基于全面风险管理的企业内部控制研究

潘绍立 周嘉宇

摘要：企业经营在任何时候都会面临或多或少的风险， 但管理内容、模式及工具的变迁，必然是随着技术条件、经营环境及业务模式变化而变化的。在数字网络经济时代，企业的经营环境变得更加开放也更加残酷，传统的各种垄断优势变得脆弱甚至消失，即企业必须对经营的每个环节和模块进行不断强化，因为任何一个弱点都会被竞争对手抓住机会而击败。首先介绍了数字网络经济时代企业经营面临的主要风险，以及企业风险管理的主要内容及方法，最后探讨了基于全面风险管理的企业内部控制措施。

关键词：企业经营;风险管理;内部控制;平台化

中图分类号：F23文献标识码：Adoi：10.19311/j.cnki.1672-3198.2019.07.060

1数字网络经济时代企业经营面临的主要风险

用一句话概括在数字网络经济时代的企业经营，即“没有什么是可靠的”。企业经营的风险来自对外部经营环境和组织内部失去控制，与传统经营环境相比，数字网络经济时代在内外各个方面对企业经营风险产生了根本性影响。

市场和渠道控制力削弱。传统经营环境下，由于时间和空间的限制，交易只能在有限的范围和管道内进行，企业通过市场活动、品牌建设以及渠道管理，就能够将相对固定的市场维护得较为稳定，从而保证为订货提供保障。特别是对于具备垄断优势的企业而言，在市场和渠道方面的风险很小，因此风险管理也是相对薄弱的。而在数字网络经济时代，任何供应者和任何消费者可以通过网络，在几乎没有时间和空间限制的条件下完成交易。也就是说企业的市场和渠道可能随时会被大大小小的竞争者“偷”走，或者用投票而主动流失，企业对市场和渠道的控制力大大减弱，凸显或潜在的风险急速放大。

技术和知识外溢加速。技术创新和模式创新也是企业经营的核心竞争优势之一，也是需要保密的核心资产。然而在数字网络经济时代，模仿成为“创新”的捷径，交易透明化暴露了更多的细节，因此技术和知识的外溢加速。基于技术和知识的竞争优势变得更加短暂，如果企业缺乏更加动态持续的创新和提升，将很快会被赶超甚至被淘汰，从而经营风险也演变为存亡危机。

顾客关系维护难度越来越大。在“互联网+”时代，每个网名都有可能引发一场企业难以应对的危机。网络自媒体的出现，使得消费者在体验或消费产品、服务过程中，会将不慢发布到微信、微博以及商家销售平台或渠道商，通过发酵就可能引发大面积的负面舆论，并在各种新媒体中快速传播。面对全新的客情环境，如果企业应对危机不得法，很可能引发更大规模和影响更深的危机。

企业组织稳定性下降。当市场、技术、模式及资本的流动性加大，意味着企业生存维系的基础软化，同时也意味着新生者更容易出现，行业的“新陈代谢”更快。一方面企业组织内部随着经营环境经常进行调整，人员的流动成为常态，不仅影响员工的长期发展也降低了忠诚度;另一方面由于外部机会增加，员工和团队对企业的依赖降低，因此企业面临着更大的人才、经验和技术流失威胁。

如上分析，數字互联网经济时代企业面临的经营风险是全面的，并且牵一发而动全身。然而我国绝大多数企业经营者缺乏全面风险管理的意识和能力，一些中小企业索性没有建立风险管理机制，全靠所有者或核心团队的人治。单靠人力进行风险管理是无法应对如此纷杂和持续的风险威胁的，只有建立规范而灵活的内部风险控制制度，有效利用网络经济经营管理工具，才有可能建立起全面的企业风险管理机制。

2企业风险管理的主要内容及方法

在认识了企业经营面临的风险后，对企业风险管理主要内容的认识就显而易见了，主要包括市场风险、技术风险、投资风险、竞争风险、内控风险、政策风险和法律风险等。企业风险管理的目标为要通过对经营风险的识别，制定对应的预防和控制措施，消除或减少风险带来的潜在损失，从而实现企业有能力：一是确保企业经营效益的稳定，可持续和修复能力;二是满足政府的有关法规要求;三是承担相应的社会责任;四是减轻企业和员工对经营风险的忧虑，提高组织凝聚力。然而，应对经营风险，不同企业根据自身处境和能力，采用的管理方法和工具存在差异。

从企业规模和风险管理制度规范程度关系来看，在传统环境下，随着企业规模，主要是人员规模和分工的扩大，企业风险管理制度更加规范，不仅拜托了全面人治，也建立起了基于ERP、CRM及OA等信息化系统的一体化经营管理平台，即企业规模的扩大过程也是企业信息化不断深化的过程。但在“互联网+”环境下，企业经营活动的全面信息化和网络化，模块化的企业管理软件及系统能够匹配不同规模和业务特点的企业，即从管理工具和平台来看，任何企业都能买到使用的管理软件和工具。

