基于風險管理的企業內部控制研究

(延邊大學 吉林 延吉 133002)

引言

市場競爭中決定一個企業競爭力的關鍵和核心，就是能否有效地對風險進行全面有效的控制管理，能否積極主動地承擔風險、管理風險、建立良好的風險管理架構和體系，以良好的風險定價策略獲得利潤。因此，全面風險管理是企業內部管理的核心，在整個管理體系中的地位己上升到企業發展戰略的高度，是企業風險控制的更高階段，是動態的、全程的、計量的、立體的風險控制。2004年COSO委員會在內部控制整體框架基礎，頒布了企業全面風險管理框架，代表了國際上關于內部控制研究的最高水平，也標志著全面風險管理時代的到來。

一、全面風險管理與內部控制的關系

(一)全面風險管理與內部控制的區別

1.涉及范疇不同

內部控制是一種管理職能，主要作用于事中與事后的控制，而全面風險管理則是貫穿于整個過程的各個環節，尤其是在事前就有了一定的預見性的風險考慮。而且全面風險管理的管理范圍要大于內部控制。

2.執行方式不同

全面風險管理所涉及的活動有很多是不需要內部控制來完成的。全面風險管理包含了制定風險管理目標和戰略、選擇風險評估方法、聘用管理人員以及報告程序等環節，而內部控制所負責的只是事中和事后的控制，如對報告的評估、對信息交流的監督、對錯誤的糾正等等。而最明顯的差異在于內部控制不涉及到企業經營目標的設立，只是對目標制定的過程進行控制。

3.風險管理不同

全面風險管理框架引入了風險偏好、風險預警、風險對策等方法概念，因此，在風險度量的基礎上，該框架可促使企業發展戰略向風險偏好靠攏。根據投入、風險、回報之問的聯系，合理進行資本分配。這些功能都是內部控制框架能力范圍之外的。

(二)全面風險管理與內部控制的聯系

內部控制從屬于全面風險管理，產生于實踐之中，并不斷發展完善。作為企業的重要的組織制度，為實現企業的管理目標而提供了保障。有效的內部控制可以保證企業營運有效、財務可靠，使企業風險值降到最小，保證企業的可持續發展。

全面風險管理產生于戰略決策之中，實踐于經營運作之中，貫穿于企業的各個環節，為企業持續發展提供保障。全面風險管理包括三個方面：一是企業的風險管理目標。包括經營目標、戰略目標、報告目標和合規目標；二是全面風險管理要素。

主要有目標設定、內部環境、事件分析、風險評估、風險對策、信息交流、控制監督；三是企業的各個層級的設置與風險管理職責。包括企業整體、各職能部門、各業務線和企業卜屬各子公司，以及各個層級的風險控制職責。

通過對二者描述，不難看出，無論是內部控制還是全面風險管理，最終的目的都是為了維護企業的財產安全、保證企業的經濟效益。綜合二者的關系，即內部控制為全面風險管理的必要組成部分，而全面風險管理則是對內部控制的延展。總體上來說，內部控制是企業具備規范的經營操作、有效的財務管理和穩定的盈利能力的保障，同時企業規范的經營、有效的財務管理和穩定的盈利能力也正是全面風險管理卜企業應具備的基本狀態。然而就國內外的發展趨勢分析，隨著二者的不斷發展與完善，聯系會更加密切，二者已存在交集、交集會逐步擴大、直至統一。

二、基于內部控制的企業全面風險管理存在的問題

我國企業的風險管理處于起步階段，企業內、外部環境對于全面風險管理的發展均存在不利因素，這些因素致使我國企業的風險管理存在很多問題。具體表現為：

(一)風險意識弱，管理知識有限

企業管理層風險意識弱，掌握的風險管理知識嚴重貧瘠。目前為止，我國很多公司的管理層沒有風險管理意識，他們不能及時有效地進行全面風險管理。我國企業不能將全面風險管理作為一種管理者的管理職能，企業運營大體上還是財務型控制被動經營。企業管理者在作出整體決策時，也不能加入全面風險管理的想法。主要體現在以下幾個方，首先第一個方面是，企業的管理者意識到了風險，才進行風險管理，而且不能進行有效的監督，如果沒有意識到就不采取措施；另一個方面，在對風險管理監督、評估、反應上，企業缺少這方面的技術，這使得企業不能有效的適應環境的劇烈和微弱變化，尤其更欠缺在管理風險和規避風險方面的能力。

(二)企業風險管理組織結構不完善

我國企業中有很大一部分都有非常嚴重的結構不合理問題。這使得各個部門的工作人員不能清楚的掌握本工作的職責和操作步驟，也使得承擔風險的主體不確定，因此具有單獨性的全面風險管理部門的形成存在很大的困難，與之匹配的風險管理人員嚴重不足。我國企業中基本沒有專業的風險管理者，風險發生時也不能確定誰是風險的承擔者，就是設置了全面風險管理部門，企業的每個部門之間或工作人員間也會不斷的推卸責任。這樣企業就不能形成對全面風險管理為之有效的控制，使得我國企業的在全面風險管理決策時，永遠以眼前利益為主。

