内部控制与企业风险管理范例6篇

内部控制与企业风险管理范文1

关键词 内部控制 风险管理 整合

中图分类号：F272.7 文献标识码：A

COSO分别于1992年和2004年先后了两个内部控制框架，后者被命名为《风险管理——整合框架》，不但与原《内部控制——整合框架》名称不一，并将风险管理理念和方法导入其中。尽管我国2008年的《企业内部控制基本规范》采用了前者的形式和后者的思想，但是与我国企业的习惯认识产生了冲突。如何认识内部控制与风险管理的联系和区别，并对二者进行整合是当前会计理论界和实务界需要进一步思考的。

一、风险管理与内部控制关系综述

一般认为，企业内部控制是为了保护资产安全、提高企业经营效率和效果、保证财务信息真实性和可靠性所建立的一套自我管理和自我约束的管理制度或机制。但是，COSO于2004年重新提出的《企业风险管理——整合框架》强调了内部控制是风险管理不可分割的一部分，同时又指出了风险管理框架并没有打算取代在的内部控制框架。但并没有说清楚内部控制与风险管理究竟是一种什么样的关系。而且既然不准备替代内部控制框架，那么提出风险管理框架的用意又是什么。其实，长期以来，理论界和实务界对内部控制与风险管理之间的关系始终没有达到一致意见。概括而言，主要有以下三种观点：

（一）内部控制包含风险管理。

巴塞尔银行业监管委员会的《银行业组织内部控制系统框架》主张把风险管理内容纳入到内部控制框架之中。例如该框架指出：“董事会负责批准并定期检查银行整体战略及重要制度，了解银行的主要风险，为这些风险设定可接受的水平。确保管理层采取必要的步骤去识别、计量、监督以及控制这类风险。”。另外，加拿大注册会计师协会控制标准委员会也认为：控制应该包括风险的识别与减轻。

（二）风险管理包含内部控制。

2004年，OSO委员会提出的《企业风险管理——整合框架》明确指出：内部控制是企业风险管理不可分割的一部分；内部控制是风险管理的一种方式。2005年，英国特恩而尔委员会也认为：公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。

（三）内部控制就是风险管理。

国内外也有不少学者认为，风险管理系统与内部控制系统没有差异。这两个概念的外延变得越来越广，正在变为同一事物。风险管理与内部控制仅仅是人为的分离，而在现实的商业行为中，二者其实是一体化的。将内部控制定义为风险管理只是为了强调控制与战略制定的联系，刻画了内部控制作为组织支撑的特征。

二、内部控制与风险管理比较

1992年COSO提出的《内部控制——整合框架》将内部控制定义为，“受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”2004年COSO重新推出《风险管理——整合框架》，将风险管理定义为“由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定和企业各个层次的活动，目的是识别影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理保证的过程。”

（一）内部控制与风险管理的相关性。

1、风险管理包含内部控制，是内部控制的改进版

内部控制是生产规模化和资本社会化的产物，是基于委托关系的，其目标是保证会计信息的真实和资产安全；而风险管理则是经济全球化的产物，是对内部控制的拓展和延伸，其目标是提高企业对外部市场的反应能力，提升企业战略的适应性。因此，内部控制与风险管理的融合是必然的。2004年COSO委员会的《企业风险管理——整合框架》通过控制目标和控制要素的安排，将内部控制全面纳入到了风险管理框架之下，从而实现了内部控制与风险管理的全面融合。融合后，风险管理目标多了一个战略目标，这一目标正是内部控制升华到风险管理的核心体现。另外，为了强调风险的重要性，风险管理框架另外增加了事件识别、目标设定和风险对策三个要素。由此可以看出，内部控制实际上是包容在风险管理框架之中的。

2、风险管理以内部控制为工具。

风险管理是以内部控制为基础的，必须得到内部控制的支持，才能实现风险控制的目标。内部控制受风险管理驱动，反过来为企业实现管理目标而提供有效的保证。完善的内部控制是当今世界大多数国家的法定要求，是现代企业建立风险管理体制应达到的基本状态。

（二）内部控制与风险管理的差异。

1、内部控制与风险管理控制的对象不同。

内部控制是企业实现目标采取的政策和程序，仅仅是一项管理职能，侧重于事后和过程的控制。因而与风险管理相比，内部控制相对滞后，如控制活动、信息与沟通、对控制的监督等要素都属于事后性质的，这就决定了内部控制不能解决所有风险问题。而风险管理活动相对比较主动，通过战略目标的设定和事项识别，将内部控制提前到企业战略制定过程，使风险管理具有了前瞻性，被赋予了战略管理功能，提升了企业风险管理的地位和能力。

2、内部控制与风险管理对风险的认识不同。

内部控制注重对企业目标实现过程中产生负面影响的事件进行控制，没有区分风险和机会。而风险管理既关注风险对企业战略目标实现的不利影响，还要求关注风险中所蕴涵的机会对企业战略的促进作用。

3、内部控制与风险管理对风险管理的范围不同。

内部控制与早期的企业经营环境相适应，外部环境相对稳定，关注的是企业内部风险；而风险管理与当前不确定的市场环境相对应，关注的侧重点是企业外部市场风险。之所以如此，是因为只有关注外部风险才能够提高企业战略对外部市场的适应性

4、内部控制与风险管理采取的风险管理策略不同。

随着金融衍生工具的出现和市场竞争的加剧，企业存在多重风险，而且风险存在叠加，有的风险相互抵消减少。因此，风险管理提出了对风险进行组合管理的概念，企业不能只从某个部门或某项业务去考虑风险，而应当从组织整体角度考虑风险问题。

三、内部控制与风险管理的整合

内部控制应与企业的风险管理的融合，是企业风险管理的客观要求。

（一）设立风险管理委员会，提高内部控制的层次。

我国大多数企业之所以仍然将内部控制视为企业日常管理的工具，而将其定位于风险管理，关键是企业风险意识不强，而风险意识不强的原因是无人对风险承担责任。如果在企业组织结构中建立独立的、专业的风险管理团队，不但有助于对内部控制进行专业化的管理，增强其独立性，而且有助于创造一个独立承担风险管理责任的主体，从而激发企业领导层的风险责任意识。

（二）在内部控制框架中导入风险理念。

内部控制与风险管理是不可分割的整体，风险是二者联系的桥梁，这就要求在企业内部控制的各个层面、各项业务流程和各个控制环节注入风险管理政策和程序。企业风险管理部门，应当按照风险管理的要求，加强对内部控制的监督，定期和不定期地对风险管理活动的有效性作出评价，并提出整改意见。

