風險管理與內部控制的融合路徑研究

韓振宇

（中能化創新投資集團有限公司，北京 100055）

風險管理和內部控制是現代企業管理中的兩項重要職能，就理論分析而言，兩者存在緊密的內在聯系。一方面，風險防范是內部控制的基本目標，另一方面，內部控制是風險防范的重要手段。但在企業管理實踐中，一定程度上存在著風險管理與內部控制相互分離的問題，典型表現是在職能分配上，風險管理和內部控制分屬于企業不同的管理部門，彼此獨立地發展成為相互分離的兩套體系，從而削弱了風險管理和內部控制應有的協同效應。

筆者認為，對現代企業而言，特別是對金融機構、投資公司等整體風險程度偏高的企業，以風險防控為導向實現風險管理與內部控制深度融合，是理順兩者關系的有效路徑。結合相關實踐，筆者對實現兩者融合的路徑設計如下：

1.統一風險與內控領導體制，為融合提供組織保障

以按照公司法規范建立公司治理架構的企業為例，公司可以從董事會、經理層、職能部門等3個層面，自上而下建立分層級的對風險管理與內部控制的統一領導體制。其中：

在董事會層面，可以設置風控委員會，作為董事會所屬的專業委員會，協助董事會從公司治理層面統籌指導風險管理、內部控制，以及其他相關工作，協調推進風險管理、內部控制及其他相關職能的有機融合。

在經理層層面，可以設置風控工作領導小組，協助經理層貫徹落實董事會戰略決策要求，從經營管理層面強化推進風險管理、內部控制及其他相關工作的落地與融合。

在職能部門層面，可以將風險管理與內部控制職能歸口同一部門進行具體組織實施，從執行層面推進風險管理與內部控制的充分銜接和有效融合。在企業管理實踐中，不同企業間盡管風險管理與內部控制職能的具體歸口管理部門不同，但將兩項職能歸屬于同一部門管理的趨勢明顯增強。

2.準確評估主要風險，造就融合前提條件

構建以風險防控為導向的風險管理與內部控制融合體系，首先需要準確評估企業面臨的主要風險。以筆者曾服務過的Y公司為例，Y公司建立了“年度全面風險評估+月度風險跟蹤+重要項目專項風險評估”相結合的風險管理運行機制。根據年度全面風險評估結果，建立風險數據庫，并結合月度風險跟蹤和重要項目專項風險評估情況，對風險數據庫進行動態調整。風險數據庫詳細列示了Y公司本年度面臨的主要風險，以及風險名稱、風險表現、風險成因、風險發生后對公司的影響、風險管理策略、風險解決方案、風險管理主體等基本要素是公司開展風險管理的重要基礎資料。

以20XX年度為例，Y公司評估確定該年度面臨的主要風險為4大類、12項明細風險。具體情況如表1所示。

以上風險類別是Y公司結合自身風險管理實踐所做的劃分，其含義如下：

需要積極應對的風險是指此類風險的風險因素已經顯現，風險事件已經存在，若不積極應對，短期內極大可能對公司形成不利影響。

需要加強管控的風險是指此類風險的風險因素已經顯現，短期內無明顯的風險事件發生跡象，但若不加強管控，未來出現風險事件的可能性較大。

需要重點關注的風險是指此類風險的風險因素潛在存在，如果不加強防范，隨著風險程度的積累，未來存在引發風險事件的可能性。

其他需要注意的風險是指此類風險的風險因素潛在存在，公司也采取了一定的防控措施，但相關風險因素仍需要給予適度關注。

3.梳理內控基本體系，奠定融合的堅實基礎

全面梳理公司內部控制基本體系，明確內部控制主要組成部分，是以風險防控為導向，實現風險管理與內部控制深度融合的基礎。

仍以Y公司為例。Y公司以財政部等國家五部委印發的《企業內部控制基本規范》和《企業內部控制應用指引》為基礎，按照內部環境、風險評估、控制活動、信息與溝通、內部監督等內控五要素，結合公司實際，建立了公司內部控制體系，主要由管理制度、工作流程和授權手冊3部分組成。3部分相互銜接、配合使用，共同構成了Y公司的內部控制體系。其中：

