内部控制风险识别范文

栏目：文库百科作者：文库宝发布：2023-12-02 11:14:11浏览：493

内部控制风险识别

内部控制风险识别篇1

[关键词] 企业财务；风险识别；内控管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 03. 009

[中图分类号] F275 [文献标识码] A [文章编号] 1673 - 0194（2017）03- 0018- 03

0 前言

企业财务风险是指由于各种无法预料或难以控制的不确定因素导致企业在市场经济运作过程中预期的经营成果与实际结果存在偏差，进而使企业收益率降低。对企业来说，时刻都伴随着财务风险，极大制约了企业的持续发展。因此，只有有效识别财务风险，分析风险形成的主要原因，并采取有效的解决措施，才能最大限度防范财务风险，提高企业的整体竞争力。

1 当前企业财务风险的主要表现形式

1.1 筹资风险

企业的发展离不开资金的筹集，大多企业通过发行股票、发行债券、吸引投资等方式进行资金筹集[1]。同时，企业必须支付股利、利息，偿还贷款，支付其他筹资费用。而企业只有在正确的决策与有效的管理下才能达到预定的经营目标。但在实际条件下，市场情况复杂多变，随时会导致企业决策失误，进而造成资金配置不合理，影响企业筹资的实际效益，最终引起筹资风险。

1.2 投资风险

投资风险是指在投资过程中或投资完成后，投资方由于经济损失或不能收回投资，无法现预期收益的可能性，进而影响企业盈利水平与偿债能力的风险。这主要表现为五个方面：一是市场调研有误，导致产品上市后滞销；二是投资项目的工艺技术尚不成熟，可行性低；三是投资项目规划过大，行业过度扩张或难以控制管理；四是在负债率过高的情况下负债经营，导致债务负担沉重；五是技术、市场等条件发生变化造成企业投资项目无法达到预期收益的目标[2]。

1.3 资金回收风险

这是指企业在产品销售、存货数量、贷款回收、信用政策等方面管理不善，导致财务损失的可能性。具体表现为到期无法收回货款以及相关利息费用。

1.4 收益分配风险

这是指由于收入分配不合理导致财务状况出现问题的可能性。不合理的收益分配政策会使企业偿债能力下降，打击投资者与员工的积极性，增加企业的经营风险，进而引起财务风险。具体表现在股利发放与积累之间的矛盾。

2 造成企业财务风险的主要原因

2.1 宏观经济环境与政策的影响

随着全球经济一体化进程的加快，市场竞争日趋激烈，企业面临着更为复杂多变的国内外形势。不管是为了长期发展还是实现阶段性目标，企业的经济效益都会受到宏观经济发展周期、市场经济变化、物价波动等因素的影响[3]。同时，国家出台的经济政策也在很大程度上影响着利率水平、税收利率、消费信贷等。这些政策的变动会引起企业持有资本的变动，进而导致企业财务收支的不确定性。

2.2 企业内部控制乏力

目前，国内不少企业管理水平不高，内控管理不健全，存在不少问题，如管理混乱、岗位设置不合理、资源配置不科学、操作不规范、生产浪费等。还有部分中小企业为了节约成本，仅由一人负责会计、出纳、保管等工作，进而增加了财务风险。另有一些企业财务管理流程不规范，员工在操作过程中过于随意，甚至可以弄虚造假，让企业蒙受财产损失。

2.3 内部审计未充分发挥作用

内部审计在企业财务管理中发挥着重要的监督作用。很多企业虽有内部审计制度，但制度较为滞后，无法满足当前企业内部审计工作的要求。同时，不少企业未设立独立的组织机构，致使内部审计缺乏独立性，审计工作常常流于形式，审计效果差。

2.4 财务人员专业素质有待提高

财务人员素质不高是很多企业财务风险管理中面临的一个难题。大多数财务人员专业知识有限，只局限于应付进账、报账等简单的财务管理活动，而对于财务风险评估、预测等工作缺乏了解，不能满足企业财务风险管理工作的要求。近年来随着财务电算化的发展，要求财务人员熟练应用财务管理软件、信息技术，但不少财务人员由于年龄偏大、知识层次低，对新知识、新技术的接受度不够，从而影响到企业财务管理水平的提升。

3 加强对企业财务风险的内控管理

3.1 增强财务风险意识，实现财务风险内部管理的规范化

首先，在企业投资决策过程中必须增强风险意识，要从企业长远利益出发，并结合企业的实际发展状况制定有效的投资方案。其次，要充分考虑到影响决策的相关内外因素，利用市场调研、市场预测、可行性研究、定量分析、科学决策模型等手段为正确决策提供有力的数据支撑，尽量减少投资风险，防止决策的主观性与盲目性[4]。第三、提高员工的风险意识，尤其是企业管理者与财务人员的风险管理意识。通过教育培训与有效的管理机制，学习先进的风险管理理念与财务管理知识，严格遵守财务工作规范，进一步提高财务风险管理水平。同时，在企业内部加强宣传教育，引导员工树立风险意识，主动抵制财务风险。

3.2 构建财务风险预警与管控体系

首先，企业应建立健全风险指标评价体系，针对企业中潜在的财务风险，完善风险评价机制，重点对潜在财务风险进行评估分析。其次，实现对财务风险的动态监控管理。对企业生产经营管理中的财务活动实行动态监控，追踪财务风险的动态发展情况，并及时反馈给有关部门做好应对准备。第三，企业应尽快建立财务风险预警与应急管理机制。针对企业自身的财务现状，合理评估潜在的财务风险，制定相应的风险应急预案，做到防范于未然。第四，若条件允许，企业可考虑与上下游企业共建风险抵御联盟。通过企业间的生产合作，尽量规避由于市场环境波动而引起的风险问题，如材料短缺或供应商变动等。

3.3 重视内部管理，加快资金周转速度

企业要加强内部管理，适当增加或减少负债资金的比例，并适时调整企业的资金与资产的结构，实现企业资源的最优配置，确保资本结构的合理性，从而实现企业利益的最大化。此外，还应构建一套全面、有效、系统的应收账款体系，充分利用计算机软件，实现会计电算化管理。同时，加强对应收账款的预测、防范与管控。最后，加强存货管理，在保证生产与销售正常运作的基础上，将存货总成本控制在最低水平。

3.4 重视对现金流量的预算控制

企业在日常财务管理中必须重视对现金流量的预算控制。抓好对现金的日常管理能避免现金闲置或流失，从而确保企业资金的安全与完整性。同时，还能提高企业资产的流动性与债务的可清偿性，从而使资金收益率增加。通常来说，企业可利用F金流量预算来实现对现金流量的有效控制。比如，可采用“以收定支，与成本费用匹配”的方法来进行现金流量预算的编制，并采用零基预算的编制方式，通过收付实现制来反映现金的流入与流出情况。然后，经多次的汇总、平衡，进而生成企业年度现金流量预算，再以此为依据确定分时段的动态现金流量预算，实现对企业现金流量的动态控制[5]。

