關于企業風險管理與內部控制的思考

中國石油化工股份有限公司江蘇石油分公司 高夫春

一、企業風險管理的必要性

近年來，很多企業缺乏風險意識，沒有實施實質性的風險管理，忽略對風險的防范與控制，導致企業破產事件時有發生，如新疆德隆集團、四川長虹集團、科龍集團、中航油（新加坡分公司）等，嚴重的風險損失致使很多企業開始關注全面的風險管理。

企業風險管理是管理者對企業發展中存在的和潛在的風險進行辨識、評估以及權衡風險危害的行為等,并對所識別出的風險及時采用有效方法進行防范及控制。內部控制的目標是對企業存在的風險進行及時防范及控制,有效監督并保證企業的發展。從本質上講，企業內部控制與風險管理存在著必然的聯系：內部控制其實是風險管理的手段之一,內部控制的實施建立在企業風險管理基礎之上,并隨著風險管理的需要而不斷發展。但因為內部控制與風險管理具有不同的內涵和外延,所以兩者不能相互替代、缺一不可。所以風險管理與內部控制有效結合，會更加準確地發現企業面臨的風險，做出及時的防范與應對措施，將風險損失減到最低限度，穩定企業的經營環境，保證企業利潤目標的實現，對企業發展起到保駕護航的作用。

二、企業風險管理的架構和模式

考慮到現階段我國的企業發展條件和宏觀環境，本文認為構建企業風險管理框架應注意以下幾個方面：

(一)全面風險管理的目標應順應企業發展面臨的環境變化

企業的風險管理是建立在企業整體業務發展與經營基礎上，需要與企業的研發技術、管理方法及戰略目標相結合。所以企業風險管理整體框架的建立首先應明確風險管理要達到的目標，是否與企業發展目標緊密相連，分析企業面臨的內外部環境，并將風險管理要達到的效果細化成具體的管理任務，在全企業范圍內明確宣布風險目標和計劃，要求全部業務人員和管理人員共同參與，并制定完善的制度體系，約束其職責行為，保證風險管理工作的落實。

(二)內部控制制度與企業風險管理體系密切結合

內部控制是加強風險管理的手段之一，是更具系統性、獨立性的管理工作。內部控制組織結構的設計需要充分滿足企業全面風險管理的要求。風險管理也應該與之互補，盡可能地利用內部控制發現的問題和維護的企業管理環境，采用更科學、合理的方法評估、預測業務風險、財務風險的嚴重程度，以節約人力、物力，提高管理效率。

三、目前企業風險管理的現狀及分析

企業風險管理是一個循序漸進、不斷完善的過程，是企業在不斷探索的一個合理有序的流程，試圖將經營風險管理行為與戰略管理、業務計劃制定過程結合在一起，以期整個企業的風險、收益、增長與資本得到充分優化。雖然我國企業一直在研究、完善風險管理，并取得顯著的成績，但是仍存在很多需要改進的地方。

(一)負責風險管理的職能結構有待進一步完善

我國很多企業也在做風險管理，但大多數是將風險防控的任務分配到不同部門，由其分工完成，而沒有專業的風險管理組織或者專職負責人來來實現企業的風險管理和內部控制。分散式的風險管理容易導致功能交叉、分工混亂，管理責任與權利不明確，各部門工作缺乏積極性，沒有有效的溝通，無法實現信息資源的共享，風險管理與內部控制不能及時發現問題，對企業風險防范與控制的作用微弱。

(二)風險管理具體目標尚待細化，制度缺乏約束力

目前我國企業風險管理整體水平較低，風險管理沒有充分發揮應有的作用，很大程度上是因為企業對風險管理沒有給予足夠的重視，通過內部控制加強風險管理的意識薄弱。只是籠統地制定了企業風險防范將要達到的效果和希望，沒有對該抽象的目標進一步界定，具體到各部門的實質性工作時，往往就成了形式上的東西，因為缺乏具體任務指標或完成效果的檢驗標準，很多風險防范及應對工作無法落實。簡單的風險管理制度內容不全面，執行力匱乏，對員工的約束力較弱。

(三)內部控制制度執行不力，評價監督效果微弱

內部控制是在風險管理中更直接、更具體的一項工作。但很多企業并沒有正確理解內部控制與風險管理的密切關系，過分地強調各部門將風險損失壓倒最低，卻忽略了具有明顯管理效果的內部控制。有些企業僅限于將國家要求的內部控制制度制定出來，寫成紙質的文件供檢查，而沒有相應地建立有效的內部控制執行流程、業績評價等機制，使內控制度流于形式，無法應對企業面臨的風險。或者將精力過多的集中于利用嚴格的內部控制流程發現問題、指出錯誤，沒有同時將評價與激勵制度跟進，整個管理的優勢得不到發揮，不足沒有改進，不利于企業的長期可持續發展。

