■鄭啟超 安徽安科生物工程（集團）股份有限公司

后疫情時代下，隨著我國企業(yè)數量及規(guī)模的快速擴張，以及市場經濟體制的不斷完善，企業(yè)經營、管理與發(fā)展所面臨的風險、競爭壓力也越來越大。在如此復雜的經濟環(huán)境之下，企業(yè)必須要正視市場風險、競爭壓力，并通過內部控制來應對日新月異的經濟環(huán)境及外部壓力，從制度層面上來不斷地優(yōu)化、調整企業(yè)各項生產經營活動，確保企業(yè)正常運轉。而基于風險管理對企業(yè)內部控制展開研究，就是要從風險管理的視角，通過對企業(yè)發(fā)展內外部風險問題的分析與探究，靈活地將風險識別、風險評估等方法應用到內部控制之中，在風險管理這一框架下構建內部控制體系、工作機制等。鑒于此，基于風險管理視角考慮企業(yè)內部控制是非常必要的。

一、內部控制理論概述

1.內部控制的含義

內部控制是企業(yè)或是單位內部為了更好地發(fā)展，實施了各種制度、計劃、程度等，以達到內部資源利用效率最大化、經營效益持續(xù)提升的做法、環(huán)節(jié)等總和。內部控制需要企業(yè)或是單位總體人員共同參與，這一概念最早由西方發(fā)達國家指出，我國對內部控制的研究起步較晚，但隨著國家經濟快速發(fā)展，普遍提倡企業(yè)持續(xù)強化內部控制，并結合企業(yè)內部控制實際情況，不斷地完善企業(yè)內部控制的法律規(guī)范。

2.內部控制與風險管理之間的關系

（1） 關于控制與風險管理的內在聯系緊密

內控控制與風險管理之間的關系，學術界大致有這樣的三種看法：第一種觀點主張風險管理包括了內部控制，美國的COSO會議（2004）指出，內部控制是風險管理的主要部分，二者是有機統(tǒng)一的整體。第二個觀點則主張風險管理是內部控制的一部分，而英國CICA管理會議（1999）則指出，內部控制應當包括了危險的發(fā)現和降低，但贊同這個觀點的專家相對較少。第三個觀點則指出，控制和風險管理是逐漸走向融合的，并具有實質上的區(qū)別。本文認同第一種觀點，并由此對企業(yè)內部控制展開分析。

（2） 內部控制和風險管理所監(jiān)控的側重點有所不同

從內部控制與風險管理人員的定義中可以發(fā)現，它們所監(jiān)控的側重點完全不同。通過內部控制制度發(fā)展中所經過的五個階段可以發(fā)現，內部控制的發(fā)展主要是指規(guī)章制度的發(fā)展與完善的過程，但它的最主要目的還是通過建立相應的內部法規(guī)制度來對企業(yè)的活動加以規(guī)范，并保證企業(yè)的順利運行。而內部風險管理則有所不同，它的管理范疇較內部控制制度下對經營風險的規(guī)避要求更加廣泛，是對傳統(tǒng)內部控制方法的一種延續(xù)與拓展。

（3） 風險管理一直是企業(yè)內部控制發(fā)展的重點方面

按照美國COSO委員會（2004）的看法，企業(yè)風險管理是建立在內部制度整合框架基礎上的，也是對傳統(tǒng)企業(yè)內部管理形式的拓展與延續(xù)，企業(yè)內部管理也包含于企業(yè)風險管理。而隨著國內經濟國際化步伐的推進，國內企業(yè)在迎來了更多機遇的同時也面臨著更多的潛在風險，以企業(yè)內部風險管理為基礎的新內部管理形式，將會為企業(yè)的生存與發(fā)展帶來更多的空間，因此企業(yè)內部風險管理也將隨之成為國內企業(yè)內部管理發(fā)展的重點方向。

