国有企业全面风险管理体系和内部控制体系建设融合机制研究

张岩

【摘要】国有企业是中国特色社会主义的重要物质基础和政治基础，是中国共产党执政兴国的重要支柱和依靠力量。针对当前国有企业在实施全面风险管理体系和内部控制体系建设中存在的认识模糊、信息孤岛、运行不畅等问题，提出战略规划导向下的“全面风性管理一内部控制”体系框架，以及相应的融合机制和策略，为国有企业更好控制内外部风险、实现有质量的可持续发展提供借鉴。

【关键词】国有企业 全面风险管理

随着国有企业改革的不断深化，出资人和企业本身都对风险控制提出了越来越高的要求。目前，国有企业的风险控制存在着两套并行的管控体系，即内部控制体系和全面风险管理体系。但对两个体系之间的关系，理论和实践上都还存在着一定的争议，这就在实践中给国有企业实施风险管控带来了一定的困惑和挑戰。

一、问题的提出

2006年s月，国务院国资委印发我国第一个全面风险管理的规范性指导文件——《中央企业全面风险管理指引》（国资发改革[2006]106号），从初始信息、风险评估、风险管理策略、风险管理解决方案、组织体系、监督与改进、风险管理文化、信息系统等八个方面对中央企业开展全面风险管理工作进行了规范和指导。2008年6月，财政部等五部委联合发布了《企业内部控制基本规范》（财会[2008]7号），从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面定义了企业内部控制的基本要素和操作规范；2010年4月，五部委又联合印发了《关于印发企业内部控制配套指引的通知》（财会[2010]11号），发布了18项应用指引和内控评价、内控审计2项指引，形成了较为完备的企业内部控制规范体系。2012年5月，国资委与财政部联合发布了《关于加快构建中央企业内部控制体系有关事项的通知》（国资发评价[2012]68号），对中央企业内部控制体系建设工作进行了部署。至此，国有企业的内部控制和全面风险管理有了基本遵循，从理论指导和标准规范层面解决了从无到有的基本问题。

从近年来国有企业特别是中央企业的实践来看，这两个体系对提高国有企业风险意识、建立健全风险管控规章制度、规避重大经营风险、培育企业核心竞争力、推进企业的可持续发展，起到了巨大的推动作用。但大部分情况下，两个体系的建设、运行分别由企业的财务管理部门和风险控制部门独立实施，由于概念的认知偏差、职责分工不同造成的“部门墙”现象、工作侧重点不同等原因，两个体系之间既独立运行又相互重叠，有时还存在着一定程度的矛盾和冲突，不仅会形成两个并行的“信息孤岛”，提高了企业内部的沟通和交易成本，造成了管理上的低效率，甚至有的企业还把两个体系的建设当做上级机关下达的“任务”，“过关”思维浓厚，体系建设流于形式，难以发挥应有的作用，这与前述指引和规范推行的初衷严重不符。

整体上来看，国有企业在风险管控方面还存在着以下几个方面的突出问题：一是风险意识有待进一步提高。虽然多数国有企业都建立了较为完备的内部控制或风险管理基本制度，但在制度的完备性、可操作性扔有待加强；没有形成科学合理的风险评估机制，风险评估缺乏有效的数据和方法支撑；在风险应对上也存在着普遍的“救火”意识，大都是风险暴露以后采聊‘亡羊补牢”方式；对风险的认识也相对感性、不够全面，全员参与的意识和能力不足。二是国有企业的内部环境基础依然薄弱。由于历史和体制的原因，很大一部分国有企业的董事会、监事会、股东大会等法人治理结构不健全，缺乏有效的监督机制；职能部门和业务部门之间的职责边界不清晰，部门之间的权责利结构和制衡机制不完善；给内部控制体系和全面风险管理体系的建设和运行带来了诸多不利影响。三是风险管控的信息化水平不高。大部分国有企业的风险管控还处于相对分散、各自为政的状态，缺乏统一规划、建设、运行的风险管理信息化平台，已有的风险管理信息系统也与常常其他信息系统形成不兼容的“孤岛”，导致“烟囱林立”，无法实现风险数据的共享和增值，影响了风险管控的效率和效益。

二、全面风险管理和内部控制

关于全面风险管理和内部控制之间的关系，目前学术界尚未达成统一的认识。有的专家认为，全面风险管理与内部控制是一对等同的概念，可以看成是风险控制的两种不同表达方式，没有本质性的区别；也有的专家则认为，全面风险管理强调对外部的、动态的风险的管控，而内部控制强调内部的、静态的风险的管控，是两个不能等同的概念。

本文认为，全面风险管理与内部控制是两个既有区别又有联系的概念。相对于内部控制，全面风险管理在管控目标上增加了战略目标，目标结构更具宏观性和全面性；在管控方式上，更加注重事前的监测预警和防范，而不是事中和事后管控；在管控范围上，更加注重对内外部风险的全面管控，同时强调对企业历史、现实和未来的统一，风险管控更具前瞻性。此外，在风险应对策略上，内部控制采取的是防范措施，一般情况下不能转嫁、承担、化解或分散风险；而全面风险管理可以按照风险收益原则，采取不同的风险管理策略组合，对己经发现的风险采取措施进行有效控制，从而降低风险暴露的损失。虽然存在这些差别，但风险控制是内部控制的基本要素之一，全面风险管理的基本策略、解决方案等也包含着内部控制的基本职能，两者的最终目标都是为了识别风险、评估风险、控制风险，涉及的管控主体也都是企业的全体员工，从这个意义上讲，两者之间是交叉融合、相辅相成的，这也印证了国际风险管理协会的判断，“风险管理体系与内部控制体系并没有原则性的区别，风险管理与内部控制正在趋同”。

