企业风险的内部控制管理策略研究

张祚晨

摘 要：随着经济形势的改变，企业所面临的风险日趋复杂。为了有效应对企业发展过程中的各类风险，本文从内部控制的角度出发提出企业风险管理策略。提出了企业风险管理和内部控制的五点配置机制：以风险管理作为企业内部控制的重要目标，以风险识别作为企业内部控制的业务基础，以风险评估作为企业内部控制的关键内容，以风险应对作为企业内部控制的核心价值，以风险监控达成企业内部控制的闭环管理。提出了企业风险管理内部控制策略的构建方法：全员参与集体智慧构筑风险管理体系，企业内部打造风险管理日常文化氛围，依托信息技术构建风险管理平台系统。

关键词：风险管理；内部控制；企业风险；风险评估；风险识别

随着“一带一路”倡议的持续推进，我国与世界经济的对接范围和融合深度进一步增强，这也给我国各类企业带来了新一轮的发展机遇[1]。在这一轮中国发挥引领作用的经济发展周期内，我国企业可以吸引更多的资金、开展更多的技术研发和国际业务、创造更高的经营绩效、进一步扩大自己的经营规模并获得更大规模的增长[2]。在绝好的发展契机之下，我国企业应该居安思危，充分意识到各种风险的存在。新的经济形势下，各种复杂的国际国内关系、经济秩序和政治环境、经营过程中的未知因素和不确定性，都会给我国企业带来前所未有的冲击和挑战[3]。因此，如何构建合理的风险管理模式、形成长效的风险管理机制，对未知风险防患于未然、对即将爆发的风险形成有效应对，对于我国企业长期稳定的发展具有十分重要的意义。本文中，从内部控制的角度出发，将风险管理和内部控制进行整合，形成一套完备的风险管理策略。

一、企业风险管理和内部控制的内涵

本文的研究工作，涉及了企业风险管理、内部控制、风险管理和内部控制的关系问题。因此，首先对企业风险管理和内部控制的概念进行界定并阐述分析二者的内涵及关联。

（一）企业风险管理

企业风险管理（Enterprise Risk Management，简称ERM）是一个计划、组织、领导、控制一个组织的活动的过程，其目的是使一个组织的资产及所得所受的风险影响减为最小。企业风险管理的过程不仅涉及与意外损失相关的风险，还扩展到财政、策略、运营及其他风险。

近年来，各种组织已将外部因素列为ERM中越来越重要的影响因素。行业及政府的管理机构，还有投资者，已经开始细察公司风险管理的政策及过程。越来越多行业都要求董事会检查报告他们所管理的组织的风险管理过程的足够性。金融机构兴旺于风险商业，他们就是得益于有效的ERM的最好例子。他们的成功取决于很好地处理了增加利润和风险管理二者间的关系。由企业风险管理又可以引发出多个延伸概念，如商业风险管理（Business Risk Management）、全面风险管理（Holistic Risk Management）以及策略风险管理（Strategic Risk Management）。

企业风险管理的对象是企业风险，企业在生产运营的过程中可能面临的风险多种多样，按照风险发生的边界又可以划分为企业内部风险和企业外部风险两个大类。所以，企业风险管理也可以对应于内部风险管理和外部风险管理。在大多数情况下，企业风险管理会同时考虑各类风险，制定一个系统的风险管理策略，进而去区分风险发生的边界。

（二）内部控制

所谓内部控制，是指一个单位为了實现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

从风险管理的角度看，内部控制正是希望通过加强企业内部的有效管理从而实现风险管理预期目标的一种策略。对于很多类型的企业风险，正是由于企业内部结构、运营机制出现问题，才导致各类风险的发生。因此，对内部进行有效控制确实是有效防控风险发生的正确策略。

从风险发生的边界来看，内部控制很难直接对外部风险实施应对，只能寄希望于对企业内部的管控达到对外部风险防控的效果。但是，很多外部风险是企业所在的大环境发生改变所产生的，无法通过企业内部治理就达成外部风险的解决。

二、企业风险管理和内部控制的配置机制

为了有效应对新经济形势下的企业风险管理问题，本文希望从企业内部控制进行设计，实现内部控制和企业风险管理的整合解决，这里从五个方面进行整合机制的配置：

（一）以风险管理作为企业内部控制的重要目标

企业内部控制是希望通过企业内部组织架构调整、各部门的协调，达到企业内部的有效治理，从而提升企业运行效率、增加企业经营收入、创造更多企业价值。可见，内部控制与企业经营的根本目标是契合的、一致的。而风险管理，是希望合理剖析企业经营过程中所面临的各种不确定性因素，利用其中的有益因素创造更多的价值和财富，防控其中的不利因素避免其带来的经营问题和价值损失。从这个角度来看，风险管理与企业经营的目标也是一致的。这样，就形成了企业经营、内部控制、风险管理的目标统一。所以，内部控制的合理设置过程中，也要始终关注其风险管理的成效，并以风险管理作为企业内部控制的重要目标。这里需要指出的是，内部控制不要把风险中的不确定性全部扼杀掉，因为一部分不确定性是会给企业带来正向影响的。

（二）以风险识别作为企业内部控制的业务基础

通过上一点的分析可知，内部控制、风险管理的目标是一致的，都是为了给企业经营带来更好的前景、更多地增加企业受益、提升企业价值。内部控制过程中，依托风险管理来制定业务内容，并以风险识别作为企业内部控制的业务基础。这里所说的风险识别，就是判断风险中的哪些不确定性对企业经营、未来发展是有益的，哪些不确定性对企业经营、未来发展是有害的。当风险识别工作全面开展以后，就可以对不利于企业发展的风险进行有效应对和防控，尽可能避免这些风险发生。同时，也可以挖掘对企业发展有益的不确定性，将这种不确定性转化为企业经营的新业务或新探索。

