企業全面風險管理與內部控制機制研究

董佳琦 福建廈門抽水蓄能有限公司

一、全面風險管理與內部控制的歷史背景

風險一詞最初是指不確定性。全面風險管理，主要被應用于管理領域，是指企業圍繞總體經營目標，通過識別企業在經營管理的各個過程和環節中可能影響經營目標實現的潛在性或未識別的風險，執行風險管理的特定流程，將風險控制在企業可承受范圍內，進一步培育風險管理文化，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供全面、有效保證的過程和方法。

內部控制，是指圍繞全面風險管理目標，將風險管控要求融入企業流程、制度、職責、考核、文化等方面，由企業決策層、管理層和全體員工共同實施，貫穿企業經營活動的控制過程和管理方法。

國際上，1992年出版的COSO內部控制整合架構最早被用來設計、實施和管理內部控制，是較領先和有效的內部控制架構。歷史上，美國最大的能源公司——安然公司，利用會計審計制度中的缺陷，人為操縱利潤，特別是在2002年6月，再一次發生世界通信會計丑聞事件，強烈破壞了(美國)投資者對(美國)資本市場的信心。為了避免再次發生類似問題，美國國會和政府加速通過了《薩班斯法案》。《薩班斯法案》在風險管理層面對企業進行規范和要求，督促企業必須將各種風險考慮在經營范圍之內。在廣泛匯聚各國的風險管理成果的基礎上，歷時五年，2009年末，國際標準化組織(ISO)和國際電工委員會(IEC)，發布了適用于各種組織的風險管理國際標準ISO31000:2009，進一步闡釋了風險和風險管理的認識。伴隨商業逐步趨向科技化和范疇全球化，企業決策管理層渴望進一步補充完善內部控制制度，期待能有較好的透明度支持企業經營決策和組織治理，2013版COSO風險管理整合框架應運而生。

國內方面，2006年6月，《中央企業全面風險管理指引》對企業全面風險進行明確，指導企業規范開展全面風險管理工作，進一步提高企業管理水平，增強企業競爭力，促進企業穩步發展。2010年，《企業內部控制基本規范》出臺，要求企業通過遵循全面性、重要性、制衡性等原則，主要從信息與溝通、風險評估、內部監督、內部環境、控制活動等五個方面實行內部控制制度，促進企業提高經營管理水平和風險防范能力。

二、企業開展全面風險管理與內部控制的意義

目前，全面風險管理與內控控制管理在我國企業管理中是較為薄弱的環節，企業在應對風險時一般采用慣性思維，即先發生再處理，未雨綢繆意識淡薄，大多數企業“從上至下”對開展全面風險管理與內部控制的意義不明。在實踐中，有很多企業要么將兩者完全隔離開來，只開展全面風險管理或實施內部控制，要么只是簡單地將它們等同起來，實際上全面風險管理與內部控制相輔相成，兩者聯系緊密。一是全面風險管理中包括內部控制，在COSO(全國反虛假財務報告委員會的發起人委員會)框架中可以提現出來，此框架也明確指出，內部控制是企業全面風險管理的一個重要子系統。二是內部控制是實施全面風險管理過程中必不可少的環節。企業全面風險管理需圍繞企業內部環境提前設定風險防控目標，建立風險管控標準。風險防控目標的設定以企業的發展戰略及企業文化等內控控制評價為基礎，風險管控標準的建立也同時依賴于企業首先識別內部控制缺陷。內控控制評價和內部控制缺陷，是企業進行內部控制的有效實施手段。此外，企業可以通過實施內部控制流程，一定程度上監督和防范企業在經營管理過程中因管理決策程序不完善、制度設定存在缺陷等方面風險。因此，企業進行內部控制對開展全面風險管理而言非常必要，同時，維持充分的內控系統也是國內外許多法律法規的合規要求。

開展全面風險與內部控制管理，一方面，可以通過全面風險管理與內部控制體系形成企業風險預警，利用現有信息系統技術，幫助企業面對突發事件快速響應，及時獲取風險預案，從容準備風險行動，提高企業抗風險能力。另一方面，開展全面風險管理與內部控制，可以促進企業完善制度管理體系，明確企業內部各部門及各崗位的職責權利，進一步規范業務操作流程，提高企業管理效率，增強企業的管理水平。

