张正健
【摘 要】内部控制和风险管理是企业提升管理能力的重要手段和基础,将企业风险管理体系与内部控制规范的各项要求相结合,是内控体系建设过程中需要解决的重要问题。对众多风险进行有效管理是企业可持续发展过程中必须具备的重要能力和企业构筑内部控制体系所要关注的内容。本文在概述企业内部控制与风险管理的基础上,分析了企业内部控制与风险管理中存在的误区,在此基础上,提出加强企业内部控制与风险管理的改进措施。
【关键词】内部控制;风险管理
伴随实务界与理论界对内部控制与风险管理认识的不断加强,内部控制建设与发展已经提升到与风险管理相融合的新高度。在此背景下,企业内部控制与风险管理的要求更高,并需要不断改进与提升,是一个循环往复、永无止境的企业管理工作,将不断促进企业加强流程管控,增强风险防范能力,实现稳健持续发展。
一、企业内部控制与风险管理概述
企业内部控制与风险管理是相辅相成、互为促进的整体。其一致性主要表现在:一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。由于内部控制主要规范内部管理流程,而风险可能涉及内部风险和外部风险,从这个意义上缴,企业内部控制属于风险管理。然而,内部控制的提升,将增强企业对外部风险的抵御能力,二者是互相促进的。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,比内部控制更加细化,能够更好地解决企业经营活动当中所出现的各种各样的风险问题。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉且相互融合,最终相互统一。
二、企业内部控制与风险管理中存在的问题
1.内部控制与风险管理意识较弱
一是风险管理意识淡薄,片面追求发展速度,制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险。二是把内部控制和风险管理看作一种静态的东西,认为仅仅是规章制度,如文件法规、技术规范和应用模型等。三是内部控制和风险管理的内涵有很多重合之处,单纯的将二者混为一谈,忽略了其对不同企业的不同效果。四是片面相信国外的内部控制和风险管理理念,忽略了将其与我国国情与企业实际情况结合,使得内部控制与风险管理水土不服。
2.内部控制和风险管理组织机制较弱
一是公司治理结构不规范,不能有效制衡管理层的强大权力,董事会没有或者不能负起监督管理层的责任。二是过分夸大内部控制和风险管理的作用,认为只要建立了内部控制和风险管理,企业的发展就是必然的。三是缺少对企业自身的特点、发展阶段、行业特性、技术条件、外部环境等情况的评估机制,使得内部控制与风险管理本末倒置。四是管控模式和组织结构设计不合理,无法有效控制企业风险,难以建立有效的内控和相互制衡的机制。五是缺乏系统的风险管理体制,没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中。
3.内部控制与风险管理执行力度较弱
制度的关键在于执行,没有执行或执行力度不够,再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多,其中,企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素;制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”,是一种“非人格”的控制机制,其控制对象不限于受控方,施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与,这与我国传统的等级制、科层制是大不相同的。
三、企业提升内部控制与风险管理的改进措施
1.建立内部控制与风险管理相融合的管控文化
一是建立完善的内部控制组织框架,将高管层、中层、普通员工全部联动起来,将内部控制的理念贯穿入公司上下,并对公司主要风险点建立追踪机制,以承接各种风险。二是开展一系列教育活动,包括合规在线、合规课件、合规漫画等,进一步巩固基于风险管理的内控文化。三是在传统金融内控经验的基础上,结合自身业务特点走出一条适合企业自身发展的内控道路,鼓励内控与风险人员学习专业课程,系统地提升自身专业知识水平。
2.建立合法合规符合实际的内部控制与风险管理体系
在越来越明朗化的行业大环境下,内部控制与风险管理需要符合国家相关法律法规、行业监管办法以及公司内部规章制度,需要建设既合法合规又符合实际的内部控制与风险管理体系。一是从自身实践出发,建立和完善内控管理机构,并高度重视内控专业人才的培养。二是按照科学、精简、高效、透明、制衡的原则设立组织架构,设有内审、合规和法务等模块,并将治理层和管理层相隔离,避免职能交叉、缺失或权责过于集中。三是由内控部门制定一系列制度,有助于内控识别、评估和解决风险。
3.建立风险预警评估处置机制,提升内部控制能力
一是建立风险预警机制,可以通过各种分析方法找出那些能够对其经营目标的实现产生影响的内外部潜在因素,分析这些潜在因素对公司而言是机会还是风险,明确风险预警的标准,建立风险预警机制。二是建立风险评估体系,在经营活动中面临的风险多种多样,应当对风险的特点有所认识,并对其发生的概率及程度进行评估,给予巨大风险以特别关注,并评估现有的内部控制程序对风险的适用性。设立持续监察机制,对已识别的风险进行监察,随时关注风险的变化。三是建立风险处置机制,风险识别是为风险处置做准备的,对风险发生的可能性及其影响程度有所认识之后,所要做的就是,采取不同的措施对这些风险进行处置。