淺析民營企業以風險管理為導向的內部控制

王悅

摘要 民營企業是建設經濟體系的重要力量，在資源不足的情況下，依然創造了超過50%的稅收和80%以上的城鎮就業。但是從統計數據來看，民營企業平均壽命不到3年，為此，本文以A民營集團公司為例，采用案例研究方法，研究民營企業（如無特殊說明，本文中所指民營企業均為非上市公司）如何逐步推進風險管理工作，建立以風險管理為導向的內控體系。本文在闡述內部控制與風險管理的概念以及兩者之間關系的基礎上，針對民營企業內部控制的現狀，深入研究其內部控制目前普遍存在的問題，探討民營企業應用風險管理理念開展內部控制的必要性。還選取A民營企業為案例，基于風險管理視角分析A公司內部控制存在的問題以及利用風險管理理念設計、建立內部控制體系所取得的成果、局限性及解決方法。研究發現，運用風險管理理念設計并建立內部控制體系，有利于提高民營企業經營管理水平和風險防范能力，可以促進民營企業的可持續發展。本文對于民營企業保證經營管理合法合規、資產安全和財務信息真實完整，提高經營效率和效果，促進企業戰略目標的實現具有一定的參考價值。

關鍵詞 民營企業;內部控制;風險管理

2019年10月19日國資委印發《關于加強中央企業內部控制體系建設與監督工作的實施意見》，該實施意見將內控、風險、合規有機結合起來，將內部控制定位為央企實現高質量發展、強基固本、防范重大風險、培養世界一流企業的重要基礎。很多民營企業也已經意識到了應盡早將風險管理和合規管理要求嵌入業務流程中，促使企業依法合規地開展各項經營活動，實現“強內控、防風險、促合規”的管控目標。

一、內部控制與風險管理的內涵及關系

（一）內部控制與風險管理的內涵

內部控制是指由企業的董事會、監事會、經理層和全體員工共同實施的、旨在實現控制目標的過程。內部控制的首要目標是合規，其次是合理保證財務信息的真實性，終極目標是促進企業戰略目標的實現。

美國海恩斯最早提出了“風險”的概念——“如果某種行為具有不確定性時，其行為就反映了風險的負擔”。企業層面的風險具有“危害”和“可利用”這雙重性。《管理會計應用指引第700號——風險管理》中指出，風險是對企業戰略與經營目標產生影響的不確定性。該影響可能是正面的，即收益，也有可能負面的，即損失。

風險管理是指企業為實現風險管理目標，對風險進行識別、評估、預警和應對等一系列管理活動的過程。

（二）內部控制與風險管理的關系

內部控制與風險管理是相互交叉、相互融合的，他們的構成要素及目標要求極為相似，都是注重發展戰略、市場運行、財務管理、法律規范以及經營管理等。內部控制五要素中的風險評估，也就是風險管理八要素的目標制定、事項識別、風險評估、風險應對要素。內部控制的有效實施依賴于風險管理的技術方法，而風險管理離開了內部控制的支撐也將流于形式。內部控制的目標就是防范和控制風險，推動企業實現發展戰略，風險管理的目標也是促進企業實現發展戰略，二者都要求將風險控制在可承受范圍內。因此，內部控制與風險管理二者是協調統一的整體。

二、民營企業健全風險管理導向內部控制的必要性

（一）央企內控規范為民營企業提供了參考標準

財政部、國資委對上市公司及國企都有明確的內部控制要求，2017年6月，《小企業內控規范（試行）》的出臺使得非上市公司民營企業有了內控建設的參考性標準，但沒有要求強制執行，而是由企業自愿選擇。很多民營企業是注重風險管理工作的，此時，建立以風險管理為導向、合規管理監督為重點，嚴格、規范、全面、有效的內控體系并逐漸優化內控體系，時機已經成熟。

（二）民營企業普遍具有家族式管理的特點

民營企業普遍存在治理環境不健全，缺乏外部監管，容易形成“一言堂”的問題，因此需要從識別風險、風險評估、風險應對等方面將內部控制體系搭建起來，讓企業逐步走向規范化。

（三）融資可信度及企業聲譽提升

民營企業運行良好的流程，對于包括財務管理在內的各種制度都能保證嚴密，那么無論是從金融機構貸款還是未來對外發行股份來說，都會增加企業的透明度和可信度，為順利融資打下良好基礎。良好的風險管理體系設計，可以提升民營企業效能，使包括融資、盈利在內的目標得以實現。

