企業內部控制管理與風險管理整合策略

卜 夙

（作者單位：哈爾濱銀行股份有限公司哈爾濱分行）

企業內部控制體系包含事前防范、事中控制和事后監督三個基本環節，實現內部控制管理與風險管理的整合，就是將內部控制的思維、原則和手段應用到風險管理中，切實提高企業對風險的防控水平。同時，企業管理者還要增強風險意識，在內部控制管理中精準識別和妥善處理風險，降低損失，維護企業利益。探究內部控制管理與風險管理整合的可行性策略，無論是對于企業當前的生產經營，還是對于企業的長遠發展，都是大有裨益的。

一、企業內部控制管理與風險管理的關聯性

（一）風險管理是內部控制管理的發展與延伸

企業內部控制管理在優化資源配置、強化內部監督、提高管理水平等方面發揮了顯著作用，隨著經營范圍的拓展，企業對內部控制管理的依賴性進一步增強。調查發現，部分企業存在為了內控而內控的情況，這就會產生諸多負面影響，如管理過于嚴格導致職工積極性下降，企業創新能力不強等。企業推行風險管理模式下的內部控制管理，旨在圍繞企業整體發展目標，將風險管理理念融入內部控制的各個環節，使風險管理與內部控制相互交織在一起發揮作用。這樣一來，利用風險管理防控企業內部控制中可能存在的風險，可保證內部控制管理體系更好地發揮作用。二者相互補充，成為現代企業不可或缺的強大管理工具，可促進企業管理效率和管理水平提升。

（二）內部控制管理是風險管理的必要環節

在企業生產經營中，由于風險具有隱蔽性、多發性等特征，風險管理面臨諸多挑戰，如何精準識別風險、如何有效應對風險，成為風險管理中必須要考慮的兩個關鍵問題。而內部控制管理可以很好地解決這兩個問題。一方面，內部控制體系中提供了若干種控制方法，如不相容崗位分離控制、授權審批控制、績效考評控制、財產保護控制等。合理運用這些控制措施，能夠有效杜絕因職工個人操作失誤而產生的風險。以授權審批為例，在未獲得授權審批的情況下，不允許私自使用企業的各項資產，以此保護企業資產的安全，避免出現資產挪用風險。此外，內部控制屬于閉環管理，利用內部控制制度可讓各個部門之間相互制約，實現對風險的事前預防；利用庫存限額控制、賬實盤點控制等方法，可實現對風險的事中管理；通過審計各項經濟業務活動，及時發現管理漏洞，可實現對風險的事后監督。

（三）風險管理與內部控制管理具有目標一致性

目標上的一致性是內部控制管理與風險管理實現融合的根本前提。在市場競爭加劇的環境下，企業經營發展中面臨的不確定風險呈現出高發態勢，這些風險除了會損害企業的經濟利益，還會對企業的市場形象、商業信譽等產生負面影響。風險管理的目標是通過精準識別和科學控制風險，切實維護企業的核心利益。企業掌握的資源是有限的，而內部控制管理的目的是合理配置資源，用有限的資源創造最大的價值，確保企業發展目標的實現[1]。由此可見，風險管理和內部控制管理雖然在工作內容上存在差異，但是二者最終的目標相同，都是維護企業利益、促進企業發展。

二、企業內部控制管理與風險管理整合的基本原則

（一）循序漸進原則

現代企業制度的完善和企業管理改革的深入，為內部控制管理和風險管理整合提供了較為成熟的條件。需要注意的是，二者整合是一項系統性、復雜性的工作，如何保證內部控制管理與風險管理整合過程中企業各項工作不受影響、企業核心利益不受損害，是管理人員必須要考慮的問題。為此，二者整合過程中必須要落實好循序漸進的原則，不得急于求成。要立足于企業自身情況，開展深入的市場調研，借鑒其他企業的成功經驗，在此基礎上編制內部控制管理與風險管理整合專項方案。經過企業高層管理人員的反復探討和多次修改后，確定最終的整合計劃。然后開展試點，試點結束后總結經驗、尋找不足、提出改進建議。最后再全面推開，順利完成內部控制管理和風險管理的整合。這樣既能順利完成整合任務，又能讓各項工作實現平穩過渡。

