风险管理与内部控制

风险管理与内部控制（精选6篇）

篇1：风险管理与内部控制

全面风险管理与内部控制的联系与区别

（一）全面风险管理与内部控制的含义

1.1内部控制

早在上世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿美国国会于1977年通过了“国外腐败实务法案”。该法案除了反腐败条款外，还包含要求公司管理层加强会计内部控制的条款，成为美国在公司内部控制方面的第一个法案。

1992年，COSO委员会(Committee of Sponsoring Organization of Treadway Commission)出版了COSO报告《内部控制的整体框架》，被认为是有关内部控制的里程碑式的文件。

《内部控制的整体框架》中COSO将内部控制定义为内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适用的法律相符合提供一种合理的保证。

内部控制包括五大要素：

 控制环境Control Environment：为控制创造条件；  风险评估Risk Assessment：有的放矢，实现目标；  控制活动Control Activities：实施控制行为；

 信息与沟通Information and Communication：贯穿于过程中；  监督Monitoring：保证沿正确轨迹，合理校正。

1.2全面风险管理

安然(Enron)事件等一系列令人瞩目的企业丑闻和失败事件发生后，学界和业界呼吁新法律、法规和准则问世，来加强公司治理和风险管理。2003年7月，COSO发布《企业风险管理—整合框架》征求意见稿，2004年9月正式文本发表。

COSO指出，全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。

全面风险管理是三个维度的立体系统：

 企业目标：战略目标；经营目标；报告目标；合规目标。 要素：内部环境；目标设定；事件识别；风险评估；风险对策；控制活动；信息和交流；监控。

 企业的层级：整个企业；各职能部门；各条业务线及下属子公司。

（二）全面风险管理与内部控制的联系与区别

2.1全面风险管理与内部控制的联系

从全面风险管理与内部控制的含义中，我们可以看出两者有一下共同点：  全面风险管理与内部控制都是一个过程，这些过程都是渗透于企业的各项活动之中的。

 全面风险管理与内部控制都具有目的性，有若干目标。这些目标都是确保企业各项经营目标的实现，都是为了维护企业的财产安全、保证企业的经济效益。

 全面风险管理与内部控制都是主体为实现目标提供合理的保证。 全面风险管理与内部控制都是由一个主体的董事会、管理层和其他人员实施，要受到受人的影响。

 内部控制的五大要素被完全包含在全面风险管理之中，两者都强调控制环境、风险评估、控制活动、信息与沟通、监督。2.2全面风险管理与内部控制的区别 全面风险管理是内部控制的扩展，是内部控制的升级版，而内部控制是风险管理必不可少的一部分。两者既有横向交叉也有纵向交融。

2.2.1全面风险管理与内部控制的内涵不同。

全面风险管理，是对企业内部可能产生的各种风险进行识别、分析、评估、控制、监督，以最低成本实现最大的安全保障的过程。全面风险管理的目的是要及时发现风险、预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制是由企业董事会、高管和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

2.2.2全面风险管理与内部控制涉及的范畴不同。

全面风险管理范围要大于内部控制。全面风险管理体系包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。内部控制是风险管理的重要环节而不是全部。

全面风险管理是贯穿于整个生产经营过程中的各个环节，尤其是在事前控制、事中控制和事后控制。内部控制是企业内部采取的风险管理流程规范，仅仅是管理的一项职能，只是对目标的制定过程进行评价，主要是通过事中与事后的控制来实现其自身的目标。

2.2.3全面风险管理与内部控制的执行方式不同。全面风险管理，注重防范和控制风险可能给企业造成损失和危害，同时把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。内部控制是企业内部采取的风险管理流程规范，它无法防范管理层非理性风险和凌驾于管理制度之上的决策风险，它所负责的只是事中和事后的控制。

2.2.4全面风险管理包含内部控制。

COSO《企业风险管理—整合框架》认为内部控制的出发点与最终目的都是为了控制和管理风险。这也是COSO委员会将《内部控制的整体框架》升级为《企业风险管理—整合框架》的根本原因。

全面风险管理与内部控制并不是相同的概念，其根本原因在于两者的外延有所区别。

狭义而言，内部控制主要指财务的管理控制。COSO《内部控制的整体框架》提出之初就是以杜绝财务报告中舞弊的产生，并杜绝因为虚假的财务信息而导致的企业危机为导向制定的。除财务管理外，还加入了运营、战略等诸多方面的管控内容。然而事实上，企业是存在于一个行业、一个大的经济环境之中的。仅仅依靠内部的管理控制已不能满足于企业发展的需要。在当前市场经济条件下，外部经济环境、市场状况、法规政策的发展变化对于企业的影响也需要得到充分的重视。

企业全面风险管理不仅包含了内部控制内容，还将市场、法律等外部环境纳入到了企业的经营管理控制的范围中。相对于内部控制，企业全面风险管理从内部到外部，由整体层面制定风险战略，构建管控体系，完善管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升了企业经营管理的效率和效果。

参考文献：

[1] 周兆生.内部控制与风险管理[J].审计与经济研究, 2004, 19(4):46-49.[2] 张文峰.谈全面风险管理与内部控制[J].商业会计, 2005(6):13-13.[3] 万里霜.全面风险管理与内部控制的融合[J].统计与决策, 2009(9):177-178.[4] 路世谊.企业全面风险管理与内部控制[J].经济研究参考, 2012(16):25-27.[5] 田至立.企业全面风险管理与内部控制[J].商情, 2013(37):20-20.[6] 周红梅.浅析企业全面风险管理与内部控制[J].市场周刊:理论研究, 2013(4):59-61.

篇2：风险管理与内部控制

一、企业的风险管理与内部控制

企业的风险管理从本质上也应当是以内部控制为前提，是以内部的风险为主要对象的进行的有效和适当的管理。现代企业面临的激烈的市场竞争和恶劣的生存环境。各种经济活动都伴有风险的存在，会产生不同的结果。企业(组织)的终极目标就是利益的最大化，企业始终生存在成本和利润之间。从影响这些要素发生风险的原因，主要是外部的市场环境风险和内部特有风险．外部风险如：政治环境、宏观经济环境、自然灾害和意外等企业外部的风险，也称为系统风险。内部风险包括组织治理结构、内部控制缺陷、管理者的素质经营特点等形成的经营风险——企业生产经营过程的不确定性；财务风险——企业举借债务给财务成果带来的不确定性；法律风险——作为经济活动的平等民事主体之间法律行为活动的诉讼风险等，也称为非系统风险。

对于前者是每个企业所共同面临的风险，是企业自身无法预见和控制的。因此，企业风险管理的理想途径应当首先是完善防范企业财务风险和经营风险管理体系，包括：法人治理结构、风险管理组织、财务运营和公司运营的政策与程序、内部审计系统等。加强对内部风险的识别和把握，以内部各种可能发生偏离目标的不确定因素为控制点，建立起风险管理机制和体系，来应对内部风险，并进而对企业整体风险进行管理。