三、企業在實行全面風險管理與內部控制中存在的問題

(一)缺乏風險管理意識

實踐中，很多企業在全面風險管理與內部控制文化方面缺失，決策層作為企業管理的第一責任人，不能從宏觀層面意識到風險管理與內部控制的開展對實現企業戰略的重要性，“重業務輕風險”現象突出，企業風險管理憂患意識和預控意識不足，內部控制作用發揮不明顯，在觀念理解上還未完全正確認識風險管理與內部控制同企業經營業務發展的關系，某些企業還存在采用回避風險的方式進行風險管理，企業長遠發展目標不能與外部社會環境適應，企業面臨發展系統性風險；管理層作為企業的中堅力量，風險管理意識淡薄，內部控制手段不夠有效，企業全面風險管理未能真正融入到經營管理各管理流程和業務環節，企業內部無獨立風險管理專業部門，導致風險管理與內部控制僅僅是企業門內部形勢主義，無法形成有效的內部控制機制，不能發揮真正作用。

具體表現為，有的企業或沒有設立風險管理部門，或將風險管理部門與業務職能部門合并，管理職責分散，各部門各員工各行其是，互不溝通，審計部門負責財務方面的風險，人力資源部門負責人力資源部門方面的風險，技術經濟部門負責技術經濟方面的風險，全面風險管理缺乏應有的獨立性，不能充分發揮其對業務部門的風險監督管理職能，無法承擔起具有權威性的獨立風險管理職責。同時，因風險管理未形成單獨管理部門，企業內部監督無法真正落實，風險管理缺乏內部監督重要管理流程，企業的風險管理監督效果不夠顯著。

另外，管理層作為企業決策執行的“領頭羊”，缺乏對員工風險管理與內部控制管理理念的傳遞，員工感受不到風險管理與內部控制文化的氛圍，無法平衡和掌握風險管理與內部控制的聯系，對風險管理缺乏敏銳性和預判性，導致企業整體風險防范意識不足。

(二)缺乏風險管理機制，制度執行力不足

企業在應對風險方面缺乏有效的風險管理機制和風險防控體系，風險管理制度體系不能完全滿足企業實際發展的需求。表現為：一是風險管理制度停留在制定層面，流于形勢，不考慮企業實際情況，制度一旦制定處于靜止狀態，企業無法實際執行。二是企業缺乏定期進行風險評估和審核的有效機制，風險評估和內部控制與企業實際情況聯系不緊密，企業無法因環境變化而變化，管理風險和規避風險的能力弱；或風險評估中風險目標內容定位不準確，化解風險應對方案的內部控制環節不明確不清晰，內部控制流程不夠嚴謹，風險防控措施不夠具體，缺乏針對性等。三是風險防控制度宣貫不徹底、不及時，無法引起員工對風險管理的足夠重視，或因員工自身原因對風險防控制度了解不足，無法準確看待風險、評價風險、管理風險，企業內部全面管理風險的力度不夠。四是企業未建立與風險防控相銜接的考核問責機制或激勵機制，風險管理與內部控制的結果導向不明確，員工進行風險管理與內部控制的動力不足，工作落實不到位。

(三)缺乏專業人才，風險管理方法運用水平差

風險管理工作，是一項難度大、專業性強、綜合能力強的工作。目前在國內高校中沒有開設全面風險管理方面的專業，風險管理專業人才嚴重匱乏。大多數企業無專業的風險管理人員，普遍由財務、審計、法律專業類的人員從事風險管理工作，風險管理隊伍較薄弱，企業在實際經營過程中對風險管理工作要求不斷提高，隊伍力量與工作任務矛盾較為突出。由于缺乏專業化管理人才，現有信息系統技術操作水平低，運用效率差，自動化系統控制手段未能更好地在全面風險管理領域發揮作用。

四、完善企業開展全面風險管理與內部控制的措施

(一)加強宏觀研究，提升風險意識

企業應充分認識目前生存及經營所處的客觀環境，加強對環境的宏觀研究，以環境為基礎著手確立風險管理與內部控制。企業應全面評估所有業務領域，通過調查問卷、實地調研等方式，將業務領域涉及影響企業實現發展目標的潛在事項確立為風險，企業根據風險管理偏好，明確對風險的容忍度，建立企業風險管理框架(僅以內部環境風險為例)(表1)，科學地提高風險防范意識和可操作理論水平。

表1 ：風險管理框架

第二，培育企業員工全面風險管理理念，構建全面風險管理與內部控制互相促進、互相融合的企業文化，持續提升企業風險管理意識。企業決策層及管理層及時轉變思想觀念，充分意識到全面風險管理與內部控制在企業經營管理過程中的戰略地位，努力發揮好領導帶頭作用，將重要領域及關鍵崗位節點的企業骨干納入傳播及被傳播范圍，通過企業微信公眾號、企業新聞宣傳稿件、企業自辦報刊雜志等自媒體載體，將全面風險管理與內部控制管理文化提升到企業文化發展的主體，大力引導員工牢固樹立風險隨時隨處存在、立足自身崗位防范風險的意識，逐漸將風險管理意識轉化為員工的行動自覺，引導員工做到知行合一，積極發揮主觀能動性，嚴格防范純粹風險，審慎處置機會風險，促進企業不斷建立與企業發展戰略和發展目標相適應的一套科學、合理、有序的風險管理機制。

