風險管理視角下的企業內控體系建設

文/文紅（中石化殼牌（江蘇）石油銷售有限公司）

風險管理是國有企業實行內部控制運營的核心內容，其中包括風險的識別、度量、控制和監控，對風險管理實行全過程動態控制，從而進一步地構建嚴格、完備的風險管理制度，有助于企業長遠可持續發展。在經濟一體化發展歷程中，國有企業作為我國的重要力量，作為我國國民經濟的生命線，其所面臨的不確定性越來越多，所面臨的風險也越來越大，尤其是在世界經濟愈發動蕩的今天，人們對企業的風險管理日益重視。所以，國有企業的風險管理改革與發展，關系到整個國家的未來與命運。

一、風險管理視角下企業內控概述

風險管理分為兩大類，即風險辨識和風險控制，風險辨識的目的在于提前預測企業在經營活動中存在的潛在危險，在保證經濟穩定的前提下，對其進行及時的處理。而風險控制，則是在識別風險之后，進行相應的處理，以減少對公司的影響。國有企業的組織結構相對較大，其內部的組織結構較為復雜，管理起來也較為困難。

風險管理的目的主要是探討經濟與風險環境之間的關系，并探討解決風險的相應對策。在此過程中，企業需要以自身戰略目標為導向，根據自身發展的實際情況與發展階段，制定出一套科學的發展計劃，對在經營過程中存在的風險隱患進行識別、分析、監督、檢查、控制，優化企業的風險管理體系，加強員工的風險意識，將內部控制工作落在實處，實現企業的可持續發展[1]。

二、企業內部控制體系定義、建設原則

（一）內部控制定義

美國審計標準委員會于1972年在《審計準則公告》中對其進行了界定：在特定的情況下，為了提高企業的經營效率，梳理企業內部資源、充分合理地利用各種資源，對企業內部的一切經營活動、規章制度、管理模式進行有計劃地組織、優化、管理，對企業的資產進行自我調節、約束、規劃、評價和控制，以維護企業的資產的安全、完整、準確、可靠、有效的財務管理，從而實現企業的經營目標。

（二）建設原則

企業的內部控制建設主要有以下四點原則：①全面性原則。一是全過程控制，意味著對國企所有業務活動以及社會活動進行全過程的控制，包括公司內部的預算、決策、核算、審核、分析、采購、生產、流通、執行、監督等過程進行人、財、物、信息各方面的全面監控控制。二是對全員控制，國有企業內部員工即是施控主體，又是受控客體，保障每個員工，上至管理高層下至基層執行人員都受到控制。②重要性原則。內控制度不僅包括其各項業務以及各個崗位，還包括企業關鍵點進行監控，包括業務活動以及崗位容易出現風險，會對國有企業造成嚴重損失的各個各環節、崗位關鍵點進行控制。③制衡性原則。對企業的權力與責任進行相互的制約、監督，包括國企的組織結構、部門設置、崗位權責以及業務流程等方面，對其權責進行合理分配、平衡。同時也要注意國有企業的運營效率。④適應性原則。國有企業的內部控制需要與其經營規模、業務范圍、風險水平相適應，并及時跟隨市場行業的變化進行調整。內控控制體系的建立必須要有前瞻性，跟隨著市場、國家政策、法律法規等外部環境變化，以及事業單位自身經營方式、規模變化、管理需求等內部環境進行不斷的調整、修訂、完善[2]。

三、風險管理對企業內部控制制度體系的挑戰

（一）增加風險管理要素

現階段的我國國有企業在實施內部控制制度時，內部風險管理要素不充足，對于內部控制無法起到推動的作用。

第一，國企缺乏對于風險的重視，認知比較淡薄。企業領導者在面臨風險管理的過程中，總是以成本效益為目標，而忽視了對企業內部控制制度的有效推進。面對員工對內部控制的意見和對策，企業領導層未能及時解決。同時，企業在經營過程中，缺乏對風險類型全面的、系統的分析，未能根據企業的實際情況，考慮到內部的潛在風險，對風險管理體系的內容進行及時的調整，大多數人未能形成正確的風險意識，使得內部控制的效果無法完全地發揮。

第二，國企的內部環境存在著諸多的問題，如企業治理結構不夠規范、人員素質不高、企業文化建設不完善等。在我國的國企經營過程中，董事會起著舉足輕重的作用，而股東與董事會之前形成了一種相互制約的關系，企業在實行內部控制制度時可以成立審計組織委員會以及風險管理委員會，為了切實加強企業的安全風險控制制度，切實保護企業的利益，必須加強對風險的防范，建立健全的安全防范機制，使國有企業的投資行為得到可進一步的控制，從而使國有企業的資產得到更好的保護和增值。特別是在國企的財務管理中，公司的財務狀況、經營成果、經營決策程序的執行以及重要的投資項目的執行情況都要定期進行風險控制。同時，要對企業財務、負責人的薪酬、經營費用等進行了專門的檢查，將發現的問題用書面的形式記錄下來，方便企業管理者進行整改，從而使企業的風險控制工作更加科學和完善。

