趙紅彬

一、企業(yè)內(nèi)部控制與全面風險管理之間的關系

內(nèi)部控制是指由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工所共同實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。企業(yè)內(nèi)部控制主要包含內(nèi)控環(huán)境、風險評估、控制活動、信息與溝通以及內(nèi)部監(jiān)督五個要素。

全面風險管理是一個過程管理，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。

內(nèi)部控制與全面風險管理兩者之間既有一致性，也有不同之處。內(nèi)部控制和全面風險管理兩者都貫穿于企業(yè)日常經(jīng)營管理活動中，最終目的都是要實現(xiàn)企業(yè)價值；內(nèi)部控制是全面風險管理的必要環(huán)節(jié)，全面風險管理涵蓋了內(nèi)部控制的業(yè)務范圍。企業(yè)全面風險管理是站在更高戰(zhàn)略層次上分析問題，它比內(nèi)部控制更加全面和細化，能更好的解決企業(yè)經(jīng)營活動中出現(xiàn)的各類風險問題。

二、我國企業(yè)內(nèi)部控制與全面風險管理現(xiàn)狀

1.企業(yè)內(nèi)部控制對內(nèi)部制環(huán)境建設重視程度不夠

內(nèi)部環(huán)境對于企業(yè)發(fā)展戰(zhàn)略、經(jīng)營活動及風險識別有重大影響。內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎，企業(yè)內(nèi)部控制是否有效很大程度上取決于內(nèi)部環(huán)境。我國企業(yè)在內(nèi)部環(huán)境的建設方面還不完善。

2.內(nèi)部審計缺乏獨立性，在內(nèi)部控制發(fā)揮的作用有限

內(nèi)部控制主要服務于企業(yè)內(nèi)部管理，而內(nèi)部審計是公司治理的重要基石。內(nèi)部審計在企業(yè)風險管控體系中是相對獨立的監(jiān)督系統(tǒng)，對風險管理、內(nèi)部控制以及公司治理的充分性和有效性進行監(jiān)督和評價，把風險和控制信息傳遞組織的的適當領域?，F(xiàn)實中大多數(shù)企業(yè)的內(nèi)部審計部門往往不被重視，受管理層直接領導，對高層管理者帶來的風險無法有效監(jiān)控。

3.企業(yè)風險控制概念相對狹窄,對全面風險管理理解不夠

企業(yè)沒有形成全員共同參與風險管理的觀念，認為風險管理是公司高層考慮的事情，與大多數(shù)員工沒關系。在這樣傳統(tǒng)思維的影響下，無法激起全體員工參與企業(yè)全面風險管理的積極性和主動性，不能在第一時間發(fā)現(xiàn)和處理經(jīng)營管理中的風險問題，致使全面風險管理無法在企業(yè)全流程中得到貫徹與實施。

4.企業(yè)風險管理決策缺乏支撐依據(jù)，無完善的風險評估體系

目前，我國大多數(shù)企業(yè)內(nèi)部控制具有很大的主觀性，隨企業(yè)領導變化而改變。企業(yè)風險管理水平較低,風險管理手段落后；風險管理評價標準不統(tǒng)一，風險評估體系不健全。企業(yè)進行風險預測、識別和處理，主要根據(jù)已有的經(jīng)驗，缺少科學的分析模型及量化分析。風險數(shù)據(jù)庫是企業(yè)經(jīng)營管理的重要決策基礎，沒有歷史風險數(shù)據(jù)的支撐，企業(yè)的風險管理就無法做到防患于未然，就會給經(jīng)營決策帶來較大風險。

5.信息孤島問題突出，信息資源共享受限

我國的普遍情況是企業(yè)內(nèi)部沒有整合信息資源，無法實現(xiàn)信息資源共享。主要表現(xiàn)在：信息更同步性差，信息使用和管理效率低下，孤立的信息系統(tǒng)無法實現(xiàn)信息共享，局部信息不能形成有價值的管理信息，對企業(yè)的決策支持只能流于表面，無法為企業(yè)治理帶來實質(zhì)性的幫助。