根据调查，企业面临的外部风险和内部风险大至有以下18种重要的风险因素： ⑴ 单位内控系统的有效性决定了风险的大小； ⑵ 管理者的能力大小，决定风险的大小；

(3)管理者的正直度，正直的管理者可以保障职责的完成和风险的减小；(4)单位的规模。单位规模大潜在的风险就高；(5)会计系统的变动，变动后的信息系统风险很高，(6)经营业务的复杂程度，越复杂，出错的几率越大；(7)要职人员的变动，会增加或至少带来不确定性；(8)经营环境恶化，会促使管理人员不顾一切歪曲业绩；(9)资产流动性，流动性大，发生损失的机会就越大； ⑽ 企业快速增长，在生产费用控制方面的风险会增加； ⑾ 信息化程度，若无严格的分工，会带来失控； ⑿ 审计的间距，频繁审计能降低风险；

⒀ 管理者的目标压力，压力大会不择手段，生产费用不宜控制；

⒁ 政府法规的范围，约束的程度越高，违法机会就越高，公司面临的风险就大； ⒂ 员工士气，低的地方就是问题所在，风险所在的地方； ⒃ 独立的审计计划；

⒄ 公开程度。增加透明度可降低风险； ⒅ 距总部的距离。

从以上可以看出企业面临的最直接和频繁的来自于企业内部的管理风险，而这些风险是企业能够并且应该可以预见、识别和控制的。

二、企业的财务管理与风险控制

（一）何谓企业财务管理与财务管理风险

财务管理是企业管理的一个组成部分，它是根据财经法规制度，按照财务管理的原则，在一定的整体目标下,关于资产的购置(投资),资本的融通(筹资)和经营中现金流量(营运资金),以及利润分配的管理。简单的说，财务管理是组织企业财务活动，处理财务关系的一项经济管理工作。财务管理风险是指企业财务活动中因存在不确定性或不可控因素，在一定时期内使企业财务收益与预期收益发生偏离，从而蒙受损失的可能性。

（二）财务管理风险控制

财务管理风险控制，即控制企业财务管理方面面临的各种风险，深入理解财务管理风险，分析财务风险形成的根源及不同财务风险形成的具体原因，完善企业资本运营风险防范体系、建立有效的内部控制体系以及精确的财务分析制度，从筹资、投资、经营与收益分配四个方面控制财务风险，从而有效地控制财务风险。

三、我国企业财务风险控制现状

（一）经验决策和主观决策现象严重。

很多企业决策者对企业财务决策风险的认识不足，普遍存在经验决策和主观决策的现象，由于盲目投资导致企业投资损失巨大。在固定资产投资决策过程中，很多企业事前对投资项目的可行性没有进行充分系统的分析和研究，另外为决策所提供的信息也存在缺失和不真实，加上决策者决策能力良莠不齐等原因，使得企业在进行投资决策时，经验决策和主观决策往往起到了决定作用，从而导致投资决策失误，影响了企业的经营秩序，从而给企业带来了较大的财务风险。

（二）企业财务风险管理制度存在诸多缺陷。

我国企业产生财务风险的一个重要因素就是由于企业财务风险管理制度不完善，进而导致了企业内部财务关系的混乱。目前许多企业的预算管理系统不完备，企业的市场监控机制存在诸多不健全的地方，财务的内部控制制度不成熟，企业的成本控制制度不完善，企业的资金管理控制制度失效，信息传输系统滞后和不准确，日常先进管理制度不完备。企业与内部各部门之间及企业与上级企业之间，在资金管理及使用、利益分配等方面存在权责不明、管理混乱的现象，以至于造成资金使用效率低下，资金流失严重，资金的安全性、完整性无法得到保障。

（三）防范企业财务风险的方法比较匮乏。

主要表现在不能合理利用财务杠杆，企业财务风险综合防范手段不够完善，前者是有的企业不顾财务风险去追求融资财务效应，有的企业则是走向了另一个极端，也就是轻视财务杠杆，推崇零负债；后者主要表现在企业财务预警模型的缺陷，突出的特点是几乎所有的财务模型都集中在寻找最佳的公开财务指标来预测财务危机，但是这个模型存在诸多缺陷，即稳定性不够，采用不同的样本得到的预警模型存在显著的差异，而且同一模型的适用范围在很大程度上受到限制。且财务预警模型的运用主要是集中在上市公司，而对一些容易破产的私营企业和民营企业研究较少。

四、企业面临的财务风险类型及成因

1、财务风险的类型

财务风险以资本运动环节的存在形态分析，可划分为筹资风险、投资风险，经营风险和收益分配风险四种风险类别。筹资风险是到期无法偿还本金和偿付资本成本的可能性；投资风险是无法取得期望投资报酬的可能性：经营风险是无法卖出产品并收回企业所垫支本金的可能性；收益分配风险，是由于收益取得和分配而对企业价值产生影响的可能性。

2、财务风险的形成原因

（1）筹资风险的成因。筹资风险，即指狭义的财务风险，即到期无法偿还本金和偿付资本成本的可能性。虽然企业筹资风险只存在于有负债的企业，但就现代企业的发展模式而言，任何企业的经营活动都会或多或少的产生筹资风险，筹资风险是所有财务风险的起点。（2）投资风险的成因。投资风险即由于不确定因素的存在而无法取得期望投资报酬的可能性。投资风险有投资结构风险、投资项目风险与投资组合风险。

（3）资金回收风险的成因。资金回帐风险，即指企业投入的本金经过生产经营过程之后，不能回到起点的风险。资金回收风险产生的原因也分为外因和内因。外因指宏观经济的影响。目前说明此问题的最好的例子就是美国的金融海啸。内因指企业的营销政策、信用政策等因素。

（4）收益分配风险的成因。收益分酝风险，即收益取得和分配对企业价值产生影响的可能性。收益分配风险是所有财务风险的释放。收益确认和收益分配行为是收益分配风险产生的两个方面。收益确认的风险指由于收益确认不当而带来收益超分配的可能性。

五、加强企业财务风险控制的原则

企业财务风险控制是企业整个经营管理系统的重要核心内容。企业在制定和实施财务风险控制策略的过程中必须遵循和利用企业管理的基本原则以及风险控制本身所要求的其他原则,这些原则主要包括以下几个方面：

（一）符合企业总目标的原则。

企业财务风险控制作为企业整体经营管理活动的一部分,其风险控制目标和策略的制定应该而且必须符合企业发展总目标的要求。对于企业局部或部门经营活动出现的风险制定和实施风险控制策略时，要考虑控制局部风险可能对企业整体风险防范与控制目标的影响，不能因片面追求局部利益或部门利益而损害企业的整体利益。企业局部风险控制策略的制定应以整体风险控制目标为指导思想。

