【淺析風險管理視角下上市企業(yè)內控制度7800字（論文）】

風險管理視角下上市企業(yè)內控制度的實施與應用研究目錄TOC\o"1-3"\h\u15157一、相關理論概述 一、相關理論概述（一）風險管理的定義依據(jù)2017年COSO委員會發(fā)布的最新風險管理定義，風險管理就是，使企業(yè)組織在自身發(fā)展的同時，是創(chuàng)造價值，落實價值的進程中，企業(yè)根據(jù)戰(zhàn)略目標及社會環(huán)境，對風險進行管理的現(xiàn)實操作。對于國企，央企而言，其對風險及風險管理的定義大意是：企業(yè)根據(jù)經營戰(zhàn)略及經營目標，通過企業(yè)經營管理的全方面環(huán)節(jié)來進行風險管理，通過實踐培育企業(yè)良好的公司文化，從而建立全面的風險管理體系。更具體地說，它包括風險管理策略、財務風險管理策略、組織風險管理系統(tǒng)、風險管理系統(tǒng)和內部信息管理系統(tǒng)，以確保實現(xiàn)風險的合理安全的過程和方法。（二）內部控制的定義COSO委員會將內部控制定義如下：董事會、管理層和其他員工合理地實現(xiàn)其運營、報告和管理目標。COSO由五個組成部分組成，即控制環(huán)境、風險評估、控制活動、信息與溝通活動以及監(jiān)控?！段覈鴥炔靠刂苹疽?guī)范》對內部控制的定義：是董事會、監(jiān)事會、經理層和全體員工為實現(xiàn)目標的過程。內部控制的目的是保證企業(yè)運作的合法、資產的安全、財務報告等的真實性和完整性，以提高效率和利潤并促進企業(yè)的發(fā)展。由此可知，全體員工都需要參與到內部控制中，更需要貫穿于企業(yè)建設的方方面面當中。（三）風險管理與內部控制的關系關于內部控制與風險管理之間的關系，在COSO發(fā)布的更新版內部控制框架文件的附錄中，企業(yè)風險管理是內部控制框架的一個組成部分。公司內部控制是公司風險管理的一個組成部分。COSO中關于有效的內部控制目標描述中寫道：將影響目標實現(xiàn)的風險降低至可接受的水平。說明有效的內部控制旨在將風險降低到可接受的水平，以提高業(yè)務目標的運營、報告和合規(guī)目標的實現(xiàn)。這句話表明了以風險為導向的內部控制，也明確了內部控制是風險管理的一部分，或者說內部控制是風險管理中風險控制的一種手段。二、風險管理視角下企業(yè)內部控制現(xiàn)狀國務院在2006年印發(fā)的《中央企業(yè)全面風險管理指引》是為了支持企業(yè)實施風險管理，提高企業(yè)經營管理水平，促進企業(yè)穩(wěn)中向好地發(fā)展。財政部、審計署等五部委在2008年共同制定了《企業(yè)內部控制基本規(guī)范》，該規(guī)范全面適用各類型公司，包括上市與非上市公司的內部控制管理。這表明了我國是在風險管理的基礎上，才有了系統(tǒng)規(guī)范的內部控制指引的規(guī)范。截至目前，規(guī)范的內部控制活動已經在我國運行多年，對國內企業(yè)的內部管理水平提升具有積極影響。但在內部控制發(fā)展的過程中，也暴露出了許多問題。表現(xiàn)最突出的就是對風險管理不夠重視，尤其體現(xiàn)在內部控制建設上，只關注經營管理，忽視風險控制，導致許多公司存在內部控制缺陷。在復雜多變的內外部環(huán)境，尤其是現(xiàn)在受到疫情的影響，企業(yè)面對的營業(yè)風險與以往地時代所不同。但我國多數(shù)企業(yè)仍停留在老思想里，仍未意識到全面風險管理的時代已經來臨，全面風險管理的重要性尚未被意識到，導致了諸多企業(yè)全面風險管理意識普遍較差。隨著內部控制理論的發(fā)展，一些研究人員采用郵寄調查書以及實地調查等方法分析了國內一些企業(yè)內部控制建設的實際情況。通過研究，最終得出的結論是，我國企業(yè)內控體系結構參差不齊，整體發(fā)展水平較低。（一）上市公司內部控制情況根據(jù)2020年迪博調查數(shù)據(jù)顯示，存在有510家上市公司披露了內部控制缺陷報告，內部控制缺陷公司共占比披露內部控制報告公司的14.74%。