全面風險管理概念范文

導語：如何才能寫好一篇全面風險管理概念，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

從中國企業構建全面風險管理體系基礎條件來看，中國企業尤其是在境外上市的企業近幾年以來一直致力于企業內部控制建設，已經建立了一套比較完善的內控體系，編制了內部控制手冊和自我評估手冊，初步搭建了以風險管理為核心的內部控制基礎平臺。這是中國企業建立健全全面風險管理體系的基礎條件。當然，多數企業的內控系統通過對流程的控制主要對運營風險、財務風險等風險建立了比較完善的控制體系，但是還不能覆蓋企業面臨的所有風險，如戰略類、市場類風險，不能對其進行有效的管理和控制。

所謂基于內控的全面風險管理體系，簡單地說，就是在內部控制建設的基礎上，構建全面風險管理體系，是適合已經建立內部控制體系的企業進行全面風險管理建設的一條創新路徑。這既符合國際上內部控制逐步向全面風險管理發展的潮流，也是中國企業構建全面風險管理體系的現實選擇。

3C框架和流程

中天恒管理咨詢公司經過多年的探索和實踐，專為中國企業打造的3C全面風險管理基本框架（下文簡稱“3C框架”）如圖1。

3C框架從總體結構上是按照目標體系、風險整合、管理融合來安排的，形成了由目標體系、風險整合、管理融合組成的有機體系，貫徹嚴密的目標――風險――管理的邏輯關系。

企業目標是一個相互聯系、相互依存的目標體系。全面風險管理作為企業管理的一項核心內容，可以把目標確定作為全面風險管理的前提條件進行關注，并將其貫穿于全面風險管理工作的始終。

風險是對企業目標實現產生影響事項發生的不確定性，包括了危險和機會，是一個全面的概念。風險偏好、風險意識、風險理念、風險文化是企業全面風險管理的軟要素，是企業實施全面風險管理必須明確的基本概念。把企業主要風險整合起來，是全面風險管理的一個基本標準。

全面風險管理是為合理保證企業目標實現，對企業風險進行全面管理的動態過程，是對企業風險進行整合管理的過程，是藝術和科學的結合。全面風險管理目標、意義、主體、內容、流程、方法是企業全面風險管理的重要內容，是必須明確的；全面風險管理政策、戰略、策略、決策是企業全面風險管理的基礎，影響整個全面風險管理工作；全面風險管理信息、溝通、學習應貫穿于全面風險管理工作的始終。這些都應該從總體上予以明確。

全面風險管理融合，是企業風險管理自身內部的融合，是企業風險管理與企業業務的融合，是企業風險管理與企業管理的融合。全面風險管理與企業管理需要融合的內容很多，其中最重要的就是要做到內部控制與風險管理的融合。

3C框架與COSO的不同

3C框架沒有直接引入管理要素概念，從總體看包括目標、風險、管理三個方面；從流程看包括管理準備、管理實施、管理報告和監督改進四個方面。

3C框架把COSO全面風險管理框架“事件識別”定義為“風險識別”；把COSO全面風險管理框架“風險評估”細化為“風險分析”、“風險計價”、“風險評價”；把COSO全面風險管理框架“控制活動”重新定義為“風險控制”；把COSO全面風險管理框架“監控”改為“監督改進”，并細化為“風險監督”、“風險審計”、“管理改進”等。

3C框架將風險辨識、風險確認、事件識別統一為風險識別，并定義為確認風險的過程；將風險計量、風險衡量、風險量度、風險測量、風險估計、風險估價統一為風險計價，并定義為風險的量化過程；將風險策略、風險應對、風險工具統一為風險應對，并定義為選擇應對風險策略的過程；將控制活動、控制政策、控制程序、控制措施、應對措施統一為風險控制，并定義為應對風險的各種措施；將監督檢查、監督評價、持續監督、監控、監控系統、內部監督統一為風險監督，并定義為監督檢查風險的過程等等。

篇2

關鍵詞:企業組織目標內部控制風險管理

一、內部控制與全面風險管理的相關概念

(一)內部控制

所謂內部控制是指經濟單位及各組織在經濟活動中所建立起的一種互相制約的業務組織形式及職責分工制度?？梢哉f內部控制是一個過程，該過程受著企業組織內部各個人員的影響，其目的是為了優化經營管理，提升企業的經營效益。內部控制的要素共分為控制環境、風險評估、控制活動以及信息與溝通和監督等五個，如下圖1所示。

(二)全面風險管理

所謂風險管理是指在一個存在風險的環境中，如何將風險降至最低的管理過程，該過程包括了對風險因素的評估、度量以及制定應變策略等。理想的風險管理是一個將優先次序排好的過程中，其中可能引起最大損失以及最可能發生的事情進行優先處理。但是實際情況中，排列優先次序的過程相對比較困難，因為風險與其發生的可能性并沒有一定的規律可循。由此可見，風險管理需要整個公司所有人員的共同執行與參與。風險管理要求包括內部環境、目標制定、事件識別、風險評估、風險反應以及控制活動、監督和信息與溝通等八個。其如下圖2所示。

二、內部控制與風險管理的異同

(一)重視內部控制與風險管理的相關性

企業內部控制和風險管理的相關性體現在以下幾個方面：

第一，內部控制及風險管理都是指過程化的管理，相對而言內部控制呈現出動態管理的特點，它促使企業經營朝向既定的組織目標而努力，但是它又不是組織目標的一部分，而是促使目標達成的手段，內部控制各要素對其產生直接的影響。全面風險管理同樣是一個過程，但是其相對內部控制而言，從某種意義上表現出一種靜態性，即其貫穿于企業的各項業務活動中，管理過程的各方面均有風險管理各要素的滲透。

第二，影響內部控制及風險管理的因素相同，企業組織架構中各個層次的人員，諸如董事會、管理層或者其它的相關人員，他們的互相影響和作用會對內部控制產生直接的影響，它不但包含了內部控制政策及相關的控制表單，各層次人員的作用也包含在內。此外，在控制過程中，每個成員不僅是被控制的對象，也會是實行控制的控制者。而對于風險管理而言，其整個過程也強調人的參與，它與整個企業的所有相關人員均有著密切的關系，而企業管理者在進行風險管理時要有一個宏觀架構方面的風險組合觀念。

第三，內部控制和風險管理的手段相同。無論是內部控制還是風險管理，均是通過風險評估來實現對應的管理目標。企業在實行內部控制的過程中，風險評估是其中必不可少的一部分，它的主要作對是對影響目標實現的各種不確定因素加以辨別，從而再針對風險管理的方法做出決定。控制與風險是兩個密切相關的概念，而企業要提升其內部控制的效率及加強內部控制的效果，最主要的就是要進行環境控制及風險評估。企業在進行風險評估的過程中，通常要經過風險辨識、風險分析及應對控制等各個環節。同樣，在風險管理中一樣要先確定出組只目標，在剩余及固有的基礎上評估風險，對其影響企業目標實現的程度做出分析與判斷，并以此為基礎進行風險管事，從而為企業合理的配置管理資源提供更為合理的依據。

第四，內部控制與風險管理的目的相同。無論是內部控制還是風險管理，其最終的目的都是保證企業組織目標的順利實現。因為內部控制本身有一定的限制，比如成本控制、人為錯誤或者管理越權等等，所以內部控制只可為企業管理提供相應的保證，但無法做到絕對保證。而風險管理同樣也是為了識別對企業經營目標會產生影響的因素，并有針對性的加以管理，以促使企業可以在經濟預算合量的基礎上，判斷出其風險偏好。

(二)內部控制與風險管理的差異

內部控制風險管理的差異表現在兩點：

其一，內部控制與風險管理的側重點不同。相對而言，內部控制更加側重于制度層面，其通過制定規章制度促使各層人員遵守制度來規避風險；而風險管理的側重面更體現在交易層面，即其規避風險的手段為市場化的自由競爭或者市場交易等。通常而言，內部控制的目的是提高會計信息的真實性及資金的安全性，其核心是會計控制。內部控制通常僅限于財務部門及其要關部門，在企業管理過程或者整體的經營系統層面，內部控制只是管理職能中的一項。而全面風險管理則更加側重于在特定的業務中，與戰略選擇及經營決策有關的風險和收益的比較，比如利率風險、匯率風險管理以及銀行授信管理等等，可以說在整個管理過程中均滲透著風險管理。由此可見，風險管理是內部控制在技術與市場條件下的自然延伸，內部控制是風險管理的前提與基礎，而風險管理中包括了內部控制。

其二，內部控制及風險管理所涉及到的風險的范圍不同。內部控制過程中，經營管理活動既要對內部風險做出評估，又要評估外部的風險。內部控制的過程涉及到整個公司所面對的、并且公司內部各相關人員所經營的各類外部及內部風險。而風險在實際的企業運營過程中卻是客觀存在的，相對于內部控制而言，風險管理與其最大的不同就是對特定業務的戰略評審更為關注，其主要目的是通過對不同公司業務領域內風險和報酬間的比較，實現收益最大化的企業經營目標。

三、內部控制與風險管理的有效整合

(一)內部控制要服務于企業經營者的目標

所謂控制就是控制者對受控者的一種能動作用，受控者根據控制者的作用而進行相應的行動，從而實現系統目標。盡管設定內部控制目標不屬于內部控制的組成要素，但是它是實施內部控制的前提，促進內部控制的關鍵條件，屬于過程管理中的一個重要組成部分。內部控制目標的制定對內部控制而言，意義重大，其對是否有必要存在內部控制有著決定性的作用。一個完善的內部控制對企業經營目標的實現有著直接的影響，它幫助企業經營者實現其預定經營目標。管理目標包括合理的資源配置、科學的決策、最低的成本控制、最優的質量管理以及利潤最大化。在企業組織目標中，該五個具體的管理目標是互相聯系、互相支持的：企業設施配置的關鍵就是資源配置；而企業經營的方向性是由管理決策來決定的；產品成本目標是實現利潤最大化的重要條件之一；質量管理目標則是保證企業永續經營的必備條件；而財務目標即利潤最大化，是企業經營的源動力，也是其它目標綜合作用的最終成果。只有實現了這五個目標，才能夠保證企業整個經營管理目標的實現。

