风险管理视角下的企业集团内部控制相关问题研究

题 目：风险管理视角下的企业集团内部控制相关问题研究 学 院： 商学院 专 业： 会计学（注册会计师专门化） 姓 名： 郝建伟 指导教师： 郭锦华 完成日期： 2014.03.21 毕业论文任务书毕业论文题目：风险管理视角下的企业集团内部控制相关问题研究选题意义、创新性、科学性和可行性论证：“风险管理视角下的企业集团内部控制相关问题研究”论文选题通过阐述国内外内部控制与风险管理的相关定义和原则，提出企业集团应当将风险管理和内部控制结合起来，建立完善的风险管理和内部控制体系。在此基础上，举例分析了企业集团内部控制与风险管理中存在的问题，最终提出了有针对性的改进建议。主要内容： 全文序言部分介绍了企业集团内部控制与风险管理这一问题的研究背景及选题动机，并概括分析了内部控制与风险管理的研究目标及研究意义。正文分为四部分：第一部分对企业集团内部控制与风险管理的国内外研究成果进行了综述。第二部分介绍了风险管理的定义及程序，内部控制的定义和目标，以及风险管理视角下企业内部控制的定义。第三部分和第四部分重点分析了目前我国企业集团的内部控制与风险管理在内部环境、风险评估、控制活动、信息与沟通及内部监督方面存在的问题，并有针对性地提出了加强我国企业集团内部控制与风险管理体系建设的建议。目的要求： 论文写作的主要目的是，将我们大学四年所学的会计专业理论知识，灵活的运用到实际问题的分析过程中。要求我们在以后的工作中不仅应具备专业理论知识，同时还要有在实践中发现问题、分析问题和解决问题的能力。本文最主要的研究目的在于，通过对企业集团内部控制与风险管理问题进行分析，提出关于建立完善的风险管理和内部控制的几点建议。论文写作要求理论联系实际，有针对性的提出解决问题的建议。计 划 进 度 ：完成毕业论文，具体时间如下：1. 2012.12.31-2013.1.20,收集资料，确定论文选题，完成论文任务书；2. 2013.1.21-2013.3.1,修改论文提纲；3. 2013.3.2-2013.4.3,修改论文初稿；4. 2013.4.4-2013.4.21,进一步修改论文修改稿； 5. 2013.4.22-2013.4.29,论文定稿。指 导 教 师 签 字： 主管院长（系主任）签字： 年 月 日辽 宁 大 学本科毕业论文（设计）指导记录表论文题目风险管理视角下的企业集团内部控制相关问题研究学生姓名郝建伟学 号100608210年级、专业10级会计学（注册会计师专门化）指导教师姓名郭锦华指导教师职称副教授所在院系商学院第一次指导（对确定题目、毕业论文（设计）任务书的指导意见）：对论文写作进行讲解：1、如何进行论文选题首先搜集资料，然后进行论文选题，确定论文题目，明确研究方向；2、如何拟定大纲大纲主要包括三方面：提出问题、分析问题、解决问题；3、如何填写论文任务书选题确定下来后，完成大纲，明确写作目的及内容后再完成任务书填写。指导方式：（请选择） 面谈 电话 电子邮件 指导教师签字： 2013 年 12 月 21 日第二次指导（对论文提纲的指导意见）：1. 提纲应当写成目录的形式，这样更为具体详细。2. 可以开始论文写作，须参照论文的标准格式。指导方式：（请选择） 面谈 电话 电子邮件 指导教师签字： 2013 年 1 月 2 日第三次指导（对初稿的指导意见）：1. 目录格式需要调整，序言部分需要修改。2. 国内外研究成果综述部分应当选取最新或最具有代表性的观点。3. 第一部分内部控制原则与全文关系不大，建议删除。4. 企业集团内部控制问题及解决方案应当联系的更紧密。5. 参考文献格式需要调整。指导方式：（请选择） 面谈 电话 电子邮件 指导教师签字： 2013 年 3 月 14 日第四次指导（对修改稿的指导意见）：论文格式还存在错误，应按要求进行调整；部分标题内容需要改动。指导方式：（请选择） 面谈 电话 电子邮件 指导教师签字： 2013 年 4 月 3 日第五次指导（对是否定稿、进入答辩及其它指导意见）：内容基本符合要求，需对论文格式进行最后修改，确保符合学校统一要求，修改后可定稿、打印。指导方式：（请选择） 面谈 电话 电子邮件 指导教师签字： 2013 年 4 月 24 日主管院长（主任）签名 院系盖章 年 月 日注：指导意见如不够填写可加附页指导教师评语学 生：郝建伟 专 业：会计学（注册会计师专门化） 论文题目： 风险管理视角下的企业集团内部控制相关问题研究 论文共 17页，设计图纸 0 张。 指导教师评语：该同学的论文,针对企业集团风险管理和内部控制的问题进行研究,选题具有一定的现实意义。该文从国内外企业集团风险管理和内部控制的研究成果及风险管理和内部控制的概念阐述入手，比较了企业集团风险管理与内部控制的关系，分析了我国企业集团风险管理和内部控制现状及存在的问题；最后，针对这些问题提出了完善企业集团风险管理和内部控制体系的建议。论文研究结论有一定的现实指导作用。