PAGE本科生畢業論文（設計）論文（設計）題目：基于風險管理的內部控制研究學院、系：會計學院會計系專業(方向)：會計年級、班：2007級會計（2）班學生姓名：指導教師：2011年5月25日基于風險管理的內部控制研究摘要目前，很多企業內部控制存在風險管理缺失的問題。隨著內部控制理論的不斷發展和完善，風險管理成為企業內部控制發展的一種新視角。文章首先闡述內部控制和風險管理的相關概念及關系，分析了我國企業內部控制風險管理中存在的問題，從明確基于風險管理的內部控制目標、強調內部控制環境建設、加強風險評估、加強風險控制活動、加強企業內部控制監督幾個方面做出了加強以風險為導向的內部控制的建議。［關鍵詞］風險管理內部控制體系構建AbstractAtpresent,alotofenterpriseinternalcontroltheriskmanagementdeficiencies.Withthecontinuousdevelopmentofinternalcontroltheory,riskmanagementandimprovethedevelopmentofenterpriseinternalcontrolbecameanewperspective.ThisarticlefirstformulatedinternalcontrolandriskmanagementrelatedconceptsinChinaisanalyzed,andtherelationshipbetweentheriskofinternalcontrolinenterprises,theexistingproblemsinthemanagementofriskmanagementfromclearbasedoninternalcontrolobjectives,emphasizestheinternalcontrolenvironmentconstruction,strengthenriskassessment,strengthenriskcontrolactivities,reinforcingtheenterpriseinternalcontrolmadestrengtheningsupervisionseveralaspectstoriskorientedinternalcontrolsuggestion.[Keyword]riskmanagementinternalcontrolsystemconstruction目錄一、內部控制與風險管理的概念……………….………….…..(1)二、內部控制與風險管理的關系……………….………….…..(2)（一）內部控制與風險管理的聯系…………….……………..…………….(2)（二）內部控制與風險管理的差異…………….………….………………..(3)三、企業內部控制風險管理中存在的問題………….………….……….…….(5)（一）內部控制目標設定不夠合理….…….….…………….(5)（二）內部控制環境不夠完善………….….………………..(5)（三）缺乏有效的風險評估….….…………………….…….(5)（四）控制活動不到位………….(6)（五）缺乏對企業內部控制的有效監督………………(7)四、建立以風險為導向的內部控制體系的策略…….….…………………..(7)（一）明確基于風險管理的內部控制目標………….….………….……….(7)（二）完善內部控制環境建設……….….……….……..…...(8)（三）加強風險評估……….….….….……….…..……….....(9)（四）完善風險控制活動…….…………….….….….……….…..………....(9)（五）加強企業內部控制監督………….…………….….………………...(10)參考文獻………….………….….………..….…(13)PAGE13基于風險管理的內部控制研究近年來，如何引導企業完善內部控制、加強風險管理，以便應對日益復雜的各種風險，成為理論界和實務界關注的熱門話題。面對日益復雜內外部風險，企業構建風險管理導向的內部控制的重要性和迫切性也日益突顯。因此，文章將提出企業內部控制風險管理中存在的問題，并制定建立以風險為導向的內部控制體系的策略展開研究，力爭提出切實有效的構建措施或建議。一、內部控制與風險管理的概念內部控制是指企業董事會、管理層對企業內部風險以及外部風險管理過程中可能出現的操作性風險進行管理，保證企業所有的經營活動符合企業既定的經營目標的一種組織行為。企業風險管理是指一個由企業的董事會、管理層和其他員工共同參與的、應用于企業戰略制定和企業內部各個層次和部門的、用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的、為企業目標的實現提供合理保證的過程。