穆雅石

摘要：現(xiàn)代企業(yè)在錯綜復雜的外部環(huán)境下參與市場競爭，必然會面臨很多風險。這些風險既包括企業(yè)進行經(jīng)營活動時面臨的經(jīng)營風險、財務風險、市場風險等，也包括公司治理中委托代理關系帶來的道德風險、逆向選擇的風險。面對紛雜的風險，如何全面管理企業(yè)風險以實現(xiàn)企業(yè)戰(zhàn)略就顯得異常迫切。本文主要從歷史、實踐兩個維度來探討企業(yè)風險管理與內(nèi)部控制的融合，并結合筆者自身的經(jīng)驗，就如何做好二者的融合提供一些建議。

關鍵詞：企業(yè)風險管理 內(nèi)部控制 融合

從歷史上來看內(nèi)部控制理論的起源要比風險管理的理論早很多，二者之間的關系一直是理論界的研究熱點，在很多研究文獻中，內(nèi)部控制和風險管理常有混用，甚至有學者認為，內(nèi)部控制就等于風險管理。直接導致內(nèi)部管控和內(nèi)部風險管理產(chǎn)生直接聯(lián)系的公開文件是1992年由COSO所提出的《內(nèi)部控制——整體框架》，在國際上被普遍認同的COSO框架中，內(nèi)部控制有5個要素組成，風險管理由8個要素組成，其中控制環(huán)境、風險評估、控制活動、信息與溝通以及監(jiān)督這五個組成要素是重合的；內(nèi)部控制的一個基本作用是控制風險，風險管理則是企業(yè)為了對所面臨的風險進行識別、評估和控制，最終目標也是控制風險，二者的總體目標基本是一致的；內(nèi)部控制與風險管理都提出該管理活動是由董事會、經(jīng)理層和全體員工共同參與實施的過程，其最終責任人都是管理者。

就我國風險管理和內(nèi)部控制發(fā)展的進程看，國資委啟動全面風險管理在先，而五部委組織編制的《企業(yè)內(nèi)部控制基本規(guī)范》則充分吸收了全面風險管理的理念和方法，進一步強調(diào)內(nèi)部控制與風險管理的統(tǒng)一，要求企業(yè)建立合理的內(nèi)部控制，提升風險防范能力。

由此可見，內(nèi)部控制和風險管理同屬于企業(yè)經(jīng)營管理的范疇，二者互為前提，相輔相成，缺一不可。

下面，將結合筆者所在公司開展全面風險管理與內(nèi)部控制的具體實踐，就二者在融合應用時應關注的幾個關鍵因素進行分析。

一、樹立“風險管理——內(nèi)部控制”循環(huán)工作思維模式

筆者在企業(yè)管理實踐過程中體會到，內(nèi)部控制和風險管理工作的出發(fā)點和落腳點都是控制風險。風險管理更傾向于戰(zhàn)略層面，是對方向、政策的把握，而內(nèi)部控制更傾向于戰(zhàn)術層面，是手段、措施。在企業(yè)管理的不同層級，內(nèi)部控制和風險管理相互依存但重要性次序可能不同。在戰(zhàn)略管理層面，企業(yè)需要結合自身經(jīng)營管理目標，梳理、分析可能導致目標偏離的風險事件，并根據(jù)風險發(fā)生的可能性和影響程度，建立適當?shù)陌l(fā)展戰(zhàn)略，這一過程中風險管理發(fā)揮主導作用，內(nèi)部控制僅起到配合作用。在具體業(yè)務流程管理層面，這一角色逐步逆轉(zhuǎn)，管理者必須綜合運用內(nèi)部控制和風險管理，通過風險管理辨識業(yè)務流程各環(huán)節(jié)中存在的風險事件，并按照內(nèi)部控制的要求建立風險管理策略，在這一過程中是由內(nèi)部控制最終發(fā)揮主導作用，風險管理則起到配合作用。

風險管理從辨識風險出發(fā)，經(jīng)過評估風險、確定風險承受度，最終建立風險管理策略，而內(nèi)部控制則從流程中的風險點起步，按照內(nèi)部控制的規(guī)范要求，針對各項風險點建立相應的內(nèi)部控制措施并定期評估，二者的工作過程在實際管理過程中形成了“風險管理——內(nèi)部控制”的工作循環(huán)。

基于這種思維模式，筆者所在公司從頂層設計開始，按照“風險管理——內(nèi)部控制”工作循環(huán)實施內(nèi)部控制和風險管理工作，在對各項風險發(fā)生的可能性和影響程度進行定性和定量分析的基礎上，根據(jù)企業(yè)實際情況確定相應的風險承受度，并以此為目標，按照內(nèi)部控制的規(guī)范要求，確定不同的風險應對策略和相應的內(nèi)部控制措施，同時定期組織對各項業(yè)務流程內(nèi)部控制設計與運行的有效性予以評價。目前公司已初步實現(xiàn)了風險管理和內(nèi)部控制相互融合的有機循環(huán)，為公司管理層提供決策支持，拉動管理提升，促進企業(yè)實現(xiàn)風險管理從戰(zhàn)略規(guī)劃到戰(zhàn)術行動的管理“落地”。

二、基于流程視角的風險管理與內(nèi)部控制融合

從COSO框架的定義中，可以看出內(nèi)部控制和風險管理都被明確為一個“過程”，而不是靜止的事物，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，因此內(nèi)部控制和風險管理最好是融入于企業(yè)日常管理流程中，形成一種常規(guī)運行的管理機制，主要步驟如下：

