前情况来说，我国企业的风险管理以及内部控制却存在多方面的问题。

（一）企业经营管理者风险管理的意识淡薄

我国企业面临着经济危机以及经济体制改革多方面的挑战，企业管理者的管理才能比计划经济时代有了广泛提升，对企业经营风险有了进一步的认识，然而，进行风险管理的意识仍然薄弱，缺乏对企业风险管理重要性及其必要性的理解。由于风险管理在短时间内无法产生直观的经济效益，且需要设置专门的管理岗位，这加深了企业高层管理者认为风险管理只会束缚手脚，降低企业办事效率的意识，使风险管理没有得到贯彻落实，这会直接导致企业内部发生财务风险。因而，企业管理者应该提高风险管理的意识，将企业的实际情况与国际上先进的风险管理经验结合起来，探索并建立完善的内部控制制度是企业可持续发展的必由之路。

（二）企业内部控制的环境混乱

企业的内部环境是指企业文化、领导者的品质、风险管理知识、企业员工的道德观以及董事会等组织结构所共同组成的管理环境。从目前情况看，我国企业普遍缺乏对内部控制环境的重视，导致企业内部控制的环境混乱。如企业经营管理者的控制意识不强、企业文化缺失、员工的整体道德素质偏低、董事会没能发挥应有作用等。大多数企业没有理解内部环境各部分的内容，导致企业的内部控制基础薄弱，使企业发生的经营风险脱离企业的控制。2004年发生的“中航油事件”就是一个针砭时弊的例子，由于该公司内部控制环境紊乱，使得新加坡子公司的总裁陈久霖轻易挪用了该公司的巨额款项，用于进行石油衍生品期权交易，导致企业资金的流失。

（三）企业管理制度的执行力差

制度的核心在于有效执行，如果执行力薄弱甚至是没有执行，那么再完善的制度也发挥不了其应用的作用。导致企业风险管理以及内部控制执行力差的原因是多方面的，主要包括企业执行管理者的素质不高、企业的资源配置不合理、组织结构设置不当等方面的原因，这些问题普遍制约着我国企业风险管理以及内部控制的执行。此外，制度的不完善以及制度本身的局限性会加大企业风险管理以及内部控制制度执行的难度。

四、基于风险管理的企业内部控制体系的构建

（一）加强企业风险管理的意识

要加强企业风险管理意识，首先，要提高企业高层管理人员对风险管理知识的学习，进而向全体员工推行企业风险管理的文化，自上而下提高企业所有人员对风险的认识，逐步提高企业对风险的控制能力，加强企业的风险管理。要建立并完善覆盖企业各个经营部门的内部控制制度。其次，要保证企业财务管理者（尤其是财务执行人员）的风险管理意识，规范企业财务管理的各项活动，确保财务会计数据以及企业负债情况真实可靠，并能如实反映企业的经营情况，及时反馈财务管理的漏洞，预防财务风险的发生。最后，企业要进行经营体制的改革，采取多元化经营方式以分散经营风险，管理层企业要提高企业抵御风险的能力。

（二）制定合理的企业发展目标

明确企业的发展目标，企业才能针对目标进行全面的风险管理，才能有效识别、评估并应对经营风险，不同的目标会使企业面临不容的经营风险。企业制定发展目标时，经营管理者需对自身经营劣势及优势进行客观评估，分析企业所面临的机会以及挑战，并分析企业所处的的内部、外部环境，识别对企业发展有利或者不利的因素，并根据分析的结果来确定企业的风险控制的容量，企业风险控制的容量水平影响着企业的发展方向。基于此，企业只有依据自身风险控制容量来制定发展目标，才能将发展过程中所面临的风险进行有效控制。

（三）提高企业内部控制的执行力度

企业只有贯彻落实科学的内部控制制度，才能保证企业抵御风险能力的增强。完善企业内部的考核制度是企业经营发展的关键环节，在企业管理中也应该将考核制度应用到企业内部控制之中。考核制度应用于企业内部控制，一方面要将企业内部控制的执行情况纳入到考核的范围，在进行考核的过程中，及时改进内部控制出现的问题。另一方面要对企业内部控制执行力强的个人或者部门给予表扬，同时要惩罚执行不力的个人或者部门，确保企业内部控制制度执行到底。

（四）完善企业内部控制的外部监督机制

企业在进行资源配置、发展目标规划等内部控制过程中，应充分发挥财务管理部门的监督作用。财务管理部门要通过确认会计数据来实现对企业内部控制的监督，确保会计信息、负债情况真实，并如实反映企业经营情况，企业根据经营情况对企业有可能面临或者已经存在的风险进行预防或规避。管理实践表明，加强对企业内部控制的监督，是加强企业内部控制行之有效的方法。完善企业内部控制监督机制不仅有利于企业的可持续发展，也是市场经济有序运行的必然要求。

第7篇

对企业风险管理的有效性进行审查和评价是现代内部审计发展的必然趋势。从风险管理审计的意义分析入手，针对我国企业风险管理审计存在的问题，研究风险管理审计对我国企业规避风险的作用并提出相应的实施对策，构建风险管理框架，增强企业抵御风险的能力。

关键词：

风险管理审计；内部控制；内部审计

中图分类号：D9

文献标识码：A

文章编号：16723198（2012）24020202

经济的快速发展，各种不确定性因素的不断增加，导致企业面临着各种各样的风险。企业的生存发展、预期目标的实现都取决于企业能否对风险进行有效地管理和控制，而企业对风险管理工作的监督和评价直接决定了有效性的程度。