论文结构比较严谨，层次分明，问题论述比较有针对性，主题比较突出，论述比较完整。指导教师评分： 指导教师签字： 年 月 日辽宁大学毕业论文（设计）成绩评定单评阅人评语：评阅人评分：评阅人签字： 年 月 日答辩委员会评语：院（系）毕业论文答辩委员会（小组）于 年 月 日审查了 届 专业学生 的毕业论文。答辩委员会评语：答辩成绩：答辩委员会成员：答辩委员会（小组）组长签字： 年 月 日 毕业论文（设计）成绩：评阅人评分：指导教师评分 ：答辩成绩：总成绩：院长（系主任）签字： 年 月 日注：评阅人评分满分为100分，指导教师评分满分为100分，答辩成绩满分为100分；总成绩为三者的算术平均值（四舍五入）。摘 要 世界经济全球化的步伐仍在加快，企业的规模化、集团化乃是不可避免的趋势。企业集团因其复杂的组织结构及多元化的业务结构而面临更多更复杂的风险，因此，企业集团应当建立良好的风险管理与内部控制体系，为企业的生存与发展提供有力的保障。但是，在企业的实际经营过程中，内部控制建设在环境方面、风险管理水平、控制活动、信息沟通和监督等方面仍然存在不足。因此，进一步加强内部控制的环境建设、提高风险管理水平、完善控制活动和信息沟通、加大监控力度，是企业在以后的内部控制建设中应该努力的方向。 本文第一部分对企业集团内部控制与风险管理的国内外研究成果进行了综述。COSO委员会提出的内部控制整体框架与风险管理总体框架得到了国际社会的广泛认同。我国政府也认识到了内部控制与风险管理的重要性，并且颁布了相关的法律法规来进行详细的规范。我国的各位学者也以不同的视角对内部控制与风险管理相关问题提出了见解。 第二部分介绍了风险管理的定义及程序，内部控制的定义和目标，以及风险管理视角下企业内部控制的定义。 第三部分和第四部分重点分析了目前我国企业集团的内部控制与风险管理在内部环境、风险评估、控制活动、信息与沟通及内部监督方面存在的问题，并有针对性地提出了加强我国企业集团内部控制与风险管理体系建设的建议。 关键词：风险管理；企业集团；内部控制IAbstract As the pace of economic globalization is still speeding up, scale expansion and collectivization of enterprise groups becomes inevitable. Enterprise groups are facing more complex risks due to its complex organization structure and diversified business lines .These enterprise groups should establish a thorough risk management and internal control system which offers strong guarantee for the survival and development of enterprises.However, in the process of enterprises actual operation, the internal control construction still exist deficiencies in terms of internal control environment, risk management, control activities, information communication and monitoring. Therefore, the enterprise groups should strive to further strengthen the internal control environment construction, improve the level of risk management, perfect the control activities and strengthen information communication and monitoring in the future. The first part introduces research achievements on enterprise internal control and risk management at home and abroad. internal control - integrated frameworkandrisk management- integrated framework proposed by COSO committee has been widely accepted by the international community.Our