正是由于两者在概念上的趋同以及他们在本质上的统一性，这就为融合建设全面风险管理体系和内部控制体系带来了可能。全面风险管理体系和内部控制体系都是为了应对企业风险而产生的，在最终目标上都归于合理的风险防控，那么按照成本效益的基本原则，在实际操作过程中就没有必要按照传统模式，由财务管理部门和内控部门分别建设和管理，而应该围绕国有企业改革发展的最终目标，从两者的联系和统一上统筹建立高度融合、有效协同的全面风险管理一内部控制体系。

三、融合建设“全面风险管理-内部控制”体系

从全面风险管理和内部控制的目标来看，最终的目标都是要确保企业的战略规划得到实现。根据上述分析，本文提出基于战略规划的“全面风险管理-内部控制”体系，基本框架如下图所示：

在上述框架中，内部控制环境与全面风险管理的组织体系相融合，基于国有企业的治理结构建立全面风险管理的“三道防线”，即业务部门的第一道防线，风控部门的第二道防线，意见监督审计部门的第三道防线；内部控制的风险评估与全面风险管理的风险评估系统相融合，建立健全风险估计机制、风险预警机制，有效识别经营管理中的内外部潜在风险因素；内部控制的控制活动，与全面风险的应对策略、风险解决方案相融合，以重大重要风险为抓手，运用风险管理策略组合，有效应对可能或己经发生的各类风性，降低风险损失；内部控制的监督与评价，与全面风险管理的监督与改进相融合，对风险控制策略的有效性、风险责任的确认等进行监督，确保体系有效运行；内部控制的信息与沟通，与全面风险管理的信息搜集、风险管理信息系统等相融合，确保风险信息和数据的采集、加工、应用和传递。

国有企业在融合建设“全面风险管理-内部控制”体系还应重点把握以下几个要素：

一是科学制定战略规划。战略规划包括企业的使命愿景、发展目标、业务体系和业务布局、行动计划和资源配置计划、管理运行体系和政策等。在融合建设的“全面风险管理-内部控制”体系中，战略规划具有引领性作用，要突出风险导向和问题导向，确保战略规划的制定符合企业的风险偏好和风险承受度。

二是要完善国有企业的内部环境。良好的内部环境是融合建设“全面风险管理-内部控制”体系的基础和根本保证，内部环境的好坏直接决定着风险防控的效率和效果。国有企业应从企业的实际情况出发，持续深化改革，进一步完善法人治理结构，优化业务流程，建立科学的计划管理、考核激励、人力资源管理、风险管理等基本制度，加强风险意识与合规意识教育，动员全体员工参与风性管理，把风险管控融入到企业日常经营管理和员工日常行为规范的全过程。

三是要强监督和审计机制建设。企业的风险管控需要建立与之匹配的内部监督、审计措施，充分发挥国有企业党组织的作用，统筹建立纪检监察和审计机构，明确不同机构的职能职责，建立日常监督和专项监督相结合的监察审计机制；突出监督监察工作的风险导向，及时对体系运行的有效性、合规性进行评估，提出评估意见和整改要求，督促体系建设的逐步完善；建立重大风险事件责任追究制度，及时对风险事件的责任部门和责任人进行问责。

四是建立统一的风险控制信息系统。随着信息技术的快速发展，企业智能化、智慧化发展的要求不断提高。“全面风险管理-内部控制”体系的建设运行，关键是风险数据的全面搜集、风险水平的量化评估、风险策略的合理测试、风险信息的有效传递、风险应对的指挥调度，这都需要建立一个智能化的风险管理信息系统。在建设风险管理信息系统的同时，还要与企业整体的信息化规划相统筹，避免出现新的信息孤岛，从而实现不同信息系统之间的信息融合与共享，提高基于信息系统的体系化决策能力和管理水平。

四、结束语

理直气壮做强做优国有企业是我国基本经济体制的必然要求，良好的内部控制和有效的风险管理是国有企业深化改革、持续提高竞争力的必然要求。因此，就需要企业的管理者不断把全面风性管理和内部控制有机结合起来，建立融合的“全面风险管理-内部控制”体系，持续强化风险意识，不断优化风险管控体系和业务流程，实现业务发展和风险控制的有效融合，对各类风险进行全面识别、科学评估、合理预警、积极防范和有效应对，全面提高国有企业的管理水平，持续增加竞争力和发展活力。

参考文献：

[1]高立法.企业全面风险管理实务（第三版）[M].北京：经济管理出版社，2014.

[2]财政部会计司.企业内部控制规范讲解（2010）[M].北京：经济科学出版社，2010.

[3]刘霄仑.关于国有企业风险管理和内部控制实施方面几个基本问题的思考和建议[N]，企业家日报，2014.

[4]杨书怀.全面风险管理框架与内部控制整体框架的比较分析[J]，财会通讯，2015.

[5]方紅星译.COSO.内部控制——整合框架[M].大连：东北财经大学出版社2008.