1风险管理审计的意义

风险管理审计以风险管理为基准，审核被审计机构在风险识别、管理和评价等方面的有效性及合理性，在损失发生以前能进行有效的安排，使得损失发生后所需的各种资源与维持有效经营所必要的各种资源可以达到适当的平衡，进而帮助企业实现其目标。

1.1加强风险管理审计是强化现代企业内部控制的需要

风险管理已经成为企业内部审计的一项重要职责，其目标就是要防止风险、及时发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低程度。内部控制简单来理解就是组织内部采取的风险管理，内部控制的设计和执行应该针对风险管理的要求，而风险管理在很大程度上也依赖于内部控制。

1.2加强风险管理审计是现代审计方法变革的需要

企业的经营规模不断扩大、经济活动也越来越复杂，因而在审计资源有限的条件下，传统的账项基础审计方法难以实现审计目标。发达国家普遍推行的制度基础审计需要以有效健全的内部控制为前提，而目前我国企业管理水平不高，来自于公司内部的风险较高，使得制度基础审计模式的应用还存在障碍。这就需要科学、适用的方法帮助企业做好风险管理工作，确保审计工作的有效实施。

1.3加强风险管理审计是完善企业风险管理运行机制的需要

微软公司采取以财务总监为领导的风险管理组织部门模式，杜邦公司采取以审计委员会为责任、由公司高层组成的企业风险管理委员会的模式，国外企业建立适合自身发展的风险管理运行机制对我国有着重要的启示。健全的风险管理运行机制对有效开展企业的风险管理审计工作。

1.4加强风险管理审计是管理层及相关利益者的需要

内部审计过程中管理层承担着企业全部的风险管理责任，而经营决策权与所有权相分离的现代企业管理模式增加了了企业的经营风险，管理层对下级的控制困难与自身强烈的风险管理责任的驱动，促使他们对风险管理审计的迫切要求。而投资人等相关利益者与企业管理层所掌握信息的极度不对称，也决定了这些利益相关者更加关心企业风险管理的能力。

2我国风险管理审计存在的问题

2.1风险管理审计的制度化和规范化建设还不健全

我国企业风险管理审计的实务工作起步较晚，风险管理审计部门或机构的自我评价运行机制较弱。目前我国尚缺乏健全的、公认的风险管理审计准则，与其相关的法律、法规也不完善，致使风险管理审计活动的主观随意性较大，也就不能保证风险管理审计实施的标准化。

2.2企业内部控制环境不完善

企业的内部控制环境是所有风险管理要素的基础，而法人治理结构缺乏真正的相互制约机制，建设缓慢的企业文化严重阻碍了内部控制发挥其作用，协调利益相关者的机制、内部控制的信息披露制度的不完善都在一定程度上影响了我国企业内部控制环境的基础作用。从而影响企业战略和目标的制定、业务活动的组织，更重要的影响企业对风险的识别、评估和反应。

2.3审计管理技术落后

会计信息化的迅速推广对风险管理审计的技术提出了新的要求，审计人员综合知识和业务能力水平的欠缺，不仅增加了审计工作的难度，也严重影响了审计工作的效率。

2.4企业管理的信息化程度较低

风险管理审计是一项相当复杂的系统管理工程，从熟悉企业的现实情况到具体实施审计工作，再到最终提出审计管理建议及后续审计工作，都需要对企业经营管理方面的大量数据和资料进行整理并分析。目前，我国大多数企业管理的信息化程度相对较低，审计人员在收集有关资料数据时，工作效率较低，难度系数较大，从而制约了风险管理审计工作的实施。

3我国风险管理审计的实施对策

3.1增强风险管理观念

（1）提高企业风险意识，使企业防范于未然。

风险防范于未然，要转变企业的观念，提高企业的风险意识，将企业的风险管理理念纳入企业的经营管理工作的始终。同时风险管理审计工作人员也应当转变其观念，尽快实现由以前那种传统账项的基础审计、制度基础的审计转向风险的管理审计，并且充分认识企业风险管理工作的重要性，使企业的风险管理审计能够真正有效的发挥作用。

（2）重视企业的经营风险，同时兼顾其他潜在的管理风险。

企业的风险管理是维持企业长期稳定发展的重要途径，风险管理工作的宗旨就是对影响企业长期持续发展的各种不稳定因素进行分析管理，减少并控制这些不稳定因素给企业带来的影响。企业的内部审计工作人员在注重企业的经营风险管理工作的同时，对与企业有关的其他相关风险也应给予足够的重视。

（3）企业风险无时不在，风险评估需经常化。

企业风险随时都可能发生，而且不断变化，因此风险管理审计工作必须要求做到经常化。要不定期地或周期性地开展较全面的风险审查预测评估，并且在此基础上对重要的风险点开展及时的专项风险审计工作，尤其应对企业内部控制制度的评价中所发现的重大失控点必须予以高度的重视，并采取有效的措施堵塞漏洞，以便减少或者消除内控失控点以及风险点。此外，风险管理审计还应予以制度化，企业的决策者或者管理层应对企业风险管理审计的内容、范围、审计结果及方法的利用等做出更加明确的规定，将其纳入到内部控制制度中，约束乃至强制各机构部门执行，进而达到防范甚至消除风险的目的。

3.2健全企业审计环境

（1）建立、健全完善的内部控制系统。

企业的风险管理与内部控制相互依存，风险管理是企业内部控制的关键要素之一，而企业的内部控制又是企业内部审计工作的直接对象，通过对企业内部控制的实施活动加强风险管理，降低企业的风险。通过内部审计工作的检查、评估来不断促进企业内部控制的健全与完善，进而将企业所要面临的风险控制在企业能够接受的范围，进而促进企业整体目标的实现。

