隨著市場經(jīng)濟的發(fā)展，企業(yè)內(nèi)部控制建設(shè)越來越重要，企業(yè)在發(fā)展過程中總會遇到各種各樣的風險與威脅，這樣就需要內(nèi)部控制進行合理的判斷和管控。

　　《南方企業(yè)家》Friend of the Factory Directors & Managers，面向國內(nèi)外公開發(fā)行的高端財經(jīng)期刊，是聚焦華南財富的權(quán)威企業(yè)家雜志，其宗旨是關(guān)注以粵商為核心的南方企業(yè)家群體的思想、經(jīng)營、生活及其企業(yè)的發(fā)展與壯大，在廣東乃至整個華南地區(qū)具有較大影響力。讀者對象包括企業(yè)家、工商、流通領(lǐng)域、財經(jīng)、白領(lǐng)、層次消費者;中央、省、市經(jīng)貿(mào)、工商管理部門領(lǐng)導(dǎo)及各大專院校、企管、財經(jīng)類師生、專家學者等。

　　內(nèi)部控制體系必須緊密依據(jù)企業(yè)的風險評估結(jié)果，因此在制定切實可行的內(nèi)部控制體系時，必須首先全面評估企業(yè)風險，并根據(jù)企業(yè)的實際情況從設(shè)計、執(zhí)行、評估、完善等四個環(huán)節(jié)進行內(nèi)部控制體系設(shè)計，其中，設(shè)計環(huán)節(jié)是極為重要的一環(huán)，這一階段關(guān)系到企業(yè)內(nèi)部控制體系是否科學可靠、切實可行，企業(yè)應(yīng)當從自身經(jīng)營情況及管理特點出發(fā)，注重全面性和科學性。

　　一、企業(yè)風險管理含義

　　企業(yè)風險管理應(yīng)視為一個持續(xù)的執(zhí)行過程，緊密結(jié)合在企業(yè)經(jīng)營戰(zhàn)略的設(shè)定之中，通過企業(yè)的管理層及其他相關(guān)人員共同協(xié)作執(zhí)行，其理念及制度應(yīng)貫穿于整個企業(yè)運營過程中，為每一名企業(yè)員工所熟知和運用，從而確保能夠及時發(fā)現(xiàn)企業(yè)可能存在的潛在風險，使一切風險都處于可控狀態(tài)，為企業(yè)經(jīng)營目標的達成提供有力保障。企業(yè)的風險管理通常分為八點要素，相互關(guān)聯(lián)，相互協(xié)作，貫穿于企業(yè)經(jīng)營活動始終。其內(nèi)容包括：

　　1.內(nèi)部環(huán)境識別。所有企業(yè)風險管理要素均是以企業(yè)自身的內(nèi)部環(huán)境為基礎(chǔ)的，只有明確了企業(yè)內(nèi)部環(huán)境的特點，才能制定出切實有效的風險管理的框架及規(guī)則。通過對企業(yè)內(nèi)部環(huán)境的認知，能夠幫助管理人員正確制定企業(yè)戰(zhàn)略及經(jīng)營目標，從而有效地開展業(yè)務(wù)活動，并且準確地識別風險、評估風險并及時應(yīng)對。

　　2.制定經(jīng)營目標。管理人員在制定企業(yè)經(jīng)營戰(zhàn)略目標時，應(yīng)當根據(jù)企業(yè)的經(jīng)營任務(wù)及預(yù)期內(nèi)容進行科學的分析和設(shè)計，從而確保戰(zhàn)略實施的可行性，并切實將相關(guān)目標分層分級地落實到企業(yè)內(nèi)部各個部門及各個崗位。

　　3.企業(yè)風險評估。管理人員在評估企業(yè)風險時，應(yīng)當從發(fā)生可能性及影響程度兩方面進行周密考慮，并且結(jié)合企業(yè)即期的經(jīng)營戰(zhàn)略及經(jīng)營目標進行具有戰(zhàn)略眼光的風險識別和評估。