Chinese government has realized the importance of internal control and risk management of enterprises and issued relevant laws and regulations to make explicit specifications. Scholars in our country also put forward their opinions on the internal control and risk management issues in different perspectives. Part two introduces the definition and program of risk management, the definition and objectives of internal control as well as the definition of enterprise internal control under risk management perspective. In the third and the fourth part,this paper focused on analysis of problems in the enterprise groups internal control and risk management in terms of internal environment, risk assessment, control activities, information and communication and monitoring, and put forward targeted suggestions for the development of internal control and risk management system. Key words: risk management；enterprise groups；internal controlX 目 录序 言1一、国内外研究成果综述21.国外研究成果综述22.国内研究成果综述3二、风险管理与内部控制概述41.风险管理的定义42.风险管理程序53.内部控制定义74.内部控制的目标85.内部控制与风险管理的融合9三、企业集团风险管理和内部控制存在的问题101.企业内部控制环境薄弱102.风险评估过程不完善113.缺乏有效地内部控制活动114.信息与沟通机制不够健全115.内部监督作用未得到应有的发挥12四、加强我国企业集团风险管理和内部控制建设的建议121.改善企业内部控制环境122.优化风险评估过程133.实施有效地内部控制措施134.建立和完善有效信息沟通机制145.发挥内部监督机构的作用14参考文献15致 谢17序 言 企业集团的风险管理与内部控制的问题一直是被专家学者广泛研究的问题。2001年美国安然公司虚报近6亿美元的盈余和掩盖10亿美元的巨额债务，股票摘牌下市，公司破产，接着，世通、施乐等多家大型企业集团曝出隐藏亏损、虚报利润的丑闻。这一系列上市公司财务欺诈的丑闻严重打击了投资者的信心，使美国遭受严重的经济损失。而在中国，轰动一时的银广厦、蓝田股份、东方电子事件及中航油(新加坡)暴仓事件均给政府与企业敲响了警钟。当今世界，全球化的步伐仍在加快，在面临WTO更全面开放的要求之下，企业的规模化、集团化乃是不可避免的趋势。复杂的组织结构及多元化的业务结构都使得企业集团面临的各种风险大幅增加。企业的风险管理与内部控制问题也变得更为复杂，更具有研究的乐趣。基于以上研究动机，本文以企业的风险管理和内部控制相关问题的研究为题，分析了企业集团风险控制和内部控制中存在的问题并提出了相应的解决措施，希望能为我国企业集团风险管理和内部控制体系的建立和发展提供有益的建议。 风险管理视角下企业集团内部控制相关问题的研究一、国内外研究成果综述1.国外研究成果综述 20世纪90年代，会计舞弊的不断发生使得美国会计行业更加重视内部控制问题研究。1987年，专门研究内部控制问题的COSO委员会（The Committee Of Sponsoring Organization Of Treadway Commission）成立。经过三年多的潜心研究以及与相关各方的深人探讨，COSO委员会于1992年9月份提出了内部控制一一整体框架专题报告(Internal Control一Integrated Framework，本文称COSO内部控制整体框架，简称COSO报告)，开创性地提出了内部控制整体框架的概念，1994年COSO委员会又对该报告进行了增补。COSO委员会认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标(主要包括经营的效率与效果、财务报告的可靠性、相关法律法规的遵循性等，简称三类目标)提供合理保证的过程。