關于內(nèi)部控制與風險管理在企業(yè)運營中應用的探討

朱英曉

現(xiàn)代化企業(yè)管理中，內(nèi)部控制與風險管理緊密結(jié)合才能促使企業(yè)高效安全運營，但是內(nèi)部控制與風險管理該如何融合于企業(yè)運營的每個環(huán)節(jié)，通過管理實踐筆者認為只有通過不斷認識、把握、實施、反饋才能建立起高效的風險控制管理體系。

一、內(nèi)部控制與風險的定義與關系

內(nèi)部控制：《企業(yè)內(nèi)部控制基本規(guī)范》所稱的內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

風險：是未來不確定性對目標的影響。

內(nèi)部控制與風險之間的關系：企業(yè)建立和完善內(nèi)部控制體系，其最終目的是為了控制風險，實現(xiàn)企業(yè)目標。它們之間的關系如下圖所示。

二、企業(yè)在運營過程中面臨的風險

（一）戰(zhàn)略風險

指企業(yè)在戰(zhàn)略的制訂和實施上出現(xiàn)錯誤，或因未能隨環(huán)境的改變而做出適當?shù)恼{(diào)整，從而導致經(jīng)濟上的損失。常見的戰(zhàn)略風險包括宏觀政策及形勢把握風險、新產(chǎn)品推廣策略風險、對新市場開發(fā)投入風險和并購風險。

（二）財務風險

指因公司財務結(jié)構(gòu)不合理、融資不當使公司可能喪失償債能力而導致投資者預期收益下降的風險。包括資金結(jié)構(gòu)與現(xiàn)金流風險、會計核算與流程的風險和會計及財務報告風險等。

（三）市場風險

指未來市場價格（價格、 利率、匯率、股票價格）的不確定性對企業(yè)實現(xiàn)其既定目標的影響。市場風險包括商品價格與物資供應風險、客戶及供應商信用風險、稅收風險、利率、匯率風險和競爭風險。這些市場因素可能直接對企業(yè)產(chǎn)生影響，也可能是通過對其競爭者、供應商或者消費者間接對企業(yè)產(chǎn)生影響。

（四）運營風險

指企業(yè)在運營過程中，由于外部環(huán)境的復雜性和變動性以及主體對環(huán)境的認知能力和適應能力的有限性，而導致的運營失敗或使運營活動達不到預期的目標的可能性及其損失。運營風險并不是指某一種具體特定的風險，而是包含一系列具體的風險。包括內(nèi)部管理風險、業(yè)務流程與信息系統(tǒng)風險和企業(yè)風險管理現(xiàn)狀與能力。

（五）法律風險

指公司在經(jīng)營過程中違反法律法規(guī)，簽訂合同的內(nèi)容在法律上有缺陷或不完善而發(fā)生法律糾紛甚至無法履約，以及法律的不完善或修訂產(chǎn)生的不確定性等面臨的風險。包括國內(nèi)外政治法律環(huán)境與政策、員工道德操守、重大協(xié)議與合同的遵守與履行、法律糾紛和知識產(chǎn)權(quán)。

三、內(nèi)部控制與風險管理實施的目標

目標一：從風險控制的角度出發(fā)，立足于提升公司的管理水平，建設形成涵蓋公司層面、業(yè)務層面、信息系統(tǒng)層面，內(nèi)容規(guī)范、實施有效的內(nèi)部控制體系。

分先內(nèi)控管理既從滿足監(jiān)管角度出發(fā)，又立足于公司的實際需求與自身發(fā)展特點，建立完善內(nèi)部控制體系，促進企業(yè)遵循法規(guī)、維護企業(yè)資產(chǎn)安全、提、提高企業(yè)經(jīng)營效率、推進全面風險管控。

目標二：通過對公司現(xiàn)有電子信息系統(tǒng)的診斷、優(yōu)化和提升，實現(xiàn)內(nèi)控要求與公司現(xiàn)有電子信息系統(tǒng)的整合、對接。

從內(nèi)部控制體系建設與信息化建設的同步整合角度，在完善內(nèi)控體系的過程中，將內(nèi)部控制成果與信息化系統(tǒng)進行對接，以實現(xiàn)內(nèi)部控制的落地，提高內(nèi)控制度的執(zhí)行力。

目標三：完成風險內(nèi)控體系在公司領導層、職能部門管理層、子公司管理層及其他必需的層級和范圍內(nèi)人員的培訓和咨詢工作。

強調(diào)方案成果的實施和落地，對風險內(nèi)控體系的實施和相關咨詢師的知識轉(zhuǎn)移等工作提出具體要求，使風險內(nèi)控觀念深入到公司的各個層面，使之成為一種管理習慣。