（二）风险防范与风险处理相结合的原则。

风险防范与风险处理相结合是企业财务风险控制总体目标本身所要求的。企业利益主体在认识和掌握财务风险本质的基础上，能够采取一定的策略措施以避免某些风险损失的发生。但由于风险控制主体自身能力的限制和外部环境的复杂多变，企业某些风险损失的发生在所难免。这就需要企业采取一定的策略措施进行风险损失的处理。只有风险控制策略与风险处理策略相结合，才能达到风险控制的最佳效果。

（三）长短期利益相结合的原则。

企业财务风险控制主体应认真分析风险的性质及其可能造成损失的严重性，在企业因采取风险控制措施致使风险成本增加而减少的近期利益与企业长远利益安全保障程度的提高之间做出权衡，以防因贪小而失大。

（四）动态适应性原则。企业自身成长过程及外部环境的动态变化使得企业在不同的发展阶段面临不同的风险引发因素，如在企业初创阶段其风险因素更多地体现为技术的不确定，在企业稳步发展阶段，其风险因素则可能更多地体现为管理方面的因素等。所以企业财务风险控制策略的制定和实施应注意其动态适应性。

（五）成本效益比较的原则。

以最小的成本获得最大的安全保障是企业财务风险控制的内在要求，如果规避风险获得的收益未能弥补为防范与控制风险所投入的费用，则企业就失去了控制风险的必要。因此企业经营者必须以科学的态度和战略的眼光开展企业的风险控制活动。

六、完善企业财务风险控制的措施

（一）提高企业决策者的财务风险意识。

企业财务风险意识，是企业在进行财务活动时对市场可能出现的消极情况的一种自我防范意识。企业财务风险意识很大程度上取决于企业管理者和员工对风险的态度。企业应该确立正确的财务风险管理理念，积极提高员工的财务风险意识，提供有利于培养员工财务风险管理意识的环境，对企业的领导和全体员工进行广泛的风险意识教育，确立正确的财务风险管理的观念，防止好大喜功、不顾成本和不看市场的盲目管理行为。

（二）努力完善企业财务风险管理制度。

企业建立严谨的财务风险管理制度是防范财务风险不可缺少的重要措施，一个企业没有明确的财务风险管理制度，就没有明确的财务风险管理目标和方向，在财务管理中必然是效率低下。建立和强化企业内控机制，可以通过提高财务风险认识，强化资金管理，提高资金的使用效率，加强财产控制即对存货和应收账款的管理。

（三）建立健全资本预算体系。

在现金管理方面，企业应建立资本预算体系，实行预算控制，对企业的现金实行预算控制管理。企业现金流量预算的编制，是财务管理工作中重要一环，准确的现金流量预算，可以为企业提供预警信号，使企业经营者能够及早采取措施防范财务风险。为能准确编制现金流量预算，企业应该将各具体目标加以汇总，将预期现金收支的状况，以周、月、季、半年及一年为期，建立滚动式现金流量预算。

（四）建立健全内部审计控制制度，实行内部监督责任制。

内部审计是在一个单位内部对各种经营活动与控制系统所进行的独立评价，它由独立于被审部门的内部审计机构或内部审计人员来完成，是为了检查单位内部各项既定的政策、程序是否贯彻、建立的标准是否遵循、资源的利用是否合理有效以及企业的目标是否达到。内部审计既是内部控制的不可或缺的重要组成部分，又是实现内部控制目标的重要手段，内审制度的完善是健全内部控制制度的重要内容。同时，实行内部监督责任制，内部监督系统实行一把手负责，并将审查结果向企业董事会或最高管理当局报，可以有效避免渎职、不作为情况，切实保证内部监督的及时、准确、到位。

（五）企业必须重视对内部财务控制制度管理人员的选用。

设计得再完善的内部财务控制制度也需要称职的人员来执行，企业的用人政策直接影响着企业能否吸收有较高能力的人员来执行控制制度，所以，必须重视对内部财务控制制度管理人员的选用和培训，提高人员的素质，定期进行考证，奖优罚劣。具体讲，除领导本身应以身作则起表率作用外，还应做好以下几点工作：第一，要及时掌握企业内部会计人员思想行为状况。内部业务人员、会计人员违法违纪，必然有其动机，因此企业领导及部门负责人要定期对重点岗位人员的思想和行为进行分析，掌握可能使有关人员犯罪的外因，以便采取措施加以防范和控制。第二，对企业人员进行职业道德教育和业务培训。职业道德教育要从正反两方面加强对会计人员的法纪政纪、反腐倡廉等方面的教育，增强会计人员自我约束能力；加强对会计人员的继续教育，减少会计业务处理的技术错误。

（六）建立良好的信息化系统，提高企业内部财务控制效果。

一个良好的信息沟通系统可以使企业及时掌握营运状况，提供内容全面、及时、正确的信息，并在有关部门和人员之间进行沟通，同时避免人为因素对内部财务控制效果的影响。中国烟草行业正处在像以产权为纽带的现代企业转变之中，烟草行业的各类生产要素与经营资源开始了新一轮的重组，跨地域的集团化、资产一体化管理成为了烟草工业企业集团的主旋律。对于带有明显的计划经济和专卖体制下的特点的卷烟工业企业，必须建立一个有着统一的财务制度、核算标准和信息系统的集团财务信息系统，以现代企业集团的以业务流程为导向的管理思想为指导方针，通过信息化手段来实现财务管理上的事前计划、事中控制和事后分析，才能适应烟草工业企业的集中化、扁平化的发展趋势的需要。

（七）提高财务风险防范的技术方法盒财务风险预警机制。

篇3：风险管理与内部控制

(一) 国外主要观点为当前比较流行的三种主要的国外观点, 如表1所示。

(二) 国内主要观点

国内学术界、实务界对内部控制与风险管理二者关系的探讨随着市场环境的变化不断深入。宋常、丁卫从边界与内涵、框架与内容、技术与方法三个方面分析了风险管理与内部控制的区别;丁友刚、胡兴国从经济环境与组织目标的变化出发, 探讨了内部控制和风险管理的关系, 指出内部控制由单纯的实物风险控制发展为报告风险控制、经营风险控制及合规性风险控制, 最后与企业综合风险管理相融合, 伴随着组织目标和经济环境的变化而不断改变。谢志华对内部控制、公司治理和风险管理发展过程进行分析, 提出风险控制是内部控制的发展主线, 内部控制、公司治理、风险管理融合在企业管理的整体框架中。风险管理是内部控制的本质, 企业发展的不同阶段因为风险的不同而表现出不同形态的内部控制理论。

二、风险管理与内部控制的发展

(一) 内部控制发展初始阶段

20世纪40年代以前, 完整的内部控制体系尚未形成, 企业对如何通过建立内部管理机制规避内部操作风险的认识较为模糊, 惯用的做法是设计并执行与财务相关的不相容职责分离。如审批权与执行权的分离、实务管理与账务管理分离、保管与记录分离等。在设计不相容职责阶段, 首先要对企业与财务相关的业务进行全面了解, 对不相容职责进行充分识别, 在此基础上设计易于理解的职责分离文件, 并在企业内部进行充分宣导与执行。当然, 职责分离往往附带一系列保障措施, 如信息系统口令、定期轮岗、各类账目的定期核对等。

