基于內控的企業全面風險管理對策探析

張連燊

近年來，隨著全球經濟一體化進程的加快，市場競爭日趨激烈，市場環境更加復雜多變，企業面臨的風險亦日益凸顯，越來越多的企業開始關注全面風險管理，進行內部控制建設。為提升企業風險管理效率，構建基于內控的企業全面風險管理體系極為必要，本文對此提出了一些看法。

一、引言

隨著全球經濟一體化進程的加快，市場競爭日趨激烈，市場環境更加復雜多變，企業面臨的風險亦日益凸顯，風險發生的頻率和危害程度與日俱增。如何識別、評估、控制風險，避免風險給企業的生存、發展帶來重大不利影響，維持企業良性發展，已成為企業普遍關注的問題。近幾年來，在國家有關法律的規制要求下，越來越多的企業認識到良好的風險管理和內部控制機制的重要性，開始關注全面風險管理，進行內部控制建設。全面風險管理的目的同內部控制的目的是相同的，都為企業目標的實現、為企業更好的發展提供服務與保證，二者對企業同等重要。因而理論上，企業決策層可以根據企業實際情況，在內部控制與全面風險管理中任擇一項實施即可。但是在實踐中，內控系統與全面風險管理機制并非互相獨立，而是緊密相連的，因此，企業在建立風險管理系統時，應實現二者的有效結合，以提升企業風險管理效率。

二、企業內部控制與全面風險管理之間的內在關聯性

內部控制，是指企業為了實現其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在企業內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手段與措施。進行有效的內控可以保證企業財務可靠、營運有效、企業資產安全、降低企業風險，保證企業的良性發展。全面風險管理是一個過程，它由企業董事會、管理層以及其他員工執行，適用于企業戰略的制定和整個企業范圍，用來識別可能對企業產生影響的潛在事項，并將風險控制在企業可以承受的水平以內，為企業目標的實現提供合理保證。全面風險管理貫穿于企業的各個環節，產生于戰略決策之中，在企業日常經營中進行實踐，為企業的良性發展奠定基石。一般來講企業的全面風險管理應該包括三個方面：一是企業內部各個組織單元的設置及相應的風險管理職責。包括企業整體、各業務口、各個項目團隊及各個層級的風險控制職責；二是企業的相關風險管理目標。包括企業的戰略目標、生產經營目標、報告目標及合規目標；三是全面風險管理的要素。主要有進行事件分析、合理的風險評估、抵御風險的措施等。

可以看出，全面風險管理與內部控制具有一些共同的目標，如保障企業資產安全、財務記錄正確、企業合法經營等。內部控制是全面風險管理的重要核心內容，而全面風險管理則在內部控制的基礎上升華擴散。概括的說，內部控制使得企業的日常經營管理流程更加規范、財務管理真正得到有效執行，同時企業內部的規范性操作流程、財務管理控制也正是全面風險管理在企業實施的基本條件。從內控五要素來說，控制環境為全面風險管理的開展提供基礎，風險評估是全面風險管理開展的前提，控制活動保證了全面風險管理目標的實現，信息與交流是全面風險管理實施過程中的紐帶，監測則為全面風險管理的持續有效運行提供相關保證。從目前企業的管理發展趨勢來看，企業的全面風險管理與內部控制管理已經交集密切，互相密不可分。

三、基于內控的企業全面風險管理對策

（一）科學把握內部控制下風險管理構建原則。

一是注重成本效益原則。企業規模、類型不同，風險表現往往不同，應選擇適當的內控模式，盡量以較小的成本達到理想的風險控制效果。二是注重風險與效率的協調。控制要體現重要性原則，應在風險評估基礎上，進行風險分析，識別企業內控缺陷和關鍵控制點，對重大內控缺陷和關鍵控制點予以重點控制，而對非重大缺陷和非關鍵控制點則酌情取舍，避免眉毛胡子一把抓。三是注重內部控制與風險的適應性。隨著風險的變化，內部控制必然會隨之發生變化。風險的存在要求與之相適應的內部控制，風險的變化也要求內部控制變化。面對變化的風險，企業應當審視現有的規章制度和業務流程，廢止已經失效的內控制度，制定新的內部控制，確立新的關鍵控制點，應對新的風險。

（二）在企業內部創造良好的全面風險控制環境。

創造良好的全面風險控制環境，要注重構建具有風險意識的企業文化，建立良好的人力資源管理制度，明確權責劃分與獎罰機制，提升管理者管理思想與員工素質等，保證內部控制及全面風險管理在企業有效實施。在企業全面風險管理過程中，每一位員工應當明確個人職責對企業風險的影響，樹立“風險無處不在”的理念。企業治理與員工在企業內部的責任和作用的關系是企業全面風險管理的一個重要方面，也是充分有效開展全面風險管理工作的前提。

（三）構建風險導向的內部控制體系。

內部控制要以風險為導向，設計和實施控制活動，旨在全面降低和管控企業風險。具體措施有：開展內部控制現狀診斷評價，揭示風險管理的主要問題；建立風險識別分類框架，統一對風險的認識和理解；查找企業各個管理流程、各項重要經營活動中是否存在風險，具體是哪些風險，對企業風險事項進行全面識別；制定風險評估標準，從風險發生概率和影響程度大小評價各風險點的風險水平；根據風險評估結果，從公司層面和業務活動層面制定相應的風險管控策略。

（四）增強信息與溝通能力。

好的信息技術可以簡化風險控制流程，以達到有效的內部控制從而在此基礎上進行全面風險管理。因此，企業應當對內部控制以及風險管理的技術方面進行改善，增強信息與溝通能力。不能對風險的認識僅停留在以往的經驗判斷等粗放的了解階段，要重視現代科技手段的運用，構建科學的風險管理信息系統。利用好信息技術才能更好地促進溝通，更有效地促進全面風險管理。

（五）開展全面風險管理考評。

人們只會做你考評的事情，不會做你提倡的事情。要有效執行基于內控的企業全面風險管理體系，需要制定企業全面風險管理工作考評辦法，明確考評的組織機構、范圍對象、內容標準、方法程序，對企業各個層面的重大和重要風險事項及管理流程、業務流程的管控效果進行考評，評價其有效性。如果發現問題，要及時檢討內部控制體系，分析風險管控缺陷，并對全面風險管理體系加以改進，不斷完善企業全面風險管理。

（六）加快培養現代風險管理人才。

現代風險管理技術性含量非常高，以現代管理學、經濟學、數理統計學等學科知識為基礎，且引入了系統工程學等自然學科的研究方法，這對從事風險管理的人員的素質提出了很高的要求。從現狀來看，企業風險管理人才匱乏是當下一個突出問題，致使企業在風險評估、預測、防范、管理等工作中受到諸多制約。為適應新時期企業全面風險管理的需要，培養、挖掘和儲備精通風險管理理論、實操性強、洞察力與應急能力強的專業人才，增強風險管理專業隊伍的力量是當務之急。

四、結束語

內控系統與全面風險管理機制均是為企業更好的發展及實現其戰略目標服務。在企業規模不斷擴大、面臨的環境越來越復雜多變的形勢下，企業應當從擁有的資源能力及發展目標等自身的實際出發，將兩者有效地進行整合，構建基于內控系統的全面風險管理機制，從而實現最佳的協同效應，以提升企業風險管理效率。這既是社會經濟發展的必然要求，也是現時企業自身維持發展的重要保證。（作者單位為武漢光谷聯合集團有限公司）