（三）明确董事对企业风险管理的责任。

企业风险管理部门只是风险管理的直接责任人，董事会才是风险管理的最终责任人。为此，企业应当建立多层次的风险责任体系，以各司其职，各负其责任。将董事会的责任定位于风险管理的顶层设计层次，高级管理层的责任则主要定位于风险管理的执行层次，专职的风险管理部门的责任则定位于风险管理的组织层次，各部门经理则对本部门的运作风险管理负责。值得一提的是，董事会不但负责风险管理的顶层设计，而且对风险管理承担最终责任，董事会必须对对违反风险管理的各种行为，都应当严加追究，无论其是否造成损失。

（四）完善企业风险管理的内部环境。

COSO《风险管理——整合框架》将原《内部控制——整体框架》中的“控制环境”要素修改为“内部环境”要素，旨在要求提高整体风险意识而不仅仅是与控制政策和程序有关的风险意识，要求企业加强风险文化建设、树立适当的风险偏好、正确地识别风险和机会，以风险为导向加强人力资源管理，培养员工的诚实性和道德观，以提高企业整体的风险管理素质。

四、结束语

风险管理是一个比内部控制更加宽泛的概念，险管理与内部控制的融合是内部控制和风险管理成熟的标志。内部控制与风险管理的融合，强调了内部控制与企业战略之间的联系，使内部控制从狭隘的财务控制拓展到战略管理层面，要求内部控制参与企业价值创造的全过程。内部控制与风险管理的融合说明了传统的内部控制为企业风险管理构筑的防火墙已经难以抵挡市场瞬息万变的变化带来的风险，需要更全面的风险管理以适应市场经济的发展。

（作者单位：平顶山市建设工程标准定额管理站）

参考文献：

[1]张军.基于风险管理视角下的内部控制探讨.内蒙古财经学院学报（综合版），2011（02）.

内部控制与企业风险管理范文2

内部控制是社会经济发展到一定阶段的产物，其内容随着企业对外满足社会需要、对内强化管理而不断丰富和发展。内部控制是现代企业管理的重要手段，建立有效的企业内部控制制度是经济管理工作的重要基础。不断完善企业内部控制制度，对于防范舞弊，减少损失，提高资本的获利能力， 保障企业各项资产安全、完整具有积极的意义。

但是进入21世纪，安然、世通和施乐等世界知名大公司的一系列财务丑闻，给广大投资者带来了严重的打击，同时也暴露了企业内部控制存在的问题。各国理论界和实务界认为当前的内部控制框架有一定的局限性，如对风险的强调不够，使得内部控制无法与企业的风险管理相结合。一时间，企业的风险管理成为人们关注的焦点，也作为企业战略管理中的核心登上了公司治理的舞台。2004年10月份COSO(Committee Of Sponsoring Organizations Of The Tread-way Commission)的《企业风险管理——整合框架》是在1992年报告的基础上，结合《萨班斯——奥克斯法案》的相关要求进行扩展研究得到的。该框架强化了风险管理，涵盖了原有内部控制的合理内容。风险管理的兴起对内部控制产生了重大的影响。COSO认为，内部控制是风险管理的一部分，企业风险管理框架是在内部控制整体架构基础上发展而来的，内部控制与风险管理有着密切的联系。

目前在经济建设不断加快的背景下，中国企业要提高自身的国际竞争力以及在国际资本市场的信誉度，减少财务丑闻的发生，必须加紧改善自身的管理，建立完善的内部控制制度，识别和衡量企业所面临的内外部风险，并根据风险评估结果开展恰当的控制活动，消除或减少企业风险带来的损失，提高企业的应对能力和竞争力。同时，为了适应世界经济发展的形势，我国企业也迫切需要学习和借鉴国际上关于内部控制的理论研究成果。

一、风险的概念剖析

风险的定义目前主要有两种观点：其一是以美国学者威利特等为典型代表的静态学派，他们把风险理解为不确定事件。这种理解从风险管理与保险关系的角度出发，以概率的观点对风险进行定义。其二是以美国学者威廉姆斯和赛因斯为典型代表的动态学派，他们认为：“风险是在一定条件下，一定时间内可能产生结果的变动。”这种变动就是预期结果与实际结果的差异，意味着预期结果和实际结果的不一致或偏差。因此，这种变动越大，风险越大。

另外，也有人将风险分为纯粹风险和投机风险两类。纯粹风险是指有可能带来损失的风险；投机风险是指既有可能带来损失，又有可能带来机会的风险，如股票投资，既可以为投资者带来丰厚的利润，也可能使投资者遭受重大的损失。

对现代企业来说，风险是某种不利因素产生并造成实际损失致使企业目标无法实现或降低实现目标的效率的可能性。企业风险可以分为政策风险、战略风险、日常经营管理风险及财务风险。政策风险主要是国家宏观经济政策或行业政策改变导致企业所面临的风险；战略风险主要表现在企业的多元化经营与企业并购方面；日常经营管理风险按照日常运转的关键环节划分，主要包括供应风险、生产风险和销售风险；企业的财务风险则是指企业财务活动目标不能得以实现的可能性，包括筹资风险、资金投放的风险及企业其他财务活动风险。

二、风险管理的演进历史及现状

风险管理是采取一定的措施对风险进行检测评估，使风险降低到可以接受的程度，并将其控制在某一可以接受的水平上。从职能上说，风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失，保证组织目标的实现。对风险管理的定义可以理解为：一是风险管理是一个系统过程，包括风险的识别、衡量和控制等环节；二是风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果；三是风险管理是一种管理方法。

风险管理作为企业的一项管理活动，产生于20世纪50年代的美国，当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时，风险管理是企业管理的一个重要组成部分，主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单，因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。

20世纪80年代后，企业的经营环境开始发生了巨大变化，以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁，使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动，并没有形成完整的理论和方法体系。反而在金融机构中，由于所经营的金融产品带来的各种风险加剧，逐步形成了针对金融机构的相对完整而系统的金融风险管理体系，其针对的对象和内容都与传统风险管理有很大不同。

到20世纪末，随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂，开始出现了将企业的所有风险，包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期，并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起，形成一个崭新的概念——全面风险管理。

全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

三、COSO风险管理框架

近年来，许多公司关注企业风险管理，他们对企业风险管理框架的需求日益增加。2001年，COSO委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。在这一时期，美国出现了包括安然公司在内的一系列公司财务丑闻，使投资者蒙受了巨大的损失。之后，要求改善公司治理结构和提高风险管理能力的呼声日益高涨。2002 年美国通过了萨班斯——奥克斯利法案（Sarbanes——Oxley Act of 2002），其中的 404 条款要求上市公司管理当局对内部控制的有效性进行披露报告，同时也要求注册会计师对上市公司内部控制的效果进行审计。正是在这一背景下，COSO于 2004 年 10 月了《企业风险管理——整合框架》的报告。