(二)內部控制對實現組織目標的間接作用

因為內部控制制度所體現的是控制主體即企業經營者的意志，因此如果控制主體不同，其內部控制的目標必然不同。內部控制目標還要按照企業的法人治理結構的不同層次進行具體的細分，將內部控制目標層層落實到各級單位及部門。企業各層次相關人員進行內部控制的主要目標就是降低經營風險，減少虛假會計信息，保證管理者的經營目標可以順利實現。但是企業管理中必然存在激勵機制，管理者的目標與企業組織目標不得背道而馳，其最終的目標仍是為了實現企業組織目標而服務。一個有效的內部控制機制不但可以實現企業資源利用率最大化，有效的降低成本，還能夠促進企業向著良性化的方向發展。隨著市場經濟的不斷發展，人們的經濟意識也在不斷的提高，企業所處的經營環境的不確定性也越來越高，企業契約的不完備性就隨之增強，因此各企業經營者對內部控制的研究越來越重視，以期能夠通過合理的內部控制消除不完備契約所導致的逆向選擇及道德風險，最終促企經營目標得以順利實現。

(三)全面風險管理概念可以取代一般性的風險管理

我們可以用全面風險管理的概念取代企業經營過程中的一般性的風險管理。全面風險管理概念中提出，無論哪種類型的企業均或多或少面臨著各種不確定性，來自于各方面的風險與機遇是并存的。而對于企業的經營管理者來說，最大的挑戰是在企業為各利益相關者創造價值的過程中，對企業承受伴隨價值增加而來的風險的能力。企業的全面風險管理機制的有效性越高，管理者對不確定的風險及機遇的處理能力就越高，從而使得企業創造價值的能力得到最大程度的提升。

(四)全面風險管理中企業目標與各要素間的關系

在全面風險管理概念中，企業目標分為戰略、經營以及呈報與合規等四類，其所反映的是企業的不同層面的不同需求，針對企業各層次人員確定其相應的責任。而上文中也提到全面風險管理的要素包括模塊，這些要素最終的目的就是服務于企業的四類目標，無論企業中的哪個層次均要通過這模塊對各自的企業目標進行全面風險管理。全面風險管理并非絕對意義上的單循環步驟，而是一個重復性的、多向性的過程，在這個過程中，每個要素均會對其它要素產生影響，并且受其它要素的影響，即每個風險管理組成要素是和四類目標互相縱橫交錯的。因此風險管理目標與其各要素之間存在著直接的聯系，即目標是企業努力的方向，而風險管理要素則是實現這一目標所必須的條件。

此外，風險管理的各個要素還是評價企業風險管理水平的標準。企業風險管理的構成及目標不僅是建立健全企業風險管理過程的基本依據，也是對其有效性做出評價的標準。評價企業風險管理的有效性，要看全面風險管理的八個構成要素是否同時存在，其運行是否有效。而且在不同的主體中，風險管理各個要素的具體運行也是各不相同的。

(五)利用全面風險管理評價企業目標實現的程度

針對全面風險管理的八個要素，及其在企業經營管理中是否發揮了有效的作用，我們可以以此為依據判斷企業目標實現的程度，所以從這個意義上來講，全面風險管理的要素就是評價企業目標的實現程度的標準。如果企業的風險管理體系這八個要素并存且能夠正常發揮作用，證明該企業基本上沒有太大的缺陷存在，風險管理方面也能夠將其控制在一定的范圍內。不過不同的企業風險管理各要素發揮作用的程度也各不相同，并且也不是絕對的，一些企業即使全部具備了所有的要素，但是也無法絕對保證可以實現企業經營目標，這是由于風險管理自身存在著無法克服的局限性，這些局限性體現在人員決策判斷失誤、控制制度的建立受著成本管理的約束、一些人為的簡單錯誤造成風險管理的中斷、企業內部人員互相勾結使得內部控制制度失效或者管理者凌駕于控制制度之上等各方面，正是這些局限性使得企業經營管理者無法絕對保證可以百分百實現企業目標。

參考文獻：

[1]鄭小榮,王美英.內部控制法制化的理論依據――法律特征與實踐影響[J].當代財經，2010(4)

[2]鄭小榮.試論內部控制法制化的三大弊端[J].財會研究,2010(18)

[3]王美英,鄭小榮.對內部控制審計與財務報表審計整合的思考[J].財務與會計,2010(7)

[4]孟杰.基于全面風險管理的企業內部控制實施探討[J].財經界,2009(11)

篇3

我國建設與實施企業內控規范體系，是促進企業防范重大風險、實現可持續發展的必然要求。2012年5 月，國資委與財政部聯合下文，了《關于加快構建中央企業內部控制體系有關事項的通知》（國資發評價[2012]68號文），統一部署了中央企業推進內部控制體系建設工作。中航工業于 7月27日召開全面推進內部控制體系建設大會，對全面推進中航工業內部控制體系建設進行了動員部署。2012年8月，中國航空工業集團公司下發了《關于開展企業內部控制體系建設工作的指導意見有關要求》（航空財[2012]1169號），要求相關單位結合集團公司的發展戰略和本研究所的發展實際，全面深入開展內部控制體系建設。

其實早在2006年，我國國務院國資委就出臺了《中央企業全面風險管理指引》，對央企的全面風險管理提出了指導性的意見，也是國內其他企業實施全面風險管理的主要參照依據。2011年6月，中航工業召開全面風險管理體系建設工作啟動大會，標志著中航工業規劃建設全面風險管理體系建設工作正式啟動，公司將按照規劃建設全面風險管理的實施步驟，積極有序地開展公司的全面風險管理工作。

我國不同的政府監管部門都對風險管理和內部控制做出了法律規范說明，一方面反映出對內部控制的重視程度達到了前所未有的高度，但另一方面，也反映出其中還有不協調的地方。究竟內部控制和風險管理究竟是什么關系？能不能整合？怎樣整合？這些問題不搞清楚，不僅影響因體系建設思路不清造成重復工作與浪費資源，更有甚者會因為概念不清導致相關工作無所適從。在筆者看來，內部控制與風險管理是統一的。筆者認為在風險管理和內部控制體系建設中可以整合進行，構建統一的全面風險管理體系，以避免概念重疊，浪費資源。

二、兩個體系整合的理論基礎——內部控制與風險管理的融合

（一）整合的必要性

關于內部控制與風險管理的關系，目前理論界存在分歧：第一種觀點是風險管理包含內部控制，COSO 委員會于 2004 年發表的《企業風險管理——整合框架》認為，內部控制是企業風險管理不可分割的一部分；第二種觀點認為內部控制包含風險管理，1998年亞洲相互協作與信任措施會議（CICA）認為，風險管理包含于內部控制之中，在闡明了風險管理與控制的關系時指出：“當您在抓住機會和管理風險時，您也正在實施控制?！绷硗?，加拿大 COCO 報告（1995）認為，風險評估與風險管理是控制的關鍵要素；第三種觀點認為內部控制就是風險管理，Matthew Leitch（2004）認為，從理論上講，風險管理系統與內部控制系統沒有差異，這兩個概念的外延變得越來越廣，正在變為同一事物，國際風險管理協會認為，“風險管理系統與內部控制系統并沒有原則性的區別，風險管理與內部控制正在趨同?！?/p>

國內內部控制與風險管理概念和規范并存，內部控制的主要依據是財政部、證監會、審計署、銀監會、保監會 2008年聯合的《企業內部控制基本規范》與2010年的《企業內部控制基本規范配套指引》；風險管理的依據則是國資委2006年出臺的《中央企業全面風險管理指引》，兩種理論“各自為政”，既在一定程度上相互重疊、相互協調，又在一定程度上相互獨立、相互矛盾，可能導致對同一問題有不同的規范或者出現監督真空，阻礙了三者在理論上的發展與實務中的應用。如果能將內部控制與風險管理兩者進行融合，則可以解決上述問題。內部控制和風險管理都是源于企業風險的存在而產生的，二者的目的都是為了進行風險控制，根據成本效益原則，在實務中就沒有必要設置兩個部門來進行分別管理，而應該從他們的共同點入手進行整合，在確保企業目標有效完成的情況下使成本降到最低。

（二）整合的可行性——內部控制和風險管理本質上的統一性

COSO—ERM（1992年稱為內部控制整體框架，在2004年稱為風險管理整合框架，并非是本質內容發生了重大變化，而是更加關注風險，更加強調為企業發展戰略服務的控制目標）是COSO委員會繼“內部控制—整體框架”（即COSO報告）后又起草的一個關于企業風險管理的標準框架。在ERM中，企業風險管理是一個過程，受組織的董事會、管理層和其他人員影響，風險管理應用于戰略制定，貫穿整個企業。企業風險管理旨在識別影響組織的潛在事件，在組織的風險范圍內管理風險，為組織目標的實現提供合理的保證。風險管理系統的構成要素包括：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監督。而內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制由內部環境、風險評估、控制活動、信息與溝通和內部監督等五要素構成（該表述是《企業內部控制基本規范》中關于內部控制的定義）。風險評估由目標設定、風險識別、風險分析和風險應對構成。

從上述對內部控制與風險管理的相互關系的討論來看，這兩者是密不可分的，兩者是統一的。其統一性首先表現為兩者都是為了控制企業的風險，以保證企業目標的最終實現，風險控制的出發點和落腳點在于實現企業目標；統一性還表現在ERM框架中八要素包含內部控制五要素并有所擴展，從新增加的要素中可以看出，風險管理更加重視對風險的控制，它從企業戰略角度出發，運用風險組合的觀念對企業的風險進行識別、評估，為企業目標的實現提供了更為合理的保證。

篇4

關鍵詞：內部控制 全面風險管理 關系

一、全面風險管理與內部控制在概念上的界定

（一）風險管理的定義

風險是指由于某種不利的因素產生并極有可能給經營主體造成實際損失，導致組織目標不能實現的可能性。全面風險管理是對風險進行檢測評估，通過對測評結果的分析，采取相應解決措施，從而避免或降低風險的一種管理手段。風險管理的最終目的是保證企業目標的實現。

（二）內部控制的定義

內部控制是指一個機構內管理層、董事會和其他各方面進行的目的在于加強風險管理、保障既定目標實現的行為，是一種企業內部活動，它是通過組織機構、組織制度和組織指令來完成的。公認的內部控制目標有三項，一是財務報告的可靠性、二是經營的效果和效率、三是合規性。同時企業內控應具備五個要素：信息與交流、風險評估、控制環境、監控、控制活動。