（二）以人為本原則

企業風險管理和內部控制管理的核心都是“人”，二者實現融合也必須堅持以人為本的原則，通過發揮管理人員的經驗優勢和專業優勢，夯實融合基礎，創造融合環境，保證內部控制水平得到提升，讓風險防控目標順利實現[2]。內部控制管理和風險管理既有諸多共性，也存在顯著差異，如果盲目促進二者整合，很有可能因為管理方式不一致、工作方法不兼容引發風險，損害企業利益。堅持以人為本的原則，就是要將人員培訓擺在優先位置，將管理制度、工作內容等納入培訓方案，讓管理人員能夠同時掌握風險防控和內部控制的工作要領，憑借豐富的工作經驗和扎實的專業技能，為風險管理和內部控制管理的整合提供支持，保證二者融合以后企業各項工作可以按部就班地開展。

（三）優勢互補原則

風險管理與內部控制管理的側重點不同，為了讓二者融合能夠發揮“1+1 ＞2”的效果，必須要遵循優勢互補原則。風險管理的優勢在于超前識別風險，在風險尚未給企業造成實質性損失的前提下，準確找出風險，采取相應的控制措施，將風險的不良影響降到最低，保障企業的利益不受損害。而內部控制管理的優勢在于合理配置各種資源，包括資金、設備、技術、人力等，以最低的成本投入和最少的資源消耗，確保管理目標順利實現。在內部控制管理與風險管理整合的過程中，將風險防控優勢與資源調度優勢結合起來，實現企業生產效率和經營效益最大化。

三、企業內部控制管理與風險管理整合的有效途徑

（一）正確認識內部控制管理與風險管理的關系

在現代企業制度下，內部控制管理與風險管理的關聯性得到了進一步增強，在企業生產經營中如何實現二者的相互協同、融合共用，成為企業管理者必須要思考的問題。管理人員只有站在宏觀視角，辯證看待二者之間的關系，正確區分二者的差異，才能從企業實際出發讓內部控制管理和風險管理實現優勢互補，共同服務于企業的生產經營和改革發展。例如，企業風險管理中包括風險識別、風險評價、風險控制等多項內容，基于風險管理視角開展內部控制管理，有助于強化管理人員的風險意識，使管理人員在配置和使用各類資源，開展各項業務活動時，能夠時刻警惕可能存在的風險。在此基礎上，通過事前防范、事中控制、事后監督，把握內部控制要點，順利完成內部控制目標[3]。同樣，將內部控制的原則、方法運用到風險管理中，堅持預防為主、防治結合，達到化解風險的目的。由此可見，厘清內部控制管理和風險管理的邏輯關系是實現二者融合的必要前提。

（二）改善企業內部控制環境

良好的內控環境能夠為內部控制管理與風險管理的融合創造條件，對風險的有效防控和內控目標的順利實現發揮積極作用。企業可采取以下措施創造理想的內控環境：

第一，落實管理責任，健全監督制度，使企業不同部門、各個級別的職工都能各司其職、相互協同，讓內部控制管理體系得以順暢運行。尤其是在風險管理方面，各部門要形成管理合力，避免相互推卸責任。第二，堅持以人為本，充分發揮企業職工在預防和控制風險方面的作用。定期開展教育培訓，切實提升企業職工的風險意識和危機意識；組織參加技能培訓，幫助職工更新專業知識，在提高工作效率的基礎上杜絕因個人失誤而引發的風險。充分發揮企業職工的主觀能動性，讓企業生產經營的每個環節都能納入內部控制管理范疇，從源頭上清除風險存在的土壤。第三，加強企業文化建設，培育以風險管理為主導的企業文化，并通過開展宣傳教育提升職工對企業核心價值觀的認同感，為內部控制管理與風險管理的互融互進創造良好的環境。

