以风险管理角度探讨企业内部控制创新

王洪波

[摘 要] 我国2010年发布了内控管理框架文件，但目前我国的企业内控管理，却仍普遍存在着企业风险管理意识不足、管理层对内控风险并不过多关注、内部控制制度流于形式、风险防范措施缺失等问题，大多数企业的内控更起源于外部要求或简单地查错防弊，达不到真正管控企业经营管理风险的目的。那么，如何通过对风险管理的研究，从管理风险角度探讨我国企业内部控制管理的创新，更具有实用性和迫切性。因此通过从风险管理与内部控制的关系出发，以企业实际需求为导向，分析我国企业内部控制与风险管理存在的问题，探讨如何通过有效的措施和手段，建立起完善的企业内部控制制度、健全企业的风险防控和预警体系，找到适合企业内部控制管理的创新途径。

[关键词] 风险管理；内部控制；创新

[中图分类号] F275 [文献标识码] A [文章编号] 1009-6043（2018）03-0033-03

2004年9月，COSO委员会发布了《企业风险管理——整合框架》，标志着内部控制的框架向前迈出了关键一步，内部控制更有倾向性、有重点地关注于企业风险管理。但国内的企业内控管理与国际相比，落后明显，企业内部控制存在诸多问题，因此尝试从风险管理角度出发，探讨更适合中国企业现状的内部控制创新方法和内控体系。

一、风险管理与內部控制的关系

企业的风险管理是围绕总体经营目标，通过流程和制度使可能导致企业不能够实现自身管理方向和策略的各种现实和潜在威胁因素得以有效控制，使企业正常稳定经营的一系列活动。内部控制就是使风险控制在企业能够容量的范围内的方式和手段。现代企业面对的环境纷繁多样，所有可能导致企业目标无法实现的事件都是企业的风险，为了确保企业的生存和发展，就需要对所有影响企业目标实现的各种事件进行分析、控制和管理，杜绝纯粹风险、控制机会风险，为实现企业目标提供保障。风险管理既是企业管理必不可少的生存之本，又是企业完善和建立内部控制机制的内在催动力量。在实践中，风险管理与内部控制的实质并没有明显的界限，而且随着企业对自身面临风险认识深度的加强，在对内部控制手段不断实践、摸索和完善过程中，必然使两者越来越契合，最终的结果必然是交叉融合，实现完全统一，达到企业风险管理的最佳状态。

二、我国企业内部控制和风险管理存在的问题

（一）组织机构不合理

股东会、董事会、监事会、管理层是现代化的公司管理架构，并且各层级应权责清晰，但目前国内多数企业组织架构不全，或虽然设立齐全，但权责不清，其中一会一权独大，使其他监督制约的功能失去作用，形同虚设。多数企业管理混乱，虽然存在内部控制，但却并不严格执行。在企业管理中仍然处于人情管理当中，情大于制度，使制度和规范形同虚设。很多企业组织结构设置不合理，部门与部门间衔接处责权不够清晰，内部缺乏有效的制约、沟通和监控机制，重要岗位缺少权力制衡，一旦出现间隙问题，责任无法界定、推诿扯皮和推卸责任等情况经常发生，而在组织内部运作过程中，也会因责权不清而降低效率，出现失控风险。

（二）缺乏内部控制环境

内部控制环境主要取决于企业核心成员的哲学理念和经营作风，包括领导者的道德观、价值观、风险意识，胜任能力和正直性。企业的内部控制环境是实行内部控制的前提和基础，对于企业风险体系完整性和有效性，以及如何制定企业战略目标、如何组织经营活动、如何识别和管理各种经营风险都是至关重要的，是内部控制的核心和关键。然而，我国多数企业对内部控制环境的改善不够重视。部分企业核心成员缺乏风险管理意识，或者有意识地凌驾于风险管理甚至是企业管理之上，对于企业内部控制走过场，用制度和文件代替执行和落实，把内控制度当成上墙工程，做给人看的程序，仅用于应付各种检查。大多数企业内部控制和审计机关缺乏独立性和权威性，仅在领导授意范围内发挥有限作用。内部控制缺乏和混乱的环境，势必导致企业内部控制根基不牢，所有制度和体系都难以落实。

