企业内部控制与风险管理汇编(三篇)

绪论：一篇引人入胜的企业内部控制与风险管理，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

中图分类号:F720.7文献标志码:A文章编号:1673-291X(2010)01-0028-03

目前, 风险管理是企业管理中的一个相对薄弱环节, 风险意识不强, 风险管理工作薄弱, 是企业发生重大风险事件的重要原因。2006年6月,国资委制定并了《中央企业全面风险管理指引》, 对于建立健全风险管理长效机制, 推动风险管理工作具有重要意义。2008年6月财政部企业内部控制基本规范, 将于2009年7月1日起在大中型企业实施, 该规范强调企业应当建立和实施风险评估程序。然而, 纵观中国企业内部控制与风险管理, 尚存在许多问题, 在新的经济形势下需要以新的措施和方法予以改进。

一、风险管理概念

1.风险。风险是伤害、损毁或损失的机会,或是损失的可能性程度。我们可以推而广之,风险就是由某种不利因素产生并可能造成实际损失,致使组织目标无法实现或降低实现目标的效率的可能性。企业风险除涵盖一般的风险项目外,更包括了财务风险、形象风险、营运风险、环境风险、法律风险、人力风险、业务风险等等,而根据美国损失控制协会对于美国企业18 000例巨灾的统计,其中70%未设置风险管理系统的企业,在遭受巨灾后五年内会结束营业。

2.风险管理。全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。从某种角度来说,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。

二、风险管理系统构建

根据风险管理理论,风险管理系统的构建主要有以下几个方面:

1.内部环境。企业的内部环境是所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略目标的制定、风险的识别、评估和对策,还影响企业内部控制活动、监督行为的制定和执行。

2.目标制定。根据企业的愿景,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层分解和落实。

3.事项识别。事项识别是确定哪些因素会给经营管理带来风险。有来自于企业外部的因素和内部的因素。内部因素反映了管理层的选择,包括基础设施、员工、流程和技术等。同时还要关注企业的过去和未来。

4.风险估测和评价。风险估测和评价模块主要是在风险识别的基础上,对风险进行量化,预测和评估风险大小,为风险控制提供依据。风险评估主要包括两个方面:风险损失频率估计和风险损失程度估计。估计风险损失频率,主要是通过计算损失次数的概率分布,这需要考虑三个因素:风险暴露数、损失形态和危险事故,三项因素的不同组合,影响着风险损失次数的概率分布。如果企业建有完善的风险管理信息系统,也可根据信息系统提供的历史数据来估计损失频率。一般依据风险发生的可能性可将风险分成五类: (1)几乎不发生,约每一百年或更长时间发生一次;(2)可能但未曾发生,约每二十年发生一次;(3)发生过数次,约每五年发生一次;(4)经常发生,每两年发生一次;(5)绝对发生,一年发生一次或几次。不同的企业还可予以细分。

5.风险控制。风险管理是一项系统工程,对风险的控制应该贯穿于整个风险系统之中。风险控制包括实施风险管理方案以便在项目过程中对风险事件做出回应。当变故发生时,需要重复进行风险识别,风险量化以及风险对策研究一整套基本措施。

6.风险管理评价。由于市场条件不同,各主体面临的风险也是不同的。为了对风险进行及时的控制和管理,必须对风险的识别、估测、评价及管理方法进行定期检查、修正,以保证风险管理方法适应新的状况。

三、风险管理与内部控制的关系

内部控制关注的是经营中的风险。内部控制评估管理活动中突出的是风险点,负责重要的风险控制活动,在风险管理中居于十分重要的地位,没有内部控制,风险管理无从谈起。内部控制只能提供合理的保证而不是绝对的保证。内部控制框架的新发展是建立企业风险管理框架。

四、企业实施内部控制防范经营风险过程中存在的问题

中国企业内部控制与风险管理运行中主要存在以下方面的问题:

1.内部控制对控制环境的关注不够。内部控制理论认为, 内部环境对于企业战略目标的制定、业务活动的组织以及风险的识别都有着非常深刻的影响。中国主要是从会计控制的角度来规范内部控制,而一些企业的内部控制之所以失效,很大程度上缘于缺乏良好的内部控制环境。例如,中国企业缺乏有效的现代企业治理机制,很多公司虽然形式上设立了董事会、监事会、审计委员会等,但实际中,因一股独大、内部人控制等原因,中小股东利益得不到切实保护。

