企業(yè)內(nèi)部控制與風險管理關(guān)系

1、企 業(yè) 內(nèi) 部 控 制 與 風 險 管 理內(nèi)部控制與企業(yè)風險管理之間的聯(lián)系是十分緊密的。 內(nèi)部控制的 實質(zhì)是風險控制，風險管理是內(nèi)部控制的主要內(nèi)容， 企業(yè)風險管理包 容內(nèi)部控制。但兩者之間的關(guān)系并不是簡單的相互關(guān)系， 兩者之間存 在著相互依存的、不可分離的內(nèi)在聯(lián)系。目錄1背景分析2問題與誤區(qū)3管理要點背景分析編輯內(nèi)部控制與風險管理的關(guān)系/內(nèi)部控制與企業(yè)風險管理之間的聯(lián)系是十分緊密的。內(nèi)部控制的實質(zhì)是風險控制，風險包含內(nèi)部風險和外部風險，對內(nèi)部風險的控制 即內(nèi)部控制，從這一概念來說，風險管理是內(nèi)部控制的重要內(nèi)容，企 業(yè)風險管理包含內(nèi)部控制，但兩者之間的關(guān)系并不是簡單的相互關(guān) 系，兩者之間存在著相

2、互依存的、不可分離的內(nèi)在聯(lián)系。主要表現(xiàn)在:1.1 組成部分重合內(nèi)部控制與風險管理的組成要素中，其中控制環(huán)境、風險評估、 控制活動、信息與溝通以及監(jiān)督這五個要素是重合的。1.2 最終目標相同內(nèi)部控制與風險管理的目標都包括：經(jīng)營目標、合規(guī)性目標、報 告目標。1.3 參與主體相同內(nèi)部控制與風險管理都是全員參與的過程， 最終責任人都是管理 者，且兩者的實施主體、過程也是一致的。1.4 風險防范是內(nèi)部控制的一個重要目標，有了風險防范的目標， 內(nèi)部控制才顯得十分重要，具也才有發(fā)揮作用的廣大空間。1.5 風險包含內(nèi)部風險和外部風險，內(nèi)部風險存在于企業(yè)的各個 生產(chǎn)經(jīng)營活動環(huán)節(jié)；內(nèi)部控制其實是一種管理規(guī)范，其建

3、立過程控制 體系，并描述關(guān)鍵控制點，通過流程的形式直接直觀的描述企業(yè)生產(chǎn) 經(jīng)營業(yè)務(wù)過程。內(nèi)部控制的執(zhí)行過程正好為風險信息的收集帶來了極 大的便利。所以，內(nèi)部控制是風險管理的重要的手段之一。1.6 內(nèi)部控制的一個基本作用是控制風險；風險管理是指在企業(yè) 生產(chǎn)經(jīng)營過程中，對企業(yè)可能面臨的風險進行識別、評估和控制，最 終目標也是控制風險?？偠灾?，風險管理是內(nèi)部控制的發(fā)展，風險管理拓展了內(nèi)部控 制內(nèi)涵，內(nèi)部控制發(fā)展成了以風險為導(dǎo)向的內(nèi)部控制。因此，我們將 內(nèi)部控制與風險管理一體化，將他們作為一個整體進行理解與處理。1問題與誤區(qū)編輯內(nèi)部控制和風險管理建設(shè)中的誤區(qū)或問題我國參照利用美國 COSO的內(nèi)部控制

4、和風險管理框架并結(jié)合 具體國情，制定了一系列內(nèi)部控制和風險管理制度及規(guī)范，）為企業(yè)內(nèi) 部控制和風險管理提供了行動指南， 但在理論認識和實際操作中，還 有不少問題值得我們思考。1.1 把內(nèi)部控制和風險管理體系建設(shè)簡單地理解為立章建制實際上，內(nèi)部控制和風險管理并不僅僅是一種規(guī)章制度， 如文件 法規(guī)、技術(shù)規(guī)范和應(yīng)用模型等，也不是額外單獨的控制活動，如信息 交流、評審監(jiān)督和風險評估等，所以不能把內(nèi)部控制和風險管理看作 一種靜態(tài)的東西，而應(yīng)把它們內(nèi)置于企業(yè)的日常管理活動之中，形成一種常規(guī)的管理和運行機制?？梢哉f，內(nèi)部控制和風險管理既是一種 制度安排、也是一種管理過程，更是一種自律行為。1.2 認為內(nèi)部控