（2）建立与风险管理审计相匹配的内部审计。

企业的管理层应在内审章程中明确内部审计部门在企业风险管理中的地位及作用、权力和职责以保护和规范企业内部审计活动，保证企业内部审计在企业中地位的相对独立性。加强企业内部审计机构的自身建设，提高处理企业风险的能力，增强内部审计工作人员自身的风险预测分析能力，保持和促进内部审计相关职能的专业化水准，推行科学的现代审计技术方法，使企业的风险管理审计工作得到有效的实施。

3.3提高审计工作质量

（1）保证审计人员的独立性。

审计人员的独立性直接关系到审计结果客观公正与否。因此如何在企业内部从制度上、审计工作中保证审计工作的独立性至关重要。另外从外部聘请专职审计人员参与到企业的审计项目中来，也可以在一定程度上保证审计自身的高度独立性。

（2）注重审计人员的素质培养。

审计工作要求审计人员具有灵活的创造性思维、语言交流的能力、并熟练掌握审计程序及审计有关方法等，除要求审计人员本身所具有的这些能力，企业应注重提高审计工作人员的后续再教育程度，使其知识结构更加全面、合理。

3.4创新风险管理审计技术与方法

计算机会计信息管理系统的发展和应用促使计算机审计系统在我国企业风险管理审计工作中的推广和应用。审计部门可以配备专门的或外聘擅长信息技术方面的专职人员或专门机构，将传统的手工查账的方法与先进的计算机技术有机结合，在企业内部建立一个完善的、高效的审计信息化管理系统及审计操作实践平台，提高审计的效益，更好地服务于企业风险的预测、评估和控制。

随着企业规模的扩大，经济的迅猛发展，风险管理审计成为企业内部审计发展的必然趋势。有效实施风险管理审计，将企业面临的风险最大程度的降低，从而提升企业在激烈的市场竞争中的地位，以实现长远发展。

参考文献

［1］刘伟伟.我国风险管理审计存在的问题及对策［J］.企业导报，2009，（6）.

［2］李建文.对内部审计参与企业风险管理的认识［J］.经济师，2010，（7）.

［3］李晓光.浅议企业风险管理审计［J］.经济师，2011，（8）.

［4］鞠水生.企业实施风险管理审计之思考［J］.财会研究，2009，（3）.

第8篇

20世纪90年代以后，许多国家政府以及有关国际组织纷纷加大了对风险管理和内部控制及公司治理的研究，并了一系列的文告，就风险管理及与之紧密相关的内部控制问题做出了规定，其中，尤以COSO的《企业风险管理――整体框架》最具代表性。本文以美国企业风险管理框架为重点，探讨我国企业建立风险管理的必要性。

一、COSO的内部控制整体框架和风险管理整体框架

（一）《内部控制――整体框架》关于风险管理的论述

1992年，COSO了其研究报告《内部控制――整体框架》，并于1994年进行了增补修订。在该报告中，COSO（1992）指出，企业必须了解它所面临的风险，并加以处理。企业必须制定目标，而目标又必须与销售、生产、营销、财务等活动相结合，如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。

COSO（1992）提出了内部控制的五个要素，其中之一便是风险评估。COSO（1992）指出，每一个主体都面临着各种来源于内部和外部的风险，这些风险必须加以评估。风险评估的前提之一是建立目标，不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险，它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化，应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO（1992）指出，须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如：科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变；内部因素如：信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。

（二）风险管理的新发展：《企业风险管理――整体框架》

2004年，COSO了其研究报告《企业风险管理――整体框架》。风险管理整体框架（ERM）是在内部控制整体框架基础上发展而来的。COSO(2004)指出，风险管理框架不想也没有替代内部控制框架，但它将内部控制框架整合在内，采用这一框架，企业既可以满足内部控制的需要，也可以建立一个完整的风险管理过程。

1.风险管理的目标

COSO(2004)认为，主体的目标包括四个：

（1）战略目标，是高水平的目标，它应与组织的使命一致并支持该使命；

（2）经营目标，组织应当有效率和效果地使用资源；

（3）报告目标，组织应当提供可靠的报告；

（4）遵循目标（合规性目标），即组织应当遵循相关的法律规章。

企业风险管理实际就是为实现上述目标提供合理的保证。

2．风险管理的内容

企业风险管理包含以下方面的内容（作用）：

（1）协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时，应考虑组织的风险偏好。

（2）改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略（包括规避、降低、分担与接受风险）中做出选择。

（3）减少经营意外与损失。提高组织识别潜在事项并做出反应，减少意外事项及相关的成本或损失的能力。

（4）识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险，企业风险管理应当有助于对相关关联的影响作出有效的反应，并对多企业的风险作出整体性反应。

（5）抓住机会。通过考虑所有的潜在事项，管理层应当能够识别并实现机会。

（6）改善资本的配置。在获得关于风险的信息后，管理层可以有效地评估总体资本需求并改进资本的配置。

企业风险管理的上述作用，有助于管理层实现组织的经营和盈利目标，并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循，并有助于避免组织声誉的损害及相关不良后果。总之，企业风险管理有助于企业向其所期望的方向发展，避免在发展的过程中遭遇陷阱和意外。

3．风险管理的要素

企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法，并与管理过程合成一个整体。这些要素包括：

（1）内部环境。内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。

（2）目标设定。在管理层辨别影响其目标实现的潜在事项之前，必须有目标。企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，并与其风险偏好相一致。

（3）事项识别。即识别那些影响组织目标实现的内外部事项，并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。

