企業(yè)的風險管理與企業(yè)自身的內部控制體系是否完善存在著密切的聯(lián)系,，一個完善的內部控制體系能夠幫助企業(yè)規(guī)避經營風險,，提高管理水平，增強自身核心競爭力,，作為煉化企業(yè),，對于風險的防范與掌控顯得尤為重要。本文通過結合目前我國經濟管理政策,，分析與風險管理緊密結合的內部控制的重要性,，并針對目前企業(yè)存在的不足，提出二者結合的改善策略。

 

一,、企業(yè)風險管理含義

 

企業(yè)風險管理應視為一個持續(xù)的執(zhí)行過程，緊密結合在企業(yè)經營戰(zhàn)略的設定之中,，通過企業(yè)的管理層及其他相關人員共同協(xié)作執(zhí)行,，其理念及制度應貫穿于整個企業(yè)運營過程中，為每一名企業(yè)員工所熟知和運用,，從而確保能夠及時發(fā)現(xiàn)企業(yè)可能存在的潛在風險,，使一切風險都處于可控狀態(tài)，為企業(yè)經營目標的達成提供有力保障,。企業(yè)的風險管理通常分為八點要素,，相互關聯(lián)，相互協(xié)作,，貫穿于企業(yè)經營活動始終,。其內容包括：

 

1、內部環(huán)境識別,。所有企業(yè)風險管理要素均是以企業(yè)自身的內部環(huán)境為基礎的,，只有明確了企業(yè)內部環(huán)境的特點，才能制定出切實有效的風險管理的框架及規(guī)則,。通過對企業(yè)內部環(huán)境的認知,，能夠幫助管理人員正確制定企業(yè)戰(zhàn)略及經營目標，從而有效地開展業(yè)務活動,，并且準確地識別風險,、評估風險并及時應對。

 

2,、制定經營目標,。管理人員在制定企業(yè)經營戰(zhàn)略目標時，應當根據(jù)企業(yè)的經營任務及預期內容進行科學的分析和設計,，從而確保戰(zhàn)略實施的可行性,，并切實將相關目標分層分級地落實到企業(yè)內部各個部門及各個崗位。

 

3,、企業(yè)風險評估,。管理人員在評估企業(yè)風險時，應當從發(fā)生可能性及影響程度兩方面進行周密考慮,，并且結合企業(yè)即期的經營戰(zhàn)略及經營目標進行具有戰(zhàn)略眼光的風險識別和評估,。

 

4、經營事項評估,。在企業(yè)的運營過程中,，往往存在著較多不確定性，這些現(xiàn)階段結果尚不明確的事項可能會對企業(yè)具有積極的影響,，也可能存在著消極影響,，甚至二者同時并存,。因此，企業(yè)管理人員應當及時對這些不確定性予以識別和評估,，認識到事項的負面影響即是企業(yè)的潛在風險因素,，必須盡早識別和評估，并預先制定出應急措施,。

 

5,、風險應對方案。面對風險的發(fā)生,，風險應對反應包括規(guī)避風險,、控制風險、承擔風險及轉移風險四種,，作為企業(yè)的風險管理,，應當針對不同的風險，制定出相應的風險應對反應方案,，從而確保將風險的影響降至最低,。

 

6、風險控制措施,。當風險應對反應方案開始執(zhí)行時,，制定正確的風險控制措施，能夠確保反應方案遵循正確的流程得以有效執(zhí)行,。因此,，控制措施應當針對企業(yè)的不同層面、不同部門及不同崗位全面制定和落實,，其要素包括規(guī)范的應對政策及對政策產生影響的一系列操作章程,。

 

7、信息獲取及溝通,。企業(yè)應定期對來自內外部的信息進行獲取,、識別，并通過固定的格式予以保存和傳遞,，從而幫助企業(yè)員工正確執(zhí)行自身職責,，并提供執(zhí)行結果的參考和評估。此外,，還應當保持溝通順暢,，包括企業(yè)由上而下、由下而上的縱向溝通,，各部門間的橫向溝通,，以及企業(yè)與外部環(huán)境間的信息交換。

 

8、風險效果監(jiān)控,。企業(yè)應當及時對風險管理要素有關內容的合理性和完善性進行定期評估,，并對風險管理的運行情況進行評估和監(jiān)督。其方式可采取持續(xù)性監(jiān)控和個別要素評估兩類,。

 

二,、內部控制的含義

 

內部控制是一個循環(huán)往復的動態(tài)過程，其內容包括控制目標設計,、控制執(zhí)行、執(zhí)行評價,、目標改進等多個環(huán)節(jié),，為企業(yè)提供持續(xù)不斷的信息反饋，使企業(yè)能夠準確掌握當前自身運營情況,，以及內外部環(huán)境對自身帶來的機遇及影響,。

 

企業(yè)在獲取信息的同時，還能夠通過對內部控制設計及執(zhí)行過程進行評估,，從中獲得當前內部控制體系的有關信息,，從而能夠及時進行內部控制體系的完善和補充。而內部控制的評估內容,，主要包括對企業(yè)現(xiàn)行內部控制體系設計及執(zhí)行的合理性,、有效性及完整性進行系統(tǒng)的審核、檢驗及分析等工作,。其作用主要包括：

