构建基于风险管理内部控制框架基本思路.docVIP

构建基于风险管理内部控制框架基本思路 　　摘要：近年来，震惊中外的世通公司财务欺诈案、巴林银行倒闭案、安然事件以及我国一些企业的控制失灵事件，再次证明了内部控制与风险管理的重要性。保证财会信息真实可靠，构建有效的内部控制和风险管理机制，成为了政府监管部门、企业高管层以及内审部门所关注的重点内容。本文从认识及基本思路方面，浅谈如何构建基于风险管理的内部控制框架。 　　关键词：风险管理；内部控制 　　中图分类号：F275文献标识码：A文章编号：1001-828X（2011）08-0115-02 　　 　　一、内部控制与风险管理理论 　　1.内部控制 　　内部控制，是由企业董事会、经理阶层和其他员工实施的，为经营的效率效果、财务报告的可靠性和相关法律遵循等目标的实现，而提供合理保证的过程，分为五个方面：控制环境，即一个企业的氛围，是影响内部人员控制其他成分的基础；风险评估，是管理层识别并采取行动管理对经营、财务报告的符合性目标有影响的内部或外部风险，包括风险识别与风险分析；控制活动，指针对已确认风险采取措施，以确保企业实现其目标的政策和程序，包括业绩评价、信息处理、实物控制和职责分离四个部分；信息与沟通，是指为有效实现企业目标，企业要对内部和外部信息进行识别、记录及交流；监督与控制，即对内部控制活动进行评价与监督。以上五个因素相互联系、相互制约、又相互配合，形成一个完整的内部控制系统。 　　2.风险管理 　　企业风险管理，是由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定及企业内部各层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险偏好范围内管理风险的，为企业目标实现提供合理保证的过程。这是广义的风险管理定义，适用于各类组织、行业及部门。分为：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，贯穿于企业管理过程之中。 　　3.内部控制与风险管理的融合 　　1992年，COSO委员会发布《内部控制整体框架》以来，该框架已获得全球广泛认可及应用，理论界和实务界不断对其提出改进建议，强调建立内部控制整体框架，应与风险管理相结合。2004年9月，COSO委员会在COSO报告基础上，结合《萨班斯法案》在报告方面的要求，颁布《企业风险管理整体框架》的报告（ERM）。该报告把企业风险管理定义为：“企业风险管理是一个受企业的董事会、管理当局和其他职员影响，应用于战略制定并贯穿于整个企业，用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险，为企业目标的实现提供合理保证的过程”。 　　2008年6月28日，由财政部、证监会、审计署、银监会、保监会联合制定、自2009年7月1日起施行的《企业内部控制基本规范》，在形式上借鉴了COSO报告为代表的内部控制整合框架，同时也在内容上体现了风险管理整合框架的实质。 　　风险管理是为了防止风险、及时发现风险、预测风险可能造成的影响，设法把负面影响控制在最低程度。内部控制是企业内部的风险管理，内部控制制度的主要制定依据是风险。风险越大，越需要设置适当的内部控制，风险极大时还应设置多重内部控制。做好内部控制是企业风险管理的前提。只有加强内部控制，提高风险意识，尤其是提高管理者的风险意识，才能使企业正常运行。风险管理是内部控制的自然延伸。随着内部控制和企业风险管理的不断完善，内部控制与风险管理呈现逐渐融合的趋势，即以风险管理为主导，建立适应企业风险管理战略的新的内部控制，从内部控制走向企业风险管理，实现二者的融合统一。 　　二、目前我国内部控制与风险管理中存在的主要问题 　　1.管理者的内部控制与风险管理意识较薄弱 　　现代的内控和风险管理理念，与国内企业一直以来的管理体系与观念存在较多差异，目前相关理念与方法处于导入阶段，多数企业管理者尚未接受新理念，还不能认识到这些理念与企业经营管理之间的联系。相对于风险管理，企业管理者普遍更看重对企业盈利能力的追求，缺乏有效风险识别、评价及反应机制，导致企业抗风险能力较差。 　　2.缺乏专业人才 　　我国关于内部控制的评价与咨询等业务，目前主要是由注册会计师来进行，内部控制自我评价尚处于起步阶段。内部控制自我评价要求员工的广泛参与，企业员工水平参差不齐，有些人可能对企业的内部控制与风险管理方法并不了解，有的企业也是初次实施内部控制自我评价，企业缺乏精通内部控制与风险管理的专业人才。 　　3.风险管理制度未得到有效的贯彻执行 　　当前情况看来，我国企业或多或少已存在一定的内部控制与风险管理制度。有些企业对制度的设计十分重视，但设计完成后却未能严格执行，许多企业都存在一定程度的管理松懈、监督不力、内控弱化等问题，结果使设计好的内控制度流于形式。要使企业内部控制与风