浅议风险管理与内部控制对企业发展的指导意义

王竣

（咸阳市高新天然气集中供热有限公司，陕西 咸阳 712000）

风险管理起源于20世纪50年代，西方学者将风险管理作为一门管理学科正式引入学术研究领域。初期的风险管理仅对个体风险在不同领域或不同体系内分类研究，未能形成系统性的认知和体系化的建设。在我国，关于风险管理的研究起步较晚，早期处于理论的、单一的研究阶段，企业风险防范意识薄弱，风险应对能力不足，缺少管理制度的支撑和信息化建设的投入，忽略了内外部环境对企业造成的系统性伤害，导致企业无法做出有效的应对决策。分析风险管理与内部控制理论体系，积极探索或优化公司治理结构，成为增强企业竞争的软实力。

一、风险管理与内部控制的关系

（一）风险管理是内部控制的方向引导

企业风险管理指企业为实现风险管理目标，对风险进行有效识别、分析、预警和应对等管理活动。企业可以根据风险的来源、影响、性质和责任主体不同，建立符合企业管理需要的和适合企业发展的风险管理防范模式，对已发生的风险事件、损失进行分析，从战略、财务、市场、运营、法律与合规等方面进行定性和定量分析，将风险控制在可控、可承受范围内，最大限度地规避、降低或减少风险造成的损失。风险管理相对于内部控制，在可行性研究或市场调研时更早的介入到企业设计当中，融入企业战略规划、经营管理、财务管理等业务活动，达到风险管理与内部控制相一致的根本目的。因此，风险管理对内部控制具有方向性引导。

（二）内部控制是风险管理的有力支撑

内部控制是全员参与，旨在实现控制目标的过程，是企业建立和实施规范管理，合理保证企业合法合规经营的管控手段，以科学的职责分工和有效的制衡机制将关键控制点和控制措施结合，落实责任并有效监督评价的重要管理保证。加强内部控制的原动力来自企业内部，虽然没有统一的模式，但良好的企业文化氛围和组织结构有利于内部环境的完善，授权管理、合同审查、往来对账、采购机制等内部控制手段的有效实施为风险管理提供有力支撑。

二、企业内部控制与风险管理的现状

（一）风险管理体系不健全

1．风险管理意识薄弱

我国经济近年来发展规模与速度位居世界前列，重视经营的同时对风险认识却不到位，风险意识薄弱。首先，管理者未将风险管理纳入企业战略规划，缺少对风险识别和判断，缺少面临风险的心理准备和措施应对；其次，风险与机遇并存，当风险伴随机遇来一并来临时，不能预估其产生的效应，无法用科学的方法判断，进而导致错失机会。企业有必要培养风险意识，将利益与风险权衡，制定合理的有利于企业发展的战略决策。

2．风险管理制度不健全

风险管理在企业中流于领导口头和书面表述，缺少制度化、规范化。制度不健全集中表现在筹融资决策、投资决策、担保业务、套期保值等方面业务。制度建设对风险管理起到指引作用。企业应当在风险监测预警、应急处理、风险决策关键环节先建立起基础制度，逐步推进、完善、落实。

3．缺少风险管理信息化构建

企业短期内对风险管理的信息化构建投入不能带来现实的经济利益流入，因此风险管理的信息化构建处于落后或停滞状态。没有设立专门的风险监管机构，人员缺乏统一认识，对风险敏感度不足，对风险责任不明确，缺少对风险持续跟踪、监控和反馈，间歇性风险管理造成缺少风险指标的监测、预警基础数据的支撑，无法从系统中进行标准设定和偏离值预警，更无法得到有效分析和评估。故风险管理需要长期、系统、专业的信息化建设，完善公司治理结构。

