風險、內控、管理體系有機融合之思考

□ 繆建亞

絕大多數的企業，為了適應市場需求和自身需要，根據國際上各類管理體系的標準健全和完善企業管理體系。如以ISO 9001為代表的質量管理體系標準、以ISO 14001為代表的環境管理體系標準等，新版的管理體系標準，明確引入了風險管理的思維。風險管理及隨之而來的內控管理也隨著美國安然事件的發生，在企業，特別是上市公司中得到重視。國家證監會、財政部、國資委等管理機構對于企業風險管理、內控管理都提出了明確要求。

但現實中不少企業沒有真正理解風險管理、內控管理和管理體系管理之間的內在邏輯關系，在公司內部只是機械地、割裂地推進相關管理工作，不少公司按照咨詢機構的建議，將這些管理分別歸屬于不同的管理部門進行推進，缺乏整體的策劃和協調，公司內部也為了所謂的風險、內控和管理體系開展相關工作，企業資源沒有聚焦到其真正需要的“刀刃”上。

為有效識別、控制企業的運營風險，保障企業在當今多變的市場環境下，完成經營目標并保持可持續發展，如何在企業中將風險管理、內控管理和體系管理有機融合，提高企業資源效率，是目前所有企業管理層均需面對的現實問題。

一、影響風險、內控和管理體系有機融合的因素分析

1.企業在風險、內控和管理體系的導入，來自不同的時期

管理體系認證在20世紀80年代末、90年代初引入中國，“貫標”之勢隨即在企業迅速展開。各種各樣的認證咨詢機構 “幫助”企業建立各類管理體系。

2001年美國安然公司會計造假案，引起全球對企業風險、內控的關注。2006年，國務院國資委《中央企業全面風險管理指引》是我國現代第一個風險管理框架，對我國風險管理具有重要指導作用。中國財政部等五部委分別在2008年和2010年發布了《企業內部控制基本規范》 《企業內部控制配套指引》，共同構建了中國企業內部控制規范體系。企業的風險管理體系、內控管理體系有不少是通過咨詢機構（許多是會計事務所）的幫助建立起來的。

2.企業的內部推進各歸不同職能部門和主管領導

企業內部管理體系的推動，由公司技術副總（管理者代表）主持；具體日常工作推進多由技術質量部門、安全環保部門主持；同時，組建管理體系內審隊伍開展管理體系內部審核工作。

企業內部風險、內控管理體系多由公司負責財務的副總（總監）主持推動，具體由財務部門、審計部門或風控合規部門主持推進；同時，組建內控審計隊伍開展內部審計工作。

3.不同的外部評估機構依據不同的規范對企業審核、審計

風險和內控的評估，由會計事務所進行審計，出具審計報告。而管理體系的認證審核由認證機構進行，簽署體系認證證書。不同機構按照其各自不同的“游戲規則”開展工作。

二、風險、內控、管理體系有機融合的內在邏輯關系

1.管理體系是風險、內控管理的基石

企業的業務活動內容多而復雜，要有序開展經營活動，需要通過管理體系標準的方法進行管理。管理體系的任務就是分析企業的運行環境，識別各類需求和相關方，識別風險和機會，策劃、確定管理目標，通過組織職能的明確、文件化制度體系的建立、按照策劃方案實施和執行全過程的運作，并且通過監控、審核和評審等機制來發現和解決企業運行中存在的問題，從而高效實現管理目標。

風險管理是對企業運行各項活動中存在的各種風險，即對實現目標的不確定性，進行管理。企業運行的風險，往往有程序性風險和環境變化帶來的風險。程序性風險主要是指公司運行程序本身的管理疏漏或程序本身沒有問題但執行過程中存在的風險。而環境變化的不確定性給企業帶來的風險在當今時代更具普遍性。企業應圍繞總體經營目標，通過管理的各個環節和經營過程中執行風險管理的基本流程，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理的保證。

內部控制的目標是圍繞各種風險點，采取適當的措施合理保證企業運營管理，提高運營效率和效果，促進企業實現發展戰略。

企業的管理從公司治理到確定公司戰略目標和經營管理目標，圍繞目標實現的不確定性，運用不同技術方法進行風險評估，針對不同風險采取不同的內控措施，通過監控、審核、審計、評審等進行監督，不斷改進存在的問題，最終實現改善的戰略目標。沒有良好的管理體系，無從推進風險管理和內控管理，因此管理體系是進行風險管理、內控管理的基石。

2.風險管理更加突出對管理體系目標不確定性的把握，更加聚焦風險以采取適當措施

企業風險一般可分為：重大決策過程中的戰略風險，如投資決策的失誤；公司經營過程中的財務風險，如資金鏈斷裂；企業外部市場產業鏈供需量變化的風險，如下游產業發生重大調整、新競爭者的加入；公司內部運行中的各種控制風險，如生產安全事故、產品批量不合格；法律的變化所帶來的合規性風險，如國家環保政策要求的提高、煤炭使用總量控制；等等。

風險管理彌補了過去管理體系標準對于管理目標雙相性考慮的不足，當然新的管理體系標準也提出了“風險思維”的要求，明確了既要減少對目標實現產生負面影響造成的“損失”，又要抓住正面的發展“機會”。使企業在分析外部環境、確定目標時更加積極主動。