(二) 整体内部控制阶段

内部控制制度阶段是内部控制逐步完善的阶段, 这一阶段由20世纪40年代持续至90年代。1992年, 由美国反对虚假财务报告委员会 (NCFR) 发起的COSO委员会提出了《内部控制—整体架构》报告。此报告将内部控制定义为一个会受公司董事会、管理层和其它员工影响的过程, 旨在为内部控制的三大目标——经营目标、报告目标、合规目标提供合理保证, 报告内容涉及到控制环境、风险评估、控制活动、信息与沟通与监督五个方面。控制环境是企业的内控意识, 是“来自高层的声音”, 主要包括诚信与道德观、管理理念与经营作风、组织架构、职责和职权的分配、员工个人胜任工作能力、董事会与审计委员会、人力资源规划和实施等;风险评估是对内部、外部影响企业绩效因素的评估, 包含目标设定与沟通、风险识别及评估、风险应变措施等;控制活动是确保风险管理活动被及时执行的政策和流程, 以及关键领域的内部控制;信息与沟通包含内外部信息沟通渠道的建立、信息系统的决策支持、信息系统的开发和维护等;监控是为了判定内部控制设计的充分性和执行的有效性, 包括定期评估内控体系、缺陷报告与解决等。

(三) 风险导向内部控制阶段

企业所面临的环境动荡不安, 而内部控制的建立需要兼顾成本效益原则。在整体内部控制的基础上, 为了更有效的利用企业资源以抵御各类内外部风险, “风险导向内部控制”的理念逐步形成。风险导向内部控制, 是以风险识别和评估为基础, 管理风险, 继而分析、设计和实施内部控制的过程, 旨在降低风险以实现企业的既定目标。风险导向的内部控制要求董事会与管理层将主要精力放在可能产生重大风险的环节上, 而不是关注企业管理的所有细小环节。其思想的精髓如下:任何公司都是流程的集合, 根据风险评估加以引导并从流程视角看问题, 可以有效促进部门之间的沟通;流程是若干控制活动的集合, 即能够满足某些控制目标的作业即为“控制活动”;基于成本效益原则以及所防范风险的高低, 管理层确定“关键控制活动”并进行测试;内控体系的完善即保证控制活动实现内控目标的完整性和有效性, 包括控制设计和执行的完整和有效。

(四) 全面风险管理阶段

2004年至今, 不同国家监管机构/标准委员会纷纷对风险管理进行了诠释。纵观国内外风险管理标准体系 (包括美国COSO、澳新标准-AS/NZS 4360、中央国资委-《中央企业全面风险管理指引》、ISO31000) , 均包含风险识别、风险评估、风险应对三个核心步骤。其中风险识别是管理基础, 是通过全面、完整的梳理, 确定风险事项, 并完成风险清单/风险数据库;风险评估是资源配置, 根据潜在风险产生影响的种类, 参考国家相关规定和特定业务领域的实际情况, 确定风险评估标准, 包括风险发生的可能性评估标准和风险发生影响评估标准, 再根据风险评估标准进行多纬度、多层次的评分, 完成风险评估后各风险点按流程进行归类, 基于固有风险和剩余风险评估结果, 确定风险等级领域, 直观的展现企业各业务流程的风险情况, 以奠定资源配置的基础;风险应对是企业价值的保护和再创, 合理配置资源, 有针对性地、有计划性地解决风险问题。

三、风险管理与内部控制的关系

(一) 风险管理体系是内部控制体系风险评估的前提

如表2所示, 笔者对比分析了《内部控制整体框架》 (1992) 和《企业风险管理整合框架》 (2004) 。以风险为导向的内部控制机制已经得到理论界和实务界的普遍认可, 内部控制五要素中包含风险评估能否说明内部控制包含风险管理?答案是否定的, 将风险评估纳入内部控制体系, 目的是建立以风险为导向的内部控制机制, 这并不能证明内部控制包含风险管理, 风险管理的边界和要素比内部控制更多更广, 而且内部控制的风险评估需以风险管理目标的设定为前提。《企业风险管理整合框架》将风险管理定义为“是公司的董事会、管理层和其他员工共同参与的一个过程, 应用于企业的战略制订并贯穿于企业经营管理活动之中, 旨在识别可能会影响主体的潜在事项, 管理风险将其控制在管理当局的风险偏好之内, 为企业目标的实现提供合理保证。”此定义强调风险管理的目标性, 明确风险是与企业战略选择相对应的风险, 战略目标与企业的发展、企业的使命相关联, 是识别和评判企业风险的前提条件, 企业风险管理和内部控制中涉及的风险是阻碍战略目标实现的内外部风险。战略目标是统筹企业风险管理的全局性目标, 风险管理作为一种管理活动的起始点是调查判断企业的风险偏好和风险容忍度, 在此基础上评价备选战略、设定相关目标, 并围绕这一战略目标, 对潜在的机会和风险进行识别评估。内部控制框架中没有包含战略目标这一要素, 风险评估的标准没有明确与企业战略目标挂钩, 其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性, 这些目标服务于实现价值创造和企业战略的终极目标。因此, 风险管理中制定企业战略、设定风险管理目标和围绕战略目标进行风险评估, 相比内部控制的风险评估, 是更高层次的管理活动, 是内部控制进行风险评估的前提, 只有在设定风险管理目标后, 才能根据这一目标进行内部控制的风险识别和评估。同时, 内部控制是风险管理的重要手段, 风险管理体系下制定战略目标、围绕战略目标进行风险评估, 是内部控制体系进行风险评估的前提。

(二) 内部控制体系依赖于风险管理体系

由于内部控制体系的侧重点主要集中在财务方面, 因此它对诸如公司战略、人力资源等企业其他层面的管理就难免被疏忽, 其自身的风险需要其他的管理体系加以识别和评估。内部控制主要由会计界和审计界提出并推动其发展, 因此不可避免的带有会计、审计行业烙印, 《内部控制整体框架》虽将管理与控制相糅合, 但其关注焦点仍放在财务方面, 许多其他管理被忽视, 如企业战略。作为解决所有者与经营者之间代理关系的手段之一, 实施内部控制需要花费大量成本 (包括各部门间的沟通成本) , 根据内部控制的成本效益原则, 其实施成本不应超过预期的效益, 实践中由于成本和效益的不确定性, 人为判断失误会导致企业利益受损, 而判断失误和串通勾结等缺陷在《内部控制整体框架》中给“合理而非绝对保证”提供了范例。史蒂文·J·鲁特在其著作《超越COSO-强化公司治理的内部控制》中提出:“对于预期要达到的目标而言, 内部控制可被依赖的程度是有其固有局限的。”全面风险管理除关注财务外, 还强调其他方面的管理, 并对内部控制体系的自身风险进行识别和评估, 建立相应的风险应对机制。

