企业内控与风险管理

相关推荐

企业内控与风险管理

现代内部控制和风险管理理论的发展是一个逐步演变的过程，大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。

（一）内部控制制度阶段。1936年美国颁布了《独立公共会计师对财务报表的审查》，首次定义了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”，此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55 号中，对内部控制制度的定义作了如下解释：“内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括且不限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”

（二）内部控制整体框架阶段。1992年9月，COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。

（三）风险管理框架阶段。2004年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

风险管理与内部控制关系研究回顾

在风险管理理论提出之后，理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点：

（一）第一种观点认为内部控制包含风险管理。CICA（1998）将风险定义为，“一个事件或环境带来不利后果的可能性”，阐明了风险管理与控制的关系：“当您在抓住机会和管理风险时，您也正在实施控制”。巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出，“董事会负责批准并定期检查银行整体战略及重要制度，了解银行的主要风险，为这些风险设定可接受的水平，确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会（1999）认为，“控制应该包括风险的识别与减轻”，其中的风险不仅包括与实现特定目标相关的风险，而且还包括一般性的风险，如不能识别和利用机会，就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。

（二）第二种观点认为风险管理包含内部控制。COSO委员会提出的《企业风险管理——整合框架》（2004）中明确指出，企业风险管理包含内部控制；内部控制是企业风险管理不可分割的一部分；内部控制是风险管理的一种方式，企业风险管理比内部控制范围广得多。英国Turnbull委员会（2017）认为，风险管理对于企业目标的实现具有重要意义，公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。

（三）第三种观点认为内部控制就是风险管理。Blackburn（1999）认为，风险管理与

内部控制仅是人为的分离，而在现实的商业行为中，它们是一体化的。Laura F.Spira（2003）分析了内部控制是怎样变为风险管理的，并指出，“将内部控制定义为风险管理强调与战略制定的联系，刻画了内部控制作为组织支撑的特点，但是，它也掩盖了一个不争的事实：现在没有人真正明自内部控制系统是什么。”

基于COSO报告下的内部控制与风险管理比较

现代理论界对内部控制与风险管理的定义各不相同，但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。

（一）两者的定义与内涵。1992年的COSO《内部控制整合框架》将内部控制定义为，“受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务报告真实可靠；与法律法规的遵循有关的目标，即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。

《企业内控与风险管理》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

2004年的COSO《风险管理整合框架》将风险管理定义为，“由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定有企业各个层次的活动，旨在识别影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理保证的过程。”风险管理的目标有四个：报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。

（二）两者的比较

1、它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。

2、它们都明确是一个“过程”，不是某种静态的东西。其本身并不是一个结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。

3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。

4、风险管理的目标有四类，其中三类与内部控制相重合，即报告目标、经营目标和遵循性目标。但报告目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。

5、风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中，内涵也有所扩展，例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息

与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。

国内关于内部控制与全面风险管理的定义

（一）目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范（征求意见稿）的通知以及国务院国资委发布的《中央企业全面风险管理指引》中有相关的表述。

财政部关于内部控制规范的《通知》中对内部控制的定义是：是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。

国资委《指引》中关于全面风险管理的定义是：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

（二）、国内关于内部控制和全面风险管理与COSO框架的差异

总体上来说，国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》，但结合国内的实际情况和一些前沿的研究成果，国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。

1、目标纬度：财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展，增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。”另外，其他四个目标也与COSO全面风险管理四个目标在表述上有所差异，使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说，特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。

《企业内控与风险管理》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

2、要素纬度：财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架，同时在内容上体现了风险管理8要素框架的实质；国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素，但通过风险管理基本流程将全面风险管理的一些要素融合到流程中，从实质来说，也体现的是8要素的COSO全面风险管理框架。

国内关于内部控制与全面风险管理运用的一些误区

（一）把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中，我们可以看出它们都被明确为是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。

（二）内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程，两者在内涵上也有一定重合，企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等，确定选择合适的管理体系和建设重点。比如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部控制可能更方便。而在另一些企业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。

（三）内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望，他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。