它由相互关联的五项要素构成，分别是:控制环境（control environment）、风险评估(risk appraisal)、控制活动(control activity)、信息和沟通(information and communication)和监督(monitoring)。COSO委员会同时指出，内部控制的三类目标是一个组织努力的方向，而内部控制构成要素则是为实现这些目标所必需的条件，两者之间存在着直接的关系。五类要素之间相互协调、相互联系，每一个要素都适用于所有的目标类别，共同构成能够对不断变化的环境做出动态反应的一个整体。1996年美国注册会计师协会发布审计准则公告第78号,全面接受COSO报告的内容。2004年COSO委员会在原有的内部控制框架基础上，结合萨班斯一奥克斯利法案(SarbanesOxley Act)推出了企业风险管理总体框架。该框架认为企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通与监控等八个相互关联的要素，各要素贯穿在企业的管理活动中。2.国内研究成果综述 与所有国家的内部控制理论发展顺序一致，最初我国也是由审计的角度出发研究内部控制问题。1996年12月财政部发布的独立审计具体准则第9号内部控制和审计风险，要求注册会计师审查企业的内部控制，并对内部控制定义、内部控制要素(控制环境、会计系统和控制程序)等做出了规定。1999年修订并于2000年实施的新的会计法是我国第一部体现内部会计控制要求的法律，该法在第四章会计监督中明确提出:各单位应当建立、健全本单位内部会计监督制度。作为会计法的配套法规之一，财政部于2001年6月颁布了内部会计控制规范基本规范(试行)和内部会计控制规范货币资金(试行)，对单位内部会计控制和与会计相关的控制进行了原则性的详细规范。我国各位学者也对内部控制与风险管理进行了深入的理论研究和实务探讨。吴水澎等(2000)从控制论原理出发，提出COSO报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面，即完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督。建议有关部门和团体制定企业内部控制准则或指南，为企业内部控制建设提供一个框架和参考依据。在对内部控制规范建设和内部控制构建的研究方面，朱荣恩(2001)提出内部控制的发展与政府的推动密不可分，我国应注重内部控制理论和方法的研究，并重视内部控制的实务指导。陈志斌(2004)提出问责制度作为一种惩罚机制，运用在内部控制制度的设计中，必将大大提高内部控制制度落实的深度、广度和效度。刘静、李竹梅(2005)借鉴COSO报告对内部控制环境的界定来分析我国上市公司在这方面存在的缺陷，认为当前我国企业界面临的迫切任务之一是运用先进的内部控制理论和方法，改善内部控制环境，提高管理水平。胡兴国（2007）指出,内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。对于内部控制与风险管理的关系，董月超(2009)认为,两者的相同之处在于:对参与的主体要求相同,都对企业实现目标提供合理的保证,都强调要主动应对风险,两者的不同之处在于:目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴,而风险管理属于企业治理范畴,风险管理是对内部控制的继承与发展。孟庆祥（2012）则认为风险管理与内部控制具有很多交叉重叠的地方，其界限也越来越模糊，二者的融合是必然趋势。二、风险管理及内部控制概述1.风险管理的定义 风险这个词据考证来自意大利语的risque，是在早期的航海贸易和保险业中出现的。在老的用法中，风险体现为自然现象或者航海遇到礁石、风暴等事件，被理解为客观的危险。目前，风险的概念己在现实生活中得到广泛运用，普遍地认为风险是指损失产生的可能。风险的产生具有客观性，即不以人们的主观意志为转移。企业在实现其目标的经营活动中，会遇到各种不确定性事件，这些事件发生的概率及其影响程度是无法事先预知的，这些事件将对经营活动产生影响，从而影响企业目标实现的程度。这种在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件就是风险。简单来说，所谓风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。 基于以上对风险的广泛认识，人们将对风险的研究推进到了风险管理的这一应用阶段。1930年，风险管理的概念被提出来。风险管理是研究风险发生规律和风险控制技术的一门新兴管理学科，它是指各经济单位通过风险识别、风险估测、风险评价等阶段，并在此基础上优化组合各种风险管理技术，对风险实施有效的控制和妥善处理风险所致的后果，期望达到以最少的成本获得最大安全保障的目的。