3.5 抓好财务队伍建设，提高财务管理水平

随着财务风险的多元化与隐匿化发展，对财务人员的专业素养提出了更高的要求。因此，企业要重视财务队伍建设，加强日常教育与培训，让财务人员学习最新的财务管理知识与风险防控方法，增强风险意识与责任意识，严格按流程操作，不断提高自身的履职能力。同时，加强职业道德教育，提高财务人员的法律意识与职业意识，使其在工作中主动遵纪守法，抵御不良诱惑，严格按规程办事。

4 结语

总之，面对纷繁复杂的市场变化形势，企业要想获得持续发展，必须增强财务风险识别能力，进一步完善内部控制管理机制与财务风险预警机制，及时发现企业财务管理中潜在的风险因素，并做好应对措施。这样才能尽量规避各种财务风险，为企业的长期健康发展提供保障。

主要参考文献

[1]李书科.企业财务风险的识别与内部控制[J].现代经济信息，2013（21）：188.

[2]梁志红.企业财务风险的识别与内部控制[J].价值工程，2012（12）：103.

[3]庄东华.交通运输企业财务风险识别与防范策略[J].行政事业资产与财务，2013（16）：40-41.

[4]纪振英.浅析企业财务风险的表现形式及识别方法[J].财经界：学术，2009（9）：53-54.

内部控制风险识别篇2

关键词：内部控制风险投资风险识别影响因素

风险投资对于促进高技术产业的发展具有很重要的作用，但是风险投资面临着很大的风险和不确定性。高风险、高收益是高新技术项目投资最显著的特点。由于风险投资面临的高不确定性和高风险，在风险投资公司实行内部控制、控制投资风险便成为了成功投资的第一要素。要对风险进行控制，首先要识别影响风险的因素。

一、内部控制的风险识别

1.内部控制的作用

内部控制系统有助于企业达到自身规定的经营目标。随着社会主义市场经济体制的建立，内部控制的作用会不断扩展。目前，它在经济管理和监督中主要有以下作用：提高会计信息资料的正确性和可靠性；保证生产和经管活动顺利进行；保护企业财产的安全完整；保证企业既定方针的贯彻执行；为审计工作提供良好基础。

总之，良好的内部控制系统可以有效防止各项资源的浪费和错弊的发生，提高生产、经营和管理效率，降低企业成本费用，提高企业的经济效益。

2.内部控制下风险识别基本要求

根据《企业内部控制基本规范》，企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，并确定相应的风险承受度。

企业识别内部风险，应当关注下列因素：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、经营方式、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、经营成果、现金流量等财务因素；营运安全、员工健康、环境保护等安全环保因素；其他有关内部风险因素。

企业识别外部风险，应当关注下列因素：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要求等法律因素；安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改进等科学技术因素；自然灾害、环境状况等自然环境因素；其他有关外部风险因素。

二、风险投资公司投资风险影响因素

1.风险投资公司投资风险的特征

任何投资都存在风险，但是风险投资项目不同于一般的投资项目，其风险特征也不同于一般投资的风险。这些特征主要有：（1）风险的高概率性；（2）风险出现的不确定性；（3）风险出现的规律性；（4）项目风险的可控制性；（5）风险与收益的辩证统一性。

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要有一定的职业判断，企业应当根据自身经营特点和所处行业环境，从业务事项的性质和所涉金额两方面来考虑是否及如何实行重点控制。根据内部控制的重要性原则，结合风险投资公司特有的运作机理，对风险投资公司内部控制的重点应该为对风险投资公司投资风险的控制，要控制风险，首先要完成风险识别工作。

2.风险投资公司投资风险影响因素

根据以上分析以及内部控制对风险识别的要求，从内部影响因素和外部影响因素两个方面来分析影响风险公司投资风险的因素。

（1）内部影响因素分析

①风险投资公司管理因素

主要包括：a.风险投资公司的资源条件；b.风险投资公司组织机构和管理能力；c.投资分析能力。

②风险企业管理因素

在风险投资项目运作的过程中，缺乏管理能力将使风险显著提高，好的管理对项目风险的降低有很大的影响。管理因素主要体现在以下四个方面：a.管理者的道德素质；b.管理者的能力；c.管理制度的健全程度；d.组织结构。

③技术因素

风险投资项目大多数投资于高新技术产业，技术因素直接关系到风险投资企业的竞争力。技术是否可行直接决定着技术风险的高低。技术因素主要体现在以下方面：a.技术成熟度；b.技术的先进性；c.技术的适用性；d.技术的可替换性。

④产品因素

风险投资项目的产品因素很大程度上决定着产品的市场占有率。产品风险是指与投资项目产品有关的不确定性所带来的风险。产品风险主要有以下几个方面：a.产品进入目标市场能力；b.产品的性能价格比；c.产品可替代性；d.产品更新换代能力。

⑤生产因素

主要包括以下几个方面：a.生产资源供应保障；b.设备、仪器适用性；c.企业的生产组织能力。

（2）外部影响因素分析

①政治因素

主要包括：a.国内政治环境；b.国际政治环境。国内政治环境是国际政治环境的延伸，国际政治环境又影响和制约着国内政治环境。不论国内还是国际政治环境的变化都将影响高新技术项目投资的风险。

②经济因素

主要考虑以下因素：a.社会经济发展状况；b.国家发展规划；c.地区发展规划；d.通货膨胀程度及趋势。

③政策因素

政策风险是指因国家政策发生重大变化而引起市场价格波动而产生风险。政府出台的有利和不利政策，有何鼓励和优惠，有何限制，有何约束，正反两方面因素都影响风险项目投资的风险。国家的宏观政策主要包括：a.货币政策；b.财政政策；c.行业政策和地区发展政策。

④市场因素

风险投资项目的市场因素直接关系到投资项目的投资风险。市场因素主要体现在：a.市场容量；b.市场竞争状况；c.市场需求状况；d.目标市场定位的准确性。

参考文献：

[1]冉俊敏.风险投资中的风险控制理论研究[M].西南财经大学，2012.

[2]企业内部控制基本规范.财会（2008）7号

内部控制风险识别篇3

【关键词】内部控制; 风险评估; 管理策略

为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。该规范自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。我国《企业内部控制基本规范》提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督等五项,并在《基本规范》中单辟一章,就风险评估的有关内容进行了规定。这说明国家和企业已经意识到风险评估在企业内部控制中的重要作用,那么企业应该从哪些方面来加强识别企业风险,建立风险评估系统,进一步改善内部控制呢?