二、風險管理視域下我國企業(yè)內部控制現狀分析

1.缺乏風險管理意識及績效關聯程度

首先，企業(yè)的內部控制中沒有風險管理意識。隨著我國有關規(guī)定要求在企業(yè)的經營管理流程中開展風險管理，不少企業(yè)也進行了一些關于企業(yè)內部風險管理的工作，比如，撰寫有關企業(yè)風險管理人員的基本報告等，但經過比較深入的調查研究之后發(fā)現，由于現階段很多企業(yè)內部人員對關于企業(yè)風險管理的工作意識還很欠缺，所以我國大多數企業(yè)尚未形成注重風險管理意識的文化氛圍。在企業(yè)各個部門的內部控制中，人員并沒有匹配相關的崗位風險管理知識，在內部控制的過程中也沒有融入風險意識。

其次，企業(yè)的內部控制與員工管理程度相對較低?，F階段企業(yè)的績效考核工作管理通常和營業(yè)收入、成本費用管理、融資效益和產出績效等指標有關，但是沒有對企業(yè)內部控制的績效考核機制，企業(yè)內在的管理風險得不到有效防范，使企業(yè)無法推進內部科學管理化以實現企業(yè)戰(zhàn)略目標，企業(yè)內部控制秩序不佳。

2.企業(yè)戰(zhàn)略目標及風險評估機制缺乏技術支撐

企業(yè)的戰(zhàn)略目標是企業(yè)長遠規(guī)劃和經營的指向，但現階段許多企業(yè)的戰(zhàn)略目標并未加入內在管理因素，往往只注重了產品、經營、合規(guī)等目標，企業(yè)在尋找產品創(chuàng)新、市場拓展以及產品結構上跑得更遠，而企業(yè)內部的制度管理也無法跟隨企業(yè)外部拓展的腳步，在企業(yè)戰(zhàn)略目標上，內在管理規(guī)劃處于缺位的狀況。

另外，企業(yè)如果想要穩(wěn)固市場地位，需要有相對穩(wěn)健的管理體系，但不少企業(yè)沒有確定自己未來的核心價值與企業(yè)愿景，對規(guī)模很大的企業(yè)集團來說，子企業(yè)的發(fā)展策略計劃無法與企業(yè)整體相吻合。在經營風險管理中，許多企業(yè)在經營風險評估中迫切需要改進。企業(yè)目前沒有科學合理的風險評價辦法，企業(yè)當前經營主要依賴風險管理或依靠經驗分析預測，結果往往產生了較大的主觀性，由于缺乏完善的風險評價制度和量化的科學計算方法，企業(yè)難于建立完善的風險評價制度，而風險評價不真實、不客觀也會造成企業(yè)之后的風險管理難以為繼。

3.沒有風險管理信息共享平臺

隨著企業(yè)規(guī)模的增加，企業(yè)部門結構和員工職務設定也越來越繁雜，企業(yè)各個層次、各種部門之間的管理信息溝通與交流也復雜而困難。當企業(yè)建立基于風險業(yè)務管理的內部控制系統(tǒng)時，由于缺乏良好的內部信息共享與交流，往往會導致企業(yè)的內部控制效能降低。

現階段，企業(yè)內部控制系統(tǒng)中的內部信息共享與溝通還面臨著不少障礙，企業(yè)內部大多未能搭建起風險管理信息共享網絡平臺，而內部控制中的信息溝通板塊功能也只是通過上級機關直接向基層傳遞和接收信息信號，進行風險業(yè)務時管理所需要的風險評價、風險預警等關鍵數據也無法建立與入庫，從而造成了風險管理內部的控制工作信息低效。

此外，企業(yè)內部控制也沒有風險管控報告會議機制。企業(yè)風險管理作為現代企業(yè)管理中的重要環(huán)節(jié)，目前不少企業(yè)在商務會議交流時卻忽略了這一環(huán)節(jié)，在議程中并未對企業(yè)經營風險管理作出定期匯報與研討，缺乏正確的經營風險信息匯報制度，無法在企業(yè)內部建立良好的風險管理氣氛。

三、基于風險管理的企業(yè)內部控制建設與發(fā)展對策

1.基于風險管理整合企業(yè)內部控制框架

（1） 企業(yè)治理機制的整合

管理機制的重整，是基于企業(yè)風險管理的一個管控系統(tǒng)的核心。一家企業(yè)不能有多個機制同時并行，因此一切的運營控制活動必須在一種統(tǒng)領性的管理機制內進行，而這種管理機制便是企業(yè)的風險管理體系。將內部控制、風險監(jiān)控、財務管理等融入風險管理體系中，將內部控制視為風險管理職能作用的行為表現，為企業(yè)的風險管理提供合理的保障。這樣在一種管理體系下，企業(yè)的管理人員可以清楚其活動在整個管理機制中的地位和影響，從而提高管理過程控制的精度，從而進一步完善管理活動。

