《风险管理视角下企业内部控制研究》10000字

风险管理视角下企业内部控制研究摘要 4关键字 4一、概述 51.风险管理的定义 52.内部控制的定义 53.风险管理与内部控制的关系 5二、风险管理视角下企业内部控制现状 61.上市公司内部控制情况 62.上市公司内部控制质量情况 7三、当前企业内部控制体系建立和实施中的问题 81.内部环境建设不健全 82.控制活动未完全执行 93.忽视风险评估的重要性 104.信息与沟通渠道不完善 105.缺乏严格的监督机制 11五、建立完善的内部控制制度，防范企业经营风险 121.完善组织机构建设，培育优良企业文化 122.充分发挥控制活动作用 123.提升风险管理参与意识，健全风险管理机制 134.健全信息传递机制 145.建立有效的监督机制 14六、结语 14参考文献 15摘要：随着经济技术的不断发展，市场环境的不断复杂化，企业经营压力不断提高。为了保证企业发展，企业必须不断解决问题，提高自身管理水平。但现目前企业管理上普遍存在内部控制管理不足，风险管理意识匮乏等问题，内部控制漏洞颇多。内部控制其主要目的就是帮助企业顺利经营，最终达到帮助企业提高营业能力，经营水平。因此，内部控制的建设及管理是企业内部管理工作的重要环节及关键操作，内部控制随企业发展不断适应并不断更新升级是企业发展的必然。现在主流的内部控制管理思想是在风险管理视角下的内部控制，对风险管理视角下企业内部控制研究可以有效帮助企业迅速建立起适合的流程制度。本文将对企业内部控制出现的问题进行探讨，并提供解决对策，以期促进企业健康发展。关键字：风险管理；内部控制；风险控制；一、概述1.风险管理的定义根据COSO委员会在2017年发布的最新风险管理定义可知，风险管理就是，使企业组织在自身发展的同时，是创造价值，落实价值的进程中，企业根据战略目标及社会环境，对风险进行管理的现实操作。对于国企，央企而言，其风险管理是根据《中央企业全面风险管理指引》来要求的，其对风险及风险管理的定义大意是：企业根据经营战略及经营目标，通过企业经营管理的全方面环节来进行风险管理，通过实践培育企业良好的公司文化，从而建立全面的风险管理体系。具体包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。2.内部控制的定义COSO委员会中对内部控制的定义为：是一个由主体（一般指公司）的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的过程。COSO框架采用了5个要素即控制环境、风险评估、控制活动、信息与沟通和监督活动。我国《企业内部控制基本规范》对内部控制的定义：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。可以看出，无论是COSO还是我国对于企业内部控制的定义，内部控制需要全员参与，内部控制还需要贯穿于企业建设的方方面面当中。3.风险管理与内部控制的关系对于风险管理和内部控制的关系，最新的COSO发布的内部控制框架更新版文件附录中提出，企业风险管理是企业治理中的组成部分，企业内部控制是企业风险管理中的组成部分。COSO中关于有效的内部控制目标描述中写道：将影响目标实现的风险降低至可接受的水平。说明有效的内部控制是为了降低风险到可以接受的水平，以增大实现企业运营、报告和合规目标的实现。这句话表明了以风险为导向的内部控制，也明确了内部控制是风险管理的一部分，或者说内部控制是风险管理中风险控制的一种手段，这表明了风险管理与内部控制之间的关系。而这个降低至可接受水平就是风险管理过程。二、风险管理视角下企业内部控制现状为了指导国内企业进行全面地风险管理，提高企业经营管理水平，促进企业稳中向好地发展，2006年国务院印发《中央企业全面风险管理指引》。在2008年财政部、审计署等五部委共同制定了《企业内部控制基本规范》（以下简称《规范》），《规范》全面适用各类型公司，包括上市与非上市公司的内部控制管理。