（三）企业风险管理意识薄弱

企业面临的风险来自方方面面，每项风险都有可能威胁到企业的生存和发展，有些风险带来的后果甚至是致命性的。但目前，我国企业风险管理意识薄弱的状况普遍存在，大多数企业并不进行风险识别，更谈不上风险分析，企业抗风险能力很低。部分企业即使是意识到风险存在，也并未将风险事项识别做为一个系统的工程加以重视，不进行评估、预警和管理。因此多数企业只能在内外部风险到来时，被动接受，随机处理，手忙脚乱，处于“出现什么问题，解决什么问题”的事后被动弥补状态，缺少风险防控观念，使企业暴露于风险当中。

（四）缺乏有效的风险防范措施

许多企业风险意识薄弱，不能充分认识到风险会给企业带来的后果。或者虽然企业具有风险意识，但并未建立完善的风险防控体系，在风险控制环节中缺少风险的分析、预测组织及人力资源保障，风险警示指标模糊，风险防范措施不足。由于风险防范措施的缺失，重大决策程序简单，就使得一些公司决策草率，程序混乱，不做事先的评估测险，在没有预防措施的前提下，盲目为了追求高收益，过度冒险，漏出风险防范的空门，对经营失败和破产风险不予考虑，最终将经营管理失败交由债权人、股东和社会买单。有的管理者决策不走程序，风险意识为零，主观武断，自大决策，易于出现决策失误，而在这种情况下如果没有有效的风险防范措施，就会导致企业经营风险和财务风险增加，最终损害公司和股东的利益。

三、企业内部控制体系重构的方向

（一）积极完善公司治理与内部控制环境

将理顺企业治理主体的权利分配和制约机制做为治理方向，股东大会、董事会、经理层和监事会间要决策、经营、监督三权分离。落实各岗位、各层级的职责和权限，充分发挥各级、各部、各岗位间作用，使不同岗位形成监督、制约、牵制的内部控制制约机制，形成职责清晰、协调高效、相互制衡的健康环境。同时规范企业决策程序和内部管理制度，确保“三重一大”等各项集体决策制度有效落实。通过完善公司治理环境来改善企业内控环境，为良好的内控体系提供保障。

（二）建立健全内部控制的制度和标准

首先要针对内控体系尚未健全的情况建立补救和预防措施。即面对企业不完善的内部控制环境、内控制度不健全、内部控制投入不足、内部控制失效等现象，应急建立的补位机制。主要有例外报告、关键点检查、独立监督机制等。其次要健全内控制度，在补位机制基础上，以风险治理为目标导向，全方位理顺企业管理制度和业务流程，查摆经营管理中的关键控制点是否存在风险。评估各级、各类风险对企业经营的影响程度，整理编制风险清单，查找并确定关键风险节点，制定相应控制要求，实施业务的全流程重塑，在业务流程中嵌入内部控制制度和控制措施，编制企业内部控制管理的手册，使各项经营和管理工作实现规范化、制度化和标准化。第三要改善企业内部控制过程中的信息反馈。高效准确的信息反馈可以保证内部控制及时发现问题，并时时纠错。通过信息及时反馈，有利于发现及时执行过程中的违规违纪情况，发现控制手段和规范存在的漏洞，以便及时做出处理和调理。第四要建立自检完善机制。依据内部控制目标，随着业务发展变化，时时关注和顺应内外部条件改变，建立长效的管理制度有效性检验和评估机制，对内控体系进行动态调整，安排专门的内部控制实施委员会定期的对内部控制制度进行研究，减少流程缺陷，不斷完善制度。只有建立起完善的内部控制制度、规范和标准，才能使内部控制与时俱进，持续改进，切实发挥其对企业运行的保障作用。

