企业内部控制与风险管理关系

1、企 业 内 部 控 制 与 风 险 管 理内部控制与企业风险管理之间的联系是十分紧密的。 内部控制的 实质是风险控制，风险管理是内部控制的主要内容， 企业风险管理包 容内部控制。但两者之间的关系并不是简单的相互关系， 两者之间存 在着相互依存的、不可分离的内在联系。目录1背景分析2问题与误区3管理要点背景分析编辑内部控制与风险管理的关系/内部控制与企业风险管理之间的联系是十分紧密的。内部控制的实质是风险控制，风险包含内部风险和外部风险，对内部风险的控制 即内部控制，从这一概念来说，风险管理是内部控制的重要内容，企 业风险管理包含内部控制，但两者之间的关系并不是简单的相互关 系，两者之间存在着相

2、互依存的、不可分离的内在联系。主要表现在:1.1 组成部分重合内部控制与风险管理的组成要素中，其中控制环境、风险评估、 控制活动、信息与沟通以及监督这五个要素是重合的。1.2 最终目标相同内部控制与风险管理的目标都包括：经营目标、合规性目标、报 告目标。1.3 参与主体相同内部控制与风险管理都是全员参与的过程， 最终责任人都是管理 者，且两者的实施主体、过程也是一致的。1.4 风险防范是内部控制的一个重要目标，有了风险防范的目标， 内部控制才显得十分重要，具也才有发挥作用的广大空间。1.5 风险包含内部风险和外部风险，内部风险存在于企业的各个 生产经营活动环节；内部控制其实是一种管理规范，其建

3、立过程控制 体系，并描述关键控制点，通过流程的形式直接直观的描述企业生产 经营业务过程。内部控制的执行过程正好为风险信息的收集带来了极 大的便利。所以，内部控制是风险管理的重要的手段之一。1.6 内部控制的一个基本作用是控制风险；风险管理是指在企业 生产经营过程中，对企业可能面临的风险进行识别、评估和控制，最 终目标也是控制风险。总而言之，风险管理是内部控制的发展，风险管理拓展了内部控 制内涵，内部控制发展成了以风险为导向的内部控制。因此，我们将 内部控制与风险管理一体化，将他们作为一个整体进行理解与处理。1问题与误区编辑内部控制和风险管理建设中的误区或问题我国参照利用美国 COSO的内部控制

4、和风险管理框架并结合 具体国情，制定了一系列内部控制和风险管理制度及规范，）为企业内 部控制和风险管理提供了行动指南， 但在理论认识和实际操作中，还 有不少问题值得我们思考。1.1 把内部控制和风险管理体系建设简单地理解为立章建制实际上，内部控制和风险管理并不仅仅是一种规章制度， 如文件 法规、技术规范和应用模型等，也不是额外单独的控制活动，如信息 交流、评审监督和风险评估等，所以不能把内部控制和风险管理看作 一种静态的东西，而应把它们内置于企业的日常管理活动之中，形成一种常规的管理和运行机制。可以说，内部控制和风险管理既是一种 制度安排、也是一种管理过程，更是一种自律行为。1.2 认为内部控

5、制和风险管理是相互独立的虽然内部控制和风险管理的内涵有很多重合之处， 如要素很多相 同、方法很多相似，但内部控制和风险管理的具体运用需要根据企业 自身的特点、发展阶段、行业特性、技术条件、外部环境等要求来执 行。比如，某企业生产医疗设备或药品，因为涉及到人的生命健康问 题，而且政府管制非常严格，风险管理的迫切性相对较强，此时企业 以风险管理来主导内部控制比较合适；如果某企业是为了使自己的财 务报告及信息披露合法，此时企业当然以内部控制为主导、同时兼顾 风险管理更为合理。1.3 过分夸大了内部控制和风险管理的作用不管是内部控制还是风险管理，它们都是企业的管理活动，无论 它们的方法多么先进、系统多

6、么完善，都只能为企业向目标迈进提供 相对合理而非绝对的保证。尤其当企业的品性、信仰、能力、责任等 出现缺失时，决不能把企业的成功寄望于内部控制和风险管理上。1.4 理论与实际脱节风险管理理念是从西方国家引进的，与我国传统的理论观点和制 度建设存在很多差异或差距，使得企业管理人员很难把这些概念和框 架融入到日常的管理活动之中，语言和行为之间很难建立直接的联 系，只有理论说教，缺少实际行动。1.5 制度执行不力制度的关键在于执行，没有执行或执行力度不够，再先进的制度 也不起作用。影响内部控制和风险管理执行力度的因素很多，其中, 企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置 不当是主