(三)企業風險管理與內部控制被分開看待

企業經理人在建立風險管理系統時，將風險管理與內部控制脫離開來，不能在全面風險管理的基礎上建立對企業有益并有效的內部控制體系。第一，企業沒有強烈的風險管理的意識，因此嚴重缺少進行全面風險管理時所需要的必要的信息和數據；第二，企業的風險轉移很大一部分不是為了減少損失和防范損失而制定的；第三，我國在對企業安全性管理方面立法時沒有考慮到風險的評估，沒有制定相關的立法，因此我國企業對風險進行評估時無據可依，企業也嚴重缺少科學有效的風險評估；第四，在企業制定戰略的時候，很多企業都有賭博的行為。而做出賭博的決策時，企業卻缺少風險評估的相關知識和水平，這使得我國企業經常承擔了本不該是本公司應該承擔的風險，企業的發展受到嚴重影響。在企業受挫之后，不能清醒的認識何為機遇，何為風險，使很多機遇與企業失之交臂；第五，企業在進行經營決策時，不能進行科學的評估，也不能進行科學的決斷，這使得企業的經營戰略沒有長期目標，企業只注重短期目標。企業風險所具有的特點，使得我們必須通過有效的方法，在有風險損失時達到最全面的共同承擔，對風險事故所造成損失的后果能夠有效的控制。這正是現代風險管理的重要依據和理論基礎，它對于企業內部進行風險管理都具有深刻的意義。

三、構建全面風險管理和內部控制新機制

(一)建立以董事會制度為核心的公司治理結構

無論是從國際現代公司治理結構的規范來看，還是從我國國有獨資公司治理結構完善的角度出發，建立和完善董事會制度是公司治理結構的核心，是建立健全規范的公司法人治理結構的要求。國有獨資公司建立和完善以董事會制度為核心的現代公司治理結構，形成國資委、董事會、監事會和經理層協調的、高效運轉、有效制衡的監督約束運營機制，包括：

董事會的決策機制，董事會對經理層的監督機制，董事會對經理層的激勵機制，監事會對董事會和經理層監督機制。

國有獨資公司和國有控股公司建立獨立董事制度，來保證董事會能夠在重大決策、重大風險管理等方面作出獨立于經理層的判斷和選擇，實現董事會對經理層權力的監督和有效制衡。通過獨立董事履行職責的獨立性，強化董事會的作用，完善治理機制，維護公司整體利益。

董事會將公司經營大權由以總經理為代表的公司經理層，這是現代公司所有權與經營權分離產生的委托關系。正確處理董事會與總經理之間的委托代理關系是現代公司治理結構的關鍵。為了防止內部人控制，現代公司的董事會又通過其下設的各專業委員會，保證對公司的重大經營決策和對經理層的激勵與監督，并保證公司重大經營決策和激勵監督措施的科學合理性。

董事會下設風險管理委員會、審計委員會，獨立于公司經營、保障部門，直接向董事會負責，保證內部控制的獨立性和權威性。風險管理委員會，作為內部控制管理的主要決策機構，負責擬訂、執行內部控制程序； 審計委員會，作為全面風險管理的監督、評價部門，負責監察、評價內部控制的健全性、合理性和遵循性，督促管理層解決內部控制存在的問題。審計委員會監督、評價控制狀況，并將修正控制意見反饋給董事會，以完備控制體系。兩個委員會相互配合，共同實現全面風險管理的要求。

(二)加強制度管理約束，完善綜合內控體系

企業內部控制強調流程邏輯的嚴密性，強調信息輸入與輸出的環節相扣，強調業務過程的層層遞進，強調每個部門以及每個人在什么情況下應該做什么。在科學、嚴密的企業內部控制制度中，控制主體和控制行為將得到清楚的描述，這是傳統規章制度所不易達到的程度。企業內部控制制度是安全、有效的風險管理的基礎，直接影響企業管理目標的實現和公司財產的安全。

集團公司制定并實施了一系列內部控制制度，將各個業務過程環節加以有效控制，為建立健全內部控制奠定了較為完備的制度與規范體系：

1.加強貨幣資金管理的內部控制

為加強貨幣資金管理的內部控制，制定了《資金管理內部控制規范》。對貨幣資金業務建立嚴格的授權批準制度，明確審批人對貨幣資金業務的授權批準方式、權限、責任和相關控制措施； 規定經辦人辦理貨幣資金業務的職責范圍、工作要求和規定程序； 加強銀行預留印鑒的管理，確保貨幣資金的安全。

