风险管理视域下国有企业内部控制模式构建

丁治雄　余万纤子

摘要：国有企业是推动我国国民经济发展的核心力量，推动国有资产保值增值是国有企业经营管理的重要责任与使命。面临日益复杂的内外部环境，国有企业内部控制体系建设面临诸多问题，主要体现风险管理认识不足、风险管理机制不完善、内部审计机构缺乏独立性等。基于此，文章结合风险管理理论，深入研究了风险管理与内部控制的关系，研究了国有企业内部控制体系建设存在的问题，并从确立风险管理在内部控制体系中的核心地位、强化风险流程管理、完善部门权责划分和風险评估系统、持续完善内控管理机制和发挥内部审计监督作用等方面提出建议措施，以期推动国有企业内部控制体系持续完善。

关键词：国有企业；风险管理；内部控制

国有企业在我国国民经济中占有重要地位，是社会主义经济的重要支柱，是党和国家的重要依靠力量。在国有企业内部控制体系构建过程中，由于对风险管理认识不足、机构设置不完善及管理缺失等原因，导致风险识别、风险管理及应对不足，一旦风险发生可能给国有企业造成严重的经济财产损失，进而影响国有企业健康稳定发展。基于风险管理视域下加强国有企业内部控制，应当基于风险管理框架，从企业业务整体层面实现国有企业内部控制，构建完整的国有企业内部控制体系。

一、企业风险管理内涵及与内部控制的关系

（一）企业风险管理内涵

《企业风险管理—整合框架》认为，企业生产经营中面临的诸多不确定性，不确定性客观存在且难以准确控制。不确定性既存在潜在破坏风险，同时也存在潜在机会，风险管理即企业评估风险容量及风险承受能力，有效处理不确定性潜在风险并把握机会，提高企业创造价值的能力，实现企业价值最大化。

根据风险管理框架，企业风险管理内容包括协调风险容量与战略、增强风险应对决策、抑制经营意外损失、风险识别、提供多重风险整体应对等系列措施，其中，协调风险容量与战略即考虑企业风险管理目标构建与企业战略目标相符的风险管理策略。增进风险应对决策即企业在识别的基础上，采取风险回避、降低、分担、承受等风险应对策略。抑制经营意外和损失即企业通过识别风险、评估风险危害程度和提高风险应对能力，降低因经营意外、风险造成的经济财产损失。风险识别即企业风险管理不仅要识别孤立风险，还应当了解风险的内在相互关联影响，提高风险管理的整体性和针对性。

由此可见，企业风险管理是帮助企业实现组织目标、防止资源损失，预防和控制潜在风险发生及危害的管理理论，其基本流程是风险识别、风险评估、风险应对，旨在通过主动性、针对性、计划性措施，以最小成本争取企业经营效益最大化。

（二）企业风险管理与内部控制之间的关系

企业内部控制即企业管理者、员工等共同实施的，旨在合理保证实现企业基本目标的系列控制活动。风险管理与内部控制均是基于风险识别、风险评估和风险控制等措施，但内部控制框架主要集中于财务风险控制方面，较少涉及财务以外的风险管理，而企业风险管理框架则基于企业整体视角，通过风险识别、风险分析和风险控制，实现企业风险管理与内部控制整合，因此，二者存在内在一致性，风险管理是企业内部控制发展的重要趋势。

二、国有企业内部控制体系建设存在的问题分析

当前，国有企业内部控制体系建设主要面临的问题包括风险管理认识不足、风险管理机制不完善、内部审计机构缺乏独立性等问题。

（一） 风险管理认识不足，风险管理意识缺失

在国有企业生产经营管理中，部分管理人员风险意识薄弱 ，未能充分认识到风险管理的重要性，在生产经营中疏于风险管理，一旦发生风险只能采取事后补救措施，突出体现了部分国有企业风险管理缺乏系统性、全局性意识，对风险前置性识别与管控意识不足。部分企业管理者错误认为只有市场竞争失利、资本薄弱或即将破产的企业才需要进行风险管理。由此造成国有企业管理层和员工缺乏风险管理意识，对国有企业内部控制环境构建产生不利影响。