 

1,、確保企業(yè)管理的完善性。企業(yè)的經營管理應當順應外部經濟環(huán)境的變化不斷做出調節(jié),，以便適應新的發(fā)展形勢,，這一要求便需要企業(yè)對內部控制進行不斷的評估和完善，從而及時發(fā)現(xiàn)其中的缺陷和漏洞,，杜絕營私舞弊,，改善薄弱環(huán)節(jié)，從而提高企業(yè)的內部管理水平,，增強企業(yè)競爭力,。

 

2、有利于充分發(fā)揮審計職能,。目前,，審計已經發(fā)展到抽樣審計的高度，企業(yè)實行內部控制評估,，能夠依據(jù)評估結果明確審計范圍,，突出審計重點，尋求最佳審計方法，使審計效率得到有效提高,，并充分發(fā)揮審計的重要職能,。

 

3、提供各方決策依據(jù),。內部控制評估結果公布后,，除了企業(yè)自身之外，有關部門均能據(jù)此對企業(yè)財務報告的可信度進行評價,，了解企業(yè)的長期可持續(xù)發(fā)展能力,、成長性、運營合法性等多個方面,，從而制定下一步的行動決策,。

 

三、企業(yè)內部控制與風險管理之間的關系

 

2004年,，COSO經過4年的研究之后,，在之前《內部控制統(tǒng)一框架》理論的基礎上發(fā)布了《全面風險管理統(tǒng)一框架》，為全面風險管理提供了執(zhí)行標準和依據(jù),，在這一新的理論中,，全面風險管理增加了三項內部控制目標，以及相應的管理戰(zhàn)略目標,。由此可見,，內部控制與風險管理日趨融合趨向。然而,，全面風險管理與內部控制仍然具有一定的差異：

 

1,、全面風險管理作為一個持續(xù)性的執(zhí)行過程，貫穿于企業(yè)管理始終,，而內部控制則是企業(yè)管理職能中的一項,。此外，全面風險管理內容包含了戰(zhàn)略風險,、財務風險,、市場風險、運營風險,、合規(guī)風險等多項風險內容,，企業(yè)能夠通過這些風險的分析和評估獲取機遇，規(guī)避或預知影響,。而內部控制則沒有對風險和機遇進行明確的區(qū)分,。

 

2、全面風險管理理念中包含了風險偏好,、風險應對策略,、風險零容忍度等戰(zhàn)略要素,，因此能夠對風險進行準確全面的度量和評估，確保企業(yè)在風險偏好及運營發(fā)展戰(zhàn)略方面保持一致,。內部控制則是企業(yè)內部面對可能遇到的風險所采取的各種應對措施及方法,，完全依據(jù)風險內容進行控制機制的制定及實施，內部控制措施的必要性與風險系數(shù)呈正相關的關系,，企業(yè)在運營過程中,，需要以具體的內部控制措施為有效手段，對各種風險進行控制和評估,，從而將潛在的各類風險扼殺在萌芽之中,。

 

四、我國企業(yè)風險管理及內部控制現(xiàn)狀

 

國資委2006年頒布了《中央企業(yè)全面風險管理指引》,，將國外先進風險管理經驗與我國企業(yè)特色相結合,，作為我國企業(yè)實施全面風險管理的重要依據(jù)和理論指導。2008年財政部會同相關部門聯(lián)合發(fā)布《企業(yè)內部控制基本規(guī)范》,，2010年再次發(fā)布《企業(yè)內部控制配套指引》，為我國企業(yè)內部控制與全面風險管理相結合的企業(yè)管理體系提供了理論指導依據(jù),。這些法律法規(guī)均促使企業(yè)充分審視,、完善和加強自身內部控制管理工作，將風險管理理念列為管理重點,，以有效的內部控制為基礎,，科學融合了現(xiàn)代企業(yè)管理體系中的風險管理理念，從而不斷提升自身的風險管控能力,。然而,，全面風險管理工作仍然處于起步階段，與國外先進管理體系相比,，仍然存在著不足之處,，具體包括：

 

1、未能充分認識風險管理的重要性,，執(zhí)行力度不足,，對于內部控制與風險管理之間的關系概念模糊。部分企業(yè)將風險管理和內部控制分裂開來,，視為兩種彼此獨立的管理體系,，部分企業(yè)則僅僅將內部控制視為全面風險管理的一種手段，弱化了內部控制的重要作用,。這些概念上的模糊認識使部分基層管理人員產生了管理體系重復,、冗雜的誤解，并使內部控制與全面風險管理體系彼此脫節(jié),，不利于企業(yè)風險管理的完善和發(fā)展,。

 

2,、偏重合規(guī)性，忽視實踐性,。部分企業(yè)過分強調全面風險管理體系的制度及手冊等文件完善,，卻忽視了制度的執(zhí)行、監(jiān)督,、評估和反饋等實踐工作,，從而不利于全面風險管理的執(zhí)行報告及偏差糾正。