（一）风险管理的定义

COSO对其定义为：“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。”

ERM框架对内部控制的定义明确了以下内容：1.是一个过程；2.被人影响；3.应用于战略制定；4.贯穿整个企业的所有层级和单位；5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；6.合理保证；7.为了实现各类目标。对比COSO1992年的定义，ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。

转贴于 （二）风险管理的目标

ERM认为风险管理的目标有：战略目标——与使命相关联并支撑其使命；经营目标——有效和高效率地利用其资源；报告目标——报告的可靠性；合规性目标——企业经营符合相关法律法规的规定。

ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表，包括中期和简要财务报表以及从这些财务报表中摘出的数据，如利润分配数据”；新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

（三）风险管理的控制要素

1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展，将其演变为八个要素，即增加了控制环境内部化；目标作为要素；风险要素的扩展。

主要有：1.内部环境——内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。2.目标设定——必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。3.事项识别——必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。4.风险评估——通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。5.风险应对——管理当局选择风险应对、回避、承受、降低或者分担风险，采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。6.控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。7.信息与沟通——确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。8.监控——对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。

（四）相关角色和任务的变化

新老COSO报告都将组织的董事会、管理层、内部审计等职员看成是内部控制框架中的相关责任人。董事会制订战略，管理、指引和核查一些特殊交易和政策。董事会既是内部控制的因素，也是企业风险管理的重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色，即担负总体责任，企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。

在ERM框架中，管理层必须识别目标和战略方案，并将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系。一旦设定了目标，管理层就需要识别影响风险的事项、评估风险并采取控制措施。

在ERM框架中，内部审计人员在监督和评价成果方面承担重要任务。他们要协助管理层和董事会监督、评价、检查、报告风险。对于内审人员来说，最大的挑战是在ERM中扮演何种角色，很多内审人员可能被要求提供ERM的教育和训练，甚至“处理企业风险管理过程”。但是，新报告认为：内审人员并不对建立ERM体系承担主要责任。内审人员职责的另一个变化是原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管负责。

在ERM框架中，新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。

四、内部控制与风险管理的关系

从新的COSO框架对企业内部控制的完善来看，企业内部控制逐渐呈现与风险管理靠拢和一体化的趋势，即以风险管理为主导，建立适应企业风险管理战略的新的内部控制，从内部控制走向风险管理。

风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理，内部控制制度的制定依据主要是风险，在某些极端情况下甚至完全由风险因素来决定。风险越大，越有必要设置适当的内部控制措施，风险相当大时，还要设置多重内部控制措施。而且做好内部控制是做好风险管理的前提。一家企业只有从加强内部控制做起，通过风险意识的提高，尤其是提高企业中处于关键地位的中、高层管理人员的风险意识，才能使企业安全运行，否则，处于失控状态的企业最终将被激烈竞争的市场经济大潮淹灭。

风险管理是内部控制概念的自然延伸。在新技术和市场的推动下，内部控制走向风险管理。例如，在计算机网络和金融衍生工具市场存在的条件下，企业可以运用金融衍生工具防范因汇率和利率波动给企业带来的财务风险。内部控制是企业防范风险的日常运行功能与结构，包括确保财务信息的真实可靠、遵守相关的法律法规等。在新技术和市场条件下，为维护股东的利益，实现企业目标，还需要基于内部控制更主动、更灵活、更全面的风险管理。

内部控制和风险管理各有侧重。内部控制侧重制度层面，通过规章制度规避风险；风险管理侧重交易层面，通过市场化的自由竞争或市场交易规避风险。一般来说，典型的内部控制依然是为了保证资金安全和会计信息的真实可靠，会计控制是其核心，内部控制一般仅限于财务及相关部门，并没有渗透到企业管理过程和整个经营系统，控制只是管理的一项职能；典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较，如银行的授信管理、汇率风险管理和利率风险管理等，它贯穿于管理过程的各个方面。从以上分析可以看出，风险管理是内部控制概念在新技术和市场条件下的自然延伸，风险管理包括内部控制，内部控制是风险管理的基础。风险管理侧重于市场交易层面。

内部控制与企业风险管理范文3

【关键词】金融危机，内部控制，风险管理

企业目标是一个企业在未来一段时间内所要达到的预期状态，它由一系列的定性或定量指标来描述。现在社会的企业目标实质上就是实现企业价值的最大化。在实现企业目标的过程中，首先要做的就是确定企业使命，根据企业外部环境和内部经营要素确定企业的发展终极方向和目标，即企业战略管理，包括战略制订、战略执行、战略控制等过程。然后就是为了实现已确定的发展终极方向和目标，对企业整个生产经营活动进行决策，计划、组织、控制、协调并对企业成员进行激励，即企业经营管理。最后就是为确保企业发展终极方向的正确和企业目标的实现，对企业可能遇到的各种风险进行识别、衡量、分析、评价，并适时采取及时有效的方法进行防范和控制，用最经济合理的方法来综合处理风险，并将产生的结果控制在预期可接受范围内，以达到最大的安全保障，即企业内部控制与风险管理。前两大管理事项在当今企业的企业管理中已占有很重要的地位，然而却忽略了最重要的企业内部控制与风险管理。

巨无霸企业为什么会在一夜间崩溃？

大家是否都还记得2008年9月15日引爆全球金融危机的特大新闻？因美国银行和巴克莱银行放弃收购，拥有158年历史被誉为“债券之王”，华尔街上的巨无霸之一的“雷曼兄弟”宣布正式进入破产保护程序。随即“雷曼兄弟”的市值从前一个周末的460亿美元暴跌至仅1.45亿美元。美国的这五大投资银行无一幸免，贝尔斯登宣告倒闭，美林被收购，高盛、摩根士丹利转型，全球性金融危机由此引爆。花旗集团在2006年集团股价曾高达55.70美元、市值为2，772亿美元，然而花旗集团2008财年的税前亏损高达530亿美元，导致2009年3月5日，集团股价跌至0.97美元、市值缩水至55亿美元，缩水幅度达到98%。同样命运的还有美国国际集团，2007年初集团的股价为72美元、市值达1，900亿美元，当年该集团盈利为60亿美元，然而2008年第四季度该集团亏损617亿美元，创美国公司历史上最大季度亏损记录，2008全年的亏损高达990亿美元，导致2009年3月该集团股价跌至0.50美元、市值缩至10亿美元，美国政府不得不注资1，730亿美元拯救。受全球金融危机影响的只有投资银行和保险公司为代表的金融行业么？当然不是，各个行业都在经历着这场全球金融危机。2009年4月30日，具有85年历史的美国第三大汽车厂商克莱斯勒公司宣布申请破产保护。2009年6月1日，一度被视为美国经济的象征与动力，具有百年历史的美国第一、世界第二的汽车厂商美国通用汽车公司也向法庭申请破产保护，成为美国有史以来最大规模的行业破产案。昔日世界汽车龙头不得不依赖政府的资金援助以维持日常运行。福特汽车公司也未能幸免，遭遇到前所未有的困境，2009年第三季度福特汽车公司亏损额将近30亿美元，尽管亏损额度比通用汽车公司少很多，但是其销售额下降了22%，仅有311亿美元，比通用汽车公司更加不容乐观。