（2） 組織目標層級的整合

企業(yè)核心層級的確立是內部管控結構的重點。在企業(yè)內部控制和風險管理整合的進程中，關鍵是風險管控的基礎、核心和邊界問題，而又以核心整合為基礎。COSO出版的《企業(yè)風險管理——整體框架》在企業(yè)風險管理的三項指標基礎上新增戰(zhàn)略目標，而這之前的內部控制主要以提高管理質量與效率、財務報表的準確性以及資產的穩(wěn)定性等為核心。基于風險管理的企業(yè)內部管控中將合規(guī)性風險管理對象納入其中，在戰(zhàn)略目標的指導下，將企業(yè)實物風險管控內容納入了風險管理的報告范圍中。

（3） 信息共享與控制的整合

信息共享與控制系統(tǒng)的整合，是企業(yè)實現內部控制有效性不斷提高的基本要求。從信息論的觀點出發(fā)，現代企業(yè)中基于信息風險管理的內部管控系統(tǒng)的形成，也正是基于對信息資源的社會價值獲取和信息風險防范。企業(yè)構建安全的共享信息系統(tǒng)，在內部可以確定各層次標準、增進內部溝通、建立完善的內部控制平臺，不斷評估和改進內部控制活動；在外部能夠進行內部風險管理，及時發(fā)現和管理外部潛在問題，同時收集外部關鍵數據。

2.建立基于風險管理的內部控制體系

（1） 突出風險管理理念

由于國內多數企業(yè)存在風險管理意識淡薄、內部控制落實不到位等現象，想要進一步踐行風險管理理念，企業(yè)就必須要盡快建立內部控制基本制度，使內部控制和企業(yè)風險管理相互融通，逐步形成以企業(yè)風險管理為導向的內部控制體系。

（2） 加強內部控制環(huán)境建設

首先要確定企業(yè)發(fā)展目標，突出戰(zhàn)略思維，并深入分析企業(yè)所面臨的內部結構環(huán)境，明確企業(yè)優(yōu)勢與劣勢，機遇與挑戰(zhàn)，并根據企業(yè)目標提出企業(yè)的發(fā)展戰(zhàn)略目標。逐步形成內部控制理念，將風險管理納入企業(yè)價值與發(fā)展目標和企業(yè)戰(zhàn)略中，形成企業(yè)文化與經營風格，突出風險辨識評估，并逐漸改變企業(yè)的內部控制方法，把風險管理作為企業(yè)的總體發(fā)展戰(zhàn)略。采取日常信息溝通、及時評價、獎懲和制約措施等方法，把企業(yè)的發(fā)展戰(zhàn)略、內部控制目標和風險管理理念傳遞給每一位職工，逐步建立對員工管理的激勵機制。

其次，要強化企業(yè)員工職業(yè)道德建設與行為準則規(guī)范建設，進一步增強企業(yè)內部控制的能力。要重視對企業(yè)員工的激勵與約束，將企業(yè)文化中加入職業(yè)道德與價值觀，明確企業(yè)人員必須做什么，不必須做什么。加強對企業(yè)員工年終考評，將企業(yè)員工的年終業(yè)績與工資相掛鉤，并鼓勵企業(yè)員工主動服從與落實。

（3） 逐步完善企業(yè)法人治理結構

逐步形成以股東大會、管理人員、監(jiān)督、管理人員為基礎的現代企業(yè)管理框架。更注重獨立董事的法律地位，以充分發(fā)揮獨立董事在企業(yè)組織中的基礎地位。在企業(yè)管理層設立專門委員會，以完善內部風險管理與監(jiān)控。建立了健全的風險管理制度，對企業(yè)存在和發(fā)生的風險實施了事前辨識，事中評價和事后預警。對風險加以分類，并采取了差異化的處理方法。明確區(qū)分了企業(yè)內在因素與外來風險，通過量化和定性相結合的方法合理化解風險。構建了財務風險和內部風險預警評價體系，及時發(fā)現重大問題，并把企業(yè)損失控制在可以承受的范圍內。

