基于風險管理的企業內部控制問題

【摘要】內部控制是企業管理工作中不可或缺的重要環節，只是隨著新世紀初國內外眾多知名企業陸續被披露出財務舞弊造成巨額損失的丑聞，傳統內部控制的缺陷逐漸被公眾發現和認識。于是企業內部控制加強風險管理開始成為各管理機構和行業企業關注的焦點。文章通過分析風險管理和內部控制的關聯與差異，闡釋了企業內部控制常見問題，并就具體的優化策略提出了若干建設性意見。

【關鍵詞】風險管理 企業管理 內部控制

企業風險管理的關注和重視源于本世紀初爆發的安然公司財務丑聞事件，這起世界知名企業的財務舞弊案讓全球商業企業乃至學術界深刻意識到傳統的企業內部控制存在著巨大漏洞，于是有了美國反虛假財務報告委員會下屬發起人委員會（COSO）的《企業風險管理整合框架》。而當本世紀第一場金融危機席卷全球后，基于風險管理的企業內部控制問題愈發成為新世紀全球經濟發展最為引人矚目的核心內容之一，無論理論界還是實業界均對企業內部控制提出了更高要求，即提升企業內部控制水平，尤其需要加強風險管理能力。且二者需要不斷地密切關聯、彼此協調，以使企業管理工作更加適應經濟與社會發展的新要求。

一、風險管理和內部控制的關聯與差異

風險管理顧名思義，是專門針對風險的管理措施，指企業利用風險管理手段（包括理論和技術）對企業生產經營過程中潛藏的風險進行評估、監測，并設法提高測評效率的管理過程，其主要目標是降低企業的投資風險并設法確保企業戰略規劃得以實現。

內部控制則是企業內部管理工作的重要組成部分，主要是評價和約束企業業務活動過程，旨在確保經營與生產順利實施以達到預期的戰略規劃。

風險管理與內部控制間既有關聯又存在差異。比如二者均需要企業上至董事會、管理層下至基層一線全員共同參與。然而傳統模式下的企業內部控制更加傾向于事中的過程控制，使企業經營與生產得以遵循事先預設的規劃發展，而風險管理雖然同樣在事中甚至事后均有涉獵，但其關注的重點卻更多在事前的預測。從這個角度看，顯然風險管理較傳統的內部控制預設的目標更多、更廣泛。

由此延伸來看，風險管理與內部控制內容疊加的部分有環境控制、活動控制、評估風險、信息交流溝通等。風險管理超出內部控制的內容還包括制定目標、識別事項與風險反應等，內部控制則還會對進度控制有所涉及[1]。

二、企業內部控制常見問題

（一）重條例制定輕具體實施

傳統內部控制工作總是伴隨著眾多規章條例的制定，包括各環節的工作制度和具體的業務內容與流程等。因此不少企業的內部控制極為重視制度建設，認為完善、系統的制度建設能夠確保內部控制工作的優質與高效。然而，“控制”顯然是對動作的描述，因此內部控制本質上應當是動態管理的活動過程而不是靜態的條條框框。不少企業滿足于完備的條例制定，誤以為有了規章制度就是有了健全的內部控制，于是在具體實施環節反而有所放松。這類問題最明顯的缺陷是企業無法對變動中的環境作出及時反應，也就導致內部控制無法保持持續的動態優化，造成內部控制不得不反復處于事后補救的“救火”狀態，不僅無法使內部控制的計劃得以落實，也不斷耗費時間和精力。

（二）內部控制缺乏足夠的風險控制

企業經營活動的趨利本能讓許多企業對生產經營的重視遠大于管理，即便部分企業設置了風險控制管理的機構或部門，但真正賦予實權的情況并不多，更常見的是這些風控部門偏向于情報收集整理的參謀功能。因此，企業的內部控制始終缺乏足夠的前瞻性和預見性，無法將風險控制做在事前，而只能在事后補救的不良循環中難以自拔。更有一些企業的內部控制缺乏整體化、全局化考量，不同部門之間的內部控制制度互不關聯且無法彼此牽制，一些部門甚至存在內部控制和矛盾沖突的問題。這不僅造成企業內部控制工作成效欠佳，自然也難以有效掌控風險，同時也會在相當程度上制約企業長遠發展的規劃與實施。

