【文章內(nèi)容簡介】 其他員工共同參與的、應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的、用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的、為企業(yè)目標的實現(xiàn)提供合理保證的過程。內(nèi)部控制和風險管理均定義為“由一個組織的董事會、管理當局及其他員工實施的一個過程”，由此可見，內(nèi)部控制與風險管理的本質(zhì)目標是一致的。內(nèi)部控制和風險管理的根本作用都是維護投資者利益、實現(xiàn)資產(chǎn)保值增值。從新的COSO框架對企業(yè)內(nèi)部控制的完善來看，企業(yè)內(nèi)部控制逐漸呈現(xiàn)與風險管理趨近和一體化的趨勢，即以風險管理為主導(dǎo)，建立適應(yīng)企業(yè)風險管理戰(zhàn)略的新的內(nèi)部控制，從內(nèi)部控制走向風險管理。內(nèi)部控制與風險管理只有相融合，才能實現(xiàn)企業(yè)經(jīng)營管理的最佳效果。二、內(nèi)部控制與風險管理的關(guān)系內(nèi)部控制與風險管理的關(guān)系，國內(nèi)外的學(xué)者依據(jù)不同的視角有不同的理解，主要有內(nèi)部控制是風險管理的組成部分，內(nèi)部控制包風險管理，以及二者之間是等價的三種觀點。文章指出，分析任何學(xué)科、概念之間的區(qū)別與聯(lián)系，不能割裂學(xué)科、概念所賴以存在的特定的外部環(huán)境來考慮。唯物主義辯證告訴我們，任何事物都是一個不斷發(fā)展變化的過程。因此，我們應(yīng)該結(jié)合經(jīng)濟環(huán)境的變化、動態(tài)來看待風險管理與內(nèi)部控制的關(guān)系。（一）內(nèi)部控制與風險管理的聯(lián)系理論為社會實踐提供指導(dǎo)，但是社會實踐的新要求反過來促進了理論的向前發(fā)展。社會經(jīng)濟、技術(shù)的飛速發(fā)展推動了內(nèi)部控制與風險管理的相互融合統(tǒng)一。社會實踐不滿足于內(nèi)部控制僅僅從制度層面對確定性的財務(wù)信息的控制，對經(jīng)營中不確定性的風險和機會的把握和控制提出了要求，內(nèi)部控制進入了整體框架階段。人們也不滿足于風險管理僅在對純粹風險的管理方面發(fā)揮作用，對風險管理關(guān)注那些帶來會的事項的識別提出了要求，不僅是規(guī)避風險而且要求更加主動的應(yīng)對和利用風險。這一時期，所有者不僅要求對資產(chǎn)的保值增值進行控制，而月要對經(jīng)營者在經(jīng)營過程中把握發(fā)展、壯大的機會的過程進行控制。把握給企業(yè)帶來發(fā)展壯大的機會的同時也要注意把握機會帶來的風險，并要求內(nèi)部控制對經(jīng)營者把握機會風險進行控制，這些都促進了內(nèi)部控制與風險管理的相互融合。從國際上比較成熟的內(nèi)部控制框架，COSO發(fā)布的兩個報告中也可以看出，內(nèi)部控制與風險管理的相互融合。COSO委員會在1992年的《內(nèi)部控制—整體框架》中把風險評估作為內(nèi)部控制的五個組成要素之一，要求企業(yè)在內(nèi)部控制過程中關(guān)注風險管理的內(nèi)容。COSO在2004年發(fā)布的《企業(yè)風險管理—整合框架》中又進一步將內(nèi)控制擴展為風險管理，明確提出風險管理包含內(nèi)部控制的內(nèi)容。ERM框架是建立在內(nèi)部控制整體框架的基礎(chǔ)上，內(nèi)部控制則是企業(yè)風險管理必不可少的一部分?？傊?，從內(nèi)部控制和風險管理理論的發(fā)展和社會實踐來看，風險管理與內(nèi)部控制的是一個必然的過程，是社會實踐發(fā)展到一定程度對內(nèi)部控制理論發(fā)展的必然要求。因此，內(nèi)部控制進入了風險管理導(dǎo)向的新時期，與風險管理的相融合也成為了內(nèi)部控制展的國際趨勢。