（四）内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进，与国内企业原有的管理体系和观点存在较多的差异和差距，目前这些理念和方法还更多的处于导入阶段，大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。

浅谈企业内部控制与风险管理2017-05-09 21:01 | #2楼

风险是事件发生的不确定性。企业在经营活动中存在各种各样的风险，在经营效益和风险并存的情况下，企业经营者如何作出正确抉择，这是一个十分复杂的系统工程。首先，风险出现概率有大有小，风险后果有轻有重；其次，风险评估来源于财务数据，这些数据是否可靠；第三，经营效益预测是否合理等。这些都将成为直接影响风险决策后果的重要因素。

除了客观存在的不可控风险外，企业的大部分风险是可控的。企业通过加强内控制度建设，合理规范操作流程，建立一个科学的风险控制体系，强化企业内部监督，可以规避风险或把风险降低到企业可承受的程度。

一、内部控制与风险管理的定义

企业内部控制是由企业董事会、管理层及其员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。它包括五个方面的组成要素：控制

环境、风险评估、控制活动、信息与沟通、监督。内部控制的目的是在合理的范围内保证企业基本目标的实现。

企业风险管理是一个过程，是由企业董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。

风险源于行为和活动。而采取行动和活动必然有预期目标，但是，结果形成于将来,将来具有不确定性，因此风险是客观存在的。任何经营企业所面临的环境，都存在诸多的不确定因素。对于实现企业经营目标来说，国家政策、市场需求等外部环境因素无法改变，但通过对企业内部组织、人员、业务、财务等方面采取一定的控制方法、制定控制措施和程序，同样能达到企业目标的实现。企业内部控制的根本作用就是防范风险，即从人、物与资金、信息等方面控制风险。

二、内部控制与风险管理的内在联系

内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。理论上说,企业内部控制是企业制度的组成部分,其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护企业的财产安全,遵守法律以维护企业的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。技术及市场条件的新进展，推动了内部控制走向风险管理。

企业内部控制是企业风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，内控系统是必要的、高效的和有效的风险管理方法，因此，满足企业内控系统的要求，也是企业风险管理体系应该达到的基本状态。企业的大多数风险是暴露在业务流程中的，通过业务流程梳理与改造可以解决，这时的风险管理解决方案则落实到内部控制上。

企业实际经营过程中，风险管理与内部控制是密不可分的。在规则制定或立法过程中，需要考虑的是范围与管制的强度：范围越大，管制的要求就会越弱。在企业内部的不同层次，风险管理与内部控制的主导性相对次序也可能不同，例如，从企业的战略风险依次到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性应该各有不同。在战略风险方面，风险管理应该发挥主导作用，内部控制起到配合作用。这一角色逐步逆转，到财务报告层次，应该是内部控制发挥主导作用，风险管理起到配合作用。

尽管风险管理与内部控制有内在的联系，但现实中内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较。典型的内部控制是指会计控制、审计活动等，一般局限于财务相关部门。它们的共同点都是低水平、小范围，只局限于少数职能部门，并没有渗透或应用于企业管理过程和整个经营系统，因此，有时看上去风险管理与内部控制还是相互独立的两件事。

随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

三、目前企业面临的主要风险

随着经济全球化的不断发展和我国经济的快速增长，现代企业面临的市场环境更加复杂，面临的各种风险与日俱增。企业风险是无时不在，无处不在的，市场化程度越高，企业风险的表现和影响就越普遍。

从企业风险因素的来源看，可以划分为外部风险和内部风险。企业经营所处的外部环境中存在诸多变动因素，如国家法律、政策变动，市场供求关系变动，竞争对手实力和竞争策略变动，以及突发的天灾人祸等等都可能对企业的行业地位、赢利能力和既定目标产生不利影响，这就构成了企业的外部风险。在企业内部管理中，人、财、物、技术等生产经营要素资源是否足够及得到合理配臵，业务流程、信息系统是否顺畅并达到节约成本、提高效率等既定的管理目标，管理人员的价值取向、岗位职责、激励机制和团队精神是否配合适应企业的发展目标等等，这些内部管理如果无章可循、管理混乱或者存在漏洞，执行力不够或管理不协调都可能构成企业的内部风险。

