基于風險管理的企業內部控制研究

■鄭啟超 安徽安科生物工程（集團）股份有限公司

后疫情時代下，隨著我國企業數量及規模的快速擴張，以及市場經濟體制的不斷完善，企業經營、管理與發展所面臨的風險、競爭壓力也越來越大。在如此復雜的經濟環境之下，企業必須要正視市場風險、競爭壓力，并通過內部控制來應對日新月異的經濟環境及外部壓力，從制度層面上來不斷地優化、調整企業各項生產經營活動，確保企業正常運轉。而基于風險管理對企業內部控制展開研究，就是要從風險管理的視角，通過對企業發展內外部風險問題的分析與探究，靈活地將風險識別、風險評估等方法應用到內部控制之中，在風險管理這一框架下構建內部控制體系、工作機制等。鑒于此，基于風險管理視角考慮企業內部控制是非常必要的。

一、內部控制理論概述

1.內部控制的含義

內部控制是企業或是單位內部為了更好地發展，實施了各種制度、計劃、程度等，以達到內部資源利用效率最大化、經營效益持續提升的做法、環節等總和。內部控制需要企業或是單位總體人員共同參與，這一概念最早由西方發達國家指出，我國對內部控制的研究起步較晚，但隨著國家經濟快速發展，普遍提倡企業持續強化內部控制，并結合企業內部控制實際情況，不斷地完善企業內部控制的法律規范。

2.內部控制與風險管理之間的關系

（1） 關于控制與風險管理的內在聯系緊密

內控控制與風險管理之間的關系，學術界大致有這樣的三種看法：第一種觀點主張風險管理包括了內部控制，美國的COSO會議（2004）指出，內部控制是風險管理的主要部分，二者是有機統一的整體。第二個觀點則主張風險管理是內部控制的一部分，而英國CICA管理會議（1999）則指出，內部控制應當包括了危險的發現和降低，但贊同這個觀點的專家相對較少。第三個觀點則指出，控制和風險管理是逐漸走向融合的，并具有實質上的區別。本文認同第一種觀點，并由此對企業內部控制展開分析。

（2） 內部控制和風險管理所監控的側重點有所不同

從內部控制與風險管理人員的定義中可以發現，它們所監控的側重點完全不同。通過內部控制制度發展中所經過的五個階段可以發現，內部控制的發展主要是指規章制度的發展與完善的過程，但它的最主要目的還是通過建立相應的內部法規制度來對企業的活動加以規范，并保證企業的順利運行。而內部風險管理則有所不同，它的管理范疇較內部控制制度下對經營風險的規避要求更加廣泛，是對傳統內部控制方法的一種延續與拓展。

（3） 風險管理一直是企業內部控制發展的重點方面

按照美國COSO委員會（2004）的看法，企業風險管理是建立在內部制度整合框架基礎上的，也是對傳統企業內部管理形式的拓展與延續，企業內部管理也包含于企業風險管理。而隨著國內經濟國際化步伐的推進，國內企業在迎來了更多機遇的同時也面臨著更多的潛在風險，以企業內部風險管理為基礎的新內部管理形式，將會為企業的生存與發展帶來更多的空間，因此企業內部風險管理也將隨之成為國內企業內部管理發展的重點方向。

二、風險管理視域下我國企業內部控制現狀分析

1.缺乏風險管理意識及績效關聯程度

首先，企業的內部控制中沒有風險管理意識。隨著我國有關規定要求在企業的經營管理流程中開展風險管理，不少企業也進行了一些關于企業內部風險管理的工作，比如，撰寫有關企業風險管理人員的基本報告等，但經過比較深入的調查研究之后發現，由于現階段很多企業內部人員對關于企業風險管理的工作意識還很欠缺，所以我國大多數企業尚未形成注重風險管理意識的文化氛圍。在企業各個部門的內部控制中，人員并沒有匹配相關的崗位風險管理知識，在內部控制的過程中也沒有融入風險意識。

其次，企業的內部控制與員工管理程度相對較低。現階段企業的績效考核工作管理通常和營業收入、成本費用管理、融資效益和產出績效等指標有關，但是沒有對企業內部控制的績效考核機制，企業內在的管理風險得不到有效防范，使企業無法推進內部科學管理化以實現企業戰略目標，企業內部控制秩序不佳。

2.企業戰略目標及風險評估機制缺乏技術支撐

企業的戰略目標是企業長遠規劃和經營的指向，但現階段許多企業的戰略目標并未加入內在管理因素，往往只注重了產品、經營、合規等目標，企業在尋找產品創新、市場拓展以及產品結構上跑得更遠，而企業內部的制度管理也無法跟隨企業外部拓展的腳步，在企業戰略目標上，內在管理規劃處于缺位的狀況。

