企業(yè)內(nèi)部控制與風險管理探析

張正健

【摘 要】內(nèi)部控制和風險管理是企業(yè)提升管理能力的重要手段和基礎，將企業(yè)風險管理體系與內(nèi)部控制規(guī)范的各項要求相結合，是內(nèi)控體系建設過程中需要解決的重要問題。對眾多風險進行有效管理是企業(yè)可持續(xù)發(fā)展過程中必須具備的重要能力和企業(yè)構筑內(nèi)部控制體系所要關注的內(nèi)容。本文在概述企業(yè)內(nèi)部控制與風險管理的基礎上，分析了企業(yè)內(nèi)部控制與風險管理中存在的誤區(qū)，在此基礎上，提出加強企業(yè)內(nèi)部控制與風險管理的改進措施。

【關鍵詞】內(nèi)部控制；風險管理

伴隨實務界與理論界對內(nèi)部控制與風險管理認識的不斷加強，內(nèi)部控制建設與發(fā)展已經(jīng)提升到與風險管理相融合的新高度。在此背景下，企業(yè)內(nèi)部控制與風險管理的要求更高，并需要不斷改進與提升，是一個循環(huán)往復、永無止境的企業(yè)管理工作，將不斷促進企業(yè)加強流程管控，增強風險防范能力，實現(xiàn)穩(wěn)健持續(xù)發(fā)展。

一、企業(yè)內(nèi)部控制與風險管理概述

企業(yè)內(nèi)部控制與風險管理是相輔相成、互為促進的整體。其一致性主要表現(xiàn)在：一是企業(yè)內(nèi)部控制以及風險管理的實現(xiàn)都需要各方的參與；二是兩者都貫穿于企業(yè)的整個日常經(jīng)營管理活動當中；三是兩者的最終目的都是要實現(xiàn)企業(yè)的價值。由于內(nèi)部控制主要規(guī)范內(nèi)部管理流程，而風險可能涉及內(nèi)部風險和外部風險，從這個意義上繳，企業(yè)內(nèi)部控制屬于風險管理。然而，內(nèi)部控制的提升，將增強企業(yè)對外部風險的抵御能力，二者是互相促進的。企業(yè)的風險管理和企業(yè)的內(nèi)部控制相比較起來，它是站在更高的戰(zhàn)略層次上來分析問題的，比內(nèi)部控制更加細化，能夠更好地解決企業(yè)經(jīng)營活動當中所出現(xiàn)的各種各樣的風險問題。隨著內(nèi)部控制以及風險管理的不斷健全和完善，二者之間必定會相互交叉且相互融合，最終相互統(tǒng)一。

二、企業(yè)內(nèi)部控制與風險管理中存在的問題

1.內(nèi)部控制與風險管理意識較弱

一是風險管理意識淡薄，片面追求發(fā)展速度，制定不切實際的目標或盲目擴展投資，使企業(yè)承受無謂的風險。二是把內(nèi)部控制和風險管理看作一種靜態(tài)的東西，認為僅僅是規(guī)章制度，如文件法規(guī)、技術規(guī)范和應用模型等。三是內(nèi)部控制和風險管理的內(nèi)涵有很多重合之處，單純的將二者混為一談，忽略了其對不同企業(yè)的不同效果。四是片面相信國外的內(nèi)部控制和風險管理理念，忽略了將其與我國國情與企業(yè)實際情況結合，使得內(nèi)部控制與風險管理水土不服。

2.內(nèi)部控制和風險管理組織機制較弱

一是公司治理結構不規(guī)范，不能有效制衡管理層的強大權力，董事會沒有或者不能負起監(jiān)督管理層的責任。二是過分夸大內(nèi)部控制和風險管理的作用，認為只要建立了內(nèi)部控制和風險管理，企業(yè)的發(fā)展就是必然的。三是缺少對企業(yè)自身的特點、發(fā)展階段、行業(yè)特性、技術條件、外部環(huán)境等情況的評估機制，使得內(nèi)部控制與風險管理本末倒置。四是管控模式和組織結構設計不合理，無法有效控制企業(yè)風險，難以建立有效的內(nèi)控和相互制衡的機制。五是缺乏系統(tǒng)的風險管理體制，沒有將風險管理的手段和內(nèi)控程序融入到管理與業(yè)務的制度與流程中。