一、国内外企业风险评估体系研究综述

国外对内部控制的研究已有很长的历史。1988年美国注册会计师协会《审计准则公告第55号》,该公告提出内部控制结构的三个要素:控制环境、会计制度、控制程序。进入90年代以后,COSO提出《内部控制―整体框架》的报告,将内部控制分为控制环境、风险评估、控制活动、信息与沟通和监督五个部分,实现了内部控制由三要素向五要素的飞跃。自此风险评估被纳入内部控制系统之中。最新内部控制研究结果表明,内部控制与风险管理愈发趋向目标一致,某些内容也有较大重合,COSO也于2001年起着手进行风险管理研究,从最初的将风险评估作为一个要素纳入内部控制整体框架中到目前的着手进行风险管理研究,足可以看出内部控制与风险管理的趋同性和风险这一因素在内部控制中的作用和地位越来越重要。

近年,我国理论界和实务界越来越重视内部控制的研究和应用,学者们在理论观念的引进和研究方面做了大量的工作。由财政部、证监会等五部委联合的我国第一部《企业内部控制基本规范》就是很好的证明。

二、进行内部控制风险评估研究的现实意义

史学家汤因比曾说过:“一个国家乃至一个民族,其衰亡是从内部开始的,外部力量不过是其死亡前的最后一击”。企业的存亡又何尝不是如此呢。既然一个企业的衰亡也是从其内部开始的,那若要寻求企业的生存发展之路就必须从其内部抓起,内部控制正是基于这一点才得到了世界各国理论界和实务界的重视。同时,市场经济从微观角度来说是一种风险经济,企业作为市场的基本单位时刻置身于风险之中,越是开放发达的市场经济,其中蕴藏的风险和不确定性越大。随着市场经济的发展成熟和市场开放程度的加大,风险己经成为企业关注和管理的焦点,作为企业内部管理核心的内部控制要想发挥其应有的作用,必须不断充实和发展,以求跟上市场发展的步伐,正是基于这个基础,风险的概念逐步进入了内部控制的范围。减轻或避免风险是内部控制活动的目标,各种风险因素是内部控制的对象。所以,企业要实施有效的内部控制,就要识别和衡量它所面临的风险及其风险因素,这是采取有效控制活动的依据和前提,这里的识别和衡量风险就是风险评估。目前COSO整体框架和我国《企业内部控制基本规范》把风险评估作为一项基础要素纳入到内部控制框架之中,这一发展是理论顺应客观实际发展的必然结果。

进行内部控制和风险评估研究具有重要的现实意义:内部控制的缺失和不健全是导致会计舞弊泛滥的根本原因之一;内部控制制度的极度缺失和对风险的忽视是导致我国企业生命周期短的根本原因; 国有企业改革的成功离不开健全的内部控制制度及风险的管理和控制;风险评估是内部控制制度设计控制活动和发挥应有作用的基础。

风险评估是内部控制系统的基础组成部分,要使控制制度发挥其应有的作用,企业必须清楚所面临的风险,并对整个企业的风险进行定性或定量的评估,然后针对风险评估的结果采取相应的控制活动。其实内部控制也就是风险的管理与控制活动,如果毫无风险,也就不需耗费大量的人力财力物力去搞什么内部控制。既然风险的存在是控制的原因所在,进行风险评估就成为整个内部控制制度的基础和关键。无论是从国际大环境来看还是从我国的具体情况出发,内部控制的研究和应用都是非常重要的。但是,作为有效实施内部控制的基础条件的风险评估却还没有得到足够的发展,研究会计和审计的人都早已熟知制度基础上的审计,但风险基础上的控制观念还是个新概念,还没有建立起比较完善的体系。因此,进行内部控制和风险评估研究无疑具有非常重要的现实意义。

三、风险评估体系的构建

鉴于风险评估在我国内部控制中的运用,笔者认为可以通过以下几个步骤来建立风险评估系统。

(一)确定全面风险管理目标

风险是指企业在未来经营中面临的、可能影响其经营目标实现的所有不确定性。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。全面风险管理是指企业围绕总体目标,制定风险管理策略,在企业经营管理的各个方面和业务过程中的各个环节进行风险管理的基本流程,落实风险理财措施,培育良好的风险管理文化,建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。

企业目标是企业宗旨的具体化,是企业各项业务和管理活动所指向的终点。企业风险管理的首要任务,就是确定目标。只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。确定全面风险管理目标要做到:企业风险管理目标的确定应与员工沟通;企业计划和预算与风险管理目标、战略计划及当前情况具有一致性;业务活动风险目标要具体;领导层参与制定企业风险目标并对其负责。

(二)收集风险管理初始信息

实施全面风险管理,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。

1.在财务风险方面,企业至少收集以下信息

(1)负债、或有负债、负债率、偿债能力。(2)现金流、应收账款及其占主营业务收入的比重、资金周转率。(3)应付账款及其占购货额的比重。(4)成本和管理费用、财务费用、营业费用。(5)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。

2.在市场风险方面,企业至少收集以下信息

(1)产品的价格及供需变化。(2)产品供应的充足性、稳定性和价格变化。(3)主要客户、主要供应商的信用情况。(4)潜在竞争者、竞争者及其主要产品情况。

3.在运营风险方面,企业至少收集以下信息:

(1)新市场开发,市场营销策略。(2)企业组织效能、管理现状、企业文化,中、高层管理人员和重要业务流程中专业人员的知识结构、专业经验。(3)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。(4)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵。(5)企业风险管理的现状和能力。

企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。

(三)风险识别

企业风险的识别应当以一种系统方法来进行,以确保公司的所有主要活动及其风险都被囊括进来,并进行有效的分类。根据企业实际情况和技术水平,风险识别主要以定性识别方法为主,适当结合定量识别方法,同时根据业务发展和管理水平的不断提高,逐步引进和加大定量识别方法。

企业应选择适当的风险识别方法,保证风险识别的规范性和科学性,具体措施有:

1.建立科学的风险识别方法体系,对企业和各职能部门随时关注企业活动中存在的风险提供指导。

2.对风险识别方法进行规范化和制度化,确保企业和各职能部门使用统一的识别方法体系对风险识别结果进行描述。

3.利用历史事件诸如违约支付、产品价格变动等,关注未来事件诸如人口变动、新市场条件以及竞争者行为等对风险进行趋势分析和关注。

4.建立损失事件数据库,通过事件列表、事件分类、内部分析、推动讨论和会谈、流程分析等方法进行风险识别,确定风险因素发展趋势和根源。

(四)风险分析

企业风险分析评估的方法多种多样,采用定量分析方法,特别是利用数学模型进行风险分析,可以使风险管理建立在科学的基础上,并为最终的决策提供可靠的依据。风险分析及度量,需要充分地获得企业在历史年度内发生的各种风险的次数以及所导致的损失,统计时段越长,风险评估的准确性越高。风险评估不仅要了解历史上各种风险发生的频率,还要充分考虑风险的客观环境是否改变,如果有变化,就要在历史数据的趋势分析上进行修正。在实际操作中,许多风险发生的可能性实际上难以量化,它们至多只能定性地被描述为“大的”、“中的”、或“小的”风险。

企业在分析风险发生的可能性(或频率、概率)和风险发生的条件方面,可采取如下措施:

1.企业基于风险识别的结果对风险的发生概率进行分析评估,选择采用诸如预期估计或情况评价等术语来表达潜在的可能性,或采用数据或图表的形式来描述和评价风险发生的概率。

2.企业建立风险分析模型,通过关键风险指标管理方法、压力测试和情景分析等定量技术手段和会谈、工作组会议等定性评价技术对风险发生的条件因素进行分析,以确定风险发生的具体条件。

3.企业自查与外部检查、事前与事后检查相结合。

4.企业引进技术手段,由日常业务数据、财务数据入手,按照既定的模型做预警提示。

(五)风险评价

企业风险评价是在风险识别、风险分析的基础上,评估风险对企业可能产生的影响以及确定风险的重要性水平的过程。企业风险评价包括两个方面的内容,即分析风险可能产生的影响和确定风险的重要性水平。企业风险评价通常是和风险分析同步进行的,因而其方法也和风险分析相同。

企业风险评价的控制措施有:

1.企业对于重要事项面临的重要风险可能带来的重大影响,应当通过定量分析技术,确定各种可能性造成影响的数量,从而为企业采取恰当的风险对策提供科学的依据。

2.企业应当按照风险可能带来的影响程度的大小,对风险进行排序,明确重要风险和一般风险。

3.企业应当对重要风险予以特别的关注,避免重要风险可能给企业带来的重大损失。

(六)风险管理策略

一般情况下,对战略、财务、运营和法律风险,可采取风险承担、风险规避、风险转换、风险控制等方法。

1.企业针对各种风险建立确定风险应对措施的程序和方法,对具有较高发生概率、影响重大的风险优先考虑。

2.建立一套广泛适应的风险决策判断标准,即根据风险严重程度和企业的风险承受程度确定不同的决策。

3.企业对降低风险水平所需成本进行合理分析,评估风险应对措施的成本与效益。

4.企业选定风险处理措施后,根据剩余风险重新校订风险。

5.企业要持续获得风险变化信息,有效地控制、管理风险,防范新风险的产生。

6.对重要风险进行实时监控。

四、结论

企业风险评估是一个持续反复的过程,一次风险评估并不能一劳永逸。企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,根据情况的变化及时调整风险应对策略,以避免由于原来选择使用的风险应对策略无效而影响内部目标的实现。特别是当企业经营活动所处的外部环境发生变化时,企业必须保持应有的灵敏度,针对变化的外部环境进行相应的风险评估,以使企业的目标在变化了的外部环境中得以实现。我国企业只有建立比较完善的风险评估系统,才能真正完善我国企业的内部控制,真正促进我国企业的进一步发展。

【参考文献】

[1] 李玉环.内部控制中的风险评估[J].会计之友,2008 (10).

[2] 马宏杰.企业内部控制制度存在的问题与对策[J].财会研究,

2007(4).

[3] 印发《企业内部控制基本规范》的通知[J].安徽水利财会, 2008(4).

内部控制风险识别篇4

关键词：企业风险风险管理内部控制

在全球经济一体化的大背景下，企业间的国际竞争加剧，面临的风险也更加多样化。金融危机的发生导致很多企业成了金融危机时代的牺牲品。我国企业想要在激烈的竞争中生存并且健康发展，必须提高企业竞争力，从内部完善自己，加强企业管理，建立完善的内部控制制度，找到适合我国企业的内部控制和风险管理制度，识别和衡量企业面对的内外风险以提高企业的竞争能力，实现企业的价值已成为了企业当前最迫切的事情。

1. 企业风险管理的基本内容

风险管理是研究风险发生规律和风险控制技术的一门新兴管理科学，是指风险管理单位通过风险识别、风险衡量、风险评估和风险决策管理等方式，对风险实施有效控制和妥善处理损失的过程。风险管理作为一门新兴学科，具有管理学的计划、组织、协调、指挥、控制等职能，同时又具有自身的独特功能。

COSO委员会在《企业风险管理框架》中也对风险管理做出了规定，它指出：全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，从企业战略制定开始贯穿至企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业既定的目标。”风险管理包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督八个互相影响的因素。

2.企业内部控制与风险管理的关系

2.1企业内部控制与风险管理要素有机融合

COSO的两个框架实现了内部控制5 要素（应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素）与风险管理8 要素（内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督八个互相影响的因素）的有机融合，通过强化内部控制环境，明确企业内部控制系统的层级制度和相应责任，增强企业全员应对风险的主体意识，促使管理层在充满风险的环境中更有效的运营。

2.2企业内部控制与风险管理两者目标趋同

COSO《内部控制―整合框架》提出了运营、财务、合规三个方面的内部控制目标，是由企业董事会、经理阶层和其他员工制定和实施的，为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标。COSO《企业风险管理一一整合框架》在上述三类目标的基础上增加了战略目标。风险管理的目标由两个部分组成：损失发生前的风险管理目标和损失发生后的风险管理目标，前者的目标是避免或减少风险事故形成的机会，包括节约经营成本、减少忧虑心理；后者的目标是努力使损失的标的恢复到损失前的状态，包括维持企业的继续生存、生产服务的持续、稳定的收入、生产的持续增长、社会责任。二者有效结合，构成完整而系统的风险管理目标。

2.3风险是内部控制产生和发展的主要动力

现实生活中存在着很多的不确定性，不确定性是指经济行为者在事先不能准确地知道自己的某种决策的结果，或者说，只要经济行为者的一种决策的可能结果不只一种，就会产生不确定性，所以风险总归是存在的，需要对其进行控制。有效的内部控制对于在确保一定目标实现的方面所发挥的作用是不言而喻的。内部控制能够降低风险，并且应该随着风险的变化而变化，没有一种一成不变的内部控制体系能够应对所有的风险，风险的存在要求有与之相适应的内部控制。另外内部控制的存在还要有利于提高企业内部的管理效率，促进公司价值最大化目标的实现。