(三) 风险管理体系是内部控制体系的拓展和升华

对比内部控制体系, 风险管理具有全局观、整体观。内部控制多从单项业务、单项风险、个别部门出发, 对风险进行识别和评估, 而风险管理体系提出了“风险组合管理”新概念, 根据资产组合理论, 多元化的资产组合可以降低投资风险, 应用于企业风险管理体系, 一个企业的不同风险可能相互增强, 也可能相互抵减, 或者单个部门的风险在各部门自身的风险容忍度范围内, 但整体来看可能超出企业的风险容忍度, 因而要从全局来看风险对企业的整体影响。风险管理的整体观建立在对单项业务、单项风险的分析基础上, 是对企业各部门局部风险的整合与提升, 且根据企业战略目标提供了一个整体的解决框架, 确保各部门的活动符合企业整体利益。因此, 风险管理体系是内部控制体系的拓展和升华。

四、风险管理体系与内部控制体系在实务层面的应用

改革开放以来, 我国仅用短短30年时间就超越了发达国家花了上百年时间才获得的经济快速增长速度, 并且成为世界第二大经济体。这得益于我们引进、消化和吸收了发达国家创造发明的科学管理体制, 而风险管理体系和内部控制体系的建立与完善就是其表现。但是, 在公司制企业建立的同时, 舞弊丑闻也频频曝光。公司面临的风险不断加剧, 风险程度不断提升, 以致接连不断地出现公司破产现象。在现代企业制度的建立与发展的过程中, 公司舞弊防范、营运和财务风险的防范就成为了现代企业制度所亟需面临和解决的问题。理论界和实务界为此也提出了内部控制与风险管理的各项控制规范和措施。这些控制规范和措施不仅在企业层面, 也在国家层面的角度上制定, 制定的主体也出现了企业、民间和政府共同参与的良好局面, 我国主要以政府为主导的行政法规形式制定。

2006年6月, 国务院国资委出台了《中央企业全面风险管理指引》, 指导企业开展全面风险管理工作, 进一步提高企业管理水平, 增强企业竞争力, 促进企业稳步发展;2010年4月, 财政部、证监会、审计署、银监会、保监会等五部委联合颁布了《企业内部控制配套指引》, 涵盖企业经营管理的各个方面, 用于指导企业按照内控原则和内控“五要素”建立健全本企业内部控制体系, 促进企业对法律、法规及准则的遵循, 提高企业财务信息的可靠性, 为中国企业提升经营管理水平和风险防范能力提供更清晰的指导。

内部控制体系和风险管理体系都是基于企业存在风险而产生的, 他们都是为了进行风险控制, 因此, 企业在实际经济活动中, 可以将不同的监管机构的要求, 整合为一种统一的规范, 以风险管理体系为总纲, 以内部控制体系为细则。企业应在风险管理总体框架体系下, 建立健全内部控制体系, 以保证风险管理工作的有效实施;完善的内部控制体系, 又能帮助企业建立一整套风险识别和风险控制的程序和方法, 规避所面临的各类风险, 提高经营效率以及各项法律法规的执行。依此, 我们将二者整合成如下框架, 如图1所示。

企业在实现二者整合建立新的框架的过程中, 必须以风险控制体系为主线, 以企业经营活动的真实性、合规性为控制目标, 以内部环境、目标设定、风险评估、风险应对、控制活动等风险管理过程为程序方法, 考虑战略、计划、组织、执行等多项流程环节, 建立健全多层级的、以企业全员为责任主体的控制体系。

参考文献

[1]丁友刚、胡兴国:《内部控制、风险控制、风险管理》, 《会计研究》2007年第12期。[1]丁友刚、胡兴国:《内部控制、风险控制、风险管理》, 《会计研究》2007年第12期。

[2]谢志华:《内部控制、公司治理、风险管理:关系与整合》, 《会计研究》2007年第10期。[2]谢志华:《内部控制、公司治理、风险管理:关系与整合》, 《会计研究》2007年第10期。

[3]宋常、丁卫:《企业风险管理与内部控制关系探微》, 《企业改革与发展研究》2007年第2期。[3]宋常、丁卫:《企业风险管理与内部控制关系探微》, 《企业改革与发展研究》2007年第2期。

[4]黄冉:《论内部控制、公司治理、风险管理的实施》, 中国会计学会内部控制专业委员会2009内部控制专题学术研讨会论文。[4]黄冉:《论内部控制、公司治理、风险管理的实施》, 中国会计学会内部控制专业委员会2009内部控制专题学术研讨会论文。

[5]程新生主编:《企业内部控制》, 高等教育出版社2008年版。[5]程新生主编:《企业内部控制》, 高等教育出版社2008年版。

篇4：风险管理与内部控制

【关键词】内部控制；风险管理

随着世界各国经济合作的逐渐加深，全球金融经济的一体化发展给世界各国带来了机遇还有挑战。全球性的金融危机对我国实体经济的负面影响持续扩张，使得我国的市场经营环境发生动荡和风险的比率大大增加，大大小小的企业逐渐意识到加强内部控制并完善风险管理的重要性。

一、内部控制与风险管理的关系分析

1.内部控制与风险管理的差异性分析

从定义和组成要素上来讲，风险管理和内部控制是两个不同的概念，学术界有明显的区分研究。风险管理是由企业的管理层、董事会和员工共同实施，识别可能影响企业的事件，管理风险，保证企业目标的实现的过程。它的组成要素主要包括以下几个内容：设定合理的企业发展目标、企业当中的环境、事件识别、企业对所组织活动的控制、企业对于可能面临风险的评估、企业内外的信息、企业内外之间和内内之间沟通和监督等方面的内容。内部控制主要是由经理层、董事会和员工共同参与保证财务报告的准确，高效的经营活动和遵循法律法规的过程。它的组成要素主要包括：企业内外的信息、企业对于所组织活动的控制能力、企业内部或内与外的沟通、企业对于各部门的监督、企业内部的文化环境以及对于可能面临风险的评估预测等几个方面。

2.内部控制与风险管理的相关性分析

虽然概念不同，但内部控制与风险管理都是为了企业的发展壮大，两者均强调全员参与，扮演相应的角色。众多的研究人员希望将内部控制和风险管理进一步交叉融合，互相促进，共同为企业的发展出力，实现预期制定的目标。风险管理与内部控制在很多的方面逐渐融合，从上面提到的组成要素中可以明显看到其良好的重合性。两者的根本作用都是保全企业资产、维护投资人的利益并不断创造新的价值。因此企业尽量减少在制度上对于风险管理与内部控制细节的规定，是两者有机整合，在实践中不断协同发展，使风险管理与内部控制相融合，互相促进，良性循环，提高企业各部门运作效率，促进企业稳定持续发展，立足长远。