这表明了我国是在风险管理的基础上，才有了系统规范的内部控制指引的规范。截止到目前，规范的内部控制活动已经在我国运行多年，对国内企业的内部管理水平提高起了极大的作用。但在内部控制发展的过程中，也暴露出了许多问题。表现最突出的就是对风险管理不够重视，尤其体现在内部控制建设上，只关注经营管理，忽视风险控制，导致许多公司存在内部控制缺陷。在复杂多变的内外部环境，尤其是现在面临经济发展新常态及新冠肺炎疫情的影响，企业所面临地营业风险与以往地时代所不同。但我国多数企业仍停留在老思想里，仍未意识到全面风险管理的时代已来临，全面风险管理的重要性尚未被意识到，导致了诸多企业全面风险管理意识淡薄。有学者，依据内部控制理论的发展演进历程，采用邮寄调查函和实地调查等方法，对我国部分企业内部控制的构建现状进行了探析，通过对15家国有独资企业、24家股份有限公司和43家有限责任公司，总计82份有效调查问卷进行系统的统计与研究，最终得出我国企业内部控制体系的构建参差不齐，总体处于较低的发展水平这一结论。1.上市公司内部控制情况根据2020年迪博调查数据显示，存在有510家上市公司披露了内部控制缺陷报告，内部控制缺陷公司共占比披露内部控制报告公司的14.74%。在这510家企业中，存在有内部控制重大缺陷的公司139家，存在内部控制重要缺陷的公司有38家，存在内部控制一般缺陷的公司有360家。迪博根据调查搜集的数据，在这510家上市公司里，内控缺陷共披露4291项，重大缺陷，重要缺陷，一般缺陷分别是325项，57项，3909项，具体如表1所示。缺陷类型内部控制缺陷公司情况内部控制缺陷数量情况公司数量占披露内部控制评价报告公司数量的比例缺陷数量占缺陷总数的比例重大缺陷1393.82%3257.57%重要缺陷381.04%571.33%一般缺陷3609．88%390991.10%小计51014.74%4291100.00%表1上市公司2020年内部控制缺陷披露情况数据来源：迪博数据资讯根据2019年公开数据显示，共有2827家上市公司（占全部上市公司的74.51%）聘请会计师事务所对内部控制有效性进行了审计。其中，出具标准意见的公司有2677家，共占比94.69%，被事务所出具非标准意见的公司有150家，共占比5.31%，具体来说，被出具带强调事项段的无保留意见的公司有47家，占比1.66%；被出具保留意见的公司有6家，占比0.21%；被出具无法表示意见的公司有4家，占比0.14%；被出具否定意见的公司有93家，占比3.29%。如表2所示意见类型标准无保留非标准无保留保留意见无法表示意见数量267715064占比94.69%5.31%0.21%0.14%表2内部控制披露情况2.上市公司内部控制质量情况1.上市公司内部控制评级概况根据迪博数据分析，按照四级的分类标准，2020年上市公司内部控制评级为A及以上的公司共44家，占比1.24%；评级为B的公司2679家，占比75.36%；评级为C的公司555家，占比15.61%；评级为D的公司272家，占比7.65%。可以很容易的看出评价质量等级为B的占比超过了所有统计公司的3/4，其次是评级为C公司数量占比排第二，评级为D的排第三，最后是评级为A的。因此内部控制评价质量整体有待加强，优秀的公司太少。如图1所示。评级ABCD数量442679555272占比1.23%75.36%15.61%7.65%表12020年中国上市公司内部控制评级总体情况数据来源：迪博数据资讯三、当前企业内部控制体系建立和实施中的问题1.内部环境建设不健全内部环境是内部控制体系的组成部分，企业进行内部控制的建设与管理，最基础的就是对内部环境进行建设，内部环境的企业实施内部控制的基础，同时也是企业在内部控制管理过程中的保障。内部环境的好坏能直接影响到内部控制，也直接关系到内部控制的自我纠错，自我纠偏的功能。