（二）內(nèi)部控制與風險管理的差異從內(nèi)部控制和風險管理發(fā)展的歷史階段來看，在經(jīng)濟發(fā)展的初級段，即內(nèi)部控制于內(nèi)部控制整體框架階段以前，風險管理處于傳統(tǒng)風險管理階段，這一時期內(nèi)部控制風險管理是相對獨立的?？v觀內(nèi)部控制理論的發(fā)展，委托代理理論是內(nèi)部控制產(chǎn)生和發(fā)展的重要基礎(chǔ)?，F(xiàn)代企業(yè)的一個最重要特點就是所有權(quán)與經(jīng)營權(quán)的分離。依據(jù)委托代理理論，由于委托人和代理人之間存在著信息的不對稱和不確定性，所以會對委托人的利益構(gòu)成威脅。為了保護委托人的利益，內(nèi)部控制作為系統(tǒng)的制約機制，包括了所有者對經(jīng)營者實施的監(jiān)控和經(jīng)營者對經(jīng)營過程的監(jiān)控，以保證經(jīng)營者履行對所有者的受托責任。在經(jīng)濟發(fā)展的初期階段，所有者期望通過一系列制度程序的設(shè)計，來對可能影響委托者利益或經(jīng)營目標實現(xiàn)的風險進行防范，來防止信息欺詐，達到資產(chǎn)保全的目的。這一時期，內(nèi)部控制基于所有者對經(jīng)營者經(jīng)營活動監(jiān)管的要求，關(guān)注的是對比較確定的經(jīng)營活動過程來進行控制，達到減少經(jīng)營者舞弊風險，保全資產(chǎn)的目的。而且這一時期內(nèi)部控制偏重與對財務(wù)信息的控制，而沒有更多的關(guān)注企業(yè)經(jīng)營發(fā)展過程中非財務(wù)信息的控制，如企業(yè)經(jīng)營面臨的外部宏觀環(huán)境等變化的風險。并且內(nèi)部控制只能防范風險，不能轉(zhuǎn)嫁、承擔、化解或分散風險。風險管理在近現(xiàn)代企業(yè)受到越來越多的關(guān)注，是基于企業(yè)所處的環(huán)境的復(fù)雜多變以及激烈的市場競爭，企業(yè)在經(jīng)營活動中不確定性的因素增多。風險管理的過程就是企業(yè)對這些不確定性的事項進行識別，分清機會和風險。在傳統(tǒng)風險管理階段，企業(yè)風險管理主要關(guān)注那些可能帶來損失的純粹風險，如火災(zāi)、地震等自然災(zāi)害帶來的偶然性的財產(chǎn)損失的風險，以及由于人為的原因帶來的影響正常生產(chǎn)經(jīng)營的風險，處理這些風險的主要形式就是向保險公司投保。企業(yè)對風險的態(tài)度主要是規(guī)避、轉(zhuǎn)移，減少實質(zhì)性的損失。由上述分析可知，這一時期內(nèi)部控制關(guān)注的是對確定性的經(jīng)營活動進行控制，重點是對企業(yè)經(jīng)營過程中財務(wù)信息的控制，很少關(guān)注對企業(yè)經(jīng)營活動中面臨的不確定性風險的控制。風險管理也只是被動的面對企業(yè)經(jīng)營活動中偶然發(fā)生的或不可控的風險，并通過規(guī)避風險來減少損失。因此，在這一階段內(nèi)部控制和風險管理的交集很少，各有關(guān)注點和側(cè)重點，因此，內(nèi)部控制和風險管理還是處于相互之間獨立的發(fā)展時期。三、企業(yè)內(nèi)部控制風險管理中存在的問題通過研究發(fā)現(xiàn)單位普遍認識到內(nèi)部控制的重要性，但對內(nèi)部控制認識不夠；側(cè)重于企業(yè)外部環(huán)境的梳理，而忽視了內(nèi)部各環(huán)節(jié)、各崗位的牽制；側(cè)重于經(jīng)營環(huán)節(jié)的程序控制，而忽視了企業(yè)整體的協(xié)調(diào)；側(cè)重于內(nèi)部控制的制度學(xué)習(xí)，而忽視了執(zhí)行制度的人的素質(zhì)提高；側(cè)重于對貨幣、實物的控制，而忽視了企業(yè)文化環(huán)境的建設(shè)，等等。主要問題可概括為以下幾個方面：（一）內(nèi)部控制目標設(shè)定不夠合理大多數(shù)企業(yè)的內(nèi)部控制目標，多局限于低層次的目標，如會計信息的質(zhì)量、法律法規(guī)的合理遵循等，而忽視企業(yè)整體戰(zhàn)略規(guī)劃和風險管理，導(dǎo)致企業(yè)的內(nèi)部控制目標缺乏風險防范意識，與企業(yè)長遠發(fā)展戰(zhàn)略脫節(jié)。