风险管理导向的内控模式研究

窦永红 康 华 高永博

2008年美国次贷款危机引发的全球经济衰退波及我国沿海地区出口型的成千上万中小企业破产，2009年石家庄三鹿集团的“三聚氰胺”婴幼儿奶粉案件，2011年台湾“塑化剂”饮料事件，河南双汇集团“瘦肉精”火腿肠事件，这一系列触目惊心事件再次引起人们对内部控制系统地重视，对风险管理地关注。导致内部控制失效的原因主要在于这些问题公司企业风险管理意识薄弱，内部控制制度流于形式，造成了许多企业抗风险能力低下。因此提高风险管理导向的内部控制是我国企业的重之至重。

近年来我国已经重视企业全面风险管理体系建设和企业内部控制建设，先后出台了针对中央企业全面风险管理指引和针对上市公司的内部控制基本规范和配套指引，标志着适应我国企业实际情况、融合国际先进经验的中国企业风险管理体系与内部控制规范体系基本建成。对于内部控制和风险管理，企业不能简单当作应急的手段或是应付国家行业管理的要求，而应将其当做企业的基本建设来认识。内部控制应从“消极合规”向“积极合规”转变，由“审计方法”要求向“管理方法”要求转变，由单纯的“内部控制”向综合的“风险管理”发展。

一、内部控制与风险管理的区别与联系

（一）内部控制与风险管理的涵义

1.内部控制的涵义

内部控制是企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标有促进遵循国家法律法规的合法合规目标、促进维护资产安全的资产目标、促进提高信息报告质量的报告目标、促进提高经营效率和效果的经营目标和促进企业实现发展战略的战略目标。借鉴COSO框架，我国《企业内部控制基本规范》将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。

2.风险管理的涵义

风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件和管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。风险管理的目标包括企业的战略目标、经营目标、报告目标、合规目标。风险管理包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控八个要素。

（二）内部控制与风险管理涵盖的范围不同

风险管理从企业战略制定一直贯穿企业的各项活动中的风险范畴，是对内部控制的延展，全面风险管理的范围比内部控制的范围更宽泛。内部控制则表现为企业管理的职能和控制方法，全面的风险管理在企业制定目标时就考虑到了风险的存在，风险管理实现的目标包含了内部控制目标所没有的战略目标。

（三）内部控制与风险管理作用方式不同

内部控制注重的是风险管理过程中及过程之后的重要活动，针对实施控制活动、信息与沟通和监督活动进行评价和缺陷纠正工作，全面风险管理不仅包括风险管理目标和战略的设定，风险评估方法的选择，还包括管理人员的选聘，预算的执行和行政管理，报告程序等活动。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。内部控制所能起的作用只是在目标既定的前提下，采取一系列措施进行风险控制。然而这不是风险管理的全部。企业要想有效地管理风险，还必须要借助于目标的设定，对风险借助于目标的设定，对风险进行计划:借助于内部控制对风险进行事中控制；最后还应该采取风险应对措施。

（四）内部控制与风险管理高度相关的辩证统一关系

1.近年国内外法律法规要求将内部控制与风险管理相结合

随着世界经济的全球化，企业竞争的深度和广度会大大增加，面临的竞争将会更加激烈，为了适应已趋激烈的竞争，必须提高管理水平。加强企业内部控制建设，特别是强化风险管理，是提高企业经营管理水平的基础性工作，也是不可回避的现实需要。

2006年，美国颁布了《萨班斯-奥克斯利法案》明确要求上市公司必须披露基于风险管理的内部控制体系的建设情况，聘请专业机构对企业内部控制体系的合理性、完整性发表评价意见。我国五部委联合2006年发布的《企业内部控制规范——基本规范》，2010年发布的通称为《企业内部控制配套指引》。这些法律法规表明内部控制开始从财务报表导向偏向了企业管理导向。这种观念导向的偏离对企业企业内部控制的建立和实施有重大影响，其好坏直接决定了企业内部控制整体框架实施的效果。因此，要准确把握通过内部控制制度达到规范和提升企业经营效果的目的，就必须将全面风险管理与内部控制融合在一起，通盘考虑企业的管理工作。