（4）风险评估。必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。

（5）风险应对。管理层应在不同的风险应对（包括回避、接受、降低、分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risk tolerances）和风险偏好相一致的行动。

（6）控制活动。应建立相关的政策和程序，以确保风险应对策略得到有效的执行。控制活动通常包括两个要素：确定应从事何种活动的政策、执行政策的程序。

（7）信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通，从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上，包括向下、向上以及平行交互沟通。

（8）监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。

对于这八个要素，COSO（2004）指出，企业风险管理不是一个严格的序列过程，即一个要素仅影响下一个要素，而且是一个多方向的、相互影响的过程，任何要素都可以并且确实影响其它的要素。

4.风险管理目标与风险管理要素的关系

COSO（2004）认为，目标是主体要实现什么，企业风险管理的要素则意味着需要什么来实现它们，因此，风险管理的目标与要素之间存在密切的直接联系。这样，企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。

二、美国风险管理准则对我国的启示

从以上COSO风险管理准则内容和要求上，可以看出存在以下特点：

（一）将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段，董事会应当建立并维持有效的内部控制系统以实现风险管理。

（二）均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体，企业必须识别面临的潜在风险，并评估其对企业的影响，从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上，均强调应当结合采用定量技术和定性技术。另外，人们越来越认识到，风险是无法绝对消除的，因此，风险管理的目标是将其控制在主体的风险偏好以内，而不是消除风险。反映到风险应对策略上，相关的风险管理准则大都强调风险的应对措施包括回避、抑减（降低）、转嫁（分摊）、接受，应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。

（三）强调风险管理应当融入到企业日常经营活动中，并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项，因此，风险管理必须与企业的经营活动紧密地结合在一起，在经营活动中处处体现风险管理的理念与做法，这不仅有助于及时识别企业所面临的风险事项，也有助于降低风险管理成本、提高风险管理效率。

（四）强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用，如果没有一个良好的、注重风险管理的内部环境，风险管理很难取得成功。

（五）强调全员参与。全员管理是现代风险管理的重要特征，风险管理不仅仅是风险管理部门的事，而且需要靠企业的全体员工来落实，所有员工都会影响到企业风险管理的效果，企业应当使所有员工了解自己在风险管理中的作用。

（六）强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要，下层要了解公司的风险管理战略和政策、措施，并有顺畅的向上沟通风险管理和内部控制情况的渠道，上层要及时向员工及外部了解企业面临的重大风险及其管理情况。

（七）强调定期对风险管理过程和内部控制进行评估，并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程，企业的内、外部环境在不断地变化，这决定了原先的控制未必有效，因此，必须定期对风险管理过程和内部控制的有效性进行评估，以找出其缺陷和不足并及时采取补救措施。

第9篇

在市场经济体制下，企业按照现代企业制度的机制运行，具有产权明晰、自主经营、自负盈亏、自我发展的自，完全具备了作为市场主体角色的资格。同时，企业所面临的内外部各种风险以不同于以往的方式和程度影响着企业目标的实现，从而使风险管理成为企业管理不可缺的一个方面。

(一)现代企业风险的特征

1、非预期性。相对于计划经济体制下的企业而言，现代企业风险更多地来自企业外部，而产生外部风险的各种因素均是企业不可控的，其发生与否以及何时发生，企业事先不得而知。对企业内部风险， 由于外部风险波及，其不可预期性也有不同程度的加大。

2、非可控性。如上所述，企业风险多由外部不可控制的环境因素产生，并波及至企业内部。对企业风险的防范，从根本上来说主要是先从外部风险做起，在有效降低外部风险影响程度的基础上，减少其再向企业内部的波及的范围和程度。

3、综合作用。现代企业面对不仅有内部因素，更有外部环境因素影响；不仅有国内的；也包括国际的；在现代企业风险管理体系中，公司治理从企业整体角度理顺关系，内部控制程序则从执行层面对企业风险的防范发挥作用。内部审计作为内部控制的重要组成部分，与风险管理密不可分，其在风险管理中发挥着不可替代的独特作用。

二、内部控制与风险管理的联系日趋紧密

在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，企业决策层应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的时间及可能性；公司自身防范风险的能力；实施风险管理的成本，以及从相关风险中可能获取的利益等。

管理层在执行企业风险控制政策过程中，应准确确认、评价公司所面临的风险，并执行决策层所设计的内部控制政策，对企业风险进行有效的管理。

三、内部审计理论的新发展

审计理论和方法在经历了详细检查、从详细检查转为初步抽样、以及测试内部控制并广泛采用抽样进行审计的三个发展阶段后，目前已发展到了以测试评价企业风险为主要方法的风险导向审计阶段。为顺应内部审计理论及实务的变化，国际内部审计师协会(IIA)在1999年对内部审计重新定义为：内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。

这一新定义又将内部审计的范围延伸到风险管理和公司治理层面，认为内部审计是针对风险管理，控制及治理过程的有效性进行评价和改善所必需的。

四、内部审计的主要职责就是风险管理

随着风险导向审计时代的来临，内部审计的工作重点也发生了变化。现代内部审计除了关注传统的内部控制外，更加关注有效的风险管理机制设计的合理性及其运行的有效性。在风险导向审计观念下，年度审计计划与公司决策层风险战略连接在一起。内部审计人员通过对当前风险的分析确保其审计计划与经营计划相一致，并使风险管理贯穿于审计计划执行的全过程。在风险导向审计观念中，内部审计的工作重点不仅是测试控制，而且包括确认风险以及测试管理风险的方法；控制仍然重要，但分析、确认、揭示关键性的经营风险等相关风险，才是内部审计的焦点。

