内部控制与风险管理企业内部控制与风险管理的管理要点

不论什么观点，内部控制与风险管理在本质上是协调共存

随着经济社会的高速发展，企业在实际经营管理中面临各种各样风险的挑战，风险时刻威胁着企业的财产安全与可持续发展。

企业内部控制与风险管理是企业内部确保企业资产安全、会计信息准确、扩大企业利润的主要管理制度。

二者虽然独立存在，但是目标一致、联系紧密、相辅相成、缺一不可。

内部控制和风险管理共同抵御风险，实现企业利益最大化目标。

本文通过对内部控制体系和风险控制体系的论述，了解其现状，并结合企业自身实际情况找出解决之路。

企业为什么需要内部控制与风险管理

亲，您知道吗，企业需要内部控制与风险管理有四点原因: 一、企业的内部控制是保证企业正常经营的基础，内部控制的好坏直接关系到一个企业的经营成败。

为了提高企业效益，加强管理，减少工作失误，合理的调配各种有一资源，需要我们建立现代科学合理的企业内部控制制度，企业内部控制制度的建立完善与否是现代企业管理水平的标志之一。

二、是为了防范风险与树立投资者信心。

实施企业内部控制评价符合国际惯例，有助于揭示企业内控重大缺陷，维护投资者利益和资本市场秩序。

投资者对投资行为的选择，不仅仅基于财务数据和相关信息，还要基于对公司内部控制系统设计与运行质量的分析，以判断企业的抗风险能力。

企业的风险来自于两大类:一是来自于违背外部强制性规定，包括合规性、财务报告及相关信息的真实可靠、资产的安全；二是来自于内部管理系统的适应性，包括战略定位与实施手段、管理的效率与经营的效果。

第一类风险的发生将使企业承担违规成本，导致企业价值下降，第二类风险的发生将直接影响企业获取现金流的能力，增加投资回报的不确定性。

企业建立内部控制系统就是为了防范上述风险。

三、推行内部控制是企业加强交流沟通，促进信息对称的根本途径。

可强化单位内外对内部控制制度的理解，促进各相关单位或部门之间信息的对称和透明，加强部门之间在授权、不相容职务相分离、独立业务审核、资产和记录的接近限制等具体控制环节的协作和配合，按照成本效益原则优化内部控制结构，并根据各部门沟通反馈的因管理环境或业务性质的改变情况，适时调整、完善内部控制系统，从而保证内部控制的健全有效。

四、推行内部控制是企业改善内部控制，加强内部监督制约的有效手段。

内部控制的有效执行，仅靠各部门和相关人员的自主执行是不够的，常常会因为相关部门和相关人员的串通作弊或不作为而失效，因此还需要建立健全监督机制，对内部控制运行质量不断进行评估，即对内部控制设计、运行及修整活动进行评价。

通过审查和评价内部控制的健全性和有效性，评价相关部门和人员执行内部控制制度的情况，监督其充分、有效地执行内部控制制度。

全面风险管理与内部控制要做哪些工作

内部控制与企业全面风险管理的区别和联系 　　区别在于： 　　1. 两者目标不同。

风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷； 　　2. 两者组成要素不同。

相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观； 　　3. 两者的范畴不一致。

内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在； 　　4. 两者的活动不一致。

内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动； 　　5. 两者对风险的定义不同。

全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会； 　　6. 两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。

在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。

这些内容都是内部控制框架中没有提出的。

　　它们之间的联系有： 　　1. 内控或风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值。

从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对； 　　2. 内控是企业风险管理的必要环节，在全面风险管理中扮演关键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。

　　内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。

　　全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

　　内部控制与风险管理关系十分密切，内部控制和企业全面风险管理既有横向交叉又有纵向融合，风险管理是企业为了适应时代的变化，以内部控制为架构演变成另一种以达到某种目标的过程和方法。

二者在要素、目标、含义等方面有很多联系和相同的地方，既是独立又有关联的体系，是针对企业所不同的需求而演变成的两种过程与目标。

企业内部控制与风险管理的管理要点

构建风险管理下的内部控制体系的要点 3.1营造良好的内部控制环境 内部控制环境是内部控制实施的根本环境，是推动企业发展的动力，也是其他风险管理因素实施的基础，其对企业内部控制的构建与实施具有重大的影响，可以说企业的控制环境直接决定了其内部控制与风险管理的效率和效果。

（1）深化对内部控制的理解，树立风险管理理念。

深化对内部控制的理解，首先应突破对传统的内部控制的理解，应认识内部控制不仅局限于会计层面，内部控制包含更高层次的战略目标，在电力设计企业向多元化经营、总承包和海外项目转型发展的过程中，就要从战略高度进行风险管理和内部控制。