（二）风险管理机制不完善，风险管理部门权责不清

企业风险管理是企业内部控制体系建设的重要组成部分，同时也是一项系统性工程。在企业各类生产经营活动中，风险客观存在，一旦风险发生可能造成经济损失、竞争力下降等问题。在国有企业管理中，部分企业由于对风险管理认识不足，应对潜在风险主要以被动应急处置为主。部分企业虽然建立了风险管理机制，但权责划分不清，导致国有企业风险管理存在“盲点”“漏点”。其主要原因是国有企业风险管理机制不健全、不完善，未能设置独立的风险管理归口管理部门，而是由各职能部门负责职责范围内风险管理，且缺乏牵头组织管理，相关职能部门风险管理职责不清，由此造成了企业风险管理陷入“多头管理”或“无人管理”的尴尬境地。

（三）内部审计机构缺乏独立性，导致内部监督缺失

内部审计监督是规范国有企业内部控制体系的重要途径，通过对国有企业内部管理活动进行审计监督，对企业业务流程、经营决策、财务管理等活动进行合规性判断与约束。由此可见，内部审计是国有企业内部控制体系中二次控制机构，其业务职能具有独立性、监督性等特点。当前，随着我国国有企业全面深化改革实施，企业基本建立健全了现代企业管理制度，设置了内部审计部门，并根据内部审计制度开展内部审计监督工作，出具内部审计报告，督促归口管理部门落实管理责任，保障国有企业各项业务规范化运行。从部门职能来看，国有企业内部审计部门属于独立部门，对企业内部各项经营管理活动具有检查监督职能，但同时内部审计部门受企业领导层管理，其审计监督工作可能受上级领导制约和同级部门影响，从而影响了内部审计部门独立性，进而限制了内部审计部门监督约束作用发挥。

（四）风险管理机制不完善

国有企业生产经营和管理活动中，各类风险具有不确定性、动态性，即企业在不同发展阶段、不同决策情况下可能面临的风险类型、风险发生概率存在较大的差异，要求国有企业结合内部控制体系建设要求和风险管理框架要求，持续完善、健全风险管理机制，制定长效的风险识别、风险状态监测、风险评估、风险控制机制。但结合国有企业风险管理实践来看，国有企业风险管理和内部控制多处于停滞状态，建立健全内部控制后即忽视了风险因素的跟踪、监测和管理，缺乏长效化的风险管理机制，导致企业内部控制体系建设不完善、不健全。

三、风险管理视域下国有企业内部控制体系构建原则及构建

基于风险管理框架的国有企业内部控制体系建设，应结合国有企业战略目标，以风险管理框架为指导，遵循全面性、有效性、成本效益性、系统性等原则，从健全组织结构、强化风险管理理念、完善内部审计监督机制和完善风险管理机制等方面着手，切实提高国有企业内部控制体系规范性，形成长效化的国有企业内部控制体系。

（一）基于风险管理的国有企业内部控制体系构建原则

在国有企业内部控制体系构建过程中，为确保内部控制体系建设有效性、科学性，应遵循全面性、有效性、成本效益性、系统性等原则。

1. 全面性原则

全面性原则即企业内部控制体系建设应基于企业战略、经营管理目标、业务流程、生产管理等全过程、全方位，确保内部控制体系覆盖企业全业务链条和管理决策，涵盖企业各部门、岗位。同时，基于风险管理的国有企业内部控制体系建设，应体现全员参与性，确保企业管理者、员工均参与到内部控制体系建设中，实现企业内部控制体系建设全员参与。

2. 有效性原则

有效性原则即国有企业内部控制体系建设应与企业职能部门相适应，即顺应国有企业监管政策要求，同时符合国有企业所在行业和业务模式特点，并能够根据外部环境和内部战略调整要求适时调整，提高国有企业内部控制体系建设有效性。

3. 成本效益原则

成本效益原则强调企业内部控制体系建设应追求效益最大化，增强企业识别和抵御风险能力，尽可能减少企业受到的损失，为国有企业持续经营提供保障。由于内部控制体系建设需要承担一定成本支出，国有企业应综合评估成本與效益之间的关系，确保内部控制体系运行过程中运行效益大于运行成本，争取以最小成本获得较高经济效益。

4. 系统性原则

基于风险管理框架的内部控制体系建设，应将企业视为有机统一整体，风险识别、风险控制和风险应对均应围绕国有企业战略目标实现而展开，并根据企业战略目标要求划分部门职能，保证各部门职能划分明确且相互协调，符合不相容且相互联系要求，构建相互统一的系统性整体。

（二）基于风险管理的国有企业内部控制体系构建策略

基于风险管理视域的国有企业内部控制体构建，应确立风险管理在内部控制体系中的核心地位，强化风险流程管理，完善部门权责划分和风险评估系统，持续完善内控管理机制，发挥内部审计监督作用，推进国有企业内部控制体系持续有效运行。