在這510家企業(yè)中，存在有內部控制重大缺陷的公司139家，存在內部控制重要缺陷的公司有38家，存在內部控制一般缺陷的公司有360家。迪博根據(jù)調查搜集的數(shù)據(jù)，在這510家企業(yè)中，內控缺陷共披露4291項，重要缺陷，重大缺陷，一般缺陷分別是57項，325項，3909項，具體如圖表1所示。表1上市公司2020年內部控制缺陷披露情況缺陷類型內部控制缺陷公司情況內部控制缺陷數(shù)量情況公司數(shù)量占披露內部控制評價報告公司數(shù)量的比例缺陷數(shù)量占缺陷總數(shù)的比例重大缺陷1393.82%3257.57%重要缺陷381.04%571.33%一般缺陷3609．88%390991.10%小計51014.74%4291100.00%根據(jù)2019年公開數(shù)據(jù)顯示，共有2827家上市公司（占全部上市公司的74.51%）聘請會計師事務所對內部控制有效性進行了審計。其中，出具標準意見的公司有2677家，共占比94.69%，被事務所出具非標準意見的公司有150家，共占比百分之五點三一，被出具保留意見的公司有6家，占比百分之零點二一；被出具無法表示意見的公司有4家，占比0.14%；被出具否定意見的公司有93家，占比3.29%。如表2所示：表2內部控制披露情況意見類型標準無保留非標準無保留保留意見無法表示意見數(shù)量267715064占比94.69%5.31%0.21%0.14%（二）上市公司內部控制質量情況1.上市公司內部控制評級概況根據(jù)迪博數(shù)據(jù)分析，按照四級的分類標準，2020年上市公司內部控制評級為A的公司：44家；評級為B的公司：2679家；評級為C的公司：555家；評級為D的公司：272家?？梢院苋菀椎目闯鲈u價質量等級為B的占比超過了所有統(tǒng)計公司的3/4，其次是評級為C公司數(shù)量占比排第二，評級為D的排第三，最后是評級為A的。因此內部控制評價質量整體有待加強，優(yōu)秀的公司太少。如表3所示。表32020年中國上市公司內部控制評級總體情況評級ABCD數(shù)量442679555272占比1.23%75.36%15.61%7.65%三、當前企業(yè)內部控制體系建立和實施中的問題（一）內部環(huán)境建設不健全公司組織架構無法保證健康的內部環(huán)境。對于上市公司而言，其組織體系建設一般是按照股東大會，董事會，經理層（管理層）來安排，但是具體的內部部門的建設國家并未有明確的條文規(guī)定，這也就使得一部分企業(yè)在開展日常經營工作時，起了歹心，給他們的違法違規(guī)行為提供了可鉆的空子，提供了便利。例如，在經理層下，審計部門建立與否，是否跟合規(guī)性部門一起建設，與財務部門的關系如何，審計部門業(yè)務上歸誰領導，行政上歸誰領導，審計部門能否保證獨立性等問題，均是各個公司自主安排。在非上市公司或者是小型上市公司，公司治理結構建設缺失非常嚴重。甚至存在有部分公司在公司上層的治理結構就有缺漏，還有一些公司沒有達到基本的內部環(huán)境要素。與此同時，還普遍存在有一部分公司按照國家法律規(guī)定建立了要求的公司治理管理結構，但是在實際的經營管理中，完全繞開了公司內部機制，使得公司內部管理機制成為了應付法律的工具，完全使得公司治理機制變成擺設。這一類型的企業(yè)多為家族式企業(yè)或者是關聯(lián)企業(yè)，這種企業(yè)最為突出的一面就是內部人現(xiàn)象極為普遍。董事會的作用變得尷尬，甚至成為爭權奪利的舞臺，監(jiān)事會形同虛設，股東大會變成了妥協(xié)的機制，完全沒有起到治理層，管理層機制應有的作用。（二）控制活動未完全執(zhí)行從前面的內部控制現(xiàn)狀分析可以得知，企業(yè)的內部控制質量整體低下，還有很大的提升空間。