企業(yè)內部控制與風險管理關系

1、企業(yè)內部控制與風險管理關系企業(yè)內部控制與風險管理關系企業(yè)內部控制與風險管理關系資料僅供參考文件編號：2022年4月企業(yè)內部控制與風險管理關系版本號： A修改號： 1頁 次： 1.0 審 核： 批 準: 發(fā)布日期： 企業(yè)內部控制與風險管理 內部控制與企業(yè)風險管理之間的聯(lián)系是十分緊密的。內部控制的實質是風險控制，風險管理是內部控制的主要內容，企業(yè)風險管理包容內部控制。但兩者之間的關系并不是簡單的相互關系，兩者之間存在著相互依存的、不可分離的內在聯(lián)系。目錄1 背景分析2 問題與誤區(qū)3 管理要點背景分析編輯內部控制與風險管理的關系內部控制與企業(yè)風險管理之間的聯(lián)系是十分緊密的。內部控制的實質是風險控制，

2、風險包含內部風險和外部風險，對內部風險的控制即內部控制，從這一概念來說，風險管理是內部控制的重要內容，企業(yè)風險管理包含內部控制，但兩者之間的關系并不是簡單的相互關系，兩者之間存在著相互依存的、不可分離的內在聯(lián)系。主要表現(xiàn)在：組成部分重合內部控制與風險管理的組成要素中，其中控制環(huán)境、風險評估、控制活動、信息與溝通以及監(jiān)督這五個要素是重合的。最終目標相同內部控制與風險管理的目標都包括：經營目標、合規(guī)性目標、報告目標。參與主體相同內部控制與風險管理都是全員參與的過程，最終責任人都是管理者，且兩者的實施主體、過程也是一致的。風險防范是內部控制的一個重要目標，有了風險防范的目標，內部控制才顯得十分重要，

3、其也才有發(fā)揮作用的廣大空間。風險包含內部風險和外部風險，內部風險存在于企業(yè)的各個生產經營活動環(huán)節(jié)；內部控制其實是一種管理規(guī)范，其建立過程控制體系，并描述關鍵控制點，通過流程的形式直接直觀的描述企業(yè)生產經營業(yè)務過程。內部控制的執(zhí)行過程正好為風險信息的收集帶來了極大的便利。所以，內部控制是風險管理的重要的手段之一。內部控制的一個基本作用是控制風險；風險管理是指在企業(yè)生產經營過程中，對企業(yè)可能面臨的風險進行識別、評估和控制，最終目標也是控制風險?？偠灾L險管理是內部控制的發(fā)展，風險管理拓展了內部控制內涵，內部控制發(fā)展成了以風險為導向的內部控制。因此，我們將內部控制與風險管理一體化，將他們作為一個

4、整體進行理解與處理。1 問題與誤區(qū)編輯內部控制和風險管理建設中的誤區(qū)或問題我國參照利用美國 COSO 的內部控制和風險管理框架并結合具體國情，制定了一系列內部控制和風險管理制度及規(guī)范，為企業(yè)內部控制和風險管理提供了行動指南，但在理論認識和實際操作中，還有不少問題值得我們思考。把內部控制和風險管理體系建設簡單地理解為立章建制實際上，內部控制和風險管理并不僅僅是一種規(guī)章制度，如文件法規(guī)、技術規(guī)范和應用模型等，也不是額外單獨的控制活動，如信息交流、評審監(jiān)督和風險評估等，所以不能把內部控制和風險管理看作一種靜態(tài)的東西，而應把它們內置于企業(yè)的日常管理活動之中，形成一種常規(guī)的管理和運行機制?？梢哉f，內部控

5、制和風險管理既是一種制度安排、也是一種管理過程，更是一種自律行為。認為內部控制和風險管理是相互獨立的雖然內部控制和風險管理的內涵有很多重合之處，如要素很多相同、方法很多相似，但內部控制和風險管理的具體運用需要根據(jù)企業(yè)自身的特點、發(fā)展階段、行業(yè)特性、技術條件、外部環(huán)境等要求來執(zhí)行。比如，某企業(yè)生產醫(yī)療設備或藥品，因為涉及到人的生命健康問題，而且政府管制非常嚴格，風險管理的迫切性相對較強，此時企業(yè)以風險管理來主導內部控制比較合適；如果某企業(yè)是為了使自己的財務報告及信息披露合法，此時企業(yè)當然以內部控制為主導、同時兼顧風險管理更為合理。過分夸大了內部控制和風險管理的作用不管是內部控制還是風險管理，它們