五、内部审计在风险管理中的作用

内部审计在企业内部控制体系中处于独特的位置，有着其他内部控制组成部分所不具有的不可替代的独特的风险管理作用。

(一)能够以独立、客观的姿态，从企业全局角度对风险进行管理。

风险在企业内部所具有的感染性，传递性和不对称性等特征，即一个部门所造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是沿着相关工作程序传递给其他部门，最终可能会使整个企业陷入困境。因此对风险的确认、防范和控制需要从全局角度考虑，而其他的业务部门较内部审计部门而言，很难做到这一点。内部审计人员不从事企业具体的业务活动，相对独立于相关业务活动和业务部门，而且直接隶属于企业高层管辖，这就使得他们可以从全局角度出发，以某种超然的姿态对企业风险进行客观地认别确认和评价，及时便捷地向企业高层汇报有关情况，便于企业从全局高度对风险进行有效管理。

(二)控制、指导企业的风险策略。

由于企业内部审计部门处于企业决策层和执行层之间，内部审计人员充当了企业长期风险策略与各种决策控制的协调人角色。通过对长期规划与短期计划的协调，以及对实际执行缺陷和成功经验的互动反馈，内部人员可以起到调控、指导企业风险管理策略的作用，使企业风险管理体系以良性循环的态势不断完善和发展。

第10篇

一、企业内部控制与风险管理的关系

1、内部控制与风险管理目标上的一致性

现代企业建立内部控制制度最初的目的就是为了防范企业存在的潜在风险，早期的内部控制制度就是在保障企业财务以及会计信息安全的背景下产生的，内部控制与风险管理目标存在很大的一致性。另外，从现代企业经营发展的趋势来看，内部控制与风险管理的最终目的都是为了提升企业的经营管理水平，提高企业的经济效益。

2、内部控制与风险管理的外延以及内涵存在差异

企业内部控制主要是由内部监督、风险评估、信息与沟通、控制活动以及内部环境五个方面组成的，而风险管理则在此基础上增加了目标设定、风险识别以及风险应对三个重要的因素。因此，企业风险管理的外延要比内部控制大，其已经延伸到企业战略层面和治理层面的管理，并且尤为强调对企业风险的识别、评估和控制。风险管理中提出了战略目标的概念，而内部控制的重点主要放在制度层面，通过制度的设计和实施来对风险进行防范。因此，在激烈的全球市场竞争下，建立风险管理体系更加有助于企业规避风险能力的提高。

3、内部控制与风险管理存在很大的互补性

风险管理能够有效地将企业面临的潜在风险识别出来，再通过企业内部控制来对风险进行防范、控制和管理，最终实现企业的经营管理目标。因此，内部控制作为企业风险管理的重要环节，对实现企业长远战略目标有着极为重要的意义；同时，内部控制的有效性又依赖于风险管理对风险的合理识别和评估，两者具有很大的互补性。

二、风险管理视角下企业内部控制存在的问题

1、企业风险管理意识比较淡漠

市场经济的发展以及经济全球化增加了市场的各种不确定性因素，企业不仅面临着传统的经营、财务风险，还面临着经济全球化给企业带来的新型金融风险、控制风险、信息风险等。内部控制以及风险管理的主要目的就是对企业潜在风险进行防范和控制，为企业战略目标的有效实施提供保证。然而，目前我国大多数企业风险管理意识较弱，对风险的理解还停留在传统的经营、财务风险阶段，对完善企业风险管理机制的重要性认识不足。虽然我国一些企业制定了内部控制制度和程序，但是很少有企业将风险管理的理念融入到企业内部控制制度中，内部控制有效性的发挥大打折扣。另外，一些建立了较为完善的风险管理与内部控制的企业，由于企业的管理层缺乏重视，制度往往难以得到有效的执行和实施。

2、企业缺乏完善的风险管理体系

从内部控制的角度而言，企业应该对面临的风险进行主动的识别和分析，并采取相应的管理和防范措施，尽量降低或避免风险。然而，目前我国一些企业风险管理的意识不强，定量和定性相结合的风险评估方法缺失，没有成立专门进行风险识别、评估、分析和管理的机构，风险评价与预警机制不健全，风险防范和管理的能力比较低下。尤其是近些年来，随着我国很多企业逐步涉足资本金融市场，参与金融衍生产品交易的程度越来越深，很多企业为了追逐高收益，往往忽视了金融衍生品交易带来的高风险，企业对新型金融风险的管理能力严重缺乏，导致企业所面临的财务风险、法律风险以及破产风险等大大提升，严重损害了企业的长远利益，制约了企业的健康可持续发展。近些年中航油以及中信泰富等企业参与金融衍生品交易发生的巨亏事件，就是由于企业内部控制以及风险管理体系不健全，导致企业没有能够对风险进行及时的识别、分析和应对，给企业带来了巨大的损失。

3、企业缺乏健全的内部控制监督机制

内部控制以及风险管理作用的发挥是一个长期的持续性的过程，因此需要有健全的监督机制提供保障。内部审计是目前我国大多数企业内部监督机制的主要方式，很多企业在内部审计制度建设方面存在着问题。主要表现在：首先，很多企业的内部审计水平比较低下，内部审计工作的重点主要放在企业经营、舞弊以及特殊项目审计方面，而在内部控制制度的执行以及风险管理体系有效性的发挥方面严重缺失；其次，我国大多数企业虽然成立了内部审计部门，但是由于独立性的缺失，导致内部审计的监督作用无法有效发挥。很多企业内部审计职能往往是由财务人员代为实施，内部审计的程序以及手段极其不专业。一些企业的内部审计人员在开展工作时往往要受到企业管理层以及其他部门的干涉，这些因素都导致内部审计的独立监督作用无法发挥，内部控制以及风险管理的执行无法得到监督。

