企業內部控制與風險管理(企業風險控制的一種)

內部控制與企業風險管理之間的聯繫是十分緊密的。內部控制的實質是風險控制，風險包含內部風險和外部風險，對內部風險的控制即內部控制，從這一概念來說，風險管理是內部控制的重要內容，企業風險管理包含內部控制，但兩者之間的關係並不是簡單的相互關係，兩者之間存在著相互依存的、不可分離的內在聯繫。主要表現在：

1.1組成部分重合

內部控制與風險管理的組成要素中，其中控制環境、風險評估、控制活動、信息與溝通以及監督這五個要素是重合的。

1.2最終目標相同

內部控制與風險管理的目標都包括：經營目標、合規性目標、報告目標。

1.3參與主體相同

內部控制與風險管理都是全員參與的過程，最終責任人都是管理者，且兩者的實施主體、過程也是一致的。

1.4風險防範是內部控制的一個重要目標，有了風險防範的目標，內部控制才顯得十分重要，其也才有發揮作用的廣大空間。

1.5風險包含內部風險和外部風險，內部風險存在於企業的各個生產經營活動環節；內部控制其實是一種管理規範，其建立過程控制體系，並描述關鍵控制點，通過流程的形式直接直觀的描述企業生產經營業務過程。內部控制的執行過程正好為風險信息的收集帶來了極大的便利。所以，內部控制是風險管理的重要的手段之一。

1.6內部控制的一個基本作用是控制風險；風險管理是指在企業生產經營過程中，對企業可能面臨的風險進行識別、評估和控制，最終目標也是控制風險。

總而言之，風險管理是內部控制的發展，風險管理拓展了內部控制內涵，內部控制發展成了以風險為導向的內部控制。因此，我們將內部控制與風險管理一體化，將他們作為一個整體進行理解與處理。

我國參照利用美國 COSO 的內部控制和風險管理框架並結合具體國情，制定了一系列內部控制和風險管理制度及規範，為企業內部控制和風險管理提供了行動指南，但在理論認識和實際操作中，還有

不少問題值得我們思考。

2.1把內部控制和風險管理體系建設簡單地理解為立章建制

實際上，內部控制和風險管理並不僅僅是一種規章制度，如檔案法規、技術規範和套用模型等，也不是額外單獨的控制活動，如信息交流、評審監督和風險評估等，所以不能把內部控制和風險管理看作一種靜態的東西，而應把它們內置於企業的日常管理活動之中，形成一種常規的管理和運行機制。可以說，內部控制和風險管理既是一種制度安排、也是一種管理過程，更是一種自律行為。

2.2認為內部控制和風險管理是相互獨立的

雖然內部控制和風險管理的內涵有很多重合之處，如要素很多相同、方法很多相似，但內部控制和風險管理的具體運用需要根據企業自身的特點、發展階段、行業特性、技術條件、外部環境等要求來執行。比如，某企業生產醫療設備或藥品，因為涉及到人的生命健康問題，而且政府管制非常嚴格，風險管理的迫切性相對較強，此時企業以風險管理來主導內部控制比較合適；如果某企業是為了使自己的財務報告及信息披露合法，此時企業當然以內部控制為主導、同時兼顧風險管理更為合理。

2.3過分誇大了內部控制和風險管理的作用

不管是內部控制還是風險管理，它們都是企業的管理活動，無論它們的方法多么先進、系統多么完善，都只能為企業向目標邁進提供相對合理而非絕對的保證。尤其當企業的品性、信仰、能力、責任等出現缺失時，決不能把企業的成功寄望於內部控制和風險管理上。

2.4理論與實際脫節

風險管理理念是從西方國家引進的，與我國傳統的理論觀點和制度建設存在很多差異或差距，使得企業管理人員很難把這些概念和框架融入到日常的管理活動之中，語言和行為之間很難建立直接的聯繫，只有理論說教，缺少實際行動。