2.加強采購與付款的內部控制

加強采購與付款的內部控制，規范采購與付款行為，制定了《采購與付款內部控制規范》。明確公司內部所有涉及采購與付款業務生產部門、采購部門、驗收部門和財務部門，應當按照請購、審批、采購、驗收、付款等規定程序辦理采購及付款業務，并在采購與付款各環節設置相關記錄，加強請購手續、采購合同、驗收證明、入庫憑證、采購發票等文件和憑證的相互核對。

3.加強銷售與收款的內部控制

為加強銷售與收款的內部控制，規范銷售與收款行為，防范銷售與收款過程中的差錯和舞弊，制定了《銷售與收款內部控制規范》。針對銷售與收款業務，分別設立銷售辦理、發貨、收款三項業務部門，規定銷售部門應嚴格遵守公司價格管理制度、折扣政策、收款政策； 加強對賒銷業務的管理，充分考慮客戶信用狀況，降低貨款回籠風險； 定期核對應收賬款、就收票據、預收賬款等往來款項。

4.加強財務收支的內部控制

為加強涉及現金、銀行存款、銀行票據等方式收入和支付業務的內控管理，制定了《財務收支授權審批管理方法》。財務部負責組織財務收支審批授權，對未經授權審批或超越授權審批權限的業務款項拒絕辦理支付。

5.加強信息系統的內部控制

為規范信息系統的授權實施，確保管理信息系統穩定安全運行，制定了《管理信息系統授權管理辦法》。對公司各級管理信息系統，建立分級分組授權管理體系，由業務主管部門負責管理計算機系統功能的授權。明確操作功能原則上不對外單位授權，對涉及公司重大生產經營機密的，須經公司領導審批后才予授權。確保了公司經營信息的安全完整和合法使用。

6.加強擔保行為的內部控制

為嚴格控制擔保行為，禁止隨意提供信用擔保，保障公司資產安全，制定了《擔保管理辦法》。明確擔保的管理規范、審批流程及擔保后續管理等內容，防止被擔保單位財務狀況惡化或到期后不能還款而發生債務轉移等或有負債的發生。

在符合內部控制要求的前提下，全面梳理并進一步完善現有管理制度，整合業務操作流程，以建立起市場風險、信用風險和操作風險的防范體制，構筑起覆蓋所有業務類型和業務過程的內控體系，實現風險管理和業務發展的同步，構筑起全方位、立體交叉的監督管理網絡。逐步建立起業務管理服從規章制度、實務操作服務處理流程的新的管理制度體系和綜合內控體系。

綜合內控系統是風險管理的基礎，完整的內部控制體系和完善的內部控制制度是約束、規范企業運營行為的準則，是減少和有效控制風險的重大措施。

(三)梳理業務流程，制訂風險管理預案

企業的大多數風險會暴露在業務流程中，通過流程梳理與改造，將風險管理解決方案落實到內部控制上——正確設定業務流程中的關鍵控制點并選擇相應的控制手段，實現對操作行為的制衡。著手梳理公司全部業務流程，在收集風險管理初始信息和各項業務管理及重要業務流程的基礎上，進行風險評估，辨識關鍵控制環節和風險控制點，按照各單位和各部門的職責分工，制定對應的風險管理解決預案，確保各項內控措施落實到位。梳理業務流程，是實施公司運營風險預案的基礎。應把握好以下三條原則：

一是全面風險管理原則。二是垂直管理原則。 三是協調與效率原則。 在實施全面風險管理之前，關鍵環節的風險點、控制方式和控制預案散落在各個業務單元或業務流程中，并沒有被集合表示，尚未整合成公司全面風險管理體系。

實施全面風險管理，首先必須將公司管理功能進行歸納，將現行的管理功能去粗取精； 其次通過對公司業務流程的系統梳理，將現行部門的管理功能聯系起來，協調不一致、不連貫的功能； 最后形成上升到整個公司層面的業務流程，據此流程分析關鍵控制環節和風險點，編制公司風險管理預案。

基于全面風險管理的業務流程體系，系統性強，覆蓋了公司管理的各個方面，表現了公司管理的核心功能。用全面風險管理的理念對公司現有管理體系的整合，有利于提高公司整體管理水平，強化公司風險控制的功能，彌補現有管理體系的缺陷和不足。

結論

內部控制是風險管理的關鍵環節之一，是風險管理實際操作的核心。內控體現的完整性、準確性和有效性直接決定企業風險管理的效果。企業開展全面風險管理工作應與內部控制等管理活動緊密結合，把風險管理的各項要求滲透到企業各個領域，融入到企業管理和業務流程中。通過實施內部控制，完善治理結構、規范權力運行、強化監督約束，促進企業實現戰略目標、提升營運效率、提高信息質量、保證公司資產安全。