管理制度部分，Y公司綜合自身職能定位、業務范圍、組織機構等相關因素，以“三大層級、七大類別”為基礎框架，按照機構、職能、業務3條主線，制定管理制度100余項，形成建立了相對完善的管理制度體系，實現了“有機構即有議事規則、有職能即有管理辦法、有業務即有實施細則”的制度建設目標。

工作流程部分，Y公司區分8大類、50余項業務，分別明確了股權投資、銀行融資、合同管理、人員招聘、銀行賬戶管理等主要業務的標準化工作流程，為實務操作規范化提供了依據。

授權手冊部分，Y公司按照9章、8類、50余項流程的基本架構，分別明確了公司股東、黨委會、董事會、監事會、董事長、法定代表人、總經理等公司治理層面的職責權限，以及各項具體業務在不同管理環節的審批權限，為開展重點領域、重點環節的授權控制提供了具體依據。

4.以風控為導向調整內部控制，實現兩者深度融合

明確了公司面臨的主要風險和內部控制主要組成之后，以風險防控為導向優化調整內部控制，主要是根據面臨的主要風險及管理需要，檢查評估管理制度、工作流程和授權手冊對各項風險防控工作的支持程度，對缺失的管理制度、工作流程和授權要求進行補充完善，對與風險防控要求不相適應的內部控制內容進行修訂。并根據主要風險的動態變化情況，對內部控制進行相應的動態完善，確保各項具體風險防控要求在管理制度、工作流程和授權要求3個方面均得到有效落實，充分實現各項具體風險防控要求與管理制度、工作流程、授權要求的完全匹配。

以前述Y公司為例，根據表1所示的Y公司20XX年度主要風險，對組成公司內部控制的管理制度、工作流程、授權要求分別進行優化調整，并形成如表2所示的對應關系。

通過以風險防控為導向對內部控制進行優化調整，針對各項風險的具體表現形式，確保在制度規定、流程設計、授權管理等3個方面均落實有相應的防控措施，將3個方面的工作統一到風險防控目標上來，并根據風險動態變化情況進行相應的補充、修訂、調整和完善，在確保風險防控與內部控制相互協調一致的同時，也有效避免了制度規定、流程設計和授權管理各行其是、相互脫節。

5.實現風險管理與內部控制深度融合的保障措施

以風險防控為導向，實現風險管理與內部控制的深度融合，除上述基本路徑外，還需要從風險文化培育、員工隊伍建設、外部資源協同等方面積極采取措施，確保以兩項職能融合取得良好效果。

5.1 大力培育積極的風險管理企業文化

企業文化是支撐企業發展的軟實力，各企業在經營管理實踐中也形成了各具特色的企業文化。在促進風險管理與內部控制深度融合過程中，高度重視企業文化軟實力的推動作用，將風險管理文化培育納入企業文化建設工程統籌設計，達到“大力培育和塑造良好的風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化為員工的共同認識和自覺行動，促進企業建立系統、規范、高效的風險管理機制”的目的。

以Y公司為例，為培育積極的風險管理企業文化，制定了《Y公司風險文化建設綱要》，分析了加強風險管理文化建設的重要性和必要性，明確了風險管理文化建設的指導思想和基本原則，規劃了風險管理文化建設的主要內容，部署了風險管理文化建設的主要任務，提出保障風險管理文化建設順利實施的主要措施，是Y公司在一定時期內推進風險管理文化建設的綱領性文件。

Y公司在風險文化建設綱要的引領下，主要實施了以下風險管理文化建設措施：

（1）制定風險文化建設工作規劃。根據規劃，Y公司風險文化建設工作分為宣傳推廣和鞏固提高兩個階段推進實施。其中：宣傳推廣階段，計劃利用2年左右的時間，通過公司文件、工作簡報、專題講座、案例剖析等形式，重點宣傳風險管理理念，增進員工的風險意識，逐步形成風險管理文化共識。鞏固提高階段，在一個較長時期內，進一步豐富風險管理文化的內容和內涵，推進風險管理文化與整體企業文化的有機融合，形成較為完善的風險管理文化體系，并重點培育適當數量的風險管理工作先進示范典型。