2.企业发展目标的一致性要求将内部控制与风险管理相结合

内部控制与风险管理最终目标都是维护企业资产的安全，保障投资者、债权人和其他相关者的利益，提高经营效率和效果，促进实现发展战略，终极目标的一致性要求二者有机地结合。

3.内部控制与风险管理密切相关、互为影响要求将内部控制与风险管理相结合

内部控制与风险管理都是在董事会、经理层、其他相关共同影响下的全员参与的管理行为，都是贯穿于企业经营管理全过程的行为。内部控制最基本的作用就是防范风险，内部控制是全面风险管理的重要组成部分，是风险管理不可或缺的有效方式，以内部控制为中心，构建以风险管理导向的内部控制体系是保障企业可持续发展的保障。

二、目前企业风险管理中存在的问题

（一）企业风险管理体系不健全，管理目标不明确

管理者及相关人员风险意识淡薄，对瞬息万变的外部经济环境敏感度差，对风险管理的认识停留在职能管理层次上，缺乏从战略角度认识风险管理的重要性。2008年金融危机波及我国沿海地区出口型的成千上万中小企业破产，许多企业没有应对风险的任何准备，这造成了许多企业抗风险能力低下。

（二）风险管理机构不健全

大多风险管理机构从属于内部审计部门，缺乏应有的独立性。风险管理机构应该是保持机构独立，人员独立，才能保证管理的独立。健全的全面风险管理能够对企业风险进行充分的分析识别，采取不同的风险应对策略，并设法将风险降低到可控的最低的范围之内。

（三）缺乏系统的风险管理手段，同时对风险缺乏持续的监控

企业运营存在着企业层面的、经营风险、财务风险、投资风险、并购风险、业务层面的各项业务活动的资金风险，采购销售风险，资产管理风险，研发活动风险等等，这就需要采用定性与定量分析结合的方法，定期跟踪与持续监控结合的方法，对风险采取规避、承受、降低、分担多种应对策略，而不是一味地规回避或放任自流。

三、构建以全面风险管理导向的内控管理体系

（一）建立以风险评估为前提的内部控制体系

风险评估是企业及时识别、科学分析经营活动中与实现目标相关的风险，合理确定风险应对策略，是实现内部控制的重要环节。风险评估包括目标设定、风险识别、风险分析和风险应对。按照风险发生的可能性及对组织目标的影响程度，对识别的风险进行分析归类排序，确定和优先控制的风险。以风险为导向规划内控体系。

（二）培育创新的全面风险管理观念

将风险管理理念深入人心，成为企业文化的一部分。“以人为本”从企业最高管理者到普通员工，人人都有风险意识。将风险管理理念贯彻到企业经营的全过程、全方位。企业的每个业务流程都有风险管理的内控制度规范，达到风险管理要求应该达到的基本状态。

（三）建立全新的以风险管理导向的内部控制评价机制

全面梳理现有的内部控制制度，结合风险控制环节，分层落实，具体到各部门、各岗位赋予管理风险的职责权限，定期检查评估和考核，强化风险管理责任，提高整体风险防范能力，由单一风险部门的防范转向全企业的防范。

（四）构建以全面风险管理导向的内控管理体系

企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，与时俱进，适应瞬息万变的经济环境，及时补充完善以风险管理内部控制体系。

全面风险管理是企业管理的核心，应融入企业日常经营管理中。内部控制主要作用就是防范风险。将风险管理引进内部控制体系中，使内部控制作为实现全面风险管理重要环节和有力保障，从而全面提升企业抗风险能力，可以使企业在激烈的市场竞争中立于不败之地。

[1]闫金萍.论现代企业内部控制机制[J].现代管理科学，2007，（1）92-94.

[2]胡为民.内部控制与企业风险管理[M].电子工业出版社，2007.

[3]陈晓更.论企业建立全面风险管理体系的必要性[J].会计之友，2008，（9）30-31.