5、制和風險管理是相互獨立的雖然內(nèi)部控制和風險管理的內(nèi)涵有很多重合之處， 如要素很多相 同、方法很多相似，但內(nèi)部控制和風險管理的具體運用需要根據(jù)企業(yè) 自身的特點、發(fā)展階段、行業(yè)特性、技術(shù)條件、外部環(huán)境等要求來執(zhí) 行。比如，某企業(yè)生產(chǎn)醫(yī)療設(shè)備或藥品，因為涉及到人的生命健康問 題，而且政府管制非常嚴格，風險管理的迫切性相對較強，此時企業(yè) 以風險管理來主導(dǎo)內(nèi)部控制比較合適；如果某企業(yè)是為了使自己的財 務(wù)報告及信息披露合法，此時企業(yè)當然以內(nèi)部控制為主導(dǎo)、同時兼顧 風險管理更為合理。1.3 過分夸大了內(nèi)部控制和風險管理的作用不管是內(nèi)部控制還是風險管理，它們都是企業(yè)的管理活動，無論 它們的方法多么先進、系統(tǒng)多

6、么完善，都只能為企業(yè)向目標邁進提供 相對合理而非絕對的保證。尤其當企業(yè)的品性、信仰、能力、責任等 出現(xiàn)缺失時，決不能把企業(yè)的成功寄望于內(nèi)部控制和風險管理上。1.4 理論與實際脫節(jié)風險管理理念是從西方國家引進的，與我國傳統(tǒng)的理論觀點和制 度建設(shè)存在很多差異或差距，使得企業(yè)管理人員很難把這些概念和框 架融入到日常的管理活動之中，語言和行為之間很難建立直接的聯(lián) 系，只有理論說教，缺少實際行動。1.5 制度執(zhí)行不力制度的關(guān)鍵在于執(zhí)行，沒有執(zhí)行或執(zhí)行力度不夠，再先進的制度 也不起作用。影響內(nèi)部控制和風險管理執(zhí)行力度的因素很多，其中, 企業(yè)組織結(jié)構(gòu)不合理、執(zhí)行人員素質(zhì)偏低、企業(yè)文化落后、資源配置 不當是主

7、要因素；制度本身的局限性及制度與制度之間的不協(xié)調(diào)性也 給內(nèi)部控制和風險管理的執(zhí)行帶來困難。內(nèi)部控制針對的是“事”而 不是“人”，是一種“非人格”的控制機制，其控制對象不限于受控 方，施控方也是內(nèi)部控制的控制對象。內(nèi)部控制需要全員參與、平行 參與和平等參與，這與我國傳統(tǒng)的等級制、科層制是大不相同的。管理要點編輯構(gòu)建風險管理下的內(nèi)部控制體系的要點3.1 營造良好的內(nèi)部控制環(huán)境內(nèi)部控制環(huán)境是內(nèi)部控制實施的根本環(huán)境， 是推動企業(yè)發(fā)展的動 力，也是其他風險管理因素實施的基礎(chǔ)， 其對企業(yè)內(nèi)部控制的構(gòu)建與 實施具有重大的影響，可以說企業(yè)的控制環(huán)境直接決定了其內(nèi)部控制 與風險管理的效率和效果。(1)深化對內(nèi)部

8、控制的理解，樹立風險管理理念。深化對內(nèi)部 控制的理解，首先應(yīng)突破對傳統(tǒng)的內(nèi)部控制的理解， 應(yīng)認識內(nèi)部控制 不僅局限于會計層面，內(nèi)部控制包含更高層次的戰(zhàn)略目標， 在電力設(shè) 計企業(yè)向多元化經(jīng)營、總承包和海外項目轉(zhuǎn)型發(fā)展的過程中， 就要從 戰(zhàn)略高度進行風險管理和內(nèi)部控制。再者，無論是企業(yè)的管理層，還 是企業(yè)的員工都應(yīng)具有風險管理意識，并把風險管理意識貫穿于企業(yè) 的生產(chǎn)經(jīng)營過程中，包括業(yè)務(wù)管理、職能管理、質(zhì)量與安全管理等各方面。風險管理理念的培養(yǎng)可以通過企業(yè)領(lǐng)導(dǎo)層的表率作用、相關(guān)的 培訓(xùn)及相關(guān)的規(guī)章制度來實現(xiàn)。(2)建立公司治理結(jié)構(gòu)并充分發(fā)揮各機構(gòu)職責。企業(yè)各層級各 部門之間應(yīng)分工明確，并相互監(jiān)督、相

