淺析基于企業內控系統的全面風險管理機制

張筱彥　劉秀霖

摘要：《中央企業全面風險管理指引》指出全面風險管理包括風險理財措施、風險管理策略、風險管理信息系統、風險管理的組織職能體系和內控系統。本文主要研究全面風險管理與內部控制的辯證關系、兩者的整合及對公司治理基于內控系統的全面風險管理機制發方面的發展提出建議。

關鍵詞：內控系統 全面風險管理 公司治理

一、引言

全面風險管理包含在整個企業的經營管理活動過程之中，而并不是一種脫離企業經營管理活動的管理形式。為了進行全面風險管理，企業需要有一整套風險識別、風險控制的方法和程序，即企業管理的方法和程序。全面風險管理的目的同內部控制的目的是相同的，為企業目標的實現、為企業更好的發展提供服務與保證。因而理論上，公司決策層根據公司實際情況，在內部控制制度與全面風險管理體系中任擇一項實施即可。但是在實踐中，內控系統與全面風險管理機制是緊密相連的，所以，本文認為企業應該實現內部控制制度與全面風險管理體系的有效整合。

二、企業內控系統與全面風險管理機制的辯證關系

COSO框架中明確指出內控系統是全面風險管理體系框架下的一個子系統，但是它們之間既有聯系又有區別。

一方面，全面風險管理機制涵蓋了內控系統，而內控系統是全面風險管理機制的必要環節。內部控制的動力是企業對風險的認識和管理，同時內控系統是針對企業大多數運營風險的有效的和高效的風險管理方法。內部控制是實現經濟組織管理目標的一種合理保障，良好的內控系統可以保證公司合法經營、經營結果的效率與效益和財務報表的真實可靠。而企業全面風險管理應該達到的基本狀態也正是合法、有效益的經營和真實的財務報告。兩者均為企業目標的實現提供了合理保障。企業實施內部控制的過程中會運用全面風險管理的理論和方法；同時，通過實施內部控制，企業可以有效防范風險，將重大風險控制在企業可承受的范圍之內。

另一方面，兩者也存在一定差異，兩者的目的不一致。全面風險管理的目的是要及時地預測風險、防止風險可能造成的不良影響、發現風險以及設法把這種不良影響控制在最低程度。而內部控制側重管理控制已評估風險的流程，通過各項內部控制活動的實施，實現風險的防控；兩者的作用范疇不同。全面風險管理工作的開展緊密結合于其他管理工作，在綜合考慮內外環境的情況下，把風險管理融入業務流程和企業管理中。而內部控制則是在考慮內部環境的情況下，建立公司的議事規則和治理結構。

三、內控系統與全面風險管理機制的并行與整合

從國內經濟和企業發展趨勢來看，隨著內控系統和全面風險管理機制的不斷完善，它們之間必然相互交叉、融合，直至統一。

（一）內控系統與全面風險管理機制的分工與并行

明確責任分工與積極協作互動是內控系統與全面風險管理機制并行實施的基礎。在組織架構上既可以由風險管理部門統一負責也可以由企業的兩個部門分別實施。實施的關鍵是企業決策層對內控系統與全面風險管理機制在范疇與作用上的進一步界定與劃分，使內控系統與全面風險管理機制成為兩個相對獨立的體系，兩者側重不同但又相互協調。全面風險管理機制是對企業運營的全部階段進行管理，側重事前階段，核心是搜集風險信息、評估風險及制定風險管理策略； 內控系統則側重管理控制已評估風險的流程，通過各項內部控制活動的實施，實現風險的防控。通過內控系統與全面風險管理機制的進一步分工，不僅可以有效地實施風險管理與風險控制的全過程，還可以避免兩體系部分功能的重疊與沖突。

（二）建設全面風險管理機制下的內控系統

將內控系統作為全面風險管理中一項必不可少的組成部分是建設全面風險管理機制下的內控系統的關鍵。企業在進行全面風險管理機制的構建時就應將內控系統定為全面風險管理機制的有效管理控制手段之一。這種方法系統的梳理搭建了風險管理控制流程，可有效保證體系運轉的協調與統一，最大限度地避免了內部控制體系與風險管理機制的重疊與沖突。

四、對公司治理基于內控系統的全面風險管理機制的發展建議

（一）在公司內部創造良好的全面風險控制環境

創造良好的全面風險控制環境，要注重建立具有風險意識的企業文化。在企業全面風險管理過程中，每一位員工應當明確個人職責對公司風險的影響，樹立“風險無處不在”的理念。公司治理與員工在公司內部的責任和作用的關系是企業全面風險管理的一個重要方面，也是充分有效開展全面風險管理工作的前提。

（二）在企業內部培養全面風險管理理念

全面風險管理理念即讓每一位員工都具有強烈的風險意識和內控責任。全面風險管理理念是一個企業對風險的整體認知。只有被企業各個崗位的員工共同認同，才能在整體上對風險進行準確預測、及時發現、正確評估及合理應對。全面風險管理理念要求企業內部各個層次、各個崗位的員工必須對風險管理有正確的認知。企業應告知員工在企業經營中可能會出現的各種不確定情況及相應后果，并及時提醒員工保持全面風險管理意識，員工才能在日常工作中積極發現風險，主動上報風險，真正地具有危機意識和風險意識。

（三）充分利用并不斷優化內部控制規范

內部控制規范是在征求相關責任崗位意見的基礎上，根據公司的管理制度和操作流程制定的。通過嚴格執行內部控制規范，恰當處理每項業務，不但工作效率會有所提高，企業整體目標的實現也得到了合理保障。

（四）不斷完善公司全面風險應對機制

一方面，要對公司風險事項進行全面識別。風險識別是風險管理的起點，是進行全面風險管理的基礎和關鍵。只有對公司所面臨的各種風險先進行識別，然后將風險事項進行細分，才能更高效的找到風險出現的原因，快速的做出反應。在全面風險管理框架下，廣泛地、持續地收集與本企業風險和風險管理相關的內外部信息，及時發現企業面臨的各種風險就是風險識別的目標。

另一方面，要對企業風險事項進行細分。公司所面臨的各種風險可以被細分為公司層面風險和業務活動層面風險兩個維度。企業產生公司層面風險的原因主要有內部因素和外部因素兩個方面。內部因素主要包括財務風險、經營風險、戰略風險等，外部因素主要有政策法律、技術因素、全球化因素、區位因素等。業務活動層面的風險主要指企業生產經營活動及管理職能中所產生的風險。處于不同的市場和不同的環境，企業所面臨的風險也各不相同。因此，企業應根據自身的特點，選擇合適的劃分公司層面風險和業務活動層面風險的方法，及時找到風險產生的原因并快速應對。

五、結束語

內控系統與全面風險管理機制均是為企業更好的發展及實現其戰略目標服務。企業應當從擁有的資源能力及發展目標等自身的實際出發，將兩者有效地并行與整合，從而實現最佳的協同效應。

參考文獻：

[1]謝志華.內部控制、公司治理、風險管理： 關系與整合[J].會計研究，2007（10）

[2]李莉.論企業內部控制的風險管理機制[J].企業經濟.2012（3）

[3]范寶營.內控體系與全面風險管理體系的并行與融合[J].煤炭工程，2014（2）

[4]高存忠.企業內部控制與風險管理[N].天津網-數字報刊. 2011-01-31endprint