　　4.經(jīng)營事項評估。在企業(yè)的運營過程中，往往存在著較多不確定性，這些現(xiàn)階段結(jié)果尚不明確的事項可能會對企業(yè)具有積極的影響，也可能存在著消極影響，甚至二者同時并存。因此，企業(yè)管理人員應(yīng)當及時對這些不確定性予以識別和評估，認識到事項的負面影響即是企業(yè)的潛在風險因素，必須盡早識別和評估，并預(yù)先制定出應(yīng)急措施。

　　5.風險應(yīng)對方案。面對風險的發(fā)生，風險應(yīng)對反應(yīng)包括規(guī)避風險、控制風險、承擔風險及轉(zhuǎn)移風險四種，作為企業(yè)的風險管理，應(yīng)當針對不同的風險，制定出相應(yīng)的風險應(yīng)對反應(yīng)方案，從而確保將風險的影響降至最低。

　　6.風險控制措施。當風險應(yīng)對反應(yīng)方案開始執(zhí)行時，制定正確的風險控制措施，能夠確保反應(yīng)方案遵循正確的流程得以有效執(zhí)行。因此，控制措施應(yīng)當針對企業(yè)的不同層面、不同部門及不同崗位全面制定和落實，其要素包括規(guī)范的應(yīng)對政策及對政策產(chǎn)生影響的一系列操作章程。

　　7.信息獲取及溝通。企業(yè)應(yīng)定期對來自內(nèi)外部的信息進行獲取、識別，并通過固定的格式予以保存和傳遞，從而幫助企業(yè)員工正確執(zhí)行自身職責，并提供執(zhí)行結(jié)果的參考和評估。此外，還應(yīng)當保持溝通順暢，包括企業(yè)由上而下、由下而上的縱向溝通，各部門間的橫向溝通，以及企業(yè)與外部環(huán)境間的信息交換。

　　8.風險效果監(jiān)控。企業(yè)應(yīng)當及時對風險管理要素有關(guān)內(nèi)容的合理性和完善性進行定期評估，并對風險管理的運行情況進行評估和監(jiān)督。其方式可采取持續(xù)性監(jiān)控和個別要素評估兩類。

　　二、內(nèi)部控制的含義

　　內(nèi)部控制是一個循環(huán)往復(fù)的動態(tài)過程，其內(nèi)容包括控制目標設(shè)計、控制執(zhí)行、執(zhí)行評價、目標改進等多個環(huán)節(jié)，為企業(yè)提供持續(xù)不斷的信息反饋，使企業(yè)能夠準確掌握當前自身運營情況，以及內(nèi)外部環(huán)境對自身帶來的機遇及影響。

　　企業(yè)在獲取信息的同時，還能夠通過對內(nèi)部控制設(shè)計及執(zhí)行過程進行評估，從中獲得當前內(nèi)部控制體系的有關(guān)信息，從而能夠及時進行內(nèi)部控制體系的完善和補充。而內(nèi)部控制的評估內(nèi)容，主要包括對企業(yè)現(xiàn)行內(nèi)部控制體系設(shè)計及執(zhí)行的合理性、有效性及完整性進行系統(tǒng)的審核、檢驗及分析等工作。其作用主要包括：

　　1.確保企業(yè)管理的完善性。企業(yè)的經(jīng)營管理應(yīng)當順應(yīng)外部經(jīng)濟環(huán)境的變化不斷做出調(diào)節(jié)，以便適應(yīng)新的發(fā)展形勢，這一要求便需要企業(yè)對內(nèi)部控制進行不斷的評估和完善，從而及時發(fā)現(xiàn)其中的缺陷和漏洞，杜絕營私舞弊，改善薄弱環(huán)節(jié)，從而提高企業(yè)的內(nèi)部管理水平，增強企業(yè)競爭力。

