基于风险管理的企业内部控制研究

(延边大学 吉林 延吉 133002)

引言

市场竞争中决定一个企业竞争力的关键和核心，就是能否有效地对风险进行全面有效的控制管理，能否积极主动地承担风险、管理风险、建立良好的风险管理架构和体系，以良好的风险定价策略获得利润。因此，全面风险管理是企业内部管理的核心，在整个管理体系中的地位己上升到企业发展战略的高度，是企业风险控制的更高阶段，是动态的、全程的、计量的、立体的风险控制。2004年COSO委员会在内部控制整体框架基础，颁布了企业全面风险管理框架，代表了国际上关于内部控制研究的最高水平，也标志着全面风险管理时代的到来。

一、全面风险管理与内部控制的关系

(一)全面风险管理与内部控制的区别

1.涉及范畴不同

内部控制是一种管理职能，主要作用于事中与事后的控制，而全面风险管理则是贯穿于整个过程的各个环节，尤其是在事前就有了一定的预见性的风险考虑。而且全面风险管理的管理范围要大于内部控制。

2.执行方式不同

全面风险管理所涉及的活动有很多是不需要内部控制来完成的。全面风险管理包含了制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节，而内部控制所负责的只是事中和事后的控制，如对报告的评估、对信息交流的监督、对错误的纠正等等。而最明显的差异在于内部控制不涉及到企业经营目标的设立，只是对目标制定的过程进行控制。

3.风险管理不同

全面风险管理框架引入了风险偏好、风险预警、风险对策等方法概念，因此，在风险度量的基础上，该框架可促使企业发展战略向风险偏好靠拢。根据投入、风险、回报之问的联系，合理进行资本分配。这些功能都是内部控制框架能力范围之外的。

(二)全面风险管理与内部控制的联系

内部控制从属于全面风险管理，产生于实践之中，并不断发展完善。作为企业的重要的组织制度，为实现企业的管理目标而提供了保障。有效的内部控制可以保证企业营运有效、财务可靠，使企业风险值降到最小，保证企业的可持续发展。

全面风险管理产生于战略决策之中，实践于经营运作之中，贯穿于企业的各个环节，为企业持续发展提供保障。全面风险管理包括三个方面：一是企业的风险管理目标。包括经营目标、战略目标、报告目标和合规目标；二是全面风险管理要素。

主要有目标设定、内部环境、事件分析、风险评估、风险对策、信息交流、控制监督；三是企业的各个层级的设置与风险管理职责。包括企业整体、各职能部门、各业务线和企业卜属各子公司，以及各个层级的风险控制职责。

通过对二者描述，不难看出，无论是内部控制还是全面风险管理，最终的目的都是为了维护企业的财产安全、保证企业的经济效益。综合二者的关系，即内部控制为全面风险管理的必要组成部分，而全面风险管理则是对内部控制的延展。总体上来说，内部控制是企业具备规范的经营操作、有效的财务管理和稳定的盈利能力的保障，同时企业规范的经营、有效的财务管理和稳定的盈利能力也正是全面风险管理卜企业应具备的基本状态。然而就国内外的发展趋势分析，随着二者的不断发展与完善，联系会更加密切，二者已存在交集、交集会逐步扩大、直至统一。

二、基于内部控制的企业全面风险管理存在的问题

我国企业的风险管理处于起步阶段，企业内、外部环境对于全面风险管理的发展均存在不利因素，这些因素致使我国企业的风险管理存在很多问题。具体表现为：

(一)风险意识弱，管理知识有限

企业管理层风险意识弱，掌握的风险管理知识严重贫瘠。目前为止，我国很多公司的管理层没有风险管理意识，他们不能及时有效地进行全面风险管理。我国企业不能将全面风险管理作为一种管理者的管理职能，企业运营大体上还是财务型控制被动经营。企业管理者在作出整体决策时，也不能加入全面风险管理的想法。主要体现在以下几个方，首先第一个方面是，企业的管理者意识到了风险，才进行风险管理，而且不能进行有效的监督，如果没有意识到就不采取措施；另一个方面，在对风险管理监督、评估、反应上，企业缺少这方面的技术，这使得企业不能有效的适应环境的剧烈和微弱变化，尤其更欠缺在管理风险和规避风险方面的能力。

(二)企业风险管理组织结构不完善

我国企业中有很大一部分都有非常严重的结构不合理问题。这使得各个部门的工作人员不能清楚的掌握本工作的职责和操作步骤，也使得承担风险的主体不确定，因此具有单独性的全面风险管理部门的形成存在很大的困难，与之匹配的风险管理人员严重不足。我国企业中基本没有专业的风险管理者，风险发生时也不能确定谁是风险的承担者，就是设置了全面风险管理部门，企业的每个部门之间或工作人员间也会不断的推卸责任。这样企业就不能形成对全面风险管理为之有效的控制，使得我国企业的在全面风险管理决策时，永远以眼前利益为主。

