風險管理內部控制體系實現的可行性分析

◎楊林強

在經濟全球化的外部環境中，企業所處的經營環境呈現復雜多變趨勢，且面臨的風險越來越大，這對企業公司治理、風險控制等均提出了新的要求。基于此，企業的內部控制不應局限于傳統思路，而應以風險管理為核心，圍繞企業目標，主動地去發現可能的內外部風險并將之納入到內部控制中來。本文探討風險管理與內部控制的關系，并就建立風險導向內部控制的可行性嘗試探討風險導向內部控制的構建策略。

一、風險管理的定義及其發展

風險管理是指風險管理單位對風險進行識別、衡量、分析，并在此基礎上有效地處置風險，以最低成本實現最大安全保障的科學管理方法。良好的風險管理有助于提高企業治理的水平，使之更好的為企業戰略服務。

險管理作為企業的一種管理活動，起源于20世紀50年代的美國。20世紀50年代前后的兩大事件使得美國公司高層決策者開始認識到風險管理的重要性。一是1948年美國鋼鐵工人工會與廠方關于養老退休金和團體人身保險談判破裂后，鋼鐵工人長達半年的罷工對于美國經濟極為嚴重的影響；二是1953年8月12日，通用汽車公司的一個自動變速裝置廠因火災造成直接損失3千萬美元、間接損失1億美元的重大事件。這兩大事件的發生，推動了美國風險管理活動的興起。伴隨經濟、社會和技術的迅速發展，科學技術的進步在給人類帶來巨大利益的同時，也給社會帶來了前所未有的風險。與之對應的同時，在美國的商學院里首先出現了一門涉及如何對企業的人員、財產、責任、財務資源等進行保護的新型管理學科，這就是風險管理。目前，風險管理已經發展成企業管理中一個具有相對獨立職能的管理領域，風險管理和企業的經營管理、戰略管理一樣具有十分重要的意義。在中國，2006年6月，國務院國有資產監督管理委員會發布《中央企業全面風險管理指引》，標志著中國走上了風險管理的中心舞臺，掀開了風險管理歷史上新的一頁。

風險管理具有對象的特殊性、范圍的廣泛性、管理的全面性等特點。關于企業風險的分類目前學術界尚無統一的說法，國外比較流行的風險分類方法是把企業風險區分為市場風險、信用風險、流動性風險、作業風險、法律風險、會計風險、資訊風險、策略風險八大類。在中國，國資委根據中國實際情況在《中央企業全面風險管理》中把風險分為戰略風險、市場風險、運營風險、財務風險、法律風險五大類。

二、內部控制的定義及結合風險管理的內部控制體系實現的可行性

內部控制是企業董事會、監事會、經理層和全體員工共同實施的旨在實現控制目標的過程。其目標為合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。具體內容包括控制環境、風險評估、控制活動、信息和溝通及監督等五個要素，涵蓋了全面性、重要性、制衡性、適應性和成本效益五大原則。

內部控制是風險管理的重要手段，內部控制對風險的識別、化解與評價起著重要作用，為風險管理提供方法和依據。風險管理涵蓋了內部控制的內容，囊括了內部控制的全部五個要素。二者相互聯系，相互融合，共同為實現企業的戰略目標而發揮作用。風險管理和內部控制體系在若干方面存在共性：

（1）目標趨同。內部控制和風險管理都旨在提升企業價值，實現企業價值最大化的理財目標。而基于風險導向的內部控制是站在企業發展戰略的高度來關注生產經營過程中的各種風險，最終實現企業的戰略目標。