2.内部控制不能应对凌驾于内部控制之上的风险。内部控制主要侧重于服务高层管理者控制资产、业务的需要,侧重于对企业中层管理者和员工的控制,对于高层管理者如总经理、执行董事缺乏制约能力,而企业往往会因为缺乏对公司高层管理者的有效控制和监管而带来风险。

3.中国企业风险管理水平较低,风险管理手段落后。风险管理思想和理论尚未融人中国企业管理过程中,重收益、轻风险企业风险管理技术水平低,风险识别、风险评估、风险应对等风险管理技术手段落后。

4.风险管理中过多强调传统的内部控制风险,对传统内部控制之外的风险关注不足。目前中国企业对于传统意义上的内部控制比较重视,强调分工和牵制,但对于内部控制之外的风险却缺乏关注,如外部重大不利事件、法律变化、技术变化、收购兼并等风险游离于内部控制之外。

5.未能建立起有效的风险管理信息系统,风险管理决策缺乏定量依据。各类风险数据、损失数据是企业经营管理的重要决策基础,在一定程度上,通过扩充丰富这类资源,可以提高企业的经营水平和经营弹性。因此,实践上就要求中国各类企业建立一个完整的信息系统对这类资源进行收集、挖掘和利用。由于缺乏这类基础数据的支持,使企业的经营决策依据不足,带来企业风险管理的被动状况。

五、改进内部控制与风险管理框架的措施

加强内部控制,从而防范经营风险,其重点就应是会计系统和控制程序建立健全。应考虑交易授权;职责隔离;对财产的有形控制以保证其安全;精确记录交易数据及汇总保存;周期性地核对和分析数据;有规律地将经过分析数据得到的信息与预期结果进行比较。控制程序和活动应由职员的日常职责构成,通过财务会计控制,及时发现企业的经营风险。另外,会计系统和控制程序的设计应特别关注收入和费用循环,因为大多数欺诈行为都发生在这些环节上。具体从以下几个方面得以加强:

第一,构建起健全、有效的经营风险控制机制。经营风险控制机制是指在经营风险管理中所形成的互相联系、互相制约的功能体系。构建完善的经营控制机制是防范经营风险的关键所在。(1)建立起经营风险的全过程控制机制。(2)建立和完善经营风险预警机制。规避资本营运和资金管理风险最为有效的是建立经营预警系统,加强经营危机管理。建立经营预警系统,对企业的资本营运过程进行跟踪、监督,通过对财务报表和财务指标的分析,一旦发现某种异兆就着手应变,以避免或减少风险损失。(3)实行全员风险管理,健全风险控制的动力机制。实行全员风险管理,将风险,将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,做到权、责、利三位一体。

第二,按照相互制约原理,建立科学的内部控制制度体系。内部控制体系是内部控制目标得以实现的充分必要条件。建立相关的内控制度和健全有效的内部控制运行体系,是实现内部控制目标的重要保障。企业内部控制体系,具体应包括三个相对独立的控制层次:第一个层次是在企业一线“销”全过程中融入相互牵制、相互制约的制度,建立以“防”为主的监控防线。有关人员在从事业务时,必须明确业务处理权限和应承担的责任,对一般业务或直接接触客户的业务,均要经过复核,重要业务最好实行会签制,禁止一个人独立处理业务的全过程。第二个层次是设立事后监督,即在会计部门常规性会计核算的基础上,对其各个岗位、各项业务进行日常性和周期性的核查,建立以“堵”为主的监控防线。事后监督可以在会计部门内设立一个相应职务的专业岗位,配备责任心强、工作能力全面的人员担任此职,并纳入程序化、规范化管理,将监督的过程和结果定期直接反馈给财务部门的负责人。第三个层次是以现有的稽核、审计、纪律检查部门为基础,成立一个直接归董事会管理并独立于被审计单位的审计委员会。审计委员会通过内部常规稽核、离任审计、落实举报、监督审查企业的会计凭证、会计报表等手段,对会计部门实施内部控制,建立起有效的以“查”为主的监督防线。以上三个层次构筑的内部控制体系,对企业发生的经济业务和会计部门进行“防、堵、查”递进式的监督控制,对于及时发现问题,防范和化解企业经营风险和会计风险,将具有很重要的作用。另外,内控体系无论是单独设置还是在会计制度中体现,设计时均应充分考虑体系的严密性、有效性、先进性和可操作性,并充分发挥它们之间的能动作用。