2.4内部控制是风险管理的必要环节和有效手段

2006年，国务院国资委颁布的《中央企业全面风险管理指引》中指出，风险管理的单个决策包括：风险承受、风险分担、风险规避、风险转移、风险降低、风险转换、风险对冲、风险补偿和风险控制等，同时也明确了两种风险管理方案：风险管理解决的外包方案和内部控制方案。其中风险降低是指采取适当的控制措施来降低风险，而风险分担是指借助他人的力量和控制措施将风险控制在企业能承受的范围之内。这两者都说明了内部控制是风险管理的有效手段。

内部控制主要是从风险控制的方式和手段说明风险管理的，风险管理就是从风险控制的目的来说明内部控制的。风险管理着重了对风险的分析、识别和应对。总之，风险管理应该是当前经济条件下对内部控制的完善和提升，从而更加丰富和拓展内部控制的内涵和外延。

3.当前我国企业风险管理存在的问题

3.1企业内部控制的基础控制环境不完善，使风险识别与评估受阻

对于控制环境的把握是实行内部控制的基础和前提，这对于企业制定战略目标和计划、组织业务经营活动和对风险进行识别都影响甚大。但是我国企业普遍存在着不重视内部控制环境的改善的问题，内部控制环境紊乱的现象严重。

3.2内部控制的机构体系不合理，公司治理结构不规范

许多企业的内部控制制度只是形式主义，形同虚设，并没有真正的实施，即使有实施，它所起的作用也不大，不能应对管理层凌驾于内部控制之上的风险，无法制约高层管理者。公司治理结构不规范，不能有效制衡管理层的强大权力，董事会没有或者不能负起监督管理层的责任，企业管控模式的不合理，无法有效控制企业风险，组织结构设计不合理，不能建立有效的内控和相互制衡的机制；此外企业还存在人情味太浓，内部人员之间缺少必要的沟通，信息反馈滞后等严重不合理的状况，需加强治理和改善。

3.3风险管理意识淡薄，管理水平低

企业面临的风险具有多样性，主要有市场风险，运营风险、信贷风险、法律风险、管制风险等等。目前，企业普遍存在缺乏风险管理意识的情况：第一没有风险事项的识别机制去识别风险，只是被动地等到风险出现以后才想着如何去补救和应对; 片面追求发展速度，制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险；第二没有适当的风险评估体系，无法知道面临的风险所能带来后果的严重程度，导致了企业面临更大的不确定性，而增加了实现企业价值最大化目标的难度; 第三缺乏包含决策、管理和具体执行层在内的完整的风险管理组织。内部审计限于财务报表审计和经济责任审计，缺乏对风险管理情况的检查和监督；第四没有适当的风险应对机制，企业不会提前预测风险，也就不会有可能的应对措施来在第一时间进行解救困境，还只是停留在出现问题然后解决问题的事后弥补状态。

3.4缺乏风险管理体制

缺乏系统的风险管理体制，没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中，无法识别影响企业达标的风险，进而无法对风险进行监控及管理。

4.改进内部控制，加强风险管理的措施

4.1加强对控制环境的关注度，提高控制效率

企业的经营目标是企业的价值最大化，所以经营过程中会受到成本效益原则的制约，不可能很全面地考虑到内部控制的各个方面，因此只能抓住关键的控制点才能建立有效的控制制度，所以就需要对经营业务活动中容易产生风险的环节以及其他对企业产生重大影响的环节加以控制，培养员工的风险管理意识并强化他们的责任意识，及时对内部控制制度的有效性做出评价。另外因为我们国家证券市场处于转轨阶段，大部分企业的股权结构异化，公司治理状况令人堪忧，没有真正得到实施，应该加强企业的公司治理的建设，建立经营管理层权力的相互制衡以及相互监督的体系，从根本上改善企业的内部控制环境，防止内部风险超越内部控制而对企业的内部控制造成不利影响。

4.2调整企业内部控制机构体系，加强企业治理层面的内部控制

对于管理层凌驾于内部控制之上的风险，我们应该将企业的内部控制进行细分，具体分为经营层面上的内部控制和治理层面上的内部控制，治理层面上的内部控制要能应对管理层凌驾于内部控制之上的风险，建立相应的权力制衡机制和互相监督的管理模式，给员工一定的监督和制约的权利，实现全面的监督，对公司的风险实施全面的控制，更好的贯彻落实内部控制制度。

4.3提高风险管理意识，完善企业的风险预警体系

从风险的视角看的内部控制其特征应该以风险评估为基础，企业应该从整体层面来分析风险的影响效果，选择策略来实现企业价值最大化的目标，企业面对的风险是变化的，企业应当及时掌握客观详细的信息，进行综合分析，取得应采取的针对性的策略，掌握应对风险的主动权，不要只是停留在出现问题才解决问题的时候弥补状态，要做到事前控制，事中控制，事后控制相结合，把风险带来的损失减低到最小，维护企业价值最大化的目标。

4.4建立风险管理型的内部控制体系，提高对风险的应对能力

企业建立风险管理型的内部控制体系，以风险作为切入点和核心实施企业的内部控制，有效指导和约束内部控制制度的制定和实施。在实践中，运用制度、流程和财务等手段，管理和控制业务层面上的运营风险和操作风险，将管理模式与企业的实际情况相结合，充分利用企业的现有资源，更好的发挥风险管理的作用并且健全了企业的内部控制。

参考文献：

[1]吴水澎．萨班斯法案、COSO风险管理综合框架及其启示［J］.学术问题研究,2006,(2)．

[2]谢志华．内部控制、公司治理、风险管理：关系与整合［J］.会计研究,2007,(10)

[3]赖章奎．内部控制与企业风险管理关系之探析［J］.管理观察,2008,(13)．

[4]李雅琴.基于风险管理的企业内部控制探析[J].会计之友,2009,(7).