三、風險控制管理應遵循的原則

（一）分層建立內(nèi)部控制體系

作為分子公司眾多的大型集團公司，公司內(nèi)控體系建設既要考慮公司總部的管控要求，又要考慮下屬分、子公司的管控要求，整個內(nèi)控體系是一個在集團管控模式下的分層管控方式。

（二）注重實效

最佳的風險內(nèi)控體系不是用理論最佳，而是最佳實踐解釋是風控管理的基本理念。通過務實的風控體系設計，確保內(nèi)控體系符合企業(yè)實際，能夠有效落實和執(zhí)行，才能打造適用于公司最佳管理實踐。

（三）持續(xù)管理提升

管理體系與機制不是一勞永逸的，風險內(nèi)控的的完善是一個長期的、持續(xù)的過程，需要逐步地、循序漸進，以日臻完善。大體上風險內(nèi)控要體系要經(jīng)過一下幾個階段：合規(guī)型風險內(nèi)控、管理型風險內(nèi)控、體系型風險內(nèi)控、全面型風險內(nèi)控。

四、風險控制管理實施步驟及控制要點

（一）引進先進理念—風險控制培訓

實施項目前期培訓，形成風險控制理念，主要是充實內(nèi)部控制基礎知識、法規(guī)等知識，明確內(nèi)控項目實施計劃、過程和成果方面的目標。

（二）剖析自身管理—風險控制調(diào)查和評價

首先進行內(nèi)部控制調(diào)查和評價，通過查閱公司制度和資料、人員訪談、發(fā)放調(diào)查問卷、穿行測試、實地考察等方法，深入梳理公司業(yè)務流程，發(fā)現(xiàn)內(nèi)部控制中存在的問題，以此為基礎對公司內(nèi)部控制狀況進行評價，編制《內(nèi)部控制評價報告》，為改進內(nèi)部控制提供參考和建議。

（三）完善業(yè)務流程—內(nèi)部控制設計

根據(jù)內(nèi)控調(diào)查和評價中了解的內(nèi)容，按照《內(nèi)部控制手冊》的設計標準開展內(nèi)控設計工作，形成《內(nèi)部控制手冊》。《內(nèi)部控制手冊》至少應包括：標準流程控制文件、風險控制矩陣。

（四）識別內(nèi)外部風險—梳理風險清單

在內(nèi)部控制項目過程中，公司各部門對影響公司目標、部門目標的風險進行識別、歸類，并對各項風險的權(quán)重進行評估，最終形成公司的風險清單和公司風險庫，作為公司風險管理的依據(jù)。

（五）不斷優(yōu)化—風險內(nèi)控實施及優(yōu)化

在公司形成《內(nèi)部控制手冊》后，確定試用階段，在實施過程中對反映出來的問題加以修訂，不斷優(yōu)化。之后《內(nèi)部控制手冊》每年都要根據(jù)企業(yè)運營狀況對其進行修訂以使整個經(jīng)營過程的風險處于有效的控制范圍內(nèi)。

現(xiàn)代化企業(yè)管理中，內(nèi)部控制與風險管理緊密結(jié)合才能促使企業(yè)高效安全運營，但是內(nèi)部控制與風險管理該如何融合于企業(yè)運營的每個環(huán)節(jié)，通過管理實踐筆者認為只有通過不斷認識、把握、實施、反饋才能建立起高效的風險控制管理體系。

一、內(nèi)部控制與風險的定義與關系

內(nèi)部控制：《企業(yè)內(nèi)部控制基本規(guī)范》所稱的內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

風險：是未來不確定性對目標的影響。

內(nèi)部控制與風險之間的關系：企業(yè)建立和完善內(nèi)部控制體系，其最終目的是為了控制風險，實現(xiàn)企業(yè)目標。它們之間的關系如下圖所示。

二、企業(yè)在運營過程中面臨的風險

（一）戰(zhàn)略風險

指企業(yè)在戰(zhàn)略的制訂和實施上出現(xiàn)錯誤，或因未能隨環(huán)境的改變而做出適當?shù)恼{(diào)整，從而導致經(jīng)濟上的損失。常見的戰(zhàn)略風險包括宏觀政策及形勢把握風險、新產(chǎn)品推廣策略風險、對新市場開發(fā)投入風險和并購風險。

（二）財務風險

指因公司財務結(jié)構(gòu)不合理、融資不當使公司可能喪失償債能力而導致投資者預期收益下降的風險。包括資金結(jié)構(gòu)與現(xiàn)金流風險、會計核算與流程的風險和會計及財務報告風險等。

