基于風險管理的企業(yè)內部控制研究

黃景熙

摘要：在激烈的市場競爭環(huán)境中，內部控制在企業(yè)管理中發(fā)揮著重要作用，實施有效的內部控制能夠提高企業(yè)的管理水平，保障企業(yè)生產、經(jīng)營的可持續(xù)發(fā)展。企業(yè)的內部控制理論在我國已經(jīng)引入、推廣了很長時間，但是企業(yè)內部控制流于形式的情況還是相當普遍，當企業(yè)風險管理概念被逐漸關注，內部控制被當作有效管理風險的重要舉措，其重要性不言而喻。文章闡述了企業(yè)存在的內部控制問題，并提出可行性建議。

關鍵詞：風險管理;內部控制;內控體系

一、引言

經(jīng)濟全球化發(fā)展的加快，給我國的企業(yè)發(fā)展帶來了更加廣闊的市場，但是也給企業(yè)帶來了更多的競爭壓力，一大批國際企業(yè)涌入我國市場，企業(yè)的生存空間不斷壓縮，難以保持持續(xù)的經(jīng)營，這樣的競爭壓力讓企業(yè)不得不竭力提升自身競爭實力，也讓企業(yè)管理者認識到了企業(yè)加強內部控制，建立完善內部控制體系的重要意義。企業(yè)通過加強內部控制管理，能夠進一步優(yōu)化自身管理水平，降低管理風險，從而實現(xiàn)企業(yè)戰(zhàn)略目標和增強市場競爭力。

二、內部控制理論概述

（一）內部控制的含義

內部控制是指企業(yè)或單位內部實施的各種制度、計劃、組織、程序和方法，以實現(xiàn)資源利用效率最大化、經(jīng)營效率提升的目的，內部控制需要企業(yè)或單位整體員工的共同參與。內部控制的概念先由西方發(fā)達國家提出，我國研究內部控制的起點較晚，但是結合我國內部控制發(fā)展的實際情況，國家逐漸頒布并完善了企業(yè)內部控制的法律規(guī)范。

（二）COSO內部控制框架

對于企業(yè)內部控制，隨著對其研究的不斷發(fā)展，其概念也在不斷演變和深入，雖然業(yè)界對于內部控制的定義有很多看法，但是當前使用最為普及的為1995年加拿大注冊會計師公會提出的控制綱要。COSO框架認為企業(yè)內部控制的最終目標還是完善企業(yè)管理能力，保證企業(yè)健康持續(xù)經(jīng)營，企業(yè)內部控制由以下五要素組成。

1. 內部環(huán)境

控制環(huán)境是內部控制中最為基礎的部分，是指企業(yè)是否具備內部控制的意識、氛圍和制度等基礎性內容，沒有良好的內部控制環(huán)境，其他的內部控制環(huán)節(jié)和因素就沒有建立的土壤。良好的內部控制環(huán)境包括了企業(yè)組織結構、人力資源配置、企業(yè)文化建設等。

2. 風險評估

市場環(huán)境的復雜多變，影響企業(yè)經(jīng)營績效的因素越來越多，企業(yè)可能遇到的風險也越來越多，企業(yè)生產經(jīng)營活動的每一個環(huán)節(jié)都有可能面臨風險，并且企業(yè)的風險是不可避免的，企業(yè)雖然不能消滅風險，卻能夠有效防范風險，將風險發(fā)生的可能性降低或減小風險發(fā)生可能帶來的損失，因此企業(yè)要想做好內部控制必須建立風險評估系統(tǒng)。

3. 控制活動

在對企業(yè)可能發(fā)生的風險進行評估之后，企業(yè)基于風險評估結果制定風險防范的方案和程序，幫助企業(yè)進行有效、準確的決策，即為控制活動。企業(yè)的控制活動貫穿于企業(yè)生產、經(jīng)營、決策整個過程，控制活動是企業(yè)內部控制中的關鍵因素，能夠實現(xiàn)企業(yè)形成有效內部活動秩序，達到良好控制的目的。

4. 信息與溝通

隨著企業(yè)規(guī)模的不斷擴大，企業(yè)進行信息傳遞和交流溝通的成本也會增加，因此，具有良好的信息傳遞和溝通渠道能夠提高企業(yè)整體的工作效率，降低企業(yè)經(jīng)營成本和風險。信息與溝通包括兩個層面：一是企業(yè)內部管理者與員工上下層級之間的有效溝通，保障上令下達，職權分明，企業(yè)能夠有序運轉;二是企業(yè)要健全反舞弊機制，減少企業(yè)內部管理人員濫用職權，以權謀私的行為，維護企業(yè)的正常利益。

