一、风险管理与内部控制概述

　　（一）风险管理的涵义、要素及目标

　　企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。企业风险管理一般由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。

　　1.内部环境。企业的内部环境是其它所有风险管理要素的基础，为其它要素提供规则和结构，也为风险管理的其它组成因素提供了框架。其中特别是管理当局的风险偏好，决定了公司对可能出现的预料之外的事件的态度，管理当局和董事会必须明确战略及其执行过程中的风险和回报。

　　2.目标设定。每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件是制定目标，风险评估就是分析和辨认实现所定目标可能发生的风险。

　　二、保证内部控制有效性必须注意以下问题

　　内部控制按其控制的目的不同，可分为管理控制和会计控制。前者以提高企业经营效益和工作效率，保证经营方针、决策的贯彻执行以及经营目标的实现为目的;后者则是以保护企业财产物资的安全、确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响，有些控制措施可以用于会计控制，也可用于管理控制。内部控制在企业管理实务中的表现通常是制度或工作流程，其有效性取决于两个方面：一是制度的完善与合理;二是制度的执行情况。具体来说要保证内控制度有效必须重点做好以下几个方面的问题。

　　1.随着企业发展和内外部环境的变化，与时俱进，不断完善内部控制制度，适应企业运作的实际情况，既要避免制度管理上的盲点又要避免一些不必要环节和控制点，影响企业的运营效率和制度执行的自觉性。企业内控制度的完善在于对关键风险控制点的有效掌控。事实上，包括像世通、安然在内，几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节，应有尽有。其实，企业的管理资源是有限的，控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上，显然就有些舍本逐末了。

　　2.营造良好企业制度文化氛围，形成遵守制度和按工作流程办事的自觉性，创造良好的内部控制环境。对于一个企业而言，内部控制**的困难不在于设计一套制度，而在于如何保证制度的执行。内部控制的真正意义和价值就在于执行。世通、安然、中石油新加坡公司破产案无不说明公司的风险来自于内控制度的失效和形同虚设。这些公司在内部控制制度都比较完善，有些还是请专门的中介机构设计和制定。因此,公司内部控制制度的根本就是授权和监督，公司所有人的权限都是在这个组织中被授予的，并要得到有效监督。任何人都不能凌驾于制度之上，否则制度只能是一纸空文，对企业风险的防范毫无作用。只有当企业中的每一个员工目标明确，观念趋同，内部控制才更有实效。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境。

　　三、目前企业面临的主要风险

　　经济全球化的不断发展和经济的快速增长导致现代化企业面临的风险与日俱增，市场化程度越高，企业风险的表现就越明显，可以说，企业风险是时时在，处处有。

　　企业风险主要分为外部风险和内部风险，外部风险主要指外部存在的诸多因素，如国家法律、正常变动、市场供求状况或竞争力等。内部风险主要指企业的资源配置、行业地位、业务流程、财务能力以及管理人员的价值取向、岗位职责、激励机制和团队精神等。

　　四、 全面风险管理与内部控制的关系

　　1、 全面风险管理与内部控制的区别

　　（1）管理范围不同。

　　全面风险管理的管理范围要大于内部控制。内部控制是一种管理职能，主要作用于事中与事后的控制，而全面风险管理则是贯穿于整个过程的各个环节，尤其是在事前就有了一定的预见性的风险考虑。

　　（2）具体业务流程不同。

　　全面风险管理涉及制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节，而内部控制不涉及到企业经营目标的设立，只是对目标制定的过程进行控制。负责如对报告的评估、对信息交流的监督、对错误的纠正等等。

　　（3）风险管理不同。

　　全面风险管理框架引入了风险偏好、风险预警、风险对策等方法概念，因此，在风险度量的基础上，该框架可促使企业发展战略向风险偏好靠拢。根据投入、风险、回报之间的联系，合理进行资本分配。这些功能都是内部控制框架能力范围之外的。