三、案例公司簡介及以風險管理為導向的內部控制分析

（一）案例公司簡介

A民營企業成立于1988年，經營業務以IT為主，能源、新材料和生化科技為輔，是國家重點高新技術企業之一，其中IT業務的主體為上市公司。B、C公司為上市公司的子公司，即集團公司的孫公司。D公司是集團公司的全資子公司。2008年A集團公司提出開展風險管理工作，成立風險管理團隊。

（二）以風險管理為導向的案例內部控制分析

首先由集團公司制定風險管理政策，即《集團全面風險管理手冊》，組建風險管理團隊，主導各體系的風險管理體系建設;然后，在專家指導下，評估并確定各體系的重大風險，經各體系領導層研討和交流后制定各體系風險管理的有效措施，并嚴格執行;最后，各體系定期匯報風險管理的階段性成果，風險管理團隊定期檢查驗收。

根據公司發展的不同階段，分為新公司、成長公司及成熟公司，采用不同的風險管理策略。

2010年新成立公司首次進行了集中風險評測，邁開了“管理和審計向項目延伸”的第一步，實現了風險管理工作與公司投融資發展戰略更深一步的契合。評審現場由財務、人力、法律、投資部等人員組成的評委進行打分，繪制出風險地圖，通過對新公司的提問和交流，幫助這些新公司經營存在的風險，下一步發展思路和舉措。

對于成長中的公司給予一定的指導，包括培養風險管理員等。

對于成熟公司如上市公司，它是2000年在上交所主板上市，風險管理團隊將其與行業競爭對手對比分析，主要采用關鍵財務指標與行業及競爭對手的水平比較分析以及杜邦綜合因素分法，分析營運能力、償債能力、盈利能力、成長能力及綜合經營狀況等，同時判斷并評價公司在同行業中所處的競爭地位，并進一步認清其與主要競爭對手相比的優勢和劣勢，從而確定今后需要重點關注的方向，提高公司的持續經營能力和公司價值。

（三）階段性成果——建立內控體系關鍵步驟基本完成

1.搭框架。A企業集團公司自主研發了風險管理系統，按行業劃分ICT（電信業）、ITS（智能交通）、能源（石油）、新材料（土質固化劑），初步建立了內控框架。

2.找風險。以評審的幾家新成立公司為例，通過公開評審，找到風險點，識別風險，提出風險應對措施。

B公司主要從事國家部委機關的辦公信息系統網絡平臺的開發，業務完全依賴另外兩個股東（占比70%）分包業務而生存，A公司實際出資300萬，占比30%，另外兩個股東卻未按協議出資，成立兩年以來共有4個項目，簽訂合同額205萬元，項目利潤﹣5萬元，而回款率僅80%，且骨干員工離職。因此，管理風險小組風險識別認為B公司戰略及經營風險大且發生的概率極高，采取的措施為規避，最終經評估及與管理層協商，關閉了該公司，收回近一半的投資款，避免無項目的消耗，及時止損。

C公司主要從事網絡游戲的開發及運營，注冊資金500萬元，自開始以事業部形式存在，到成立公司獨立運營，2年的時間仍未研發出可供運營的游戲產品，累計支出已達957萬元，公司已處于資不抵債的狀態，無造血功能。因此，管理風險小組風險識別認為它在商業模式、戰略實施等方面都處于高風險狀態，且風險發生的概率極大，在風險應對中采用風險規避策略。

D公司為福碼開發公司互聯網公司，以識讀軟件為入口，提供溯源等基礎商品信息化解決方案和服務。有員工58人，獲得中關村高新技術企業資格，擁有實用新型專利1項、發明專利2項，申請中的發明專利12項、實用新型專利4項。但由于起步稍晚，沒有占得先機，市場認可度不足，遲遲沒有合同執行，一直在研發投入階段，累計虧損超過5000萬元，但由其高科技公司特點，期望它日后有所表現，因此我們保留了該公司。該公司的評審過程如下：

第一，風險評估。在評委對其在各方面打分確定風險類別及級別，繪制出風險地圖。

第二，應對措施。戰略方面：主要是戰略定位不準，戰略實施方式、方法、手段、途徑等低效，管理者大項目經驗不足等的風險。

評委一致認為，公司從成立起，不論是其福碼技術、識別設備、APP應用、知識產權還是帶給最終用戶的價值，在未來一段時期內定位于“互聯網思維”下的“項目型”企業是恰當的;公司應堅定不移地按照“項目試點+推廣”的模式逐步驗證產品可靠性、積累客戶認知、借助互聯網來提升公司的知名度和影響力。所謂“互聯網企業”，更多的是“商業模式互聯網化”的企業，關鍵還是要實現穩定盈利，形成核心競爭力。