正如汇丰集团前主席庞·约翰对这次全球性金融危机的总结“过去摧毁一座金融帝国可能需要一个很漫长的过程，但是在现在，即使是经营了上百年的金融帝国也可以在一夜之间倾塌。”这充分印证了一条颠扑不破的古训：“瓦罐不离井上破“。管理者在企业的经营过程中忽略了最重要也是最基本的管理事项？企业内部控制与风险管理。

有没有措施可以防止这种情况发生？

此次席卷全球的金融危机虽已渐行渐远，但它带来的冲击和影响却没有消失。无论是外国的企业还是中国的企业，无论企业的规模是大还是小，均无一幸免。此次金融危机所暴露出管理者对企业内部控制与风险管理的轻视甚至是忽视的错误观念。企业缺乏应对危机的机制和内部控制没有发挥有效的作用、内部控制与风险管理未能发挥免疫系统的功能。

企业内部控制与风险管理作为现代企业管理理论和方法，对于完善内部管理、预防和控制各种风险、顺利实现组织目标、保护资产的安全与完整，具有不可忽视的作用。如何保证企业财会信息真实可靠，构建有效的内部控制和风险管理机制，已经成为当前企业管理者们关注的重点。

企业内部控制与风险管理

企业内部控制是由企业的管理层（即董事会、监事会等）和全体员工共同实施的，以专业管理制度为基础，以防范风险、有效监管作为目标，旨在合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，通过全方位建立过程控制体系、监督检查生产经营业务全过程而形成的企业管理规范制度，同时也是提高企业经营效率和效果，促进企业实现发展战略的过程。风险管理是内部控制的发展和延续，内部控制进一步的提升就是风险管理。风险管理又名危机管理，由企业的风险管理部门实施，应用于企业战略制订并贯穿于整个企业经营当中，即指在企业生产经营过程中，企业的风险管理部门对可能会影响到企业的各种风险因素进行识别、分析和评估，并且管理风险以使其在该企业的风险容量之内，为实现企业的经营目标提供合理保证，即以最低成本实现最大的安全保障。

企业内部控制与风险管理是社会经济发展到一定阶段的产物，是现代企业管理的重要手段，可以视为企业的免疫系统，它们的关系密不可分。在今天，企业内部控制和风险管理理论发生了巨大变革，两者已开始逐步融为一体。首先两者的构成要素是一致的，同时两者都是促进企业实现经营目标的过程，这个过程要组织企业各个层级的人员实施，而且两者确保实现企业的经营目标均包括战略目标、经营目标、报告目标和合规目标。

绝大大多数企业对内部控制的了解还停滞在内部牵制阶段，即遇到具体问题多强调灵活性，使内部控制制度流于形式，失去了应有的刚性和严厉性。随着全球经济一体化进程加快，企业将会面临更大的经营环境变化和来自各方面的经营风险，如筹资风险、投资风险、开拓市场的风险、产品集中度的风险、客户结构的风险、担保风险、信用风险、法律风险、管制风险、声誉风险、技术风险等，同时企业间的竞争也将越来越激烈。无论是什么样的风险，企业都应该建立可以识别、分析和评估风险的机制。企业内部控制与风险管理的完善不是一朝一夕的，只有企业提高对企业内部控制与风险管理的意识和重视程度，建立和完善企业内部控制与风险管理制度，在企业经营管理中才能真正发挥出企业内部控制与风险管理的功能，促进企业的发展，从而改变由于企业原有内部控制制度的内容和方法不能满足新经济形势的发展要求，造成的内部道德风险、营私舞弊、激励机制失效、会计信息失真等现象。“得控则强、失控则弱、无控则乱”，由此可见，完善企业内部控制与风险管理，对于完善公司治理结构和信息披露制度，保护股东的合法权益，增强企业市场风险驾驭能力，有着非常重要的意义，同时也是衡量现代企业管理的重要标志。

我国企业内部控制与风险管理现状

早在2004年中国航油公司（以下简称“中航油”）的事件中，中航油没有按照国家不准海外国企以盈利为目的涉足衍生品交易的相关规定，不仅把石油期货作为赚钱的主要手段，而且在期货合同的损失值超过公司风险管理手册所规定的50万美元的上限时，一意孤行，最终造成了5.54亿美元的巨额亏损而倒闭。湘潭电缆厂原厂长陈某集总经理、厂长、党委书记于一身，在人事政策、企业管理等方面独断专行，内部审计机构形同虚设；在她在任的三年左右时间内，这个年产值25亿元的国有大型企业由盈利变为亏损3.61亿元。这两个案例充分说明了我国企业在内部控制与风险管理方面是相当薄弱的，企业缺乏对自身的市场定位和对行业发展前景的认识，很多企业将内部控制片面理解为内部会计控制、成本控制、资金安全控制等，有的企业对内部控制的认识甚至还停滞在内部牵制阶段，风险意识不强，风险评估控制普遍不足，风险管理工作薄弱，抗风险能力差。导致企业无法组织和建立未来竞争中所需的资源和竞争力；企业的组织架构紊乱，不能配合企业战略的实施，难以整合提升资源；企业的业务流程松散，业务部门之间联系松散，职能重叠，缺乏信息共享机制，无法为企业创造附加价值；企业的激励机制不足，缺乏全面完备的绩效评估制度，人才的成长落后于企业的发展；企业的信息技术落后，信息技术运用程度较低，难以为企业提供决策支持；企业的资金管理低效，缺乏成熟的资金运用和投资管理技能，造成资金运用率过低；企业的监管机构不健全，”一股独大”的情况严重，权力过于集中并且驾驭于内部控制之上，导致整个企业的治理结构相互制衡的作用缺失；此外“企业长官”的意识相当严重，企业经营决策都在于领导拍脑门，根本没有科学合理的决策机制和对决策机制的有效制衡；还有些企业形式上已建立较为完善的法人治理架构，名义上决策权在董事会，但实际上仍旧是个别领导说了算。