　　2.有利于充分發(fā)揮審計職能。目前，審計已經(jīng)發(fā)展到抽樣審計的高度，企業(yè)實行內(nèi)部控制評估，能夠依據(jù)評估結(jié)果明確審計范圍，突出審計重點，尋求最佳審計方法，使審計效率得到有效提高，并充分發(fā)揮審計的重要職能。

　　3.提供各方?jīng)Q策依據(jù)。內(nèi)部控制評估結(jié)果公布后，除了企業(yè)自身之外，有關(guān)部門均能據(jù)此對企業(yè)財務(wù)報告的可信度進行評價，了解企業(yè)的長期可持續(xù)發(fā)展能力、成長性、運營合法性等多個方面，從而制定下一步的行動決策。

　　三、企業(yè)內(nèi)部控制與風險管理之間的關(guān)系

　　2004年，COSO經(jīng)過4年的研究之后，在之前《內(nèi)部控制統(tǒng)一框架》理論的基礎(chǔ)上發(fā)布了《全面風險管理統(tǒng)一框架》，為全面風險管理提供了執(zhí)行標準和依據(jù)，在這一新的理論中，全面風險管理增加了三項內(nèi)部控制目標，以及相應(yīng)的管理戰(zhàn)略目標。由此可見，內(nèi)部控制與風險管理日趨融合趨向。然而，全面風險管理與內(nèi)部控制仍然具有一定的差異：

　　1.全面風險管理作為一個持續(xù)性的執(zhí)行過程，貫穿于企業(yè)管理始終，而內(nèi)部控制則是企業(yè)管理職能中的一項。此外，全面風險管理內(nèi)容包含了戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險、合規(guī)風險等多項風險內(nèi)容，企業(yè)能夠通過這些風險的分析和評估獲取機遇，規(guī)避或預(yù)知影響。而內(nèi)部控制則沒有對風險和機遇進行明確的區(qū)分。

　　2.全面風險管理理念中包含了風險偏好、風險應(yīng)對策略、風險零容忍度等戰(zhàn)略要素，因此能夠?qū)︼L險進行準確全面的度量和評估，確保企業(yè)在風險偏好及運營發(fā)展戰(zhàn)略方面保持一致。內(nèi)部控制則是企業(yè)內(nèi)部面對可能遇到的風險所采取的各種應(yīng)對措施及方法，完全依據(jù)風險內(nèi)容進行控制機制的制定及實施，內(nèi)部控制措施的必要性與風險系數(shù)呈正相關(guān)的關(guān)系，企業(yè)在運營過程中，需要以具體的內(nèi)部控制措施為有效手段，對各種風險進行控制和評估，從而將潛在的各類風險扼殺在萌芽之中。

　　四、我國企業(yè)風險管理及內(nèi)部控制現(xiàn)狀

　　國資委2006年頒布了《中央企業(yè)全面風險管理指引》，將國外先進風險管理經(jīng)驗與我國企業(yè)特色相結(jié)合，作為我國企業(yè)實施全面風險管理的重要依據(jù)和理論指導(dǎo)。2008年財政部會同相關(guān)部門聯(lián)合發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，2010年再次發(fā)布《企業(yè)內(nèi)部控制配套指引》，為我國企業(yè)內(nèi)部控制與全面風險管理相結(jié)合的企業(yè)管理體系提供了理論指導(dǎo)依據(jù)。這些法律法規(guī)均促使企業(yè)充分審視、完善和加強自身內(nèi)部控制管理工作，將風險管理理念列為管理重點，以有效的內(nèi)部控制為基礎(chǔ)，科學融合了現(xiàn)代企業(yè)管理體系中的風險管理理念，從而不斷提升自身的風險管控能力。然而，全面風險管理工作仍然處于起步階段，與國外先進管理體系相比，仍然存在著不足之處，具體包括：