1、企业采购与付款业务方面涉及的主要风险：原、辅本材料采购价格、采购定价机制与预付款项管理、采购与付款业务的授权审批、供应商管理体系、采购合同管理、物资收货验收环节、大额预付货款支付等。

2、存货管理业务方面涉及的主要风险：材料与生产工具使用、主要金属材料结构、废品损失率、存货出入库管理、存货占用及盘点等。

3、销售与收款业务涉及的主要风险：销售与收款业务的授权审批、销售信用政策、客户信用评价管理体系、销售定价与销售折扣、销售合同管理、在途票据、回款周期及回款率、票据挂账率、应收账款账龄及结构、应收账款对账率、应收账款占用、市场风险、汇率市场变化等。

4、其他方面的风险：资金筹措与使用、对外投资、企业盈利能力、资产的安全和使用、预算的编制与执行、税务筹划、企业治理、研发风险、人力资源管理、信息系统管理等。

四、面对主要风险企业应采取的内控管理

面对企业急需加强风险管理的形势，建立健全内控制度，是企业自身发展的需要，也是企业面对市场风险与挑战的需要。企业只有根据自身的经营状况，从实际需求出发，制定满足管理需要的内部控制制度，并加以严格遵循实施，才能达到控制目标。企业内部控制，控制的主要是：人、物、资金与信息。为防范风险，企业应当在人、物、资金及信息方面重点加强内控管理。

1、完善用人制度，加强人力资源管理

人力资源管理风险是指在人员招聘、留用、辞退过程中，由于缺乏相关制度和流程，或相关制度和流程失效，或人员未严格执行相关制度流程，或人员素质等原因所导致的不确定性对人力资源管理相关目标的影响。人力资源管理的目标包括：提高人力资源素质、优化企业人员结

构、控制人力资源成本等。人力资源管理过程中任何影响上述目标的不确定性事件，构成企业人力资源管理风险。同时，企业关键人才风险的原因部分在于人力资源管理风险，部分在于内外部其它因素的影响，如企业文化、外部的社会环境等企业招聘的人才不符合企业用人需求。

如何充分调动企业人力资源的积极性、主动性、创造性，发挥人力资源的潜能，已成为企业管理的中心任务。人力资源控制应当建立严格的招聘程序，保证应聘人员符合企业招聘要求。企业要定期对员工进行理论或实践知识培训，提高员工业务素质，以保证其更好地完成规定的任务；制定严格的奖惩激励机制，加强对员工业绩考核，充分调动员工工作的积极性和创造性。

2、严格执行财产保全控制，确保企业资产完整，利润最大化企业对物的管理，主要包括存货、能源及固定资产管理。存货管理风险是指因对存货保管、存放不慎，导致资产损坏或缺失，造成企业损失，或是存货在企业资产中所占比例超出企业适当水平所带来的对企业经营目标、现金流安全的影响。存货风险影响现金流安全和利润两个目标。固定资产风险是指在管理过程中，由于缺乏相关制度和流程，或相关制度和流程失效，或人员未严格执行相关制度流程，或人员素质等原因所导致的不确定性对固定资产安全和使用效率产生的影响，如低于市价处臵固定资产，导致国有资产流失等。

有的企业对财产物资的内控管理相当薄弱，制度形同虚设，采购环节职责未按规定严格分离，造成库存物资的毁损、报废、短缺未得到及

时处理，致使潜在亏损增加，经营风险加大。有些企业在日常业务活中，往往不注重能源管理，处处存在跑、冒、滴、漏等现钞，造成浪费，既增加企业成本，又浪费社会能源。

健全内部控制，采取定期盘点、账实核对、记录保护、财产保险、记录监控等措施，确保各种财产的安全完整，杜绝能源浪费，使企业的各项经营活动做到活而有序，减少了不必要的成本费用开支，促进企业的有效经营，以求企业实现更大的盈利目标。