在应用企业风险管理方法和工具时，也不应单纯地看企业的人员和收入规模，还要看企业的业务流程和分工。对于业务环节简单，分工很少的科技型企业而言，只要少量的人力投入即可，因此其风险主要是技术风险、设备风险及市场风险，而由于组织人员简单，因此能够通过集体决议对所有问题进行讨论并快速决策，因此尽管企业应收规模巨大，其经营风险管理的主要手段主要还是依据核心管理团队的个人经验和能力。而对于自研制造型企业，组织结构从研发到市场服务，端到端涉及诸多业务环节，不仅每个单元都需要应对各自的风险，还需要解决端到端协调问题，这样一来单纯依靠核心团队的人治就难以危机了，必须建立基于规范制度和业务平台的内控系统，将风险管理的要素和方法融合到制度和软件系统中，形成例行的操作规范和管理动作。

就具体的风险管理方法而言，绝大多数企业都能够针对各个模块的风险，指定相应的管控制度和流程，例如采购流程、研发流程、订单流程等。但各个模块风险管理之间的衔接和融合较难实现，特定风险引发的“蝴蝶效应”的减轻和消除还需要通过更加融合化的全面风险管理机制和工具来支撑。

3基于全面风险管理的企业内部控制措施

全面风险管理的目标对企业经营管理活动中所有涉及的主要风险进行识别，并建立动态、端到端融合的管理机制。由于企业的经营环境和业务会不但调整，因此不可能一劳永逸地定义所有企业面临的风险，并制定一成不变的管理套路。本文认为建立全面风险管理的企业内部控制机制，应当重点关注一下几个方面：

第一，全面风险管理的理念是实现动态、端到端融合的风险管理机制。如何实现动态和端到端融合，必须基于风险管理的动作包括风险识别、风险定义和影响评估、风险预防和控制方法，对企业内部管理制度、业务流程和业务系统进行设计和构造。即在企业内部分工协作职责界定和业务流程文件指定时，必须对风险管理动作进行细化，明确各环节的风险管理责任人以及标准输出。对于业务系统设计进行模块化和一体化架构，风险管理动作输出转化为系统模块的更新，流入增加风险项，则在业务系统中增加风险管理的评审人、决策人，并上载相应的风险预警和管控指导书。

第二，建立端到端拉通的业务管理系统。风险的存在和最终转为现实，大多数并不是没有被识别和评估，而是由于各业务模块之间缺乏风险传导的机制或者信息孤岛的存在。例如研发投入是否与市场拓展匹配，投资回报风险必须双方的协调和制衡，如果各自为战，那么无需、浪费和冲突必然出现，最终拖累的是企业的经营效率。又如某部门由于缺乏流程上缺乏其他部门和模块的制衡，对于已经发现的风险进行隐藏或者轻视风险的潜在影响，那么日积月累最终会大规模爆发。因此建立融合各业务模块、各业务流程和各组织单元的统一化的企业信息平台，将所有的业务活动在IT系统中进行展现和操作，通过模块之间的流程衔接、制衡，实现互相监查，从而打通风险信号的传递通路，消除信息孤岛。

第三，设立高级别的内控组织。为了统领企业全面风险内控工作，必须要在关键部门例如财务和商务选择合适的岗位人员，承担起全面内控的管理和推行工作，独立于业务团队，专门对风险活动进行梳理、推行及优化。通过开展风险管理活动，发现业务流程和系统的漏洞，不断补全，从而促使企业信息平台更加自动化和智能化地对开展风险管理活动。内控组织必须在企业内部具备较高的话语权和处罚权，由最高管理团队领导。

第四，业务活动的系统化。为了尽可能减少个人因素干扰，最大程度地展现业务活动的细节，必须推行更多的企业经营互动系统化和信息化，即将所有人、所有工作及相关活动通过企业信息系统来操作和记录，从而将最细节客观的信息、数据、材料存储在系统中。个人活动的灰度由于系统而曝光，操作细节由系统固化变得更加标准化。

参考文献

[1]周爱妹.企业内部控制在财务风险管理中的应用研究[J].财会学习，2018，（01）.

[2]杨春妮.企业风险管理与内部控制的关系与应用[J].中国商论，2018，（10）.

[3]何建秋.风险管理视角下的内部控制体系构建——以某施工企业项目管理为例[J].交通財会，2018，（07）.

[4]程桂芝.风险管理视角下中小企业内控制度的实施与应用研究[J].财经界（学术版），2018，（01）.

[5]张芳洁，张桂霖，亓明.寿险公司实施全面风险管理对企业价值的影响研究[J].保险研究，2017，（10）.

[6]武达.浅析企业内部控制与风险管理中存在的问题及应对策略[J].中国内部审计，2016，（03）.