企业内部控制在风险管理中的作用

滁州全椒供电公司课题组 钱申琴 余飞

摘要 当前国有企业改革正处于建立现代企业制度的攻坚阶段，如何搞好企业内部控制，降低企业风险，提高企业自身的生存能力，是建立现代企业制度的关键问题。本文介绍了内部控制和风险管理的联系，结合供电企业内部控制在风险管理中的作用进行了阐述，并对内部控制与风险管理的关键因素进行分析，结合电力企业内部控制存在的问题和解决对策进行了探讨。

关键字 企业内部控制 风险管理 作用

内部控制制度是现代企业管理的一个重要组成部分，是企业内部各种形式管理控制的总称。内部控制制度产生的基础是管理生产和经营的需要。其目的在于帮助企业的经营活动更具合理化，具有经济性、效率性以及效果性；保证管理决策的贯彻；维护资产和资源的安全；保证会计记录的准确和完整，并提供及时的、可靠的财务和管理信息。COSO于19xx年和20xx年分别发布了《内部控制-整体框架》和《企业风险管理-整体框架》报告。在新的框架内，COSO内部控制被涵盖在企业风险管理框架之内，是其不可分割的一部分。当前，企业内部控制在风险管理中越来越发挥着举足轻重的作用。

一、内部控制和风险管理的定义

（一）内部控制

COSO 对内部控制的定义是由企业董事会，经理阶层和其他员工实施的，为经营的效率效果，财务报告的可靠性和相关法律的遵循等目标实现而提供合理保证的过程；并且把内部控制分为五个方面。

（1）控制环境是指一个企业的氛围，它构成影响内部人员控制其他成分的基础。

（2）风险评估是指管理层识别并采取行动来管理对经营、财务报告，符合性目标有影响的内部或外部风险，包括风险识别和风险分析。

（3）控制活动是指针对已经确认的风险采取措施，以确保企业实现目标的政策和程序。控制活动又包括业绩评价，信息处理，实物控制和职责分离四个部分。

（4）信息与沟通是指为了有效的实现企业目标，企业要对内部信息和外部信息进行识别、记录和交流。

（5）监督与控制是指对内部控制活动进行评价和监督。以上五个因素是相互联系、相互制约和配合的，从而形成一个完整的内部控制系统。

（二）风险管理

（1）企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。

（2）企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，贯穿在企业的管理过程之中。

二、内部控制和风险管理的内涵及联系

（1）外在联系

从COSO报告上看，（1）内部控制和风险管理都是由企业董事会、管理层以及其他人员共同实施的。强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。（2）内部控制和风险管理都明确一个过程，这个过程就是置立于企业内部日常管理运行的一个有效机制。（3）内部控制和风险管理都是为企业目标的实现提供合理的保证。风险管理较内部控制三个目标（报告类目标、经营类目标、遵循类目标）多出一个战略目标。

这意味着风险管理介入了战略的制定过程。（4）内部控制和风险管理在控制环境、风险评估、控制活动、信息与沟通、监督五个方面是重合的。

（2）内在联系

企业的内部控制是企业制度的组成部分，是在企业经营权与所有权分离的条件下对投资者利益的保护机制。企业风险管理原则是在新的技术与市场条件下对内部控制的自然扩展，企业风险管理应用于战略制定与组织的各层次活动中。它使管理者面对不确定性时能够识别、评估和管理风险，发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致，将风险与增长及回报统筹考虑，促进应对风险的决策，减小经营风险与损失，识别与管理企业交叉风险，为多种风险提供整体的决策，捕捉机遇以及使资本的利用合理化。

三、内部控制在风险管理中的作用

（一）内部控制和风险管理根本作用的一致性

内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。一般来说，恰当地运用内部控制，有利于企业改善经营活动，提高工作效率及经济效益。内部控制是否健全，是企业经营成败的一个关键，其主要作用有统合作用，制约与激励作用和促进作用。建立和实施内部控制，可发挥如下作用：