另外，企業如果想要穩固市場地位，需要有相對穩健的管理體系，但不少企業沒有確定自己未來的核心價值與企業愿景，對規模很大的企業集團來說，子企業的發展策略計劃無法與企業整體相吻合。在經營風險管理中，許多企業在經營風險評估中迫切需要改進。企業目前沒有科學合理的風險評價辦法，企業當前經營主要依賴風險管理或依靠經驗分析預測，結果往往產生了較大的主觀性，由于缺乏完善的風險評價制度和量化的科學計算方法，企業難于建立完善的風險評價制度，而風險評價不真實、不客觀也會造成企業之后的風險管理難以為繼。

3.沒有風險管理信息共享平臺

隨著企業規模的增加，企業部門結構和員工職務設定也越來越繁雜，企業各個層次、各種部門之間的管理信息溝通與交流也復雜而困難。當企業建立基于風險業務管理的內部控制系統時，由于缺乏良好的內部信息共享與交流，往往會導致企業的內部控制效能降低。

現階段，企業內部控制系統中的內部信息共享與溝通還面臨著不少障礙，企業內部大多未能搭建起風險管理信息共享網絡平臺，而內部控制中的信息溝通板塊功能也只是通過上級機關直接向基層傳遞和接收信息信號，進行風險業務時管理所需要的風險評價、風險預警等關鍵數據也無法建立與入庫，從而造成了風險管理內部的控制工作信息低效。

此外，企業內部控制也沒有風險管控報告會議機制。企業風險管理作為現代企業管理中的重要環節，目前不少企業在商務會議交流時卻忽略了這一環節，在議程中并未對企業經營風險管理作出定期匯報與研討，缺乏正確的經營風險信息匯報制度，無法在企業內部建立良好的風險管理氣氛。

三、基于風險管理的企業內部控制建設與發展對策

1.基于風險管理整合企業內部控制框架

（1） 企業治理機制的整合

管理機制的重整，是基于企業風險管理的一個管控系統的核心。一家企業不能有多個機制同時并行，因此一切的運營控制活動必須在一種統領性的管理機制內進行，而這種管理機制便是企業的風險管理體系。將內部控制、風險監控、財務管理等融入風險管理體系中，將內部控制視為風險管理職能作用的行為表現，為企業的風險管理提供合理的保障。這樣在一種管理體系下，企業的管理人員可以清楚其活動在整個管理機制中的地位和影響，從而提高管理過程控制的精度，從而進一步完善管理活動。

（2） 組織目標層級的整合

企業核心層級的確立是內部管控結構的重點。在企業內部控制和風險管理整合的進程中，關鍵是風險管控的基礎、核心和邊界問題，而又以核心整合為基礎。COSO出版的《企業風險管理——整體框架》在企業風險管理的三項指標基礎上新增戰略目標，而這之前的內部控制主要以提高管理質量與效率、財務報表的準確性以及資產的穩定性等為核心。基于風險管理的企業內部管控中將合規性風險管理對象納入其中，在戰略目標的指導下，將企業實物風險管控內容納入了風險管理的報告范圍中。

（3） 信息共享與控制的整合

信息共享與控制系統的整合，是企業實現內部控制有效性不斷提高的基本要求。從信息論的觀點出發，現代企業中基于信息風險管理的內部管控系統的形成，也正是基于對信息資源的社會價值獲取和信息風險防范。企業構建安全的共享信息系統，在內部可以確定各層次標準、增進內部溝通、建立完善的內部控制平臺，不斷評估和改進內部控制活動；在外部能夠進行內部風險管理，及時發現和管理外部潛在問題，同時收集外部關鍵數據。

2.建立基于風險管理的內部控制體系

（1） 突出風險管理理念

由于國內多數企業存在風險管理意識淡薄、內部控制落實不到位等現象，想要進一步踐行風險管理理念，企業就必須要盡快建立內部控制基本制度，使內部控制和企業風險管理相互融通，逐步形成以企業風險管理為導向的內部控制體系。

（2） 加強內部控制環境建設

首先要確定企業發展目標，突出戰略思維，并深入分析企業所面臨的內部結構環境，明確企業優勢與劣勢，機遇與挑戰，并根據企業目標提出企業的發展戰略目標。逐步形成內部控制理念，將風險管理納入企業價值與發展目標和企業戰略中，形成企業文化與經營風格，突出風險辨識評估，并逐漸改變企業的內部控制方法，把風險管理作為企業的總體發展戰略。采取日常信息溝通、及時評價、獎懲和制約措施等方法，把企業的發展戰略、內部控制目標和風險管理理念傳遞給每一位職工，逐步建立對員工管理的激勵機制。