第三，企業內部設立全面風險管理職能部門。將全面風險管理從企業業務職能部門體系中剝離出來，成立單獨業務職能部門，完善與風險管理部門相對應的專業崗位設置，必要時可以成立全面風險管理管理委員會，進一步統籌負責全面風險管理的組織、協調與規劃，制定委員會工作目標和方案，定期召開委員會會議，實時監督全面風險作用發揮。企業內部可通過審計等職能部門監督風險管理工作的獨立性、真實性和完整性，目標明確地開展強化監督檢查，結合內部控制要求，對檢查結果進行監督評價、提出管理建議，堵塞管理漏洞，促進企業提高防范風險的管理能力。

(二)健全制度管理體系，加大執行力度

第一，為建立健全全面風險管理與內部控制制度體系，企業在不同時期不同情況，需持續完善和動態更新制度，保證制度與企業末端內控流程風險點、關鍵控制點和控制措施有效銜接。企業應在充分考慮自身實際情況的基礎上，圍繞風險管控標準，細化風險預案，將風險目標、制度要求、授權規則、評價標準等嵌入內控流程，按照“控什么、何時控、如何控”原則，結合重點業務領域的風險管控要求，篩選重要業務流程和關鍵環節，進一步將風險防控措施具體化、合理化，形成統一的內控流程，保障全面風險管理規范化實施。

第二，企業可利用科學技術對所收集的風險信息進行系統分析，采用包括問卷調查、情景分析、標桿比較、政策分析、個別訪談在內的定性分析方法，及包括概率分析、敏感性分析、統計推論、壓力測試、事件樹分析在內的定量分析方法，結合專業手段，對企業風險進行有效評估，及時形成一套適合本企業的風險管理信息庫，利用公司企業信息系統，建立風險與流程環節、控制點的銜接關系，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，并及時督促和預警相關部門針對性開展風險應對和防控。必要時企業可進行預案演練，確保企業在遇到臨時風險時及時輸出應對措施，不斷提高企業規避風險、管理風險的能力。

第三，企業需進一步強化對全面風險與內部控制的制度宣貫力度，引起員工對全面風險管理與內部控制的重視，明確其在風險管理過程中應遵守的底線和承擔的責任。

第四，企業需進一步構建主體責任明確、履責清晰、問責有力的責任機制，建立報告制度，搭建風險信息溝通互享平臺，逐級落實風險管理與內部控制責任，科學劃分風險責任主體界限，督促員工從自身崗位做起，不斷提高制度執行力，強化風險管理責任落實，對于因風險防范執行不到位造成重大風險事件，或內部控制執行不到位存在重大顯性或隱性缺陷的，應嚴肅問責有關部門或人員，必要時引入風險管理問題個人銷號機制，保證員工能意識到風險、覺察到風險、防范好風險，管理好風險。

(三)加強全面風險管理人才培訓，強化信息技術開發應用

企業可適時引入綜合素質較高的全面風險管理人才，或加大對企業內部全面風險管理員工的培訓力度，通過部門輪換、崗位鍛煉等方式，持續強化全面風險管理人員在各領域的專業能力，結合企業風險管理與內部控制的有效融合方式，努力打造一支專業素質高、風險管理技術強的專業化人才隊伍，進一步夯實企業風險管理的人才基礎。此外，重視現代化科技力量，制定信息系統開發部署和規劃，加大研發力度，定期進行信息管理系統的維護與檢修，持續打造防范管控風險有力的高效信息系統，為全面風險管理和內部控制提供科技信息力量支撐，確保企業全面風險管理水平持續提升。

五、結語

受傳統思維定式影響，全面風險管理與內部控制在我國企業中真正實施并有效落實少見，企業并未完全意識到預判風險、提前管理風險的重要。本文簡單從風險管理與內部控制的定義開始，從缺乏管理意識、管理機制不健全及缺乏管理人才三方面入手，對全面風險與內部控制過程中出現的問題及應對措施進行分析。反觀企業目前面臨的發展形勢，全面風險管理與內部控制管理觀念一定會伴隨客觀環境變化而逐漸植入企業管理核心，助力企業在快速發展和日益激烈的競爭中獲得優勢。