2.风险管理程序 随着社会经济的发展，全球化的加剧，金融工具的创新，企业的组织结构和经营方式发生了巨大变革，虽然企业的变革能够为其带来巨大的收益，但是由其产生的风险也可能会给企业带来更大的损失。这些风险是企业在发展过程中不可避免的 “副产品”。因此，在当今错综复杂的经济环境下，企业必须具备风险管理的意识、积极主动地管理风险、妥善地控制和应对风险，才能避免或减少损害的发生。风险管理的程序一般包括以下几个环节：（1）确立风险管理目标 一般来说,企业风险管理的总目标是以经济有效的方法,将风险成本降至最低。在损失发生之前,风险管理目标的重点是避免或减少损失的发生,进而将损失发生的可能性和严重性降低到最低水平。在风险发生以后,风险管理目标的重点是尽快使企业恢复到原有的状况,稳定环境,持续经营,确保企业生存。具体的风险管理目标通常包括节约生产和代销成本,追求利润最大化；减少内部忧患情绪,维持交易稳固的局面,保证企业积极向上发展,注重客观条件和环境的变化,防止突发性的意外损害,承担社会责任,满足和建立良好的社会公众形象等。（2）识别风险 采用系统科学的方法,尽可能全面准确地识别出企业所面临的风险,是企业风险管理做出的关键步骤。企业通常可以采用环境分析法、生产流程分析法、财务状况分析法、列出风险清单分析法、事故分析法等方法进行风险的识别。环境分析法就是对企业的外部环境因素和内部环境因素进行分析,从而防范风险的发生。生产流程分析法是指按照企业的工艺流程和加工流程,对每一个阶段和每一个环节进行检查,以发现其中潜在的风险。财务状况分析法是指通过对企业财务状况的分析,包括对企业资产负债表、利润表、现金流量表的分析,找出产生问题的根本原因。列出风险清单的方法是指逐一列出企业所面临的风险,并将这些风险同企业的经营活动联系起来考察,以便发现各种潜在的风险。事故分析法就是对可能引起损失的事故进行研究,对事故发生的原因和结果进行探究。（3）评估风险 在识别了企业所面临的风险之后,企业必须对风险损失进行衡量。估算风险损失要求企业运用概率及数量统计方法估计某种风险发生的概率及其损失后果的频度、性质,以准确地估量损失金额。例如，企业对应收账款进行账龄分析并提取相应的坏账准备，这是降低应收账款无法收回风险的有效手段。（4）选择和实施风险管理方案 在对风险进行识别和估算以后,就应当选择和确立应对风险的技术方案并加以实施。风险管理对策一般分为控制法和财务法两大类。风险管理的控制法是在风险分析的基础上,针对企业存在的各种风险因素,运用控制的方法减少或消除风险损失，主要包括风险的避免和减少、风险的控制以及风险的分散等方法。风险管理的财务法是运用经济的方法来处理已发生的损失。因各种因素的影响,企业对风险的预测不可能做到绝对准确,防范风险损失的措施也具有一定的局限性,所以风险的发生及其所带来的损失是不可避免的。运用财务法进行风险管理的目的是为了提供转移风险的方法,降低损失的成本。（5）检查和评估管理效果 对风险管理方法的适用性和收益性进行分析、检查、修正和评估,是风险管理中不可缺少的重要环节,企业应当对风险管理的效果进行及时的检查与评估,从而监督风险管理部门的工作,及时发现和纠正各种错误,避免不必要的损失,确保以最小的成本获得最大的风险保障。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。“合理保证”反映了“风险是与未来相关，而未来是没有人可以确切地预测的”这一思想。即使是有效的企业风险管理也会遭遇失败。合理保证并不是绝对保证，内部控制的实质不在于消除一切风险，而在于帮助管理人员减少或控制风险。3.内部控制定义 COSO委员会认为，内部控制是由企业董事会、管理层和其他员工实施的，为实现营运的效率和效果、财务报告的可靠性、遵守相关法律法规等目标而提供有效保证的过程。它由相互关联的五项要素构成，分别是:控制环境（control environment）、风险评估(risk appraisal)、控制活动(control activity)、信息和沟通(information and communication)和监督(monitoring)。内部控制是一个不断发现问题和解决问题的循环往复的动态过程，应与管理过程融合在一起，共同保障企业管控目标的实现。COSO委员会对内部控制的定义是迄今最被人们普遍接受的。 我国在2008年制定的企业内部控制基本规范中对内部控制的定义为：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。可见，我国的企业内部控制基本规范大体上采纳了美国COSO委员会对内部控制的定义。这一定义为我国企业内部控制制度建设提供了基本标准。4.内部控制的目标 1992年的COSO内部控制整合框架将内部控制目标确定为三个：保证企业经营的效率与效果；保障财务报告的可靠性；对法律法规的遵循性。