正因此，内部环境要素能够为其他管理要素提供建设和管理基础。其中内部环境主要存在如下的问题：企业的组织机构设置无法保证建立健全的内部环境。对于上市公司而言，其组织体系建设一般是按照股东大会，董事会，经理层（管理层）来安排，但是具体的内部部门的建设国家并未有明确的条文规定，这也就使得一部分企业在开展日常经营工作时，起了歹心，给他们的违法违规行为提供了可钻的空子，提供了便利。例如，在经理层下，审计部门建立与否，是否跟合规性部门一起建设，与财务部门的关系如何，审计部门业务上归谁领导，行政上归谁领导，审计部门能否保证独立性等问题，均是各个公司自主安排。在非上市公司或者是小型上市公司，公司治理结构建设缺失非常严重。甚至存在有部分公司在公司上层的治理结构就有缺漏，还有一些公司没有达到基本的内部环境要素。与此同时，还普遍存在有一部分公司按照国家法律规定建立了要求的公司治理管理结构，但是在实际的经营管理中，完全绕开了公司内部机制，使得公司内部管理机制成为了应付法律的工具，完全使得公司治理机制变成摆设。这一类型的企业多为家族式企业或者是关联企业，这种企业最为突出的一面就是内部人现象极为普遍。董事会的作用变得尴尬，甚至成为争权夺利的舞台，监事会形同虚设，股东大会变成了妥协的机制，完全没有起到治理层，管理层机制应有的作用。现目前，内部控制出问题的大多数公司，其管理层均存在有在公司风险承担能力上，极为薄弱。其无法保证公司组织结构有能力来承担风险，没有通过适当的权责分配建立可追究责任的管理控制体系。在国内，公司内部管理不是过严就是过松，主要原因在于管理层的管理风格以及普通员工，在我国，难以建立制度是一方面，制度建立了如何遵守又是另一方面。管理层建立了制度，是否会带头遵守制度，是否会因为某种原因破坏该制度均是管控机制失调的症结所在。由于管理层对企业内部控制体系的建立及完善承担着最为主要的责任，对管理层而言，如何建立有效的管理制度是其需要思考的问题，也正因此，管理层的管理理念也是造成管控质量，风险控制质量的重要因素。对于家族式企业而言，内部风气较为腐败是典型特征，主要就是公司高层基本沾亲带故，对于一些亲戚的错误，大多是“大事化小，小事化了”地过了。对于管理层流动性较强地企业而言，所选取的管理层的个人道德水平至关重要。如果管理层，尤其是关键管理者的私德败坏，丧失职业道德，以权谋私的现象突出的话，则更会导致内部管控机制失控。综上所述，我国企业内部管理控制，尚缺少一套行之有效地，普适性强地内部管控机制，使得公司内部控制能最大限度地排除人为因素干扰公司运行2.控制活动未完全执行从前面的内部控制现状分析可以得知，企业的内部控制质量整体低下，还有很大的提升空间。在新经济的市场局势下，已经有部分企业认识到全面风险管控的重要性，企业内部环节的风险控制多体现在内部控制活动的设置，企业控制活动的水平，尤其体现在预算管理上，但是，全面预算控制活动基本上可以说是企业内部控制活动中最为薄弱的部分。通过预算管理可以及时将实际执行与预算比较，及时发现偏差并调整，以便对企业经营情况进行实时监控。而当前较多企业未能充分发挥全面预算控制的作用，主要由于以下几个方面的原因：eq\o\ac(○,1)企业经营目标设置不合理，目标过高，导致无论如何努力也无法达成目标；eq\o\ac(○,2)全面预算管理缺乏强有力的组织保障。一些企业虽然也按照全面预算管理的要求设置了预算管理体系，但存在企业高层只挂名而不实际参与的情况；eq\o\ac(○,3)企业各部门之间缺乏沟通，广大基层员工未能真正参加到预算管理中来，使全面预算管理流于形式，不能发挥其应有的作用。总之，现目前的预算活动的问题体现在预算执行过程缺乏监督，不能及时纠正预算偏差；预算管理流于表面，没有做到全流程的预算管理；在预算出问题以后，没有及时对失控的原因进行分析；对全面预算管理仅停留在财务预算管理活动上，对于包括生产，销售循环的预算管理，远没有认识到其重要性。