在新經濟的市場局勢下，已經有部分企業(yè)認識到全面風險管控的重要性，企業(yè)內部環(huán)節(jié)的風險控制多體現(xiàn)在內部控制活動的設置，企業(yè)控制活動的水平，尤其體現(xiàn)在預算管理上，但是，全面預算控制活動基本上可以說是企業(yè)內部控制活動中最為薄弱的部分。通過預算管理可以及時將實際執(zhí)行與預算比較，及時發(fā)現(xiàn)偏差并調整，以便對企業(yè)經營情況進行實時監(jiān)控。而當前較多企業(yè)未能充分發(fā)揮全面預算控制的作用，主要由于以下幾個方面的原因：eq\o\ac(○,1)企業(yè)經營目標設置不合理，目標過高，導致無論如何努力也不能完成；eq\o\ac(○,2)預算統(tǒng)一管理沒有組織保障。雖然有的企業(yè)建立了符合預算管理要求的全面預算管理制度，但事實是企業(yè)的高級管理人員只是掛名，不實際參與。eq\o\ac(○,3)公司不同部門之間沒有溝通，大部分基層員工不參與預算管理，因此預算管理只是一種形式，并不能充分發(fā)揮作用?？傊F(xiàn)目前的預算活動的問題體現(xiàn)在預算執(zhí)行過程缺乏監(jiān)督，不能及時糾正預算偏差；預算管理流于表面，沒有做到全流程的預算管理；在預算出問題以后，沒有及時對失控的原因進行分析；對全面預算管理僅停留在財務預算管理活動上，對于包括生產，銷售循環(huán)的預算管理，遠沒有認識到其重要性。（三）忽視風險評估的重要性在市場經濟體系中，內外部風險是企業(yè)必然會經歷并面對的，內外部風險對企業(yè)的正常經營管理活動究竟有多大的影響，作用在企業(yè)的哪一方面，是需要加以評估的，對影響較大的風險，是需要加以控制的。風險評估是對與業(yè)務經營和內部控制目標實現(xiàn)相關的風險進行戰(zhàn)略識別和系統(tǒng)分析，以及確定風險應對策略。風險評估過程中的關鍵問題是：eq\o\ac(○,1)公司沒有合理的戰(zhàn)略目標、計劃和內部控制，也不能通過經營管理措施保證目標的實現(xiàn)。eq\o\ac(○,2)公司缺少風險識別，預測和識別內部和外部風險因素的能力，更不用說無法采取適當?shù)膽獙Υ胧?。eq\o\ac(○,3)公司在法律事務管理上未表現(xiàn)出避險意識，無法保證法律和法規(guī)的遵循，導致公司出現(xiàn)法律漏洞。綜上所述，對風險的考慮應是公司應該要考慮到的，但是現(xiàn)實證明，公司企業(yè)普遍存在有在日常的經濟管理活動中忽視風險的現(xiàn)象。但當風險真的降臨的時候，公司企業(yè)對風險缺乏應對能力，最后遭受損失。然后周而復始，始終在忽視風險和承受風險帶來的損失的惡性循環(huán)中不斷循環(huán)。這表明，現(xiàn)目前的大部分中國企業(yè)在風險管理中沒有擁有風險。部分企業(yè)，認為只有處于衰敗期才需要進行風險管理，對于處在萌芽期和成長期的企業(yè)來說，是沒有必要進行風險管理的。這也導致了企業(yè)在面對風險時，缺乏風險評估的應急機制識別與化解，未意識到隨著公司的逐漸發(fā)展，其規(guī)模也在不斷壯大，市場風險就更需要評估。組織不能只看到商業(yè)運作帶來的各種運營優(yōu)勢，而無視風險評估，反而應該重視企業(yè)的風險評估。（四）信息與溝通渠道不完善信息溝通是內部控制五要素之一，信息與溝通存在的意義就在于促使內部溝通，使得企業(yè)內部信息能夠最大限度地流通，消除內部信息不對稱。企業(yè)內部信息傳遞機制失效，可能導致幾方面的問題：eq\o\ac(○,1)管理層可能無法獲得適當和必要的信息，eq\o\ac(○,2)信息披露相關的工作人員無法有效地履行工作職責；eq\o\ac(○,3)信息與溝通相關的系統(tǒng)是不可靠的，員工發(fā)現(xiàn)了問題，如果不能及時的上報，管理層就不能及時應對風險。企業(yè)的信息交流是企業(yè)內部流轉的一部分，擁有決策意義上的價值，是內部控制的重要組成部分。但是，我國企業(yè)目前廣泛存在信息不對稱與信息隔離現(xiàn)象，在我國公司企業(yè)的內部信息交流不廣泛，各個部門信息敝帚自珍。