后金融危机下我国企业以风险管理为导向的内部控制体系构建背景20世纪初期，随着资本主义经济迅速发展，股份公司规模日益扩大，所有权与经营权进一步分离，为防范和揭露错误与弊端，逐步形成了一些组织、调节、制约和监督企业经营管理活动的方法，最终建立了内部控制制度。

内部控制制度自产生以来，就倍受理论界和实务界的关注。

随着人类步入21世纪，世界经济的急剧变化，企业与外界环境的联系加强，使原有的内部控制制度的局限性日益明显，如对风险管理强调不够，并且接连的知名大企业的丑闻连续暴光案，尤其是2008年席卷全球的金融危机，也给内部控制理论界和实务界带来了巨大的压力，促使他们将目光聚焦在风险管理上。

企业的风险管理一时间成为了人们关注的焦点，也作为企业战略管理中的核心登上了公司治理的舞台。

风险导向下的内部控制研究已经引起了理论界和实务界的极大关注，2004年10月COSO发布了《企业风险管理——整合框架》，新框架强化了风险管理，又涵盖了原有内部控制的合理内容。

此后，在2007年，中国财政部出台了《企业内部控制(征求意见稿)》，认为“内部控制必须向风险控制发展”，可见，风险导向下的内部控制是我国当前需要研究的一个迫切而重要的问题。

同时，毫无疑问，加强内部控制是提升企业管理水平和经营绩效，建立现代企业制度的重要途径。

内部控制的整体框架所谓内部控制，是指企业为了保证各项业务活动的有效进行，确保资产的安全完整，防止欺诈和舞弊行为，实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序。

1992年COSO委员会提出并于1994年修改的内部控制整体框架中对内部控制作了如下的描述：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。

内部控制的构成要素具体包括：(1)控制环境。

环境主要指企业的核心人员以及这些人的个别属性和所处工作环境，包括个人诚信正直、道德价值观、管理层的经营理念与经营风格、组织架构等。

(2)风险评估。

企业必须制定和销售、生产、采购、财务等作业相结合的目标，为此企业必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险。

(3)控制活动。

企业必须制定控制的政策及程序，并予以执行，保证其用以辨认并用以处理风险所必须采取的行动业已有效落实。

(4)信息和沟通。

围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

(5)监督。

整个内部控制的过程必须施以恰当的监督。

通过监督活动在必要时对其加以修正。

企业风险管理整合框架2004年COSO又发布了《企业风险管理—整合框架》(ERM)，拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。

它将内部控制框架纳入其中，公司不仅可以借助这个企业风险管理框架来满足他们内部控制的需要，还可以借此转向一个更加全面的风险管理过程。

在企业风险管理整合框架中，风险管理的定义是：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

风险管理的内涵是：风险管理是一个包括风险识别、风险衡量、风险控制、效果评价等，能够不断自我完善的过程，是实现结果的一种方式；它是由不同部门不同层次人员共同参与的过程，是一个渗透在风险管理组织日常活动中的过程。

因此，风险管理过程应用于单位内部每个层次和部门，管理者不能仅仅从某项业务、某个部门的角度去考虑风险，必须根据风险组合的观点，从贯穿整个运行过程的角度看风险。

内部控制与风险管理的关系尽管学界对内部控制与风险管理的关系有各种不同的看法,但已形成共识,内部控制与风险管理是密不可分的。

关于二者的关系,归结起来主要有以下3种观点:(1)风险管理包含内部控制。

这一论点体现在美国反虚假财务报告委员会(COSO)的最新报告中。

COSO报告指出,风险管理由八个要素组成:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督，而内部控制由其中的五个要素组成:控制环境、风险评估、控制活动、信息与沟通、监督，显然内部控制包含在风险管理之中，内部控制是风险管理不可分割的一部分。

英国Turnbull委员会、英国内部审计师协会、澳大利亚证券交易所等也提出了同样的观点。

(2)内部控制包含风险管理。

加拿大CICA(1995)认为“内部控制”是一个组织中支持该组织实现其目标诸要素的集合体，而风险是“一个事件或环境带来不利后果的可能性”,“当您在抓住机会和管理风险时，您也正在实施控制”，这种认识体现了内部控制包含风险管理的认识。

(3)内部控制就是风险管理。

Blackburn (1999)认为风险管理与内部控制仅是人为的分离，而在现实中是一体的，风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，正在变为同一事物。

笔者认为：内部控制和风险管理就是控制风险的两种不同的语义表达形式,内部控制与风险管理已经具有同一性。

虽内部控制的内涵外延几经变迁,但无论怎样,风险管理是贯穿内部控制的核心主线,只是风险管理的目标、内容和层次伴随企业的环境、经营模式以及企业制度的变迁而变化。

同样,《内部控制——整体框架》之所以能够升级为《企业风险管理——整体框架》，根本原因在于内部控制的最终目的就是为了控制风险。

从语义上说，内部控制就是控制风险，控制风险就是风险管理。

所以,内部控制和风险管理是控制风险的两种不同语义表达形式，二者具有同一性。

我国的内部控制发展现状近年来部分企业会计造假行为普遍，会计信息严重失真。

一些企业国有资产大量流失，经济效益严重滑坡，生产经营陷入困境，造成这种结果与我国企业内部控制失灵有很大的关系。

由于缺乏内部控制而导致企业面临较高的经营风险、财务风险，尤其是涉税风险的现象屡见不鲜。

（一）企业管理层内部控制意识薄弱，缺乏完善的内部控制制度我国企业内部控制起步较晚，不少企业管理层内部控制意识薄弱，其认识落后于现实的需要，对内部控制的重要性认识不足，认为内部控制只是形式上的东西，就是成堆的手册、各式各样的文件。

