企业内部控制与风险管理分析

1我国当前企业内部控制体系结构

内部控制框架是企业实施内部控制的一个规范体系，它是企业达成目标的指导框架，该框架规范了内部控制的目标、概念以及实施程序等内容。我国内部控制的第一个行政条例就是在1997年5月颁布的《关于加强金融机构内部控制的指导原则》，在这之后，我国又于2000年7月颁布并实施了第一部要求内部控制的法律《会计法》，该法律体现了会计内部监督的理念，从2001年到2004年，我国财政部门相继颁布了10项内部会计控制规范，主要有《内部会计控制基本规范（试行）》以及《内部会计控制规范—资金（试行）》等，国有资产监督委员会在2006年的时候了《中央企业全民年风险管理指引》，该指引充分体现了风险管理的基本流程。我国的企业内部控制标准委员会（CICSC）于2006年7月正式确立，该委员会确立之后的第二年就了《企业内部控制规范—基本规范》，第一次提出了我国企业内部控制规范的整体框架。随后我国在2008年5月了《企业内部控制基本规范》，在2010年4月了《企业内部控制配套指引》这两大内部控制规范体系，就这样，我国企业内部控制体系结构就由此而生。它简要明了，结构合理、方法科学，正符合我国的企业内部控制标准委员会（CICSC）所倡导的基本规范体系。

2内部控制整体框架与企业风险管理整体框架

2．1内部控制整体框架

在1929年美国AAA（会计师协会）和FRB（联邦储备委员会）的《会计报表的验证》中，首次提到内部控制这一名词，1992年美国的COSO委员会提出的《内部控制—整体框架》中指出，内部控制是一个过程，一个由经理以上阶层和员工共同实施的过程，其主要的目的就是使企业达到运营效果，与此同时，要严格遵循相关的法律法规，并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中，明确提出了支撑内部控制的框架五要素，分别是：控制环境、控制活动、信息与沟通、风险评估以及监督，这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。

2．2企业风险管理整体框架

企业风险管理是一个过程，它是渗透于企业各项活动中的行动，企业风险管理所涉及的人员是整个企业的员工，不分阶层，一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析，也可以从单独的部门对企业有一定认识，企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为：内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中，需要注意的是风险反应，它主要分为四类：减少风险、共担风险、规避风险与接收风险四类，企业应对每一个重要的风险都要考虑相应的风险反应方案。

3从企业内部控制走向全面风险管理———3C全面风险管理框

在企业中实施企业全面风险管理是新时期下的环境所导致的，在我国企业的管理中，风险管理是一个相对薄弱的环节，近年来，由于我国企业的风险管理工作薄弱而引发的事件不再少数，所以，建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础，这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》，在这一规范中，能够明显看出，我国由原来的理论框架已经逐渐走向了风险管理，进一步完善了中国企业内部控制规范体系，在2010年4月，我国又相继了《企业内部控制配套指引》，并在2012年进一步完善了该条例，要求实行企业内部控制规范体系的企业，要对企业本身进行自我评估，并相应地作出自我评价报告，交由政府监管部门进行监督检查，这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力，实现可持续发展，就要建立完善的企业内部控制体系，首先，管理者要树立风险管理理念，提高管理层的风险意识，对企业所涉及的风险要素进行分析，并制定相应的措施去应对，同时，还要加强道德与行为准则体系建设，适当地激励或是约束企业员工，建立一套具有操作性的行为规范和准则。除此之外，要明确企业的战略目标，需要注意的是，在设定战略目标的时候，要考虑企业自身能够承受的风险数量。在以上的基础上，借鉴国外企业风险管理的经验，将目标—风险—管理这三个体系结合在一起，构建3C全面风险管理框架。在3C全面风险管理框架下，具体要实现以下五个目标，分别是：保护企业不因灾害事件遭受损失；达到企业整体经营战略目标；保证信息沟通以及财务报告的可靠性；有效率的运营；遵守法律。3C全面风险管理初步分成三层，还可以根据企业的自身情况进行细分。

制定3C全面风险框架的目的就是将风险整合起来进行管理，有利于推动我国企业的进一步发展。以中国电信湖南公司为例，中国电信湖南公司构建全面风险管理，主要是为顺应国有资产出资人的要求和资本市场监管机构的要求，提出了企业全面风险管理的目标和要求，同时，也是为了促进企业内部经营管理的需要，随着中国电信这个大集团的不断发展，该公司面临的挑战越来越多，那么相对应的风险程度也就越来越高，所以，为了提高企业的经营管理效率，该公司决定实现全面风险管理。在整个管理的过程中，中国电信湖南公司完全按照国家的政策执行，并且不断进行体制机制的创新和改革，切实地推进五项集中管理，通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系，加强内部控制，来满足了国有资本监督管理的要求。此外，中国电信湖南公司还要成立独立的风险管理部门，以此来确定整个企业的风险管理工作，同时，还成立了全面风险管理工作团队，将整体的风险管理策略传递到各个部门中并予以实施，总之，要将系统论的思想重新进行考量，并且切实地应用到电信企业全面风险管理中，以此提高公司的抗风险能力，保证公司全面风险管理水平能够上升，进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统，从某种程度上说，企业风险管理包含了企业内部制度，同时，二者之间又形成了新的目标—战略目标，这是企业的最高目标。实际上，企业风险管理具有四个构成要素，分别是：目标设定、风险评估、风险应付和事项识别，它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度，提高全面风险管理意识。企业为了适应当前千变万化的市场环境，应该将全面风险管理切实地应用到管理活动中，与此同时，企业要根据ISO的《风险管理原则与实施指南》加强风险管理，将风险管理带进新的发展阶段。

4结束语

总而言之，全面风险管理是内部控制发展的必然方向，构建3C全面风险管理框架是企业的必然选择，这样既能够对企业风险管理进行控制又能够建设内控制度，一定程度上减少了浪费和不必要的重复，促进了企业的发展。全面风险管理势必在不久的将来应用到各个企业的建设之中。

作者：潘幼娟 单位：温岭日报有限公司