6、都是企業(yè)的管理活動，無論它們的方法多么先進、系統(tǒng)多么完善，都只能為企業(yè)向目標邁進提供相對合理而非絕對的保證。尤其當企業(yè)的品性、信仰、能力、責任等出現(xiàn)缺失時，決不能把企業(yè)的成功寄望于內部控制和風險管理上。理論與實際脫節(jié)風險管理理念是從西方國家引進的，與我國傳統(tǒng)的理論觀點和制度建設存在很多差異或差距，使得企業(yè)管理人員很難把這些概念和框架融入到日常的管理活動之中，語言和行為之間很難建立直接的聯(lián)系，只有理論說教，缺少實際行動。制度執(zhí)行不力制度的關鍵在于執(zhí)行，沒有執(zhí)行或執(zhí)行力度不夠，再先進的制度也不起作用。影響內部控制和風險管理執(zhí)行力度的因素很多，其中，企業(yè)組織結構不合理、執(zhí)行人員素質偏低、企業(yè)文化落后

7、、資源配置不當是主要因素；制度本身的局限性及制度與制度之間的不協(xié)調性也給內部控制和風險管理的執(zhí)行帶來困難。內部控制針對的是“事”而不是“人”，是一種“非人格”的控制機制，其控制對象不限于受控方，施控方也是內部控制的控制對象。內部控制需要全員參與、平行參與和平等參與，這與我國傳統(tǒng)的等級制、科層制是大不相同的。管理要點編輯構建風險管理下的內部控制體系的要點營造良好的內部控制環(huán)境內部控制環(huán)境是內部控制實施的根本環(huán)境，是推動企業(yè)發(fā)展的動力，也是其他風險管理因素實施的基礎，其對企業(yè)內部控制的構建與實施具有重大的影響，可以說企業(yè)的控制環(huán)境直接決定了其內部控制與風險管理的效率和效果。（1）深化對內部控制的理

8、解，樹立風險管理理念。深化對內部控制的理解，首先應突破對傳統(tǒng)的內部控制的理解，應認識內部控制不僅局限于會計層面，內部控制包含更高層次的戰(zhàn)略目標，在電力設計企業(yè)向多元化經營、總承包和海外項目轉型發(fā)展的過程中，就要從戰(zhàn)略高度進行風險管理和內部控制。再者，無論是企業(yè)的管理層，還是企業(yè)的員工都應具有風險管理意識，并把風險管理意識貫穿于企業(yè)的生產經營過程中，包括業(yè)務管理、職能管理、質量與安全管理等各方面。風險管理理念的培養(yǎng)可以通過企業(yè)領導層的表率作用、相關的培訓及相關的規(guī)章制度來實現(xiàn)。（2）建立公司治理結構并充分發(fā)揮各機構職責。企業(yè)各層級各部門之間應分工明確，并相互監(jiān)督、相互牽制。公司可以通過公司章程的

9、規(guī)定及完善相關的激勵約束機制來保障公司機構職責的實現(xiàn)。非常重要的一點是，電力設計企業(yè)的最高管理機構，要對內部控制的建立和實施負責。企業(yè)應下設內控控制與風險管理的建設、監(jiān)督管理機構，各機構分別負責各方面的工作，并相互監(jiān)督、相互制約。完善法人治理結構，為全面風險管理的內控體系建設創(chuàng)造一個良好的內部控制環(huán)境。建立一個健全的內部控制體系，實際上就是完善法人治理結構的體現(xiàn)，大多數(shù)電力設計企業(yè)設立了內部審計機構，但多數(shù)內部審計機構隸屬于財務總監(jiān)或總經理領導，因此將電力設計企業(yè)的內部審計機構升級為公司董事會審計委員的組成部分或工作部門，這樣將進一步明確內部審計機構在電力設計企業(yè)內部控制方面的主體地位。（3）

10、培養(yǎng)員工的職業(yè)道德和勝任能力。企業(yè)員工是企業(yè)生產經營活動的執(zhí)行者，員工良好的職業(yè)道德可以保證企業(yè)經營活動的順利進行，可以避免舞弊事件的發(fā)生。員工的知識和技能必須與所在崗位所需能力相匹配，這是經營活動和內部控制活動得以有效運行的基本保障。為此，企業(yè)應以誠信等職業(yè)道德作為員工的行為準則，建立獎懲機制，加強員工的再教育，對關鍵崗位實行定期輪崗制。設定企業(yè)戰(zhàn)略目標企業(yè)應根據(jù)企業(yè)的使命或愿景來設定企業(yè)的戰(zhàn)略目標，戰(zhàn)略目標是企業(yè)的最高目標，其他目標為戰(zhàn)略目標服務。企業(yè)根據(jù)戰(zhàn)略目標再層層分解，并由各部門來落實。戰(zhàn)略目標的制定應考慮企業(yè)的風險容量，企業(yè)實現(xiàn)戰(zhàn)略目標所面臨的風險應在企業(yè)風險容量之內。完善風險管理