二、內部控制和全面風險管理的關系

（一）內部控制和全面風險管理之間的區別

首先，涉及的范圍不同。內部控制主要的作用發揮在事中及事后控制，是一種管理職能。而全面風險管理則是貫穿于整個企業的生產經營活動中，覆蓋了各個不同的環節，在管理范圍上應該說是要大于內部控制。另外，全面風險管理在風險考慮上帶有很強的預見性，起到了事前控制的作用。

其次，二者的執行方式不同。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關戰略、報告程序及聘用管理人員等多個環節。這其中的很多管理活動都是不需要內部控制來完成的，內部控制更多的是傾向于對企業經營流程的事中和事后進行控制，其中包括對信息交流進行監督、對不規范的操作流程糾正、對財務報告的評估等。企業的經營目標與戰略目標是全面風險管理的作用范圍，這點是內部控制不涉及的，內部控制主要是對目標的制定過程進行監控，這是兩個體系最大的區別。

最后，二者對于風險的管理不同。全面風險管理體系包括風險預警、風險偏好、風險對策等方法及概念，所以全面風險管理體系能夠對企業的戰略目標和發展方向進行指引，根據企業的經營風險、資金投入、利潤回報之間的關系來進行合理的資源分配。而內部控制體系不涉及此類功能。

（二）企業內部控制與企業全面風險管理之間的聯系

內部控制從本質上講是從屬于全面風險管理的，它來源于實際工作并需要在實際工作中完善。內部控制為實現企業管理目標提供了保證。進行有效的內控可以保證企業財務可靠、營運有效、企業資產安全、降低企業風險，保證企業的良性發展。

全面風險管理貫穿于企業的各個環節，產生于戰略決策之中，在企業日常經營中進行實踐，為企業的良性發展奠定基石。一般來講企業的全面風險管理應該包括三個方面：一是企業內部各個組織單元的設置及相應的風險管理職責。包括企業整體、各業務口、各個項目團隊及各個層級的風險控制職責；二是企業的相關風險管理目標。包括企業的戰略目標、生產經營目標、報告目標及合規目標；三是全面風險管理的要素。主要有進行事件分析、建立內部環境、合理的風險評估、抵御風險的措施等。

通過上面的描述，我們可以看出，全面風險管理及內部控制實際上都是以保護企業的財產安全、保證企業的經營結果、實現企業的戰略目標為最終的目的。內部控制是全面風險管理的重要核心內容，而全面風險管理則在內部控制的基礎上升華擴散。概括的說，內部控制使得企業的日常經營管理流程更加規范、財務管理真正的有效實施，與此同時企業內部的規范性操作流程、財務管理控制也正是全面風險管理在企業實施的基本條件。從目前企業的管理發展趨勢來看，企業的全面風險管理與內部控制管理已經交集密切，互相密不可分。

三、全面風險管理及內部控制在企業實施應關注的問題

（一）企業內控與全面風險管理并不是相互獨立的

全面風險管理的實施和內控制度的建設對企業同等重要，但二者之間并非互相獨立。企業對兩個體系建設構造時應該考慮自身發展程度、企業性質、客觀環境等因素。在資源有限的情況下，如果企業在市場中的經營風險較大，那么企業應把構建體系的重點放在全面風險管理上，以全面風險管理為方向來主導內部控制，反之如果企業的經營風險較小則可以把重點放在內部控制上，兼顧全面風險管理的實施。

（二）全面風險管理和內控的有效實施必須有好的控制環境

企業的內部環境好壞對企業內控和風險管理的實施效果有著直接影響。控制環境主要包括企業員工的綜合素質、企業文化、管理思路、明確的權責劃分、目標達成的相應獎罰機制等，這些都是保證企業全面風險及內控在企業有效實施的基本前提。如果企業對控制環境沒有給予關注，很可能導致全面風險管理與內控實施的失敗。

（三）內控與全面風險管理并非一成不變

無論是全面風險管理還是內部控制，都具有一定是時效性的，并不是說企業已經建立起了相關體系就可以一勞永逸了，內部環境及外部環境無時無刻都在變化，這些環境因素的每一次變化都在沖擊著企業的體系架構，所以企業應該結合環境因素變化，在實際工作中不斷的對體系修正、檢查、完善。

（四）企業實施內部控制必須有嚴格的監督措施

制度的執行過程中離不開嚴格的監督，沒有嚴格的監督任何體系制度在企業都無法真正有效的實施，監督使得制度在企業實際工作中真正的落實。但如果企業缺乏有效的監督，指標達成情況也沒有嚴格的考核制度，那么所有的體系制度都被掛在了墻上，沒有人真正關注執行，最終將出現全面風險管理與內控失控的局面。

（五）風險評估要做到準確真實

企業的風險評估方式和方法的選擇極為重要，企業應該對有可能出現的風險進行科學合理的評估，并且通過分析制定一系列解決措施，如果企業內部評估失準、方式方法不當，就將直接導致企業決策失誤，給企業造成無法挽回的經濟損失。

參考文獻：

篇5

關鍵詞：企業 風險管理 內部控制

一、全面風險管理在企業內部控制的重要性

風險具有潛在性，它看不見，摸不著，一旦發生，就會給企業帶來巨大的經濟損失。而內部控制是企業各項生產、經營活動得以順利進行的重要保證，近年來，隨著全球經濟危機的爆發，許多大型企業瞬間倒閉，內部控制再次引起了國內外各界的關注。在機遇與挑戰并存的經濟全球化背景下，企業必須將風險管理融入內部控制中，有效識別企業發展中可能面臨的各種風險，并采取措施積極應對，才能做好企業內部控制，才能促進企業的長遠發展。

我國于2008年頒布的《企業內部控制基本規范》以及2010年頒布的《企業內部控制配套指引》標志著我國對風險管理下企業內部控制體系構建這一問題的高度重視。

二、風險管理與內部控制的聯系與區別

探討全面風險管理下企業的內部控制問題，必須首先明確風險管理和企業內部控制這兩個概念之間的聯系與區別。風險管理是一個受企業領導層以及普通職工影響的過程，此過程貫穿企業戰略目標制定、企業生產經營等各個環節，以識別那些可能影響企業正常運營的潛在風險。全面風險管理涉及面極廣，既涵蓋了市場風險、信用風險、戰略風險、聲譽風險，也涵蓋了企業操作風險以及業務風險等等。具體而言，內部控制與全面風險管理的不同之處在于：首先，這兩個概念的范疇不同，全面風險管理貫穿了企業管理活動的各個環節，在企業目標制定之前已經對目標實現過程中可能潛在的風險進行了充分的考慮。內部控制則不同，它主要是管理職能的一種表現形式，主要是在企業目標實現過程中或者風險發生后采取相關措施進行控制。其次，二者的活動范圍不一致。內部控制只是全面風險管理過程中及其之后的一項重要活動，而做好全面風險管理，僅僅有內部控制是不夠的，還需要設定風險目標、選擇風險評估方案、預算、以及行政管理等活動對之進行輔助。全面風險管理的活動范圍要遠遠大于內部控制的活動范圍。最后，全面風險管理與企業內部控制活動在應對風險時采取的對策也有所差異。全面風險管理框架引入了風險容忍度、風險偏好、壓力測試、情景分析等對策，這些對策的引入對于企業的發展以及風險防范十分有利，這也是現有的企業內部控制制度所不能做到的。然而，企業內部控制作為全面風險管理的重要范疇，是必要的、有效的風險管理方法。因此，在全面風險管理背景下研究企業內部控制制度，具有重要的現實意義，對促進企業的長遠發展十分有利。

三、全面風險管理下企業實現內部控制的有效途徑

在機遇與挑戰并存的經濟全球化大背景下，我國企業必須提高風險意識，完善內部控制制度，并確保內部控制制度的貫徹落實，才能促進自身的長遠發展。

（一）完善財物管理信息系統

隨著科技的進步，計算機網絡技術得到了極大的發展與普及，為企業各個部門的工作帶來了極大的便捷性。對于企業來說，一方面應加強對電子信息系統本身的控制，既包括對系統設備、數據、程序、網絡安全的控制，也包括對電子系統開發、維護以及文件資料、日常應用的控制；另一方面財務人員要充分利用信息系統工具，來設置各種適應管理所需的信息管理平臺，擴大基礎數據源，把死板的基礎數據組合、加工、分類成我們需要的數據。即在內部控制系統的建設中引進先進的電子信息技術，建立數據庫，科學的對企業潛在的風險進行評估，克服人為控制固有的缺陷，確保內部控制得以貫徹落實。

（二）營造良好的內部控制環境

只有營造良好的內部控制環境，才能從根本上確保內部控制的貫徹落實，才能推動企業的長遠發展。因此，企業必須從以下幾個方面著手，營造良好的內控環境。

第一、 企業應加深對內部控制的理解與認識，并樹立正確的風險管理理念。內控體系的構建應遵循全面性原則，這意味著內部控制不是僅僅涉及會計層面的控制，而是覆蓋企業所有經營和管理活動的控制。企業應采取培訓、制定規章制度、領導表率等各種途徑使風險管理理念深入人心，樹立和培養職工的風險管理意識，并貫穿于企業生產經營的各個環節。

第二、 完善企業的治理結構，充分發揮各機構的職能。一個完善的企業治理機制通常包括股東大會、董事會、監事會以及高級管理層四個組成部分，企業應完善相關的激勵約束機制，明確各個部分的職責，確保各個部門既相互配合，又相互監督，充分發揮其職能。

第三、 提高企業職工的職業道德及工作能力。企業職工是企業各項決策、制度的最終執行者，職業道德及工作能力是評價職工好壞的關鍵性因素。

（三）設定企業戰略目標

所謂戰略目標，就是企業發展所欲實現的最高目標，只有明確企業發展的戰略目標，才能更好指導企業內部控制體系的構建與落實。企業應對戰略目標進行分解，將之分解為一個個具體的小目標，然后分配到各個部門具體負責。企業在制定戰略目標時，必須立足于自身的實際情況，充分考慮企業的風險容量，企業戰略目標實現過程中所面臨的風險總和必須在企業風險承受能力范圍之內，這樣才能保證企業戰略目標的順利實現。

（四）完善風險管理體系

企業所建立的內部控制體系應充分考慮對風險的管理，即建立風險導向型的內部控制體系。對于企業來說，只有將風險管理具體落實到企業經營管理的各個環節，才能有效控制風險。構建風險導向型內部控制體系，完善企業風險管理體系，應該從以下幾個方面著手[3]：