（三）市場風險

指未來市場價格（價格、 利率、匯率、股票價格）的不確定性對企業(yè)實現(xiàn)其既定目標的影響。市場風險包括商品價格與物資供應風險、客戶及供應商信用風險、稅收風險、利率、匯率風險和競爭風險。這些市場因素可能直接對企業(yè)產(chǎn)生影響，也可能是通過對其競爭者、供應商或者消費者間接對企業(yè)產(chǎn)生影響。

（四）運營風險

指企業(yè)在運營過程中，由于外部環(huán)境的復雜性和變動性以及主體對環(huán)境的認知能力和適應能力的有限性，而導致的運營失敗或使運營活動達不到預期的目標的可能性及其損失。運營風險并不是指某一種具體特定的風險，而是包含一系列具體的風險。包括內(nèi)部管理風險、業(yè)務流程與信息系統(tǒng)風險和企業(yè)風險管理現(xiàn)狀與能力。

（五）法律風險

指公司在經(jīng)營過程中違反法律法規(guī)，簽訂合同的內(nèi)容在法律上有缺陷或不完善而發(fā)生法律糾紛甚至無法履約，以及法律的不完善或修訂產(chǎn)生的不確定性等面臨的風險。包括國內(nèi)外政治法律環(huán)境與政策、員工道德操守、重大協(xié)議與合同的遵守與履行、法律糾紛和知識產(chǎn)權(quán)。

三、內(nèi)部控制與風險管理實施的目標

目標一：從風險控制的角度出發(fā)，立足于提升公司的管理水平，建設形成涵蓋公司層面、業(yè)務層面、信息系統(tǒng)層面，內(nèi)容規(guī)范、實施有效的內(nèi)部控制體系。

分先內(nèi)控管理既從滿足監(jiān)管角度出發(fā)，又立足于公司的實際需求與自身發(fā)展特點，建立完善內(nèi)部控制體系，促進企業(yè)遵循法規(guī)、維護企業(yè)資產(chǎn)安全、提、提高企業(yè)經(jīng)營效率、推進全面風險管控。

目標二：通過對公司現(xiàn)有電子信息系統(tǒng)的診斷、優(yōu)化和提升，實現(xiàn)內(nèi)控要求與公司現(xiàn)有電子信息系統(tǒng)的整合、對接。

從內(nèi)部控制體系建設與信息化建設的同步整合角度，在完善內(nèi)控體系的過程中，將內(nèi)部控制成果與信息化系統(tǒng)進行對接，以實現(xiàn)內(nèi)部控制的落地，提高內(nèi)控制度的執(zhí)行力。

目標三：完成風險內(nèi)控體系在公司領導層、職能部門管理層、子公司管理層及其他必需的層級和范圍內(nèi)人員的培訓和咨詢工作。

強調(diào)方案成果的實施和落地，對風險內(nèi)控體系的實施和相關咨詢師的知識轉(zhuǎn)移等工作提出具體要求，使風險內(nèi)控觀念深入到公司的各個層面，使之成為一種管理習慣。

三、風險控制管理應遵循的原則

（一）分層建立內(nèi)部控制體系

作為分子公司眾多的大型集團公司，公司內(nèi)控體系建設既要考慮公司總部的管控要求，又要考慮下屬分、子公司的管控要求，整個內(nèi)控體系是一個在集團管控模式下的分層管控方式。

（二）注重實效

最佳的風險內(nèi)控體系不是用理論最佳，而是最佳實踐解釋是風控管理的基本理念。通過務實的風控體系設計，確保內(nèi)控體系符合企業(yè)實際，能夠有效落實和執(zhí)行，才能打造適用于公司最佳管理實踐。

（三）持續(xù)管理提升

管理體系與機制不是一勞永逸的，風險內(nèi)控的的完善是一個長期的、持續(xù)的過程，需要逐步地、循序漸進，以日臻完善。大體上風險內(nèi)控要體系要經(jīng)過一下幾個階段：合規(guī)型風險內(nèi)控、管理型風險內(nèi)控、體系型風險內(nèi)控、全面型風險內(nèi)控。