內部控制和風險管理均定義為“由一個組織的董事會、管理當局及其他員工實施的一個過程”，由此可見，內部控制與風險管理的本質目標是一致的。內部控制和風險管理的根本作用都是維護投資者利益、實現資產保值增值。從新的COSO框架對企業內部控制的完善來看，企業內部控制逐漸呈現與風險管理趨近和一體化的趨勢，即以風險管理為主導，建立適應企業風險管理戰略的新的內部控制，從內部控制走向風險管理。內部控制與風險管理只有相融合，才能實現企業經營管理的最佳效果。二、內部控制與風險管理的關系內部控制與風險管理的關系，國內外的學者依據不同的視角有不同的理解，主要有內部控制是風險管理的組成部分，內部控制包風險管理，以及二者之間是等價的三種觀點。文章指出，分析任何學科、概念之間的區別與聯系，不能割裂學科、概念所賴以存在的特定的外部環境來考慮。唯物主義辯證告訴我們，任何事物都是一個不斷發展變化的過程。因此，我們應該結合經濟環境的變化、動態來看待風險管理與內部控制的關系。（一）內部控制與風險管理的聯系理論為社會實踐提供指導，但是社會實踐的新要求反過來促進了理論的向前發展。社會經濟、技術的飛速發展推動了內部控制與風險管理的相互融合統一。社會實踐不滿足于內部控制僅僅從制度層面對確定性的財務信息的控制，對經營中不確定性的風險和機會的把握和控制提出了要求，內部控制進入了整體框架階段。人們也不滿足于風險管理僅在對純粹風險的管理方面發揮作用，對風險管理關注那些帶來會的事項的識別提出了要求，不僅是規避風險而且要求更加主動的應對和利用風險。這一時期，所有者不僅要求對資產的保值增值進行控制，而月要對經營者在經營過程中把握發展、壯大的機會的過程進行控制。把握給企業帶來發展壯大的機會的同時也要注意把握機會帶來的風險，并要求內部控制對經營者把握機會風險進行控制，這些都促進了內部控制與風險管理的相互融合。從國際上比較成熟的內部控制框架，COSO發布的兩個報告中也可以看出，內部控制與風險管理的相互融合。COSO委員會在1992年的《內部控制—整體框架》中把風險評估作為內部控制的五個組成要素之一，要求企業在內部控制過程中關注風險管理的內容。COSO在2004年發布的《企業風險管理—整合框架》中又進一步將內控制擴展為風險管理，明確提出風險管理包含內部控制的內容。ERM框架是建立在內部控制整體框架的基礎上，內部控制則是企業風險管理必不可少的一部分。總之，從內部控制和風險管理理論的發展和社會實踐來看，風險管理與內部控制的是一個必然的過程，是社會實踐發展到一定程度對內部控制理論發展的必然要求。因此，內部控制進入了風險管理導向的新時期，與風險管理的相融合也成為了內部控制展的國際趨勢。（二）內部控制與風險管理的差異從內部控制和風險管理發展的歷史階段來看，在經濟發展的初級段，即內部控制于內部控制整體框架階段以前，風險管理處于傳統風險管理階段，這一時期內部控制風險管理是相對獨立的。縱觀內部控制理論的發展，委托代理理論是內部控制產生和發展的重要基礎。現代企業的一個最重要特點就是所有權與經營權的分離。依據委托代理理論，由于委托人和代理人之間存在著信息的不對稱和不確定性，所以會對委托人的利益構成威脅。為了保護委托人的利益，內部控制作為系統的制約機制，包括了所有者對經營者實施的監控和經營者對經營過程的監控，以保證經營者履行對所有者的受托責任。在經濟發展的初期階段，所有者期望通過一系列制度程序的設計，來對可能影響委托者利益或經營目標實現的風險進行防范，來防止信息欺詐，達到資產保全的目的。這一時期，內部控制基于所有者對經營者經營活動監管的要求，關注的是對比較確定的經營活動過程來進行控制，達到減少經營者舞弊風險，保全資產的目的。而且這一時期內部控制偏重與對財務信息的控制，而沒有更多的關注企業經營發展過程中非財務信息的控制，如企業經營面臨的外部宏觀環境等變化的風險。并且內部控制只能防范風險，不能轉嫁、承擔、化解或分散風險。風險管理在近現代企業受到越來越多的關注，是基于企業所處的環境的復雜多變以及激烈的市場競爭，企業在經營活動中不確定性的因素增多。風險管理的過程就是企業對這些不確定性的事項進行識別，分清機會和風險。在傳統風險管理階段，企業風險管理主要關注那些可能帶來損失的純粹風險，如火災、地震等自然災害帶來的偶然性的財產損失的風險，以及由于人為的原因帶來的影響正常生產經營的風險，處理這些風險的主要形式就是向保險公司投保。企業對風險的態度主要是規避、轉移，減少實質性的損失。由上述分析可知，這一時期內部控制關注的是對確定性的經營活動進行控制，重點是對企業經營過程中財務信息的控制，很少關注對企業經營活動中面臨的不確定性風險的控制。