第一、建立有效的風險預警機制。預警機制是將企業生產、銷售、采購等全方位實物量信息納入到預警模型中來，通過對企業各方面信息的全面分析，將企業存在或將要產生的財務風險信息提前告知企業經營者和其他利益相關者的一套工具，實現信息的超前反饋。風險預警具有量化管理、系統管理、過程管理、事前預警控制、在線即時、例外管理、動態管理、充分利用先進的管理理念和工具等特點，隨時捕捉企業經營過程中的各種漏洞、管理失誤、工作失誤、重大風險和隱患，充分利用企業ERP系統、IT技術建立信息平臺，通過預警系統對企業的基礎數據進行深加工處理，除了建立財務盈利能力、償債能力等指標來進行預警外，可以配合選擇適合企業的綜合管理指標、個性指標、行業指標進行分析，從不同的角度、不同的側面反映企業財務狀況，提高企業財務管理水平，不僅能向經營者提供可能導致財務危機的信息，而且能反映企業與同行業相比的差異情況，起到及時報警或提前干預的作用。因此，對于企業來說，只有建立有效的風險預警機制，才能及時發現企業內部、外部潛在的各種風險。另外，企業日常信息的收集是建立預警系統的基礎，如客戶信用管理，建立客戶信用誠信檔案、記錄客戶資信情況，歷史合作記錄等。

第二、建立企業財務系統預警體系程序。建立預警系統體系程序主要可以從以下幾個方面進行：首先，分析企業業務流程以及內部控制制度設置的關鍵控制點和關鍵因素，再調查財務管理中存在的問題及風險，了解企業管理者需求及行業指標等評價因素，最后建立適合企業的預警指標體系。

第三、建立有效的風險評估機制。在識別風險之后，企業還應對風險的性質、風險發生的可能性大小以及風險對企業影響大小等因素進行進一步的分析與評估，這樣才能衡量企業現有內部控制制度能否獨立應對風險，是否需要采取其他輔助措施。風險評估機制的構建是企業采取有效措施應對風險，化險為夷的關鍵步驟。

第四、建立有效的風險反應機制。風險反應機制的建立是有效控制風險的最重要步驟，在對風險進行識別、評估后，應根據風險發生可能性的大小、風險對企業影響力的大小以及企業發展規模等因素確定具體的風險回避、風險降低、風險承擔以及風險分擔等風險控制措施，設置不同的危機處理程序。

總之，在機遇與挑戰并存的經濟全球化大背景下，我國企業必須提高風險意識，完善內部控制制度，并確保內部控制制度的貫徹落實，才能促進自身的長遠發展。內部控制制度體系的構建與貫徹實施是一項長期的工程，在這個過程中，企業必須結合自身的實際情況，吸取教訓，總結經驗，不斷探索，不斷創新，才能在全面風險管理下做好內部控制工作，才能為企業贏得更多的發展機遇。

參考文獻：

[1]何慧.內部控制理論的發展歷程研究[J].經濟研究導刊，2011，（15）：83-84

篇6

關鍵詞：全面風險管理 納稅籌劃 風險 控制

全面風險管理概念框架體系

（一）全面風險管理概念

1955年，美國賓夕法尼亞大學沃頓商學院的施耐德教授首次提出了“風險管理”的概念。多年來，人們在風險管理實踐中也逐漸認識到，企業內部不同部門或不同業務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業不能僅僅從某項業務、某個部門的角度考慮風險，必須根據風險組合的觀點，貫穿企業整體的管理風險。

2004年4月美國COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）在《內部控制整體框架》的基礎上，結合《薩班斯一奧克斯法案》（Sarbanes-Oxley Act）在報告方面的要求，同時吸收各方面風險管理研究成果，頒布了《企業風險管理框架》（Enterprise Risk Management Framework，簡稱ERM）旨在為各國的企業風險管理提供一個統一術語與概念體系的全面的應用指南。

COSO定義的企業風險管理是指企業風險管理是一個過程，受企業的董事會、管理層和其他人員的影響，應用于企業的戰略制定及各個方面，旨在確定影響企業的潛在重大事件，將企業的風險控制在可接受的程度內，從而為實現企業的目標提供合理保證。

（二）全面風險管理框架

COSO-ERM是個三維立體的框架體系。這種多維立體的表現形式，有助于全面深入地理解風險管理對象，分析解決其中存在的復雜問題。

第一維度是（上面維度）目標體系，包括四類目標：戰略目標，即高層次目標，與使命相關聯并支撐使命；經營目標，高效率地利用資源；報告目標，報告的可靠性；合規目標，符合法律和法規。第二個維度（正面維度）是管理要素：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監控八個要素。第三個維度（側面維度）是主體單元，包括集團、部門、業務單元、分支機構四個層面。

納稅籌劃風險類型及其來源

企業在運用稅收政策開展納稅籌劃的過程中，風險是客觀存在的，而且這種風險可能會伴隨企業生產經營的全過程。所謂納稅籌劃風險是指企業在開展納稅籌劃活動時，由于受到難以預料或控制的各種因素影響，導致失敗而在籌劃后發生各種損失的可能性。

納稅籌劃風險主要來源于兩方面，即外部因素產生的風險與內部因素產生的風險。外部風險包括稅收政策選擇風險、經濟環境變化風險、稅收政策變化風險、稅收扭曲投資風險、征納雙方的認定差異風險和稅務行政執法偏差風險等；內部風險包括預期經營活動變化風險、籌劃控制風險、籌劃信息不對稱風險、籌劃溝通誤差風險、籌劃心理風險、籌劃信譽誠信風險、會計核算和稅務管理風險等。不論何種風險，如不采取相應地風險管理措施，就可能會給企業帶來經濟損失和其他相關損失。

基于全面風險管理的納稅籌劃風險控制要素

由于各種納稅籌劃行為貫穿于企業經營管理的全過程，不可能孤立應對納稅籌劃風險，對其風險治理也應納入企業全面風險管理框架。COSO的ERM對我們治理納稅籌劃風險具有很好地借鑒作用，考慮到治理納稅籌劃風險是一項綜合性、系統性工作，企業可以依據ERM正面維度的八要素治理籌劃風險。

（一）內部環境要素

納稅籌劃的內部環境是指納稅人進行納稅籌劃自身所具備的各種條件，包括企業類型、注冊地、投資項目、經營范圍、治理結構、優惠政策、風險意識、籌劃人員的道德和勝任能力、公司文化、財務管理和會計核算水平等。內部環境是其他所有風險管理要素的基礎，為其他要素提供規則和結構。內部環境決定納稅籌劃的基礎是否牢靠，是對納稅籌劃風險的事前防范。例如，樹立正確的納稅意識和納稅籌劃風險意識，建立健全企業稅務管理和會計核算監督程序，加強對籌劃人員的職業道德教育和專業培訓，提高籌劃人員的專業素質、籌劃技能和職業道德水平，都是改善內部環境，降低籌劃風險的對策。

（二）目標設定要素

納稅籌劃必須先有明確科學的目標，企業才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取恰當的程序去設定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應。納稅籌劃終極的目標應當與企業理財目標――實現企業價值最大化相一致，即通過對企業經營活動、投資活動和籌資活動的事先安排，充分考慮貨幣時間價值和涉稅風險，在保證企業可持續發展的基礎上，實現涉稅零風險狀態下的企業價值最大化。將實現涉稅零風險作為實現納稅籌劃目標的基礎，這也是對事前籌劃風險的防范。

（三）事項識別要素

企業必須能夠識別可能對納稅籌劃產生影響（包括有利影響和不利影響）的各種潛在事項，包括表示風險的事項和表示收益的事項。納稅籌劃是對涉稅事項的預先安排，各種籌劃方案必須考慮相關稅法的適用性，要識別不符合稅法立法精神和政策導向的事項。另外，還要考慮稅法變化對涉稅事項的影響，識別這些變化是否會影響企業納稅籌劃方案的施行和效果。例如，《特別納稅調整實施辦法（試行）》文件中加強了對企業避稅的防范和打擊力度，造成一些諸如轉讓定價籌劃方案失去了合法性基礎，籌劃風險加大。這就要求企業及時熟悉反避稅政策及其相關涉稅事項，適時調整籌劃事項，這是對籌劃風險的事中防范。

（四）風險評估要素

對于識別出的籌劃風險應進行評估分析，以便確定防范對策。由于納稅籌劃經常是在稅法規定性的邊緣操作，這必然蘊含著較大的風險，企業應盡可能找到風險因素影響目標的方式，因此對風險的評估是防范的前提，風險評估可以采用定性與定量的相結合的方法進行，對于可能影響納稅籌劃收益的風險事項進行分析，利用專家打分法、蒙特卡羅模擬法、概率分布的疊加模型、隨機網絡法、風險影響圖分析法、風險當量法等方法研究籌劃風險的性質和大小，評估其影響程度，這也是對籌劃風險的事中防范。

（五）風險應對要素

企業對識別及評價的籌劃風險的應對措施，包括回避風險、接受風險、分散風險和轉嫁風險。企業應該選擇相應措施使風險與納稅籌劃的風險容限和風險可容忍量相適應，即指納稅籌劃風險給企業所帶來的損失應與其預先取得的節稅收益相配比，處于可控之中。例如，對于高風險低收益的籌劃事項應該回避風險，不予采籌劃方案。又如，企業通過借助注冊稅務師等稅務中介實施籌劃，可以將籌劃風險轉嫁給中介機構。

（六）控制活動要素

控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序。企業應制定和實施相應的納稅籌劃風險控制程序，才能確保其所選擇的風險應對策略得以有效實施?？刂苹顒邮秦灤┘{稅籌劃全過程的一系列程序和方法。企業針對已經識別和發生的影響籌劃方案的涉稅事項進行后，通過風險評估，制定應對策略，并組織籌劃人員及時調整籌劃目標及具體任務，使所有籌劃人員都能及時執行新的籌劃方案，從而降低籌劃操作風險。