1. 确立风险管理在内部控制中核心地位

在完善企业内部控制体系时，应将风险管理作为企业内部控制核心，并将风险管理传导至管理层、员工，使企业全员意识到风险管理的重要性、必要性，以此才能提高风险管理的针对性。确立风险管理在内部控制体系核心地位时，企业可从三个方面采取措施：一是在企业内部宣传普及内部控制概念，并明确风险管理的重要性和必要性，推动企业全员参与、学习、践行、监督内部控制体系建设；二是通过开展专家讲座、关键用户集中培训、风险管理项目建设等方式，提高企业管理者、关键岗位、关键人员风险管理意识和风险管理能力；三是通过在企业生产经营管理活动中开展风险管理活动，强化风险管理应用能力，将风险管理应用于企业内部控制实践，强化国有企业内部控制体系建设能够适应内外部环境变化要求。

2. 强化风险流程管理

当前，国有企业基本建立健全了内部控制体系，完善了内部控制管理制度，但内部控制体系建设中风险管理流程相对不完善，导致风险管理缺乏有效的制度依据和流程支撑，难以发挥风险管理应有的作用。结合该问题，国有企业风险管理流程应结合风险管理框架步骤，具体分析各业务风险，找出在业务流程中的风险点，并对风险危害进行评估、评价后，按风险危害、风险发生频次分类制定风险预防和控制措施。例如，在投资风险管理中，国有企业应在投资方式、投资目标、投资风险与收益评估等可行性分析的前提下，评估投资计划、投资决策、投资资金保障等内容，并安排专职人员对投资项目计划执行进度、投资资金支出使用情况、投资收益、固定资产安全使用与减值等情况进行记录、监督，确保国有企业投资项目决策科学、合规。

3. 完善部门权责划分

国有企业风险管理职能部门职责包括三个方面：一是全面负责国有企业风险管理日常事务，包括风险管理培训、风险管理制度制定、风险管理宣传、风险识别、风险评估、风险报告编写、风险整改意见跟踪检查等；二是收集、动态更新国有企业业务链条风险信息及风险管理动态；三是与各部门保持良好沟通渠道，牵头组织各部门落实风险管理和内部控制体系建设，牵头制定风险评估报告，落实整改措施检查监督责任。通过设置风险监督归口管理部门，强化企业风险管理主体责任落实与监督，提高国有企业风险管理水平。

4. 构建风险评估系统

基于风险管理的内部控制体系建设，其关键在于风险识别与风险评估。由于潜在风险难以具体量化，多采用定性分析方法进行定性分析，可能造成风险点识别、风险评估因专业水平、风险管理意识而产生较大差异，如重大风险未能识别、预防和控制，则可能造成负面影响。为提高风险管理科学性、准确性、前瞻性，国有企业应结合内部控制体系建设，梳理各业务流程潜在风险点，综合运用风险管理分析工具构建风险管理模型，如借助可拓理论、灰色系统理论等理论和层次分析法、模糊综合评价、BP神经网络等分析工具研究风险点与风险管理之间关系，实现风险点状态、风险系数量化分析，明确风险点与风险管理目标之间的关系，筛选关键风险并重点监测，提高国有企业风险管理系统性、科学性、针对性，实现企业风险的全程动态管理与监督。

5. 发挥内部审计监督作用

内部审计监督是国有企业治理体系的重要组成部分，是推动国有企业规范化运行的重要保障，也是实施风险管理导向的内部审计监督体系载体。国有企业应在保持内部审计部门独立性的前提下，将审计监督嵌入到国有企业经营管理和重大项目决策事项中，实现风险控制动态、风险控制情况全面纳入审计监督范畴，与风险管理部门形成良性互动，构建完善的内部控制审计监督体系。

四、结语

新时期背景下，国有企业经营发展面临日益复杂的内外部环境，要求国有企业管理人员转变管理理念，将风险管理融入企业内部控制体系建设中，以风险管理提高企业内部控制体系有效性、前瞻性、科学性，以高质量内部控制体系建设保障国有企业高质量发展。

参考文献：

[1]杨有红.整合内部控制与风险管理 助推企业可持续性发展[J].财会月刊，2022（16）：18-22.

[2]沈烈，何璐伶.内部控制对企业风险管理的影响：述评与展望[J].财会通讯，2022（08）：17-23.

[3]许新霞，何开刚.内部控制要素的缺失与完善：基于内部控制和风险管理整合的视角[J].会计研究，2021（11）：149-159.

（作者单位：中建照明有限公司）