風險管理也只是被動的面對企業經營活動中偶然發生的或不可控的風險，并通過規避風險來減少損失。因此，在這一階段內部控制和風險管理的交集很少，各有關注點和側重點，因此，內部控制和風險管理還是處于相互之間獨立的發展時期。三、企業內部控制風險管理中存在的問題通過研究發現單位普遍認識到內部控制的重要性，但對內部控制認識不夠；側重于企業外部環境的梳理，而忽視了內部各環節、各崗位的牽制；側重于經營環節的程序控制，而忽視了企業整體的協調；側重于內部控制的制度學習，而忽視了執行制度的人的素質提高；側重于對貨幣、實物的控制，而忽視了企業文化環境的建設，等等。主要問題可概括為以下幾個方面：

（一）內部控制目標設定不夠合理大多數企業的內部控制目標，多局限于低層次的目標，如會計信息的質量、法律法規的合理遵循等，而忽視企業整體戰略規劃和風險管理，導致企業的內部控制目標缺乏風險防范意識，與企業長遠發展戰略脫節。（二）內部控制環境不夠完善控制環境是實行內部控制的基礎和前提，但目前，我國多數企業不重視內部控制環境的改善。部分高層管理者缺乏風險管理意識；組織結構不合理，多數企業監事會受制于董事會，內部審計缺乏獨立性和權威性；企業文化缺失等。這些內部控制環境紊亂的現象，勢必造成企業內部控制基礎薄弱。（三）缺乏有效的風險評估當前企業面臨的風險主要有市場風險、信貸風險、營運風險、法律風險、管制風險等。在眾多風險中，最主要的風險是營運風險。企業應當建立可以辨認、分析和管理風險的機制，并確認高風險領域，以加強管理。但我國企業缺乏的就是這種機制，對于風險的管理十分薄弱，缺乏有效的風險識別、評價和反應機制。企業抗險能力低，主要體現為：一是缺乏風險事項識別機制。企業管理層還未認識到風險事項識別是一個綜合性的過程，需要在實踐工作中進行全盤綜合考慮。大多數企業目前只能被動地接受內部或外部變化帶來的風險。二是沒有適當的風險評估體系。三是風險的應對機制空白，還處于“出現一個問題，解決一個問題”的事后被動彌補狀態。（四）控制活動不到位控制活動是管理當局為了確保其指令被貫徹執行而制定各種措施和程序。當前，我國許多企業對內部控制活動的設定和執行是非常薄弱的，在設置內部控制時偏重事后控制，部分企業在內部控制的執行過程中不按規定程序辦理，使內部控制制度失去了應有作用。內控制度是風險管理的基礎，風險管理是目標，要實行這一目標就必須要有相應的措施。這些措施就是風險控制的工具，對于企業來說，由于存在前面的很多問題，是企業內控制度基本上是停留在文件上。同時，由于企業的風險管理是一種至上而下、強制推行的管理概念，企業的對這一概念的宣貫往往是集中到關鍵點上，對大多數人來說，內控制度和風險管理是一種霧里看花的概念，企業也沒有詳細的政策、程序和方案來對風險進行有效的識別、評估和控制以及監督。這是一個動態的過程，也是發現問題、上報問題、解決問題的過程，沒有很好的把握這一過程，我們的內部控制制度就是馬后炮，沒有任何實質性的作用。（五）缺乏對企業內部控制的有效監督首先，對內部控制制度執行的考核缺乏力度。目前我國尚未統一企業內部控制信息披露的要求與標準，直接導致企業在內部控制信息披露方面存在嚴重的形式化問題。部分企業甚至尚未建立完善內部控制的考核體系，即使有的企業已經建立了相對完善的考核體系，但大多缺乏深度和廣度，并未將內部控制考核結果納入到企業人員的業績考核中。其次，內部審計客觀性性與權威性不高。一是由于企業內部審計業務較少觸及經營管理的其他領域，僅僅以財務審計為主，普遍存在職能單一、業務狹窄等問題，缺乏自身應有的客觀性，限制了內部審計職能的發揮；二是部分企業的內部監控制度未能形成體系，各職能部門之間、各崗位之間不能形成有效地牽制制度，缺乏必要的互相監督，使許多內部審計流于形式、缺乏自身應有的權威性。四、建立以風險為導向的內部控制體系的策略（一）明確基于風險管理的內部控制目標控制目標是管理經濟活動的基本要求，也是實施內部控制的最終目的，它是評價內部控制系統的最高標準。所以，明確基于風險管理的內部控制目標是企業完善基于風險管理的內部控制體系的前提條件。風險導向型內部控制的本質特征要求以風險的評估為基礎，這就決定了目標制定是風險管理流程的首要步驟，企業管理者應該根據企業經濟活動的內容、特點以及管理要求，依據企業發展戰略制定內部控制目標，制定的內部控制目標應具有前瞻性和發展性，與企業長遠發展戰略相適應。第二步應根據目標選擇具有相應功能的內部控制要素，組成內部控制系統。在此基礎上將目標在企業內層層分解、落實到人。在這一過程中，企業應將科學的目標體系轉變成為易于理解、執行的科學風險管理政策體系，從而提高風險管理的系統性和可操作性。