（七）信息與溝通要素

企業實施納稅籌劃的全過程都需要借助各種信息來識別、評估和應對籌劃風險。有效、大量的信息是制定各種籌劃方案的基礎，而良好的溝通包括信息的向下、平行和向上及時和有效的傳遞。從系統論的角度看，納稅籌劃項目初始就要求籌劃人員依據掌握的相關信息，制定籌劃目標和各種可選擇方案，識別影響籌劃風險的涉稅事項因素，及時傳遞給項目負責人，以確定風險應對策略，并按實際情況決定是否調整納稅籌劃方案，再將控制信息傳遞給下面的執行人員，執行人員再進一步反饋及傳遞相應信息，降低籌劃信息不對稱風險和溝通誤差風險。另一方面，增加企業與稅務機關之間的溝通，搞好稅企關系，加強稅企聯系，越可能獲得更多信息，企業納稅籌劃方案也越可能得到稅務機關的認可，以確保企業所進行的稅收籌劃行為合理合法，降低征納雙方的認定差異風險和稅務行政執法風險。

（八）監控要素

企業風險管理監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程。企業治理層必須對納稅籌劃風險管理進行監控，即進行監督、控制和指導。這種方式能夠動態地反映風險管理狀況，并使之根據涉稅事項的實際變化而調整。監控方式包括持續監控和個別評估，由于大多數長期納稅籌劃方案對企業的財務情況影響是長期，加強監控有助于納稅籌劃在企業整體戰略框架下進行，在一定程度上把納稅籌劃風險降低在可控范圍內。監控還可以改善籌劃內部環境，促進控制活動的有序進行，糾正風險管理過程中的偏差。另外，實施人力資源監控，如對籌劃人員進行指導，有助于提高籌劃人員的整體素質，降低籌劃人員的操作風險和心理風險。

基于全面風險管理的納稅籌劃風險控制策略

針對納稅籌劃存在的各種風險，基于全面風險管理應從以下方面進行防范：

企業內從領導到財務人員都必須樹立正確的納稅意識和風險意識，在依法納稅的前提下開展籌劃。

針對納稅籌劃中可能遇到的風險，建立籌劃預警及防范機制，在籌劃前要對風險較大的方案反復論證，綜合考慮各種涉稅因素后慎重選擇實施方案。在籌劃事中、事后建立相關稅務籌劃風險評估機制，在籌劃實施過程中對籌劃方案進行全程化監控，密切關注相關稅收政策等環境的變化，針對出現的新情況及時調整或變化籌劃方案。

建立健全財務管理和會計核算監督機制，加強籌劃人員的職業道德教育和職業培訓，保持高尚的職業操守和謹慎、合理的職業判斷能力。

貫徹全面風險管理原則。對于風險較大的籌劃項目要采取謹慎的態度，按照收益與風險配比原則，在考慮風險是否可以化解或轉嫁等因素的基礎上確定是否開展籌劃，同時還必須考慮因稅務籌劃引致的各種涉稅成本，包括顯性和隱性成本，只有綜合籌劃成本在可接受范圍內時開展稅務籌劃才有效率。

企業要正確認識稅務籌劃的作用，適當地降低對稅務籌劃的心理期望，以減輕稅務籌劃人員的心理負擔和工作壓力，降低稅務籌劃的心理風險。

借助外部稅務中介機構及稅務專家。企業應該主動委托有相關稅務籌劃經驗和知名度的稅務中介機構如稅務師事務所，接受稅務籌劃服務，聘請注冊稅務師作為企業的稅務顧問，借助他們在專業、技術、經驗、信息等方面的優勢幫助企業完成稅務籌劃，這樣不僅可以事半功倍，也可將企業的有關籌劃風險轉嫁給稅務中介機構。

總之，企業納稅籌劃風險管理是一個全面、動態和系統的過程，如風險評估促使風險應對，進而影響到控制活動，有可能需要重新考慮信息與溝通，或者是企業的整個監督活動。納稅籌劃風險管理就是通過各要素有效地發揮其功能，幫助企業抓住籌劃機遇，將風險控制在可接受的范圍內，促進企業納稅籌劃目標的實現。

參考文獻：

1.劉霄侖.風險控制理論的再思考：基于對COSO內部控制理念的分析[J].會計研究，2010(3)

2.蘇強.企業稅務籌劃誤區及風險防范[J].蘭州商學院學報， 2006(1)

3.李傳志.稅收籌劃的風險分析與防范[J].財政研究， 2005(6)

篇7

風險管理

風險戰略

論文摘要：本文在對歐美商業銀行風險管理行為整體考察的基礎上，提出了商業銀行風險戰略的概念，并對歐美商業銀行風險戰略的實踐進行了系統地研究，最后對我國商業銀行風險戰略實踐提出了建議。

歐美商業銀行高度重視風險管理，在長期的風險管理實踐中，其形成了一整套系統的風險管理模式和方法，并把風險管理上升到了戰略的高度，有力推動了自身的壯大和健康發展。本文擬對歐美商業銀行具有戰略性的風險管理行為進行系統地研究和歸納，以期對國內商業銀行風險管理水平的提高有所幫助。

一、商業銀行風險戰略概念的提出

從《銀行家》雜志歷年來對國際商業銀行的排名情況來看，歐美商業銀行從各個方面都具有明顯的競爭優勢，這除了與其能夠制定并執行正確的發展戰略、具有較高的經營水平有關外，我們認為，更與它們成功的風險管理行為密不可分?？傮w來看，歐美商業銀行均能夠適應諸如購并戰略、全能化戰略、全球化戰略、再造戰略等一系列發展戰略的制定和實施，根據自身的風險胃口和風險管理長期目標不斷更新風險管理理念，加強風險文化建設；實現全方位、立體的全面風險管理；構建有效的公司治理結構和全面風險管理組織體系；伴隨業務流程再造，實現風險管理流程再造；積極創新，采用新的風險管理技術，增強風險預警、評估、控制的主動性和有效性?？梢哉f，它們在風險管理方面有著比較明確的范圍、方向以及實現模式，積極謀求風險管理的長效機制和遠期目標，并把風險管理作為發展戰略的子戰略之一，以充分支持發展戰略及利益相關方期望的實現。，

鑒于歐美商業銀行這種明確、系統的風險管理范圍和方向，并結合企業戰略管理理論關于企業戰略的概念，我們提出了商業銀行風險戰略的概念，以期能夠找到一種更為合適的研究歐美商業銀行風險管理行為的方法和路徑。我們認為，商業銀行風險戰略是指商業銀行為滿足利益相關方的期望，依據發展戰略、風險胃口和風險戰略目標而確定的長期的風險管理行動方向和范圍。具體講，它是商業銀行確定的風險管理理念、文化、治理結構、制度流程、技術工具和專業團隊等風險戰略要素長期發展方向的某種組合，正是這種組合代表了商業銀行風險管理的長期行動方向和范圍。由于各歐美商業銀行所處的具體環境不同，內部稟賦存在差異，經營管理理念不盡一致，其風險戰略要素往往在內容和組合上不盡相同，也就導致它們的風險戰略實際上各有不同。

二、歐美商業銀行風險戰略實踐

(一)歐美商業銀行風險戰略的基本類型主要從動態和靜態兩個視角進行考察。

動態視角主要是通過縱向研究來歸納歷史上商業銀行風險戰略的基本類型。歷史上歐美商業銀行風險管理主要經歷了五個階段，即資產風險管理階段(最初)、負債風險管理階段(始于20世紀60年代)、資產負債管理階段(始于20世紀70年代)、資本充足率管理階段(以20世紀80年代《巴塞爾資本協議》的頒布為標志)和全面風險管理階段(以2004年6月新協議的頒布為標志)。我們認為，風險戰略整體上也相應分為資產風險管理戰略、負債風險管理戰略、資產負債風險管理戰略、資本充足率戰略和全面風險管理戰略五種基本類型。

靜態視角主要是對商業銀行某個階段的風險戰略進行分析，歸納該階段風險戰略所包含的基本類型。從歐美商業銀行的實踐來看，靜態視角下風險戰略的基本類型主要表現為風險戰略的層次性，即公司層次風險戰略、業務單位風險戰略和經營單位風險戰略。公司層次風險戰略主要分為總體風險戰略和專業風險戰略。新協議頒布以來，歐美商業銀行總體風險戰略主要是指全面風險管理戰略，即強調全球的風險管理體系、全面的風險管理范圍、全程的風險管理過程、全員的風險管理文化、全新的風險管理方法和全額的風險計量。按照新協議的要求，專業風險戰略主要包括資本充足性戰略、信用風險戰略、市場風險戰略和操作風險戰略等。業務單位風險戰略是指性質相同或類似，并可以進行類似管理的業務的風險戰略。如信用風險方面的業務單位風險戰略主要有公司業務風險戰略、零售業務風險戰略、同業業務風險戰略、主權業務風險戰略和股權業務風險戰略等。經營單位風險戰略是指各類業務具體經營單位為取得各自業務范圍內良好的風險管理效果而確定的工作方向和范圍，如零售業務方面，銀行卡經營單位的風險戰略。

(二)歐美商業銀行風險戰略與利益相關方、發展戰略、風險胃口和風險戰略目標的關系

一般來說，利益相關方不同，其對風險戰略的影響亦不相同。股東最終關注的是投入資本的回報率，以及商業銀行的長期增長性，因此，歐美商業銀行董事會在進行風險戰略定位時，首先會考慮股東的風險胃口和投資回報目標，并以此為依據；債權人如債券投資者希望獲得安全而豐厚的回報，風險戰略應增強在該方面的吸引力；內部員工、各經營單位的訴求則直接決定風險戰略能否被認同并得到有效執行。發展戰略是指商業銀行為實現使命和宗旨而確定的長期發展方向和范圍。從實踐來看。歐美商業銀行風險戰略接受發展戰略的指引，并在保持獨立性、垂直管理的基礎上，服務于發展戰略。風險胃口即風險容忍度，是指股東等投資者愿意承擔或忍耐的風險的程度。決定風險胃口的因素除了主觀的風險偏好(股東的風險厭惡程度)外，還有商業銀行資本規模和風險管理能力。不同的商業銀行根據其自身的風險胃口。相應地選擇不同的風險戰略。風險戰略目標則是風險戰略欲實現的中長期目標，它指引風險戰略要素的內容安排和組合，風險戰略為風險戰略目標的實現而存在。

(三)歐美商業銀行風險戰略管理

從歐美商業銀行的實踐來看。風險戰略管理是指風險戰略定位、選擇、實施、評估與控制等一系列相互影響的決策與行動。

1．風險戰略定位。歐美商業銀行風險戰略定位首先分析、評估商業銀行現有使命、利益相關方的期望與影響、發展戰略、風險胃口和風險戰略目標的合理性。然后根據分析、評估結果，運用SWOT等分析法對宏觀環境、行業環境、戰略集團(即主要競爭對手)等外部環境進行綜合分析，清楚所面臨的機遇和挑戰；對風險理念、文化、公司治理結構、人力資源配置、風險管理技術、風險信息系統等內部環境進行分析，清楚所具有的優勢和劣勢。根據以上兩個分析結果重新審視并修正使命、發展戰略和風險戰略目標等，最后依據修正結果和內外部環境分析結論綜合得出恰當的風險戰略定位，如決定實施全面風險管理。