（一）結合企業(yè)目標辨識風險

《中央企業(yè)全面風險管理指引》中對風險的定義是“未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響”。由此可見，風險與企業(yè)目標密切相關，企業(yè)應結合經(jīng)營目標、戰(zhàn)略、經(jīng)營計劃，對內(nèi)外部各種可能影響目標實現(xiàn)的事件進行系統(tǒng)的分析，確認哪些潛在的事件會影響到目標的實現(xiàn)，從而辨識出未來企業(yè)經(jīng)營管理所面臨的各類風險。

筆者所在公司為大型航空發(fā)動機制造企業(yè)，其主要經(jīng)營目標就是制造出質(zhì)量合格、成本適當?shù)暮娇瞻l(fā)動機，一旦發(fā)生生產(chǎn)系統(tǒng)不穩(wěn)定、質(zhì)量檢測不細致、財務管理不健全、采購工作不及時、國家政策和國際環(huán)境發(fā)生劇烈變化等風險事件，無疑將導致公司生產(chǎn)經(jīng)營偏離既定目標，而由于軍品訂單相對穩(wěn)定，公司在銷售業(yè)務和客戶管理過程中面臨的風險相對較小。由此可以確定公司的一級風險框架主要為生產(chǎn)運營風險、質(zhì)量風險、財務風險、采購風險、戰(zhàn)略風險等。在此基礎上，可以對一級風險做進一步的細化和分解，最終形成公司的風險事件庫，如表1所示。

（二）在流程環(huán)境中確定風險承受度

在流程管理理念中，客戶需求是其管理的出發(fā)點和最終目標，要使內(nèi)部控制、風險管理與流程相融合，最重要的理念就是從客戶的角度對風險進行分析，并在流程環(huán)境中從總體上衡量各項風險的承受度。

筆者在公司管理中發(fā)現(xiàn)，按業(yè)務職能建立的管理體系往往有突出部門職責而損害流程整體目標的缺陷，例如：為確保采購風險降至最低，法律風險管控部門提出了一系列的供應商資質(zhì)要求，采購部門采取了競爭性談判的方式選擇供應商并確定采購價格，財務部門提出了付款方式的約束條件，各部門分別在采購流程的不同階段履行部門職責，防范采購風險。然而當生產(chǎn)過程中出現(xiàn)特殊情況需要緊急采購時，若各部門只考慮自身利益，如法律風險管控部門堅持履行供應商資質(zhì)審查程序而拒絕簡化程序、采購部門要求必須競爭性談判而不是直接采購、財務部門完全不同意提供超過常規(guī)水平的預付款以加快供貨速度，只能導致采購活動延遲，生產(chǎn)目標難以實現(xiàn)。因此單獨管控一項風險毫無意義，只有將一條流程中各項風險管控水平進行總體平衡，確保在實現(xiàn)流程目標的前提下，各項風險在內(nèi)部控制體系的管理下處于在可控范圍之內(nèi)，且該流程總體風險同樣可控，才能夠被認為是有效的內(nèi)部控制和風險管理。

（三）明確風險應對策略，制定內(nèi)部控制措施

在確定各項風險承受度之后，應按照內(nèi)部控制的規(guī)范要求，有針對性地提出相應的風險管理策略。目前被廣泛采用的風險管理策略主要包括風險回避、風險控制、風險分散與中和、風險承擔、風險轉(zhuǎn)移等。實踐經(jīng)驗證明，建立風險應對策略是企業(yè)從風險管理到內(nèi)部控制的轉(zhuǎn)折點，企業(yè)的管理者應在風險應對策略指出的管理方向上，按照內(nèi)部控制體系的管理要求，制定或完善內(nèi)部控制措施，確保各項風險的管理最終能夠通過內(nèi)部控制措施與業(yè)務流程有效融合，形成企業(yè)內(nèi)部控制和風險管理的整合框架。

三、總結

總體而言，內(nèi)部控制和風險管理逐漸呈現(xiàn)相互融合的發(fā)展趨勢，即以風險管理為主導，將內(nèi)部控制和風險管理融合，建立適應企業(yè)風險管理的內(nèi)部控制體系，促進企業(yè)提升風險辨識的靈敏度，推動內(nèi)部控制管理從事后的監(jiān)控和完善走向事前的預警和事中的防范，從而最終幫助企業(yè)提高運行效率與效果。筆者從事財務工作多年，深感將二者融合使用，更符合成本效益原則，可以避免職能交叉、資源浪費、重復勞動，降低顯性和隱性成本，管理更高效，完全符合現(xiàn)代企業(yè)對價值創(chuàng)造和管理的根本追求。因此，企業(yè)管理者在構建內(nèi)部管理體系時，應充分考慮內(nèi)部控制和風險管理的有機結合，并在實踐過程中不斷加以改進和完善。

按照權變理論，從培育和提升企業(yè)核心競爭能力的要求來看，企業(yè)的全面風險管理與內(nèi)部控制建設總是要不斷優(yōu)化的。只有在企業(yè)發(fā)展不同階段確定不同的工作重點，選擇適宜的策略持續(xù)改進，才能最大限度提升企業(yè)管理能力，促進企業(yè)健康持續(xù)發(fā)展。

（作者單位：西安航空動力股份有限公司）endprint