（二）內(nèi)部控制環(huán)境不夠完善控制環(huán)境是實行內(nèi)部控制的基礎(chǔ)和前提，但目前，我國多數(shù)企業(yè)不重視內(nèi)部控制環(huán)境的改善。部分高層管理者缺乏風險管理意識；組織結(jié)構(gòu)不合理，多數(shù)企業(yè)監(jiān)事會受制于董事會，內(nèi)部審計缺乏獨立性和權(quán)威性；企業(yè)文化缺失等。這些內(nèi)部控制環(huán)境紊亂的現(xiàn)象，勢必造成企業(yè)內(nèi)部控制基礎(chǔ)薄弱。（三）缺乏有效的風險評估當前企業(yè)面臨的風險主要有市場風險、信貸風險、營運風險、法律風險、管制風險等。在眾多風險中，最主要的風險是營運風險。企業(yè)應(yīng)當建立可以辨認、分析和管理風險的機制，并確認高風險領(lǐng)域，以加強管理。但我國企業(yè)缺乏的就是這種機制，對于風險的管理十分薄弱，缺乏有效的風險識別、評價和反應(yīng)機制。企業(yè)抗險能力低，主要體現(xiàn)為：一是缺乏風險事項識別機制。企業(yè)管理層還未認識到風險事項識別是一個綜合性的過程，需要在實踐工作中進行全盤綜合考慮。大多數(shù)企業(yè)目前只能被動地接受內(nèi)部或外部變化帶來的風險。二是沒有適當?shù)娘L險評估體系。三是風險的應(yīng)對機制空白，還處于“出現(xiàn)一個問題，解決一個問題”的事后被動彌補狀態(tài)。（四）控制活動不到位控制活動是管理當局為了確保其指令被貫徹執(zhí)行而制定各種措施和程序。當前，我國許多企業(yè)對內(nèi)部控制活動的設(shè)定和執(zhí)行是非常薄弱的，在設(shè)置內(nèi)部控制時偏重事后控制，部分企業(yè)在內(nèi)部控制的執(zhí)行過程中不按規(guī)定程序辦理，使內(nèi)部控制制度失去了應(yīng)有作用。內(nèi)控制度是風險管理的基礎(chǔ)，風險管理是目標，要實行這一目標就必須要有相應(yīng)的措施。這些措施就是風險控制的工具，對于企業(yè)來說，由于存在前面的很多問題，是企業(yè)內(nèi)控制度基本上是停留在文件上。同時，由于企業(yè)的風險管理是一種至上而下、強制推行的管理概念，企業(yè)的對這一概念的宣貫往往是集中到關(guān)鍵點上，對大多數(shù)人來說，內(nèi)控制度和風險管理是一種霧里看花的概念，企業(yè)也沒有詳細的政策、程序和方案來對風險進行有效的識別、評估和控制以及監(jiān)督。這是一個動態(tài)的過程，也是發(fā)現(xiàn)問題、上報問題、解決問題的過程，沒有很好的把握這一過程，我們的內(nèi)部控制制度就是馬后炮，沒有任何實質(zhì)性的作用。（五）缺乏對企業(yè)內(nèi)部控制的有效監(jiān)督首先，對內(nèi)部控制制度執(zhí)行的考核缺乏力度。目前我國尚未統(tǒng)一企業(yè)內(nèi)部控制信息披露的要求與標準，直接導(dǎo)致企業(yè)在內(nèi)部控制信息披露方面存在嚴重的形式化問題。部分企業(yè)甚至尚未建立完善內(nèi)部控制的考核體系，即使有的企業(yè)已經(jīng)建立了相對完善的考核體系，但大多缺乏深度和廣度，并未將內(nèi)部控制考核結(jié)果納入到企業(yè)人員的業(yè)績考核中。其次，內(nèi)部審計客觀性性與權(quán)威性不高。一是由于企業(yè)內(nèi)部審計業(yè)務(wù)較少觸及經(jīng)營管理的其他領(lǐng)域，僅僅以財務(wù)審計為主，普遍存在職能單一、業(yè)務(wù)狹窄等問題，缺乏自身應(yīng)有的客觀性，限制了內(nèi)部審計職能的發(fā)揮；二是部分企業(yè)的內(nèi)部監(jiān)控制度未能形成體系，各職能部門之間、各崗位之間不能形成有效地牽制制度，缺乏必要的互相監(jiān)督，使許多內(nèi)部審計流于形式、缺乏自身應(yīng)有的權(quán)威性。