2．風險戰略選擇。

(1)風險戰略的制定。企業戰略管理理論認為，戰略的制定存在三種視角，即設計視角、經驗視角和創意視角，三種視角分 別或綜合為戰略的制定提供了相應的方法和路徑。研究發現， 歐美商業銀行風險戰略制定，即風險戰略要素內容的安排和組 合同樣存在以上三種視角。設計視角認為商業銀行通過理性 的、指導性的分析和規劃程序對風險戰略進行規劃、設計和確定，該視角適合轉型中的商業銀行。經驗視角認為風險戰略是風險管理文化、行為經驗的結果，是對風險管理文化和經驗的總結與改良，成熟商業銀行的風險戰略往往如此產生。創意視角認為風險戰略是在商業銀行風險管理過程中存在的差異性和多樣性的基礎上生成的秩序和創新，商業銀行全球化和綜合化發展往往為該視角提供創意素材。事實上，我們發現風險戰略多是設計規劃、經驗總結和改進創新的綜合結果。

(2)風險戰略的選擇。風險戰略選擇是指商業銀行在風險戰略定位、制定的基礎上，對可供選擇的風險戰略進行評價、修正，最終選出合適的風險戰略的活動。歐美商業銀行進行風險戰略選擇主要考慮風險戰略的適應性、可操作性和市場競爭性等。適應性方面主要考慮風險戰略是否與商業銀行內外部諸要素相匹配，特別要考慮是否與使命、發展戰略、風險胃口、風險戰略目標相匹配。可操作性方面主要考慮風險戰略的實施是否與自身對應的資源和能力相協調。在市場競爭性方面則主要考慮風險戰略是不是有利于提升商業銀行的風險管理水平和市場競爭力。

(3)公司治理模式與風險戰略選擇。市場主導型公司治理模式以歐美商業銀行為代表，股權高度分散.其股東力量弱小.對經營決策僅有有限的發言權，只是通過在證券市場“用腳投票”的方式對董事會形成市場制衡影響，董事會實際上是商業銀行風險管理的最高決策機構.對風險戰略的選擇進行決策。出資者主導型公司治理模式以德國和日本商業銀行為代表，企業交叉或循環對銀行持股，法人持股率高，對銀行的監督和約束主要來自股東的“用手投票”。在該模式下，監事會直接代表股東成為商業銀行風險管理的最高決策機構，進行風險戰略決策。目前，兩種模式出現融合趨勢。

3風險戰略實施。歐美商業銀行實施風險戰略具有良好的保障和支持。一是確立相應的、良好的風險管理理念和文化，增強風險管理的主動性。二是建立有效的風險管理治理結構，尤其是建立了有效的風險管理治理結構。三是明確相應的風險管理工作目標和計劃.對風險戰略進行詳盡分解和落實。四是建立合適的、完善的政策制度和流程。五是采用良好的風險管理技術，特別是受新協議的影響，風險量化模型呈普及之勢。六是建立完善的風險管理信息支持系統，為風險戰略的有效管理提供決策支持。七是加強人力資源的利用和開發，建立高素質的風險管理專業隊伍，主要做法是推行風險經理制。八是關注并適應外部監管。

4.風險戰略評估與控制。由于制定和實施中可能存在偏差，風險戰略可能會出現不貼切、不適應、不高效、不盡效、不協調等各類風險，導致風險戰略的制定和實施事與愿違。歐美商業銀行往往定期召開決策層風險管理委員會會議，對風險戰略實施現狀和存在的風險進行診斷和評估，并及時對其進行動態的調整和完善。

5．風險戰略管理的價值。從歐美商業銀行的實踐結果來看，主要是有利于培育先進的風險理念和文化；支持并完善發展戰略；建立、完善風險管理治理結構；提升風險管理技術水平；保證風險戰略的順利實施；積極滿足監管要求，提升市場競爭力等。

三、對我國商業銀行風險戰略實踐的建議

(一)確立良好的風險管理理念，培育優秀的風險管理文化從西方商業銀行的實踐看，有什么樣的風險管理理念和文化，就等于制定并實施什么樣的風險戰略，因此我們有必要借鑒其先進的風險管理理念和文化，為風險戰略實踐營造良好內部環境和氛圍，引導員工形成良好的風險戰略實踐習慣。一是充分認識、理解商業銀行風險，及其客觀性和管理的必要性與持久性，養成風險管理的自覺性；二是能夠正確處理風險管理與業務發展的關系，樹立風險管理創造價值的理念，通過先進的技術與模式實現收益與風險相匹配；三是實施全面風險管理，明確風險管理的職責、標準和流程，實現風險管理的精細化和專業化；四是董事會和總行高級管理層確保風險管理體系的完善性、垂直性和獨立性，以及風險管理文化的優越性，并對風險管理承擔最終的責任；五是形成一種風險防范的道德評價標準和職業環境，促使全體員工在風險管理中恪守職業道德；六是認真汲取風險戰略實踐教訓并改善風險管理方法，全體員工注重提高自身對風險的管理能力。

(二)借鑒經驗，重新審視并重視風險戰略

一是重新審視風險戰略實踐，結合自身實際，確定合理的風險胃口和風險戰略目標，通過科學定位，選擇層次清晰、內容完備、目標明確的風險戰略，并不斷對其進行修正和完善，增強其適應性、可操作性和競爭力。二是重視風險戰略，有效配置各種資源，培育良好的風險戰略實施環境，充分發揮風險戰略的價值和作用。三是建立良好的風險戰略管理機制，充分發揮各方主體在各環節上的職能作用，保證風險戰略效用的高效傳導。

(三)構建完善有效的風險管理體系。

1．建立完善有效的風險管理治理結構。首先，建立有效的公司治理結構。股東、董事會、監事會、高級管理層等主體職責明確，協調制衡；建立有效的內部控制體系，業務經營和風險管理活動規范開展。其次，建立良好的風險管理分工及相互制衡關系，保證風險戰略管理機制暢通、高效。一方面風險管理實現決策、實施、支持和監察監督四個部分縱向的分工和制衡，另一方面還應實現各類風險管理的橫向分工和制衡。這方面可借鑒歐美商業銀行風險管理的矩陣結構。再次，建立垂直、獨立的風險管理組織體系。垂直、獨立的風險管理組織體系可從三個層次的風險管理和三級經營單位的風險管理等兩個層面來理解。三個層次的風險管理包括：董事會是商業銀行風險管理的最高決策機構，負責風險戰略的制定和監督實施；監事會負責商業銀行整體風險監測和風險管理效果評價；高級管理層下設風險管理委員會，通過總行風險管理部門集中管理各類風險。三級經營單位的風險管理包括總行、分行和支行的風險管理，以各級職能風險管理部門為主線，上下聯動獨立實施風險管理。

2．建立完善的風險管理流程和制度體系。建立完善的風險管理流程，實施風險戰略管理全過程監控，保證整個流程為有機體。建立完善的制度體系，為風險戰略的有效實施提供系統的制度支持。

3，建立完善的風險管理評價體系。一是實施有效的內部稽核與檢查，完成風險戰略管理的評估與動態調整，保證各項風險管理工作的有效性。二是建立完善的考核和約束激勵機制，以持續增強風險管理的驅動力，確保風險戰略管理的良好環境。三是建立嚴格的風險管理責任追究機制，通過增加風險管理責任成本，避免風險戰略管理中的失職和不當行為。

(四)不斷提升風險管理技術水平

積極跟進新協議要求，借鑒歐美商業銀行風險管理技術和模式，實施全面風險管理；建立完善的風險管理信息系統，實施風險分類管理，提高風險精細化管理水平；采用先進的風險計量技術和模型，提高風險計量水平；積極關注新類型風險，堅持動態的風險管理創新機制。

篇8

論文關鍵詞：中小股份制商業銀行；風險管理；內部控制

一、內部控制和全面風險管理概念的界定

（一）內部控制的內涵

COSO于1992年《內部控制——整合框架》中將內部控制定義為由一個企業的董事會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：財務報告的可靠性；經營的效果和效率；法律法規的遵循性。內部控制應具備的五個要素：內部控制環境；風險識別與評估；內部控制措施；信息交流與反饋；監督、評價與糾正。

（二）全面風險管理的內涵

COSO《全面風險管理框架》（2004）中的定義是：全面風險管理（ERM）是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中，用于識別那些可能影響企業的潛在事件并管理風險，從而確保企業取得既定的目標。

（三）內部控制與風險管理的內在聯系

1.內部控制與全面風險管理存在一定的差異：兩者的范疇不一致；兩者的活動不一致；兩者對風險的對策不一致。

2.內部控制與全面風險管理緊密相關：內部控制是全面風險管理的必要環節，內部控制的動力來自企業對風險的認識和管理；全面風險管理涵蓋了內部控制。從COSO委員會的全面風險管理框架和內部控制框架可以看出，全面風險管理除包括內部控制的3個目標之外，還增加了戰略目標，全面風險管理的8個要素除了包括內部控制的全部5個要素之外，還增加了目標設定、事件識別和風險對策3個要素；內部控制與全面風險管理工作應當由企業同一套組織機構和人員來完成，企業不能為之設置兩套工作小組。為此，企業在組織機構設置、人員權責分配中，應充分考試專業管理、內部控制、以及風險管理這三大類職責相輔相成，它們應當是每個關鍵崗位職責的有機組成部分。

雖然內部控制和全面風險管理的出發點和具體目標并不完全相同，但兩者在概念內涵上具有內在的一致性，在保障企業總體可持續發展目標實現的過程中，兩者的根本目標和作用是一致的。因此，二者應當實現有機融合，全面風險管理架構的構建與實施要建立在內部控制建設現有成果的基礎之上。

二、我國中小商業銀行實施全面風險管理的必要性和重要性

（一）金融機構面臨的風險因素多樣化

金融機構面臨的風險因素多樣化，主要包括信用風險、市場風險、操作風險、流動性風險、聲譽風險、法律風險、戰略風險和國家風險。各銀行都會因風險控制措施不當而發生損失，有的案例損失金額巨大，中小商業銀行相對而言其抗風險能力不足，更易由損失引發系統性風險；