第三，風險評估流程不規范，我國國有企業對風險管理還未有深刻的認識，使得相應的規章制度與規定不夠健全，尤其是在風險管理相關的崗位劃分、人員配置以及其綜合素質評價等方面，缺乏有效的工作人員，致使單位內部風險控制工作無法順利持續地推進。并且，一些部門沒有從風險管理的視角對風險進行綜合分析，導致公司的內部控制機制不規范、不科學，在根本上制約了公司的風險管理工作[3]。

（二）引入新的風險度量概念

內部控制量化評價法就是面向企業常見的風險問題，通過將內控評價作為突破口，以促進企業構建先進內控管理機制為目標，在充分理解企業內控理論內涵的基礎上，經過擁有豐富實踐經驗團隊的長期研究，開發出的一套去量綱化的度量規則。并且其將企業內部控制體系建設規劃、實施、控制設計與執行、內控評價、評價結果運用、管理提升結合起來，以相對統一的度量方法，呈現可比較的度量結果，從而反映企業內控管理水平和內控體系建設成熟度，使管理具備衡量條件，讓“以評促建”成為可落地的現實。

內控制度的評價體系要避免單一的度量模式，要尋求一種統一、透明、客觀、可衡量、可信服的方法和度量模式。現有的國有企業大多數采用一種業績波動指標來進行企業的度量方式，雖然利用業績波動對企業風險承擔進行度量相對客觀，但企業會計利潤的數據可能受到管理者操控；相對而言，企業決策行為進行度量風險承擔更為直觀。但這種程度上，很難系統、全面地反映企業風險承擔的實際水平。企業的投資擴張、創新研發、生產經營、融資活動等決策行為等各項決策行為將直接影響企業風險承擔能力。總而言之，企業在各項風險上的決策水平決定了其風險的承擔能力，所以，可以將企業一系列決策行為進行綜合指標分析，作為其風險承擔能力。

（三）提出新的管理理念

國有企業的內部控制管理模式直接關系到企業的經營質量，在一些公司發生了重大的風險事件時，往往無法及時有效地解決：如何處理，是企業的內控風險控制工作中必須重視的問題。要想使企業的經營效益得到最大程度的改善，必須通過改進內部控制的方法、創新的方法和先進的管理軟件來實現。

另外，在企業內部管理過程中，管理者的專業水平與職業道德也是一個迫切需要解決的問題，有些單位的員工沒有足夠的風險意識，未能及時地察覺到企業經營活動中的風險，使風險的影響范圍不斷擴大，從而給后續工作的開展帶來不利的影響。因此，在風險管理方面，必須通過創新經營模式、創新經營理念、把握核心，制定和修改符合企業自身特性的內部控制審計工作中的標準與程序，從而進一步地提高風險控制工作質量[4]。

（四）豐富內部控制內涵

內部控制的實踐同時也離不開豐富的文化內涵。一個企業的發展離不開企業的文化，企業文化理念對員工的行為方式、價值觀念等都有很大的影響。當前，我國很多企業都在實行內部控制制度，并且也取得了很好的效果。然而，很多企業僅僅停留在制度層面和方法層面，并未將其升華到企業精神、經營理念、行為規范等方面上來，并未將其作為企業文化來培養，未能成為規范和約束員工的管理理念、企業價值觀和集體意識，而這對更好地發揮內部控制的作用有著非常重要的意義。

內控的內在特性決定了其本質，無論是從制度上、程序上、方式上，都需要凝聚成企業精神，共同遵守的價值觀念和行為準則。很多企業在建立了內部控制體系和規范之后，卻依然存在著內部控制不健全的現象。沒有把內部控制提升到文化的層次，把它當作一種企業文化來推廣。因此，從社會和經濟發展的角度來看，企業所面對的環境越是復雜，企業更應該從文化方面來加強內部控制建設。

四、風險管理視角下企業內部控制體系構建

（一）提升財務風險意識

有意識才會有行動，建立以全面風險管理為基礎的內部控制系統，首先就要樹立正確的風險意識，為員工創造一個良好的風險控制氛圍。比如，企業加強員工培訓，通過定期舉辦有關風險主題的知識講座，增強工作人員的風險防范意識和控制能力。具體而言，要想加強風險防范方面的專門培訓，可以邀請資深風險管理專家進行現場講解，給員工進行專業知識的培訓，增強內部人員對風險防范、排查、控制等工作的認知。