（2）近3年來，累計舉辦風險管理專題講座5次，組織典型風險案例剖析討論會6次，編發以推廣風險管理經驗為主要內容的工作簡報4期，持續引導全體員工樹立風險理念，增強風險意識，形成風險共識。

（3）從公司治理、經營管理、業務操作3個層面制定風險管理制度4項，編制了《Y公司全面風險管理工作指引手冊》，確定了公司風險管理的組織體系和工作機制，梳理了公司經營管理中常見風險，明確了常見風險的日常監測指標和監測責任主體，提出對新增風險因素、潛在風險事件的報告和處理機制，優化了風險管理工作評價機制，為公司加強風險管理文化建設提供了制度保障。

5.2 打造厚基礎、寬專業的風險管理與內部控制工作團隊

工作團隊是開展各項工作必不可少的重要基礎。Y公司風控工作部作為風險防控、內部控制的具體組織實施部門，其團隊成員的知識背景要求涉及企業管理、會計、法律等多個專業。為滿足工作需要，公司提出了“打造厚基礎、寬專業的風險管理與內部控制工作團隊”的目標要求。其中：“厚基礎”即是打牢原有專業知識的基礎；“寬專業”即是按照缺什么補什么的原則，積極拓展知識面，適應風險管理、內部控制職能融合的需要。通過“厚基礎、寬專業”職業勝任能力提升工程建設，以及合理搭配團隊成員專業結構，有效提升團隊成員協同作戰的成效。

為打造厚基礎、寬專業的風控工作團隊，Y公司主要采取了以下措施：

（1）嚴把人員入口關，Y公司采取“社會公開招聘為主，公司內部輪崗為輔，實習生頂崗實習為補充”的選擇機制，選擇具有較強專業拓展能力的人員加入風險管理與內部控制工作團隊。其中：在社會公開招聘中，對應聘者在知名企業、機構的工作經歷設置底線要求，對工作經歷過于單一的應聘人員原則上不予考慮。在公司內部輪崗中，公司有計劃地實施業務人員與風控人員的交叉輪崗，一方面增強風險管理與內部控制團隊對業務操作的深入了解，增進風險管理與內部控制的深度和針對性；另一方面增強業務人員的風險意識，促進風險防控關口前移，最終在相互理解的基礎上，提升公司整體風險防控能力。實習生頂崗實習主要是在工作實踐中考察實習生的專業水平、工作能力和專業拓展潛力，選擇真正適合公司風險管理與內部控制工作需要的優秀畢業生。

（2）持續提升風險管理與內部控制工作團隊綜合業務能力，保持團隊工作活力。風險管理與內部控制工作團隊針對每名成員的特點，按照缺什么補什么的原則，制定個性化的個人能力提升方案，并通過工作業績考評和鼓勵團隊考取相關資格證書等方式檢驗專業拓展成效。目前，風險管理與內部控制團隊全體成員均取得了國際注冊管理咨詢師（CMC）資格證書，2/3的非會計、審計專業背景人員取得了國際注冊內部審計師（CIA）資格證書，1/2的非法律專業背景人員取得了法律職業資格證書。風控工作團隊“厚基礎、寬專業”能力提升工程取得了切實成效。

5.3 匯聚強有力的外部專業資源

風險管理與內部控制工作專業性強，優秀的外部資源可以為2項工作開展和融合提供強有力的專業支持。Y公司結合業務開展需要，組建了律師事務所、會計師事務所等5類專業機構資源庫，按照少而精的原則，每類資源庫選擇10家左右能與公司業務開展形成緊密協同效應的專業機構成為成員單位。公司對資源庫成員實行動態管理，在吸收協同性強的新成員入庫的同時，淘汰協同性差的成員出庫，不斷增強公司與資源庫成員單位的工作協同性，公司通過多種途徑與資源庫成員實現信息共享和智慧融合。公司在以風險防控為導向實現風險管理與內部控制工作深度融合過程中，各類資源庫成員提供了強有力的專業支持，為公司風險管理與內部控制順利融合貢獻了智慧和力量。