随着全球金融危机的爆发，巨大的市场风险和流动性风险考验着各行业企业的抗风险能力，即企业内部控制与风险管理体系。我国企业不得不面临全球经济增速放缓、国际市场进口需求降低所带来的冲击和不断变化的国际市场环境等一系列问题。要想在逆境中发展，我国企业必须要从企业自身的实际情况出发，根据企业的发展方向和经营目标及时调整并不断完善内部控制制度，使企业内部控制制度朝全面风险管理方向提升，增强企业的抗风险能力。

如何做好企业内部控制与风险管理？

现阶段企业的管理者对企业内部控制与风险管理的问题上存在着多种观点。笔者认为，内部控制与风险管理是两个不同范畴，在企业管理中，两者同时存在并相互依存。两者虽存在着必然的内在联系，但并不是相互包含的关系，更不是简单等同关系。企业要想在激烈的竞争中脱颖而出并且长久的发展，企业的管理者不仅要有竞争意识，还要具备风险意识。要认清自身企业的现状，及时调整和不断完善企业内部控制与风险管理政策，构建体现全面风险管理的内部控制新机制，对风险进行全面有效管理。

企业首先要设立专门的企业内部控制与风险管理部门，以便及早发现并消除企业潜在的风险点将风险损失控制在最低限度。企业在选聘内部控制与风险管理部门人员时，不能一味的引进“外援”，也不能全部从内部选拔。因为内部控制与风险管理部门的人员必须要清楚知道企业经营的各个环节，这样才能做到随时留意并且能够及早对企业可能会面临的各种潜在风险进行有效识别。当然，只有自身行业的专业经验也是不够的，同时也要针对企业自身所处的行业领域，引进熟悉了解该行业法律法规政策、曾经接触过该行业历史案件的专业法律人士，这样可以在企业未来的经营活动中，针对所遇风险的类别提供相对权威性的法律意见。这样的组合才能做到站在企业整体的高度从内部控制的角度出发根据企业自身的实际情况对所遇风险进行全面的风险评估，为企业的管理者提供更有力、客观、全面的风险管理的建议和解决方案。企业内部控制与风险管理部门的人员要将平时工作中遇的风险、采取的解决方案和最终结果全部记录归档，并且根据自身需要选择适合自我的风险因素划分方法对这些风险案例进行进一步的细化分类，以方便日后如果再次遇到类似风险，采取更为迅速、有效、合理和科学的解决方案。

企业内部控制与风险管理是在企业日常运营中所产生的一种信念或态度，风险识别意识就是这种信念或态度的基础。风险识别意识不仅能够直接反映出企业的整体价值观，而且也体现了企业风险管理的状况。如果一个企业只有管理层和企业内部控制与风险管理部门人员有风险识别意识，那么在企业内部控制与风险管理部门人员在指出自己发现的潜在风险点时，会引起其他部门人员的不满，使得问题无法及时顺利的解决。为了避免这种情况的发生，企业不仅要明确企业内部控制与风险管理部门的核心地位，同时也要利用各种渠道、途径培养企业员工的风险识别意识。企业各职能部门要按照系统性原则，根据企业内部控制与风险管理的构成要素，全面梳理流程，识别风险，修订和完善内部规章制度和业务流程，加强事前防范、事中监控和事后管理，明确流程中各个环节、相关岗位的衔接方式和操作标准。

企业内部控制与风险管理是一项系统工程，也是近年来企业管理者们共同关注的重点问题之一。企业管理者要根据本企业的实际状况，制定适合本企业发展的内控管理规范机制、强化企业内部控制与风险管理体系，才能有效提升企业的综合竞争力，确保企业发展终极方向的正确和企业目标的早日实现。

参考文献：

[1]胡杰武、万里霜。《企业风险管理》清华大学出版社2009年出版

内部控制与企业风险管理范文4

随着全球经济一体化时代的到来，企业在面对激烈的同行业竞争同时，对于企业日常生产经营管理过程中的风险管理及内部控制问题，已愈来愈受到企业投资者以及高层人员的关注。本文将从企业风险管理及内部控制的关系入手，进而阐述目前企业在实施风险管理及内部控制建设过程中存在的问题，并最终提出企业风险管理及内部控制存在问题的策略。

关键词:

风险管理；内部控制；浅析

内部控制是企业在其生产经营管理过程中，对于其整个日常管理经营活动的监督及控制，以期达到保证其对外披露会计资料的真实、有效，并且确保企业能够顺利的完成生产经营目标，同时保证企业相关资产的安全性。风险管理则是指对在企业经营过程中容易出现的各种危险及损害企业经济效益的情形加以识别、预判，并采取一定的措施对其进行有效的管控，力求达到将其给企业带来的危害降到最低。我国对于内部控制及风险管理的认知较晚，尤其一些中小企业对于两者不是十分重视，从而使得企业经营过程中的各类风险加剧，最终影响着企业的生存及发展。完善企业风险管理与内部控制措施，可以有效提高企业员工的工作积极性，端正财务管理人员工作态度，确保财务信息的真实性，为企业的管理者做出正确的经营决策提供有效依据。

一、企业风险管理与内部控制关系

(一)风险管理内涵

企业在其生产经营过程中风险是客观存在的，也是不容否定的。企业风险管理是指企业用以降低风险所产生的消极影响的决策过程。风险管理一般通过对于风险的识别、风险估计、风险评价，并在此基础上选择与优化组合各种风险管理技术，对风险实施有效控制和妥善处理风险所致损失的后果，从而以最小的成本收获最大的安全保障。企业风险管理基本内容包括：风险意识、风险衡量、风险管控技术选择及风险管理效果评价等四个方面。

(二)内部控制内涵内部控制的概念

最早是由美国准则委员会在1972年其所做的《审计准则公告》提出的。内部控制是指企业在其生产经营过程中为了确保其经营目标的实现、增强其资产的安全性、保证会计资料的真实性及可靠性，并且确保其重大经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