2004年COSO企业风险管理整合框架将内部控制目标增至四个，增加的一个新目标是实现企业战略目标。我国企业内部控制基本规范充分借鉴COSO报告所确定的目标精髓，结合中国经济及企业管理的现状将内部控制目标确定为五类合法性目标、资产安全目标、真实性目标、经营性目标和战略性目标。同时指出企业内部控制的目标是合理保障企业经营管理的合法合规，资产安全，财务报告及相关信息真实完整，改善企业经营效率和效果，促进实现企业的发展战略。5.内部控制与风险管理的融合 为适应全球经济形势的急剧变化，在 2008 年 11 月，国资委对外发布了关于2009 年中央企业开展全面风险管理工作有关事项的通知，从 2009 年开始中央企业将全面启动央企风险管理制度。同时国资委表示，中央企业要充分认识到市场环境的变化对企业经营管理的持续影响，处理好风险对企业来说显得非常重要，要积极主动应对各种风险，把全面风险管理工作摆在企业日常经营管理的重要位置。由此可见，我国政府已意识到通过风险管理控制风险的必要性，因此正在积极引导构建以风险管理为导向的内部控制。 本文认为，企业风险存在的固有性以及风险可能导致的巨大危害促使企业必须足够重视风险，并通过必要的措施对风险进行有效的控制和管理，才能降低或消除风险，而作为主要应对措施的内部控制向风险管理导向型发展就显得非常必要了。 企业内部控制的实质就是风险控制和管理。只要企业建立和完善内部控制，实际上就是在进行风险管理。企业如果仅有内部控制这个机制，而无风险管理的意识，则内控管理就是空架子，缺乏灵魂。有了风险管理意识，而无内部控制框架，则风险管理就失去了科学的管理手段，也易形成风险管理目标的缺失。内部控制与风险管理应当是紧密联系在一起的，风险管理是目标，内部控制是相应的对策和手段，二者相互融合构成风险管理导向下的内部控制体系。内部控制不应当局限于会计控制活动，而应该是全面的识别和应对企业面临的风险。企业具备全面风险管理意识并针对各种风险实施有效地内部控制，才能够为企业的长足发展提供有力的保障。 立足于以上对于风险管理和内部控制内在联系的理解，本文中的风险管理视角下的内部控制可以理解为:在现有内部控制理论基础之上，以风险管理理论为导向进行内部控制资源配置和关键控制点设计等活动，集中资源关注高风险业务领域的控制，为企业战略目标的实现提供更多的保障。三、企业集团风险管理与内部控制存在的问题经济全球化进程的不断加快，使得企业集团拥有更多的发展机遇，同时也面临更严峻的风险和挑战。企业只有具备全面风险管理意识并建立起完善的内部控制规范体系，才能够及时识别和防范各种风险，避免或减少风险损失，逐步达到风险预警的效果，为企业的长足发展提供有力的保障。然而，企业并未建立完善的风险管理与内部控制体系。1.企业内部控制环境薄弱（1）内部控制没有得到足够的重视 当前我国的企业中，领导层并未认识到企业内部控制的重要性或者未达到应有的重视程度，使得内部控制是低水平、小范围的，作用仅仅局限于保证财务报告的真实性与可靠性以及资产的安全与完整性，并没有渗透或应用于企业管理过程和整个经营系统。（2）经营管理者激励不足所有权与经营权的分离，是企业所有者与经营者之间出现信息不对称的直接原因。相比所有者来说，经营管理者对企业的运营情况有更深入的了解，也付出了更多的辛劳。然而，相比创造的巨大价值，经营管理者得到的利益通常只占到微小的部分，长此以往，管理能力出众、经营业绩优良的经营管理人员就可能干劲不足，企业就得面临人才流失的风险。（3）没有形成全面风险管理的企业文化良好的企业文化氛围有利于企业各项政策的实施和反馈，将全面风险管理意识融入到企业文化中，员工在工作中就会自觉的执行风险管理制度。从我国企业的现状来看，企业的风险管理意识并没有提到应有的高度，大部分企业没有一个健全有效的风险预警系统，没有形成全面风险管理的企业文化，应对突发事件的能力亟待加强。2.风险评估过程不完善风险评估是企业识别风险并判断发生概率及损失程度的重要阶段。确立合理的风险管理目标、全面准确地识别风险、评估风险发生的概率及损失程度，是风险评估过程的有效组成部分。然而，在实际经营过程中，一些企业并不能够确立合理的风险管理目标，对自身承受风险及损失的能力判断不清，导致风险控制成本过高或不足。在识别风险的过程中，未采用适合企业自身特征的方法。估量风险发生概率及损失程度时存在严重的人为判断因素。总之，企业亟需优化风险评估过程，建立起科学的风险管理体系。3.缺乏有效地内部控制活动良好的内部控制体系依赖于有效地控制活动。目前我国大多数企业内部没有建立决策、执行、监督三权分立、互相制约的机制，内部控制独立性不强，内控管理权限失控，在实际工作中，制定的内部控制制度不能执行到位，不相容职务没有有效分离，职责不清，越权行事，滥用职权等造成企业内部控制并不能有效地发现问题和解决问题。4.信息与沟通机制不够健全 有效地信息共享与沟通能够大大提高企业的运营效率。