（二）中小商業銀行內部控制體系存在較多弊端

各級負責人橫向權力過大，為操作風險的發生提供了空間；大部分銀行未設立獨立的專業化部門承擔操作風險管理和分配資本職責；操作風險管理現行的管理方法和手段落后，難以反映本行操作風險的總體水平和分布結構，與國際上要求以資本約束為核心的操作風險管理差距不小。

（三）忽略了風險之間的聯動性

目前單獨、割裂的處理各類風險，忽略了風險之間的聯動性。

三、國內銀行業全面風險管理實施現狀

（一）工商銀行、中國銀行等一些大型商業銀行建立了全面風險管理治理結構

如工商銀行2004年引入COSO　ERM框架的理念，按照現代金融企業的治理標準，建立了由股東大會、董事會、監事會和高級管理層組成的全面風險管理治理架構，制定相關授權方案，形成權力機構、決策機構、監督機構和高級管理層之間各司其職、相互協調、有效制衡的運作機制。重新調險管理委員會，并于2006年7月設立了首席風險官職位，為全面風險管理工作開展提供了制度保障。

（二）部分銀行全面風險管理的實施規劃已經形成并在逐步推進

農業銀行在制定新資本協議實施規劃的基礎上，制定實施新資本協議的時間表、步驟和措施，在2009年底前建成內部評級初級法體系，2013年底前建成內部評級高級法體系。工商銀行全面推進風險計量技術的研發，加大數據集中與系統建設力度，從公司治理、方法論、基礎數據、制度政策、IT系統等方面不斷深化新資本協議的實施工作，風險治理結構日益完善，風險計量水平逐步與國際接軌，風險管理的前瞻性、科學性得以顯著提高。

四、構建中小商業銀行全面風險管理組織架構建議

結合國內外商業銀行全面風險管理組織架構建設經驗，以中小股份制商業銀行普遍實行總分行制的行政制度為基礎，筆者提出要按照“集中管控、矩陣分布、全面覆蓋、全員參與”的目標要求，建立總分支三級聯動風險管理機制，以集中職能的風險管理部為特點，以風險總監為紐帶，以分布于各業務條線的風險經理為基礎的架構與職能分工。

篇9

關鍵詞：內部控制 風險管理 企業利潤

隨著經濟社會的高速發展，我國企業也越來越正規，其內部控制制度也逐步走向規范，但是目前內部控制理論的發展已經與風險防控理念相結合，因為各種各樣的風險時刻威脅著企業的財產安全與可持續發展，企業必須從內部控制的規范完善入手來提高自身風控風險的能力。內部控制與風險防控雖然獨立存在，但是目標一致、聯系緊密、相輔相成、缺一不可?，F代內部控制規范和制度的建設，不能離開風險控制理念和方法的應用。論文通過對內部控制體系和風險控制體系的論述，了解其現狀，并結合企業自身實際情況找出解決之路。

一、簡述企業內部控制與風險管理的概念

1.內部控制的概念

企業內部控制是指為了保護企業財產安全、保證會計信息的準確性、確保經營管理制度的有效執行、全面實現企業經營目標而實施的一種自我監督和自我管理的手段。企業內部控制是通過實施企業內部會計控制和內部管理控制，對企業內部各部門、各階層、各工作環節和程序進行事前預測、事中控制、事后監管，全面貫徹經營策略、執行管理任務，以實現提高經營管理水平、促進經濟效益實現、擴大企業利潤空間的目標。

2.風險管理的概念

企業風險是指企業在經營過程中產生的可能造成企業經濟利益流失的因素。風險管理是對風險的確認、預防和控制，旨在減少風險造成的損失。企業風險管理通過對風險辨識、估測和評價來選擇管理風險的方法，對風險進行實施監管和妥善處理。有效的風險管理可以減少風險給其帶來的損失，有助于企業所有者和管理者為企業未來發展做出正確決策，最大限度的保證經營管理的正常運行，保護其財產安全和完整，實現企業經營活動目標。

3.內部控制與風險管理結合的重要性

內部控制和風險管理在企業內部的實施有效預防財務報表造假現象，端正員工工作態度，依法辦事，保證會計信息的準確性，確保企業所有者和管理者能夠獲得真實、有效的經營現狀，促使企業做出正確的決策。與此同時，提高員工的風險意識，遵循其各項規章制度，提高工作效率，保護企業資產安全，促進企業各項發展策略的順利實施，進而推進企業發展目標的實現。

二、內部控制與風險控制的關系

1.內部控制與風險控制的內在關系

（1）風險控制包含內部控制

從組成結構來看，風險管理包括內部環境、設定目標、風險評估、風險辨認、活動控制、風險對策、信息與溝通和監督八個部分組成；內部控制由環境控制、活動控制、信息與溝通、風險評估和監督五個部分組成。由此可見，風險控制包括了內部控制。

目前，內部控制作為實施風險控制的重要手段，在確認風險和控制風險環節起到重要作用，甚至是不可或缺的地位。內部控制保證了會計信息的可靠性，使企業領導層及時了解到真實的企業現狀，企業經營者及時發現風險，并找出正確方法予以解決。如果企業缺少內部控制，將很難保證風險控制的有效性或效果不明顯，進而造成企業發展失衡、待滯。

（2）內部控制等于風險管理

在一些學者眼中，內部控制等于風險管理。內部控制和風險管理的最終目標都是實現企業可持續、穩定的發展。內部控制是實現風險管理的技術與方法，風險管理是內部控制的延續。如果沒有內部控制，風險管理則無法有效進行，也就達不到預期目標；如果沒有風險管理，內部控制的工作失去了原有的意義。

（3）風險管理與內部控制互為前提

內部控制和風險管理同屬于企業經營管理的范疇，互為前提，都是通過對風險的有效控制以實現減少風險、擴大利潤的目的。企業風險是源自于收益的不確定性，所以，實施有效的經營管理來確保企業未來收益最大化是最科學的風險管理。實際上，風險管理目標就是通過減少風險帶來的損失，來實現其利益最大化。但是，一旦風險管理不能有效實施，損失將會轉化為成本，根據“利潤=收入-費用”的原理，同等收入的情況下企業利潤空間會縮小。

2.內部控制與風險控制的異同

內部控制和風險管理二者關系緊密，目標一致，互相聯系，相輔相成，缺一不可。內部控制和風險管理的最終目的都是通過風險控制實現企業財產安全、完整和企業利益最大化。

內部審計和風險管理雖然有著共同目標，但是實施工作的具體范圍不盡相同。風險管理是對可能與風險有關的經營管理程序或內容進行監督和控制；內部控制是對企業內部各部門、各階層的監督和管理，不僅僅是與風險相關的，而是實現企業內部的全面覆蓋。風險管理旨在通過風險控制，實現企業利潤的最大化；內部控制不僅要對風險有敏銳的洞察，還要發現和幫助企業經營者解決企業在經營管理中可能出現的各種問題。

三、關于內部控制與風險管理未來發展的建議

1.內部控制與風險管理的現狀

（1）對風險管理的認識不夠，缺乏先進的管理體制。目前，我國大多數中小企業所有者和管理者對風險的認識不夠，導致風險管理體系落后，不能及時的發現風險、控制風險、化解風險。由于風險管理體系發展的落后，導致內部控制不能全面、有效的運行，進而嚴重阻礙企業穩定、持續的發展。

（2）企業內部控制和風險管理未能實現整合。目前，我國正處于經濟體系發展階段，國內、外經濟環境瞬息萬變，因此給企業發展帶來了諸多不確定因素，包括機遇，也包括挑戰。顯然，傳統的內部管理制度已經不能完美應對風險帶來的危險。只有將內部控制和風險管理有效結合、互補互用，才能化解風險，實現企業利潤最大化。如果內部控制和風險管理繼續分開管理、分開運行，其實施將受到限制，不能有效發揮起作。

（3）對內部控制和風險管理的關系了解不夠，導致不能正確運用。通常情況下，企業不能準確梳理內部控制和風險管理之間的關系，工作不能承上啟下，致使對風險的控制工作不能正常、有效的進行。內部控制要為風險管理提供工作資料，風險管理為內部控制提高工作效率。如不能依據二者關系進行工作，將阻礙風險控制，嚴重影響企業持續、穩定的發展。

2. 完善內部控制與風險管理的策略

（1）提高風險管理和內部控制在企業中的地位。由于行動受到主觀意識的影響與支配，所以風險管理得到重視是進行風險控制和內部控制的主要前提條件。目前，我國與內部控制相關的政策與規范正在逐步完善，企業要認識到內部控制與風險管理在企業發展中的作用，充分發揮的其作用，提高其工作效率。增加工作價值，進而減少其財務和管理風險。

（2）建立嚴格的風險評估機制。內部控制與風險管理是相互關聯的，風險評估是實施內部控制的重要依據。由此可見，企業結合自身實際情況，建立完善的風險評估機制是做好內部控制工作的基本途徑。在內部控制設計上要設置風險識別點，在內部控制流程上要融合各種風險識別方法，在內部控制培訓上也要對風險識別的理論知識和方法技巧有所涉獵，發現風險點后，還要結合專業技術方法和經驗進行風險評估。然而風險評估的進行也是與企業內部控制是否完善和自身內部控制經驗相關聯的。

（3）聘用、選拔高素質人才，培養員工業務能力。高素質人才是企業發展的關鍵。企業要通過嚴格的招聘、面試等制度挑選適合的人才。對在職員工進行專業培訓，開積極展技術交流活動，提高員工專業素質，及時更新員工知識儲備，從而使員工為企業創造更多的經濟利益。

（4）建立有效的信息溝通體系。企業要建立有效的信息流通體系，加強各階層之間、各部門之間、各員工之間的信息溝通，加快信息的傳遞速度，實現企業資源共享，以此達到企業所有者和經營者及時、準確掌握企業現狀的目的。

四、總結

根據前文的分析，內部控制與風險管理是相輔相成、不可分離的。建立健全內部控制制度、完善風險管理體系與明確二者關系，是有效控制風險的前提。內部控制和風險管理作為企業抵御風險的重要手段，必須加強合作，互通信息，全面貫徹企業經營管理方針，有效控制風險，實現企業利潤最大化目標。企業要高度重視內部控制與風險管理建設，強化風險意識，積極應對，有效防范。