2.5制度執行不力

制度的關鍵在於執行，沒有執行或執行力度不夠，再先進的制度也不起作用。影響內部控制和風險管理執行力度的因素很多，其中，企業組織結構不合理、執行人員素質偏低、企業文化落後、資源配置不當是主要因素；制度本身的局限性及制度與制度之間的不協調性也給內部控制和風險管理的執行帶來困難。內部控制針對的是“事”而不是“人”，是一種“非人格”的控制機制，其控制對象不限於受控方，施控方也是內部控制的控制對象。內部控制需要全員參與、平行參與和平等參與，這與我國傳統的等級制、科層制是大不相同的。

3.1營造良好的內部控制環境

內部控制環境是內部控制實施的根本環境，是推動企業發展的動力，也是其他風險管理因素實施的基礎，其對企業內部控制的構建與實施具有重大的影響，可以說企業的控制環境直接決定了其內部控制與風險管理的效率和效果。

（1）深化對內部控制的理解，樹立風險管理理念。深化對內部控制的理解，首先應突破對傳統的內部控制的理解，應認識內部控制不僅局限於會計層面，內部控制包含更高層次的戰略目標，在電力設計企業向多元化經營、總承包和海外項目轉型發展的過程中，就要從戰略高度進行風險管理和內部控制。再者，無論是企業的管理層，還是企業的員工都應具有風險管理意識，並把風險管理意識貫穿於企業的生產經營過程中，包括業務管理、職能管理、質量與安全管理等各方面。風險管理理念的培養可以通過企業領導層的表率作用、相關的培訓及相關的規章制度來實現。

（2）建立公司治理結構並充分發揮各機構職責。企業各層級各部門之間應分工明確，並相互監督、相互牽制。公司可以通過公司章程的規定及完善相關的激勵約束機制來保障公司機構職責的實現。非常重要的一點是，電力設計企業的最高管理機構，要對內部控制的建立和實施負責。企業應下設內控控制與風險管理的建設、監督管理機構，各機構分別負責各方面的工作，並相互監督、相互制約。

5.1完善法人治理結構，為全面風險管理的內控體系建設創造一個良好的內部控制環境。建立一個健全的內部控制體系，實際上就是完善法人治理結構的體現，大多數電力設計企業設立了內部審計機構，但多數內部審計機構隸屬於財務總監或總經理領導，因此將電力設計企業的內部審計機構升級為公司董事會審計委員的組成部分或工作部門，這樣將進一步明確內部審計機構在電力設計企業內部控制方面的主體地位。

（3）培養員工的職業道德和勝任能力。企業員工是企業生產經營活動的執行者，員工良好的職業道德可以保證企業經營活動的順利進行，可以避免舞弊事件的發生。員工的知識和技能必須與所在崗位所需能力相匹配，這是經營活動和內部控制活動得以有效運行的基本保障。為此，企業應以誠信等職業道德作為員工的行為準則，建立獎懲機制，加強員工的再教育，對關鍵崗位實行定期輪崗制。

3.2設定企業戰略目標

企業應根據企業的使命或願景來設定企業的戰略目標，戰略目標是企業的最高目標，其他目標為戰略目標服務。企業根據戰略目標再層層分解，並由各部門來落實。戰略目標的制定應考慮企業的風險容量，企業實現戰略目標所面臨的風險應在企業風險容量之內。

3.3完善風險管理體系

企業應建立風險導向型內部控制體系，只有把風險管理落實到企業的各個環節，才能控制風險。完善企業風險管理體系，應關注一下幾點：

第一，建立風險預警機制。企業應通過目標分析、過程分析等方法來識別影響企業目標實現的內部及外部的潛在事項，分清潛在事項是機會還是風險，明確風險預警標準。風險預警機制的建立對企業及時抓住發展機會，及時評估、處理風險具有重大意義。

第二，建立風險評估體系。企業應對已識別的風險進行進一步的分析與評估，分析潛在風險是固有風險還是剩餘風險，分析風險發生的可能性及其影響，並關注重大風險。評估現有的內部控制對風險的適用性，是否需要追加程式等。在評估風險時應注意運用風險組合觀。