5. 監(jiān)督

監(jiān)督是企業(yè)內部控制的最后一個因素，有效的監(jiān)督管理秩序能夠對企業(yè)的管理、權力起到約束和制約作用，能夠及時發(fā)現(xiàn)內部控制管理中的缺陷和漏洞，從而實現(xiàn)對企業(yè)內部控制的優(yōu)化和改善。

三、企業(yè)內部控制體系存在的問題

在現(xiàn)代企業(yè)管理中，內部控制和風險管理都是企業(yè)管理能力的重要體現(xiàn)，企業(yè)應對市場風險必須實現(xiàn)風險管理與內部控制的良好融合。但是現(xiàn)階段，我國很多企業(yè)在管理體系中，將風險管理與內部控制視為分離的兩個部分，沒有在風險管理的基礎上健全內部控制體系，導致企業(yè)管理效率降低。

（一）缺乏風險管理意識及績效關聯(lián)程度

首先，企業(yè)內部控制缺乏風險管理意識。由于國家相關政策要求企業(yè)的經(jīng)營管理過程中開展風險管理，很多企業(yè)開展了一些風險管理的工作，例如，編制相關風險管理的基本報告，但是通過廣泛的調查研究后發(fā)現(xiàn)，我國現(xiàn)階段大部分企業(yè)內部員工對于風險管理的意識還很缺乏，企業(yè)內部并未形成重視風險管理的文化氛圍。在各個部門的管理中，員工并未匹配相應的崗位風險管理知識，在內部控制的流程中并未融入風險意識。

其次，企業(yè)內部控制與績效管理程度較低?，F(xiàn)階段企業(yè)的績效考核管理往往與營業(yè)收入、成本控制、投資效率以及生產效率等指標相關，但是缺乏對企業(yè)內部控制的績效考核制度，企業(yè)內部的控制風險未能有效防范，導致企業(yè)難以推動企業(yè)內部控制工作以實現(xiàn)企業(yè)戰(zhàn)略目標的實現(xiàn)，企業(yè)內部控制秩序不佳。

（二）企業(yè)戰(zhàn)略目標及風險評估機制缺乏技術支撐

企業(yè)的戰(zhàn)略目標是企業(yè)長遠規(guī)劃和運營的方向，但是現(xiàn)階段很多企業(yè)的戰(zhàn)略目標沒有融入內部控制因素，往往只關注了生產、運營、合規(guī)等目標，企業(yè)在探索產品創(chuàng)新、市場擴張和生產結構上越走越遠，但是企業(yè)內部的控制管理卻難以跟上企業(yè)對外擴張的步伐，在企業(yè)戰(zhàn)略目標上，內部控制規(guī)劃屬于缺失的狀態(tài)。另一方面，企業(yè)若希望穩(wěn)定市場地位，必須有相應穩(wěn)定的控制系統(tǒng)，而普遍現(xiàn)象為企業(yè)沒有明確自身未來的核心價值和企業(yè)愿景，對于規(guī)模較大的企業(yè)集團而言，子公司的戰(zhàn)略規(guī)劃難以與集團整體相一致。

在風險管理體系中，很多企業(yè)在風險評估中迫切需要改進。企業(yè)目前缺乏科學的風險評估方法，當前主要依靠風險管理人員依靠經(jīng)驗分析預測，但是往往存在很大的主觀性，沒有完善的風險評估機制以及定量的科學計算辦法，難以形成健全的風險評估機制，風險評估不真實、不客觀會導致之后的風險管理工作難以為繼。

（三）沒有風險管理信息共享平臺

隨著企業(yè)規(guī)模的擴大，企業(yè)部門和人員崗位設置更加復雜，不同層級、不同部門的管理人員溝通交流也復雜困難。在構建基于風險管理的內部控制系統(tǒng)時，沒有良好的內部信息共享和溝通，會使得企業(yè)的內部控制效率低下?，F(xiàn)階段，企業(yè)內部控制系統(tǒng)中內部信息共享和交流還存在很多障礙，企業(yè)大多沒有建立起風險管理信息共享平臺，內部控制中的信息溝通板塊功能僅限于上層部門向基層發(fā)送和接收信息，進行風險管理所需的風險評估、風險預測等相關數(shù)據(jù)難以建立入庫，導致風險管理內部控制工作信息低效。

另外，內部控制缺乏風險控制報告會議制度。風險管理作為現(xiàn)代企業(yè)治理中的重要環(huán)節(jié)，目前很多企業(yè)在商務會議溝通時卻忽視了這一環(huán)節(jié)，在議程中沒有對企業(yè)風險管理進行定期報告和討論，沒有正式的風險信息報告機制，無法在企業(yè)內部形成良好的風險管理氛圍。

四、基于風險管理的企業(yè)內部控制優(yōu)化對策

企業(yè)要想優(yōu)化內部控制管理，減小管理風險，必須將風險管理與內部控制有效融合，避免風險來臨時應對被動，同時需要通過內部控制來增強企業(yè)對風險的抵抗能力和應對能力。