第三,强化相关人员思想认识,把内部控制工作落到实处。一切好的内控制度和方法最终还是要由人去执行,否则再好的制度也难以发挥作用。对会计作业人员,包括管理人员和操作人员的控制是内部控制的核心。就目前情况及案例看,出现问题的关键不是没有制度而是制度不落实。因此,一要及时掌握企业内部会计人员思想行为状况。定期对重点岗位人员的思想和行为进行分析,着重了解他们近期出现的反常情况,掌握可能使有关人员犯罪的外因,以便采取措施加以防范和控制。二要加强对会计人员进行职业道德教育和业务培训,增强会计人员自我约束能力,自觉执行各项法律法规,遵守财经纪律,做到奉公守法、廉洁自律。双管齐下,使内部控制工作得以有效施行。

第四,实施内部控制评价制度,提高企业内部控制效果。任何机制有效运作都需要有相应的配套制度和措施,内控机制也不例外,相关的评价制度是促进其运行有效的必要条件。内部控制评价是对内部控制执行有效性的检测。对企业内部控制进行评价,应该执行哪些评价程序,遵循什么样的评价标准,用什么样的评价形式等,都是值得思考的问题。只有建立一整套完善的、符合实际的、具有可操作性的评价指标体系并加以实施,内部控制制度在实践中才能有现实的可运行性和有效性。

第五,强化内控制度的检查考核,推行有效的激励机制。为了保证企业内部控制制度能有效地发挥作用,并使之不断地得到完善,企业必须定期对内部控制制度的执行情况进行检查与考核。看企业内部控制制度是否得到有效遵循,执行中有何成绩,出现了什么问题,为什么某项内部控制制度不能执行或不完全执行,估计可能产生或已造成什么后果,这些都是考核的重要内容。对那些违反规定、钻制度空子的人员予以相应的惩罚,而对那些认真履行职责、与违规行为做斗争的人给予一定的奖励,从而做到奖罚分明,并与职务升降挂钩,形成长效机制。只有做到压力与动力相结合,才能最终达到内部控制的目的。

篇2

中图分类号:F23文献标识码:A文章编号:1672-3198(2009)23-0195-02

1内部控制与风险管理的内在联系

1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键

随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。

1.2风险管理是对内部控制的自然发展

内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。

1.3技术的发展推动内部控制走向风险管理

技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。

2内部控制与风险管理的外在联系

2.1它们都能为企业目标的实现提供合理的保证

风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。

2.2风险管理与内部控制的组成要素有五个方面是重合的

(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。

2.3风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念

《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。

3从内部控制走向风险管理

有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。

笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。

尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。

参考文献

[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.

[2]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.

篇3

风险管理也是一个过程，要求企业的全体员工共同实施，通过识别可能会影响企业的潜在事项并将其控制在企业的风险容量之内，为实现企业的目标提供合理保证。

风险管理和内部控制同样都是企业以防范风险和有效监管为目的实现目标的过程，需要企业的全体员工共同参与到企业的日常经营管理活动中，他们也都只能向董事会就实现企业的经营目标提供合理保证。但是，两者也存在许多不同之处，从不同的角度对企业管理实施控制和监控。

二、风险管理从哪些方面拓展和细化了内部控制

1.管理目标方面

内部控制服务于企业的三类目标，即经营、财务报告和合规。风险管理在这3个目标的基础上有了进一步拓展。内部控制更偏重于与财务报告相关的各项内部控制，风险管理将内部控制中的财务报告目标拓展为企业的所有报告，包括对内报告和对外报告。所以风险管理涉及的管理内容不仅包括各项财务信息，而且也包括各项非财务的相关信息。另外，风险管理还增加了另一类目标即战略目标，战略目标处于比其他目标更高的层次，是企业的使命或愿景，管理层必须权衡追求增长和报酬目的以及相关的风险，高效地配置企业资源，实现企业价值最大化。

2.构成要素方面

内部控制包括内部环境、风险评估、控制活动、信息与沟通和监控五要素，风险管理将内部控制构成要素中的风险评估细化为目标设定、事项识别、风险评估和风险应对四个构成要素，所以风险管理框架相对于内部控制框架来说更关注企业“风险”的管理。管理层根据企业的风险承受程度设定发展目标，为了实现相应的目标，必须对各种可能影响目标实现的潜在事项进行识别，这些事项可能存在于企业内部和外部，他们既可能代表风险，也可能代表机会，更有可能二者兼而有之。如果是机会则被管理层采纳到战略目标的制订过程中。通过对上述风险进行分析和评估确定应该如何对它们进行管理，并采取适当措施予以应对，应对措施包括回避、承担、降低和分担等，管理层选择风险应对措施将风险控制在企业的风险承受范围内。