（三）强化企业内部审计监督

以内部审计做为主要手段进行监督和改进风险管理，对全面风险管理工作效果进行监督和评价。对重点管理流程与重点业务的内部审计，内部控制专职部门或牵头机构要加强内部控制日常监管，通过现场检查、监控回查、流程测试等方式，加强部门和各分子公司内部控制执行情况的日常监督检查，着力抓好资金、投资、采购、销售、资产管理、人力资源管理、质量健康环保等关键业务流程控制和审计。通过定期的审计，做出执行情况评估，对出现的问题进行严肃处理。同时要重点加强内控风险体系的漏洞管理，通过执行评价和监督，使内部控制在设计中存在的缺陷和运行漏洞能够被及时发现，并且对存在的无效或者失效点，要析因究源，从整个管理链条上一环一环地排查问题、不放过每个链接处的缺陷，并认真分析设计之初忽略的原因，总结经验和教训，举一反三对同类流程和制度进行同时改进和完善，并对整改后的效果进行测试和检查，形成良性的自我优化程序。同时要通过绩效考核内控制度设计人员工作质量，对内部控制设计的重大缺陷要追责，出现内控重大设计漏洞要逐级落实内部控制设计和审核人员责任。对内控人员检查过程中因工作质量不到位出现的应查未查出的问题，要进行监督考核，通过监督促进企业内控人员尽职履责，加强内控人员工作协同，形成工作合力，共同推动企业管理的持续改进。

（四）完善企业风险预警体系

企业内部要完善重大风险预警机制，并针对重大风险制定应急处理预案，对于预估的较大风险要进行应急演练，提高风险突发时的处理能力。具体落实重大风险中各岗位的责任，建立上报、反馈、指令下达等处理流程和制度，使风险信息快速上达，处理指令顺畅落实，确保风险事件发生时应对及时高效。企业面对的风险是动态和变化的，建立专门机构对各种信息收集，并建立健全分析系统，事先对风险进行预判，才能取得应对风险的主动权，在风险来临前做出预估，快速做出反应，采取有针对性的处理策略。

（五）充分利用信息化手段

信息化的大发展推动了社会进步，企业管理已经进入信息化时代，企业内部控制因信息化的发展而大大提高了效率。内部控制要素之一就是信息沟通，计算机网络及信息技术的大发展实现了数据高度集中和信息交换的快速、高效，企业实现了准确的数据整理分析、高效的数据交流和反馈。尤其是各种管理软件已涵盖了会计核算、财务管理及全部业务领域，使企业内部控制和风险管理依托于这些软件实现了人为管控到系统管控的飞跃。因此企业要在内部控制管理过程中要充分利用信息技术，推动内部控制在业务信息系统、财务软件、ERP系统等中的运用和有效嵌入，推进内部控制体系和信息化建设的交融集成。充分利用信息化能够对风险因素进行刚性管控的优势，形成“制度管控+信息管控”的模式，促进管理控制程序化、风险管控信息化。快速提升内控信息资源利用率，强化内控控制管理质量。

（六）重视企业文化建设

企业文化（企业核心价值观）是构成控制环境的基本要素，并且是最重要的要素，直接影响内部控制其他要素的设计、执行和有效运作。再完美的企业内控最终落实的都是“人”，企业员工的道德修养是根基，企业文化是员工道德修养的领航方向，是企业的软控制实力，企业文化虽然无形，却对企业的一切活动具有非常巨大的内在约束力，是软约束；内控制度和体系是一种外在的制度约束，是硬约束。优秀的企业文化与风险导向的全面内控体系是共同作用，才能形成刚柔并济的风控制度文化，使企业的内控制度和风险体系切实起到应有作用。

[参考文献]

[1]王海燕.基于风险导向构建集团公司内部控制体系[J].科技与管理，2008（3）.

[2]田宝振.基于风险管理的内部控制创新[J].金融商务，2013（6）.

[3]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理，2010（3）.

[4]《企业内控配套指引》编写组.企业内控配套指引[M].北京：立信会计出版，2010.

[5]企业内控编审委员会.企业内控配套指引解读与案例分析[M].北京：立信会计出版，2010.

[责任编辑：纪晨光]