[5]鲍建青.基于风险管理的内部控制研究[J].经济师,2009,(10)

[6]杜国栋.企业内部控制与风险管理解析[J].经济研究导论,2010,(2)

[7]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理,2010,(3)

[8]肖杰.基于我国企业内部控制改进的财务风险防范分析[J].赤峰学院报,2010,(4)

作者简介：

内部控制风险识别篇5

随着我国市场经济不断发展，提高企业规范运营水平，强化企业风险防控能力，是我国企业面临的新课题。面对新一轮国企改革的深入和企业间竞争的加剧，完善内部控制，提高经营效率，已经成为国企一个突出而又迫切的问题。文章从国有企业内部控制现状入手，深入剖析内部控制存在的问题及成因，并提出了基于风险管理的国有企业内部控制模式的构建。

关键词：

内部控制；风险管理；内部控制模式

伴随着我国市场经济的快速发展，各种体制、模式的公司如雨后春笋般出现，但因缺乏有效的内部管理，部分企业出现了重大风险，如中海油新加坡事件、巨人集团事件、三鹿奶粉事件等，从某种方面来说是内部控制及风险管理不到位造成的。因此强化企业内部控制管理，防控风险发生是企业未来可持续发展的重要选择和出路。

一、内部控制存在的问题

（一）管理体系存在设计缺陷。内部控制制度虚而不实，完全按照内部控制理论制定制度，造成内部控制制度指导性差。同时内部控制范围上略显狭窄，针对发展战略、企业文化，社会责任、内部信息传递等方面缺乏内部控制要求，造成内部控制制度涵盖的内容与成熟的内部控制要求不符。

（二）风险评估缺乏系统性管理。内部风险识别工作并没有全面开展，对于可能发生的重大风险事项及重大事项的风险点，虽也进行了风险的识别，并没有形成统一的识别工作体系。特别是企业在操作业务过程中，涵盖了部分风险点，但并没有形成企业自身的风险识别成果。

（三）内部控制活动过程管理不到位。国有企业虽然具有一定的规章管理制度，但因制度设计缺陷及制度条款粗放，执行弹性很大，造成公司某项工作开展过程中只重视工作结果，忽略过程中带来的遗留风险及过程效率低下、资源浪费等问题发生。

（四）审计部门独立性及业务能力不强。通常国企的审计部实际隶属于公司管理层，从而缺乏一定的中立性，进行内部审计时，会受到管理层影响，从而导致监管不利。国企业务未成体系化，重要业务集中在集团内部的财务审计工作，审计人员素质相对较弱，且企业流程，制度，风险识别存在缺陷，造成审计工作开展的局限性较强，最终无法形成有效的审计结果。

（五）信息传递存在障碍。信息管理职能缺失，造成信息传递受阻，横向纵向的信息沟通都没有有效的流转路径，因受企业文化及管理方式影响，存在很强的信息壁垒，部门之间缺乏有效沟通，本位主义严重，从而造成了企业生产经营因信息不畅而推进缓慢。部分信息存在失真，可能造成经营障碍及决策失误，存在重大经营风险。

（六）缺乏内部控制自评价。内部控制的自评价体系缺失，没有内部控制自评价体系，造成企业内部控制执行缺乏监管体系及后评价，如企业并没有形成内部控制手册，且尚未建立内部控制矩阵及风险矩阵，企业无法根据内部控制手册对内部控制问题进行及时汇总，进而进行自我检验，从而导致企业管理水平得不到有效提高，应对风险能力较差。

二、基于风险管理的内部控制模式构建

（一）风险管理与内部控制的互动机理。从某种程度上来说，风险管理是以内部控制为基础的，其出发点都是保证企业能够平稳有效的进行运转，都是为企业目标体系服务的[1]。风险管理突出了风险过程管理的应用，内部控制突出规范管理的应用[2]。相对于内部控制而言，风险管理增加了一个观念、一个目标、两个概念和三个要素[3]。对应风险管理的需要，企业应该有一个独立负责风险管理的职能部门。风险管理与内部控制比起来，在包括的主要内容的深度，涉及企业管理的领域上，都有所扩大风险管理的发展，是基于内部控制衍生出来的，本身就是建立于原先内部控制框架的基础之上的，是对原有内部控制框架的延伸。

（二）基于风险管理的内部控制模式设计。以内部控制五要素为构建基础，针对这五方面，要在目前基础上予以改善。在体系构建过程中，要结合企业实际情况，将风险管理内容融入到五要素当中，其中扩展内部环境的范围，加入风险管理的机构及功能设置，此外将内部控制中的风险评估扩展为风险管理，将风险事项识别、评估、预警及风险事项的应对统一纳入到风险管理的理念当中。基于风险管理的内部控制，要突出风险管理职能机构的作用，风险管理组织框架在整体内部控制中的布置与延伸，内部控制环境中的组织机构设置，风险管理中的风险识别，评估，建立风险矩阵及风险地图，控制活动中的风险预警与风险应对，监督过程中的风险自评价等，都需要有落地操作执行机构，新的模式中，风险管理机构的独立与职能定位清晰，是风险管理开展的核心所在，目前根据设计，已经将该部门的职能进行了准确定位，发挥其作用，将对内部控制的完善起到至关重要的影响。要逐渐将企业的流程管理体系作为重点进行建设，流程清晰，就能保证有良好的工作方向与执行监督，并可通过流程体系管理，识别各项业务的流程风险点，从而进行有效控制。在风险发生时如何处理风险，归根到底是要有风险意识，预防意识，企业只有具备了风险管理意识，才能够在内部控制过程中及时发现风险，评价风险，解决风险，这同时还要求管理层及员工提高自身素质，能够具备洞察力与判断力，才能将企业打造成为一个具备风险管理文化的企业。

三、基于风险管理的内部控制保障措施

（一）优化内部控制环境。首先，进行核心业务模式优化；其次，制度体系查缺补漏；再次，建立风险管理职能机构；最后，建立评价与奖惩机制。

（二）强化控制活动。加强全面预算工作的全程化管理，是提高内部控制水平的关键环节之一。在公司内部控制体系的建设中，通过流程管理，来完善内部控制的应用；通过信息化固化流程，来规避流程风险事项发生的可能；通过信息化的操作设计，来降低人为产生的不确定风险。

（三）监督与自评价。要保持内部审计部门的独立性，确保内部审计工作不受外在因素或管理层的干涉，确保内部审计具有较高的权威性和独立性。实行风险管理与内部控制双重监管，审计监察部，可对风险管理的执行进行监控，检查并加以反馈，提示管理层解决内部控制存在的风险管理问题。企业应结合自身实际情况，建立合适的内部控制评价体系，以风险矩阵，风险地图及内部控制手册为基础，从内部控制、风险评估、流程风险点和外部监管等四方面建立评价内部控制机制。

参考文献：

[1]金权，唐丽茹.论风险管理与内部控制[J].品牌，2015.7.

[2]王及源.内部控制在企业风险管理中的作用[J].企业改革与管理，2015.6.

[3]赵国粮.关于对企业内部控制与风险管理的研究[J].商，2014.8.