再者，无论是企业的管理层，还是企业的员工都应具有风险管理意识，并把风险管理意识贯穿于企业的生产经营过程中，包括业务管理、职能管理、质量与安全管理等各方面。

风险管理理念的培养可以通过企业领导层的表率作用、相关的培训及相关的规章制度来实现。

（2）建立公司治理结构并充分发挥各机构职责。

企业各层级各部门之间应分工明确，并相互监督、相互牵制。

公司可以通过公司章程的规定及完善相关的激励约束机制来保障公司机构职责的实现。

非常重要的一点是，电力设计企业的最高管理机构，要对内部控制的建立和实施负责。

企业应下设内控控制与风险管理的建设、监督管理机构，各机构分别负责各方面的工作，并相互监督、相互制约。

5.1完善法人治理结构，为全面风险管理的内控体系建设创造一个良好的内部控制环境。

建立一个健全的内部控制体系，实际上就是完善法人治理结构的体现，大多数电力设计企业设立了内部审计机构，但多数内部审计机构隶属于财务总监或总经理领导，因此将电力设计企业的内部审计机构升级为公司董事会审计委员的组成部分或工作部门，这样将进一步明确内部审计机构在电力设计企业内部控制方面的主体地位。

（3）培养员工的职业道德和胜任能力。

企业员工是企业生产经营活动的执行者，员工良好的职业道德可以保证企业经营活动的顺利进行，可以避免舞弊事件的发生。

员工的知识和技能必须与所在岗位所需能力相匹配，这是经营活动和内部控制活动得以有效运行的基本保障。

为此，企业应以诚信等职业道德作为员工的行为准则，建立奖惩机制，加强员工的再教育，对关键岗位实行定期轮岗制。

3.2设定企业战略目标 企业应根据企业的使命或愿景来设定企业的战略目标，战略目标是企业的最高目标，其他目标为战略目标服务。

企业根据战略目标再层层分解，并由各部门来落实。

战略目标的制定应考虑企业的风险容量，企业实现战略目标所面临的风险应在企业风险容量之内。

3.3完善风险管理体系 企业应建立风险导向型内部控制体系，只有把风险管理落实到企业的各个环节，才能控制风险。

完善企业风险管理体系，应关注一下几点： 第一，建立风险预警机制。

企业应通过目标分析、过程分析等方法来识别影响企业目标实现的内部及外部的潜在事项，分清潜在事项是机会还是风险，明确风险预警标准。

风险预警机制的建立对企业及时抓住发展机会，及时评估、处理风险具有重大意义。

第二，建立风险评估体系。

企业应对已识别的风险进行进一步的分析与评估，分析潜在风险是固有风险还是剩余风险，分析风险发生的可能性及其影响，并关注重大风险。

评估现有的内部控制对风险的适用性，是否需要追加程序等。

在评估风险时应注意运用风险组合观。

第三，建立风险反应机制。

风险应对是控制风险的关键步骤，在风险评估后，企业应针对风险发生的可能性、影响的不同程度，采取不同的应对措施，其中应特别关注重大风险。

风险应对措施包括回避、降低、承担和分担风险。

同时，在风险应对中要考虑成本与效率的问题。

3.4建立良好的控制活动 企业应建立良好的控制活动以确保管理层应对风险的各种措施得以有效执行，控制活动贯穿于企业各个部门，各个层面及其活动。

控制活动应该包括：对员工绩效的分析与考核，部门的自我复核，对信息处理的控制（包括一般控制和应用控制），实物资产的控制，责任划分与不相容职位相分离控制。

3.5充分的信息与沟通 在经营过程中，企业应建立信息的传递和沟通以确保员工了解内部控制，明确自己的职责。

同时通过对外部市场信息、政策信息、顾客信息、竞争对手信息的了解和掌握，通过与各方的沟通，有利于企业及时处理风险、抓住机会，实现更好的发展。

企业可以通过员工手册及建立信息收集与处理系统来实现。

3.6建立内部控制监督与评价机制 对内部控制的监督与评价是确保内部控制制度得到有效执行的重要手段，同时有利于企业管理层及时了解内部控制存在的问题，可以为内部控制的改进提供建议，有利于内部控制体系的不断完善，进而帮助企业控制各种风险。

内部控制监督与评价机制的建立主要包括内部和外部两个方面： 第一，企业应建立独立、权威的内部审计机构。

内部审计机构的设置应与其他职能部门分离开来。

内部审计机构应具有执行审计决定和审计结论的权利，可以建立具有较强独立性与权威性的董事会领导型或监事会领导型的内部审计机构。

内部审计不应只局限于财务报表审计，应对企业资格内部控制系统进行全面的监督和评价，包括对企业财务信息、经营活动、控制活动进行审计及评价。

同时应提高内部审计人员的职业道德和业务素质，及形成不同职务之间相互检查、监督的机制。

第二，提高外部监督与评价。

由于内部审计主要对企业领导负责，所以内部审计具有固有局限性，可能会导致一些控制缺陷在权力干预下被掩盖，不利于企业内部控制的改善。

所以通常需要独立的第三方参与企业的监督与评价，以实现监督的职能。

首先，应完善内部控制信息披露制度，使企业接受政府、社会的广泛监督。

再者，可以借助第三方审计力量，最常见的就是定期聘请注册会计师对企业内部控制设计及执行情况进行审计及评价，并出具评审报告。

这也有利于监督企业内部控制的构建与实施，也有利于及时发现企业内部控制中存在的问题。

(2)风险评估 中石化根据企业的发展目标，由各部门收集全面的信息来确定企业的风险容量，并根据企业可能面临的内部风险和外部风险建立以内部控制为基础的风险评估和控制体系，对企业目标的实现有重大影响的关键环节进行全面的风险评估。