二、企业风险管理和内部控制中存在的问题

1.内部控制意识不足

我国企业之中整体进行内部的控制产生的效果并不理想，大多数的问题是内部控制意识比较淡薄，对其概念、组成要素和作用存在理解上的误区。首先存在的问题是很多公司的对内部进行控制法制法规不够完善，企业对于管理内部相关的制度不能与时俱进，仍处在机械制理论上，不能与实际相结合，造成在新业务开展中操作受约束。其次，企业对管理内部和控制风险的认识只存在于制度的制定上，缺乏制度的实践过程。内部控制的相关制度是必不可少的，但不代表有效应用，纸上谈兵造成企业的内部控制制度如同虚设，无法使企业内部控制有效地为企业的长远发展出力。最后是企业的风险防范意识不足，企业参与到盲目竞争中，不顾风险，尤其是金融企业容易产生利益导向行为，对企业的发展造成不良影响。

2.风险评估体系落后

有效对未知的风险进行预测并通过内部的调整使其破坏性降至最低，必然离不开风险的评估，有效的对未知的风险进行预测是企业全面了解风险的内控要素。目前我国企业的风险评估技术和方法上都处于较低水平，比如在我国的金融企业当中，风险评估的技术相对落后，缺乏专业的高素质技术人才，缺少对于先进技术的引入，缺少对于风险进行量化分析。因而没有完备的内部管理体系，缺乏对外汇、利率、市场风险进行全面的评估，只单一地停留在评估信用风险上。

3.信息沟通共享能力低

由于企业的信息管理系统的相对滞后，对于信息的收集处理加工共享能力不足，有时候还会出现信息传递不及时，企业上下信息不一致，大量的人力参与增加了错漏、违规的可能性，造成内部管理失控。体现在金融公司中，还会存在主客观因素影响，导致会计要素经常出现错漏现象，甚至出现做假账和粉饰业绩等的违规操作。

三、风险管理和内部控制改进建议

1.完善内部控制，加强风险管理建设

把对企业的内部进行合适的管理提上标准规范的道路是企业的重要内容，通过完善合理的相关制制度来实现操控内部运作对企业经营管理的每个环节都很重要。同时管理将遇到的风险也需要实现程序化制度化，但要注意避免过分苛刻的制度妨碍企业正常的生产运营，灵活应用内部控制机制。制定合理的人力资源管理政策，鼓励员工全员参与到企业管理未知风险过程中，所有员工通力协作来更好的控制公司的内部情况，更好的管理发生或未发生的风险。

2.重视人文因素和企业文化建设

积极建设风险管理为导向的企业文化，培养全体员工的管理意识，重视内部控制，树立现代管理理念，重视开拓创新和团队合作，开展诚信教育，增强员工自我约束能力，从而提升员工整体综合素质。同时企业要遵循以人为本，尊重人才。良好的企业文化是良好的控制的基础，促进企业知名度的提高，为企业的长远发展铺设道路。

3.加强内部监管的电子化建设

企业要及时引进先进的技术来对内部进行合理控制，把对风险的研究预测为中心，进行风险管理的责任制监督、评价。将先进的计算机管理应用到控制和管理中，积极建立一套内部控制的电子信息系统，实现内部控制中信息准确快速地传递，并对数据应用信息技术进行处理，增强安全意识，责任到人。把内部监督到的实际情况和研究预测相结合，定期分析内部控制的有效性，发现并改掉其中不足，达到事半功倍效果。

四、总结

企业的经营成功离不开良好的内部控制和风险管理体制，企业应积极主动完善内部结构更好的施行控制，建立抵御风险的管理条例，从容面对纷繁复发的市场环境，实现对长远的企业发展壮大。控制和管理是分割不开的，随着两者的不断发展，两者关系会越来越融合交叉，共同促进企业的发展。

参考文献：

[1] 孔立平.金融控股公司存在的风险及控制对策[J]，海南金融，2008（5）.

[2] 赵保卿.内部控制设计与运行[M].北京：经济科学出版社，2011.

[3] 王振中.内部控制与风险管理[J].商业会，2010（6）.

篇5：风险管理与内部控制

一、CFO在企业内部控制与风险管理中的角色与使命

中国总会计师协会常务副会长董锋认为，建立风险管理体系，设计好内部控制制度，首先，要把握好CEO与CFO的关系。CEO是企业行政负责人，是班长，CFO作为企业财务负责人，是领导班子成员；CEO是风险管理和内部控制第一责任人，CFO是风险管理和内部控制的具体执行人，因此国外有人比喻CEO是船长，CFO是舵手。其次，要完善公司的管理结构，明确CFO的职责和定位。总会计师在本单位风险管理与内部控制体系中应确定自己的责任、职权和地位的对称与平衡，但这并非是为自己去争权力、争地位；CFO所管理的财务等部门应是一个完整的管控体系，CFO的影响力与控制力必须一杆到底。第三，CFO要自觉执行风险管理和内部控制，同时也要提醒和促使CEO执行。作为领导班子成员，CFO理所当然要全力支持CEO的工作，但在工作中如果发现领导班子成员特别是主要负责人违背企业风险管理与内部控制制度时，也要及时提醒，要有敢于干预的勇气。

原江苏省副省长吴瑞林强调，CFO要树立以爱国主义为核心的民族精神和以改革开放为核心的时代精神；要提高自身的业务修养以适应新时代的要求；要发挥好生财聚财和用财管财这两大职责；要从本轮金融危机中吸取经验教训，履行好内部控制和风险管理的职责。

二、正确认识风险管理和内部控制

内部控制与风险管理既有区别，又有联系。南京审计学院副院长时现认为，对于同一个企业来说，内部控制与风险管理的直接载体都是企业的经营活动，内部控制与风险管理都以企业法人为边界，从这点来说，不能将二者截然割裂开来。二者的区别主要表现在：内部控制的重心在企业高管层之下（经营活动），风险管理的重心在高管层之上（战略设计、决策）；内部控制主要关注不相容职务是否分离，风险管理主要关注经营目标实现过程中的不确定性；内部控制是风险管理的主要机制，但不是全部；当出现合谋舞弊时，内部控制往往无效，需要风险管理辅之。上海财经大学教授朱荣恩认为，内部控制与风险管理并非平行的关系，内部控制是风险管理的一个重要组成部分，而风险管理则是内部控制的发展和延续，是一个比内部控制更为宽泛的概念。

高级国际注册内部控制师张玉指出，COSO的内部控制与企业风险管理两个框架实现了内部控制五要素与风险管理八要素的有机结合，而我国财政部等五部委联合发布的《企业内部控制基本规范》与国资委发布的《中央企业全面风险管理指引》并未能进行有效整合。对此，董锋则认为，财政部等部委的规范与国资委的指引虽然没有形成系统，但却有着内在联系，企业应结合自身实际深刻体会两个规范的精神，将风险管理与内部控制结合统一，而不应搞两套机制。