（二）内部控制管理现状

1．内部控制机构不健全，制度不完善

内部控制是现代企业的重要组成部分，实际工作中内控环境存在监事会、董事会等职责权限弱化现象。以董事会为核心的管理责任，以监事会为核心的监督责任未真正发挥职能，控股权与经营权未实质分离，委托代理关系难以发挥作用，企业管理者多依赖于上级部门的文件和规定，缺少委托代理或职业经理人的专用判断力。企业管理缺少基层员工参与，民主意识淡化职责权限不清导致企业内控制度不完善，由下到上的执行力不够。内控制度过于粗放，缺乏考核和激励机制，难以调动内控实施积极性。

2．内部控制监管滞后，缺乏独立性

一方面，内部控制管理涵盖预算管理、投资管理、生产管理、营销管理、财务管理、人力管理等诸多方面，而大多数企业内控监管与日常业务存在脱节现象，往往在内控审计部门审计或检查时管理层才能关注、重视内部控制问题。重经营，轻管理，忽视内部控制管理的重要性，缺少事前介入和连续的监管，造成内部控制管理缺乏连贯性、完整性、精准性。另一方面，内部控制监管部门独立性有待加强。对于其他职能部门而言，独立、客观、公正的评价，专业的分析能力，不与任何职能部门产生信息、数据的舞弊行为是监管部门的工作职责。在监督实施过程中或多或少受到来自上级领导、同级部门的干扰，人为干扰监管部门意见的独立性。

3．内部控制守旧，缺少激励机制

企业管理不断优化、创新，内部控制不应墨守成规。激励机制作为内部控制考核评价的一部分，在于调动人为主动性，达到促进企业目标实现的手段。人，作为企业活动主导因素，与经营者政治文化素质、专业技能水平、法律意识等息息相关，激励关系中不论是激励者，还是被激励者，落实重点在于激励计划的制定和执行。缺少内部激励的企业，突出表现在人才流失、研发能力薄弱、业绩下滑、工作积极性下降。部分上市公司和国内知名企业将激励机制在内部控制中应用，激发了公司内部活力和潜力，取得超出预期的效果，其经验值得我们学习和研究。因此，固守监管职责无法调动员工的积极性，纳入激励机制才能激发企业活力。

（三）缺少专业化人才培养

风险管理与内部控制涵盖范围既有重叠又有不同，风险管理需要的是综合性的、可扩展的多方面人才，涉及专业更具多样性。本质上，风险管理是内部控制的外延，内部控制是风险管理有效性的补充，管理目的相同但审视角度不同，需要具有丰富的工作经验，专业的判断能力以及多领域业务知识支撑。理论的充实不代表实际工作合理应用，就目前现状而言，实际工作中缺乏风险管理和内部控制的专业人士，需要关注专业化人才的培养。

三、风险管理与内部控制应对策略

（一）建立风险管理体系

1．建立统一的风险管理理念

在现代风险管理理念中，学者们以美国COSO委员会和GARP组织提出全面风险管理框架为基础，开展风险管理体系研究。通过风险矩阵分析提供可视化风险等级，经过定量技术（概率和非概率风险模型）风险量化，将风险描述与关键指标联系，避免主观判断偏差，将风险管理意识、风险管理理念融入日常业务，从而形成良好的风险管理环境，增强风险管理意识，促使企业整体、团队、个人在风险管理价值观上的趋同，避免风险策略的激进或保守，合理保证风险管理目标的一致性。

2．建立风险管理组织体系

全面风险管理的必要条件是明确组织架构和职责。组织架构中，公司业务部门和职能部门作为风险管理的基础建设，需贯彻公司制度的有效执行，完善签字审批流程；风险管理职能部门应认真审核流程必要的环节的把控，形成完整业务流程；内控审计部门和法律事务部门根据企业自身经营和管理需求出发，从监督、制衡方面保持其评价独立性，将日常监督与专项监督有机结合，定期进行自我评价，形成目标设定、风险识别、风险分析、风险应对、风险监控、信息沟通和报告、风险管理考核和评价的完整组织体系。

3．建立风险管理制度

企业应当对风险管理制度实行分级管理，坚持全面性原则、审慎性原则、独立性原则、有效性原则、适应性原则。引入战略分析PESTEL分析法，从政治、经济、社会、科技、生态、法律等方面，综合分析固有风险和剩余风险，通过计算风险敞口及历史对比，制定科学的风险应对策略，达到分担、降低、转移的目的。