其次，要強化企業員工職業道德建設與行為準則規范建設，進一步增強企業內部控制的能力。要重視對企業員工的激勵與約束，將企業文化中加入職業道德與價值觀，明確企業人員必須做什么，不必須做什么。加強對企業員工年終考評，將企業員工的年終業績與工資相掛鉤，并鼓勵企業員工主動服從與落實。

（3） 逐步完善企業法人治理結構

逐步形成以股東大會、管理人員、監督、管理人員為基礎的現代企業管理框架。更注重獨立董事的法律地位，以充分發揮獨立董事在企業組織中的基礎地位。在企業管理層設立專門委員會，以完善內部風險管理與監控。建立了健全的風險管理制度，對企業存在和發生的風險實施了事前辨識，事中評價和事后預警。對風險加以分類，并采取了差異化的處理方法。明確區分了企業內在因素與外來風險，通過量化和定性相結合的方法合理化解風險。構建了財務風險和內部風險預警評價體系，及時發現重大問題，并把企業損失控制在可以承受的范圍內。

（4） 完善以內部審計為基礎的內部監督制度

加強風險導向審計，提高了內部審計的獨立性，增強了審計的專業素養，在審計過程中強化了對企業內部控制水平的評價，形成了完備的企業內部控制評估框架。要加強監管能力，適時公開內部控制的有關資料，幫助員工及時發現內部控制漏洞，完善內部控制，提高內部控制的實效性。

3.基于風險管理構建內部控制長效工作機制

（1） 優化內部控制設計企業的內部控制體系

企業管理者應充分考慮內部風險管理的要素結構，把風險管理滲透到企業內部的管理體系建設中去。而根據這一理念，企業在進行內部風險管理之前一定要先全面了解COSO內部控制的五大要素框架，從整個企業的內在管理框架上進行完善管理建設。首先，企業一定要從追溯風險管理本源入手，充分利用整個企業人力資源，培育高素質人力資源團隊，并進行資源要素的內部流動和管理機制的改革創新。其次，企業還需要在原有的內部控制系統上加以創新完善，包括建立量化風險的評價體系，以及建立風險管理信息系統，而內部控制結構的完善就必須有具體的管理標準，力求形成主動地、靈活地基于風險的內部控制結構，從而全面提升對企業的風險管理的控制能力。

（2） 建立風險評價制度，成立專業的風險管理委員會

為達到內部控制目標，提高風險處理水平，增強經營者和職工的風險意識，必須完善風險評估制度。在建立風險評估制度過程中，必須建立風險嚴重性評估指標積極處理風險，以提升企業運作質量，從而提高領導層的經營水平，減少風險，改善經營效益。同時還應成立專業的風險管理委員會，主要審核企業內部控制設計方案，內部控制評估指標與缺陷準則、審定風險評價指標，以及審核年度的內部控制評估報表和風險管理文件等。在必要時，還應委托專門評價組織審核，但亦可臨時委托中介機構以及有關領域專家學者參加審核，對企業風險判斷提出專業建議。

（3） 在風險導向內部控制體系下完善監督體系

企業通過使用自己的內部審計機構實施定期評價，將持續監控貫徹于企業運營與控制行為的始終。長期有效地監控，可以降低企業會計信息滯后率和信息不對稱，從而主動地適應企業內部條件的變遷。內部審計機構由董事長直接主管，并向董事長和股東報告，以便自主地進行內審操作。審計項目也要具備整體性，涵蓋整個部門的項目。同時，也要建立風險評價體系和內部審計體系，將風險評價與預警體系嵌入內部監督系統，最大限度地防范與避免經營風險。另外，企業還需做好財務交叉部分的互相監督，業務經理和員工之間的互相監督，因此，企業經營機構與企業機構之間可以交叉監管。需要按照以往成功經驗進一步細化的監管機制與程序，推進內部監控活動的規范化。

四、結語

綜上所述，通過對我國企業現階段內部控制現狀以及內部控制與風險管理二者關系的分析，在后疫情時代下我國企業，應在COSO內部控制的理論框架上，以風險管理為企業內部控制優化、強化的導向，切實將風險管理作為企業內部控制的主體框架，進一步加強風險管理與內部控制的融合，通過優化內部控制設計、完善內部控制體系、優化內部控制制度等措施，讓企業資金、財務、經營等各方面管理更為高效、安全，以便更好地實現企業戰略發展目標，在市場競爭中取得優勢地位。