四、風險控制管理實施步驟及控制要點

（一）引進先進理念—風險控制培訓

實施項目前期培訓，形成風險控制理念，主要是充實內(nèi)部控制基礎知識、法規(guī)等知識，明確內(nèi)控項目實施計劃、過程和成果方面的目標。

（二）剖析自身管理—風險控制調(diào)查和評價

首先進行內(nèi)部控制調(diào)查和評價，通過查閱公司制度和資料、人員訪談、發(fā)放調(diào)查問卷、穿行測試、實地考察等方法，深入梳理公司業(yè)務流程，發(fā)現(xiàn)內(nèi)部控制中存在的問題，以此為基礎對公司內(nèi)部控制狀況進行評價，編制《內(nèi)部控制評價報告》，為改進內(nèi)部控制提供參考和建議。

（三）完善業(yè)務流程—內(nèi)部控制設計

根據(jù)內(nèi)控調(diào)查和評價中了解的內(nèi)容，按照《內(nèi)部控制手冊》的設計標準開展內(nèi)控設計工作，形成《內(nèi)部控制手冊》。《內(nèi)部控制手冊》至少應包括：標準流程控制文件、風險控制矩陣。

（四）識別內(nèi)外部風險—梳理風險清單

在內(nèi)部控制項目過程中，公司各部門對影響公司目標、部門目標的風險進行識別、歸類，并對各項風險的權(quán)重進行評估，最終形成公司的風險清單和公司風險庫，作為公司風險管理的依據(jù)。

（五）不斷優(yōu)化—風險內(nèi)控實施及優(yōu)化

在公司形成《內(nèi)部控制手冊》后，確定試用階段，在實施過程中對反映出來的問題加以修訂，不斷優(yōu)化。之后《內(nèi)部控制手冊》每年都要根據(jù)企業(yè)運營狀況對其進行修訂以使整個經(jīng)營過程的風險處于有效的控制范圍內(nèi)。

現(xiàn)代化企業(yè)管理中，內(nèi)部控制與風險管理緊密結(jié)合才能促使企業(yè)高效安全運營，但是內(nèi)部控制與風險管理該如何融合于企業(yè)運營的每個環(huán)節(jié)，通過管理實踐筆者認為只有通過不斷認識、把握、實施、反饋才能建立起高效的風險控制管理體系。

一、內(nèi)部控制與風險的定義與關系

內(nèi)部控制：《企業(yè)內(nèi)部控制基本規(guī)范》所稱的內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

風險：是未來不確定性對目標的影響。

內(nèi)部控制與風險之間的關系：企業(yè)建立和完善內(nèi)部控制體系，其最終目的是為了控制風險，實現(xiàn)企業(yè)目標。它們之間的關系如下圖所示。

二、企業(yè)在運營過程中面臨的風險

（一）戰(zhàn)略風險

指企業(yè)在戰(zhàn)略的制訂和實施上出現(xiàn)錯誤，或因未能隨環(huán)境的改變而做出適當?shù)恼{(diào)整，從而導致經(jīng)濟上的損失。常見的戰(zhàn)略風險包括宏觀政策及形勢把握風險、新產(chǎn)品推廣策略風險、對新市場開發(fā)投入風險和并購風險。

（二）財務風險

指因公司財務結(jié)構(gòu)不合理、融資不當使公司可能喪失償債能力而導致投資者預期收益下降的風險。包括資金結(jié)構(gòu)與現(xiàn)金流風險、會計核算與流程的風險和會計及財務報告風險等。

（三）市場風險

指未來市場價格（價格、 利率、匯率、股票價格）的不確定性對企業(yè)實現(xiàn)其既定目標的影響。市場風險包括商品價格與物資供應風險、客戶及供應商信用風險、稅收風險、利率、匯率風險和競爭風險。這些市場因素可能直接對企業(yè)產(chǎn)生影響，也可能是通過對其競爭者、供應商或者消費者間接對企業(yè)產(chǎn)生影響。

（四）運營風險

指企業(yè)在運營過程中，由于外部環(huán)境的復雜性和變動性以及主體對環(huán)境的認知能力和適應能力的有限性，而導致的運營失敗或使運營活動達不到預期的目標的可能性及其損失。運營風險并不是指某一種具體特定的風險，而是包含一系列具體的風險。包括內(nèi)部管理風險、業(yè)務流程與信息系統(tǒng)風險和企業(yè)風險管理現(xiàn)狀與能力。

（五）法律風險

指公司在經(jīng)營過程中違反法律法規(guī)，簽訂合同的內(nèi)容在法律上有缺陷或不完善而發(fā)生法律糾紛甚至無法履約，以及法律的不完善或修訂產(chǎn)生的不確定性等面臨的風險。包括國內(nèi)外政治法律環(huán)境與政策、員工道德操守、重大協(xié)議與合同的遵守與履行、法律糾紛和知識產(chǎn)權(quán)。