7、要因素；制度本身的局限性及制度与制度之间的不协调性也 给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而 不是“人”，是一种“非人格”的控制机制，其控制对象不限于受控 方，施控方也是内部控制的控制对象。内部控制需要全员参与、平行 参与和平等参与，这与我国传统的等级制、科层制是大不相同的。管理要点编辑构建风险管理下的内部控制体系的要点3.1 营造良好的内部控制环境内部控制环境是内部控制实施的根本环境， 是推动企业发展的动 力，也是其他风险管理因素实施的基础， 其对企业内部控制的构建与 实施具有重大的影响，可以说企业的控制环境直接决定了其内部控制 与风险管理的效率和效果。(1)深化对内部

8、控制的理解，树立风险管理理念。深化对内部 控制的理解，首先应突破对传统的内部控制的理解， 应认识内部控制 不仅局限于会计层面，内部控制包含更高层次的战略目标， 在电力设 计企业向多元化经营、总承包和海外项目转型发展的过程中， 就要从 战略高度进行风险管理和内部控制。再者，无论是企业的管理层，还 是企业的员工都应具有风险管理意识，并把风险管理意识贯穿于企业 的生产经营过程中，包括业务管理、职能管理、质量与安全管理等各方面。风险管理理念的培养可以通过企业领导层的表率作用、相关的 培训及相关的规章制度来实现。(2)建立公司治理结构并充分发挥各机构职责。企业各层级各 部门之间应分工明确，并相互监督、相

9、互牵制。公司可以通过公司章 程的规定及完善相关的激励约束机制来保障公司机构职责的实现。非常重要的一点是，电力设计企业的最高管理机构，要对内部控制的建 立和实施负责。企业应下设内控控制与风险管理的建设、监督管理机 构，各机构分别负责各方面的工作，并相互监督、相互制约。5.1 完善法人治理结构，为全面风险管理的内控体系建设创造一 个良好的内部控制环境。建立一个健全的内部控制体系，实际上就是 完善法人治理结构的体现，大多数电力设计企业设立了内部审计机 构，但多数内部审计机构隶属于财务总监或总经理领导，因此将电力设计企业的内部审计机构升级为公司董事会审计委员的组成部分或 工作部门，这样将进一步明确内部

10、审计机构在电力设计企业内部控制 方面的主体地位。(3)培养员工的职业道德和胜任能力。企业员工是企业生产经 营活动的执行者，员工良好的职业道德可以保证企业经营活动的顺利 进行，可以避免舞弊事件的发生。员工的知识和技能必须与所在岗位 所需能力相匹配，这是经营活动和内部控制活动得以有效运行的基本 保障。为此，企业应以诚信等职业道德作为员工的行为准则，建立奖 惩机制，加强员工的再教育，对关键岗位实行定期轮岗制。5.2 设定企业战略目标企业应根据企业的使命或愿景来设定企业的战略目标， 战略目标 是企业的最高目标，其他目标为战略目标服务。企业根据战略目标再 层层分解，并由各部门来落实。战略目标的制定应考虑

11、企业的风险容 量，企业实现战略目标所面临的风险应在企业风险容量之内。5.3 完善风险管理体系企业应建立风险导向型内部控制体系，只有把风险管理落实到企 业的各个环节，才能控制风险。完善企业风险管理体系，应关注一下 几点：第一，建立风险预警机制。企业应通过目标分析、过程分析等方 法来识别影响企业目标实现的内部及外部的潜在事项， 分清潜在事项 是机会还是风险，明确风险预警标准。风险预警机制的建立对企业及 时抓住发展机会，及时评估、处理风险具有重大意义。第二，建立风险评估体系。企业应对已识别的风险进行进一步的 分析与评估，分析潜在风险是固有风险还是剩余风险， 分析风险发生 的可能性及其影响，并关注重大

12、风险。评估现有的内部控制对风险的 适用性，是否需要追加程序等。在评估风险时应注意运用风险组合观。第三，建立风险反应机制。风险应对是控制风险的关键步骤，在 风险评估后，企业应针对风险发生的可能性、影响的不同程度，采取 不同的应对措施，其中应特别关注重大风险。风险应对措施包括回避、降低、承担和分担风险。同时，在风险应对中要考虑成本与效率的问 题。5.4 建立良好的控制活动企业应建立良好的控制活动以确保管理层应对风险的各种措施 得以有效执行，控制活动贯穿于企业各个部门，各个层面及其活动。 控制活动应该包括：对员工绩效的分析与考核，部门的自我复核，对 信息处理的控制（包括一般控制和应用控制），实物资产

13、的控制，责 任划分与不相容职位相分离控制。5.5 充分的信息与沟通在经营过程中，企业应建立信息的传递和沟通以确保员工了解内 部控制，明确自己的职责。同时通过对外部市场信息、政策信息、顾 客信息、竞争对手信息的了解和掌握，通过与各方的沟通，有利于企 业及时处理风险、抓住机会，实现更好的发展。企业可以通过员工手 册及建立信息收集与处理系统来实现。5.6 建立内部控制监督与评价机制对内部控制的监督与评价是确保内部控制制度得到有效执行的 重要手段，同时有利于企业管理层及时了解内部控制存在的问题，可以为内部控制的改进提供建议，有利于内部控制体系的不断完善， 进 而帮助企业控制各种风险。内部控制监督与评价