參考文獻：

[1]顧紅斌.淺析企業內部控制與風險管理[J].金山企業管理，2013，（3）：42-44

篇10

2009年我國創業板市場的開啟為國內中小企業發展提供了一個良好的融資渠道和成長平臺，極大地推動了我國科研技術創新，且初步形成了一種新型資本市場服務機制。但由于創業板企業自身特點使得其在經營管理、技術、投資等方面承受著巨大風險。同時由于缺少嚴格的監管和健全的退市制度，創業板高增長、高科技、高附加值“三高”現象、炒殼投機等行為極為嚴重。為了保護投資者利益，健全創業板市場優勝劣汰機制和促進其可持續發展，2012年4月20日，深交所了《深圳證券交易所創業板股票上市規則》（2012年修訂），明確了創業板退市的相關規定，使得創業板企業面臨的退市風險凸顯。2012年上市公司年報披露后，因遭受重大虧損和受到重大譴責，14家創業板企業或將面臨退市警告。至此，創業板企業在退市風險下的風險管理問題再次引發人們熱議。因此，有必要對創業板企業加強風險管理的方法路徑進行分析，從而有效防范和降低風險。我國創業板企業不僅面臨著嚴峻的生存環境和風險狀況，同時其本身對風險管理認識不夠、風險管理能力不足，在風險識別、風險應對等多方面均缺乏有效的管理活動。而風險管理和內部控制的關系密不可分，創業板企業可以通過實現二者有效融合來實現全面風險管理，并且能夠在內部控制五要素的指導下，從具體操作層面有效防范各種風險。

二、風險管理與內部控制的關系厘清

在企業的眾多制度建設中，內部控制與風險管理聯系最為緊密。企業內部控制是以專業管理制度為基礎，以防范風險、有效監管為目的，通過全方位建立過程控制體系、描述關鍵控制點和以流程形式直觀表達生產經營業務過程而形成的管理規范。內部控制一個很重要目的就是糾偏，而“偏”就是風險。雖然內部控制與風險管理有著緊密的聯系，但是對于風險管理和內部控制具體關系的認識理論界和實務界卻有不同，主要觀點主要有：

第一種觀點是認為風險管理包含內部控制。美國COSO委員會在2004年的概念全新的coso報告，即《企業風險管理一整合框架》（ERM），認為風險管理包含八個要素，即內部環境、目標設定、事件識別、風險評估、風險對策、控制環境、信息與溝通以及監督。顯然，其認為風險管理包含內部控制，企業內部控制體系的建設是實現風險管理的重要方式之一。英國1999年的Turnball報告，從根本上重新定義了內控的性質，認為公司的內部控制系統是更廣泛意義的風險管理的必要組成部分，在風險管理體系中應該發揮重要的作用。我國學者楊雄勝（2005）也認為，內部控制是公司治理的基礎，而風險管理則包含內部控制。

第二種觀點認為內部控制包含風險管理。美國coso委員會1992年的《內部控制——整體框架》采用的就是這種觀點，它認為風險評估是企業內部控制的組成要素之一。另外加拿大coco報告也認同風險評估或風險管理是控制的關鍵要素，coco報告在闡述風險管理與控制的關系時指出，當企業在管理風險時，也正是在實施控制。

第三種觀點認為內部控制和風險管理是相同的概念，二者的分離僅是人為的一種分離，在現實的商業活動中，它們其實是一體化的（Blackbum，1999）。2003年Spira等分析了內部控制向風險管理的轉變過程，在一定程度上表明內部控制就是風險管理。Leitch（2006）站在更宏觀的角度看待風險管理與內部控制，得出從理論上講，內部控制系統與風險管理系統沒有差異，隨著環境的變化，二者的外延更加寬泛，正在變為同一事物。

通過對以上觀點的分析可以看出，由于人們對風險管理及其涵蓋的范圍定義的不同，造成了目前的爭議局面。全面風險管理不同于內部控制過程中所講的風險評估，宏觀意義上的風險管理體系不同于狹義的風險管理與評估。因此本文認為，風險管理與內部控制的關系是一種雙重包含的關系，即：廣義的風險管理體系包含內部控制，而內部控制又包含狹義的風險管理。由于內部控制是風險管理的重要組成部分，而風險管理則又是內部控制的發展和延續（朱榮恩，2010），所以實現內部控制與風險管理的融合發展無疑是可行的，并且是大勢所趨。

三、退市風險下創業板企業風險管理現狀

2012年修訂的上市規則中豐富了退市的標準體系，更加嚴厲、明確表示不支持創業板公司借殼重新上市，創業板上市公司在凈資產為負、股價低于面值、被連續譴責等多種情況下，都將觸發直接退市，另外還提出要強化退市信息披露。通過退市新舊制度的對比（見表1），能夠清晰了解創業板企業目前面臨的退市風險。

制度的變化使得我國創業板市場遭受了極大的沖擊。據統計全新上市規則一經，截至2012年4月創業板上市的308家公司中，288家股價下跌，占比高達93.5%，其中有33家跌停，股價上漲的僅有5家。而時至2013年，創業板企業“萬福生科”或將成為該規則下的首個退市公司。可見，在全球經濟沒有完全復蘇的情況下，創業板企業依然面臨著嚴峻的外部宏觀環境和風險狀況。

通過對創業板上市公司風險管理情況研究發現，這類公司雖然深知面臨著各種重大風險，但是風險管理水平明顯不足?？傮w來看，創業板上市企業風險管理問題主要表現在：第一，風險管理認識不足，僅僅將風險管理視為一項增加負擔的工作，而并未意識到風險管理對于企業整體管理的導向作用；第二，風險管理往往處于一種諸侯割據的狀態，沒有形成統籌劃一的風險管理模式。例如，風險經理管理的是純粹風險，資本運作經理管理的是財務風險，銷售經理則負責承擔市場風險。這種各自為政、缺乏合作的風險管理方式不是企業實際期望的，不利于企業整體利益的實現，也無法實現企業整體風險的降低；第三，沒有形成一種全員參與的風險管理理念，企業內部認為關注風險、防范風險僅是公司管理層的工作。對于企業而言，要想實現在無風險的環境中運作是不可能的，但是通過有效的風險管理可以使企業在存在風險的環境中仍能游刃有余、穩健運行。鑒于創業板企業所面臨的嚴峻的內外部環境，有必要對其加強風險管理的方法進行研究。

四、創業板企業實現有效風險管理的路徑

在退市風險下，企業應該尋找將風險管理與內部控制相互融合的方式和路徑，利用內部控制體系的構建來提高自身的核心競爭力與抵御風險的能力。本文以內部控制的五要素為指導，從五個方面具體闡述實現二者融合的方法路徑，最大限度的控制和減少企業面臨的風險。如圖1所示：

第一，構建風險管理企業控制環境。首先，強化全員參與的風險管理意識。創業板上市企業要對員工進行培訓，學習相關制度規則，使所有員工都能認識到當前形勢下公司所面臨的風險，并將風險管理理念作為企業文化建設的一項重要內容來構建和傳達。企業應當加強員工的風險管理意識、提升員工識別風險因素的能力，在企業內部形成協調的、全面的、全員參與的風險管理模式。其次，要設置全面風險管理內部控制組織體系。企業的內部控制組織結構設計應當能夠充分滿足企業全面風險管理的要求。對于創業板企業，可以在董事會下設專門的風險管理委員會，且該委員會要獨立于企業的其它部門，保持獨立性和權威性，直接對董事會負責，并抽調專人負責企業的經營風險、投資風險和籌資風險。

第二，全面識別與量化風險。創業板企業基本都是處于成長期的中小高科技企業，生產經營的不確定因素很多，因此企業要充分收集來自市場、金融、技術等各方面的信息，并確保信息的可靠性，同時嚴密監測企業產品、財務等的發展動向，結合企業的技術開發能力、經濟效益、員工能力等，評估企業面臨的各種風險的大小并監控關鍵風險。

普拉卡什A.希馬皮曾提出了企業風險繪圖技術，該技術能使企業對自己所面臨的風險進行編目和量化。該繪圖技術從權衡、分類、確認、評估、分析五個過程對企業風險實行全面控制。在當前嚴峻的外部宏觀環境下，創業板企業可以借鑒使用以在退市風險下全面識別和量化風險。

第三，實行源頭控制與全程控制。企業在風險控制上要實行源頭控制、全程控制，而不是結果控制。首先，將識別出的風險進行由大到小、由重到次的排序，確定關鍵控制環節和關鍵風險控制點。針對重大風險，各部門根據職責分工對不同風險采用不同的源頭控制預案，并將預案提交風險管理會審核通過后實施。

具體而言，對于經營風險，創業板企業要對采購、生產、銷售等業務流程和關鍵控制點予以高度關注。同時關注市場風險，對新老產品的市場反應進行調查和分析，以便及時對產品和技術進行改進；對于投資風險，企業要充分對投資項目進行可行性分析和投資監管；對于籌資風險，企業應評估各種籌資方式的收益和風險，建立多元化的融資渠道，降低資本使用成本。

第四，建立通暢的風險管理信息系統。風險的識別、評估和控制之間需要一條通常的風險管理信息系統。創業板企業應該建立相應規章制度，保證風險信息的及時有效傳遞。任何事物都是發展變化的，企業面臨的風險也是一個動態發展的過程，企業只有及時掌握了充分準確的市場信息，才能有效估計潛在風險，采取針對性處理策略，取得應對風險的主動權。

第五，重視風險管理活動監督。監督是保證內部控制有效實施的一種手段，各個組織都需要擁有一個隨著時間的推移能適時評估其內部控制系統及風險狀況的監督機制。創業板上市公司在風險管理的監督上要做到以下幾點：首先企業高層必須建立正確的監督基調，表達整個組織對監督人、監督作用的期望以及對風險和內部控制的重視。其次，對于所選擇的監督者必須具備相應的專業勝任能力，即有適當的技術、知識以及對控制風險的專業理解。最后，企業要加強監督結果的交流。對已發現的控制弱點要報告給負責控制運行的人，并至少向高一級風險管理人員報告，從而使得相關人員能夠及時對問題的嚴重性進行評估。

參考文獻：

[1]楊雄勝：《內部控制理論研究新視野》，《會計研究》2005年第7期 。

[2]朱榮恩等：《關于企業內部會計控制應用效果的問卷調查》，《會計研究》2004年第10期。