（三）以风险评估作为企业内部控制的关键内容

风险评估和风险识别既有区别又有联系，相比较而言，风险评估应该作为企业内部控制执行过程中的关键内容。风险识别是对风险中的不确定性进行分类，是一种定性的判断。风险评估则是对好的不确定性和坏的不确定性进行量化，是一种定量的判断。企业所面临的风险中好的不确定性，是可以给企业带来新的经营收益或价值的。但受限于企业规模、人力、物力和财力，不可能对所有的好的不确定性进行尝试。这时，风险评估就可以让企业有选择性地进行那些对企业大概率有益的尝试。当然，风险评估更重要的是评估风险中坏的不确定性，判断其中最严重的、最具破坏力的风险，进行提前预防和有效应对。

（四）以风险应对作为企业内部控制的核心价值

一部分企业风险必然会转变成实际危害，即便企业进行了事先的识别、评估，也无法完全杜绝企业风险的现实化。因为，这些风险不是可以依靠内部控制就能完全规避的，它们可能滋生于企业所依赖的外部环境，如制度环境、金融环境或市场环境。所以，企业在内部控制的执行过程中，必须对高危害风险制定应对预案，即风险真实发生后企业采取何种方案加以应对。相比于风险识别和风险评估，风险应对体现了企业的紧急事务处理能力，更体现了内部控制的核心价值。

（五）以风险监控达成企业内部控制的闭环管理

企业风险不是静态的，不是一成不变的。随着企业的不断发展，企业所面临的风险也会不断变化。新的风险会出现，已有风险的严重程度也会不断转变。所以，以应对风险管理为目标的企业内部控制，也要不断做出调整和新的判断，并及时更新自己的风险应对预案。但是，风险识别、风险评估、风险应对，都依赖于有效的风险监控。只有通过风险监控，才能实现对企业风险的最及时和最准确的应对。所以，必须将风险监控纳入到企业内部控制的业务范畴之内，这样才能实现企业风险的闭环管理。

三、基于内部控制的企业风险管理策略构建

基于风险管理和企业内部控制的整合配置机制，企业构建出风险管理策略，包括三个方面：全员参与集体智慧构筑风险管理体系，企业内部打造风险管理日常文化氛围，依托信息技术构建风险管理平台系统。

（一）全员参与集体智慧构筑风险管理体系

企业不是管理者一个人的企业，也不是管理层一部分人的企业，它是企业全部员工所共有的企业。所以，企业的风险管理也不是管理者或管理层的特有任务，企业全部员工都应担负起风险管理的责任。所以，企业内部控制，首先就是要树立全员参与的风险管理意识，并充分发挥每一个人尤其是基层员工的风险识别和风险评估能力，利用集体的智慧对企业的生存环境、经营过程、未来发展进行风险监控。而这种风险监控应该是全时间段的，根据企业内外部环境条件变换不断进行的监控。所以，企业内部控制首先就要建立一个有效的风险管理体系，这个体系应该是包括全部员工在内的一个完整体系。

（二）企业内部打造风险管理日常文化氛围

风险管理，首先应该是一种风险意识的建构。即便是经营状况良好、企业持续向上发展的阶段，也要居安思危、时刻保持风险防控意识。尤其是在全员参与的风险防控体系之下，从领导层到基层员工，都要建立自己的风险意识，并且打造一个风险防控的文化氛围，将其作为企业文化的一部分，纳入到企业日常经营活动的过程中。只有这种风险防控的文化氛围形成，才能时刻提醒企业内的每一个人，风险无处不在、风险无时不在，防控风险是每一个企业员工的职责和义务。打造这种文化氛围，是企业内部治理的一项常备工作。

（三）依托信息技术构建风险管理平台系统

风险识别、风险评估、风险应对、风险监控，可以理解为企业风险管理的常见形态。要更好地完成这些风险管理工作，就依赖于最先进的科学技术手段和工具的运用。在信息社会里，在数字技术蓬勃发展的今天，依托信息技术构建风险管理平台是非常重要的工作，这也应该作为企业内部控制的一项关键工作。有了这种技术手段作为依托，有关企业风险的各种大数据就可以被及时地采集进来，进而利用数据挖掘算法进行风险识别和风险评估，实现风险的量化评估和智能判断。

结论

新的经济形势给中国企业带来了更多的发展机遇，但也带来了更多的冲击和挑战。为了有效应对企业发展过程中的各类风险，本文从内部控制的角度出发提出企业风险管理策略。首先从五个方面阐述了企业风险管理和内部控制的配置机制，包括：以风险管理作为企业内部控制的重要目标，以风险识别作为企业内部控制的业务基础，以风险评估作为企业内部控制的关键内容，以风险应对作为企业内部控制的核心价值，以风险监控达成企业内部控制的闭环管理。其次提出了企业风险管理内部控制策略的构建方法：全员参与集体智慧构筑风险管理体系，企业内部打造风险管理日常文化氛围，依托信息技术构建风险管理平台系统。

参考文献：

[1]刘琼晖.经济转型期下企业风险管理应用实践研究——企业全面风险管理“六个一工程”[J].中国注册会计师，2022，28（10）：113-116.

[2]楊星，张义强.中国上市公司信用风险管理实证研究——EDF模型在信用评估中的应用[J].中国软科学， 2022，36（01）：55-61.

[3]丁友刚，胡兴国.内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进[J].会计研究， 2017，35（12）：101-104.