（2）實施主體相同。內部控制和風險管理是一個系統工程，二者實施時都強調全員的參與性，并明確各個單位和每位成員在內部控制和風險管理活動中的權利和義務。

（3）作用相同。內部控制和風險管理都體現在企業日常的生產經營活動中。二者在企業中相互作用，優勢互補，最終實現管理水平的提高，以及企業價值的提升。

三、就風險導向建立內部控制的架構

如何就風險導向建立內部控制的架構，筆者認為可從以下若干環節著手：

1.需要在企業內部強化風險管理意識。《企業內部控制基本規范》和《企業內部控制配套指引》兩大指導性文件，需要企業全體員工都要認真學習和貫徹基本規范，從而提高風險管理意識。企業可以將對于風險管理理論的學習，制定在KPI中，要求員工在處理日常業務時充分地衡量風險與收益的關系，將風險管理轉化為日常的自覺行動。企業要以內部控制環境為基礎，努力創建企業的風險管理文化，并鼓勵員工不斷地學習先進的風險管理方法，以增強企業抵御風險的能力。

2.應建立有效的信息溝通機制，保證信息傳遞的暢通。企業應充分利用當前發達的信息技術和網絡技術，并以當前信息化趨勢為契機，加強企業信息化建設。方法上可以充分利用ERP、OA、企業郵箱等信息管理系統，使得整個企業各個環節上的控制點互相聯系起來，實現信息實時共享。風險導向內部控制體系的建立要以風險的動態評估、處理為基礎，只有充分利用網絡信息技術，將相應的信息進行科學的篩選鑒別、匯總分類，并及時、有效地傳遞給管理層，以便于管理層及時采取相應措施，才能將風險控制在可以承受的范圍內，避免企業造成更大的損失。同時，這也可以降低相應的實施人工成本及工作強度。

3.應構建科學的風險評估機制以及風險預警系統。構建科學的風險評估機制是建立風險導向內部控制的重要內容。沒有合理的風險評估機制，風險導向內部控制很難有效實施。科學的風險評估機制需要專業化的風險管理人才，企業應十分注重復合型的風險管理人才的培養。在構建科學的風險評估機制過程中，當企業利用信息技術對風險進行識別后，要找出關鍵的風險控制點，并進行后續風險分析和評價，以實現內部關鍵點的控制。企業可以從以下幾個方面評估風險清單中的每一個風險：

（1）建立一個尺度，以反映風險發生的可能性；

（2）描述風險的后果；

（3）估算風險對項目及產品的影響；

（4）標注風險預測的整體精確度，以免產生誤解。

對風險進行評估后要采取駕馭風險的措施，如回避風險、分散風險、轉移風險等等。關于構建風險預警系統，它也是風險導向內部控制體系重要組成部分。風險預警系統是利用企業生產經營過程中的數據信息，特別是會計數據信息，通過設置指標或者構建模型對企業的生產經營狀況進行監控，以便于及時找出生產經營中的異常情況，將風險消滅在萌芽之中。在實際操作中，有條件的企業可以設置專門的風險預警部門，建立多層次、多部門相協調的風險預警體系。在實現信息共享的基礎上，將財務指標和非財務指標結合，構建適合企業實際的指標體系。隨之采取科學的風險評價分析方法，最大限度降低企業的生產經營風險，以實現內部控制的最終目標。

4.應完善監督管理機制。風險導向內部控制體系作用是否有效，很大程度上依賴于對內部控制運行的有效監督。依據內部控制兩大指導性文件的要求，風險導向內部控制體系要將不相容業務進行分離，同時完善授權審批制度，建立起相互牽制、相互制約的監督機制，以逐步建立健全全面風險管理系統。風險導向內部控制監督機制不僅要立足于企業內部，同時也需要延伸到企業外部，將內部監督和外部監督相結合。在監督實施中，應充分發揮內部審計在內部控制體系中的作用。對于在日常審計活動中發現的異常事項、內部控制缺陷以及相關的改進建議等及時向企業管理層報告，實現對內部控制運行情況的內部監督。同時，也應注重財稅等政府部門、會計師事務所及其他中介機構的外部社會監督，以獲得第三方獨立性的評價。內外監督進行完善相結合，可以實現對內部控制的雙重規范。

總之，基于風險導向的內部控制是企業內部控制非常重要的一個發展方向，對企業戰略的實現有重大的意義與作用。企業的全體員工在掌握內部控制概念和特點的前提下，運用先進的理論和方法，積極主動的做好風險導向的內部控制，則必將為企業順利實現企業戰略和規劃做出重大的貢獻。