3、严格资金授权批准制度，认真执行企业制定的各项管理制度

内控是经营者和全体员工共同的职责，并不只是财务与审计部门的事情。内控的数据来源于财务，内控的成果也反映在财务，但是，内控工作的内涵和实质，却反映在经营工作的方方面面；同时，企业的内控管理也是集控制环境、风险评估、控制活动、信息与沟通、监控于一体的有机整体。

内部控制制度由若干具体政策、制度和程序所组成，渗透于企业经营活动的各个方面，只要企业内部存在经营活动和管理环节，就有相应的管理办法和控制措施，从而有效地贯彻企业的经营方针，确保经营目标的实现。

企业的采购与付款、销售与收款、存货是围绕企业流动资产进行管理的，资产管理的核心是资金流动。企业应当从采购与付款、销售与收款、存货等主要资金管理方面制定内控制度并严格执行，强化制度的刚性，对执行结果按照企业设定的经济责任制进行严格考核管理；对于资

金使用，企业必须建立授权批准体系，明确各职能部门授权批准范围、权限、程序、责任等，单位内部的各级管理层必须在授权范围内行使相应职权，保证资金安全、合规性；经办人员也必须在授权范围内办理经济业务，保证企业权责分明，科学管理。

4、会计信息及其他管理信息的真实可靠

企业的经营成果是通过各式各样的会计信息或其他管理信息来反映的，有时企业所提供的会计信息或财务报告内容并不能真实反映企业的经营业绩。有的企业由于会计工作秩序混乱、核算不实而造成的信息失真现象较为严重：如设臵账外账、隐瞒或虚报收入和利润；资产不清、债务不实等。造假现象在上市企业中已经屡见不鲜，在其他企业中的现状就更为堪忧。

健全内控制度，可以规范企业各类信息的采集、归类、记录和汇总的过程和行为，确保会计信息资料的真实可靠，如实反映企业经营状况，及时发现和纠正各种错弊，有效控制企业的经营风险。

管理信息系统控制包括两方面的内容，一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展，企业利用计算机从事经营管理的方式、手段越来越普遍。为此必须加强对电子信息系统的控制。另一方面，要运用电子信息技术手段建立控制系统，减少和消除内部人为控制的影响，确保内部控制的有效实施。

5、推行全面预算管理，完善内部审计

全面预算是企业财务管理的重要组成部分，它是为达到企业既定目

标编制的经营、资本、财务等年度收支总体计划，包括筹资、融资、采购、生产、销售、投资、管理等经营活动的全过程。企业要以营业收入、成本费用、现金流量为重点推行全面预算管理，并严格执行，从深度、广度、细微程度上进行全面排查，认真寻找降低成本、降低费用开支的关键控制点，制定改进目标和实施方案，并对预算结果及时进行科学分析，对产生的差异进行有效控制。

为满足企业内部管理的时效性和针对性，企业应当建立内部管理报告体系，借助管理会计手段，如实反映经营状况，及时披露相关重要信息。内部审计控制是内部控制的一种特殊形式，这是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构，在某种意义上讲是对其他内部控制的再控制。内部审计在企业应保持相对独立性，应独立于其他经营管理部门，但我国企业内部审计的独立地位还不足够，权威性还不高，内部审计参与风险管理的范围和作用还存在一定局限。只有大大提高内部审计人员参与企业风险管理的专业素质，内部审计的特有优势才能充分发挥。

由于内审部门负责审查各项内部控制制度的执行情况，并将审查结果向企业董事会或最高管理当局报告，因此，内部审计工作越仔细，内部控制制度越健全，越能增强内部控制工作的效率与可靠性。

企业内部控制是由企业各个层级人员共同实施的，从管理决策层、到各个业务分部、职能部门、直到每一位员工都对实施内部控制负有责任。企业管理风险是不确定的，因此，内部控制也是动态的。它是一个

不断发展、变化、完善的过程，持续地流动于单位之中，并随着单位经营管理的新情况、新要求适时改进。

【企业内控与风险管理】相关文章：