三、风险管理视角下加强企业内部控制的对策建议

第11篇

关键词：企业风险 风险管理 内部控制

在全球经济一体化的大背景下，企业间的国际竞争加剧，面临的风险也更加多样化。金融危机的发生导致很多企业成了金融危机时代的牺牲品。我国企业想要在激烈的竞争中生存并且健康发展，必须提高企业竞争力，从内部完善自己，加强企业管理，建立完善的内部控制制度，找到适合我国企业的内部控制和风险管理制度，识别和衡量企业面对的内外风险以提高企业的竞争能力，实现企业的价值已成为了企业当前最迫切的事情。

1. 企业风险管理的基本内容

风险管理是研究风险发生规律和风险控制技术的一门新兴管理科学，是指风险管理单位通过风险识别、风险衡量、风险评估和风险决策管理等方式，对风险实施有效控制和妥善处理损失的过程。风险管理作为一门新兴学科，具有管理学的计划、组织、协调、指挥、控制等职能，同时又具有自身的独特功能。

COSO委员会在《企业风险管理框架》中也对风险管理做出了规定，它指出：全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，从企业战略制定开始贯穿至企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业既定的目标。”风险管理包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督八个互相影响的因素。

2.企业内部控制与风险管理的关系

2.1企业内部控制与风险管理要素有机融合

COSO的两个框架实现了内部控制5 要素（应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素）与风险管理8 要素（内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督八个互相影响的因素）的有机融合，通过强化内部控制环境，明确企业内部控制系统的层级制度和相应责任，增强企业全员应对风险的主体意识，促使管理层在充满风险的环境中更有效的运营。

2.2企业内部控制与风险管理两者目标趋同

COSO《内部控制―整合框架》提出了运营、财务、合规三个方面的内部控制目标，是由企业董事会、经理阶层和其他员工制定和实施的，为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标。COSO《企业风险管理一一整合框架》在上述三类目标的基础上增加了战略目标。风险管理的目标由两个部分组成：损失发生前的风险管理目标和损失发生后的风险管理目标，前者的目标是避免或减少风险事故形成的机会，包括节约经营成本、减少忧虑心理；后者的目标是努力使损失的标的恢复到损失前的状态，包括维持企业的继续生存、生产服务的持续、稳定的收入、生产的持续增长、社会责任。二者有效结合，构成完整而系统的风险管理目标。

2.3风险是内部控制产生和发展的主要动力

现实生活中存在着很多的不确定性，不确定性是指经济行为者在事先不能准确地知道自己的某种决策的结果，或者说，只要经济行为者的一种决策的可能结果不只一种，就会产生不确定性，所以风险总归是存在的，需要对其进行控制。有效的内部控制对于在确保一定目标实现的方面所发挥的作用是不言而喻的。内部控制能够降低风险，并且应该随着风险的变化而变化，没有一种一成不变的内部控制体系能够应对所有的风险，风险的存在要求有与之相适应的内部控制。另外内部控制的存在还要有利于提高企业内部的管理效率，促进公司价值最大化目标的实现。

2.4内部控制是风险管理的必要环节和有效手段

2006年，国务院国资委颁布的《中央企业全面风险管理指引》中指出，风险管理的单个决策包括：风险承受、风险分担、风险规避、风险转移、风险降低、风险转换、风险对冲、风险补偿和风险控制等，同时也明确了两种风险管理方案：风险管理解决的外包方案和内部控制方案。其中风险降低是指采取适当的控制措施来降低风险，而风险分担是指借助他人的力量和控制措施将风险控制在企业能承受的范围之内。这两者都说明了内部控制是风险管理的有效手段。

内部控制主要是从风险控制的方式和手段说明风险管理的，风险管理就是从风险控制的目的来说明内部控制的。风险管理着重了对风险的分析、识别和应对。总之，风险管理应该是当前经济条件下对内部控制的完善和提升，从而更加丰富和拓展内部控制的内涵和外延。

3.当前我国企业风险管理存在的问题

3.1企业内部控制的基础控制环境不完善，使风险识别与评估受阻

对于控制环境的把握是实行内部控制的基础和前提，这对于企业制定战略目标和计划、组织业务经营活动和对风险进行识别都影响甚大。但是我国企业普遍存在着不重视内部控制环境的改善的问题，内部控制环境紊乱的现象严重。

3.2内部控制的机构体系不合理，公司治理结构不规范

许多企业的内部控制制度只是形式主义，形同虚设，并没有真正的实施，即使有实施，它所起的作用也不大，不能应对管理层凌驾于内部控制之上的风险，无法制约高层管理者。公司治理结构不规范，不能有效制衡管理层的强大权力，董事会没有或者不能负起监督管理层的责任，企业管控模式的不合理，无法有效控制企业风险，组织结构设计不合理，不能建立有效的内控和相互制衡的机制；此外企业还存在人情味太浓，内部人员之间缺少必要的沟通，信息反馈滞后等严重不合理的状况，需加强治理和改善。