（三）健全風險預警管理體系

企業風險具有突發性和嚴重危害性，傳統的風險管理往往側重于事后控制，在風險發生后采取措施降低風險造成的危害，這種管理方式不符合企業利益最大化的要求。將內部控制管理與風險管理相結合，健全風險預警管理體系，可以將風險管理的重心從事后控制向事前預防轉移，通過準確識別風險，及時發出預警，采取有效應對策略，達到防患于未然的效果[4]。基于內部控制的風險管理，圍繞企業生產經營的各個環節采取相應的控制措施。以預算管理為例，建立風險預警管理體系，預算管理人員要將工作重心放在預算方案的編制、預算目標的設定等方面，保證目標合理、方案可行，從源頭上防范超預算帶來的財務風險。在預算執行過程中，內部控制部門要密切監督預算方案的落實情況，在實際支出超出預算后立即進行預警，避免超預算給企業帶來經濟損失。由此可見，健全風險預警管理體系也是現代企業內部控制管理與風險管理融合的重要措施。

（四）優化內部控制管理評價標準

內部控制水平在一定程度上反映了風險管理與內控管理的整合效果。企業需要從制度層面上為內部控制管理與風險管理的整合提供支持，必須構建一套更加成熟、完善的內部控制管理評價標準。從企業自身情況出發，總結以往的風險管理經驗，對企業運營過程中常見的風險進行分類與評價，確定各類風險要素的危害程度。根據評價結果，量化風險等級，進而采取相應的預案，提高對風險的預防和控制能力。例如，采用分層次評價方法，將風險分為普通、中等、高危等多個級別。企業內部控制管理人員提前制訂多套風險防控預案。在識別風險后，按照評價標準確定風險的等級，然后選擇相應的方案，及時采取措施將風險的負面影響降到最低，維護企業的經濟利益[5]。隨著市場環境的變化和企業發展戰略的調整，內部控制管理評價標準也要與時俱進，體現出靈活性和適應性，在風險管理與內部控制管理整合過程中發揮預期的作用。

（五）運用風險管理理念指導內部控制管理

除了從思想層面上高度重視風險管理，還要將風險管理貫徹到企業的中心業務和關鍵環節中，以實際行動提高企業內部控制水平，保證企業既定戰略目標順利實現。以風險管理理念指導內部控制工作開展，要把握好兩個關鍵點。一是加強資金統一調配管理，對于業務部門提出的各項資金申請，需要采取嚴格的資金使用審批流程，核實資金用途、監控資金流向，從源頭上杜絕虛列開支、浪費資金的問題，切實防控財務風險。實現資金集中管理和統籌調度，確保效益最大化，增強企業內部控制管理能力。二是保證材料設備采購的透明化，對于企業日常運營所需的辦公耗材、生產材料和機械設備，做好信息公示，方便進行監督。采購大宗貨物時采取公開招標方式篩選供應商，降低成本、防控風險，為內部控制目標的順利實現創造有利條件。

（六）構建信息管理系統，加快整合內部控制管理與風險管理

內部控制管理與風險管理之間既有共性又有差異，要想讓二者實現有機融合，除了要從體制機制層面采取保障措施，還要充分發揮信息技術的優勢。通過構建信息管理系統，利用辦公自動化系統、企業資源計劃系統等，實現不同部門之間的信息共享，達到防控風險、提高內控水平的效果，夯實二者融合的基礎。實踐表明，企業各部門之間交流不暢、存在信息屏障，是導致風險管理能力不強、內部控制力度不足的重要因素。基于此，企業管理層要樹立信息化理念，將大數據、互聯網等信息技術融入企業的風險管理和內控管理。在實時獲取和充分共享信息的基礎上，讓管理人員能夠精準識別潛在風險，采取內部控制措施達到化解風險的效果，切實維護好企業利益。在引進信息管理系統后，同步做好企業職工的信息技能培訓，將信息技術優勢轉化為企業管理優勢。

四、結語

面對復雜的市場環境和激烈的行業競爭，創新管理模式、提升管理水平成為企業實現健康發展的重要途徑。風險管理是企業管理體系的重要組成部分，將風險管理與內部控制管理有機整合，利用內部控制手段實現對風險的事前預防、事中控制和事后監督，能夠將風險的發生概率降到最低，使風險產生的損失最小，從而切實維護企業的經濟利益。改善企業內部控制環境，健全風險預警管理體系，以及運用風險管理理念指導內部控制管理，是現代企業推進風險管理與內部控制管理整合的有效舉措，將成為企業管理改革的重中之重。