内部控制风险识别篇6

关键词：风险导向内部控制

一、相关概述

当前，企业面临的各种风险和不确定性因素越来越多，财务舞弊现象也屡屡发生，这些问题的发生都会对企业的正常生产运营产生重大的不良影响，产生较坏的社会反应。从表面上来看，这些问题的发生都是由于企业财务管理不到位，实质上却是企业在日常生产管理过程中内部控制失效造成的。在变化多端的市场环境中，企业内部管理的失效极易造成风险管理失控，影响企业管理运营。因此，企业在应对内外经营风险时，必须重视自身的内部控制建设，并积极结合企业风险管理，建立风险导向型的内部控制体系，只有在风险导向下强化企业内部控制，才能及时识别企业经营风险，充分发挥内部控制的监管职能，提升企业适应市场变化的能力以及科学化管理水平。

企业内部控制跟企业风险管理之间存在着必然的联系，尽管当前理论界对于两者之间的包含关系还存在着争论，但是都不否认两者相互交叉，相互联系。加拿大内部控制委员会认为企业的内部控制要想发挥有效作用就必须包含风险识别与风险管控两部分，强调企业内部控制包含了企业的风险管理。相反地，美国在风险管理框架中则明确了企业内部控制是风险管理的一个组成部分，并对原有的内部控制五要素进行扩展，形成具有八要素的风险管理体系。在企业的实际运营管理中，两者是一体的，管理层在实施内部控制的同时不能忽略风险管理，同样在实施风险管理时也不能忽略内部控制。而且随着企业管理层对风险控制的不断重视，内部控制与风险管理在提升企业科学化管理水平方面的互补作用也会越来越明晰。

二、企业建立风险导向下内部控制的必要性和可行性

企业建立风险导向的内部控制体系具有必要性，也具有可行性。企业实施内部控制的目标是为了弥补企业日常管理运用中的缺陷，提升管理效益和效率，但是由于变化的不可预知性以及相应的能力水平限制，企业不可能建立完美的内部控制体系，同样的企业内部控制实施具有成本，企业在实施内部控制必须充分考虑其实施成本与实施效益，因此企业的内部控制常会由于成本过高而存在缺陷。因此，在实施内部控制过程中有必要通过结合企业风险管理来弥补缺陷，实现风险动态管控，将风险管理有机融合到内部控制环境中，再实施内部控制时充分发挥风险识别、风险预警以及风险评估、风险应对的作用，强调内部控制在应对风险中的职能，实现全面控制，提升内部控制的水平和效率。

以此同时，伴随着世界经济一体化的不断加快以及市场经济体制改革的不断深入，企业所处的经营环境正变得日益复杂，企业所面临的风险因素也越来越多，如何让有效识别并应对这些经营风险，并实施有效控制对于每个企业来讲都非常有必要，企业急需建立风险导向下的内部控制体系。

企业内部控制和风险管理都是企业管理的组成部分，两者都是以实现企业战略发展目标为导向，在实施的过程中都是涉及到风险的识别及应对，而且风险管理的内容常常都可以包含于企业内部控制之中，因此企业风险管理中的风险识别、风险评估、风险理念以及风险偏好等都可以有效衔接到企业内部控制之中，正是在这一基础上，企业实施风险导向下的内部控制是具有很大的可行性的。

企业内部控制基本规范中也对企业风险管理作了专门规定，要求企业建立风险导向内部控制框架，这一举措能够适应我国企业的发展情况，符合企业治理的需要，对于完善企业管理，提升管理效率和效益具有重要的现实意义。

三、强化企业风险导向下内部控制的措施

企业应当强化对风险管理的重视，提升企业风险管理文化建设。对企业管理来讲，科学的管理文化氛围具有重要意义，现代企业要想有效应对内外经营风险，需要重视企业风险管控文化建设，提升管理层对风险管控的重视，只有这样才能将风险管控积极融合到企业内部控制之中，自觉地在管理过程中识别风险、评估风险、应对风险。良好的风险管控文化氛围是企业有效实施风险导向内部控制的重要保证。

科学界定企业风险管理与内部控制，建立有效的风险导向内部控制。之前对于内部控制的研究视角大都是基于会计或者是审计，视角不够宽泛，企业在实施风险导向内部控制时候应当明确风险管理与内部控制的界定，尽量避免研究视角过于狭窄，这样就可以提升内部控制的实际效能，防止内部控制风险管理流于形式，不能有效发挥其应有的作用。同时企业的内部控制与风险管理还应当积极结合发展实际，明确定义其衡量标准，逐步建立健全风险导向内部控制体系，保证其在应对风险、提升管理方面的有效性。

严格执行企业风险导向下内部控制的各项措施。企业在日常的管理运用中，风险管理、内部控制能否有效发挥作用，切实管控好营运风险，关键点在于企业所制定的风险导向内部控制能否有效实施。如果企业在具备风险管控意识和内部控制理念之后，制定了科学合理的内部控制体系，但是在实际中却不能将其付诸于实践，那么企业内部控制以及风险管理就难以发挥有效作用。因此，企业必须将风险管理、内部控制紧密联系起来，将其运用到实践中，相互补充、相互利用，尽量避免内部控制、风险管理流于形式，只有这样才能最大程度上保证企业风险导向内部控制的有效实施。

总之，在不断变化的企业运营环境中，企业有必要建立健全风险导向下的内部控制体系，企业应当积极结合实际情况和行业特点，建立符合本单位的内控体系。只有这样才能进一步提升企业科学化管理水平，增强企业内部控制的效率和效益，为企业健康有序发展提供保证和支持。

参考文献：

[1]张桂玲.基于“大”风险管理的内部控制研究[J].会计之友.2009.6

内部控制风险识别篇7

【关键词】风险评估；上市公司；风险控制

中图分类号：F832文献标识码：A文章编号：1004-5937（2014）19-0067-04

一、引言

在日益激烈的市场竞争中，企业的生产经营过程面临着各种各样的风险，因对风险认识不足、控制不当不断导致一些企业陷入困境甚至倒闭。如何识别、度量和应对风险就成为企业最难解决的问题。企业要识别出其所面临的风险，就必须进行风险评估。

以股票市场为主体的多层次资本市场体系，经过20多年的发展，已成为我国经济发展的重要动力。随着股票市场的发展，上市公司数量不断增加，目前已达到2 500多家，其在经济中的领导地位也不容忽视。股票市场是高风险市场，为了加强上市公司的风险防范意识，规范上市公司的经营管理活动，2008年以来财政部等五部委联合了《企业内部控制基本规范》及其配套指引，作为上市公司建立内部控制体系的指导性文件框架。我国的内部控制体系是以风险评估为核心导向，其中包含风险识别、风险评估、风险防范和风险控制，并且风险评估是整个内控体系的关键。上市公司实施内部控制首先面临的问题就是风险评估，这也是上市公司实施内部控制工作的切入点和起点。