（1）保护财产安全。通过内部控制程序加强对现金、有价证券和存货等流动性资产的保护，以防止出现舞弊和无意过失。

（2）保护会计记录的可靠。要提供可靠的财务报告，必须保证具有可靠的会计记录。通过严格内部控制，保证各项经济业务被真实、完整无误地记录下来，并且经过审核以得到

可靠的会计记录。

（3）及时提供可靠的财务信息。通过内部控制提高可靠的财务信息，以便于管理者做出正确的经营决策，股东、贷款人和其他各方做出正确的投资决策。

（4）减少费用，增加盈利。通过内部控制，采取必要措施避免不必要的损失，增加盈利，如防止未经批准的支出，向未经批准的顾客发货等。

（5）减少和避免无意识的风险。企业经济活动不能消除所有风险，但管理部门可采取内部控制措施有意识地减少和避免面临的风险。

（6）预防、查核和纠正错误和弊端。一是在设计内部控制时，尽量从业务本身的循环特性出发，找出可能出现错误和弊端的风险以便设置相应控制要点加以控制；二是在实施内部控制时，及时发现错误和弊端，采取必要的措施予以纠正。

（7）保证正确履行所授予的职责。企业通过内部控制，明确各职责的范围、权利和达到的工作要求并将其有效传递给相关员工，同时实施必要的审核，保证不相容职务的分离和员工正确履行所授予的职责。

（二）通过风险管理降低内部控制的成本、增强内部控制的有效性

目前我国许多企业的内部控制还相当脆弱，主要体现为：客观环境的局限性、投资者风险意识淡薄、对内部控制的重要性缺乏认识、企业内部缺乏制衡机制、对管理系统缺乏控制力等等。这就要求企业内部控制必须有所创新和发展。ERM将内部控制的目标分为四种类型：战略目标、经营目标、报告目标和遵循性目标，明确提出终极目标为增加利益相关的价值。由此可见，随着内部控制目标日益扩展，层次也由管理的业务层上升到自战略层而下的整个管理过程。因此，ERM框架使董事会在企业风险管理方面扮演更加重要的角色（董事会既是内部控制的重要因素，也是风险管理的重要因素）。

企业的资源是有限的，控制也是需要成本的。如果将企业的主要精力放在所有细小的、微不足道的控制上，就往往会舍本逐末。所以，ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上。这就要求将内部控制和风险管理有效地结合起来，通过风险管理有效降低企业内部控制的成本，使企业能够更加有效地加强内部控制和规范风险管理。因此，为了加强风险管理与企业内部控制，应把维护与促进价值创造这一根本功能作为两者规范的主要内容。为了更有效地保护投资者利益，需要在内部控制的基础上发展更主动、更全面的风险管理。ERM无疑是明确了内部控制与风险管理的关系，要求将两者有效地结合起来，认为只有这样才使企业能够更加有效地加强内部控制和规范风险管理。

（三）内部审计通过风险管理促进内部控制的完善

内部审计制度是现代企业风险管理和内部控制机制的重要组成部分，是保证现代企业规范经营、合法运行规避风险、提高效益所必备的监督机制，并且具有对监督机制再监督的作用。作为内部控制的重要组成部分，内部审计应用现代风险导向审计模式，分析企业存在的风险因素，警惕影响企业目标的重大风险。内部审计从风险识别、风险评估、风险应对、风险防范和监控等方面参与风险管理，报告企业潜在的重大风险，提出应对措施。通过落实审计建议，督促企业采取有效风险控制措施。审计人员通过对风险的之别、衡量和分析，并在此基础上进行有效的控制，用最经济合理的方法处理风险，从而使企业风险达到可控、在控、能控；从而逐步完善、扩展当前的内部控制体系。

内部审计在风险管理中发挥不可替代的独特作用。主要有以下几方面：

（1）能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，

而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动，独立于业务管理部门，这使得他们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。

（2）控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。

（3）内部审计部门的建议更易引起重视。内部审计部门独立于管理部门，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。