在各自的領域里，在關乎經營的方向上，比如存貨信息，采購信息，銷售信息等就是三個部門自己管自己的，全然沒有信息的交流與溝通，這樣制訂出的采購計劃，銷售計劃就可能存在很大的問題。也正因此，企業(yè)想要有效地內部信息流轉，就必須建設行之有效的內部信息流轉機制，也就是信息溝通系，其優(yōu)勢在于：其一，可以使企業(yè)內外部信息能夠溝通，分子公司信息能夠與母公司，總公司信息結合，在制定戰(zhàn)略目標與政策時能夠考慮到全方面信息。其二，可以充分了解到公司經營所需的各類信息，在這方面，包括相關政策、客戶和市場競爭對手等利益相關者，都可以及時準確地傳達給公司管理層（五）缺乏嚴格的監(jiān)督機制內部監(jiān)督是通過一系列監(jiān)督活動對要素及其功能進行連續(xù)或定期評估實施的。我國企業(yè)控制活動中很大的一個薄弱環(huán)節(jié)就是監(jiān)督機制不夠健全、制度建設好了但可能沒有人去考核、去監(jiān)督，而只是搞形式、走過場，內部監(jiān)督中主要存在的問題是：eq\o\ac(○,1)企業(yè)的生產經營情況不能得到持續(xù)的監(jiān)控；eq\o\ac(○,2)由于確定的內部控制缺陷而缺乏報告和糾正措施；eq\o\ac(○,3)缺乏內部監(jiān)督系統(tǒng)。內部控制薄弱導致的內部控制缺陷以及改正措施，缺少執(zhí)行的行動力，更不用說持續(xù)監(jiān)督發(fā)揮作用了。內部監(jiān)督也可以說是內部約束，約束感的缺乏會使人逐漸放松，同樣監(jiān)督也是如此，如果放松了監(jiān)督力度，沒有完善監(jiān)督的建設，內部監(jiān)督的問題就會滋生。四、建立完善的內部控制制度，防范企業(yè)經營風險（一）完善組織機構建設，培育優(yōu)良企業(yè)文化企業(yè)的內部管理中出現(xiàn)的問題需要依靠組織機構的約束。公司的治理結構是內部控制環(huán)境的重要組成部分，同時也是公司組織經營管理的基礎性條件，一個好的組織架構可以在多方面促進企業(yè)戰(zhàn)略目標的實現(xiàn)。就企業(yè)內部控制環(huán)境而言，通常來說是需要制衡有效地內部控制機制，一般地，由股東（大）會，董事會，監(jiān)事會，構成公司最上層機構，董事會再下設審計委員會，風險管理委員會，薪酬提名委員會，總裁室或者叫經理層等各個類型的機構。在內部，組織架構設置應該存在有糾正糾偏的機制，可以專門設置項目組，來調整不合理的內部組織機制。項目組成員應該是類似內部審計一樣，具有相對的獨立性。指導小組負責整個內部控制流程，從政策制定到風險評估，再到風險應對，再到溝通和控制。個人除了需要組織制度上的約束，還需要思想上的指導，所以企業(yè)要培養(yǎng)一種積極的企業(yè)文化，強調企業(yè)經營中守法經營、資產安全、信息完整的重要性，企業(yè)在完成這些目標時，內部控制制度發(fā)揮的重要作用。首先，企業(yè)應當加強員工教育和培訓，使得員工了解內部控制執(zhí)行中的關鍵控制點；其次，樹立榜樣，抓住典范，給員工找到可以學習的模板，另外企業(yè)經理層應當以身作則，首先就要遵守內部的各類規(guī)章制度，杜絕私下交易行為，發(fā)揮治理層，管理層的領導帶頭作用。（二）充分發(fā)揮控制活動作用控制活動必須僅僅根據(jù)企業(yè)內外部環(huán)境的變化及內部自身建設來規(guī)劃，不能想當然，要建設優(yōu)秀的內部控制體系，就必須關注控制活動是否發(fā)揮出了應有的作用。（1）嚴格的授權審批制度，授權和管理各項具體活動的開展和工作，確保企業(yè)各項交易在管理層的控制下進行，避免各種違規(guī)行為。（2）信息系統(tǒng)建設，在新的技術背景下企業(yè)進行正常的生產經營管理，必然離不開信息技術，但是信息技術在節(jié)約人力物力成本的同時，也帶來了一定的經營風險，如何在信息系統(tǒng)建設的關鍵控制節(jié)點上，對信息系統(tǒng)進行有效地控制是關鍵。則必須要求對信息系統(tǒng)賬號權限，賬號審批等方面進行沿河科學的設置。