（一）優(yōu)化內部控制設計

企業(yè)的內部控制體系設置要充分考慮風險管理的因素，將風險管理融入內部控制體系設計中去?；谶@一思想，企業(yè)在進行風險管理時必須要充分理解COSO內部控制的五個要素框架，在傳統(tǒng)的內部控制體系上進一步優(yōu)化控制設計。首先，企業(yè)可以從追溯風險管理源頭出發(fā)，充分利用整合企業(yè)資源，培養(yǎng)優(yōu)秀人力資源隊伍，實現(xiàn)資源要素的內外部流動和企業(yè)機制的創(chuàng)造。其次，企業(yè)要在傳統(tǒng)的內部控制系統(tǒng)上進行創(chuàng)新優(yōu)化，包括建立定量風險評估制度，建設風險管理數(shù)據(jù)庫，內部控制體系的優(yōu)化需要設置明確的目標，力求建立動態(tài)的、靈活的基于風險的內部控制體系，全面改善企業(yè)的風險管理內部控制。

（二）進一步融合風險管理與內部控制

為實現(xiàn)企業(yè)管理能力的提升，對于風險管理系統(tǒng)與內部控制系統(tǒng)的融合已經(jīng)是大勢所趨，企業(yè)只有實現(xiàn)了兩個管理板塊的充分融合，才能讓企業(yè)管理能力符合當前更加復雜多變的市場環(huán)境，應對各種各樣的風險因素。

首先，風險管理與內部控制的有效融合必須進行專業(yè)化工作。企業(yè)可以在組織結構內設置專業(yè)的風險管理部門和崗位，根據(jù)企業(yè)歷史數(shù)據(jù)和經(jīng)驗，對以往的風險進行分析整合，并結合當前的市場環(huán)境來判斷評估企業(yè)風險，定期頒布出具風險評估報告。其次，為了更好實現(xiàn)風險管控目標，企業(yè)要將風險目標進行分解細化，讓各個部門、各個崗位都負責部分風險管理職能，讓風險管理參與程度更高，有效實現(xiàn)風險管理與內部控制的融合。

（三）完善企業(yè)風險內部控制機制

要想完善企業(yè)風險管理的內部控制機制，需注重風險管理的方方面面。首先，企業(yè)要加大對風險管理的宣傳。企業(yè)內部的風險管理不能僅作為一種管理制度，更應該加強宣傳教育，培養(yǎng)起企業(yè)風險管理的意識氛圍，讓整體員工在工作中都能具備風險管理意識，在日常工作中更加小心謹慎，以風險指標來自我考核，營造健康的企業(yè)治理文化。其次，企業(yè)要培養(yǎng)打造優(yōu)秀的風險管理人才團隊。對于企業(yè)負責內部控制管理的工作人員，該部門管理人員的能力高低也決定了企業(yè)內部控制的水平，企業(yè)在人才引進時要更加關注風險管理的相關考核內容，另外在企業(yè)內部要定期開展員工風險教育學習，全方面提升企業(yè)風險管理能力。最后，在當前信息化大發(fā)展的時代，企業(yè)必須充分利用信息化技術建立風險信息共享溝通平臺，讓企業(yè)內部各個層級、各個部門之間的信息傳遞更加便利快捷，能夠主動應對企業(yè)的未知風險，讓信息溝通平臺成為風險內部控制的重要舉措。

五、結語

本文在深入調查分析了我國企業(yè)現(xiàn)階段風險內部控制的現(xiàn)狀后，在COSO內部控制的理論框架上，簡要分析了當前企業(yè)在基于風險管理的內部控制體系設置上還存在的眾多不足之處，為了提高風險管理內部控制的效率辦法，必須加強風險管理與內部控制的融合，通過優(yōu)化內部控制設計、融合風險管理與內部控制板塊、完善企業(yè)風險內控機制等保障風險內控體系的進一步成熟。通過企業(yè)風險內部控制體系的完善，讓企業(yè)資金安全更加有保障，企業(yè)基于風險視角進行內部控制能夠更好實現(xiàn)企業(yè)戰(zhàn)略目標，在激烈的市場競爭中贏得更多發(fā)展空間。

參考文獻：

[1]楊軍正.淺議風險管理下企業(yè)內部控制體系的構建[J].財會學習，2020（10）：255-256.

[2]毛莎.淺議基于風險管理的中小企業(yè)內部控制體系[J].商訊，2020（09）：128+130.

[3]江金秀.淺談企業(yè)內部控制與風險管理存在的問題及措施[J].財經(jīng)界（學術版），2020（06）：47-48.

[4]王高艷.關于企業(yè)內部控制管理與風險防范問題的探討[J].財會學習，2020（08）：291-292.

（作者單位：貴州省廣播電視信息網(wǎng)絡股份有限公司）