隨著市場經濟的發展，企業內部控制建設越來越重要，企業在發展過程中總會遇到各種各樣的風險與威脅，這樣就需要內部控制進行合理的判斷和管控。

　　《南方企業家》Friend of the Factory Directors & Managers，面向國內外公開發行的高端財經期刊，是聚焦華南財富的權威企業家雜志，其宗旨是關注以粵商為核心的南方企業家群體的思想、經營、生活及其企業的發展與壯大，在廣東乃至整個華南地區具有較大影響力。讀者對象包括企業家、工商、流通領域、財經、白領、層次消費者;中央、省、市經貿、工商管理部門領導及各大專院校、企管、財經類師生、專家學者等。

　　內部控制體系必須緊密依據企業的風險評估結果，因此在制定切實可行的內部控制體系時，必須首先全面評估企業風險，并根據企業的實際情況從設計、執行、評估、完善等四個環節進行內部控制體系設計，其中，設計環節是極為重要的一環，這一階段關系到企業內部控制體系是否科學可靠、切實可行，企業應當從自身經營情況及管理特點出發，注重全面性和科學性。

　　一、企業風險管理含義

　　企業風險管理應視為一個持續的執行過程，緊密結合在企業經營戰略的設定之中，通過企業的管理層及其他相關人員共同協作執行，其理念及制度應貫穿于整個企業運營過程中，為每一名企業員工所熟知和運用，從而確保能夠及時發現企業可能存在的潛在風險，使一切風險都處于可控狀態，為企業經營目標的達成提供有力保障。企業的風險管理通常分為八點要素，相互關聯，相互協作，貫穿于企業經營活動始終。其內容包括：

　　1.內部環境識別。所有企業風險管理要素均是以企業自身的內部環境為基礎的，只有明確了企業內部環境的特點，才能制定出切實有效的風險管理的框架及規則。通過對企業內部環境的認知，能夠幫助管理人員正確制定企業戰略及經營目標，從而有效地開展業務活動，并且準確地識別風險、評估風險并及時應對。

　　2.制定經營目標。管理人員在制定企業經營戰略目標時，應當根據企業的經營任務及預期內容進行科學的分析和設計，從而確保戰略實施的可行性，并切實將相關目標分層分級地落實到企業內部各個部門及各個崗位。

　　3.企業風險評估。管理人員在評估企業風險時，應當從發生可能性及影響程度兩方面進行周密考慮，并且結合企業即期的經營戰略及經營目標進行具有戰略眼光的風險識別和評估。

　　4.經營事項評估。在企業的運營過程中，往往存在著較多不確定性，這些現階段結果尚不明確的事項可能會對企業具有積極的影響，也可能存在著消極影響，甚至二者同時并存。因此，企業管理人員應當及時對這些不確定性予以識別和評估，認識到事項的負面影響即是企業的潛在風險因素，必須盡早識別和評估，并預先制定出應急措施。

　　5.風險應對方案。面對風險的發生，風險應對反應包括規避風險、控制風險、承擔風險及轉移風險四種，作為企業的風險管理，應當針對不同的風險，制定出相應的風險應對反應方案，從而確保將風險的影響降至最低。

　　6.風險控制措施。當風險應對反應方案開始執行時，制定正確的風險控制措施，能夠確保反應方案遵循正確的流程得以有效執行。因此，控制措施應當針對企業的不同層面、不同部門及不同崗位全面制定和落實，其要素包括規范的應對政策及對政策產生影響的一系列操作章程。

　　7.信息獲取及溝通。企業應定期對來自內外部的信息進行獲取、識別，并通過固定的格式予以保存和傳遞，從而幫助企業員工正確執行自身職責，并提供執行結果的參考和評估。此外，還應當保持溝通順暢，包括企業由上而下、由下而上的縱向溝通，各部門間的橫向溝通，以及企業與外部環境間的信息交換。

　　8.風險效果監控。企業應當及時對風險管理要素有關內容的合理性和完善性進行定期評估，并對風險管理的運行情況進行評估和監督。其方式可采取持續性監控和個別要素評估兩類。

　　二、內部控制的含義

　　內部控制是一個循環往復的動態過程，其內容包括控制目標設計、控制執行、執行評價、目標改進等多個環節，為企業提供持續不斷的信息反饋，使企業能夠準確掌握當前自身運營情況，以及內外部環境對自身帶來的機遇及影響。

　　企業在獲取信息的同時，還能夠通過對內部控制設計及執行過程進行評估，從中獲得當前內部控制體系的有關信息，從而能夠及時進行內部控制體系的完善和補充。而內部控制的評估內容，主要包括對企業現行內部控制體系設計及執行的合理性、有效性及完整性進行系統的審核、檢驗及分析等工作。其作用主要包括：

　　1.確保企業管理的完善性。企業的經營管理應當順應外部經濟環境的變化不斷做出調節，以便適應新的發展形勢，這一要求便需要企業對內部控制進行不斷的評估和完善，從而及時發現其中的缺陷和漏洞，杜絕營私舞弊，改善薄弱環節，從而提高企業的內部管理水平，增強企業競爭力。

　　2.有利于充分發揮審計職能。目前，審計已經發展到抽樣審計的高度，企業實行內部控制評估，能夠依據評估結果明確審計范圍，突出審計重點，尋求最佳審計方法，使審計效率得到有效提高，并充分發揮審計的重要職能。

