企业如何进行有效的内部控制与风险管理？

　　内部控制与风险管理密不可分。风险管理是内部控制的核心，也是内部控制的目标，内部控制是管理风险的一种手段。因此在理解内部控制之前，首先要弄清楚企业有哪些风险，哪些是可以通过内部控制防范的，哪些是通过其他手段防范的。
　　一、识别企业风险分类。
　　风险分类的方式有很多，跟内部控制联系在一起，风险按照主要成因归纳成以下四种类别：
　　战略风险：指市场、产品和投资规划或决策等能力有限而影响整个企业中长期生存能力、竞争力、发展方向、战略目标、效益的重要风险，如竞争格局风险等。
　　外部风险：指外部环境风险及法律法规遵从风险，如政治和政策风险、法律和法规遵从、自然灾害等。
　　运营风险：指企业在运营过程中由于内部运作、人力和技术能力的有限性导致运营失败、达不到预期运营目标、造成损失的风险，如业务连续性风险等。
　　财务风险：是指由于多种因素的影响，导致公司资金资产损失、财务结构失衡等对公司当期或长期经营结果和声誉产生影响的风险。如客户信用风险、资本架构风险等。
　　例如华为芯片事故，我国通信巨头华为在手机、5G等众多高科技领域取得了一系列成绩之后，却遭到了美国不公平的对待，美国对华为实施全面“断供”。而华为通过自身成熟的风险评估和预设体系，建立适应全面风险管理要求的内部控制机制，做到事前预防、事中控制、事后补救的三种控制体系，所以才有新品发布会如期推出，企业经营如常进行。
　　二、明确内部控制的目标。
　　广义的风险是中性的概念，它既有可能给企业带来损失，也有可能给企业带来收益。因此，企业采取内部控制措施的时候，还需要把可控风险再进一步分类。有时候，企业在做内部控制方案的时候，会考虑成本与收益的问题。比如某类风险发生后带来的损失很少，但是采取控制措施的成本很高，可能企业觉得不划算，干脆就任由风险发生。
　　我的观点是，千里之堤毁于蚁穴，企业的风险都不是孤立的，尽管某个风险表面上带来的损失很小，但是这个风险很有可能关联到其他方面，这种潜在的影响有时候是无法估量的，或者说在当时是无法预料的。因此，既然已经看到了风险，就必须想办法控制。比如华为，在面对风险时采取了以下规避措施。影响预定目标达成的诸多风险因素，结合决策者自身的风险偏好和风险承受能力，做出中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。
　　风险降低：指采取措施降低风险发生的可能性或影响度，或同时降低两者。
　　风险转移：指将风险及其可能造成的损失全部或部分转移给他人。常见的方法包括购买保险产品、从事避险交易或外包某项业务。
　　风险接受：承担风险，不采取措施去干预风险发生的可能性和影响度。
　　三、内部控制如何去做？
　　明白了内部控制与风险的关系，就要采取一些措施去实现目标。五要素已经非常全面的把内部控制的流程概括好了，按照五要素的要求，中规中矩的做风险管理，简单介绍一下五要素如何去实施。
　　内部环境。
　　不管做什么事，一个有利的环境是必须的。内控的核心是制衡，就叫做令行禁止吧。古代行军打仗之前，都会颁布几项纪律。我们有三大纪律八项注意。这就是塑造一种氛围，让大家听话，这样以后再下达什么命令就容易执行了。如果一开始就一盘散沙，后面就控制不了局面了。
　　内部环境就是要塑造一种纪律性的氛围。各个管理机构、部门都要明确自己的职责，权力恰当分配，一切行动听指挥。
　　风险评估。
　　包括识别风险、评估风险的影响、采用哪种应对方案。同时企业应该针对某项风险设置一个可承受度。为什么呢，因为上面提到过，风险与收益平衡，一点都不想承担风险，那么收益就没有了。
　　控制活动。
　　就是一些具体的做法了。要考虑上面提到过的一个原则：衡量控制措施的成本与防范风险带来的收益。控制措施可能有多种，当然是选择成本最小的那种，但是不能因为收益太小而不去控制。
　　信息与沟通。
　　我觉得这一条用处最大的就是反舞弊。有些舞弊行为，有可能是几个人串通，做出一套完整的流程，外部的人根本发现不了。因此设立举报或投诉的机制，把这些隐蔽的舞弊行为挖掘出来。其实很多大案要案，不是外部检查出来的，而是内部举报的。
　　监督。
　　就是看看内部控制措施有没有执行，执行的如何等等。监督，贵在独立和长效。独立不多说了。长效的意思是，建立长效机制，就是说这种监督不是一时的，而是持续的，不搞定期检查。
　　当今世界呈现出全球化的经济趋势，世界各地的经济连成一体，各企业之间的竞争也是越来越激烈，我国企业开始面临着激烈而严峻的挑战。所以，为了提高企业自身发展水平，必须在增强抵御风险的能力和加强财务风险防范等方面做出调整改善。企业的健康发展离不开内部控制管理的加强，有效加强企业的内控管理，也有利于防范财务风险，以此实现企业的健康发展。