2009.07.18　來源：管理者CLUB　文：姜捷

　　實踐證明風險管理和內部控制，作為現(xiàn)代企業(yè)管理理論和方法，對于完善內部管理、預防和控制各種風險、順利實現(xiàn)組織目標、保護資產的安全與完整，具有不可忽視的作用，

試論企業(yè)風險管理與內部控制機制

。如何保證企業(yè)財會信息真實可靠，構建有效的內部控制和風險管理機制，已經成為當前企業(yè)高管層和關注的重點。企業(yè)內控所暴露出的問題基本可歸于機構設置內控缺陷，觀念落后、目標考核粗放、權責不清，授權模糊。特別是企業(yè)上了一定規(guī)模之后，在全球金融危機的經濟動蕩背景下，沒有完善的風險識別機制，企業(yè)難以及時化解多年積淀的風險，業(yè)主們用血緣關系或指派親信等習慣手段，控制企業(yè)的內部舞弊和道德風險顯得蒼白無力。風險管理和內部控制就更加顯示了在現(xiàn)代企業(yè)管理中重要的地位。筆者以多年從事企業(yè)風險管理和內部控制的經歷，談談民營企業(yè)建立風險管理和內部控制機制的一些想法。

　　一、 目前企業(yè)風險與內控管理的現(xiàn)狀現(xiàn)階段許多民營企業(yè)為實現(xiàn)業(yè)務快速擴張，在風險管理和內部控制工作環(huán)節(jié)上遠遠滯后于業(yè)務的發(fā)展。雖然在日常的工作中逐步按ISO標準化建立了相關制度與規(guī)定，但有關制度和規(guī)定等建設，基本上是在事后發(fā)現(xiàn)問題或影響工作流程時，由相關業(yè)務部門倉促被動出臺了一些規(guī)定或制度，也沒有明確的部門組織評審和事后監(jiān)督。在形式上未能分清制度和操作細則的層次，在高度上由于是部門牽頭制訂存在一定的局限性，在控制上按部門進行簡單制約，未能分離不相容崗位。在授權上未能建立治理結構框架下的授權機制，在制度覆蓋上未能形成系統(tǒng)一體化管理機制，在目標控制上由于沒有全面預算管理的機制，量化指標過于簡單，未能體現(xiàn)企業(yè)追求價值最大化的內涵，在考核上有些雖借用KPI管理方法論，有關KPI指標沒有從整個價值鏈上去提煉和挖掘。公司上下未能形成主動接受全面風險管理和內部控制的理念。造成上述機制缺陷的原因，大致可歸納為,其一是近階段在中國經濟持續(xù)高速發(fā)展，給社會和企業(yè)創(chuàng)造太平盛世經營環(huán)境下，生產要素的大幅上升和業(yè)務的高速發(fā)展掩蓋了內在積淀風險與問題因素；其三是財務基礎非常薄弱，無法提供和提煉準確的供決策層有價值導向目標的相關數(shù)據(jù)因素；且與民營家族企業(yè)沒有外部壓力難以主動建立完善的現(xiàn)代企業(yè)法人治理結構因素有關。針對上述的缺陷和因素，結合企業(yè)實際需求。企業(yè)建立基于內部控制為基礎貫穿戰(zhàn)略控制為導向的全面風險管理機制建設已刻不容緩。

　　二、建立企業(yè)風險管理內部控制機制的基本條件與原則

　　控制構架設定——建立與實施有效的內部控制五大要素，內部環(huán)境、風險評估、控制措施、信息溝通和內部監(jiān)督5要素框架，構成了企業(yè)內控設立的基本條件。上述要素相互聯(lián)系、相互促進，構成一個統(tǒng)一的企業(yè)內部控制框架。通過要素的循環(huán)，充分體現(xiàn)了以內部環(huán)境為基礎、以風險評估為重要環(huán)節(jié)、以控制措施為重要手段、以信息溝通為重要條件、以內部監(jiān)督為重要保證的完整的內控機制。企業(yè)內控具體設計時因遵循5要素框架的以下四項原則：

　　1、建立內控機制應遵循的重要性、全面性、制衡性、適應性和成本效益原則。第一，要識別評估企業(yè)潛在的主要風險點和面，進行輕重緩急排序；第二，內控制度覆蓋要全面，要從內到外、由上至下、從部門到崗位，分不同層次不同形式進行覆蓋；第三，設置相互制衡是內控的主要目的，所有的制度均應有部門或崗位予以制衡；第四，制度出臺要充分考慮成本和適應的原則，如果把一些發(fā)生概率很少涉及面很窄的控制環(huán)境安排很嚴密的制度那就失去制度設立的目的。

　　2、自我評價的原則目標、計劃、執(zhí)行、檢查構成管理四步曲。自我評價就是檢查環(huán)節(jié)，是保證目標實現(xiàn)的最重要的保證。內部控制的有效與否應通過披露年度自我評價報告和內審制度來保障，有條件可聘請非同一審計機構其他會計師事務所對內部控制的有效性進行審計，出具內控審計報告。

　　3、機構獨立設置的原則機構獨立設置是內控體系中內部環(huán)境環(huán)節(jié)最基本的要求，內控主管部門應獨立于經營層之外，

管理資料

《試論企業(yè)風險管理與內部控制機制》(http://www.msguai.com)。許多民營企業(yè)監(jiān)事會形同虛設，在強調內控時必須正視這個現(xiàn)實問題，否則建立內控就失去意義。應遵循公司治理框架下，董事會負責內部控制的建立健全和有效實施。監(jiān)事會對董事會建立與實施內部控制進行監(jiān)督。內審計委員會負責審查企業(yè)內部控制，協(xié)調內部控制審計及其他相關事宜等。經營層負責組織領導企業(yè)內部控制的日常運行。企業(yè)應當成立獨立機構或具體負責組織協(xié)調內部控制的建立實施。