14、机制的建立主要包括 内部和外部两个方面：第一，企业应建立独立、权威的内部审计机构。内部审计机构的 设置应与其他职能部门分离开来。内部审计机构应具有执行审计决定 和审计结论的权利，可以建立具有较强独立性与权威性的董事会领导 型或监事会领导型的内部审计机构。内部审计不应只局限于财务报表 审计，应对企业资格内部控制系统进行全面的监督和评价， 包括对企 业财务信息、经营活动、控制活动进行审计及评价。同时应提高内部 审计人员的职业道德和业务素质， 及形成不同职务之间相互检查、 监 督的机制。第二，提高外部监督与评价。由于内部审计主要对企业领导负责， 所以内部审计具有固有局限性，可能会导致一些控制缺陷在权

15、力干预 下被掩盖，不利于企业内部控制的改善。所以通常需要独立的第三方 参与企业的监督与评价，以实现监督的职能。首先，应完善内部控制 信息披露制度，使企业接受政府、社会的广泛监督。再者，可以借助 第三方审计力量，最常见的就是定期聘请注册会计师对企业内部控制 设计及执行情况进行审计及评价，并出具评审报告。这也有利于监督 企业内部控制的构建与实施，也有利于及时发现企业内部控制中存在 的问题。(2)风险评估中石化根据企业的发展目标，由各部门收集全面的信息来确定企 业的风险容量，并根据企业可能面临的内部风险和外部风险建立以内 部控制为基础的风险评估和控制体系， 对企业目标的实现有重大影响的关键环节进行全

16、面的风险评估。针对各部门面临的风险和责任制定 内部控制流程。中石化根据内部审计结果及在管理过程中发现的问 题，不断对内控手册进行修订，各分（子）公司也不断修订实施 细则。动态的风险评估与应对为企业实现目标提供保障。（3）控制活动中石化的控制措施有：不相容职务分离控制、授权审批控制（以 授权指引为核心）、会计系统控制（建立了统一的财务管理信息系统 卜 资金支付控制、财产保护控制、信息技术控制（采用先进的ERP管理信息系统控制）、计划控制、预算控制（全面预算控制）、合同管理 控制、运营分析控制和科学的绩效考核控制等。 并将手工控制与自动 控制相结合，将预防性控制与事中发现控制结合，建立了重大风险预

17、 警机制和突发事件应急处理机制。通过业务控制矩阵明确每个控制点 的业务目标、风险、责任单位、不相容岗位、记录文档等，为内部控 制责任的落实提供指导。对风险的描述就体现了全面风险管理的内部 控制的要求。中石化的内控手册保障了内部控制活动的进行，内控手册 包含了采购、资产、信息管理、内部审计等18大类，59个业务流程， 包含了企业经营管理活动的各个方面。（4）信息与沟通中石化采用先进的ERP管理信息系统，会计核算系统、资金集 中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系 统，并实行财务信息系统集中管理。该系统让各业务部门人员的业务 操作都统一在ERP系统上进行，企业录入业务数据后，

18、生产、销售 各环节即按相应的业务流程生成相关信息，并传送到公司总部数据库 进行监控和分析。中石化制定了相关的管理办法和业务流程， 从一般 控制、应用控制等方面对信息系统进行规范和控制。 企业不断完善信 息搜集机制，完善信息沟通平台，内控手册也有相应的规定来保 障企业部门之间、部门与各分或子公司之间及管理层与外界之间的沟 通顺畅。中石油按照相关法规的规定定期对外披露信息，对外信息披 露由董事会和总裁办公室审核。(5)内部监督中石化设立了审计委员会负责对财务报告和内部控制的审查，由审计部定期独立审查分公司和子公司。 企业建立了两极内部控制日常 监督机制，两极评价指的是总部综合检查和分公司、 子公司

19、自查测试。 总部综合检查主要是内控领导小组负责的年度综合检查和审计部对 不少于25家分(子)公司进行独立检查，及对总部进行检查。分公 司、子公司自查测试工作主要是企业通过部门流程测试和有审计参与 的综合检查评价进行自查测试，及总部部门自查和抽查评价。除日常 监督外，中石化还建立了针对内部控制一些重大方面的监督检查。止匕外，中石化制定了中石化监督制度汇编，完善了企业的反 舞弊制度。通过制定内控控制执行情况指标对内部控制进行考核。 每年定期对内部控制的设计及执行情况进行评价， 出具内部控制自我评价报告，并向外披露，接受外界的广泛监督，并聘请外部注册会计师 对财务报告内部控制进行审计。4.4 中石化内部控制的评价中石化制定内控检查评价与考核办法及指引来指导企业内部 控制的评价。并根据内控手册，检查内部控制设计是否健全；据 内控手册所适用的内容及范围，检查内部控制执行的符合性和有 效性。中石化主要以内部控制缺陷认定和量化评分的方式