9、互牽制。公司可以通過公司章 程的規(guī)定及完善相關(guān)的激勵約束機制來保障公司機構(gòu)職責的實現(xiàn)。非常重要的一點是，電力設(shè)計企業(yè)的最高管理機構(gòu)，要對內(nèi)部控制的建 立和實施負責。企業(yè)應(yīng)下設(shè)內(nèi)控控制與風險管理的建設(shè)、監(jiān)督管理機 構(gòu)，各機構(gòu)分別負責各方面的工作，并相互監(jiān)督、相互制約。5.1 完善法人治理結(jié)構(gòu)，為全面風險管理的內(nèi)控體系建設(shè)創(chuàng)造一 個良好的內(nèi)部控制環(huán)境。建立一個健全的內(nèi)部控制體系，實際上就是 完善法人治理結(jié)構(gòu)的體現(xiàn)，大多數(shù)電力設(shè)計企業(yè)設(shè)立了內(nèi)部審計機 構(gòu)，但多數(shù)內(nèi)部審計機構(gòu)隸屬于財務(wù)總監(jiān)或總經(jīng)理領(lǐng)導(dǎo)，因此將電力設(shè)計企業(yè)的內(nèi)部審計機構(gòu)升級為公司董事會審計委員的組成部分或 工作部門，這樣將進一步明確內(nèi)部

10、審計機構(gòu)在電力設(shè)計企業(yè)內(nèi)部控制 方面的主體地位。(3)培養(yǎng)員工的職業(yè)道德和勝任能力。企業(yè)員工是企業(yè)生產(chǎn)經(jīng) 營活動的執(zhí)行者，員工良好的職業(yè)道德可以保證企業(yè)經(jīng)營活動的順利 進行，可以避免舞弊事件的發(fā)生。員工的知識和技能必須與所在崗位 所需能力相匹配，這是經(jīng)營活動和內(nèi)部控制活動得以有效運行的基本 保障。為此，企業(yè)應(yīng)以誠信等職業(yè)道德作為員工的行為準則，建立獎 懲機制，加強員工的再教育，對關(guān)鍵崗位實行定期輪崗制。5.2 設(shè)定企業(yè)戰(zhàn)略目標企業(yè)應(yīng)根據(jù)企業(yè)的使命或愿景來設(shè)定企業(yè)的戰(zhàn)略目標， 戰(zhàn)略目標 是企業(yè)的最高目標，其他目標為戰(zhàn)略目標服務(wù)。企業(yè)根據(jù)戰(zhàn)略目標再 層層分解，并由各部門來落實。戰(zhàn)略目標的制定應(yīng)考慮

11、企業(yè)的風險容 量，企業(yè)實現(xiàn)戰(zhàn)略目標所面臨的風險應(yīng)在企業(yè)風險容量之內(nèi)。5.3 完善風險管理體系企業(yè)應(yīng)建立風險導(dǎo)向型內(nèi)部控制體系，只有把風險管理落實到企 業(yè)的各個環(huán)節(jié)，才能控制風險。完善企業(yè)風險管理體系，應(yīng)關(guān)注一下 幾點：第一，建立風險預(yù)警機制。企業(yè)應(yīng)通過目標分析、過程分析等方 法來識別影響企業(yè)目標實現(xiàn)的內(nèi)部及外部的潛在事項， 分清潛在事項 是機會還是風險，明確風險預(yù)警標準。風險預(yù)警機制的建立對企業(yè)及 時抓住發(fā)展機會，及時評估、處理風險具有重大意義。第二，建立風險評估體系。企業(yè)應(yīng)對已識別的風險進行進一步的 分析與評估，分析潛在風險是固有風險還是剩余風險， 分析風險發(fā)生 的可能性及其影響，并關(guān)注重大

12、風險。評估現(xiàn)有的內(nèi)部控制對風險的 適用性，是否需要追加程序等。在評估風險時應(yīng)注意運用風險組合觀。第三，建立風險反應(yīng)機制。風險應(yīng)對是控制風險的關(guān)鍵步驟，在 風險評估后，企業(yè)應(yīng)針對風險發(fā)生的可能性、影響的不同程度，采取 不同的應(yīng)對措施，其中應(yīng)特別關(guān)注重大風險。風險應(yīng)對措施包括回避、降低、承擔和分擔風險。同時，在風險應(yīng)對中要考慮成本與效率的問 題。5.4 建立良好的控制活動企業(yè)應(yīng)建立良好的控制活動以確保管理層應(yīng)對風險的各種措施 得以有效執(zhí)行，控制活動貫穿于企業(yè)各個部門，各個層面及其活動。 控制活動應(yīng)該包括：對員工績效的分析與考核，部門的自我復(fù)核，對 信息處理的控制（包括一般控制和應(yīng)用控制），實物資產(chǎn)