三、基于風險管理的企業內部控制優化策略

（一）轉變觀念，加強重視

意識決定行動。企業長期以來在內部控制環節存在種種問題，很重要的原因之一就是管理層缺乏足夠重視，尤其是對風險管理的關注。要使企業基于風險管理不斷優化內部控制，企業管理層就需要率先轉變觀念，特別是改變急功近利的短期管理觀念。只有在企業的戰略規劃中給予風險管理和內部控制以足夠的重視，才能最終實現基于風險管理的企業內部控制的優化與創新。

企業管理者必須首先成為風險管理與加強內部控制的實施者、宣傳者、監督者、推廣者，要開展自上而下的宣傳推廣甚至教育培訓工作。企業管理者不僅應當成為開展風險管理和加強內部控制的帶頭人，還需要將風險管理與內部控制作為建設企業文化的重要形式與內容，要帶領全體員工在整個企業營造出全面風險管理和持續優化內部控制的良好氛圍。

（二）從管理到技術層面全面內部控制提高風險防范能力

有了意識上的重視，還需要在具體的管理層和技術層上全面推行內部控制尤其是風險控制。管理層面主要是加強對內外部環境的監控、提高反應速度。比如建立健全內部風控機制、定期組織環境研判活動等。企業不能只留意與本企業有直接關系的行業消息或對手等的發展變化，還需要同時關注到國際貿易基本面、國內宏觀政策面的動向、行業前沿技術的研發與應用等。應當利用一切可用技術與手段并結合歷史經驗全力發現和摸索市場、行業的動態變化特點或規律，應及時跟進并主動調整已顯陳舊的管理模式與手段。企業需要盡全力使自身保持足夠的環境適應性并設法躋身決策的制高點，保持足夠活躍的應變度，由此提高內部控制和風險管理的成效性。

至于技術層面則是指企業使用一切合理合法的技術手段將潛藏的風險分散、轉移、規避或降低。常見的方式主要有豐富的營銷手段與投融資的多元化等。比如面對一項潛在收益可觀但潛藏風險同樣巨大的項目時，企業不妨聯絡同行共同投資，雖然收益需要分享，但風險也有人分擔。又如避免單一融資可能造成的渠道不暢或資金匱乏現象，采取內部融資結合國際融資的綜合模式弱化與分散風險等[2]。

（三）充分利用前沿技術以創新提升風險管理與內部控制能力

前沿技術的利用在信息時代中對企業的生存發展越來越具有至關重要的作用。就以次貸危機為例，僅僅一年時間內，華爾街最負盛名的五大投行有三家轟然倒地，只余下摩根斯坦利與高盛。而摩根與高盛之所以能夠在廢墟中屹立不倒，根源是其建立在互聯網理念和技術之上的風控體系和預估機制。由此，摩根與高盛具備了相對及時和準確的市場風險控制管理能力，不僅在危機襲來時及時轉型成為商業銀行控股公司，保住了相當的市場份額，而且抵抗住了金融風暴的重壓并存活至今。

大數據、云計算、網絡技術不僅是炫目的理論，也是現實世界中企業基于風險管理提高內部控制的良方和利器。這些前沿技術能夠讓企業的內部控制與風險管理實現實時動態化，讓決策層、管理者乃至具體的業務操作人員了解和掌握企業內外部環境的變化。并利用技術實現量化管理，從而讓曾經隱藏的風險得以逐漸顯性和清晰，這無疑能夠更好地提升企業內部控制的精準度和風險管理的成效性。

四、結束語

企業基于風險管理的內部控制是一個由管理實踐中出現錯漏而引發的動態修正與優化過程。隨著客觀經濟環境中越來越多個案的顯現，基于風險管理的企業內部控制也必然會相應地推出更加全面、詳盡、規范、系統的管控條例與舉措，這樣的優化是一個與時俱進、螺旋式上升的演進過程，不僅要借助先進技術支持在實踐技巧上升級換代，也要在思維模式、管理意識諸多方面推陳出新。這既是企業提升內部控制水平以強化風險管理能力的現實需要，也是整個行業順利度過轉型升級關鍵節點并實現可持續發展的必由之路。

參考文獻

[1]丁友剛，胡興國.內部控制，風險控制與風險管理：基于組織目標的概念解說與思想演進[J].會計研究，2007（12）：51-54.

[2]李春瑜，王凡林.基于風險管理的內部控制框架解讀[J].會計師，2007（11）：38-40.

作者簡介：閻曉青（1981-），女，山西太原人，本科，會計師，從事會計工作。endprint