针对各部门面临的风险和责任制定内部控制流程。

中石化根据内部审计结果及在管理过程中发现的问题，不断对《内控手册》进行修订，各分（子）公司也不断修订实施细则。

动态的风险评估与应对为企业实现目标提供保障。

(3)控制活动 中石化的控制措施有：不相容职务分离控制、授权审批控制（以授权指引为核心)、会计系统控制（建立了统一的财务管理信息系统)、资金支付控制、财产保护控制、信息技术控制（采用先进的ERP管理信息系统控制）、计划控制、预算控制（全面预算控制）、合同管理控制、运营分析控制和科学的绩效考核控制等。

并将手工控制与自动控制相结合，将预防性控制与事中发现控制结合，建立了重大风险预警机制和突发事件应急处理机制。

通过业务控制矩阵明确每个控制点的业务目标、风险、责任单位、不相容岗位、记录文档等，为内部控制责任的落实提供指导。

对风险的描述就体现了全面风险管理的内部控制的要求。

中石化的《内控手册》保障了内部控制活动的进行，《内控手册》包含了采购、资产、信息管理、内部审计等18大类，59个业务流程，包含了企业经营管理活动的各个方面。

(4)信息与沟通 中石化采用先进的ERP管理信息系统，会计核算系统、资金集中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系统，并实行财务信息系统集中管理。

该系统让各业务部门人员的业务操作都统一在ERP系统上进行，企业录入业务数据后，生产、销售各环节即按相应的业务流程生成相关信息，并传送到公司总部数据库进行监控和分析。

中石化制定了相关的管理办法和业务流程，从一般控制、应用控制等方面对信息系统进行规范和控制。

企业不断完善信息搜集机制，完善信息沟通平台，《内控手册》也有相应的规定来保障企业部门之间、部门与各分或子公司之间及管理层与外界之间的沟通顺畅。

中石油按照相关法规的规定定期对外披露信息，对外信息披露由董事会和总裁办公室审核。

(5)内部监督 中石化设立了审计委员会负责对财务报告和内部控制的审查，由审计部定期独立审查分公司和子公司。

企业建立了两极内部控制日常监督机制，两极评价指的是总部综合检查和分公司、子公司自查测试。

总部综合检查主要是内控领导小组负责的年度综合检查和审计部对不少于25家分（子）公司进行独立检查，及对总部进行检查。

分公司、子公司自查测试工作主要是企业通过部门流程测试和有审计参与的综合检查评价进行自查测试，及总部部门自查和抽查评价。

除日常监督外，中石化还建立了针对内部控制一些重大方面的监督检查。

此外，中石化制定了《中石化监督制度汇编》，完善了企业的反舞弊制度。

通过制定内控控制执行情况指标对内部控制进行考核。

每年定期对内部控制的设计及执行情况进行评价，出具内部控制自我评价报告，并向外披露，接受外界的广泛监督，并聘请外部注册会计师对财务报告内部控制进行审计。

4.4中石化内部控制的评价 中石化制定《内控检查评价与考核办法》及指引来指导企业内部控制的评价。

并根据《内控手册》，检查内部控制设计是否健全；据《内控手册》所适用的内容及范围，检查内部控制执行的符合性和有效性。

中石化主要以内部控制缺陷认定和量化评分的方式对内部控制进行自我评价。

从内部控制要素、业务流程综合检查、单位自查情况等方面对内部控制进行评价，并制定了规范的内部控制自我评价流程图来规范评价，保障评价的公正性。

4.5中石化内部控制实施以来取得的效果 中石化自2005年实施内部控制以来，不仅提高了企业的管理水平，企业的盈利能力也随之增强，具体来说：中石化制度化管理体制不断完善，逐步形成了以内部控制为保障，具有中国石化特色的制度化管理体系。

不仅提高了企业的抗风险能力，保障企业目标的实现，也为国内其他企业内部控制的建立树立了榜样。

中石化管理水平不断提高。

中石油实行统一的物资釆购管理，规范企业物资采购，为企业节约了材料成本。

建立了产品原料等消耗标准，使企业生产经营管理日益精细化。

通过建立IT风险控制系统，使企业风险能力日益增强。

内部控制及其审计，提高了审计效率和效果，使企业管理水平不断提高。

内部控制的实施加快了企业规章制度的建立，明确了各企业机构、部门及各岗位的职责和权力，对业务操作流程的规范也提高了企业管理效率和管理水平。

中石化内部控制的实施满足了外部监管的要求。

中石化作为在境内外三地上市的公司，其内部控制的实施与披露满足了各上市地的要求，内部控制自实施以来也得到了不断的完善和改进。

内部控制的实施使中石化内部环境不断优化，内部控制的实施保障了公司的体制改革，使公司治理结构不断完善，使企业文化得到了统一和贯彻实施，《员工守则》的制定规范了员工的行为，也使风险管理和诚信经营的理念深入人心。