3.內(nèi)部控制與風險管理執(zhí)行力度較弱

制度的關鍵在于執(zhí)行，沒有執(zhí)行或執(zhí)行力度不夠，再先進的制度也不起作用。影響內(nèi)部控制和風險管理執(zhí)行力度的因素很多，其中，企業(yè)組織結構不合理、執(zhí)行人員素質(zhì)偏低、企業(yè)文化落后、資源配置不當是主要因素；制度本身的局限性及制度與制度之間的不協(xié)調(diào)性也給內(nèi)部控制和風險管理的執(zhí)行帶來困難。內(nèi)部控制針對的是“事”而不是“人”，是一種“非人格”的控制機制，其控制對象不限于受控方，施控方也是內(nèi)部控制的控制對象。內(nèi)部控制需要全員參與、平行參與和平等參與，這與我國傳統(tǒng)的等級制、科層制是大不相同的。

三、企業(yè)提升內(nèi)部控制與風險管理的改進措施

1.建立內(nèi)部控制與風險管理相融合的管控文化

一是建立完善的內(nèi)部控制組織框架，將高管層、中層、普通員工全部聯(lián)動起來，將內(nèi)部控制的理念貫穿入公司上下，并對公司主要風險點建立追蹤機制，以承接各種風險。二是開展一系列教育活動，包括合規(guī)在線、合規(guī)課件、合規(guī)漫畫等，進一步鞏固基于風險管理的內(nèi)控文化。三是在傳統(tǒng)金融內(nèi)控經(jīng)驗的基礎上，結合自身業(yè)務特點走出一條適合企業(yè)自身發(fā)展的內(nèi)控道路，鼓勵內(nèi)控與風險人員學習專業(yè)課程，系統(tǒng)地提升自身專業(yè)知識水平。

2.建立合法合規(guī)符合實際的內(nèi)部控制與風險管理體系

在越來越明朗化的行業(yè)大環(huán)境下，內(nèi)部控制與風險管理需要符合國家相關法律法規(guī)、行業(yè)監(jiān)管辦法以及公司內(nèi)部規(guī)章制度，需要建設既合法合規(guī)又符合實際的內(nèi)部控制與風險管理體系。一是從自身實踐出發(fā)，建立和完善內(nèi)控管理機構，并高度重視內(nèi)控專業(yè)人才的培養(yǎng)。二是按照科學、精簡、高效、透明、制衡的原則設立組織架構，設有內(nèi)審、合規(guī)和法務等模塊，并將治理層和管理層相隔離，避免職能交叉、缺失或權責過于集中。三是由內(nèi)控部門制定一系列制度，有助于內(nèi)控識別、評估和解決風險。

3.建立風險預警評估處置機制，提升內(nèi)部控制能力

一是建立風險預警機制，可以通過各種分析方法找出那些能夠?qū)ζ浣?jīng)營目標的實現(xiàn)產(chǎn)生影響的內(nèi)外部潛在因素，分析這些潛在因素對公司而言是機會還是風險，明確風險預警的標準，建立風險預警機制。二是建立風險評估體系，在經(jīng)營活動中面臨的風險多種多樣，應當對風險的特點有所認識，并對其發(fā)生的概率及程度進行評估，給予巨大風險以特別關注，并評估現(xiàn)有的內(nèi)部控制程序?qū)︼L險的適用性。設立持續(xù)監(jiān)察機制，對已識別的風險進行監(jiān)察，隨時關注風險的變化。三是建立風險處置機制，風險識別是為風險處置做準備的，對風險發(fā)生的可能性及其影響程度有所認識之后，所要做的就是，采取不同的措施對這些風險進行處置。