內部控制發展方向——風險防范與控制

【摘 要】 隨著市場經濟的發展和企業環境的變化以及經濟發展全球化，現代企業所面臨的商業環境和市場競爭的不確定性越來越大，企業處于高風險的經營環境之中，風險已成為影響企業目標實現的重要因素，管理、防范與控制風險變得越來越重要。本文就企業風險的主要類型、企業風險防范與控制存在的主要問題以及如何進行風險的防范與控制進行了探討。

【關鍵詞】 內部控制； 風險類型； 風險防范與控制

2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部委聯合發布了《企業內部控制基本規范》，它標志著我國企業內部控制建設取得了重大發展。《企業內部控制基本規范》合理借鑒了以美國COSO報告為代表的內部控制框架體系，結合我國具體國情進行了調整和改進，與我國企業所處地具體環境及經營管理實踐相協調，為企業進行內部控制提供了統一標準，其整體架構主要由內部環境、風險評估、控制活動、信息與溝通、內部監督五項要素構成。

自改革開放以來，我國對企業內控制度的建設日益重視，頒布了若干法規，但是這些法規主要體現了從會計控制入手，突出會計核算和會計監督等環節，并向其他管理環節延伸的控制思路。即以內部會計控制為主，兼顧與會計相關的其它控制。但是隨著市場經濟的發展和企業環境的變化，經濟發展全球化，單純依賴會計控制已難以應對企業面對的市場風險，會計控制必須向風險控制等全過程、全方位控制發展。此次發布的《企業內部控制基本規范》，無論從原則上、目標與要素上都突出強調風險的防范與控制。加強和規范企業內部控制，就是要提高企業經營管理水平和風險防范能力，促進企業可持續發展。本文就內部控制中風險防范與控制淺談一下個人的認識。

一、企業面臨的主要風險

風險，源于事物的不確定性，是一個事項將發生并給目標實現帶來負面影響的可能性。進入二十一世紀，多樣化和多變性的環境使企業的經營管理經歷實質性的變革，由于技術的快速創新及由此導致的制度創新、經濟全球化、管理信息化、經營多元化的發展趨勢，現代企業所面臨的商業環境和市場競爭不確定性越來越大，一方面變化周期縮短，商業環境和市場競爭的變化速度超過了以往任何時代；另一方面商業環境和市場競爭變化越來越徹底，企業明天的生存與發展環境可能與今天的幾乎沒有任何必然的聯系，現代企業處于高風險的經營環境之中，企業生存與發展的環境面臨更大的風險。風險已成為影響企業目標實現的重要因素，管理、防范與控制風險變得越來越重要。企業內部控制系統存在的目的在于對威脅其目標實現的風險進行防范與控制。

對一個持續經營的企業而言，常見的企業風險包括：一是戰略風險，即不恰當的行動綱領和發展規劃導致的風險；二是決策風險，即決策失誤導致不能達到預期目的的可能性及其后果的風險；三是經營風險，即不適宜的經營手段導致的風險；四是財務風險，即失去融資能力或遭致無法承受的債務而導致的風險；五是信息風險，即不相關、不真實信息報告導致的風險；六是環境與法律風險，即環境驟變和政策不明朗導致的風險；七是災害風險，即由于戰爭、自然災害等人為不可抗拒的因素造成的風險等。

正是因為風險的存在，風險防范與控制才成為必要。風險防范與控制對企業來說具有特別重要的意義，不僅是企業內部控制的主要目標，而且應是企業內部控制的核心要素和軸心工作。

二、企業風險防范與控制存在的主要問題

目前我國絕大多數企業風險的防范及有效控制不到位。而針對如此多的風險，企業卻缺乏相應的控制，缺乏專門的風險管理機構、人員和適當的控制活動，造成企業的隱形失控因素。

（一）一些企業對風險因素的把握不夠全面

對于上面列舉的諸多風險因素，在經營管理過程中往往只看到部分風險，因而忽視了其他風險因素。沒有將各種風險因素作為決策和投資分析時的標準化考量要素。

（二）許多企業沒有建立起全面、系統的風險防范與控制體系

沒有認識到風險防范與控制具有更為深刻的內涵與外延，認識上的局限影響了實踐的推進。由于風險因素的復雜、多樣，控制風險需要多層面、多角度聯動，但目前許多企業沒有對風險實施統一管理，缺乏明確的風險控制流程，風險控制架構不健全，有些環節較薄弱。

（三）缺乏一套可以量化的風險識別、衡量指標

監管部門目前還沒有制定風險監管核心指標。對企業自身來說，由于專業知識、業務技能等的限制，對風險的識別和衡量更多的是依靠經驗，模型分析、量化分析較少，因此，常常難以做到有效的風險預警。