（4） 完善以內部審計為基礎的內部監(jiān)督制度

加強風險導向審計，提高了內部審計的獨立性，增強了審計的專業(yè)素養(yǎng)，在審計過程中強化了對企業(yè)內部控制水平的評價，形成了完備的企業(yè)內部控制評估框架。要加強監(jiān)管能力，適時公開內部控制的有關資料，幫助員工及時發(fā)現內部控制漏洞，完善內部控制，提高內部控制的實效性。

3.基于風險管理構建內部控制長效工作機制

（1） 優(yōu)化內部控制設計企業(yè)的內部控制體系

企業(yè)管理者應充分考慮內部風險管理的要素結構，把風險管理滲透到企業(yè)內部的管理體系建設中去。而根據這一理念，企業(yè)在進行內部風險管理之前一定要先全面了解COSO內部控制的五大要素框架，從整個企業(yè)的內在管理框架上進行完善管理建設。首先，企業(yè)一定要從追溯風險管理本源入手，充分利用整個企業(yè)人力資源，培育高素質人力資源團隊，并進行資源要素的內部流動和管理機制的改革創(chuàng)新。其次，企業(yè)還需要在原有的內部控制系統(tǒng)上加以創(chuàng)新完善，包括建立量化風險的評價體系，以及建立風險管理信息系統(tǒng)，而內部控制結構的完善就必須有具體的管理標準，力求形成主動地、靈活地基于風險的內部控制結構，從而全面提升對企業(yè)的風險管理的控制能力。

（2） 建立風險評價制度，成立專業(yè)的風險管理委員會

為達到內部控制目標，提高風險處理水平，增強經營者和職工的風險意識，必須完善風險評估制度。在建立風險評估制度過程中，必須建立風險嚴重性評估指標積極處理風險，以提升企業(yè)運作質量，從而提高領導層的經營水平，減少風險，改善經營效益。同時還應成立專業(yè)的風險管理委員會，主要審核企業(yè)內部控制設計方案，內部控制評估指標與缺陷準則、審定風險評價指標，以及審核年度的內部控制評估報表和風險管理文件等。在必要時，還應委托專門評價組織審核，但亦可臨時委托中介機構以及有關領域專家學者參加審核，對企業(yè)風險判斷提出專業(yè)建議。

（3） 在風險導向內部控制體系下完善監(jiān)督體系

企業(yè)通過使用自己的內部審計機構實施定期評價，將持續(xù)監(jiān)控貫徹于企業(yè)運營與控制行為的始終。長期有效地監(jiān)控，可以降低企業(yè)會計信息滯后率和信息不對稱，從而主動地適應企業(yè)內部條件的變遷。內部審計機構由董事長直接主管，并向董事長和股東報告，以便自主地進行內審操作。審計項目也要具備整體性，涵蓋整個部門的項目。同時，也要建立風險評價體系和內部審計體系，將風險評價與預警體系嵌入內部監(jiān)督系統(tǒng)，最大限度地防范與避免經營風險。另外，企業(yè)還需做好財務交叉部分的互相監(jiān)督，業(yè)務經理和員工之間的互相監(jiān)督，因此，企業(yè)經營機構與企業(yè)機構之間可以交叉監(jiān)管。需要按照以往成功經驗進一步細化的監(jiān)管機制與程序，推進內部監(jiān)控活動的規(guī)范化。

四、結語

綜上所述，通過對我國企業(yè)現階段內部控制現狀以及內部控制與風險管理二者關系的分析，在后疫情時代下我國企業(yè)，應在COSO內部控制的理論框架上，以風險管理為企業(yè)內部控制優(yōu)化、強化的導向，切實將風險管理作為企業(yè)內部控制的主體框架，進一步加強風險管理與內部控制的融合，通過優(yōu)化內部控制設計、完善內部控制體系、優(yōu)化內部控制制度等措施，讓企業(yè)資金、財務、經營等各方面管理更為高效、安全，以便更好地實現企業(yè)戰(zhàn)略發(fā)展目標，在市場競爭中取得優(yōu)勢地位。