需要注意的是，企業還應確定對目標的實現有潛在影響的事項，保證制定的目標與企業的風險偏好相一致。（二）完善內部控制環境建設內部環境是其他所有風險管理要素的基礎。控制環境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、認識和措施。控制環境影響著員工對內部控制的認識和態度。內部控制環境建設應從以下方面展開：①治理層積極參與內部控制活動；②管理層在治理層的監督下，營造并保持誠實守信和合乎道德的企業文化；③建立正式的行為守則；④對員工勝任能力高度重視，有合理的人力資源政策和管理；⑤經營模式、權限和職責分配得當；⑥促進全體員工樹立風險管理哲學觀，建立企業風險文化時，要注意建立統一的風險語言，以方便企業內部的風險溝通和交流。企業文化往往是現存的一種無形的力量，影響企業成員的思維方式和行為方式，它具有一種很強的凝聚力。隨著企業文化中風險敏感程度的提高，企業應將風險管理作為企業文化的重要內容并貫穿企業文化建設始終，使內部控制成為在同一種文化背景下具有統一的認知和行為模式。在企業風險管理文化的建設中，要通過各種途徑倡導和強化“全員的風險管理意識”，使全體員工自覺地將風險管理的各種方法、規定、制度落實到日常工作中，在整個企業形成一種風險控制的文化氛圍。具體地說，企業應高度重視培育風險管理文化，應將風險管理滲透到企業的每一個部門、每一個崗位、每一個工作環節，企業的管理層應負責培育風險管理文化，管理人員在培育風險管理文化中應起表率作用。當然，良好的風險管理文化需要經歷一個長期的培養過程，這就要求企業在日常的經營活動中長期不懈地堅持。（三）加強風險評估任何經濟組織在經營活動中都會面臨各種各樣的風險，并對其生存和競爭能力產生影響，特別是戰略風險和經營風險。有的風險可以避免，有的風險可以消除，而有的風險只能控制在合理水平，有的風險只能承受或分擔。盡管很多風險的產生并不能被控制，但管理層應當首先確定可以承受的風險水平，然后識別這些風險并采取一定的應對措施，以把風險控制在風險容忍度之內。加強風險評估意味著風險控制不再是被動地通過各個環節設置好的控制活動來預防風險的出現或發生，而是通過主動地開展風險評估，識別和分析，進行預防。風險源頭可能是：①新員工加入帶來的風險；②業務快速發展帶來的風險；③經營環境變化帶來的風險；④新業務品種帶來的風險。風險評估過程則包括識別各種風險，估計風險的重大性，估計風險發生的可能性，以及如何采取措施來管理這些風險。（四）完善風險控制活動控制活動是有助于風險反應正確執行的政策和程序。控制活動發生在整個組織的所有層面和所有職能中。控制活動是企業力爭達成其經營目標的流程的一部分。在制定控制活動時關鍵是抓住重要控制點，其設計要基于風險評估結果，以提高控制活動的針對性。它們通常包括兩個要素：政策和程序。由于企業普遍采用信息系統，需要對重要的系統進行控制。如，利用互聯網實施會計的實時控制。會計信息是會計控制的基礎，控制過程也就是信息的收集、傳輸與加工處理的過程。充分利用互聯網絡技術，實時通過會計工作和利用會計信息對企業的生產經營活動進行了指揮、調節、約束和促進，使供應商、生產商、分銷商、客戶，通過供應鏈緊密集成，物料不間斷地流動，實現零庫存，最大限度減少經營成本，快速響應客戶需求，提高公司市場競爭能力和經濟效益。（五）加強企業內部控制監督監督能夠保證內部控制體系能運作的持續有效，因此必須對整個內部控制的執行過程進行恰當的監督，并通過監督活動對內部控制的某些薄弱環節施以必要的修正，以達到不斷改進內部控制的目的。內部控制的監督可以從四個方面進行完善：控制自我評估、內部會計控制、內部審計和社會監督。控制自我評估。企業內部控制實行的控制自我評估，是指每個企業不定期或者定期對自己的內部控制進行評估，評估內部控制的有效性及其實施的有效性、合法性和經營目標的達成程度，以便能更好地達成內部控制的目標。我國企業在完善公司治理結構、改進內部控制時，要定期或不定期地進行內部控制自我評價，以便發現和解決內部控制過程中出現的問題，進而改進內部控制的薄弱環節，達到不斷完善內部控制目的。會計控制。通過會計的記錄、確認、計量和報告對各項交易和事項進行核對或校驗，對已記錄的經濟交易或事項由具體經辦人之外的獨立人員進行核對或驗證；如驗證所記錄的金額估價的正確性等，以及對與該項業務相關的內部控制程序的履行情況進行檢查和驗證，這可以有效的確保內部控制在較長的時間里處于良好狀態比如采購與付款循環中，按規定采購、驗收與相關的會計記錄應分離等，財務人員在記錄時，要復核所有原始憑證，以確保所有的項目是一致的、計算的金額是正確的、審批人有相應的權限等，否則是不能入賬并同意付款