另外企业未编制预算或预算编制不健全，导致企业控制过程无章可循，缺乏控制标准；同时，绩效考评控制也是当前控制活动出现问题的重点之一。绩效考评控制主要的问题有：eq\o\ac(○,1)内部控制工作与绩效管理工作融合度不高，eq\o\ac(○,2)绩效管理编制中的指标设置不合理、不完善、或者是不适用于企业的考核。绩效评价指标模糊、评价方法单一会导致绩效评价与内部控制不匹配，绩效管理中的风险控制尚未与内部控制相结合，使风险控制难以充分发挥应有的作用，内部控制和绩效管理衔接不到位，内部控制就容易失灵。在内部控制绩效管理过程中，单纯就绩效谈绩效，就绩效抓绩效，不仅造成绩效管理与内部控制实际严重脱节，与内控部门重点工作部署脱节。3.忽视风险评估的重要性在市场经济体系中，内外部风险是企业必然会经历并面对的，内外部风险对企业的正常经营管理活动究竟有多大的影响，作用在企业的哪一方面，是需要加以评估的，对影响较大的风险，是需要加以应对来控制的。风险评估是企业及时识别、系统分析经营活动与实现内部控制目标相关的风险，合理确定风险应策略。而风险评估流程中主要存在以下问题：eq\o\ac(○,1)公司没有建立合适的战略目标、企业的内部控制规划与计划，无法通过管理与控制措施，保证目标的实现。eq\o\ac(○,2)公司没有建立风险识别：对内部与外部风险因素进行预期与识别，更不用无法对识别的风险因素采取适当的应对措施。eq\o\ac(○,3)公司在法律事务的管理方面没有体现出风险防范的意识，无法保证法律和法规的遵循，导致公司出现法律漏洞。综上所述，对风险的考虑应是公司应该要考虑到的，但是现实证明，公司企业普遍存在有在日常的经济管理活动中忽视风险的现象。但当风险真的降临的时候，公司企业对风险缺乏应对能力，最后遭受损失。然后周而复始，始终在忽视风险和承受风险带来的损失的恶性循环中不断循环。这表明，现目前的大部分中国企业在风险管理中没有拥有风险评估的意识，缺乏系统的全局观和战略思维，对风险的事前和事后控制都比较迟钝。甚至存在有这种企业，认为只有在生命周期中处于衰败期的企业才需要进行风险管理，对于处在萌芽期和成长期的企业来说，是没有必要进行风险管理的。这也导致了企业在面对风险时，缺乏风险评估的应急机制识别与化解，未意识到随着公司的逐渐发展，其规模也在不断壮大，市场所带来的风险更是需要评估。组织不能只看到商业运作带来的各种运营优势，而无视风险评估，反而应该重视企业的风险评估。4.信息与沟通渠道不完善信息沟通是内部控制五要素之一，信息与沟通存在的意义就在于促使内部沟通，使得企业内部信息能够最大限度地流通，消除内部信息不对称。企业内部信息传递机制失效，可能导致几方面的问题：eq\o\ac(○,1)管理层可能无法获得适当和必要的信息，eq\o\ac(○,2)信息披露相关的工作人员无法有效地履行工作职责；eq\o\ac(○,3)信息与沟通相关的系统是不可靠的，员工发现了问题，如果不能及时的上报，管理层就不能及时应对风险。企业的信息交流是企业内部流转的一部分，拥有决策意义上的价值，是内部控制的重要组成部分。但是，我国企业目前广泛存在信息不对称与信息隔离现象，在我国公司企业的内部信息交流不广泛，各个部门信息敝帚自珍。在各自的领域里，在关乎经营的方向上，比如存货信息，采购信息，销售信息等就是三个部门自己管自己的，全然没有信息的交流与沟通，这样制订出的采购计划，销售计划就可能存在很大的问题。问题的出现与各部门仅关注自身利益、管理层忽视信息与沟通环境建设工作、未能明确定位内部控制体系的作用和地位有关。也正因此，企业想要有效地内部信息流转，就必须建设行之有效的内部信息流转机制，也就是信息沟通系统。其优势在于：其一，可以使企业内外部信息能够沟通，分子公司信息能够与母公司，总公司信息结合，在制定战略目标与政策时能够考虑到全方面信息。其二，可以充分了解到公司经营所需的各类信息，在这个方面，，包括相关政策、客户及市场中的竞争对手以及其他利益相关者的信息，并能够及时准确地传递给公司治理机构。