四、电力企业内部控制与风险管理的结合的实践

1、企业以风险管理强化内部控制的建全性和有效性。

安徽省电力公司近两年在公司系统内开展了风险管理（经济平安）工作，在经济领域实施风险管理，其工作内容就是在梳理企业经济活动中所有重要部位、重要环节的基础上，确定企业经济活动关键控制点，通过对关键控制点的内部控制制度是否建立健全、是否有效执行两个方面的判断来识别风险。而后通过对风险的评估（风险分析和评价）和风险的处理，强化内部控制的建全性和有效性，实现经济平安的在控、可控、内控；从而形成电力企业在经济平安方面的常态和长效机制。

2、内部审计以“风险管理”提高内部控制评价的质量

近两年，内部审计为了提高内部控制评价项目的质量，在审计项目立项、实施过程中都充分地引入的“风险管理”理念。即以“经济平安”为目标，围绕公司中心工作，依据风险导向内部审计“目标→风险→控制”的管理理念，围绕目标展开风险识别和评估，以评估结果确定审计项目计划和审计重点内容，通过审计实施，对风险控制和风险管理提供合理化建议。

如在审计立项方面：内部审计在制订年度审计项目计划时就对可能影响机构的风险进行评估的基础上进行，一是通过开展公司经营风险自我诊断问卷调查摸清了高风险领域；二是通过和组

人、农电、监察等部门座谈充分听取各部门的意见，掌握信息；三是通过对以往的审计成果进行提炼分析公司的薄弱环节。从而使审计项目计划能够真正把握风险、突出重点。

再如在审计方案方面：内部审计在审计项目实施过程，运用风险管理的方法，以风险为导向，对审计项目（业务环节）的关键控制点进行评估，拟在确定审计重点及其他需要关注问题，为审计方案的制定奠定基础。评估分风险辨识、风险分析及风险评价三个阶段，风险辨识是查找关键控制点控制存在哪些风险，风险分析是对辨识出的风险及其特征进行描述，风险发生可能性的高低、风险发生的条件，风险评价是评估风险对目标的影响程度。风险分析和风险评价内容是确定审计项目重点内容和编制审计方案的重要依据。

第二篇：企业内部控制与全面风险管理探析

百科论坛企业内部控制与全面风险管理探析应荣凤　中科院林产化学工业研究所　江苏南京　210042【摘　要】企业内部控制的完善与否直接决定着会计信息的真实性和企业经营的成败,在现代企业制度当中内部控制显的尤为重要,但内部控制是不能等同于全面风险管理的,企业应当认识到内部控制与风险管理的辨证关系,充分发挥二者在企业管理中的作用,来完善内控制度防范和化解企业的风险·【关键词】内部控制　风险　管理　　内部控制可以在一定程度上帮企业防范化解风险,但是不能取代全面风险管理的全部工作,企业应当认识到内部控制与风险管理的区别和联系,充分发挥二者在企业管理中的作用,来完善内控制度建设防范和化解企业的风险·本文详细阐述了内部控制与全面风险管理的内涵与重要性,为企业管理者构建内部控制体系加强风险管理提供了可供参考的意见。一、内部控制与风险管理的内涵与发展(一)内部控制的内涵与发展。内部控制的概念是在实践中逐步产生、发展和完善起来的。COSO《内部控制统一框架》给出了目前内部控制的权威概念。该报告认为内部控制是由企业董事会、经理阶层和其他员工制定和实施的,为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标而提供合理保证的过程。它由控制环境、风险评估、控制活动、信息与沟通、监控五大要素构成。我国独立审计具体准则将内部控制定义为“被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序”。该准则同时规定内部控制应包括下列五个要素: (一)控制环境;(二)被审计单位的风险评估过程; (三)与财务报告相关的信息系统(包括相关的业务流程)和沟通; (四)控制活动; (五)对控制的监督。可见,我国审计准则关于内部控制的相关规定与CO-SO《内部控制统一框架》保持了高度的一致。该定义显示出我国理论界对内部控制的理解取得了突破性的进展,并与国际逐渐接轨。(二)风险管理的内涵与发展。多年来,人们在风险管理实践中逐渐认识到,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看待风险。也就是说,企业要实行全面风险管理(简称ERM)。然而,尽管很多企业意识到全面风险管理,但是对全面风险管理有清晰理解的却不多,因此有必要借鉴COSO的相关研究成果界定风险管理的内涵,以期能为企业选择风险管理的方案提供更多帮助。企业风险管理是企