(四)風險管理手段比較單一，無法有效地降低風險損失

我國企業風險管理水平整體較低的一個原因是風險管理手段比較單一、落后。首先表現為很多企業進行風險管理的目的過于膚淺，對內部控制與風險管理存在著不少誤區，出于當期獲得盡可能多的利潤的經營理念，采取的防范與控制風險的措施都是眼前的、短期的。其次，很多風險管理手段是模仿先進企業集團或國外公司，采取了與本企業經營業務性質和發展條件相差很大的管理方法，適應性不強直接影響了管理的效率。再次，風險管理具有很強的專業性和技術性，很多企業的財務人員尚并不具備分析數據模型、推測市場環境變化，評估經營風險的能力，依靠的往往是經驗性質的主觀判斷，在準確性與科學性上有待考究。

四、企業做好風險管理的建議

(一)健全組織機構，保證風險管理工作的權威性

風險管理是涉及企業所有業務和部門的一項長期工程，必須由企業的最高職能機構牽頭，負責風險管理工作的推廣與落實。首先就應該建立董事會或股東大會管理下的風險管理組織架構，明確風險管理在企業各項工作中的地位和權威性，領導企業做好制度建設，使風險管理有章可循。然后，經由具體負責的職能部門或財務部風險管理員，將風險管理的總體要求進行細化，堅持全員參與管理原則，要求落實到風險管理的執行層面，實現風險管理的橫向延伸和縱向管理，監控企業的所有部門和業務，杜絕風險隱患。

(二)風險管理目標具體化，建立有企業特色的風險管理機制

第一，要對企業內部管理層進行風險管理的思想觀念教育，糾正錯誤的認識，真正理解風險管理的必要性，使管理層將風險防范意識融入管理工作全過程，并用其指導基層工作的開展。第二，要根據本企業所面臨的行業發展環境和具備的個體條件，研究如何將風險管理的目標具體化，細分為可衡量的任務指標，下發到企業的基層員工，營造良好的風險管理文化氛圍，使這種防范意識成為員工自覺的行為約束。第三，完善考核評價制度。可以將風險管理體系的建設與薪酬制度相結合，利用內部控制制度中績效考核的結果，評價風險管理任務指標的落實，改善企業內部環境，使風險管理真正發揮作用，保證企業經營管理系統的高效運作。

(三)找到風險管理與內部控制的切合點，發揮內部控制的優勢

內部控制制度在很多大型企業集團都得到順利開展，并取得不錯的效果。中石化集團就對內部控制制度做了很好的規劃，首先制定內部控制手冊，通過制度的形式增強內部控制的約束力，并明確內部控制業務流程、實施細則，包括采購業務流程、生產成本管理業務流程、銷售業務流程、資金管理業務流程、信息管理業務流程、監督與檢查等，使內部控制更具有可操作性和參考性，不同的業務部門和基層人員可以根據自己的所屬職責做出正確的行為。企業可以在分析面臨的內外部環境和條件的前提下，將風險劃分為：業務風險、經營風險、財務風險與合規風險，有針對性地制定常規的防范和應對措施，設計風險管理解決預案。然后結合內部控制的重點和難點，對企業流程進行梳理與改造，辨識關鍵控制環節和風險控制點，規范突發事件的處理流程，以及時將意外風險與損失降到最低。

(四)改進風險管理手段，強化風險預警功能

風險管理依靠的是硬件設施的保證和人力資源的專業性。第一，企業應該為風險管理建立或引用先進的軟件系統，通過信息系統的鋪設，部門之間可以方便地進行信息交流與共享，實現企業運營數據和信息收集、存儲、處理、報告和信息披露的自動化，及時地掌握各個環節的變化與需要，盡可能反映真實、準確的經濟動態信息，做出正確的應對措施。第二，要求具體負責的人員必須掌握風險分析的數據模型，能夠熟練運用計算機技術分析統計數據，得到所需要的信息。并同時時刻更新自己的專業知識體系，通過培訓或業務學習等方式，提高自己的財務分析與風險預測能力，綜合運用現代風險管理技術，如模型計量、信用風險管理等方法，保證經驗值的取值合理、可靠，準確預測企業發生各種風險的可能性及其大小，為企業提供有價值的財務信息。

[1]丁友剛,胡興國.內部控制、風險控制、風險管理,會計研究,2007,12

[2]謝志華.內部控制、公司治理、風險管理：關系與整合.會計研究,2007,10

[3]陳曉更.論企業建立全面風險管理體系的必要性.會計之友,2008,9