　　1.未能充分認識風險管理的重要性，執(zhí)行力度不足，對于內(nèi)部控制與風險管理之間的關(guān)系概念模糊。部分企業(yè)將風險管理和內(nèi)部控制分裂開來，視為兩種彼此獨立的管理體系，部分企業(yè)則僅僅將內(nèi)部控制視為全面風險管理的一種手段，弱化了內(nèi)部控制的重要作用。這些概念上的模糊認識使部分基層管理人員產(chǎn)生了管理體系重復(fù)、冗雜的誤解，并使內(nèi)部控制與全面風險管理體系彼此脫節(jié)，不利于企業(yè)風險管理的完善和發(fā)展。

　　2.偏重合規(guī)性，忽視實踐性。部分企業(yè)過分強調(diào)全面風險管理體系的制度及手冊等文件完善，卻忽視了制度的執(zhí)行、監(jiān)督、評估和反饋等實踐工作，從而不利于全面風險管理的執(zhí)行報告及偏差糾正。

　　3.運行機制不到位。在部分風險系數(shù)較高的運營環(huán)節(jié)、經(jīng)營領(lǐng)域及關(guān)鍵風險控制點，對風險因素的預(yù)警、應(yīng)對及追蹤力度仍顯不足，或存在落實不到位的情況，尚需做進一步的完善和補充。

　　五、完善內(nèi)部控制及風險管理體系的建議

　　(一)充分評估企業(yè)當前風險，設(shè)計切實可行的內(nèi)部控制體系

　　在執(zhí)行環(huán)節(jié)，應(yīng)當注重內(nèi)部控制制度的可操作性，并根據(jù)企業(yè)各部門、各層級的技術(shù)特點，制定實質(zhì)性的管理制度。在評估環(huán)節(jié)，應(yīng)當注重內(nèi)部控制預(yù)期目標達成率的評估，并確保評估的客觀性、公正性和透明度，以便為管理人員提供真實有效的決策依據(jù)。在改善階段，應(yīng)及時對控制制度進行跟進和修正，并保持其改善的穩(wěn)定性、科學性及實質(zhì)性，并制定事前、事中及事后的監(jiān)督機制。

　　(二)根據(jù)企業(yè)特點，制定明確的可執(zhí)行制度

　　建立起切實可行的內(nèi)部控制體系后，還應(yīng)根據(jù)企業(yè)自身特點，制定出細致而嚴密的執(zhí)行制度，其中包括：(1)科學設(shè)定控制目標，詳細劃分控制責任，明確進行控制授權(quán)，使各部門、各崗位準確了解自己所承擔的控制職責，牢記被賦予的控制權(quán)限，從而使內(nèi)部控制制度權(quán)責分明，目標明確，具有較高的執(zhí)行力，同時，一個明確而詳盡的執(zhí)行制度，能夠為企業(yè)各部門、各崗位提供行動指南;(2)分離不相容崗位，降低人為風險。此類分離應(yīng)廣泛包含部門之間、機構(gòu)之間、機構(gòu)內(nèi)部人員之間，從而掃清內(nèi)部控制障礙，最大限度填補管理漏洞，防范和降低人為潛在風險。

　　(三)完善組織機構(gòu)，充分發(fā)揮內(nèi)部審計部門職能

　　企業(yè)可根據(jù)自身特點建立完善的風險管理機構(gòu)：一是建立由企業(yè)負責人負責的全面風險管理領(lǐng)導(dǎo)小組，全面負責指導(dǎo)企業(yè)的風險管理工作;二是設(shè)立專職部門或確定相應(yīng)職能部門，具體履行全面風險管理職責;三是發(fā)揮內(nèi)部審計部門的作用，負責研究提出全面風險管理監(jiān)督評價體系，開展監(jiān)督與評價，出具監(jiān)督評價審計報告。其他職能部門及各業(yè)務(wù)單位在全面風險管理工作中，應(yīng)接受風險管理職能部門和內(nèi)部審計部門的組織、協(xié)調(diào)、指導(dǎo)和監(jiān)督。