市場方面：主要是商業模式還不成熟、業務模式和盈利模式還不清晰等風險。

運營方面：主要是銷售人員配置較弱、項目交付經驗欠缺、人員流失以及合同免責條款不足等風險，集團推薦但無一人到崗，期待集團能夠盡快匹配銷售團隊。由于在研發階段沒有客戶，所以在實施交互部署方面缺乏專業人才和團隊，目前我們正在積極尋找和組建這樣的團隊，但由于近期招聘被停，所以此事進展相對緩慢。

財務方面：主要是現金流短缺的風險，自身無造血功能。

由以上案例看出，在管理層評審溝通、對風險的細致分類、精準應對措施、落實責任人等方面，風險管理小組的成果是顯著的。能做到及時止損，提升改進經營管理水平，使風險管控關口前移。

3.建規則。通過識別民營企業存在的各種風險，糾正內控管理上的缺陷，通過修改制度、完善流程，達到發展與風險控制的協同。

4.持續評價與提升。A企業集團公司每年對下屬公司出具內控評價報告，在報告期后2個月內被評價公司要提交整改情況說明，在下次評審中除新發現的風險點及問題外也要對上次問題是否改進進行查看，這樣不斷循環，持續評價，使之提升發展。

四、民營企業建立風險管理導向內部控制存在的問題及對策

（一）風險管理導向內部控制存在的問題

1.內控體系沒有全覆蓋。A集團公司在經營層面執行力的內部控制無疑是成功的，但是民營企業的管理層主觀認為決策不需要經過風險管理評審，或者忽視內控體系的制度規定，比如投資回收期長，投入資金額巨大，在投資初始時并未做好充足的市場調研，盲目投資，投資后也缺乏對資金占用成本的測算，造成現金流長期短缺，出現單個項目拖垮整個公司的情況。此類決策失誤，會給企業帶來致命打擊。最高決策者的失誤在于，出于對核心機密的控制考量，對不愿意披露的問題設置障礙，避而不談，使民營集團公司在監督各個參股控股的公司時，自身問題成了“燈下黑”。

2.信息化建設跟不上內控體系建設。風險管理系統運行中，個別模塊沒有預警功能，根據經驗，系統自動測評出的中高風險不能及時通過內部郵件等方式傳遞到決策層，也就不能及時傳遞到內控管理部門，問題不能及早發現，只能通過人工主動查看，信息化程度不高。另外風險管理系統還有很多模塊有待開發。

（二）加強風險管理導向內部控制的對策

1.加強企業層面控制。管理層應改變以往風險管理工作只針對下屬公司，向下縱深發展的模式，將其改為自上而下進行，建立良好的內部環境。集團公司的管理職能部門，包括財務部如融資成本與資金產出利潤率，人力資源部如即時激勵、人才選育等內容都應該被納入風險管理流程中。

2.充分利用數字信息化建設促進全面性原則。針對民營企業老板一股獨大，重大問題缺乏集體決策的特點，要充分運用信息化的手段，如在風險管理系統中設置不通過集體審批，沒有評審意見就無法撥付資金等方法，達到機器比人更容易說不，督促所有人都要按流程執行，做到法治大于人治。運用大數據，分析整理以往的經驗教訓，不斷優化管理。

3.引入“外腦”助力。“外腦”能夠以“旁觀者”的姿態來發現一些內部職員無法發現的問題，同時還可以克服內部監督部門的力量以及技術的局限性，更具權威性，通過借用“外腦”，可以從中立的視角提出評價建議，促進內部控制法律法規執行的有效性。

五、結語

盡管A公司通過風險管理為導向的內控體系通過4個關鍵步驟建立起來，在運行中對投資管理管控是成功的，但是還有很多需要改進的地方。民營企業生存本就不易，所以更要建立風險管理體系，建立健全內部控制體系，保證其健康發展。在經營中遇到問題在所難免，因此在實踐中，風險管理部門一方面要將取得的經驗分享至管理層，另一方面也要借助信息化渠道，通過全面實施風險管理，讓民營企業走向良性的發展道路。

（作者單位為億陽信通股份有限公司）

參考文獻

[1] 單華軍.內部控制、公司違規與監管績效改進——來自2007—2008年深市上市公司的經驗證據[J].中國工業經濟，2010（11）：140-148.

[2] 韓旭軍，王大軍.風險管理基礎知識[M].經濟管理出版社，2018.

[3] 丁友剛，胡興國.內部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[J].會計研究，2007（12）：51-54.

[4] 陳美蓮.民營上市公司內部控制存在的問題及對策研究[J].中國鄉鎮企業會計，2019（12）：203-204.