第三，建立風險反應機制。風險應對是控制風險的關鍵步驟，在風險評估後，企業應針對風險發生的可能性、影響的不同程度，採取不同的應對措施，其中應特別關注重大風險。風險應對措施包括迴避、降低、承擔和分擔風險。同時，在風險應對中要考慮成本與效率的問題。

3.4建立良好的控制活動

企業應建立良好的控制活動以確保管理層應對風險的各種措施得以有效執行，控制活動貫穿於企業各個部門，各個層面及其活動。控制活動應該包括：對員工績效的分析與考核，部門的自我覆核，對信息處理的控制（包括一般控制和套用控制），實物資產的控制，責任劃分與不相容職位相分離控制。

3.5充分的信息與溝通

在經營過程中，企業應建立信息的傳遞和溝通以確保員工了解內部控制，明確自己的職責。同時通過對外部市場信息、政策信息、顧客信息、競爭對手信息的了解和掌握，通過與各方的溝通，有利於企業及時處理風險、抓住機會，實現更好的發展。企業可以通過員工手冊及建立信息收集與處理系統來實現。

3.6建立內部控制監督與評價機制

對內部控制的監督與評價是確保內部控制制度得到有效執行的重要手段，同時有利於企業管理層及時了解內部控制存在的問題，可以為內部控制的改進提供建議，有利於內部控制體系的不斷完善，進而幫助企業控制各種風險。內部控制監督與評價機制的建立主要包括內部和外部兩個方面：

第一，企業應建立獨立、權威的內部審計機構。內部審計機構的設定應與其他職能部門分離開來。內部審計機構應具有執行審計決定和審計結論的權利，可以建立具有較強獨立性與權威性的董事會領導型或監事會領導型的內部審計機構。內部審計不應只局限於財務報表審計，應對企業資格內部控制系統進行全面的監督和評價，包括對企業財務信息、經營活動、控制活動進行審計及評價。同時應提高內部審計人員的職業道德和業務素質，及形成不同職務之間相互檢查、監督的機制。

第二，提高外部監督與評價。由於內部審計主要對企業領導負責，所以內部審計具有固有局限性，可能會導致一些控制缺陷在權力干預下被掩蓋，不利於企業內部控制的改善。所以通常需要獨立的第三方參與企業的監督與評價，以實現監督的職能。首先，應完善內部控制信息披露制度，使企業接受政府、社會的廣泛監督。再者，可以藉助第三方審計力量，最常見的就是定期聘請註冊會計師對企業內部控制設計及執行情況進行審計及評價，並出具評審報告。這也有利於監督企業內部控制的構建與實施，也有利於及時發現企業內部控制中存在的問題。

(2)風險評估

中石化根據企業的發展目標，由各部門收集全面的信息來確定企業的風險容量，並根據企業可能面臨的內部風險和外部風險建立以內部控制為基礎的風險評估和控制體系，對企業目標的實現有重大影響的關鍵環節進行全面的風險評估。針對各部門面臨的風險和責任制定內部控制流程。中石化根據內部審計結果及在管理過程中發現的問題，不斷對《內控手冊》進行修訂，各分（子）公司也不斷修訂實施細則。動態的風險評估與應對為企業實現目標提供保障。

(3)控制活動

中石化的控制措施有：不相容職務分離控制、授權審批控制（以授權指引為核心)、會計系統控制（建立了統一的財務管理信息系統)、資金支付控制、財產保護控制、信息技術控制（採用先進的ERP管理信息系統控制）、計畫控制、預算控制（全面預算控制）、契約管理控制、運營分析控制和科學的績效考核控制等。並將手工控制與自動控制相結合，將預防性控制與事中發現控制結合，建立了重大風險預警機制和突發事件應急處理機制。通過業務控制矩陣明確每個控制點的業務目標、風險、責任單位、不相容崗位、記錄文檔等，為內部控制責任的落實提供指導。對風險的描述就體現了全面風險管理的內部控制的要求。