(三)二者之间的关系

1、企业内部控制与风险管理的联系

美国COSO委员会《内部控制整合框架》中，指出内部控制的五要素即：控制环境、风险评估、控制活动、信息的沟通与交流以及对环境的监控。内部控制实质性目的是在顺利完成企业经营目标的基础上，确保企业会计资料的真实性、保证企业资产的安全性以及风险管理。而风险管理是通过一定方法，对于企业潜在的风险进行识别、估计、预判来保证企业的资产安全以及企业经营目标的实现。风险管理由八要素组成：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监控。从组成要素上看，两者有五个要素是重合的。因而，从二者之间的内涵上看，二者之间有许多方面还是较为一致的，同时企业的风险管理往往正是依靠内部控制手段的有效实施才能实现。企业如果没有健全的内部控制体系，对于风险管理将无从下手，失去了内部控制作为有力的支撑，风险管理将是“无本之木、无水之源”。

2、企业内部控制与风险管理的差异

风险来自于企业的外部及内部两个方面。外部风险一般可包括：国外经济环境风险、国内政治经济风险、外部商业风险；内部风险则包括：运营风险、财务风险、税务风险、战略风险等。而内部控制所能管控的企业风险一般局限于来自其自身的、内部的、管理方面的风险，实质上是一种对于内部风险的控制。而对于来自外部的企业风险，一般来说是没有较好的、较为有效的办法。可见，企业内部控制对于风险管理的实现，大多是依靠企业较为健全的内部控制制度、内部控制手段及方法、职业操守及内控技术较强的专业人员完成来自于企业内部的各类风险，而对于企业的外部风险目前来看，内控手段对其没有更加直接、有效的方法加以控制。

二、企业实施内部控制及风险管理建设过程中存在的问题

(一)企业内部控制工作存在瑕疵起不到应有的作用

企业的风险管理工作中，内部控制是关键。企业风险管理成功与否，内部控制起着决定性的作用。然而，从目前来看，企业在实施内部控制工作过程中，有存在着一定的瑕疵，进而使得对于风险的管控，起不到应有的作用。内部控制工作存在瑕疵主要体现在以下几方面：

1、企业领导对于内部控制工作认识不够

追求利润是企业经营者及负责人的职责及任务，然而许多企业的领导者把提高企业效益的着眼点放在如何扩大争取客户、扩大销售以及提高企业的生产技术水平上，认为只有这样才能真正获得利润。一些企业的管理较为粗放，企业领导缺乏现代企业管理意识，使其内部控制制度在建立、完善方面缺乏科学性、合理性。另外，部分企业为了达到其对外融资、上市以及领导自身业绩考核的目的，出现会计信息失真甚至是进行财务造假；更有甚者，一些国有企业领导为了其一已私利低价、贱卖国有资产，致使出现国有资产流失以及领导贪腐问题的出现。单位领导对于内部控制工作“有意、无意”的忽视，是造成企业内部控制工作无法正常运转的直接原因，进而引申对于企业自身风险管理也起不到应有的作用。

2、内部控制工作执行力不足

内部控制工作其实质就是内部控制人员依靠内控制度、采用一定的内控方法，对于企业内部整个生产经营管理过程进行全员、全方位、全过程的监督、控制。从现实来看，我国大多数企业的内部控制工作在执行过程中或多或少存在执行力不足的问题。究其原因，主要是体现在企业部门之间的本位思想及相关人员对于内部控制工作执行不彻底等原因造成的。

(二)缺乏相对专业的内部控制及风险管理人才

内部控制及风险管理无论是规章制度的建设、具体工作的执行还是执行结果的评价，都需要通过人员来完成，可以说相关人员在这项工作进程中起着至关重要的作用。但是从目前企业执行内部控制及风险管理工作的人员结构情况来看，都缺乏相对专业的人员来完成该工作，使得该工作的执行效果较差。首先，从国家层面上来看，对此项业务研究认识及开展的时间较晚，使得对于专业人才的培养上相关滞后；其次，企业自身重视程度不够，大多都不设置该项岗位，即使需要也只是由会计人员兼任；最后，一些对于风险管控、内部控制工作较为重视大型的企业，对于该项工作的评价和咨询主要是聘用注册会计师来完成，因其内部没有专门的管理人员进行，因此无法从企业的经营目标、经营方针的制订与执行、提高其管理效率、保证资产安全性等角度来评价内部控制、评估风险。因而，企业建立和完善管理系统时缺乏专业人才进行。

三、浅析解决企业内部控制及风险管理中存在问题的策略

(一)加强企业内部控制工作的执行力度

1、提高企业领导层的内部控制意识

企业的领导层应该从根本上了解内部控制工作的重要性，只有领导加以足够重视，内控工作才能真正落实。同时，我国应该针对不同企业的所有制性质，制订相应的内部控制工作管理办法。如：央企或是其他国有企业应该由国有资产管理部门制定内部控制工作巡视及抽查制度，定期对下属国企的内部控制制度的执行情况进行检查，如果必要也可以参照“派遣”制度，对国企的内部控制工作实施委派“工作组”的方式进行，“内控工作组”直接由上级机关选派及任命，并对国资委负责；对于上市公司可以采用“内部控制工作评估制度”，证券监管部门应该制定相应的制度，采取一定的措施对于上市公司的内部控制工作进行定期的评估，如发现该公司的内部控制工作出现问题，应该视同财务舞弊、财务造假行为一样施以重罚，从而在根源处治理上市公司的内部控制工作。

2、提高内部控制工作的执行力

首先，应该加强企业相关规章制度的完善及建设。“无规矩不成方圆”，说的是制度的重要性。企业若想完全、彻底的实施内部控制及风险管理工作，就必须要有一套相对健全、完善的规章制度,从而使得内部控制及风险管理工作变得“有法可依”；其次，相关人员应该以企业的核心利益为重，秉持公正、公开、负责任态度在执行内部控制工作，对于执行过程中出现的违反公司内部控制制度的问题应该坚决予以制止，并积极向上级领导汇报，把问题消灭在萌芽之中；最后，强化内部控制人员的执行权力。内部控制人员相当于企业的“经济警察”，若想提高内部控制工作质量，就应该适当提高内部控制人员的权力及相应的待遇，以打消其后顾之忧，从而使其更好的为企业内部控制服务。

(二)关注对于内部控制及风险管理人才的培养

对于相关专业人员的培养问题，建议国家相关教育机构设立相应的水平评价标准，定期对于从业者进行一定的培训及考核。企业也应该按照自身的特点，着力选拔专业人员充实到内部控制及风险管理部门中去，进而保证该项工作的质量。同时，也可以聘请专业的机构、人员定期对企业的内部控制及风险管理进行评估、测试并给予一定的意见。只有提高了人员的素质，才能从一定程度上解决内部控制及风险管理工作过程中存在的问题。