4．加强风险管理信息共享

通过研究风险管理理论，分析风险管理现状，发现要提高风险管理效率和质量，必须进行风险数据化采集和标准化制定，注重并参考历史数据，加强信息质量、沟通机制、信息反馈。借助网络媒体获取外部有效信息，加以筛选和整合，形成企业信息集成与共享，提高全员风险防范意识。

（二）完善内部控制管理机制

1．优化内部控制环境

内部环境是企业实施内部控制的基础。根据国家有关法律法规，建立规范的治理结构，明确的职责分工，严谨的授权审批制度，“三重一大”的集体决策制度执行，都是为了建立规范的内控环境。企业应结合业务特点设置内部机构，明确职权范围，实现不相容职务分离。企业应制定合理的授权审批制度，冗长无效的审批流程浪费企业资源。企业应当对各部门业务活动加强关键岗位、关键环节控制，如：梳理采购流程，建立灵活多样的采购招投标和定价机制；合理决策投融资和资金调度，防止决策不当造成资金链断裂，加强合同双方资质审查和履约能力审查等。企业应当加强对财政法规政策的掌握，加强对经营财务风险管理的敏感度，发挥内部控制在企业中作用。优化内部环境，使企业客观评价现实状况，合理预测未来趋势，避免因主观的判断错误导致企业失去方向。

2．健全考评和激励制度

在企业组织体系中，监督、考核、评价、激励的目的是为企业内部控制有效性服务。通过监督，加强业务流程的授权审批，不相容职务分离，优化资产配置；通过考核，定期开展因素分析、对比分析、趋势分析，发现运营中存在的问题；通过评价，分析预算执行授权和指标落实，监督预算执行过程，完善奖惩考核；通过激励，激发员工工作创新力，吸引高质量人才队伍加入，提高企业研发创新能力，激活企业发展内驱动力。健全考评和激励制度，有利于创造良好的企业文化。

3．持续加强人才培养与信息化建设

风险管理与内部控制并不是独立体系的存在，与财务管理、人力资源、信息中心、企业文化共同组成企业的治理结构。人才的培养需要各领域人员的相互配合，需要各领域之间的相互协调，人才的专业是以纵向审视视角，从风险管理或内部控制的专业角度分析问题，但人才又是横向跨专业的，需要具备不同领域知识储备才能更好完成专业问题，所以企业需要加强人才培养。

当今社会，信息技术的应用有利于提升工作效率和管理水平。在风险管理和内部控制中，信息数据分析已经成为常态化。要将风险与内控需求转化为信息语言、立体模型、图表数据、趋势演变等，实现数据连通的协同效应，需要不断进行信息化“硬设备”的建设和人员“软设备”的建设。

（三）内部控制与风险管理的衔接与融合

在内部控制与风险管理的研究上，一直存在“等同论”“区别论”“并行不悖论”的观点，随着理论的实践与应用可以发现，高质量的内部控制对企业管理形成有效的权力监督和制衡，帮助企业构建良好的公司治理环境，更好地完成企业发展战略目标与经营目标。完善的内部控制能够降低风险发生的概率，风险管理中识别、分析帮助企业清楚认识面临危机，从而采取措施进行风险“降解”，二者目标一致。内部控制的过程管控，对内部缺陷的评价与整改，帮助管理者正确认识不足，监督约束管理行为，有效解决因信息不对称带来的资源配置和利用效率问题，降低风险的负面影响，二者相互补充。企业在发展过程中，应协调处理二者关系，使其有效衔接达到融合、互补。

四、结束语

内部控制和风险管理作为公司治理的核心问题，需要优秀的管理团队和先进的管理理念，内部控制和风险管理的整合与统一，需要在企业管理中不断实践和探索。企业的风险意识和抗击能力是提高企业竞争实力的具体措施，内部控制是苦练内功的过程，以此为抓手进行企业组织内部的提升，对企业管理水平和可持续发展具有重要的指导意义。