【摘要】2004年9月，美国COSO委员会《内部控制——企业风险管理框架》正式发布，新框架把风险管理观念引入内部控制，开创了内部控制的一个新纪元，国外企业也纷纷按照这个内部控制新框架建立及完善自己公司的内部控制，同样也为我国企业内部控制研究及建设提供了一个全新的思维。风险管理的兴起对内部控制产生了重大影响。本文拟就风险管理观念导向下的内部控制体系的构建进行探讨，以改善企业内部控制现状，提升企业识别风险、防范风险及应对风险的能力。

　　【关键词】风险管理;内部控制;内部控制体系

　　Abstract: In September 2004, Internal Control - Enterprise Risk Management Framework is officially released by the U.S. COSO Committee. This new framework introduces the concept of risk management to internal control, creating a new era of internal control. Therefore, the foreign companies have built and improved their companies’ internal control according with this new framework of internal controla, and it also provides a new way of thinking of internal control construction and research for Chinas enterprises. The rise of risk management had a significant impact on the internal control. This paper intends to discuss the construction of the internal control system under the concept of risk management-oriented, so as to improve the status quo of corporate internal control, enhance the ability to corporate risk identifying, risk preventing and processing.

　　Key words: risk management; internal control; internal control system

　　中途分类号：C36 文献标识码：A 文章编码：

　　在所有权与经营权分离的企业制度中，存在着经营者有可能不履行其受托经济责任损害股东利益的风险。有限责任公司的组织形式也可能导致企业不惜损害债权人的利益从事高风险的项目。这些风险无法由市场竞争自发约束或通过市场交易规避。唯一的途径是通过加强企业治理层监督制度，建立财务报告、内部控制、风险管理及内部审计制度等。

　　一、内部控制与风险管理的关系

　　(一)二者内在联系

　　内部控制和风险管理都有一个共同的目标，就是维护投资者利益、保护企业资产，并创造新的价值。信息技术及市场条件的新进展，推动了内部控制走向风险管理。在先进的自动化信息技术条件下，会计记录实现了电子控制、实时更新，使传统的查错与防弊的会计控制显得不合时宜。然而，风险往往是由交易或组织创新造成的，这些创新来源于新兴的市场实践，如金融衍生品的交易。另一方面，环境保护及消费者权益保护的加强，都强化了企业的社会责任，稍有不慎，企业就可能遭受来自商品市场或资本市场的惩罚，表现为企业的品牌价值或资本市场上的市值贬损。因此，企业需要一种日常运行的功能与结构来防范风险，确保投资者对财务信息的信任以及保证经营效率等。因此，从促进价值创造这一根本功能来看，风险管理与企业内部控制的目标是一致的。只是在新的技术与市场条件下，为了更有效地保护投资者利益，需要在内部控制的基础上发展更主动、更全面的风险管理。

　　(二)二者存在的差异

　　全面风险贯穿于整个企业管理的全过程，而内部控制仅仅是企业管理的一项职能，全面风险管理的内容框架包含了业务风险、战略风险、操作风险、市场风险等各种风险内容，而内部控制内容框架则没有对风险和机会进行区分;同时，由于全面风险管理引入了风险对策、风险偏好等相关概念和方法，因此，全面风险管理建立在风险准确度量的基础上，更有利于企业风险偏好和发展战略的一致性。

　　二、我国企业内部控制存在的风险问题

　　(一)企业风险控制意识较为薄弱

　　目前国内不少企业重经营轻管理，内部控制与风险意识薄弱，对内部控制与风险管理存在着不少误区，特别是对建立健全内部控制、风险管理的重要性和现实意义认识不够，抱着有与没有无所谓的态度。同时，在全球经济、政治一体化进程，我国和世界经济联系必然更加密切，更多的国内企业要走出国门，参与国际市场竞争，而也有更多外资企业涌入国内，参加国内市场竞争。在此背景下，国内企业所面临的竞争压力不断增大，各种不确定性因素也在逐渐增多，企业所面临的各种风险更加复杂。但是，许多企业风险意识仍然较为薄弱，大多数企业管理者所关注的风险只是停留在财务风险方面，风险管理和风险控制意识较为薄弱。

　　(二)企业控制环境紊乱

　　控制环境包括董事会、企业文化、管理层的品性和管理理念、风险管理哲学、诚信和道德观、组织结构等等，设定了被审单位内部控制的基调。我国企业不重视对控制环境的改善，从而出现了控制环境紊乱的现象。比如，董事会未起到应有的作用，高层管理者控制意识淡薄;员工素质不高，企业文化缺失;组织结构不合理等等。我国多数企业没有很好地把控制环境各要素进行理顺，造成企业整个控制基础比较薄弱。