企业的整个业务流程都蕴藏大量的有用信息。信息技术部门可以根据业务需要甄别整个业务流程各层次信息的有用性并保证信息传递的时效性，保障相关联的业务部门能够及时得到有效地信息共享和支持服务。但问题是，一些企业的信息技术部门缺乏可靠的人才，技术能力有限，在系统的设计、运行和维护上效率不高。一些企业虽然已建立起良好的信息管理系统，但是在运行过程中仍然是由人为操控，访问权限不明确，存在信息泄露的风险。同时，企业也应当在沟通环境、沟通渠道和反馈等方面加强，建立起有效地企业内外部的沟通机制。5.内部监督作用未得到应有的发挥 企业是否有必要的内部监督体系、是否发挥应有的作用，对内部控制措施是否得到有效执行影响非常大。内部审计机构和监事会是内部控制的两大监督资源。企业应当明确这两个机构的职能并充分发挥内部监督机构的重要作用。然而，在实际经营过程中，一些企业的监督机构受制于管理层，独立性无法实现，根本无法起到应有的监督作用。现实中出现的高管舞弊现象此起彼伏，这在一定程度上说明了企业内部监督机构的作用有待于加强。四、加强我国企业集团风险管理和内部控制建设的建议1.改善企业内部控制环境（1）加强董事会的管理职能 只有企业领导足够重视风险管理和内部控制，才能够保证内部控制的措施能够得到有效地执行。董事会所掌握的决策权对公司的长期发展起着重要的作用，企业的成功在很大程度上取决于董事的能力和董事会的效率，因此董事会应该对企业的经营负最终的责任，本文认为可以从完善董事会结构、明确董事会职责和发挥独立董事作用、提高董事会的独立性等方面来强化董事会的管理职能。例如，在董事会下直接设立执行委员会监督内部控制措施的执行，是保障内部控制制度得到良好执行的有力保障。（2）完善经营管理层的激励与约束机制 股权激励制度的实施可以有效解决公司经营管理者激励不足的难题。股票期权给管理能力出众、经营业绩优良的企业经营管理人员提供丰厚的利益回报，起到了明显的激励效果，使实施股权激励计划的公司业绩显著。由于股权激励制度将经营管理者的远期收益与企业的长远发展结合起来，这在很大程度上可以避免经营管理者的短期行为，减少道德风险和逆向选择。同时，企业所有者应当关心经营管理人员的发展，为优秀的管理人才提供优良的发展平台。（3）培育全面风险管理的企业文化 企业应当树立全面风险管理意识，培育优良的风险管理文化，调动广大员工的积极性，提高公司知名度，以促进风险管理与企业文化的融合，发挥企业文化在风险管理与内部控制中的作用。2.优化风险评估过程企业应该健全风险管理体系，如明确设定风险管理目标，合理协调各目标之间的关系；建立事项识别流程，引入故障树分析法、环境分析法等事项识别方法；合理运用定性定量风险评估技术，提高风险评估水平；树立科学的风险管理观，根据企业环境变化和经营实际，建立风险应急系统以提高风险应对效果。3.实施有效地内部控制措施 企业集团应当充分建立决策、执行、监督三权分立、互相制约的机制，明确内控管理权限，充分发挥财务人员和审计人员的作用，保证内部控制的独立性，施行完善的内部控制措施。企业的整个业务流程可以由以下几大循环概括：销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环。企业的内部控制部门可以通过分析和评估企业几大业务循环的具体层次，找出关键控制点，并有针对性地设计相关的内部控制措施。通过一段时间的检验与评价，再有针对性的进行修正，使得内部控制措施能够与企业的实际经营状况相结合，建立起完善的内部控制体系。通过业务循环建立和完善的控制活动，更贴合企业实际，有利于企业整体内部控制水平的提高和内部控制措施的贯彻执行。4.建立和完善有效的信息沟通机制本文认为，企业应当吸纳优秀的信息技术人才，缔造完善的信息沟通系统，明确访问信息系统的用户权限，保证相关联部门及人员能够根据需要获取足够的信息来开展工作。此外，企业应当注重培养企业员工的集体意识和责任感，确保企业相关信息的安全。同时，企业也应当创造良好的沟通环境，为企业内外部的相关人员提供丰富优质的沟通渠道，倾听不同的声音，逐步建立起有效地企业内外部的沟通机制，并能够及时作出反馈和整改，这是企业做大做强的助力。5.发挥内部监督的作用 企业应明确内部审计机构和监事会这两个机构的职责，增强内部审计的独立性，进一步扩展以风险为导向的内部审计功能；同时也要明确划分独立董事和监事会的职责与关系，确保监事会的知情权，完善监事会制度，切实发挥监事会的作用。参考文献1 COSO I I. Enterprise risk management-integrated frameworkJ. Committee of Sponsoring Organizations of the Treadway Commission， 2004.2 Ge W, McVay S. The disclosure of material weaknesses in internal control afte