三、改進和完善我國企業(yè)內(nèi)部控制與全面風險管理的主要措施

1.建立、健全科學有效的風險管控機制

構建完善的風險管控機制是防范企業(yè)風險的關鍵所在。首先是建立和完善風險管理的預警機制和過程控制機制，其次是實行全員風險管理,將風險機制引入企業(yè)內(nèi)部，做到權責利相匹配。

2.依據(jù)制衡原理，建立科學的內(nèi)控體系

內(nèi)控體系是內(nèi)部控制目標順利實現(xiàn)的充分必要條件和重要保障。企業(yè)內(nèi)控體系主要由三部分組成：一是在企業(yè)一線業(yè)務單位全過程融入相互制衡的以“防”為主的監(jiān)督防線；二是建立企業(yè)內(nèi)控部門以“管”為主的監(jiān)督防線；三是開展由審計委員會領導的、對董事會負責的獨立的內(nèi)控綜合評價及內(nèi)部審計，對企業(yè)各單位實施全流程監(jiān)管,建立起以“審”為主的監(jiān)查防線。三個層次構筑的內(nèi)部防控體系,對企業(yè)經(jīng)濟活動進行全過程、系統(tǒng)性的監(jiān)督控制,對于企業(yè)及時發(fā)現(xiàn)問題、防范和解決企業(yè)管理風險，具有積極的作用。

3.深入開展內(nèi)部控制評價工作，全面、透徹的分析企業(yè)內(nèi)部控制的有效性

任何機制的有效運作都需要有相應的配套措施和好的執(zhí)行力。內(nèi)部控制評價制度是企業(yè)內(nèi)部控制有效運行的必要條件。建立一套高層重視、管評結(jié)合、方法科學、全程追蹤、實用性強的評價指標體系并加以貫徹實施，才是企業(yè)內(nèi)部控制制度有效運行的重要保證。

4.建立和完善動態(tài)的風險評估機制，確定合理的風險政策

一般情況下，風險和控制總是緊密相伴的。內(nèi)部控制是否有效的最主要依據(jù)就是風險評估，企業(yè)要實施有效的內(nèi)部控制，就要識別和衡量它所面臨的風險及其風險因素，這是采取有效控制活動的依據(jù)和前提。企業(yè)應結(jié)合自身情況，根據(jù)成本效益原則、全面性原則等，建立適當?shù)娘L險評估模型，減少風險負面影響，有效防范企業(yè)風險。

5.構建高效暢通的信息溝通機制，實現(xiàn)內(nèi)外信息共享

建立健全企業(yè)內(nèi)部控制系統(tǒng)的充分必要條件是擁有完善的信息傳遞、溝通與反饋的信息系統(tǒng)。無障礙的信息溝通不是簡單的信息系統(tǒng)建設，而是企業(yè)對內(nèi)、外部信息的傳遞、使用及質(zhì)量要求。企業(yè)應該結(jié)合自身的經(jīng)營特點，建立適應自身發(fā)展的信息管理系統(tǒng)，使信息在企業(yè)內(nèi)部的傳遞與使用變得高效、透明，為公司治理提供強大的信息技術支撐。

總之，在日常經(jīng)營管理中，用全面風險管理思想貫穿其中，積極有效的防范和應對風險，完善和細化企業(yè)內(nèi)部控制，利用現(xiàn)代化的信息管理手段，把二者緊密結(jié)合起來，使公司治理變得日益科學化、精細化、信息化和國際化，這樣企業(yè)才能做到風險管理與內(nèi)部控制的完美統(tǒng)一，才能有望成為市場的“百年老店”。

[1]周兆生.COSO企業(yè)風險管理框架(中文版)[R].華融資產(chǎn)管理公司,2007.

[2]國資委《中央企業(yè)全面風險管理指引》2006年.

[3]財政部等五部委《企業(yè)內(nèi)部控制基本規(guī)范》2008年.