现阶段很多企业认为风险管理是内部审计应该履行的职责，但时现认为，为保证独立性与客观性，企业在构建风险管理过程时，内部审计不应承担原本属于管理层的风险管理责任，而应就企业风险管理过程的有效性提供确认服务，即担任监督者的角色。对于目前我国企业内部控制系统的设计形式，张玉将其总结为三种：外包给会计师事务所；企业自行设计；自行设计与外包相结合。第一种形式耗资巨大，导致合规性成本过高，而采用后两种形式时，由于企业缺乏内部控制设计专业人才，内部控制系统的设计大多由内审人员牵头负责，这导致了“运动员和裁判员角色不分”的问题，因此需要专业人士进行内部控制系统的设计，未来内部控制师这个职业将会得到快速发展。

南京大学会计与财务研究院副院长李心合指出，审计意义上的内部控制与CEO、CFO需要的内部控制有很大区别，而主要区别在立场与出发点上。审计师是站在财务报表可靠的角度，希望内部控制尽可能完备，以便将审计风险降到最小，但企业的目标是价值最大化，过于复杂的控制流程也会损害利润创造。因此企业需要选择好的出发点，优化内部控制体系，既不能过于简单，也不能过于复杂。

三、加强和完善企业风险管理和内部控制建设

对于如何加强企业内部控制建设，朱荣恩认为，实施内部控制的难点主要体现在七个方面：一是正确认识内部控制五要素的内在联系。二是正确理解内部控制的要素、目标及实施主体的关系。三是正确认识内部控制与风险管理的关系。四是正确认识内部控制与企业管理制度的关系。五是正确认识内部控制与外部环境。外部环境如股权

结构、干部管理制度和政府政策取向等因素都会直接或间接地影响我国企业实施内部控制的效果。六是正确认识内部控制需求内因不足的问题。由于内部控制的效益难以衡量、成本与效益不匹配等原因，部分企业的管理层认为只要企业不出事就可以了，只要达到法律法规的最低要求就行了，并没有将内部控制作为企业管理的内在要求。七是正确认识IT平台在内部控制中的应用。

江苏高科技投资集团董事长徐锦荣介绍了其所在企业的风险管理及控制经验。一是加强组织建设。集团董事会是风险管理的第一责任主体，董事会下设的审计与风险控制委员会具体负责风险管理工作。二是加强制度建设。把管理制度、业务流程再造作为风险管理的重要基石，建立符合创业风险投资特点的业务运作流程和与之配套的一系列管理制度和风险控制制度，目前已经形成了由制度、流程、关键控制点三个层次组成的制度体系。三是创立符合国情和创投业务特点的风险控制工具。建立风险管理信息系统，对所有项目的财务、管理信息进行定期的汇总、分析，动态监测项目运作情况。并实行定性和定量指标相结合，对投资项目定期进行ABC（正常、次级、警示）分级，及时采取风险防范措施。四是构建符合实际的风险管理评价机制。根据市场环境、金融工具、法律法规等因素的变化及发展情况，不断调整和改善风险管理制度，并通过对业务流程关键控制点的及时介入，实行持续的检验测试，以确保制度执行充分有效。

徐州矿务局副总会计师张锦河介绍了徐矿集团在投资风险控制方面的教训和经验。以前徐矿集团曾因盲目多元化而导致公司经营管理的巨大失利，在总结教训和经验后建立了归核化的投资战略和投资风险控制模式，即在投资活动中围绕煤炭产业这个“核”进行综合开发，同时围绕核心竞争力的形成与提高这个“核”进行风险控制。经过六年的实践，徐矿集团的经济效益和经营规模快速增长，逐渐步入良性发展的快车道。其风险控制的具体做法有：采取全面预算管理，将“物本管理”与“人本管理”相结合，不仅对集团公司投资所形成的项目、资产、资金进行管理，而且通过激励与约束制度的建立，将个人价值与企业价值进行整合统一；通过集团制定统一的目标和战略规划与投资政策，规范集团内各成员单位的投资行为，以实现资源聚合效应与管理协同效应；围绕提高集团公司核心竞争力这个目标，制定多元化标准，而不仅仅是单一的财务标准。

四、IT环境下内部控制体系的建设

与传统意义上的内部控制体系建设相比，IT环境下的内部控制体系建设具有其独到的特点，参会的企业详细介绍了其各自的做法。

江苏国信集团财务部总经理王家宝认为，集团管控应以资金集中管理为核心，而IT环境下企业开展资金集中管理应从四方面入手：一是构建资金集中管理组织和账户体系，协同管控、实现资金统一运作。二是设计资金集中管理的关键流程和制度，实行资金计划流程管理、自动零余额的资金归集上收、动态掌控资金流向的资金下拨、内部各成员单位之间的统一结算管理。三是通过网络实时监控资金流量，动态平衡资金需求，统一调度资金。四是创新内部资金计息管理机制，充分调动成员单位参与集中管理的积极性。他进一步指出，资金集中管理首先要有一把手的推动，其次要设计出互利共赢的方案，最后还要有必要的技术、人员、相关部门的支持。

东风悦达起亚汽车股份有限公司总会计师生育新详细介绍了其所在企业的内部控制体系，具体分为内部会计控制、生产管理控制和质量控制三大部分。内部会计控制主要包括现金收支业务控制、应收应付控制、固定资产控制、成本控制和投融资控制。生产管理控制主要包括开发采购控制、生产物流控制、销售流程控制和人力资源控制。质量控制包括ISO9000、14000质量认证体系、部品质量控制、C-audit评审（整车质量评审）、质量成本控制和质量实名控制。在IT环境下，该公司从健全全面预算管理体系、整合ERP系统、强化内部稽核机制、狠抓作业、成本费用和管理标准化建设四个方面加强内部控制建设。生育新认为，实施ERP是企业适应市场竞争、强化核心竞争力的有力工具，而健全的内部控制才能使ERP的功能得到全面发挥，因此应大力建设IT系统，但IT系统的实施并不能取代管理和控制。

从企业的实践中可以看出，IT能在多方面提升内部控制和风险管理水平，但朱荣恩认为，IT平台仅仅是内部控制实施的一个硬件保障，而非必备条件，它只能代替内部控制中的沟通等某些环节，却代替不了管理基础和监控，更不能完全代替内部控制。

五、内部控制审计与风险管理审计

篇6：内部控制与风险管理作业

报告标题：报 告 人：学号：序号：课程编号：课堂号：任课教师：分

数：

探索中国餐饮连锁企业的内部控制与风险管理

——以俏江南集团为例

刘紫薇 1201020107 B0800280

0 冉明东

2014年11月4日

探索中国餐饮连锁企业的内部控制与风险管理

——以俏江南集团为例

一． 引言

餐饮业一直是更新换代很快的行业之一，由于其技术含量不高，市场进入门槛低，且顾客始终存在的喜新厌旧心理，加上中国的餐饮企业多为民营企业，质量参差不齐，且其成本收入无法量化，企业治理不规范，盈利状况也无法保证，内部质量控制和行业标准大都并不规范。并且由于其劳动密集、现金交易、流转快速等特点造成其内部控制更难有效实现。因此要发展餐饮连锁企业，使连锁餐饮企业得到长足的发展难度也就更高了。不过，每个行业里总有些佼佼者值得我们去学习，比如海底捞、小肥羊、俏江南等，今天我们就以俏江南为例，探寻以下餐饮连锁企业的内部控制与风险管理的方式。