　　(三)内部控制制度执行不力

　　由于构建企业内部控制体系的成本很高，因此很多企业在完善内部控制方面大都是纸上谈兵，不愿意花大力气去真正地付诸于实践。众多企业仅注重内部控制的规章制度的文字编辑，在执行时并不彻底。尤其管理层自身违反内部控制，就会造成上行下效，使内部控制形同虚设。

　　(四)缺乏精通内部控制和风险管理的专门人才

　　我国目前有关内部控制的审核、评价和咨询主要由注册会计师来进行，企业没有专门的内部控制管理人才，因此无法从战略目标制定和执行、经营目标实现、管理效率提高、资产安全性等角度来评价内部控制，评估风险企业建立和完善内部控制系统时缺乏有效的专业指导。

　　三、风险管理理念对内部控制的影响

　　风险管理理念是企业共同的信念和态度，它决定着该企业在做任何事情时是如何考虑风险的。企业的风险管理理念实质上反映在管理层在经营企业的过程中所做的每一件事情上。风险管理程序的起点是企业的风险战略，它要考虑与企业有关的人的需求和愿望。通过促进信息流动和强化贯穿组织的沟通，风险管理程序提供了一个连续的循环风险模型。

　　在我国，真正关注和重视风险管理，并建立风险管理机制的是银行、证券公司、财务公司、投资公司等金融机构。由于金融风险危害的广泛性和严重性，国家相关部门颁布了许多法律法规，很多学者对此也非常重视，发表和出版了不少相关研究成果。而我国的很多生产性企业则没有建立风险防范机制。目前，相关机构也普遍不重视对一般企业的风险管理问题进行研究。但从美国COSO委员会提出的新报告来看，风险管理是企业内部控制的一个重要组成部分，国外有的学者甚至认为:企业风险管理是企业的核心竞争力。按照COSO报告的理念，企业风险管理不仅仅只是一种对企业所面临风险的简单被动应对，而是一种积极主动地关注内外部各种变化，并通过对这些变化进行分析和识别规避风险的机制。

　　四、构建基于风险管理内部控制体系的对策

　　(一)完善企业控制环境

　　1.要有明确的内部控制主体和控制目标

　　科学的组织结构在企业内部应包含四个层次的经济主体，这四种控制主体都有各自的控制目标。股东的目标是财富最大化，经营者的目标是不断增加经营效益;管理者的目标是完成责任目标、获得业务运行的真实报告;普通员工的目标是遵从企业的内部规章制度，不断提高企业的生产经营效率，提高工资薪酬。

　　2.要有先进的管理控制方法和高素质的管理人才

　　具有先进的管理控制方法，辅以积极的人事政策，培养和引进一批具有高素质、掌握先进管理方法的人才队伍，以改善企业的全员控制意识，从而形成一个良好的企业控制文化氛围。

　　(二)健全风险管理体系

　　企业的风险管理体系应自上而下地建立和实施。公司管理层应将风险管理体系的建设融入企业发展的全过程。在企业中，包括全体员工尤其是各级管理人员和内部控制执行人员，应牢固树立风险无处不在、风险无时不在的意识和理念;企业还应将风险管理体系的建设与职工薪酬制度和人事制度相结合，增强各级管理人员的风险意识，积极构建“企业重视、全员参与、全面覆盖、全程控制”的内部控制和风险管理体系。

　　(三)优化企业治理结构

　　企业应建立产权明晰、政企分开、管理科学的制度，保证股东大会，董事会和监事会、经理层的真正制衡机制，引进独立董事，加强内部的控制监督，保持监事会的独立性，监事会要对企业的决策进行监督。同时，加强内部审计部门的作用，内部审计部门应当向董事会或其审计委员会直接报告工作，并且不断地在日常工作中监督评审内控的总体效果。

　　(四)设计有效的控制活动

　　1.人员控制。人员控制方面包括：授权管理、职责分离、优化工作流程、票据与记录控制、资产接触与记录使用、绩效考评等。

　　2.信息控制系统。在信息系统的日常使用中，信息系统产生的舞弊现象比更具隐蔽性，具体应通过采取权限控制、数据录入、输出控制、手工凭证的控制、对输入数据的自动检查、对例外报告进行人工干预等方式，规范对数据的查阅或修改。

　　内部控制作为企业生产经营活动自我调节和约束的内在机制，其建立、健全及实施是企业生产经营成败的关键。风险管理与内部控制是密不可分的。内部控制系统与风险管理同样内置于企业经营管理过程之中，与企业经营管理活动水乳交融、浑然一体。本文通过对企业内部控制和风险管理的研究，提出在企业内部控制框架基础上，吸收风险管理的要素，构建以风险控制为核心的内部控制体系，并从完善内部控制环境、健全风险管理体系、优化治理结构、控制活动的构建等方面提出建议，希望对完善我国企业内部控制提供一些启示。