基于风险管理的企业内部控制研究

■郑启超 安徽安科生物工程（集团）股份有限公司

后疫情时代下，随着我国企业数量及规模的快速扩张，以及市场经济体制的不断完善，企业经营、管理与发展所面临的风险、竞争压力也越来越大。在如此复杂的经济环境之下，企业必须要正视市场风险、竞争压力，并通过内部控制来应对日新月异的经济环境及外部压力，从制度层面上来不断地优化、调整企业各项生产经营活动，确保企业正常运转。而基于风险管理对企业内部控制展开研究，就是要从风险管理的视角，通过对企业发展内外部风险问题的分析与探究，灵活地将风险识别、风险评估等方法应用到内部控制之中，在风险管理这一框架下构建内部控制体系、工作机制等。鉴于此，基于风险管理视角考虑企业内部控制是非常必要的。

一、内部控制理论概述

1.内部控制的含义

内部控制是企业或是单位内部为了更好地发展，实施了各种制度、计划、程度等，以达到内部资源利用效率最大化、经营效益持续提升的做法、环节等总和。内部控制需要企业或是单位总体人员共同参与，这一概念最早由西方发达国家指出，我国对内部控制的研究起步较晚，但随着国家经济快速发展，普遍提倡企业持续强化内部控制，并结合企业内部控制实际情况，不断地完善企业内部控制的法律规范。

2.内部控制与风险管理之间的关系

（1） 关于控制与风险管理的内在联系紧密

内控控制与风险管理之间的关系，学术界大致有这样的三种看法：第一种观点主张风险管理包括了内部控制，美国的COSO会议（2004）指出，内部控制是风险管理的主要部分，二者是有机统一的整体。第二个观点则主张风险管理是内部控制的一部分，而英国CICA管理会议（1999）则指出，内部控制应当包括了危险的发现和降低，但赞同这个观点的专家相对较少。第三个观点则指出，控制和风险管理是逐渐走向融合的，并具有实质上的区别。本文认同第一种观点，并由此对企业内部控制展开分析。

（2） 内部控制和风险管理所监控的侧重点有所不同

从内部控制与风险管理人员的定义中可以发现，它们所监控的侧重点完全不同。通过内部控制制度发展中所经过的五个阶段可以发现，内部控制的发展主要是指规章制度的发展与完善的过程，但它的最主要目的还是通过建立相应的内部法规制度来对企业的活动加以规范，并保证企业的顺利运行。而内部风险管理则有所不同，它的管理范畴较内部控制制度下对经营风险的规避要求更加广泛，是对传统内部控制方法的一种延续与拓展。

（3） 风险管理一直是企业内部控制发展的重点方面

按照美国COSO委员会（2004）的看法，企业风险管理是建立在内部制度整合框架基础上的，也是对传统企业内部管理形式的拓展与延续，企业内部管理也包含于企业风险管理。而随着国内经济国际化步伐的推进，国内企业在迎来了更多机遇的同时也面临着更多的潜在风险，以企业内部风险管理为基础的新内部管理形式，将会为企业的生存与发展带来更多的空间，因此企业内部风险管理也将随之成为国内企业内部管理发展的重点方向。

二、风险管理视域下我国企业内部控制现状分析

1.缺乏风险管理意识及绩效关联程度

首先，企业的内部控制中没有风险管理意识。随着我国有关规定要求在企业的经营管理流程中开展风险管理，不少企业也进行了一些关于企业内部风险管理的工作，比如，撰写有关企业风险管理人员的基本报告等，但经过比较深入的调查研究之后发现，由于现阶段很多企业内部人员对关于企业风险管理的工作意识还很欠缺，所以我国大多数企业尚未形成注重风险管理意识的文化氛围。在企业各个部门的内部控制中，人员并没有匹配相关的岗位风险管理知识，在内部控制的过程中也没有融入风险意识。

其次，企业的内部控制与员工管理程度相对较低。现阶段企业的绩效考核工作管理通常和营业收入、成本费用管理、融资效益和产出绩效等指标有关，但是没有对企业内部控制的绩效考核机制，企业内在的管理风险得不到有效防范，使企业无法推进内部科学管理化以实现企业战略目标，企业内部控制秩序不佳。

2.企业战略目标及风险评估机制缺乏技术支撑

企业的战略目标是企业长远规划和经营的指向，但现阶段许多企业的战略目标并未加入内在管理因素，往往只注重了产品、经营、合规等目标，企业在寻找产品创新、市场拓展以及产品结构上跑得更远，而企业内部的制度管理也无法跟随企业外部拓展的脚步，在企业战略目标上，内在管理规划处于缺位的状况。

另外，企业如果想要稳固市场地位，需要有相对稳健的管理体系，但不少企业没有确定自己未来的核心价值与企业愿景，对规模很大的企业集团来说，子企业的发展策略计划无法与企业整体相吻合。在经营风险管理中，许多企业在经营风险评估中迫切需要改进。企业目前没有科学合理的风险评价办法，企业当前经营主要依赖风险管理或依靠经验分析预测，结果往往产生了较大的主观性，由于缺乏完善的风险评价制度和量化的科学计算方法，企业难于建立完善的风险评价制度，而风险评价不真实、不客观也会造成企业之后的风险管理难以为继。

3.没有风险管理信息共享平台

随着企业规模的增加，企业部门结构和员工职务设定也越来越繁杂，企业各个层次、各种部门之间的管理信息沟通与交流也复杂而困难。当企业建立基于风险业务管理的内部控制系统时，由于缺乏良好的内部信息共享与交流，往往会导致企业的内部控制效能降低。

现阶段，企业内部控制系统中的内部信息共享与沟通还面临着不少障碍，企业内部大多未能搭建起风险管理信息共享网络平台，而内部控制中的信息沟通板块功能也只是通过上级机关直接向基层传递和接收信息信号，进行风险业务时管理所需要的风险评价、风险预警等关键数据也无法建立与入库，从而造成了风险管理内部的控制工作信息低效。

此外，企业内部控制也没有风险管控报告会议机制。企业风险管理作为现代企业管理中的重要环节，目前不少企业在商务会议交流时却忽略了这一环节，在议程中并未对企业经营风险管理作出定期汇报与研讨，缺乏正确的经营风险信息汇报制度，无法在企业内部建立良好的风险管理气氛。

三、基于风险管理的企业内部控制建设与发展对策

1.基于风险管理整合企业内部控制框架

（1） 企业治理机制的整合

管理机制的重整，是基于企业风险管理的一个管控系统的核心。一家企业不能有多个机制同时并行，因此一切的运营控制活动必须在一种统领性的管理机制内进行，而这种管理机制便是企业的风险管理体系。将内部控制、风险监控、财务管理等融入风险管理体系中，将内部控制视为风险管理职能作用的行为表现，为企业的风险管理提供合理的保障。这样在一种管理体系下，企业的管理人员可以清楚其活动在整个管理机制中的地位和影响，从而提高管理过程控制的精度，从而进一步完善管理活动。

（2） 组织目标层级的整合

企业核心层级的确立是内部管控结构的重点。在企业内部控制和风险管理整合的进程中，关键是风险管控的基础、核心和边界问题，而又以核心整合为基础。COSO出版的《企业风险管理

提醒您：因为《基于风险管理的企业内部控制研究》一文较长还有下一页，点击下面数字可以进行阅读！

《基于风险管理的企业内部控制研究》在线阅读地址：基于风险管理的企业内部控制研究