管理人員應該對信息技術的應用制定嚴格的規(guī)范，提升信息處理能力，使企業(yè)員工的信息化操作水平不斷提升。（3）不相容職務相分離的制度，科學劃分各相關崗位的職位，職責，避免私相授受，從而來減輕甚至消除內部勾結，從而來達到防范內部舞弊的目的。（三）提升風險管理參與意識，健全風險管理機制樹立全公司參與的意識，風險控制是全組織的每一個人的共同工作，是全成員在工作的任何階段任何時候都要關注關心的事情。只有通過全面的促使廣大員工參與進風險管理的進程中區(qū)，風險管理才是有效的，也才可能起作用。只有在對內部的各個環(huán)節(jié)都進行風險管控，使得公司內部政策發(fā)揮作用。例如可以建立財務風險責任追究制度，加強企業(yè)的財務風險管理，提高財務人員的風險意識，使管理層參與財務風險管理過程，讓其高度重視對內控制度的維護，該體系在財務管理的各個細節(jié)中運行良好，最大限度地降低風險，確保有效監(jiān)督。更具體的說，可從四個方面著手：確定風險目標、識別風險、評估風險、應對風險。在確定風險目標過程中，明確的目標可為風險控制提供指引。在識別風險的過程中，企業(yè)需快速識別影響自身發(fā)展目標實現(xiàn)的風險。在評估風險的過程中，需結合識別出的風險因素，采用定量與定性結合的分析方法，以此對核心業(yè)務活動開展重點分析和論證，以及進行嚴格記錄的數(shù)據(jù)工作；在應對風險的過程中，應結合風險因素和風險成因，以及企業(yè)風險承受能力和銷售業(yè)務適應性，針對性地制定用于應對風險的策略，如風險分擔、風險承擔、風險規(guī)避、風險降低。最后，將實施風險管理納入員工效考核體系，從制度層激勵員工轉變對待風險的態(tài)度。（四）健全信息傳遞機制（1）充分了解信息傳遞機制，不管是什么類型的企業(yè)首先都必須要對自身企業(yè)內信息的傳遞機制有所了解，第一步是梳理自身的經營活動的基本流程和規(guī)章制度，了解基本的管理流程。第二步是根據(jù)梳理的流程，發(fā)現(xiàn)流程中不合理的部分，提出內部流程中不合理的部分，優(yōu)化冗余部分，提高信息交流與溝通的效率。（2）建立信息傳遞渠道，就信息而言，信息搜集不是最終目的，信息搜集后要能夠傳達到決策層才是真正發(fā)揮了信息的作用，對于內部信息，企業(yè)要根據(jù)企業(yè)的經營目標，建立適合其經營活動的IT系統(tǒng)，不斷收集經營活動產生的各種信息，全面收集信息，建立公司上下級之間的溝通和溝通渠道。信息流動性越快，企業(yè)反饋的速度也就越快。（3）建立內部監(jiān)督機制，最堅固的堡壘往往從其內部瓦解最容易，內部舉報和投訴同樣也是信息管理的重要機制。尤其是處于基層一線的員工，對于上層是否真正舞弊，往往有著自己的信息來源與渠道，若能夠及時將上層舞弊的信息，景觀中不合理的流程信息上報到決策層，監(jiān)督管理層則對公司的內部管理起到極大的作用。（五）建立有效的監(jiān)督機制對于內部監(jiān)督，要強化崗位間的相互牽制與監(jiān)督，確保不相容崗位分離。在內部控制制度的建立過程中，應科學評估其可行性，而不能照搬其他企業(yè)的內控體系，做到因地制宜，形成具有公司特色的監(jiān)督機制。及時發(fā)現(xiàn)并解決內部控制制度中存在的問題，善于學習優(yōu)秀案例的精髓，具體問題具體分析，增強內部控制的有效性。管理層應對日常運營中的內部控制進行持續(xù)審查，以確?？刂苹顒影凑占榷ǚ绞竭M行，包括日常監(jiān)督和專項監(jiān)督。對于發(fā)現(xiàn)的重大內部控制缺陷，建立及時向管理層及董事會報告的溝通渠道。同時，企業(yè)也可以設立專門的職能部門跟蹤檢查發(fā)現(xiàn)的漏洞以及過后的整改措施。對于第三方提出的改進意見也要及時的落實。結語內部控制作為公司經營管理的基礎性工程，在公司的日常管理中起到極為重要的作用，無論是基礎的內部環(huán)境，還是管理的控制活動，亦或者是交流的信息溝通，監(jiān)督機制，風