管理體系在推進過程中，特別強調持續改進，如何真正做到“糾正措施應與所遇到的不合格的影響程度相適應”，往往不易被運用者把握，管理體系審核提出的不符合項或改善建議，理論上似乎總是正確的，對企業的問題容易產生“眉毛、胡子一把抓”。但企業的資源永遠是有限的，企業管理者會依據自己的經營理念和做事風格（風險癖好），運用規避、降低、分擔和承受等風險應對策略，實現對風險的有效控制。就如同人們將資金大膽投資于股市和謹慎存入銀行這2種不同的投資策略——高風險可能帶來高收益；反之，謹慎的策略承擔較少的風險，當然收益也有限。

3.內控管理更加提升控制層面，更加強化全組織控制

內控管理就是為了實現公司的各類目標所開展的對所識別出風險的內部控制活動的總稱。管理體系管理的控制層面，一般都是以企業總經理為最高管理者的企業運行控制活動，而內控管理所涉及的層面就一直上延到公司治理層面的各項活動。

這樣就能夠依據內部控制要求，更好地使整個管理體系中最頂層的決策、監督活動得到有效控制，能夠從企業的最頂層來把握企業的最重大決策事項，如企業發展戰略、對重大業務活動的監控等。內控管理，彌補了一般體系管理所涉及不深的頂層管理，可以更好地圍繞風險管理策略目標，針對企業各項業務管理及其重要業務流程，通過執行風險管理基本流程，識別風險并評估風險，依據風險大小分層、分類，制定并執行規章制度、程序。因此，內控管理更加提升控制層面，更加強化全組織控制。

三、解決方案

1.準確理解風險、內控和管理體系的內在邏輯，實施統一策劃、管理

企業管理最根本的是實現企業的戰略目標并通過一定的短期目標（如年度、季度）進行分解推進。要實現目標，必然需要根據所處的環境等各種不確定因素，進行風險識別和評估，根據企業管理者的風險癖好采取一定的風險防范措施，建立完善的管理程序，強化內控管理。對運行結果，運用績效評價、審核、審計等方式開展評審和檢查工作，對企業目標進行有效性評估。如果達到管理目標，則顯示管理體系運行有效；若與管理目標存在差距，則采用各類改善活動以提高運營績效，實現企業管理目標。筆者建議企業將風險、內控管理體系在組織內部集中策劃，由公司董事長或總經理親自領導，再根據具體風險由專業職能部門進行專業管理，支持公司總體目標的實現。

2.企業的內部審計人員、管理體系內審人員需要在相互學習中結合

作為企業運營風險的核心抓手、企業內控體系的最后一道防線，內部審計也正從傳統的注重合規的財務審計向關注影響業務目標實現的風險導向的業務流程審計轉變。同時，管理體系的審核價值也正從以管理體系標準要求為重心的符合性驗證向保障業務目標實現的有效性評價轉變。

基于風險的內控審計和基于業務流程的管理體系審核，不僅是審計、審核發展的趨勢，更是公司高層面對組織全面風險控制的要求。而在企業多變的運營環境下，內部審核（審計）人員的角色也需要由過去強調的“檢查者”，逐步向既是“檢查者”更是“參謀者”的角色轉變，無論從思維方式、審計（核）方法、專業技能、溝通方式和報告形式等方面均面臨著新的挑戰和更高的要求。這就需要兩類人員相互學習，內部審計人員要能夠在發現問題點時，更加系統全面地從業務流程思考問題；內部體系審核人員要能夠不斷補充經營、財務方面的知識和技能，能將發現與改善的各種問題更加聚焦于企業經營風險。終有一日，企業內部的審核、審計人員隊伍可以整合。

3.運作中融合才能更具生命力

風險管理、內控管理必須在企業的體系運作中緊密融合才能具有生命力。通常企業都建有相應的規章制度來保障其運作，企業各層面也都要按照企業的各種規章制度來執行。因此，企業在推進風險管理、內控管理時，一定要在整體系統策劃時，有機地將風險、內控和體系管理的制度有機結合。一定要避免脫離企業實際運作狀況的、按照咨詢公司推薦的所謂固定模式或表單來形成的風險控制手冊、內控手冊。只有將風險控制、內控管理的要求緊緊與企業正常運行中采用的規章制度結合，才能真正有效、持久地將風險管理、內控管理根植于企業運行系統。某領域的單體風險控制不好，會導致公司某領域的整體風險，公司整體風險進一步會導致公司經營風險，最終影響公司目標的實現。

多數企業管理體系所制定的規章制度，對于企業內部的運行風險，在風險的識別環節，沒有明顯顯示出來，通過風險管理的推進，使管理體系在制定規章制度過程中更加清晰地識別和展現出業務活動中所存在的風險點，使得控制更加聚焦于風險，也能夠引導審核人員在審核中抓住業務的核心控制環節，盡量減少輕重不分的繁復狀況。

此外，內部控制能夠更加聚焦于企業運行活動中的風險控制點，將企業運行中許多不相容的職責更加清晰地展現出來，同時對于控制點的控制要求（如準確的職位要求；授權的大小，特別是涉及經濟類授權，必須書面明確數量、金額等；例外的處置；等等）也在企業規章制度中得以體現。

四、結論

企業對風險、內控和體系管理需要進行系統性思考和策劃。管理體系是風險、內控管理的基石。內控管理更加提升控制層面，更加強化全組織控制。風險、內控管理必須在體系運作中融合才能更具生命力。在體系管理中融入風險管理、內控管理，使得管理的內涵得到提升。企業的內部審計、管理體系內審需要在相互學習中結合，二者的整合是發展方向。企業只有將風險、內控和管理體系進行有機的融合管理，避免企業資源浪費，才能提高企業的運行效率。