　　3.提供各方決策依據。內部控制評估結果公布后，除了企業自身之外，有關部門均能據此對企業財務報告的可信度進行評價，了解企業的長期可持續發展能力、成長性、運營合法性等多個方面，從而制定下一步的行動決策。

　　三、企業內部控制與風險管理之間的關系

　　2004年，COSO經過4年的研究之后，在之前《內部控制統一框架》理論的基礎上發布了《全面風險管理統一框架》，為全面風險管理提供了執行標準和依據，在這一新的理論中，全面風險管理增加了三項內部控制目標，以及相應的管理戰略目標。由此可見，內部控制與風險管理日趨融合趨向。然而，全面風險管理與內部控制仍然具有一定的差異：

　　1.全面風險管理作為一個持續性的執行過程，貫穿于企業管理始終，而內部控制則是企業管理職能中的一項。此外，全面風險管理內容包含了戰略風險、財務風險、市場風險、運營風險、合規風險等多項風險內容，企業能夠通過這些風險的分析和評估獲取機遇，規避或預知影響。而內部控制則沒有對風險和機遇進行明確的區分。

　　2.全面風險管理理念中包含了風險偏好、風險應對策略、風險零容忍度等戰略要素，因此能夠對風險進行準確全面的度量和評估，確保企業在風險偏好及運營發展戰略方面保持一致。內部控制則是企業內部面對可能遇到的風險所采取的各種應對措施及方法，完全依據風險內容進行控制機制的制定及實施，內部控制措施的必要性與風險系數呈正相關的關系，企業在運營過程中，需要以具體的內部控制措施為有效手段，對各種風險進行控制和評估，從而將潛在的各類風險扼殺在萌芽之中。

　　四、我國企業風險管理及內部控制現狀

　　國資委2006年頒布了《中央企業全面風險管理指引》，將國外先進風險管理經驗與我國企業特色相結合，作為我國企業實施全面風險管理的重要依據和理論指導。2008年財政部會同相關部門聯合發布《企業內部控制基本規范》，2010年再次發布《企業內部控制配套指引》，為我國企業內部控制與全面風險管理相結合的企業管理體系提供了理論指導依據。這些法律法規均促使企業充分審視、完善和加強自身內部控制管理工作，將風險管理理念列為管理重點，以有效的內部控制為基礎，科學融合了現代企業管理體系中的風險管理理念，從而不斷提升自身的風險管控能力。然而，全面風險管理工作仍然處于起步階段，與國外先進管理體系相比，仍然存在著不足之處，具體包括：

　　1.未能充分認識風險管理的重要性，執行力度不足，對于內部控制與風險管理之間的關系概念模糊。部分企業將風險管理和內部控制分裂開來，視為兩種彼此獨立的管理體系，部分企業則僅僅將內部控制視為全面風險管理的一種手段，弱化了內部控制的重要作用。這些概念上的模糊認識使部分基層管理人員產生了管理體系重復、冗雜的誤解，并使內部控制與全面風險管理體系彼此脫節，不利于企業風險管理的完善和發展。

　　2.偏重合規性，忽視實踐性。部分企業過分強調全面風險管理體系的制度及手冊等文件完善，卻忽視了制度的執行、監督、評估和反饋等實踐工作，從而不利于全面風險管理的執行報告及偏差糾正。

　　3.運行機制不到位。在部分風險系數較高的運營環節、經營領域及關鍵風險控制點，對風險因素的預警、應對及追蹤力度仍顯不足，或存在落實不到位的情況，尚需做進一步的完善和補充。

　　五、完善內部控制及風險管理體系的建議

　　(一)充分評估企業當前風險，設計切實可行的內部控制體系

　　在執行環節，應當注重內部控制制度的可操作性，并根據企業各部門、各層級的技術特點，制定實質性的管理制度。在評估環節，應當注重內部控制預期目標達成率的評估，并確保評估的客觀性、公正性和透明度，以便為管理人員提供真實有效的決策依據。在改善階段，應及時對控制制度進行跟進和修正，并保持其改善的穩定性、科學性及實質性，并制定事前、事中及事后的監督機制。

　　(二)根據企業特點，制定明確的可執行制度

　　建立起切實可行的內部控制體系后，還應根據企業自身特點，制定出細致而嚴密的執行制度，其中包括：(1)科學設定控制目標，詳細劃分控制責任，明確進行控制授權，使各部門、各崗位準確了解自己所承擔的控制職責，牢記被賦予的控制權限，從而使內部控制制度權責分明，目標明確，具有較高的執行力，同時，一個明確而詳盡的執行制度，能夠為企業各部門、各崗位提供行動指南;(2)分離不相容崗位，降低人為風險。此類分離應廣泛包含部門之間、機構之間、機構內部人員之間，從而掃清內部控制障礙，最大限度填補管理漏洞，防范和降低人為潛在風險。

　　(三)完善組織機構，充分發揮內部審計部門職能

　　企業可根據自身特點建立完善的風險管理機構：一是建立由企業負責人負責的全面風險管理領導小組，全面負責指導企業的風險管理工作;二是設立專職部門或確定相應職能部門，具體履行全面風險管理職責;三是發揮內部審計部門的作用，負責研究提出全面風險管理監督評價體系，開展監督與評價，出具監督評價審計報告。其他職能部門及各業務單位在全面風險管理工作中，應接受風險管理職能部門和內部審計部門的組織、協調、指導和監督。