11、體系企業(yè)應建立風險導向型內部控制體系，只有把風險管理落實到企業(yè)的各個環(huán)節(jié)，才能控制風險。完善企業(yè)風險管理體系，應關注一下幾點：第一，建立風險預警機制。企業(yè)應通過目標分析、過程分析等方法來識別影響企業(yè)目標實現(xiàn)的內部及外部的潛在事項，分清潛在事項是機會還是風險，明確風險預警標準。風險預警機制的建立對企業(yè)及時抓住發(fā)展機會，及時評估、處理風險具有重大意義。第二，建立風險評估體系。企業(yè)應對已識別的風險進行進一步的分析與評估，分析潛在風險是固有風險還是剩余風險，分析風險發(fā)生的可能性及其影響，并關注重大風險。評估現(xiàn)有的內部控制對風險的適用性，是否需要追加程序等。在評估風險時應注意運用風險組合觀。第三，建立風

12、險反應機制。風險應對是控制風險的關鍵步驟，在風險評估后，企業(yè)應針對風險發(fā)生的可能性、影響的不同程度，采取不同的應對措施，其中應特別關注重大風險。風險應對措施包括回避、降低、承擔和分擔風險。同時，在風險應對中要考慮成本與效率的問題。建立良好的控制活動企業(yè)應建立良好的控制活動以確保管理層應對風險的各種措施得以有效執(zhí)行，控制活動貫穿于企業(yè)各個部門，各個層面及其活動?？刂苹顒討摪ǎ簩T工績效的分析與考核，部門的自我復核，對信息處理的控制（包括一般控制和應用控制），實物資產的控制，責任劃分與不相容職位相分離控制。充分的信息與溝通在經營過程中，企業(yè)應建立信息的傳遞和溝通以確保員工了解內部控制，明確自己

13、的職責。同時通過對外部市場信息、政策信息、顧客信息、競爭對手信息的了解和掌握，通過與各方的溝通，有利于企業(yè)及時處理風險、抓住機會，實現(xiàn)更好的發(fā)展。企業(yè)可以通過員工手冊及建立信息收集與處理系統(tǒng)來實現(xiàn)。建立內部控制監(jiān)督與評價機制對內部控制的監(jiān)督與評價是確保內部控制制度得到有效執(zhí)行的重要手段，同時有利于企業(yè)管理層及時了解內部控制存在的問題，可以為內部控制的改進提供建議，有利于內部控制體系的不斷完善，進而幫助企業(yè)控制各種風險。內部控制監(jiān)督與評價機制的建立主要包括內部和外部兩個方面：第一，企業(yè)應建立獨立、權威的內部審計機構。內部審計機構的設置應與其他職能部門分離開來。內部審計機構應具有執(zhí)行審計決定和審計

14、結論的權利，可以建立具有較強獨立性與權威性的董事會領導型或監(jiān)事會領導型的內部審計機構。內部審計不應只局限于財務報表審計，應對企業(yè)資格內部控制系統(tǒng)進行全面的監(jiān)督和評價，包括對企業(yè)財務信息、經營活動、控制活動進行審計及評價。同時應提高內部審計人員的職業(yè)道德和業(yè)務素質，及形成不同職務之間相互檢查、監(jiān)督的機制。第二，提高外部監(jiān)督與評價。由于內部審計主要對企業(yè)領導負責，所以內部審計具有固有局限性，可能會導致一些控制缺陷在權力干預下被掩蓋，不利于企業(yè)內部控制的改善。所以通常需要獨立的第三方參與企業(yè)的監(jiān)督與評價，以實現(xiàn)監(jiān)督的職能。首先，應完善內部控制信息披露制度，使企業(yè)接受政府、社會的廣泛監(jiān)督。再者，可以借