　　4、控制措施和風險識別的設定原則控制措施設置應考慮，外部反舞弊協(xié)議、不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等手段。采用定性與定量相結合的辦法，按照風險發(fā)生的概率和及其涉及面等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險環(huán)節(jié)。

　　三、企業(yè)風險與管理內部控制運行的特點

　　我國風險內控管理尚在探索階段，現(xiàn)有較權威的法規(guī)是財政部等5部委在2009年7月1日頒發(fā)《企業(yè)內部控制基本規(guī)范》，該部法規(guī)在形式上借鑒了COSO報告內部控制5要素框架，同時在內容上體現(xiàn)了其風險管理8要素框架的實質，構建了以內部控制為基礎的過渡性法規(guī)。但該部法規(guī)僅在上市企業(yè)從2009年7月1 日開始強制執(zhí)行，其他企業(yè)可參照執(zhí)行。在實際操作過程中，風險管理與內部控制是密不可分。在企業(yè)內部的不同層次，風險管理與內部控制的重要性應該各有所不同。例如在戰(zhàn)略風險控制方面，風險管理應該發(fā)揮主導性作用，內部控制起配合輔助作用；然后從戰(zhàn)略風險到經營風險、財務風險，最后到財務報告，風險管理與內部控制的相對重要性逐步發(fā)生逆轉，直到財務報告層次，內部控制發(fā)揮主導作用，風險管理起配合作用。因此，企業(yè)在建立該機制是應根據(jù)企業(yè)本身所處的管理提升不同階段，設置有側重面的階段目標，否則，將會造成運行成本上的浪費。根據(jù)我國的國情，現(xiàn)有的法規(guī)是以突出內部控制為主線，貫穿風險管理的內涵。其原因是由于國內風險管理和內部控制人才相對匱乏，目前僅國有控股銀行有這方面的內控專業(yè)人員。企業(yè)風險管理和內部控制還處于基礎建設起步階段，如強調全面風險管理，會使企業(yè)無法承受人力資源與成本的壓力。對此，建議企業(yè)在建立風險管理和內部控制機制時，應根據(jù)自身的條件在內控機制提升的基礎上，逐步完善全面風險管理建設。注：全面風險管理涵蓋內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控框架的實質8個方面要素。

　　四、 企業(yè)風內控機制建立的規(guī)劃目標

　　根據(jù)企業(yè)內控建設的需求，要明確企業(yè)風險管理和內部控制目標定位。確定企業(yè)風險管理和內部控制定位目標要滿足風險評估和控制手段的要求；要與企業(yè)行業(yè)地位相匹配，如企業(yè)已躋身行業(yè)龍頭地位，其定位必須要有一定的前瞻性。特別是行業(yè)龍頭企業(yè)，在內控建設上已沒有喘息的機會，業(yè)務的高速發(fā)展同時也是風險快速積累的過程，企業(yè)所面臨的經營環(huán)境不確定性的也在不斷增加。企業(yè)家的基本職能是管理風險。無論從目的、目標，還是從要素來看，內部控制的根本功能是風險管理。因此，在機制建設的規(guī)劃上就要以高起點去規(guī)劃，以適度導入全面風險管理的框架的要素的規(guī)劃目標去設置風險管理與內部控制的框架，可以從源頭上梳理戰(zhàn)略層面和戰(zhàn)術層面的問題沖突。在具體的建設過程要遵循與實際結合的原則、近期與遠期規(guī)劃相結合的原則、系統(tǒng)性與局部結合的原則、輕重與緩急結合的原則、成本與效益的結合原則及時間緊迫性的原則。

　　五、風險管理和內部控制的作用和意義

　　風險管理和內部控制是社會經濟發(fā)展到一定階段的產物，是現(xiàn)代企業(yè)管理的重要手段。許多企業(yè)對內部控制的熟悉還停留在內部牽制階段，碰到具體新問題都強調靈活性，使內部控制制度流于形式，失去了應有的剛性和嚴厲性。隨著社會主義市場經濟的深入發(fā)展，原有內部控制制度的內容和方法已不能滿足新形勢的發(fā)展要求。由于社會經濟環(huán)境的變化，企業(yè)將會面臨更大的環(huán)境變化和生存風險、企業(yè)間競爭越來越激烈，企業(yè)的經營管理將面臨來自各方面的經營風險，如籌資風險、投資風險、開拓市場的風險、產品集中度的風險、客戶結構的風險、擔保風險、信用風險、法律風險、管制風險、聲譽風險、技術風險等。在諸多風險中，大多數(shù)企業(yè)最主要的風險是營運風險。但不管是什么風險，企業(yè)都應該建立可以辨認、分析和管理風險的機制，并識別高風險領域，以加強管控。風險管理和內部控制的完善不是一朝一夕的，只有企業(yè)提高對風險管理和內部控制的意識，提高對風險管理和內部控制的重視，建立和完善企業(yè)的風險管理和內部控制，風險管理和內部控制才能真正在企業(yè)經營管理中發(fā)揮出應有的功能，促進企業(yè)的發(fā)展，從而改變當前企業(yè)由于風險管理和內部控制缺失或失效造成的內部道德風險、營私舞弊、激勵機制失效、會計信息失真的現(xiàn)象，風險管理和內部控制是衡量現(xiàn)代企業(yè)管理的重要標志，“得控則強、失控則弱、無控則亂“，加強和完善企業(yè)風險管理和內部控制制度，已成為當前理論界和實務界最為關注的話題之一。由此可見完善企業(yè)風險管理和內部控制制度，對于完善公司治理結構和信息披露制度，保護股東的合法權益，增強企業(yè)市場風險駕馭能力，有著非常重要的意義。