3.3风险管理意识淡薄，管理水平低

企业面临的风险具有多样性，主要有市场风险，运营风险、信贷风险、法律风险、管制风险等等。目前，企业普遍存在缺乏风险管理意识的情况：第一没有风险事项的识别机制去识别风险，只是被动地等到风险出现以后才想着如何去补救和应对; 片面追求发展速度，制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险；第二没有适当的风险评估体系，无法知道面临的风险所能带来后果的严重程度，导致了企业面临更大的不确定性，而增加了实现企业价值最大化目标的难度; 第三缺乏包含决策、管理和具体执行层在内的完整的风险管理组织。内部审计限于财务报表审计和经济责任审计，缺乏对风险管理情况的检查和监督；第四没有适当的风险应对机制，企业不会提前预测风险，也就不会有可能的应对措施来在第一时间进行解救困境，还只是停留在出现问题然后解决问题的事后弥补状态。

3.4缺乏风险管理体制

缺乏系统的风险管理体制，没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中，无法识别影响企业达标的风险，进而无法对风险进行监控及管理。

4.改进内部控制，加强风险管理的措施

4.1加强对控制环境的关注度，提高控制效率

企业的经营目标是企业的价值最大化，所以经营过程中会受到成本效益原则的制约，不可能很全面地考虑到内部控制的各个方面，因此只能抓住关键的控制点才能建立有效的控制制度，所以就需要对经营业务活动中容易产生风险的环节以及其他对企业产生重大影响的环节加以控制，培养员工的风险管理意识并强化他们的责任意识，及时对内部控制制度的有效性做出评价。另外因为我们国家证券市场处于转轨阶段，大部分企业的股权结构异化，公司治理状况令人堪忧，没有真正得到实施，应该加强企业的公司治理的建设，建立经营管理层权力的相互制衡以及相互监督的体系，从根本上改善企业的内部控制环境，防止内部风险超越内部控制而对企业的内部控制造成不利影响。

4.2调整企业内部控制机构体系，加强企业治理层面的内部控制

对于管理层凌驾于内部控制之上的风险，我们应该将企业的内部控制进行细分，具体分为经营层面上的内部控制和治理层面上的内部控制，治理层面上的内部控制要能应对管理层凌驾于内部控制之上的风险，建立相应的权力制衡机制和互相监督的管理模式，给员工一定的监督和制约的权利，实现全面的监督，对公司的风险实施全面的控制，更好的贯彻落实内部控制制度。

4.3提高风险管理意识，完善企业的风险预警体系

从风险的视角看的内部控制其特征应该以风险评估为基础，企业应该从整体层面来分析风险的影响效果，选择策略来实现企业价值最大化的目标，企业面对的风险是变化的，企业应当及时掌握客观详细的信息，进行综合分析，取得应采取的针对性的策略，掌握应对风险的主动权，不要只是停留在出现问题才解决问题的时候弥补状态，要做到事前控制，事中控制，事后控制相结合，把风险带来的损失减低到最小，维护企业价值最大化的目标。

4.4建立风险管理型的内部控制体系，提高对风险的应对能力

企业建立风险管理型的内部控制体系，以风险作为切入点和核心实施企业的内部控制，有效指导和约束内部控制制度的制定和实施。在实践中，运用制度、流程和财务等手段，管理和控制业务层面上的运营风险和操作风险，将管理模式与企业的实际情况相结合，充分利用企业的现有资源，更好的发挥风险管理的作用并且健全了企业的内部控制。

参考文献：

[1]吴水澎．萨班斯法案、COSO风险管理综合框架及其启示［J］.学术问题研究,2006,(2)．

[2]谢志华．内部控制、公司治理、风险管理：关系与整合［J］.会计研究,2007,(10)

[3]赖章奎．内部控制与企业风险管理关系之探析［J］.管理观察,2008,(13)．

[4]李雅琴.基于风险管理的企业内部控制探析[J].会计之友,2009,(7).

[5]鲍建青.基于风险管理的内部控制研究[J].经济师,2009,(10)

[6]杜国栋.企业内部控制与风险管理解析[J].经济研究导论,2010,(2)

[7]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理,2010,(3)

[8]肖杰.基于我国企业内部控制改进的财务风险防范分析[J].赤峰学院报,2010,(4)

第12篇

关键词：企业 风险管理 内部控制 内部审计

企业所处经营环境的多样化和多变性带来较高的经营风险，内部审计应当转变理念，融入企业内部控制体系建设，促进风险管理体系升级和完善，增强风险防控的预见性、敏锐性和风险处置的及时性和有效性，确保企业健康有序发展。

一、内部审计在企业内部控制中的作用

内部审计作为企业内部控制系统中的重要环节，旨在监督、检查、评价企业内部各项经营管理活动，以促进企业加强内控体系建设，提高发展质量和效益。

（一）对内部控制进行风险评估

内部审计能根据企业设定的控制目标，全面系统的收集相关信息，并结合实际情况，准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。对识别的风险，运用定量和定性结合分析排序，确定关注重点和优先控制的风险。在风险分析结果的基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。

（二）促进建立良好的控制环境

控制环境是企业治理层、管理层及其他经营管理人员对内部控制的态度、认识和措施，是内部控制的基础。内部审计能够帮助企业建立核心企业文化，完善诚信的道德价值观。改善组织机构建设，针对组织机构存在的不合理之处提出关于改进政策和程序的有效建议。并评估、测试企业各级从业人员的职业道德素质，确保企业切实履行国家法律法规、行业规章及社会责任。更为重要的是，内部审计地位的独立性和权威性能够确保审计结果得到重视、落实及运用，从多个方面促进企业建立良好的控制环境。