业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益的实现。企业风险管理(ERM)框架是由Treadway委员会所属的美国虚假财务报告全国委员会的发起组织委员会(COSO)在内部控制框架的基础上,于20xx年9月提出的企业风险管理的整合概念。根据《COSO全面风险管理整合框架》,企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成。二、内部控制与风险管理是辨证统一的(一)内部控制是全面风险管理框架结构的一部分。我们以COSO《内部控制统一框架》与《全面风险管理整合框架》为基准,就可以发现全面风险管理除包括内部控制的三个目标之外,还增加了战略目标。全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定,事件识别和风险对策三个要素。由此可见,全面风险管理涵盖了内部控制。(二)内部控制实质内容有别于全面风险管理。两者存在以下几项重要差异。其一,内部控制是管理的一项职能,全面风险管理贯穿于管理过程的各个方面,属于风险范畴。其二,在全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”,而将产生正面影响的事件视为机会);但是内部控制框架对风险与机会并未作出明确的划分。其三,全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。这些内容都是内部控制框架中没有的,也是其所不能做到的。(三)内部控制与全面风险管理最终目的是统一的。内部控制或风险管理的根本作用都是维护投资者利益、实现资产保值增值。从理论上说,企业的内部控制是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,捕捉机遇以及使资本的利用合理化。　　三、构建现代企业内部控制体系防范和化解企业风险　　(一)企业管理者要充分认识到内部控制与全面风险管理的区别。风险防范是内部控制的动力源泉,并构成风险管理的必要一环,但不能将内部控制与风险管理本身等同起来。事实上,内部控制只能防范风险,不能转嫁、承担、

化解或分散风险。风险管理由风险识别、风险评估、风险对策、风险监测等一系列环节组成。企业内部控制的基础是对企业面临风险的识别和评估。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险,更不能转嫁、承担、化解、分散风险。(二)企业的内部控制体系要以风险评估为前提。风险导向型内部控制的本质特征是以风险的评估为基础,这是内部控制与全面风险管理结合的一个重要途径。这就要求企业对所经营的项目进行风险的评价,评估出项目风险的种类、风险的级别,寻找风险产生的原因,并采取相应的风险防范或控制措施。企业构建风险导向型内部控制可以兼顾内部控制与全面风险管理两个方面的工作,可以有效的减少企业的工作压力,并有利于部门之间的沟通。(三)构建合理管理团队。内部控制与全面风险管理的实施者是。人是观念创新的根本和灵魂,企业制定经营目标,设置核算机制,都必须依靠人的创造性工作。我国传统文化是儒家文化,以人为本是儒家管理理念最鲜明、最重要的标志。强调以人为本,要求企业内部控制要充分发挥人的作用,依靠提高人的综合素质、道德水准和法规意识,充分发挥控制者和被控制者的主动性、积极性和创造性,从而达到内部控制的最佳效果。内部控制的成败,取决于企业员工的控制意识和行为,而企业领导者的内部控制意识和行为是关键。企业领导者内部控制的随意性往往会限制内部控制作用的发挥,严重的甚至会影响到整个企业的发展。参考文献:[1]潘秀丽·企业内部控制研究[M]·中国财政经济出版社·2005[2]廖良林·企业内部控制与风险管理的关联性思考[J]·贵州工业大学学报·2008·01[3]赵联盟·重论全面风险管理体系建设[J]·现代商业银行·2005·08[4]邹香·企业内部控制低效原因的反思[J]商业研究,2005, (17)·202