三、內(nèi)部控制與風險管理實施的目標

目標一：從風險控制的角度出發(fā)，立足于提升公司的管理水平，建設形成涵蓋公司層面、業(yè)務層面、信息系統(tǒng)層面，內(nèi)容規(guī)范、實施有效的內(nèi)部控制體系。

分先內(nèi)控管理既從滿足監(jiān)管角度出發(fā)，又立足于公司的實際需求與自身發(fā)展特點，建立完善內(nèi)部控制體系，促進企業(yè)遵循法規(guī)、維護企業(yè)資產(chǎn)安全、提、提高企業(yè)經(jīng)營效率、推進全面風險管控。

目標二：通過對公司現(xiàn)有電子信息系統(tǒng)的診斷、優(yōu)化和提升，實現(xiàn)內(nèi)控要求與公司現(xiàn)有電子信息系統(tǒng)的整合、對接。

從內(nèi)部控制體系建設與信息化建設的同步整合角度，在完善內(nèi)控體系的過程中，將內(nèi)部控制成果與信息化系統(tǒng)進行對接，以實現(xiàn)內(nèi)部控制的落地，提高內(nèi)控制度的執(zhí)行力。

目標三：完成風險內(nèi)控體系在公司領導層、職能部門管理層、子公司管理層及其他必需的層級和范圍內(nèi)人員的培訓和咨詢工作。

強調(diào)方案成果的實施和落地，對風險內(nèi)控體系的實施和相關咨詢師的知識轉(zhuǎn)移等工作提出具體要求，使風險內(nèi)控觀念深入到公司的各個層面，使之成為一種管理習慣。

三、風險控制管理應遵循的原則

（一）分層建立內(nèi)部控制體系

作為分子公司眾多的大型集團公司，公司內(nèi)控體系建設既要考慮公司總部的管控要求，又要考慮下屬分、子公司的管控要求，整個內(nèi)控體系是一個在集團管控模式下的分層管控方式。

（二）注重實效

最佳的風險內(nèi)控體系不是用理論最佳，而是最佳實踐解釋是風控管理的基本理念。通過務實的風控體系設計，確保內(nèi)控體系符合企業(yè)實際，能夠有效落實和執(zhí)行，才能打造適用于公司最佳管理實踐。

（三）持續(xù)管理提升

管理體系與機制不是一勞永逸的，風險內(nèi)控的的完善是一個長期的、持續(xù)的過程，需要逐步地、循序漸進，以日臻完善。大體上風險內(nèi)控要體系要經(jīng)過一下幾個階段：合規(guī)型風險內(nèi)控、管理型風險內(nèi)控、體系型風險內(nèi)控、全面型風險內(nèi)控。

四、風險控制管理實施步驟及控制要點

（一）引進先進理念—風險控制培訓

實施項目前期培訓，形成風險控制理念，主要是充實內(nèi)部控制基礎知識、法規(guī)等知識，明確內(nèi)控項目實施計劃、過程和成果方面的目標。

（二）剖析自身管理—風險控制調(diào)查和評價

首先進行內(nèi)部控制調(diào)查和評價，通過查閱公司制度和資料、人員訪談、發(fā)放調(diào)查問卷、穿行測試、實地考察等方法，深入梳理公司業(yè)務流程，發(fā)現(xiàn)內(nèi)部控制中存在的問題，以此為基礎對公司內(nèi)部控制狀況進行評價，編制《內(nèi)部控制評價報告》，為改進內(nèi)部控制提供參考和建議。

（三）完善業(yè)務流程—內(nèi)部控制設計

根據(jù)內(nèi)控調(diào)查和評價中了解的內(nèi)容，按照《內(nèi)部控制手冊》的設計標準開展內(nèi)控設計工作，形成《內(nèi)部控制手冊》。《內(nèi)部控制手冊》至少應包括：標準流程控制文件、風險控制矩陣。

（四）識別內(nèi)外部風險—梳理風險清單

在內(nèi)部控制項目過程中，公司各部門對影響公司目標、部門目標的風險進行識別、歸類，并對各項風險的權(quán)重進行評估，最終形成公司的風險清單和公司風險庫，作為公司風險管理的依據(jù)。

（五）不斷優(yōu)化—風險內(nèi)控實施及優(yōu)化

在公司形成《內(nèi)部控制手冊》后，確定試用階段，在實施過程中對反映出來的問題加以修訂，不斷優(yōu)化。之后《內(nèi)部控制手冊》每年都要根據(jù)企業(yè)運營狀況對其進行修訂以使整個經(jīng)營過程的風險處于有效的控制范圍內(nèi)。