13、的控制，責 任劃分與不相容職位相分離控制。5.5 充分的信息與溝通在經(jīng)營過程中，企業(yè)應(yīng)建立信息的傳遞和溝通以確保員工了解內(nèi) 部控制，明確自己的職責。同時通過對外部市場信息、政策信息、顧 客信息、競爭對手信息的了解和掌握，通過與各方的溝通，有利于企 業(yè)及時處理風險、抓住機會，實現(xiàn)更好的發(fā)展。企業(yè)可以通過員工手 冊及建立信息收集與處理系統(tǒng)來實現(xiàn)。5.6 建立內(nèi)部控制監(jiān)督與評價機制對內(nèi)部控制的監(jiān)督與評價是確保內(nèi)部控制制度得到有效執(zhí)行的 重要手段，同時有利于企業(yè)管理層及時了解內(nèi)部控制存在的問題，可以為內(nèi)部控制的改進提供建議，有利于內(nèi)部控制體系的不斷完善， 進 而幫助企業(yè)控制各種風險。內(nèi)部控制監(jiān)督與評價

14、機制的建立主要包括 內(nèi)部和外部兩個方面：第一，企業(yè)應(yīng)建立獨立、權(quán)威的內(nèi)部審計機構(gòu)。內(nèi)部審計機構(gòu)的 設(shè)置應(yīng)與其他職能部門分離開來。內(nèi)部審計機構(gòu)應(yīng)具有執(zhí)行審計決定 和審計結(jié)論的權(quán)利，可以建立具有較強獨立性與權(quán)威性的董事會領(lǐng)導(dǎo) 型或監(jiān)事會領(lǐng)導(dǎo)型的內(nèi)部審計機構(gòu)。內(nèi)部審計不應(yīng)只局限于財務(wù)報表 審計，應(yīng)對企業(yè)資格內(nèi)部控制系統(tǒng)進行全面的監(jiān)督和評價， 包括對企 業(yè)財務(wù)信息、經(jīng)營活動、控制活動進行審計及評價。同時應(yīng)提高內(nèi)部 審計人員的職業(yè)道德和業(yè)務(wù)素質(zhì)， 及形成不同職務(wù)之間相互檢查、 監(jiān) 督的機制。第二，提高外部監(jiān)督與評價。由于內(nèi)部審計主要對企業(yè)領(lǐng)導(dǎo)負責， 所以內(nèi)部審計具有固有局限性，可能會導(dǎo)致一些控制缺陷在權(quán)

15、力干預(yù) 下被掩蓋，不利于企業(yè)內(nèi)部控制的改善。所以通常需要獨立的第三方 參與企業(yè)的監(jiān)督與評價，以實現(xiàn)監(jiān)督的職能。首先，應(yīng)完善內(nèi)部控制 信息披露制度，使企業(yè)接受政府、社會的廣泛監(jiān)督。再者，可以借助 第三方審計力量，最常見的就是定期聘請注冊會計師對企業(yè)內(nèi)部控制 設(shè)計及執(zhí)行情況進行審計及評價，并出具評審報告。這也有利于監(jiān)督 企業(yè)內(nèi)部控制的構(gòu)建與實施，也有利于及時發(fā)現(xiàn)企業(yè)內(nèi)部控制中存在 的問題。(2)風險評估中石化根據(jù)企業(yè)的發(fā)展目標，由各部門收集全面的信息來確定企 業(yè)的風險容量，并根據(jù)企業(yè)可能面臨的內(nèi)部風險和外部風險建立以內(nèi) 部控制為基礎(chǔ)的風險評估和控制體系， 對企業(yè)目標的實現(xiàn)有重大影響的關(guān)鍵環(huán)節(jié)進行全

16、面的風險評估。針對各部門面臨的風險和責任制定 內(nèi)部控制流程。中石化根據(jù)內(nèi)部審計結(jié)果及在管理過程中發(fā)現(xiàn)的問 題，不斷對內(nèi)控手冊進行修訂，各分（子）公司也不斷修訂實施 細則。動態(tài)的風險評估與應(yīng)對為企業(yè)實現(xiàn)目標提供保障。（3）控制活動中石化的控制措施有：不相容職務(wù)分離控制、授權(quán)審批控制（以 授權(quán)指引為核心）、會計系統(tǒng)控制（建立了統(tǒng)一的財務(wù)管理信息系統(tǒng) 卜 資金支付控制、財產(chǎn)保護控制、信息技術(shù)控制（采用先進的ERP管理信息系統(tǒng)控制）、計劃控制、預(yù)算控制（全面預(yù)算控制）、合同管理 控制、運營分析控制和科學(xué)的績效考核控制等。 并將手工控制與自動 控制相結(jié)合，將預(yù)防性控制與事中發(fā)現(xiàn)控制結(jié)合，建立了重大風險預(yù)