四、结语

总之，企业在其经营过程中，存在着来自各方面的风险。而通过加强内部控制来管理及控制这些风险，对于企业来说不失为是一条便捷的途径。企业只有加强内部控制及风险管理工作，才能实现其长、短期经营目标，并最终实现价值最大化的目标。

参考文献:

[1]张雨桐.金融危机后内部审计功能拓展探讨[N].成都大学学报(自然科学版).2012.02

[2]刘先艳,李红琨.经营战略下我国中小企业内部控制模式的选择[J].财经界(学术版).2010.02

内部控制与企业风险管理范文5

【关键词】企业管理 风险管理 内部控制

一、内部控制与风险管理的定义

企业内部控制是现代企业管理的重要手段，是由企业董事会、管理层及其员工共同实施的，旨在合理保证实现企业战略、经营效果、财务报告、资产评估等基本目标的控制活动，究其本质是保证企业在合理的范围内保证企业基本目标的实现。企业风险管理是一个过程，是由企业董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。《内部控制——整体框架》一书中，提出风险管理的控制要素包括控制环境、风险评估、控制活动、信息和沟通、监督等。由此可知，任何企业所面临的环境都存在较多的不确定因素，气压应该在掌握客观的外部环境的基础上，通过一定的控制方法，制定控制流程和措施，以期能达到实现企业的目标。

二、风险管理与内部控制的内在关系

风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低程度。内部控制就是企业内部采取的风险管理，内部控制制度的制定依据主要是由风险甚至完全由风险因素（在某些极端情况下）来决定的。维护投资者利益、保全企业资产、创造新的价值是内部控制或风险管理的根本作用。作为企业制度组成部分的企业内部控制的目的就是保证会计信息的准确可靠，防止经济欺诈，保护财产安全，同时保护企业名誉，以免造成经济损失等。而在新的技术与市场条件下对内部控制的自然扩展的风险管理来说，内部控制推动了风险管理。

企业内部控制的动力主要来自于对风险的管理，当企业进行风险运营时，内控系统就成为了必要的、高效的、有效的风险管理方法，因此，企业风险管理体系应该达到的状态就是能够满足企业内控系统的要求。换句话说，风险管理是内部控制概念的自然延伸，新技术和市场推动内部控制走向风险管理。总而言之，企业在实际经营过程中，风险管理与内部控制是密不可分的。

三、目前企业面临的主要风险

经济全球化的不断发展和经济的快速增长导致现代化企业面临的风险与日俱增，市场化程度越高，企业风险的表现就越明显，可以说，企业风险是时时在，处处有。

企业风险主要分为外部风险和内部风险，外部风险主要指外部存在的诸多因素，如国家法律、正常变动、市场供求状况或竞争力等。内部风险主要指企业的资源配置、行业地位、业务流程、财务能力以及管理人员的价值取向、岗位职责、激励机制和团队精神等。

四、针对主要风险企业可采取的内控管理措施

无论企业自身发展或和迎接风险与挑战来说，建立健全企业内控制度已成为当下急需解决的问题。企业只有根据实际的经营情况制定科学合理的内部控制制度，同时加以严格执行，才能够达到防范风险的目标。本文所指的内部控制主要包括人、财、物与信息。具体来说，主要包含以下内容：

（一）实施内部控制的原则和要素，确保实现有效的风险管理

企业内部控制的原则是指全面性、重要性、制衡性、适应性。要素主要包括五个方面即内部环境要素（治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化），风险评估要素（目标设定、风险识别、风险分析、风险应付），控制活动要素（不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制），信息与沟通要素（信息质量、沟通制度、信息系统、反舞弊机制），内部监督要素（日常监督、专项监督）等。在实际操作中企业应时刻检视所制定的规章制度、流程、工作要求等是否符合四原则和五要素的内涵，有利于确保风险管理的成效。

（二）加强人力资源管理，完善用人制度

企业在管理时较容易出现缺乏相关制度和流程，人员未严格执行相关制度流程，或人员业务能力、自身素质不高的现象，这将导致提升企业的用人风险。因此充分调动企业人力资源的积极性、主动性和创造性已成为现代企业管理必须解决的问题。首先应该建立严格的招聘程序，把好进口关；其次要定期组织理论和实践培训，把好素质关；最后应制定较为合理科学的奖惩激励机制，把好分配关。

（三）强化财产安全管理，确保企业利润

强化财产管理，即指强化对存货、能源及固定资产的物化管理。存货风险主要指各种原因引起的存货损坏而对企业造成的损失，一旦存货出现危机，那么也将影响企业经营方向或现金的流向。有部分企业对财产物资的内控管理过于宋笋，制度得不到落实，因此造成库存物资的损毁、报废、短缺等情况，致使单位造成比较严重的经济损失。因此要想降低企业风险必须健全物资财产的内部控制管理，应加强定期盘点、账实核对、登记明细、财产保险、监控监管等工作，从而确保财产的安全，促进企业有效经营，以求企业实现更好的发展。其次应严格执行资金授权批准制度，在做好节约资源的基础上，能够有的放矢的运用资金。企业的资金流动主要用于采购、付款、销售、收款等，应制定刚性的管理制度，并要求各职能部门的职权范围和责任，确保能够职工按照相应管理条例予以执行，以保证资金安全。

（四）职工各司其职，完善落实风险管理

内部控制与企业风险管理范文6

随着信息技术和网络技术的高速发展，企业面临的经营环境具有复杂性、多变性和高度的不确定性等特点，企业的经营活动处于完全的市场竞争环境之中，施工企业显得尤其突出。也可以说施工企业面临的风险是无处不在，如何应对和适应瞬息万变的环境，实现企业管理的战略目标和短期经营管理目标，笔者认为：只有依靠建立健全科学有效的内部控制制度和流程，有效实施对企业的全面风险管理才是必由之路。

一、施工企业内部控制与经营风险管理的特点

施工企业内部控制：施工企业经营的特点是面临环境的多变性、复杂性和不确定性。施工企业的内部控制是为了实现其经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。其目标是贯彻执行国家法律法规和企业各项内部规章制度，合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现经营目标和发展战略。其基本要素包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正等五个方面。

施工企业经营风险管理：施工企业的经营风险具有影响的普遍性、较强的隐蔽性和不可逆转性。经营风险是损失的可能性和盈利的机会，这是双侧风险概念。企业风险管理（ERM）是指“综合管理业务风险、财务风险、经营风险和风险转移，力求公司股东价值最大化。”也就是说，通过统一分析公司内外的风险，制定系统的管理策略来处理这些风险，从而提高公司的盈利能力和实现企业目标。由此可知有效的风险管理能为企业创造价值。