5.缺乏严格的监督机制内部监督是对其存在的要素和功能进行的持续性或定期性评估，是通过一系列的监督活动实施的。我国企业控制活动中很大的一个薄弱环节就是监督机制不够健全、制度建设好了但可能没有人去考核、去监督，而只是搞形式、走过场内部监督中主要存在的问题是：eq\o\ac(○,1)企业的生产经营情况不能得到持续的监控；eq\o\ac(○,2)对于发现的内部控制缺陷缺少报告与改正措施；eq\o\ac(○,3)缺乏可行性的内部控制监督机制。内部控制的内部监督对于发现的内部控制缺陷以及改正措施，缺少执行的行动力，更不用说持续监督发挥作用了。内部监督也可以说是内部约束，约束感的缺乏会使人逐渐放松，同样监督也是如此，如果放松了监督力度，没有完善监督的建设，内部监督的问题就会滋生。另外上市公司的内部控制受到证券监督管理委员会的管理指导，证监会所对上市公司内部控制有着监管权力。虽然证监会一再要求企业做好内部控制管理工作，并且有着处罚措施。但是随着近年中国证券监督管理委员会公开的处罚结果来看，处罚力度较小。违法成本低是上市公司信息造假的根本原因，对于内部控制管理也是一样，证监会通常是对公司进行罚款，对相关责任人进行罚款或禁止入场，并没有追究其内部控制管理缺陷的责任，很难起到威慑上市公司的作用，更不用说督促其建设好内部控制，最后才能解决内部控制建立中所遇到的种种问题。五、建立完善的内部控制制度，防范企业经营风险1.完善组织机构建设，培育优良企业文化企业内部管理问题，归根结底是人的问题，但是解决人的问题，是需要依靠组织机构的约束。公司的治理结构是内部控制环境的重要组成部分，同时也是公司组织经营管理的基础性条件，一个好的组织架构可以在多方面促进企业战略目标的实现。就企业内部控制环境而言，通常来说是需要制衡有效地内部控制机制，一般地，由股东（大）会，董事会，监事会，构成公司最上层机构，董事会再下设审计委员会，风险管理委员会，薪酬提名委员会，总裁室或者叫经理层等各个类型的机构。在内部，组织架构设置应该存在有纠正纠偏的机制，可以专门设置项目组，来调整不合理的内部组织机制。项目组成员应该是类似内部审计一样，具有相对的独立性，是独立的存在与企业集团内部。领导小组负责内部控制从战略制定到风险评估到风险应对再到沟通与监督的全过程。企业集团内部控制框架构建首要任务便是成立专门的组织。个人除了需要组织制度上的约束，还需要思想上的指导，也正因此，企业应当加强文化建设，培育积极向上的企业文化，强调企业经营中守法经营、资产安全、信息完整的重要性，企业在完成这些目标时，内部控制制度发挥的重要作用。首先，企业应当加强员工教育和培训，使得员工了解内部控制执行中的关键控制点；其次，树立榜样，抓住典范，给员工找到可以学习的模板，另外企业经理层应当以身作则，首先就要遵守内部的各类规章制度，杜绝私下交易行为，发挥治理层，管理层的领导带头作用。2.充分发挥控制活动作用控制活动必须仅仅根据企业内外部环境的变化及内部自身建设来规划，不能想当然，要建设优秀的内部控制体系，就必须关注控制活动是否发挥出了应有的作用。（1）严格的授权审批制度，对各种具体活动与工作的开展进行授管理，保证企业的各项交易在管理层的授权范围内开展，避免各种不规范行为的发生。（2）信息系统建设，在新的技术背景下企业进行正常的生产经营管理，必然离不开信息技术，但是信息技术在节约人力物力成本的同时，也带来了一定的经营风险，如何在信息系统建设的关键控制节点上，对信息系统进行有效地控制是关键。则必须要求对信息系统账号权限，账号审批等方面进行沿河科学的设置。管理人员应该对信息技术的应用制定严格的规范，提升信息处理能力，使企业员工的信息化操作水平不断提升。（3）不相容职务相分离的制度，科学划分各相关岗位的职位，职责，避免私相授受，从而来减轻甚至消除内部勾结，从而来达到防范内部舞弊的目的。3.