(三)企业风险管理与内部控制被分开看待

企业经理人在建立风险管理系统时，将风险管理与内部控制脱离开来，不能在全面风险管理的基础上建立对企业有益并有效的内部控制体系。第一，企业没有强烈的风险管理的意识，因此严重缺少进行全面风险管理时所需要的必要的信息和数据；第二，企业的风险转移很大一部分不是为了减少损失和防范损失而制定的；第三，我国在对企业安全性管理方面立法时没有考虑到风险的评估，没有制定相关的立法，因此我国企业对风险进行评估时无据可依，企业也严重缺少科学有效的风险评估；第四，在企业制定战略的时候，很多企业都有赌博的行为。而做出赌博的决策时，企业却缺少风险评估的相关知识和水平，这使得我国企业经常承担了本不该是本公司应该承担的风险，企业的发展受到严重影响。在企业受挫之后，不能清醒的认识何为机遇，何为风险，使很多机遇与企业失之交臂；第五，企业在进行经营决策时，不能进行科学的评估，也不能进行科学的决断，这使得企业的经营战略没有长期目标，企业只注重短期目标。企业风险所具有的特点，使得我们必须通过有效的方法，在有风险损失时达到最全面的共同承担，对风险事故所造成损失的后果能够有效的控制。这正是现代风险管理的重要依据和理论基础，它对于企业内部进行风险管理都具有深刻的意义。

三、构建全面风险管理和内部控制新机制

(一)建立以董事会制度为核心的公司治理结构

无论是从国际现代公司治理结构的规范来看，还是从我国国有独资公司治理结构完善的角度出发，建立和完善董事会制度是公司治理结构的核心，是建立健全规范的公司法人治理结构的要求。国有独资公司建立和完善以董事会制度为核心的现代公司治理结构，形成国资委、董事会、监事会和经理层协调的、高效运转、有效制衡的监督约束运营机制，包括：

董事会的决策机制，董事会对经理层的监督机制，董事会对经理层的激励机制，监事会对董事会和经理层监督机制。

国有独资公司和国有控股公司建立独立董事制度，来保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择，实现董事会对经理层权力的监督和有效制衡。通过独立董事履行职责的独立性，强化董事会的作用，完善治理机制，维护公司整体利益。

董事会将公司经营大权由以总经理为代表的公司经理层，这是现代公司所有权与经营权分离产生的委托关系。正确处理董事会与总经理之间的委托代理关系是现代公司治理结构的关键。为了防止内部人控制，现代公司的董事会又通过其下设的各专业委员会，保证对公司的重大经营决策和对经理层的激励与监督，并保证公司重大经营决策和激励监督措施的科学合理性。

董事会下设风险管理委员会、审计委员会，独立于公司经营、保障部门，直接向董事会负责，保证内部控制的独立性和权威性。风险管理委员会，作为内部控制管理的主要决策机构，负责拟订、执行内部控制程序； 审计委员会，作为全面风险管理的监督、评价部门，负责监察、评价内部控制的健全性、合理性和遵循性，督促管理层解决内部控制存在的问题。审计委员会监督、评价控制状况，并将修正控制意见反馈给董事会，以完备控制体系。两个委员会相互配合，共同实现全面风险管理的要求。

(二)加强制度管理约束，完善综合内控体系

企业内部控制强调流程逻辑的严密性，强调信息输入与输出的环节相扣，强调业务过程的层层递进，强调每个部门以及每个人在什么情况下应该做什么。在科学、严密的企业内部控制制度中，控制主体和控制行为将得到清楚的描述，这是传统规章制度所不易达到的程度。企业内部控制制度是安全、有效的风险管理的基础，直接影响企业管理目标的实现和公司财产的安全。

集团公司制定并实施了一系列内部控制制度，将各个业务过程环节加以有效控制，为建立健全内部控制奠定了较为完备的制度与规范体系：

1.加强货币资金管理的内部控制

为加强货币资金管理的内部控制，制定了《资金管理内部控制规范》。对货币资金业务建立严格的授权批准制度，明确审批人对货币资金业务的授权批准方式、权限、责任和相关控制措施； 规定经办人办理货币资金业务的职责范围、工作要求和规定程序； 加强银行预留印鉴的管理，确保货币资金的安全。