内部控制与风险管理的联系与区别：1992年，美国COSO委员会了《内部控制框架》（简称COSO报告），自从COSO报告以后看，已被世界大多数国家广泛采用，包括我国五部委2008年颁布的“企业内部控制基本规范”也不例外。但随着内外部环境的发展，人们逐渐认识到内部控制必须与企业的风险管理相结合。新的企业风险管理框架就是在这基础上，结合《萨班斯一奥克斯法案》在报告方面的要求，研究得到的。研发人员认为，新报告中有60％的内容得益于COSO1992年所做的工作。风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比92年的报告要更全面、更深刻。此外，COSO也认为风险管理框架是建立在内部控制框架的基础上，内部控制是企业风险管理必不可少的一部分，但风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。概而言之，内控强调的是对具体目标实现的过程管理，着重于正确的做事；风险管理强调的是对整体目标的管理，着重于做正确的事。

二、施工企业经营过程中的主要内部控制框架

企业内部控制是由受企业董事会、管理层和其他员工影响并实施，旨在实现企业经营效果和效率、财务报告的真实性和可靠性及法律的遵循性等目标，而采用的一系列具有控制作用的方法、措施和程序，并以规范化、系统化、制度化所形成的一套比较完整、严密、科学的控制机制。

内部控制的措施一般包括：不相容职务分离控制，授权审批控制，会计系统控制，财产保护控制，预算控制，营运分析控制和绩效考核控制。

1、投标业务的内部控制。施工企业投标业务的内部控制重点是：首先是建立投标信息的归类收集与归口管理制度，根据收集归类的信息组织时时分析和筛选制度，按照“五不揽、四慎揽”的原则进行选择投标，做到有的放矢；其次是建立施工技术标中的施工方案三级分工复核制度；再次是建立商务标中的投标报价三级分工复核制度；最后是建立实施对投标业务的综合评审制度。

2、施工运营的内部控制。施工企业施工实施阶段的内部控制重点是：首先是建立施工方案预控制度，即建立公司层面、项目部层面、作业层面三级施工方案预控制度；其次是建立安全质量预控制度，即制定安全质量控制总体目标的基础之上，制定出关键控制性单位工程、重点接点控制性单位工程的详细安全质量保证措施，以及发生安全质量事故处理的应急预案措施等；再次是建立成本预控制度，即建立公司层面、项目部层面、责任中心层面的责任成本管理制度。

3、竣工交付的内部控制。施工企业项目竣工交付阶段的内部控制重点：首先是建立项目竣工交付技术资料归类整理制度，关键在于对各类技术交底、检验实验、施工日志等资料的收集、整理和归类，编制竣工图纸；其次是建立项目竣工决算责任制度，确定竣工决算目标，明确责任职责与范围，尤其是建立对合同外变更索赔的清理责任制度。

4、资源管理的内部控制。施工企业资源管理的内部控制重点：首先是建立人力资源管理、物质设备管理、内部资金管理、劳务用工管理等四大中心管理制度，促进企业各项生产要素在企业内部合理、有序、受控的流动，确保各项资源的有效组合。其次是建立企业资源配置制度，按照标准化管理中专业化施工要求对四大要素进行配置。

5、投资业务的内部控制。施工企业投资业务的内部控制重点：首先是建立企业投资可行性分析制度，按照技术上可行、经济上合理、风险上可控、投资回报上优先的原则进行分析，按照“三重一大”的要求实行集体决策制度，重大投资实行上报审批制度；其次是投资项目的过程跟踪制度，防止实施过程中的偏差过大、对风险的估计不足而导致的重大损失；再次建立投资项目最终评价制度。从项目投资的事前分析，到事中控制，再到事后评价等全过程进行跟踪，从而达到对企业投资的营运风险进行掌控。

6、法务管理的内部控制。施工企业法务管理的内部控制重点：首先是建立施工企业的合同管理制度，坚持企业依法经营、合法经营这个前提；其次是建立企业的合同评审制度，坚持对外的所有合同必须进行合同评审方为有效的原则；再次是制定企业对外合同的统一范本，避免政出多门的弊端。从而对施工企业在经营过程中的合同风险、税务风险、监管风险等法律风险进行掌控。

三、施工企业从内部控制到全面经营风险管理的实现

根据管理者经营方式的不同，通常将企业风险管理分为八个相互关联的组成要素，即内部环境、目标设定、事件识别、评估风险、应对风险、控制活动、信息与沟通和监督。这八个要素体现的是一个动态过程，是一个有机整体。借鉴COSO风险管理模式在施工企业推行全面经营风险管理。

1、优化施工企业的内部环境。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行，董事会、管理层是内部环境的重要组成部分。主要包括：培育健康的风险管理文化、制定切合施工企业实际的人力资源政策、设立风险管理机构、提高高管层综合素质和确立董事会的核心地位、对权力和责任进行合理分配等。

2、制定适应本企业实际的风险管理目标。目标的制定和实施是一个企业的重要工作，企业风险管理要确保企业有一个科学的目标制定流程、以及企业选择的目标与企业的长远发展规划相一致、与企业对待风险的态度相一致。

3、建立适合施工企业业务的风险预警和识别系统。企业目标的实现有赖于大量的经济活动，这些经济活动的发生对企业可能产生正面的影响、也可能产生负面的影响。因此，风险是指某一对企业目标的实观可能造成负面影响的事项发生的可能性，要求管理层首先对其加以识别，然后进行评估和作出应对。

4、建立科学合理的风险评估机制。当风险被识别出以后，就要对它的影响度加以评估。首先应对企业的固有风险进行评估，这有利于制定应对固有风险的管理措施；然后，根据实施的管理措施，再对企业的剩余风险进行评估。

5、树立科学的风险应对策略观。风险管理的目的不是去消灭风险，而是将企业风险发生的可能性和影响都控制在可接收到风险容忍度范围内。如投标阶段的“五不揽、四慎揽”原则，施工阶段的“两挂钩、两不准”制度等都是施工企业应对经营风险的具体措施。

6、建立科学规范的风险控制体系。控制活动是应对风险的相关政策和程序。控制活动存在于企业的各部分、各个层面，通常包括两个要素：确定应该做什么和应该怎么做的一系列政策和程序。应当强调的是，风险管理制度虽然重要，但它抵抗不了风险，真正的执行才是最重要的。

7、建立高效的风险信息沟通网络。企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、记录和传递，以保证企业的员工能够执行各自的职责。有效的沟通包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的沟通和交换，如客户、供应商、行政管理部门和股东等。