企业内部控制与风险管理
内部控制与企业风险管理之间的联系是十分紧密的。

内部控制的实质是风险控制，风险管理是内部控制的主要内容，企业风险管理包容内部控制。

但两者之间的关系并不是简单的相互关系，两者之间存
即内部控制，从这一概念来说，风险管理是内部控制的重要内容，企业风险管理包含内部控制，但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分离的内在联系。

主要表现在：
1.1组成部分重合
内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。

1.2最终目标相同
内部控制与风险管理的目标都包括：经营目标、合规性目标、报告目标。

1.6内部控制的一个基本作用是控制风险；风险管理是指在企业生产经营过程中，对企业可能面临的风险进行识别、评估和控制，最终目标也是控制风险。

总而言之，风险管理是内部控制的发展，风险管理拓展了内部控
制内涵，内部控制发展成了以风险为导向的内部控制。

因此，我们将内部控制与风险管理一体化，将他们作为一个整体进行理解与处理。

[1]
问题与误区编辑
内部控制和风险管理建设中的误区或问题
还
一种常规的管理和运行机制。

可以说，内部控制和风险管理既是一种制度安排、也是一种管理过程，更是一种自律行为。

2.2认为内部控制和风险管理是相互独立的
虽然内部控制和风险管理的内涵有很多重合之处，如要素很多相
同、方法很多相似，但内部控制和风险管理的具体运用需要根据企业自身的特点、发展阶段、行业特性、技术条件、外部环境等要求来执行。

比如，某企业生产医疗设备或药品，因为涉及到人的生命健康问题，而且政府管制非常严格，风险管理的迫切性相对较强，此时企业以风险管理来主导内部控制比较合适；如果某企业是为了使自己的财
系，只有理论说教，缺少实际行动。

2.5制度执行不力
制度的关键在于执行，没有执行或执行力度不够，再先进的制度也不起作用。

影响内部控制和风险管理执行力度的因素很多，其中，
企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素；制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。

内部控制针对的是“事”而不是“人”，是一种“非人格”的控制机制，其控制对象不限于受控方，施控方也是内部控制的控制对象。

内部控制需要全员参与、平行
计企业向多元化经营、总承包和海外项目转型发展的过程中，就要从战略高度进行风险管理和内部控制。

再者，无论是企业的管理层，还是企业的员工都应具有风险管理意识，并把风险管理意识贯穿于企业的生产经营过程中，包括业务管理、职能管理、质量与安全管理等各
方面。

风险管理理念的培养可以通过企业领导层的表率作用、相关的培训及相关的规章制度来实现。

（2）建立公司治理结构并充分发挥各机构职责。

企业各层级各部门之间应分工明确，并相互监督、相互牵制。

公司可以通过公司章程的规定及完善相关的激励约束机制来保障公司机构职责的实现。

非
营活动的执行者，员工良好的职业道德可以保证企业经营活动的顺利进行，可以避免舞弊事件的发生。

员工的知识和技能必须与所在岗位所需能力相匹配，这是经营活动和内部控制活动得以有效运行的基本保障。

为此，企业应以诚信等职业道德作为员工的行为准则，建立奖惩机制，加强员工的再教育，对关键岗位实行定期轮岗制。

3.2设定企业战略目标
企业应根据企业的使命或愿景来设定企业的战略目标，战略目标是企业的最高目标，其他目标为战略目标服务。

企业根据战略目标再层层分解，并由各部门来落实。

战略目标的制定应考虑企业的风险容量，企业实现战略目标所面临的风险应在企业风险容量之内。

适用性，是否需要追加程序等。

在评估风险时应注意运用风险组合观。

第三，建立风险反应机制。

风险应对是控制风险的关键步骤，在风险评估后，企业应针对风险发生的可能性、影响的不同程度，采取不同的应对措施，其中应特别关注重大风险。

风险应对措施包括回避、
降低、承担和分担风险。

同时，在风险应对中要考虑成本与效率的问题。

3.4建立良好的控制活动
企业应建立良好的控制活动以确保管理层应对风险的各种措施得以有效执行，控制活动贯穿于企业各个部门，各个层面及其活动。

对内部控制的监督与评价是确保内部控制制度得到有效执行的重要手段，同时有利于企业管理层及时了解内部控制存在的问题，可以为内部控制的改进提供建议，有利于内部控制体系的不断完善，进而帮助企业控制各种风险。

内部控制监督与评价机制的建立主要包括内部和外部两个方面：
第一，企业应建立独立、权威的内部审计机构。

内部审计机构的设置应与其他职能部门分离开来。

内部审计机构应具有执行审计决定和审计结论的权利，可以建立具有较强独立性与权威性的董事会领导型或监事会领导型的内部审计机构。

内部审计不应只局限于财务报表审计，应对企业资格内部控制系统进行全面的监督和评价，包括对企
监
(2)风险评估
中石化根据企业的发展目标，由各部门收集全面的信息来确定企业的风险容量，并根据企业可能面临的内部风险和外部风险建立以内部控制为基础的风险评估和控制体系，对企业目标的实现有重大影响
的关键环节进行全面的风险评估。

针对各部门面临的风险和责任制定内部控制流程。

中石化根据内部审计结果及在管理过程中发现的问题，不断对《内控手册》进行修订，各分（子）公司也不断修订实施细则。

动态的风险评估与应对为企业实现目标提供保障。

(3)控制活动
)、
管
包含了采购、资产、信息管理、内部审计等18大类，59个业务流程，包含了企业经营管理活动的各个方面。

(4)信息与沟通
中石化采用先进的ERP管理信息系统，会计核算系统、资金集
中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系统，并实行财务信息系统集中管理。

该系统让各业务部门人员的业务操作都统一在ERP系统上进行，企业录入业务数据后，生产、销售各环节即按相应的业务流程生成相关信息，并传送到公司总部数据库进行监控和分析。

中石化制定了相关的管理办法和业务流程，从一般
由
的综合检查评价进行自查测试，及总部部门自查和抽查评价。

除日常监督外，中石化还建立了针对内部控制一些重大方面的监督检查。

此外，中石化制定了《中石化监督制度汇编》，完善了企业的反舞弊制度。

通过制定内控控制执行情况指标对内部控制进行考核。

每
年定期对内部控制的设计及执行情况进行评价，出具内部控制自我评价报告，并向外披露，接受外界的广泛监督，并聘请外部注册会计师对财务报告内部控制进行审计。

4.4中石化内部控制的评价
中石化制定《内控检查评价与考核办法》及指引来指导企业内部
也为国内其他企业内部控制的建立树立了榜样。

中石化管理水平不断提高。

中石油实行统一的物资釆购管理，规范企业物资采购，为企业节约了材料成本。

建立了产品原料等消耗标准，使企业生产经营管理日益精细化。

通过建立IT风险控制系统，使企业风险能力日益增强。

内部控制及其审计，提高了审计效率和效果，使企业管理水平不断提
高。

内部控制的实施加快了企业规章制度的建立，明确了各企业机构、部门及各岗位的职责和权力，对业务操作流程的规范也提高了企业管理效率和管理水平。

中石化内部控制的实施满足了外部监管的要求。

中石化作为在境内外三地上市的公司，其内部控制的实施与披露满足了各上市地的要求，内部控制自实施以来也得到了不断的完善和改。