风险评估是上市公司对筛选出的主要风险组织公司的管理层、各职能部门负责人以及业务骨干进行风险识别、系统分析，确定相应的风险应对策略；也是上市公司实施内部控制工作、构建内部控制体系的关键和基础。这就要求上市公司在进行内部控制的风险评估时，既要识别、分析和关注阻碍实现内部控制目标的风险（纯粹风险），更要善于发现对实现内部控制目标具有促进作用的风险（机会风险），结合公司经营管理状况科学分析风险、制定切合公司经营管理实际的风险应对策略，达到分散、弱化以至化解风险的目标，实现上市公司整体价值的提升。

由于风险的不确定性以及风险评估过程复杂且不易操作，风险评估就成为上市公司内部控制实施成功与否的关键，如何进行风险评估就成为一个难点。本文结合上市公司实施内部控制的实践，对风险评估操作过程中的难点进行探讨，以期对上市公司的风险评估工作提供参考。

二、上市公司内部控制风险评估的操作解析

在实施、建立内部控制体系的工作实践中，上市公司的风险评估应重点围绕公司经营管理的主要环节进行，通常应将销售、采购、生产和财务等经营管理活动的主要环节作为开展风险评估工作的重点和总纲，在重点和总纲的统领下，抓住各个环节的关键控制点，即实施内部控制工作过程中的风险点。尤为重要的是，在初始风险评估时，对风险环节和关键控制点的把握宜粗不宜细。若开始时对风险环节和关键控制点要求的过细、过于完美，风险评估工作可能会陷于繁琐细微的事务性工作而难以进行下去，甚至导致上市公司风险评估工作的整体失败。因此，进行风险评估时，首先需要建立上市公司内部控制风险评估工作的总体框架，确立风险评估工作的整体思路；其次，充实和完善风险评估内容：一方面结合内部控制工作的深入不断补充、丰富，另一方面应随着上市公司业务发展和外部环境的变化定期、持续改进、完善，为实施内部控制、构建内部控制体系工作创造有利的条件。

由于上市公司所处行业不同、发展阶段及经营环境的差异，加之风险不易识别、量化，所以上市公司在进行内部控制风险评估时应特别注意与本公司经营管理活动的有机结合，切忌为了风险评估而进行评估的形式主义。具体进行风险评估时，主要从以下方面来进行：

（一）设定风险评估和风险控制目标的难点

进行风险评估前，上市公司应先设定风险评估和风险控制的目标，这是进行风险评估的必备条件，也是风险评估的标准。只有明确了风险评估和风险控制目标，才能有针对性、有标准的搜集、整理和取舍相关的风险信息和数据，才能对已显现的和潜在的风险进行识别、筛选、整理和归纳。

风险评估和风险控制的目标设定，主要根据证监会的监管要求来进行。依据《企业内部控制基本规范》及配套指引的要求，设定风险评估目标通常从公司经营战略、经营目标、报告目标、资产安全目标和经营合规目标等方面来考虑。首先，经营战略比较宏观，在风险评估中不宜定性操作和定量把握。由于大多数员工只是把经营战略作为公司发展的美好愿景和长远奋斗目标，只有公司的高层管理核心人员对其有比较深入的理解和领悟，因此，上市公司的经营战略在风险评估目标中所占比例通常不能太大。其次，经营目标和报告目标是公司日常经营管理活动的指导，最容易被公司经营管理层和广大员工理解和感知，也比较具体且易于量化和识别，因此，风险评估目标和风险控制目标多从这两方面来考虑和提炼。最后，上市公司只要依法经营，按照规章制度和流程去运作和管理，即可保证经营合规目标和资产安全目标的实现，因而对上市公司风险评估和控制目标的设定，就转化为对公司规章制度和运作流程风险控制目标和风险评估目标的设定，实务中更易把握和操作。

（二）收集风险信息的难点和途径

风险信息收集的主要是与上市公司相关的内外部风险信息。风险信息收集的质量关系到整个风险评估的结果。

从收集影响公司经营环境信息的实践来看，上市公司通常对这方面的信息比较困惑：一方面是公司经营外部环境信息的涵盖范围比较广，不易确定应由哪些部门牵头组织和具体实施，并且各部门在收集信息过程中很难把握相关信息对公司经营管理有无影响及影响大小，结果导致收集信息时无所适从，最终难以确定应该收集哪些信息。另一方面，由于日常经营活动多限于具体的事务性工作，上市公司很难准确把握和获得与经营管理活动相匹配的外部环境信息。在收集风险信息时，上市公司应注重外部经营环境与实际经营管理工作的结合、与内部控制关键点和风险点的结合，并在这些交集中寻找切入点和信息点。

上市公司收集影响经营的内部环境信息时，应主要考虑经营战略、经营目标、报告目标、资产安全目标和经营合规目标，并结合各部门的工作职责、制度和工作流程、业务流程，立足于日常的经营管理工作，考虑可能影响经营管理目标实现的内部信息和条件，来收集相关的内部风险信息。

（三）识别经营风险

风险识别是风险评估的重要环节，识别风险更多的是凭借识别者的判断能力、经验积累和识别方法。风险识别是把收集到的风险信息通过对公司高层管理人员、中层管理骨干和基层业务骨干的问卷调查、测试、访谈等方式，经过比较、归类、提炼、组合等方法，并充分考虑国家各部委对内部控制风险评估的具体要求来进行的。风险有多种表现形式，经营风险是风险识别的重点，主要包括核心风险、业务风险和工作风险。

核心风险的识别，主要应从公司的经营目标出发，围绕战略核心，从公司整体及其职能部门层面、经营管理现状层面等方面进行综合考虑，主要通过对公司高层管理人员的问卷调查、访谈等方式，整理出公司的核心风险，这是上市公司高层管理者最关注的风险。

业务风险的识别，主要应从销售、采购、生产、财务等主要业务环节的风险入手，通过对制度、流程的穿行测试及中层管理骨干和基层业务骨干的问卷调查、测试，识别出最主要的业务风险环节和关键控制点，然后再通过穿行测试来检验主要风险环节和关键控制点的收集和查找是否全面，并对测试过程中发现疏漏的风险点和控制点予以补充和完善。

工作风险的识别，主要是通过适用性测试来进行，在适用性测试过程中，识别出主要的风险环节和关键控制点，并予以补充和完善。

从上市公司识别经营风险的实践来看，主板上市公司至少应梳理出100种以上的风险，才可能比较全面的涵盖上市公司面临的风险。

（四）进行风险评估

风险评估是对上市公司经营管理活动中可能存在的各种风险进行分析和估量，其结果关系到风险应对策略的制定。由于风险的错综复杂，要比较客观和全面地反映和衡量上市公司的整体风险，需将各