例如，在此過程中，可以運用新興多媒體技術向員工介紹其原油在運輸中的潛在風險、企業經營風險如何識別、現場作業風險如何控制、防腐作業如何規范等內容，向員工展示風險排查的全過程及注意事項，從而使員工更深入地了解內部工作中的危險因素及風險評價方法，有效識別重大風險源，保障企業的安全。

企業要通過激勵員工的風險意識來引導員工進行風險識別和報告，增強員工的風險管理意識。同時，要制定獎懲機制，對在內部控制方面表現突出的個人和部門進行獎勵，對有問題的單位和個人要進行處罰，增強其工作的主動性和責任感。與此同時，在加強有關部門和員工的風險意識的基礎上，建立相應的風險管理團隊，并按照內部控制建設的需要，加大各部門的相關人員數量，以確保內部控制體系的正常運行。

（二）堅持可持續發展原則

企業要想獲得長遠的發展，就要制定完善的內控制度風險管控，堅持內部控制建設，完善企業文化，在企業內部形成良好的循環，促進企業的可持續發展。

首先，制訂公司的戰略目標：積極推行公司的內控制度，并依據公司的經營情況，制訂合理的戰略目標，使之成為公司的內部控制目標。

其次，建立相應的內控組織委員會，設置內控部門，包括管理部門層級的設定，要給予一定程度上的權力。部門人員選擇具有良好的專業水平與道德素質的人員，堅持“以人為本”的內控思想，強化員工整體素質，界定內控崗位的工作內容和相關人員，最大限度地發揮內控崗位的作用。此外，開展內部控制的過程中，需要高效發現其潛在風險，多方面多角度探索，采取各種方式對風險因素進行全面的分析。最后，優化風險評價系統的，通過對評價過程中的關鍵風險進行優化升級，使內控人員能夠主動承擔相應的風險，從而提高公司的運營效率和風險管理效果。比如，通過對其風險的識別，將其劃分為戰略風險、市場風險、運營風險、財務風險、法律風險等五種風險，運用信息化技術構建風險評價平臺，對關鍵風險點，進行動態監測業務，并依據風險目標和工作任務，確定風險化評估標準。

（三）健全內部監管制度

健全的內部監管制度主要有兩方面：一是日常監管，二是專項監管。企業財務活動是貫穿整個項目的生產流程的，因此，內部監管工作應當以日常活動的監管為主要內容。而專項監管則用于某些特定的項目與制度的監督與考核。在實行內部監管工作時，要求內部審計、紀律檢查、監察等多部門相互協調、配合，按照企業的規章制度以及各自的制度規范，獨立開展工作，給予一定的權威性，直屬與企業領導。企業領導要重視內部監管工作，了解監管工作的廣度與深度，減少監管工作的阻力，提高財務監管的效率，并能發現問題的根源，讓企業的財務管理更透明，促進企業內部控制的質量。

（四）加強內控隊伍建設

首先，在內部控制管理人員的崗位設置上，在人員設定方面要堅持互相制約、互相監督的原則，不能一人承擔全部責任，要做好職責與權力的分離，明確分工，明確各自的工作職責，理清財務部門的權責。比如，在財務支付之前要仔細審查外來的原始憑證，拒絕不合理、不合法性票據；例如原油運輸當中，財務人員去現場進行運輸過程的車輛登記等，所以，應該增加第三方崗位，對運輸進行負責，結算時簽名保障，從而有效地保障此過程的透明規范[5]。

其次，在財務內部控制方面，企業要建立完善的人才培育機制，加強財務人員的培訓，并且，要加強管理者的教育、學習。管理者不僅要掌握基礎的專業知識，還要加強對與風險理念的學習以及信息化應用的學習。同時還要定期地對財務管理者進行全面的考核，使他們更好地適應行業市場的變化，并且對風險擁有敏銳的“嗅覺”，進一步提高內部控制的質量。

五、結束語

國有企業在經營過程中，會面臨各種各樣的風險，使得內部控制制度無法有效實現。

本文從風險管理的角度，針對企業目前的風險管理出現的問題，從多方面進行探索，健全內部治理結構，提高內控人員綜合素質，加強企業文化建設；引入新的風險度量方式，優化內部控制環境，加強企業風險的識別，將內部風險控制在自身可承受的范圍內等，進一步發揮企業的內部控制作用，實現企業長遠健康的發展。