15、助第三方審計力量，最常見的就是定期聘請注冊會計師對企業(yè)內部控制設計及執(zhí)行情況進行審計及評價，并出具評審報告。這也有利于監(jiān)督企業(yè)內部控制的構建與實施，也有利于及時發(fā)現(xiàn)企業(yè)內部控制中存在的問題。(2)風險評估中石化根據(jù)企業(yè)的發(fā)展目標，由各部門收集全面的信息來確定企業(yè)的風險容量，并根據(jù)企業(yè)可能面臨的內部風險和外部風險建立以內部控制為基礎的風險評估和控制體系，對企業(yè)目標的實現(xiàn)有重大影響的關鍵環(huán)節(jié)進行全面的風險評估。針對各部門面臨的風險和責任制定內部控制流程。中石化根據(jù)內部審計結果及在管理過程中發(fā)現(xiàn)的問題，不斷對內控手冊進行修訂，各分（子）公司也不斷修訂實施細則。動態(tài)的風險評估與應對為企業(yè)實現(xiàn)目標提供保

16、障。(3)控制活動中石化的控制措施有：不相容職務分離控制、授權審批控制（以授權指引為核心)、會計系統(tǒng)控制（建立了統(tǒng)一的財務管理信息系統(tǒng))、資金支付控制、財產保護控制、信息技術控制（采用先進的ERP管理信息系統(tǒng)控制）、計劃控制、預算控制（全面預算控制）、合同管理控制、運營分析控制和科學的績效考核控制等。并將手工控制與自動控制相結合，將預防性控制與事中發(fā)現(xiàn)控制結合，建立了重大風險預警機制和突發(fā)事件應急處理機制。通過業(yè)務控制矩陣明確每個控制點的業(yè)務目標、風險、責任單位、不相容崗位、記錄文檔等，為內部控制責任的落實提供指導。對風險的描述就體現(xiàn)了全面風險管理的內部控制的要求。中石化的內控手冊保障了內部控

17、制活動的進行，內控手冊包含了采購、資產、信息管理、內部審計等18大類，59個業(yè)務流程，包含了企業(yè)經營管理活動的各個方面。(4)信息與溝通中石化采用先進的ERP管理信息系統(tǒng)，會計核算系統(tǒng)、資金集中管理系統(tǒng)、全面預算管理系統(tǒng)和各項業(yè)務管理等各成體系的信息系統(tǒng)，并實行財務信息系統(tǒng)集中管理。該系統(tǒng)讓各業(yè)務部門人員的業(yè)務操作都統(tǒng)一在ERP系統(tǒng)上進行，企業(yè)錄入業(yè)務數(shù)據(jù)后，生產、銷售各環(huán)節(jié)即按相應的業(yè)務流程生成相關信息，并傳送到公司總部數(shù)據(jù)庫進行監(jiān)控和分析。中石化制定了相關的管理辦法和業(yè)務流程，從一般控制、應用控制等方面對信息系統(tǒng)進行規(guī)范和控制。企業(yè)不斷完善信息搜集機制，完善信息溝通平臺，內控手冊也有相應的

18、規(guī)定來保障企業(yè)部門之間、部門與各分或子公司之間及管理層與外界之間的溝通順暢。中石油按照相關法規(guī)的規(guī)定定期對外披露信息，對外信息披露由董事會和總裁辦公室審核。(5)內部監(jiān)督中石化設立了審計委員會負責對財務報告和內部控制的審查，由審計部定期獨立審查分公司和子公司。企業(yè)建立了兩極內部控制日常監(jiān)督機制，兩極評價指的是總部綜合檢查和分公司、子公司自查測試?？偛烤C合檢查主要是內控領導小組負責的年度綜合檢查和審計部對不少于25家分（子）公司進行獨立檢查，及對總部進行檢查。分公司、子公司自查測試工作主要是企業(yè)通過部門流程測試和有審計參與的綜合檢查評價進行自查測試，及總部部門自查和抽查評價。除日常監(jiān)督外，中石化還建立了針對內部控制一些重大方面的監(jiān)督檢查。此外，中石化制定了中石化監(jiān)督制度匯編，完善了企業(yè)的反舞弊制度。通過制定內控控制執(zhí)行情況指標對內部控制進行考核。每年定期對內部控制的設計及執(zhí)行情況進行評價，出具內部控制自我評價報告，并向外披露，接受外界的廣泛監(jiān)督，并聘請外部注冊會計師對財務報告內部控制進行審計。中石化內部控制的評價中石化制定內控檢查評價與考核辦法及指引來指導企業(yè)內部控制的評價。并根據(jù)內控手冊，檢查內部控制設計是否健全；據(jù)內控手冊所適用的內容及范圍，檢查內部控制執(zhí)行的符合性和有效性。中石化主要以內部控制缺陷認定