四、建立以風險為導(dǎo)向的內(nèi)部控制體系的策略（一）明確基于風險管理的內(nèi)部控制目標控制目標是管理經(jīng)濟活動的基本要求，也是實施內(nèi)部控制的最終目的，它是評價內(nèi)部控制系統(tǒng)的最高標準。所以，明確基于風險管理的內(nèi)部控制目標是企業(yè)完善基于風險管理的內(nèi)部控制體系的前提條件。風險導(dǎo)向型內(nèi)部控制的本質(zhì)特征要求以風險的評估為基礎(chǔ)，這就決定了目標制定是風險管理流程的首要步驟，企業(yè)管理者應(yīng)該根據(jù)企業(yè)經(jīng)濟活動的內(nèi)容、特點以及管理要求，依據(jù)企業(yè)發(fā)展戰(zhàn)略制定內(nèi)部控制目標，制定的內(nèi)部控制目標應(yīng)具有前瞻性和發(fā)展性，與企業(yè)長遠發(fā)展戰(zhàn)略相適應(yīng)。第二步應(yīng)根據(jù)目標選擇具有相應(yīng)功能的內(nèi)部控制要素，組成內(nèi)部控制系統(tǒng)。在此基礎(chǔ)上將目標在企業(yè)內(nèi)層層分解、落實到人。在這一過程中，企業(yè)應(yīng)將科學(xué)的目標體系轉(zhuǎn)變成為易于理解、執(zhí)行的科學(xué)風險管理政策體系，從而提高風險管理的系統(tǒng)性和可操作性。需要注意的是，企業(yè)還應(yīng)確定對目標的實現(xiàn)有潛在影響的事項，保證制定的目標與企業(yè)的風險偏好相一致。（二）完善內(nèi)部控制環(huán)境建設(shè)內(nèi)部環(huán)境是其他所有風險管理要素的基礎(chǔ)。控制環(huán)境包括治理職能和管理職能，以及治理層和管理層對內(nèi)部控制及其重要性的態(tài)度、認識和措施?？刂骗h(huán)境影響著員工對內(nèi)部控制的認識和態(tài)度。內(nèi)部控制環(huán)境建設(shè)應(yīng)從以下方面展開：①治理層積極參與內(nèi)部控制活動；②管理層在治理層的監(jiān)督下，營造并保持誠實守信和合乎道德的企業(yè)文化；③建立正式的行為守則；④對員工勝任能力高度重視，有合理的人力資源政策和管理；⑤經(jīng)營模式、權(quán)限和職責分配得當；⑥促進全體員工樹立風險管理哲學(xué)觀，建立企業(yè)風險文化時，要注意建立統(tǒng)一的風險語言，以方便企業(yè)內(nèi)部的風險溝通和交流。企業(yè)文化往往是現(xiàn)存的一種無形的力量，影響企業(yè)成員的思維方式和行為方式，它具有一種很強的凝聚力。隨著企業(yè)文化中風險敏感程度的提高，企業(yè)應(yīng)將風險管理作為企業(yè)文化的重要內(nèi)容并貫穿企業(yè)文化建設(shè)始終，使內(nèi)部控制成為在同一種文化背景下具有統(tǒng)一的認知和行為模式。在企業(yè)風險管理文化的建設(shè)中，要通過各種途徑倡導(dǎo)和強化“全員的風險管理意識”，使全體員工自覺地將風險管理的各種方法、規(guī)定、制度落實到日常工作中，在整個企業(yè)形成一種風險控制的文化氛圍。具體地說，企業(yè)應(yīng)高度重視培育風險管理文化，應(yīng)將風險管理滲透到企業(yè)的每一個部門、每一個崗位、每一個工作環(huán)節(jié)，企業(yè)的管理層應(yīng)負責培育風險管理文化，管理人員在培育風險管理文化中應(yīng)起表率作用。當然，良好的風險管理文化需要經(jīng)歷一個長期的培養(yǎng)過程，這就要求企業(yè)在日常的經(jīng)營活動中長期不懈地堅持。（三）加強風險評估任何經(jīng)濟組織在經(jīng)營活動中都會面臨各種各樣的風險，并對其生存和競爭能力產(chǎn)生影響，特別是戰(zhàn)略風險和經(jīng)營風險。有的風險可以避免，有的風險可以消除，而有的風險只能控制在合理水平，有的風險只能承受或分擔。盡管很多風險的產(chǎn)生并不能被控制，但管理層應(yīng)當首先確定可以承受的風險水平，然后識別這些風險并采取一定的應(yīng)對措施，以把風險控制在風險容忍度之內(nèi)。加強風險評估意味著風險