中石化的《內控手冊》保障了內部控制活動的進行，《內控手冊》包含了採購、資產、信息管理、內部審計等18大類，59個業務流程，包含了企業經營管理活動的各個方面。

(4)信息與溝通

中石化採用先進的ERP管理信息系統，會計核算系統、資金集中管理系統、全面預算管理系統和各項業務管理等各成體系的信息系統，並實行財務信息系統集中管理。該系統讓各業務部門人員的業務操作都統一在ERP系統上進行，企業錄入業務數據後，生產、銷售各環節即按相應的業務流程生成相關信息，並傳送到公司總部資料庫進行監控和分析。中石化制定了相關的管理辦法和業務流程，從一般控制、套用控制等方面對信息系統進行規範和控制。企業不斷完善信息蒐集機制，完善信息溝通平台，《內控手冊》也有相應的規定來保障企業部門之間、部門與各分或子公司之間及管理層與外界之間的溝通順暢。中石油按照相關法規的規定定期對外披露信息，對外信息披露由董事會和總裁辦公室審核。

(5)內部監督

中石化設立了審計委員會負責對財務報告和內部控制的審查，由審計部定期獨立審查分公司和子公司。企業建立了兩極內部控制日常監督機制，兩極評價指的是總部綜合檢查和分公司、子公司自查測試。總部綜合檢查主要是內控領導小組負責的年度綜合檢查和審計部對不少於25家分（子）公司進行獨立檢查，及對總部進行檢查。分公司、子公司自查測試工作主要是企業通過部門流程測試和有審計參與的綜合檢查評價進行自查測試，及總部部門自查和抽查評價。除日常監督外，中石化還建立了針對內部控制一些重大方面的監督檢查。

此外，中石化制定了《中石化監督制度彙編》，完善了企業的反舞弊制度。通過制定內控控制執行情況指標對內部控制進行考核。每年定期對內部控制的設計及執行情況進行評價，出具內部控制自我評價報告，並向外披露，接受外界的廣泛監督，並聘請外部註冊會計師對財務報告內部控制進行審計。

4.4中石化內部控制的評價

中石化制定《內控檢查評價與考核辦法》及指引來指導企業內部控制的評價。並根據《內控手冊》，檢查內部控制設計是否健全；據《內控手冊》所適用的內容及範圍，檢查內部控制執行的符合性和有效性。中石化主要以內部控制缺陷認定和量化評分的方式對內部控制進行自我評價。從內部控制要素、業務流程綜合檢查、單位自查情況等方面對內部控制進行評價，並制定了規範的內部控制自我評價流程圖來規範評價，保障評價的公正性。

4.5中石化內部控制實施以來取得的效果

中石化自2005年實施內部控制以來，不僅提高了企業的管理水平，企業的盈利能力也隨之增強，具體來說：中石化制度化管理體制不斷完善，逐步形成了以內部控制為保障，具有中國石化特色的制度化管理體系。不僅提高了企業的抗風險能力，保障企業目標的實現，也為國內其他企業內部控制的建立樹立了榜樣。中石化管理水平不斷提高。中石油實行統一的物資釆購管理，規範企業物資採購，為企業節約了材料成本。建立了產品原料等消耗標準，使企業生產經營管理日益精細化。通過建立IT風險控制系統，使企業風險能力日益增強。內部控制及其審計，提高了審計效率和效果，使企業管理水平不斷提高。內部控制的實施加快了企業規章制度的建立，明確了各企業機構、部門及各崗位的職責和權力，對業務操作流程的規範也提高了企業管理效率和管理水平。中石化內部控制的實施滿足了外部監管的要求。中石化作為在境內外三地上市的公司，其內部控制的實施與披露滿足了各上市地的要求，內部控制自實施以來也得到了不斷的完善和改進。內部控制的實施使中石化內部環境不斷最佳化，內部控制的實施保障了公司的體制改革，使公司治理結構不斷完善，使企業文化得到了統一和貫徹實施，《員工守則》的制定規範了員工的行為，也使風險管理和誠信經營的理念深入人心。