17、 警機制和突發(fā)事件應(yīng)急處理機制。通過業(yè)務(wù)控制矩陣明確每個控制點 的業(yè)務(wù)目標、風險、責任單位、不相容崗位、記錄文檔等，為內(nèi)部控 制責任的落實提供指導(dǎo)。對風險的描述就體現(xiàn)了全面風險管理的內(nèi)部 控制的要求。中石化的內(nèi)控手冊保障了內(nèi)部控制活動的進行，內(nèi)控手冊 包含了采購、資產(chǎn)、信息管理、內(nèi)部審計等18大類，59個業(yè)務(wù)流程， 包含了企業(yè)經(jīng)營管理活動的各個方面。（4）信息與溝通中石化采用先進的ERP管理信息系統(tǒng)，會計核算系統(tǒng)、資金集 中管理系統(tǒng)、全面預(yù)算管理系統(tǒng)和各項業(yè)務(wù)管理等各成體系的信息系 統(tǒng)，并實行財務(wù)信息系統(tǒng)集中管理。該系統(tǒng)讓各業(yè)務(wù)部門人員的業(yè)務(wù) 操作都統(tǒng)一在ERP系統(tǒng)上進行，企業(yè)錄入業(yè)務(wù)數(shù)據(jù)后，

18、生產(chǎn)、銷售 各環(huán)節(jié)即按相應(yīng)的業(yè)務(wù)流程生成相關(guān)信息，并傳送到公司總部數(shù)據(jù)庫 進行監(jiān)控和分析。中石化制定了相關(guān)的管理辦法和業(yè)務(wù)流程， 從一般 控制、應(yīng)用控制等方面對信息系統(tǒng)進行規(guī)范和控制。 企業(yè)不斷完善信 息搜集機制，完善信息溝通平臺，內(nèi)控手冊也有相應(yīng)的規(guī)定來保 障企業(yè)部門之間、部門與各分或子公司之間及管理層與外界之間的溝 通順暢。中石油按照相關(guān)法規(guī)的規(guī)定定期對外披露信息，對外信息披 露由董事會和總裁辦公室審核。(5)內(nèi)部監(jiān)督中石化設(shè)立了審計委員會負責對財務(wù)報告和內(nèi)部控制的審查，由審計部定期獨立審查分公司和子公司。 企業(yè)建立了兩極內(nèi)部控制日常 監(jiān)督機制，兩極評價指的是總部綜合檢查和分公司、 子公司

19、自查測試。 總部綜合檢查主要是內(nèi)控領(lǐng)導(dǎo)小組負責的年度綜合檢查和審計部對 不少于25家分(子)公司進行獨立檢查，及對總部進行檢查。分公 司、子公司自查測試工作主要是企業(yè)通過部門流程測試和有審計參與 的綜合檢查評價進行自查測試，及總部部門自查和抽查評價。除日常 監(jiān)督外，中石化還建立了針對內(nèi)部控制一些重大方面的監(jiān)督檢查。止匕外，中石化制定了中石化監(jiān)督制度匯編，完善了企業(yè)的反 舞弊制度。通過制定內(nèi)控控制執(zhí)行情況指標對內(nèi)部控制進行考核。 每年定期對內(nèi)部控制的設(shè)計及執(zhí)行情況進行評價， 出具內(nèi)部控制自我評價報告，并向外披露，接受外界的廣泛監(jiān)督，并聘請外部注冊會計師 對財務(wù)報告內(nèi)部控制進行審計。4.4 中石化內(nèi)部控制的評價中石化制定內(nèi)控檢查評價與考核辦法及指引來指導(dǎo)企業(yè)內(nèi)部 控制的評價。并根據(jù)內(nèi)控手冊，檢查內(nèi)部控制設(shè)計是否健全；據(jù) 內(nèi)控手冊所適用的內(nèi)容及范圍，檢查內(nèi)部控制執(zhí)行的符合性和有 效性。中石化主要以內(nèi)部控制缺陷認定和量化評分的方式