（四）沒有有效地將風險防范與控制理念導入企業文化建設全過程

目前，許多企業更多地注重具體項目的風險，對風險控制的理解較膚淺和狹隘，沒有認識到企業中的每個人、每個環節都關系到風險防范與控制，有的甚至認為風險的防范控制主要是個別部門、個別人的工作。因此，在強調建設企業文化時，有些企業并沒有將風險防范與控制滲透進企業價值觀，沒有深入員工人心，從而導致在行動上不能有效落實控制風險的要求。

三、企業如何進行風險的防范與控制

企業要樹立風險意識，針對各個風險控制點，有必要建立一套相對明晰、穩定、完善的控制程序，以確保風險控制機制順暢運行。

（一）建立風險防范與控制的技術程序

1.建立風險預警系統。企業風險預警系統是在以對相關信息（如相關產業政策、國內外市場競爭狀況、行業發展狀況，企業本身各類信息等等）采集基礎上，分析可能導致出現風險的根源性因素，通過定性與定量相結合的方法，發現經營活動中的潛在風險，提前向決策者發出警示，最終實現對企業經營活動的風險預控。風險預警系統應先于風險實際發生發出預警，使決策者在實際危機發生前，盡早采取措施、有效應對，防止風險的實際發生和盡量減少風險可能造成的損失。

2.識別風險。在風險預警系統的指導下，企業風險防范與控制主體特別是領導主體和操作主體要對上述可能產生的種種風險進行有效的識別，即要弄清企業潛在的及可能發生何種風險，并對風險產生的后果進行初步分析。

3.評估風險。探索制定一些可以量化的風險控制指標，這些指標內容應包括經濟風險類、信用風險類、流動性風險類、資本風險類、經營風險類等等，然后對風險進行定性和定量相結合的分析，必要時可進行壓力測試，從而評估風險的嚴重程度，以便為防范控制風險提供依據。

4.控制風險。根據風險評估結果及公司實際情況研究制定風險控制措施，并組織實施，盡全力防范控制風險。

（二）建立健全風險防范與控制的組織程序

1.制定明確的企業目標，確立風險防范控制的機制。企業在經營中必須制定戰略目標、經營目標、報告目標和合規目標，只有確立了清晰的目標，才能指導、引導和激勵企業上下朝著明確的方向前進。目前許多企業實際上沒有中長期的戰略目標，有的甚至沒有年度的經營計劃，如同“盲人摸象”般地從事經營管理活動，這必然潛藏了嚴重的風險。確立目標后，公司上下就會適時用目標衡量實踐活動，及時糾偏補正。

2.建立和完善企業規章制度是建立企業風險防范與控制的重要內容。如果企業沒有制度，無章可循，就會導致少數人隨意操縱局面，使企業面臨風險。加強風險管理就是要加強制度的建設，加強重大投資項目風險預警和防范等一系列的風險管理制度，強調以制度防范為基礎，形成規范的企業法律風險防范環境。

3.全員負責風險防范與控制。企業的風險防范與控制不是幾個人、幾個部門的工作，而是全員的任務，因此可以說，人人都是風險控制的主體，每個部門、每個崗位都是風險防范與控制的主體。

4.企業的高層領導是風險防范與控制的主要領導主體，在風險防范與控制中負有主要領導責任。高層領導行使風險防范與控制決策權。特別是應加強對管理層權力制衡的內控制度建設。對管理層權力制衡的內控制度建設是風險防范的基礎，也是最難實施的，畢竟企業管理層在建設內控制度時，首先要約束的恰恰是自己。從調查統計來看，企業發生一系列重大問題的根源，很大程度上歸咎于管理層內控約束機制的缺失。負責企業經營決策的高層領導們權力過大，又缺乏有效監督，當個人績效目標與公司及股東目標發生沖突時，他們往往會選擇前者，給企業發展帶來隱患。因此，對管理層進行權力制衡不但必要而且勢在必行。

5.風險控制落實到具體人。風險控制工作還要依靠經理層及下屬部門以及員工去執行，因此，企業要通過制度安排等將風險控制任務，明確落實到具體人。

6.完善制訂重大決策的內控流程。完善制訂重大決策的內控流程是企業風險防范與控制的關鍵。建立起面向企業管理層的內控制衡制度后，必須設計相關的關鍵控制流程與之配套。

7.強化對各關鍵環節的風險控制。在制度和流程優化之后，不管哪個關鍵控制點的風險量化發生偏差，都將導致最后的決策發生偏移。所以，有必要強化對各關鍵環節的風險防范與控制。

總之，加強和完善我國企業內部控制，有效防范和控制企業風險，已成為當前理論和實務界的共識，它對于改善我國企業內部控制現狀，保證企業有效運行有著非常重要的意義。

【參考文獻】

[1] 杜志麗，姚衛東.如何建立健全投資公司的全面風險控制機制.集團經濟研究.

[2] 企業內部控制基本規范.