3.风险容量和风险容限

风险管理框架引入了“风险容量”和“风险容限”的概念。风险容量是企业在实现目标的过程中所愿意承受的广泛意义的风险的数量，这就意味着企业要制订战略目标必须以风险容量为指导，管理层必须在期望报酬与企业自身风险容量之间做出权衡，合理配置资源，才能合理保证目标的实现。

风险容限是相对于目标的实现而言所能接受的偏离程度。在确定风险容限时，管理层要考虑企业制订目标的相对重要性，使风险容限与风险容量相协调。在风险容限允许范围内，管理层确定实现战略目标可以容忍的风险容量，为企业整体目标的实现提供合理保证。

4.风险组合

尽管内部控制也有风险的分析和评估，但是没有考虑风险的“组合”。风险管理框架要求企业管理层从“风险组合”的角度去考虑风险。管理层在对影响企业目标实现的潜在事项进行分析时，如果这些潜在事项不相关，可以对它们分别进行评估。例如，货币的汇率变动的风险和台风给海上平台生产带来的风险。但是如果潜在风险事项之间相互关联，相互影响，管理层就应该把这些事项放在一起来进行评估。尽管单个事项的影响很小，不足以阻碍企业目标的实现，但是如果将这些事?组合在一起可能会造成致命的影响。例如，货币汇率的变动、需在国际市场采购的生产需求备件及设备价格的浮动以及国际市场上原油价格的波动三者结合。

所以，在对风险进行分析时不仅应该从企业内部各个单元的角度去考虑其影响，而且还应该站在企业整体的角度去考虑各个风险之间的关系，分析组合后的风险对实现企业目标的影响的程度。对于各个业务单元影响很小的风险，经过组合后也许会造成很大的影响；对于单个业务单元影响很大的风险，如果站在企业整体的角度，经过其他的潜在风险的对冲，或许造成的整体影响并不大。

三、内部控制与风险管理的结合

内部控制与风险管理在企业管理中都发挥着重要作用，内部控制更注重规则的制定，风险管理更注重风险导向，两者不能相互替代。企业的经营类型不同，关注点也会不同，对于高风险企业，如金融业，一定是以风险管理为导向，更多地考虑风险管理的问题，而对于比较成熟的制造业，餐饮业更多的应该是偏重于加强企业的内部控制。对于一个企业的不同单元考虑的风险管理和内部控制的侧重点也不尽相同，比如在开发生产部门，更多的是考虑项目的开发风险，以及如何在此基础上加强其内部控制；而财务部门对外披露相关财务数据，则会更加关注内部控制的要求，确保出具财务报告的准确和完整。在实际的管理过程中，内部控制和风险管理应该相互结合，而不是一味地强调风险管理或内部控制。

1.全员风险意识的加强

企业最重要的资源就是人，企业的控制环境也是由人组成的，所以在企业内部应加强各类成员的风险意识。对于不同层级的企业成员，所面对的风险类型也是不同的，管理层面对的是战略方向的风险，中层管理人员面对的生产经营风险，操作执行人员面对的是实际操作执行风险。企业管理层应该建立以风险为导向的管理理念，对每一层级员工实施不同的风险意识宣贯，使风险意识和风险管理理念深入到企业的每个角落。

2.内部控制必须以风险管理为导向

随着全球经济的迅猛发展，每个企业面临的不确性因素越来越多，企业想要更好地发展甚至立足，均要对面临的各种不确定因素进行分析，确定哪些因素对企业是机会，哪些因素对企业来说是风险，这些因素不仅包括市场、资源、技术等，而且也包括政治环境、社会稳定性等因素。企业管理层应充分考虑企业的风险容量和风险容限后设立企业的战略目标，对影响企业战略目标实现的各种潜在风险因素进行综合考虑，权衡利弊，，然后制定相应的风险应对策略。并在此基础上建立有效的内部控制制度，通过内部控制活动对风险加以控制。

3.持续审视企业内部控制活动的必要性

企业可以按贡献大小对现有的经营业务进行分类，通过对生产经营活动所面临的各种潜在风险事项进行持续分析，，管理层可以充分了解企业在不同的发展阶段需要重点关注的领域。管理层可以将控制的重点放在高风险领域，对于发展比较成熟的低风险领域可以相对减少控制活动，摒弃冗余控制，节约控制成本，提高管理效率。