因而大多企业未制订完善的、成文的内部控制制度；虽然有些企业已经制订出相应内控制度，但大多也只是停留在“挂在嘴上、写在纸上、贴在墙上”给人看的表面形式上，目的是为了应付相关部门的检查、审计，制度的落实方面问题很多，实际执行的很少，在执行过程中也没有与之配套的方法和措施，执行过程中不检查、实际执行效果也不考核，奖惩制度不到位，使内部控制制度流于形式走过场。

有时内部控制制度是随企业领导者的意志为转移，执行的结果如何，最终取决于领导者的态度。

（二）公司治理结构不完善，控股股东控制现象严重内部控制与公司治理有着紧密的联系。

公司治理结构是促使内部控制有效运行、保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于实现企业经营管理目标的一种手段。

我国存在上市公司控股股东操纵股东大会、董事会和监事会的串通现象，关键人集控制权、执行权和监督权于一身，股东大会、董事会、监事会形同虚设。

这样，控股股东或少数关键人就能操纵公司的财务报告，提供虚假会计信息。

这种现象虽然在上市公司中已有所改变，但从公司制企业总体来看，仍普遍存在。

（三）组织机构设置不合理，信息与沟通渠道不畅不少企业还仍然沿袭着计划经济体制下的机构设置，企业普遍存在机构臃肿、管理层次多、工作效率低的问题。

另外，企业在组织机构设置中,比较重视纵向间的权利与义务关系,而对横向间的协调缺乏足够的重视,导致同级各部门间缺乏必要的交流,信息沟通不灵敏,协调性差。

有些企业不重视收集各种内部信息和外部信息，也不注重通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物．办公网络等渠道，获取内部信息，更不注重通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

（四）缺乏内部稽核和内部审计，内部监督不力有的企业在财会机构中未按规定要求设置稽核岗位或稽核工作不规范，使内部稽核只是流于形式。

企业内部审计作为内部控制的再控制,本身就应站在第三者的立场上，客观公正地对企业的经济活动进行再监督,它的地位应当是独立的。

然而我国目前的内审部门是在本单位主要负责人直接领导下行使内部审计监督权,对本单位领导负责并报告审计工作，这就很可能造成内部审计监督失效。

部分企业领导不重视内部审计工作，内部审计机构及制度不健全，内部审计力量薄弱，内部审计工作阻力比较大，缺乏事前预算、事中的控制、事后审计的内部控制标准，使内部审计的作用不能有效发挥。

另外内部审计还缺乏独立性，且处于从属地位，常常只能按领导的意图进行内部审计，往往等到错误的决策造成了重大的损失才寻求办法弥补，但更多的时候是亡羊补牢，为时已晚。

很多企业没有对内部控制建立与实施情况进行监督检查，认真评价内部控制的有效性，更没有建立内部控制缺陷纠正、改进机制，所以不能充分发挥内部监督效力。

（五）企业内部控制制度不健全，缺乏相应的激励与约束机制一是企业内部控制制度中授权过大、授权不合理或过分集权，经营者基于利己动机而利用职权侵吞国有资产或大肆挥霍，为满足这种贪欲，这些经营者不会重视内部控制制度的建设,甚至有意忽略或阻挠，这反过来又加重了企业内部控制制度的不健全,形成恶性循环。

二是企业的人力资源政策不完善。

招聘员工没有经过严格的考核，有许多是凭关系挤入企业，没有形成一整套训练、待遇、业绩考评及晋升的制度，也没有根据不同情况与时俱进对职工进行适当的道德教育。

职工良好的胜任能力和优秀品德得不到肯定,能力的欠缺和不良的道德得不到应有的惩罚。

三是缺乏相应的激励与约束机制，大部分企业对员工都实行绩效考核，考核内容复杂多样，但往往考核只是流于形式，没有实质内容。

多数企业未将员工考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退的依据，因此职工对此项工作反应不积极，因此根本达不到绩效考评的结果。

四是企业制度不全面,没有针对企业经营的各个环节、各个部门、各类事项制订出相应的规章制度，往往是顾此失彼。

五是执行不力，再好的制度不执行也是没有用的。

（六）不重视预算控制，预算执行缺乏刚性预算编制不论采用自上而下或自下而上的方法，其决策权都应落实在内部管理的最高层，由这一权威层次进行决策、指挥和协调。

预算确定后由各预算单位组织实施，并辅之以对等的权、责、利关系，由内部审计部门等负责监督预算的执行。

但在实际工作中，内部管理的最高层根本不重视预算编制工作，很多企业管理层只是下指标，认为编制预算是下属的事情与自己无关，遇到超预算事项时，管理层则命令下属破例执行的事时有发生，如此以来，造成预算控制制度落空，各预算实施单位随之效仿，最终预算控制的权、责、利无法兑现，内部审计部门也没法行使监督预算执行的权利。