（三）监督内部控制有效运行

内部审计处于企业内部，熟悉各项经营管理业务，可以准确有效的获取各项内部控制信息资料。其不直接参与企业各项经济活动，相对独立性较高，与其他部门不存在利益冲突，最适合进行内部控制运行有效性的监督。内部审计监督内部控制实际上是对内部控制的再控制，最终目的是保证内部控制有效运行，顺利实现内部控制目标。内部审计能够对企业内部控制运行中存在的问题，有针对性地提出改进建议和措施，确保内部控制有效，企业经营活动健康有序。

二、内部审计在企业风险管理中的作用

内部审计参与到企业风险管理中，发现并评价重要的风险因素，促进企业改善风险管理体系，提高风险控制水平和风险应对能力，实现对风险的有效驾驭和化解。

（一）检查与评价

内部审计从确定风险领域、评价风险控制程序的有效性、检查风险管理过程的效果三个方面入手，检查和评价风险管理的充分性和有效性，报告并提出改进意见。首先分析企业已存在的各项经营风险以及会导致产生风险的各项内部和外部因素，确定风险领域，提出改进风险防范的建议。其次是测试企业风险控制程序的适当性和有效性，并做出评价报告，对风险控制程序不合理及效率较低之处提出改进建议。最后是检查风险管理过程，查找持续存在的风险及其长期存在的原因，并对风险管理过程有效性进行评价，提出改进风险管理、增加企业价值的建议。

（二）管理与协调

内部审计相对企业其他部门具有较强的独立性，能够围绕企业发展中心，切合企业利益，从实际出发，宏观、客观地识别、评价及管理存在和潜在的风险。并能够站在大局角度，推动企业开展风险管理，参与风险管理过程，主动协调风险管理环节，提出风险防范的有效建议，促进被审计单位改善经营管理，提高风险管理水平。

（三）咨询与服务

内部审计能以其专业胜任能力，在企业风险管理框架建立过程中，向管理层和相关部门提出建立及完善企业风险管理的建议，完善风险管理的制度、流程及效率，协助企业建立适当、有效的全面风险管理机制。同时通过对风险管理办法、措施的测试和评估，查找风险管理存在的问题，检查、评价风险管理流程并报告，提出管理建议，改善管理层风险管理流程的效果和效率。

（四）报告与防范

内部审计在充分检查、评价风险管理过程的充分性和有效性后，与企业相关部门适当沟通，及时对审计结果落实、整改及运用情况进行报告或跟踪审计，及早控制和防范风险。同时，内部审计渗透于企业经营管理各个环节，测试、评估并报告内部控制的充分性和有效性，有效地堵塞了管理控制漏洞，杜绝了舞弊现象的发生。

三、如何发挥内部审计在企业内部控制和风险管理中的作用

有效的内部审计在企业决策机制、监督机制、激励机制、风险管理和可持续发展等方面都发挥着重要作用。从企业整体利益和长远发展的观点来看，内部审计要逐步调整到内部控制评审、企业风险评估方面上来，并将事后审计逐步向过程控制、事前审计转变。

（一）实施有效的内部控制执行监督

适时开展内控制度评审，对内部控制过程予以适当的监督。确保内部控制得到切实地执行且执行的效果良好，降低企业经营风险。一是掌握正确的审计测试方法，运用合适的审计测试技术，搞好内部控制测试与调查，为审计评价、监督提供客观准确的信息。二是做好内部控制的分析评价工作，发现企业内部控制的缺陷，提出合理化建议，为建立健全内部控制提供依据。三是实现审计监控模式转变。进行实时监督和测试，有效开展连续审计和后续审计，提高内部审计的反应能力，为决策者提供实时依据。同时加强审计落实整改，保证有效性，充分发挥内部审计在企业内部控制执行中的监控作用，督促各项内控制度的落实。

（二）开展以风险为导向的内部审计

内部审计在企业风险管理中扮演着参与、分析、咨询、评价的角色。为充分发挥内部审计在企业风险管理与公司治理中的作用，内部审计应开展以风险和控制为核心的审计监控业务活动。

首先，在风险评估的基础上制定审计计划，以风险管理及控制为导向选择审计项目，在审计过程中和审计问题的处理上均要考虑风险的影响与控制。其次，将风险管理融入到常规审计项目中，针对日常审计中发现的问题和漏洞，进行风险识别和分析，将企业的风险按序排列。探究风险形成的原因尤其是主要原因，并进行风险评估。同时向管理层讲明风险的危害程度及将会造成的后果，促进管理层采取一定的措施来解决问题。再次，针对重要风险和薄弱点进行风险管理的功能性审计和程序性审计。功能性审计在于检查风险、识别及评估认定损失的可靠性和准确性，风险控制是否取得预期的效果。程序性审计在于评价企业应对风险的策略及控制方案的程序是否建立，功能是否完善。通过检查，确定承受风险的程度和承担风险的能力，为风险管理部门提供建议，以规避或减少风险损失。最后，考虑到内部审计的独立性，避免利益冲突，确定以内部审计牵头、协调各部门开展企业整体风险评估活动，共同提高风险控制水平。

（三）将风险审计与内部控制测试结合

通过开展风险审计和内部控制测试，建立风险防范与内部控制两者之间的互补关系。内部控制是企业管理工作的基础，而风险审计是防范企业风险的预警系统。通过内控测试能够发现经营和管理漏洞，完善各项管理制度，规避和减少风险。通过风险审计能够发现化解各类风险，解决内部控制中不执行或者执行效果不良的局面。应将两项工作有效结合，使两者在规范企业经营行为，保障经济健康发展上发挥联动作用。

参考文献：

[1]五部委.企业内部控制基本规范.财政部网站

[2]中国内部审计协会.内部审计具体准则第16号—风险管理审计.中国内部审计协会网站