二．通过Coso 框架分析俏江南的内部控制。

（一）内控环境

控制环境由公司管理层形成，它是其他内部控制组成部分的的基础。每一个公司都有着自己不同的控制环境，影响控制环境的因素主要有：员工胜任能力、管理层的管理理念和经营风格、组织架构、管理层授权和职责分工、人力资源政策和措施等。在这一方面，俏江南拥有着自己独特的企业文化和人才培养与员工激励机制。1.独特的企业文化

一张川剧中的变脸加上一个英文单词“southbeauty”，这就是俏江南聊以自豪的自创商标。一张古老的变脸人物代表了中国一种古老的文化——蜀地文化，这也是川菜发源地的象征。俏江南创始人曾说过俏江南的每一道菜都代表一个古老的中国历史故事。因此，顾客在品尝佳肴的同时，还可以聆听其背后蕴含的历史故事。2.人才培养与员工激励

人才是企业最重要的资源，也是内部控制环境的重要因素。恰当的人力资源政策和措施则是维护人力资源的重要手段。在这一方面俏江南也拥有自己独特的行事方式。对于一线员工，俏江南建立了自己的员工培训基地，为员工提供企业文化以及服务技能等方面的培训。对于关系菜品质量的厨师，上岗前都要进行统一培训。此外，俏江南和北京、以及法国的一些大学达成合作关系，优秀的员工将有机会去法国深造。而且俏江南每开设一家分店，正厨就从原先老店的副厨中提拔，这样的机制既给了员工提升的机会，又留住了人才，保证了菜品的质量。

（二）风险评估

风险评估是为了达到企业目标而确认和分析相关的风险，是形成内部控制活动的基础，其主要包括风险识别、风险分析以及应对变化。首先要从内外部因素两个方面进行分析。餐饮业面临的外部风险主要是选址、菜品对客户的吸引力、物价波动带来的成本控制风险。餐饮业新店开张的前期投入巨大，想要稳健的现金流入，收回成本并实现盈利，成本费用控制将是重要一环。

1．明确定位，大胆投入前期费用。对于资本较薄弱的中餐厅来说，大多会选择相对接地气，亲民的地方，但是俏江南却打破这一禁锢，率先在各大高档写字楼，繁华商业中心开店，并发出要做高档中餐的口号。商业中心地带昂贵的租金、加上奢华的内部装修大大增加了新店的成本。但是这也为俏江南的分店吸引了人们的关注，加上其合理的市场定位，目标消费人群主要是高级白领，这样中心的地理位置方便了商务人士的就餐，并且迅速树立其品牌形象，抢占高端中餐这一市场。

2．菜品对客户的吸引能力是其能否留住顾客的重要因素。俏江南几乎是餐饮业革新频率最快的餐厅，平均每三个月就会进行一次菜谱的革新，保证了新菜式对老顾客的吸引力。3．实行锁定原材料价格策略也是使得俏江南极具竞争力的重要因素。餐饮业是劳动密集型产业，技术含量低，市场进入容易，因此价格也成为这个行业里的竞争利器，由于市场价格瞬息万变，成本的上升也会导致菜品价格的上涨，甚至会成为顾客流失的重大原因。而俏江南对顾客的承诺一直都是，无论物价怎样上涨，我们承诺保持原价。每年初，俏江南集团都会与中粮集团这样的大公司签订合约，确定该年粮油价格。而这些大公司也看中了俏江南的品牌形象，乐于长期合作，从而俏江南避免了物价上涨带来的风险。

（三）内控活动

内控活动是确保管理活动付诸实施的流程，包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。

中餐做连锁最难的问题就是“标准化”，如果无法突破这一瓶颈则很难做大做强。在食品和原材料的供应使用上，俏江南采用了严格的标准化操作。比如鱼香肉丝的用料，必须精细到后臀尖肉三两，油一两五，盐0.3克等；再比如肘子的各种做法，俏江南都要事先选用大小一致的肘子，在中央厨房统一蒸或炖，然后再运往各个分店由正厨淋汁制作成品。这些统一标准的管理最大程度地保证了不同分店、不同厨师对同一菜品做出相同的口味。

（四）信息与沟通

信息与沟通是指及时地从内外部获取信息、确定并交流相关的信息，使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流。

俏江南的每一个分店都有一个和总店相连的信息系统，每天各个分店原材料的采购和使用都要经过核对后由专人录入信息系统，并且每一道菜品每天被点的次数也要经过统计录入信息系统。一般的餐饮公司管理者通常只对原材料的原始购入量比较清楚，但是经过一段时间后便对使用量、库存等问题模糊不清了。俏江南的信息系统对于原材料每天的使用量、库存，包括每天每道菜品卖出去多少，管理层都能了然于胸。

（五）监督

一般来说，餐饮业最有效的监督是将经理层监督、财务监督和内部审计监督结合起来。所以，首先来说，作为整天和一线工作人员打交道的经理层才是对内控有效性最有发言权的人，但是俏江南的信息基本掌握在董事手中，这使得与一线员工的沟通不够，监督难以切实到位，应该充分激励经理层的积极性，让他们推进与一线员工的沟通，不断监督并不断改进。其二，作为监督最重要的部分财务监督的主要内容包括收入审计、成本审计、报表 分析、预算控制等。其中收入审计需次日完成各类营业报表的审计，保证各项成本费用收入统计等满足公司规章。一直以来，俏江南的内部控制信息披露都不够充分。不过，俏江南正在努力改变，使内部控制更到位，比如2009 年俏江南启动了内部审计，定期对内部控制进行评估。此外，他们2010 年上半刚刚完成员工持股的改革，俏江南的组织架构也发生了某些变化。

三．总结

从对于俏江南集团内部控制及风险管理这个案例的研究，给连锁餐饮企业经营发展过程中内部控制以及风险管理带来的其实：

1.明确市场定位，树立品牌意识，加强品牌建设。品牌是开拓市场，增强自身标示的主要武器。俏江南明确的品牌定位为他们锁定了客户群，也充分发挥了品牌效应，打响知名度。2.积极推行标准化。连锁餐饮经营的标准化进程主要表现在两个方面：一方面是企业整体形象的标准化，另外一方面是餐饮标准化。既要保证直营店的整体形象，加强监督控制，同时也要强化对加盟店的管理。在此过程中不应急功近利，要稳步扩张，降低财务风险和控制风险。而对于餐饮标准化，不同连锁餐饮企业应该开拓适合自身的方式，这也是留住顾客，维系稳定客源的重要方面。

3.完善企业的物流供应链。建立一个比较完整的物流供应链，才能保证质量、供应，提高效率、节约成本。一个比较完整的供应链应该包括总店、采购基地、原材料基地、配送中心、物流中心、分店等。学习俏江南采取原材料价格锁定战略也不失为一个很好的方式。

主要参考文献

中文论文：