 

3,、運行機制不到位,。在部分風險系數(shù)較高的運營環(huán)節(jié)、經營領域及關鍵風險控制點,，對風險因素的預警,、應對及追蹤力度仍顯不足，或存在落實不到位的情況,，尚需做進一步的完善和補充,。

 

五、完善內部控制及風險管理體系的建議

 

（一）充分評估企業(yè)當前風險,，設計切實可行的內部控制體系

 

內部控制體系必須緊密依據(jù)企業(yè)的風險評估結果,，因此在制定切實可行的內部控制體系時，必須首先全面評估企業(yè)風險,，并根據(jù)企業(yè)的實際情況從設計,、執(zhí)行、評估,、完善等四個環(huán)節(jié)進行內部控制體系設計,，其中，設計環(huán)節(jié)是極為重要的一環(huán),，這一階段關系到企業(yè)內部控制體系是否科學可靠,、切實可行，企業(yè)應當從自身經營情況及管理特點出發(fā),，注重全面性和科學性,。

 

在執(zhí)行環(huán)節(jié)，應當注重內部控制制度的可操作性,，并根據(jù)企業(yè)各部門,、各層級的技術特點，制定實質性的管理制度,。在評估環(huán)節(jié),，應當注重內部控制預期目標達成率的評估，并確保評估的客觀性,、公正性和透明度,，以便為管理人員提供真實有效的決策依據(jù),。在改善階段，應及時對控制制度進行跟進和修正,，并保持其改善的穩(wěn)定性,、科學性及實質性，并制定事前,、事中及事后的監(jiān)督機制,。

 

（二）根據(jù)企業(yè)特點，制定明確的可執(zhí)行制度

 

建立起切實可行的內部控制體系后,，還應根據(jù)企業(yè)自身特點,，制定出細致而嚴密的執(zhí)行制度，其中包括：（1）科學設定控制目標,，詳細劃分控制責任,，明確進行控制授權，使各部門,、各崗位準確了解自己所承擔的控制職責,，牢記被賦予的控制權限，從而使內部控制制度權責分明,，目標明確,，具有較高的執(zhí)行力，同時,，一個明確而詳盡的執(zhí)行制度，能夠為企業(yè)各部門,、各崗位提供行動指南,；（2）分離不相容崗位，降低人為風險,。此類分離應廣泛包含部門之間,、機構之間、機構內部人員之間,，從而掃清內部控制障礙,，最大限度填補管理漏洞，防范和降低人為潛在風險,。

（三）完善組織機構,，充分發(fā)揮內部審計部門職能

 

企業(yè)可根據(jù)自身特點建立完善的風險管理機構：一是建立由企業(yè)負責人負責的全面風險管理領導小組，全面負責指導企業(yè)的風險管理工作,；二是設立專職部門或確定相應職能部門,，具體履行全面風險管理職責；三是發(fā)揮內部審計部門的作用,，負責研究提出全面風險管理監(jiān)督評價體系,，開展監(jiān)督與評價,，出具監(jiān)督評價審計報告。其他職能部門及各業(yè)務單位在全面風險管理工作中,，應接受風險管理職能部門和內部審計部門的組織,、協(xié)調、指導和監(jiān)督,。

 

（四）增強風險意識

 

企業(yè)各部門應當提高風險意識,，嚴格依據(jù)企業(yè)制定的規(guī)章制度執(zhí)行，防范杜絕把關不嚴,、執(zhí)行不力等不良現(xiàn)象,，避免因此導致的以權謀私、監(jiān)守自盜等損害企業(yè)利益的行為,，從而降低企業(yè)資產遭受損失的風險,。此外，信息經濟時代的到來造就了外部復雜多變的經營活動,，企業(yè)越來越廣泛地使用互聯(lián)網技術,，投身電子商務活動之中，企業(yè)應高度重視網絡數(shù)據(jù)的風險控制,，提高商業(yè)信息安全的風險意識,，防范內部員工的道德風險及系統(tǒng)漏洞所造成的技術風險，從而避免給企業(yè)資產造成重大損失,。

 

（五）提高企業(yè)各部門協(xié)同能力

 

企業(yè)應培養(yǎng)內部各部門的整體意識,，明確企業(yè)作為利益整體，工作必須從整體利益出發(fā),，內部控制不能狹隘地謀求部門或個人自身的利益,，積極增進各部門、各層級間的信息共享,，加強信息溝通,，建立起相互協(xié)作、相互配合,、彼此促進的團隊精神,，在工作中互通有無，做到問題及時發(fā)現(xiàn),、共同分擔,、共同商討，從而及時填補內部控制的漏洞,，提高企業(yè)的經營效益,。

 

六、結語

 

面對目前日益復雜化的內外部環(huán)境,，企業(yè)應高度重視內部控制及風險管理,，結合自身特點建立起科學有效的內部控制體系,，從而更好地規(guī)避風險、提高企業(yè)管理水平,，增強企業(yè)自身的核心競爭力,。