提升风险管理参与意识，健全风险管理机制（1）树立全公司参与的意识，风险控制不是某一个人，某一个机构的事情，而应该是全组织的每一个人的共同工作，是全成员在工作的任何阶段任何时候都要关注关心的事情。只有通过全面的促使广大员工参与进风险管理的进程中区，风险管理才是有效的，也才可能起作用。只有在对内部的各个环节都进行风险管控，使得公司内部政策发挥作用。例如可以建立财务风险责任制度，加强企业的财务风险管理，提高财务人员的风险意识，让管理层加入内控措施的制定的过程中来，让其意识到风险管理与内部控制建立的不易，使其更加地重视对内控制度的维护，认真做好财务管理工作中的每一个细节，将风险降到最低，保证监督的效果。具体可从确定风险目标、识别风险、评估风险、应对风险四方面入手。在确定风险目标过程中，明确的目标可为风险控制提供指引。在识别风险的过程中，企业需快速识别影响自身发展目标实现的风险。在评估风险的过程中，需结合识别出的风险因素，采用定量与定性结合的分析方法，以此对核心业务活动开展重点分析和论证，书面记录工作也需要严格开展；在应对风险的过程中，应结合风险因素和风险成因，以及企业风险承受能力和销售业务适应性，针对性地制定用于应对风险的策略，如风险分担、风险承担、风险规避、风险降低。最后，将实施风险管理纳入员工效考核体系，从制度层激励员工转变对待风险的态度。争取在企业内营造全员参与风险管理的氛围。4.健全信息传递机制信息搜集而来，应该是需要对其进行合理的整合，发挥信息的价值。也因此，就必须要建立合理有效地信息管理机制。（1）充分了解信息传递机制，不管是什么类型的企业首先都必须要对自身企业内信息的传递机制有所了解，第一步是梳理自身的经营活动的基本流程和规章制度，了解基本的管理流程。第二步是根据梳理的流程，发现流程中不合理的部分，提出内部流程中不合理的部分，优化冗余部分，提高信息交流与沟通的效率。（2）建立信息传递渠道，就信息而言，信息搜集不是最终目的，信息搜集后要能够传达到决策层才是真正发挥了信息的作用，从内部信息来讲，要求企业根据经营目标等建立与其经营活动相适应的信息系统，持续性地收集经营活动所生成的各种信息，全方位的收集信息建立沟通渠道，在公司内上下级之间、同一级的各职能部门之间建立顺畅的沟通调节机制。信息流动性越快，企业反馈的速度也就越快。（3）建立内部监督机制，最坚固的堡垒往往从其内部瓦解最容易，内部举报和投诉同样也是信息管理的重要机制。尤其是处于基层一线的员工，对于上层是否真正舞弊，往往有着自己的信息来源与渠道，若能够及时将上层舞弊的信息，景观中不合理的流程信息上报到决策层，监督管理层则对公司的内部管理起到极大的作用。综上，企业需要加大信息化建设，建立完善的信息管理系统，将财务管理系统、业务管理系统衔接起来，使企业内部各生产经营与运营管理环节可以高效传递、沟通、共享，为各部门的经营管理决策提供全面准确的信息支持。5.建立有效的监督机制对于内部监督，要强化岗位间的相互牵制与监督，确保不相容岗位分离。在内部控制制度的建立过程中，应科学评估其可行性与可操作性，不能生搬硬套其他公司的内控体系，做到因地制宜，形成具有公司特色的监督机制。及时发现并解决内部控制制度中存在的问题，善于学习优秀案例的精髓，具体问题具体分析，增强内部控制的有效性。管理层在日常经营过程中要对内部控制进行持续评估，以确保控制活动按照既定方式进行，包括日常监督和专项监督。对于发现的重大内部控制缺陷，建立及时向管理层及董事会报告的沟通渠道。同时，企业也可以设立专门的职能部门跟踪检查发现的漏洞以及过后的整改措施。对于第三方提出的改进意见也要及时的落实。六、结语内部控制作为公司经营管理的基础性工程，在公司的日常管理中起到极为重要的作用，无论是基础的内部环境，还是管理的控制活动，亦或者是交流的信息沟通，监督机制，风险管理体系都是对企业而言至关重要的。但是上述要素并不是建立就完善的，都是需要经历一个发展，更新，升级的过程。在这个过程中，企业尤其是企业的领