2.加强采购与付款的内部控制

加强采购与付款的内部控制，规范采购与付款行为，制定了《采购与付款内部控制规范》。明确公司内部所有涉及采购与付款业务生产部门、采购部门、验收部门和财务部门，应当按照请购、审批、采购、验收、付款等规定程序办理采购及付款业务，并在采购与付款各环节设置相关记录，加强请购手续、采购合同、验收证明、入库凭证、采购发票等文件和凭证的相互核对。

3.加强销售与收款的内部控制

为加强销售与收款的内部控制，规范销售与收款行为，防范销售与收款过程中的差错和舞弊，制定了《销售与收款内部控制规范》。针对销售与收款业务，分别设立销售办理、发货、收款三项业务部门，规定销售部门应严格遵守公司价格管理制度、折扣政策、收款政策； 加强对赊销业务的管理，充分考虑客户信用状况，降低货款回笼风险； 定期核对应收账款、就收票据、预收账款等往来款项。

4.加强财务收支的内部控制

为加强涉及现金、银行存款、银行票据等方式收入和支付业务的内控管理，制定了《财务收支授权审批管理方法》。财务部负责组织财务收支审批授权，对未经授权审批或超越授权审批权限的业务款项拒绝办理支付。

5.加强信息系统的内部控制

为规范信息系统的授权实施，确保管理信息系统稳定安全运行，制定了《管理信息系统授权管理办法》。对公司各级管理信息系统，建立分级分组授权管理体系，由业务主管部门负责管理计算机系统功能的授权。明确操作功能原则上不对外单位授权，对涉及公司重大生产经营机密的，须经公司领导审批后才予授权。确保了公司经营信息的安全完整和合法使用。

6.加强担保行为的内部控制

为严格控制担保行为，禁止随意提供信用担保，保障公司资产安全，制定了《担保管理办法》。明确担保的管理规范、审批流程及担保后续管理等内容，防止被担保单位财务状况恶化或到期后不能还款而发生债务转移等或有负债的发生。

在符合内部控制要求的前提下，全面梳理并进一步完善现有管理制度，整合业务操作流程，以建立起市场风险、信用风险和操作风险的防范体制，构筑起覆盖所有业务类型和业务过程的内控体系，实现风险管理和业务发展的同步，构筑起全方位、立体交叉的监督管理网络。逐步建立起业务管理服从规章制度、实务操作服务处理流程的新的管理制度体系和综合内控体系。

综合内控系统是风险管理的基础，完整的内部控制体系和完善的内部控制制度是约束、规范企业运营行为的准则，是减少和有效控制风险的重大措施。

(三)梳理业务流程，制订风险管理预案

企业的大多数风险会暴露在业务流程中，通过流程梳理与改造，将风险管理解决方案落实到内部控制上——正确设定业务流程中的关键控制点并选择相应的控制手段，实现对操作行为的制衡。着手梳理公司全部业务流程，在收集风险管理初始信息和各项业务管理及重要业务流程的基础上，进行风险评估，辨识关键控制环节和风险控制点，按照各单位和各部门的职责分工，制定对应的风险管理解决预案，确保各项内控措施落实到位。梳理业务流程，是实施公司运营风险预案的基础。应把握好以下三条原则：

一是全面风险管理原则。二是垂直管理原则。 三是协调与效率原则。 在实施全面风险管理之前，关键环节的风险点、控制方式和控制预案散落在各个业务单元或业务流程中，并没有被集合表示，尚未整合成公司全面风险管理体系。

实施全面风险管理，首先必须将公司管理功能进行归纳，将现行的管理功能去粗取精； 其次通过对公司业务流程的系统梳理，将现行部门的管理功能联系起来，协调不一致、不连贯的功能； 最后形成上升到整个公司层面的业务流程，据此流程分析关键控制环节和风险点，编制公司风险管理预案。

基于全面风险管理的业务流程体系，系统性强，覆盖了公司管理的各个方面，表现了公司管理的核心功能。用全面风险管理的理念对公司现有管理体系的整合，有利于提高公司整体管理水平，强化公司风险控制的功能，弥补现有管理体系的缺陷和不足。

结论

内部控制是风险管理的关键环节之一，是风险管理实际操作的核心。内控体现的完整性、准确性和有效性直接决定企业风险管理的效果。企业开展全面风险管理工作应与内部控制等管理活动紧密结合，把风险管理的各项要求渗透到企业各个领域，融入到企业管理和业务流程中。通过实施内部控制，完善治理结构、规范权力运行、强化监督约束，促进企业实现战略目标、提升营运效率、提高信息质量、保证公司资产安全。