风险、内控、管理体系有机融合之思考

□ 缪建亚

绝大多数的企业，为了适应市场需求和自身需要，根据国际上各类管理体系的标准健全和完善企业管理体系。如以ISO 9001为代表的质量管理体系标准、以ISO 14001为代表的环境管理体系标准等，新版的管理体系标准，明确引入了风险管理的思维。风险管理及随之而来的内控管理也随着美国安然事件的发生，在企业，特别是上市公司中得到重视。国家证监会、财政部、国资委等管理机构对于企业风险管理、内控管理都提出了明确要求。

但现实中不少企业没有真正理解风险管理、内控管理和管理体系管理之间的内在逻辑关系，在公司内部只是机械地、割裂地推进相关管理工作，不少公司按照咨询机构的建议，将这些管理分别归属于不同的管理部门进行推进，缺乏整体的策划和协调，公司内部也为了所谓的风险、内控和管理体系开展相关工作，企业资源没有聚焦到其真正需要的“刀刃”上。

为有效识别、控制企业的运营风险，保障企业在当今多变的市场环境下，完成经营目标并保持可持续发展，如何在企业中将风险管理、内控管理和体系管理有机融合，提高企业资源效率，是目前所有企业管理层均需面对的现实问题。

一、影响风险、内控和管理体系有机融合的因素分析

1.企业在风险、内控和管理体系的导入，来自不同的时期

管理体系认证在20世纪80年代末、90年代初引入中国，“贯标”之势随即在企业迅速展开。各种各样的认证咨询机构 “帮助”企业建立各类管理体系。

2001年美国安然公司会计造假案，引起全球对企业风险、内控的关注。2006年，国务院国资委《中央企业全面风险管理指引》是我国现代第一个风险管理框架，对我国风险管理具有重要指导作用。中国财政部等五部委分别在2008年和2010年发布了《企业内部控制基本规范》 《企业内部控制配套指引》，共同构建了中国企业内部控制规范体系。企业的风险管理体系、内控管理体系有不少是通过咨询机构（许多是会计事务所）的帮助建立起来的。

2.企业的内部推进各归不同职能部门和主管领导

企业内部管理体系的推动，由公司技术副总（管理者代表）主持；具体日常工作推进多由技术质量部门、安全环保部门主持；同时，组建管理体系内审队伍开展管理体系内部审核工作。

企业内部风险、内控管理体系多由公司负责财务的副总（总监）主持推动，具体由财务部门、审计部门或风控合规部门主持推进；同时，组建内控审计队伍开展内部审计工作。

3.不同的外部评估机构依据不同的规范对企业审核、审计

风险和内控的评估，由会计事务所进行审计，出具审计报告。而管理体系的认证审核由认证机构进行，签署体系认证证书。不同机构按照其各自不同的“游戏规则”开展工作。

二、风险、内控、管理体系有机融合的内在逻辑关系

1.管理体系是风险、内控管理的基石

企业的业务活动内容多而复杂，要有序开展经营活动，需要通过管理体系标准的方法进行管理。管理体系的任务就是分析企业的运行环境，识别各类需求和相关方，识别风险和机会，策划、确定管理目标，通过组织职能的明确、文件化制度体系的建立、按照策划方案实施和执行全过程的运作，并且通过监控、审核和评审等机制来发现和解决企业运行中存在的问题，从而高效实现管理目标。

风险管理是对企业运行各项活动中存在的各种风险，即对实现目标的不确定性，进行管理。企业运行的风险，往往有程序性风险和环境变化带来的风险。程序性风险主要是指公司运行程序本身的管理疏漏或程序本身没有问题但执行过程中存在的风险。而环境变化的不确定性给企业带来的风险在当今时代更具普遍性。企业应围绕总体经营目标，通过管理的各个环节和经营过程中执行风险管理的基本流程，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理的保证。

内部控制的目标是围绕各种风险点，采取适当的措施合理保证企业运营管理，提高运营效率和效果，促进企业实现发展战略。

企业的管理从公司治理到确定公司战略目标和经营管理目标，围绕目标实现的不确定性，运用不同技术方法进行风险评估，针对不同风险采取不同的内控措施，通过监控、审核、审计、评审等进行监督，不断改进存在的问题，最终实现改善的战略目标。没有良好的管理体系，无从推进风险管理和内控管理，因此管理体系是进行风险管理、内控管理的基石。

2.风险管理更加突出对管理体系目标不确定性的把握，更加聚焦风险以采取适当措施

企业风险一般可分为：重大决策过程中的战略风险，如投资决策的失误；公司经营过程中的财务风险，如资金链断裂；企业外部市场产业链供需量变化的风险，如下游产业发生重大调整、新竞争者的加入；公司内部运行中的各种控制风险，如生产安全事故、产品批量不合格；法律的变化所带来的合规性风险，如国家环保政策要求的提高、煤炭使用总量控制；等等。

风险管理弥补了过去管理体系标准对于管理目标双相性考虑的不足，当然新的管理体系标准也提出了“风险思维”的要求，明确了既要减少对目标实现产生负面影响造成的“损失”，又要抓住正面的发展“机会”。使企业在分析外部环境、确定目标时更加积极主动。

管理体系在推进过程中，特别强调持续改进，如何真正做到“纠正措施应与所遇到的不合格的影响程度相适应”，往往不易被运用者把握，管理体系审核提出的不符合项或改善建议，理论上似乎总是正确的，对企业的问题容易产生“眉毛、胡子一把抓”。但企业的资源永远是有限的，企业管理者会依据自己的经营理念和做事风格（风险癖好），运用规避、降低、分担和承受等风险应对策略，实现对风险的有效控制。就如同人们将资金大胆投资于股市和谨慎存入银行这2种不同的投资策略——高风险可能带来高收益；反之，谨慎的策略承担较少的风险，当然收益也有限。

3.内控管理更加提升控制层面，更加强化全组织控制

内控管理就是为了实现公司的各类目标所开展的对所识别出风险的内部控制活动的总称。管理体系管理的控制层面，一般都是以企业总经理为最高管理者的企业运行控制活动，而内控管理所涉及的层面就一直上延到公司治理层面的各项活动。

这样就能够依据内部控制要求，更好地使整个管理体系中最顶层的决策、监督活动得到有效控制，能够从企业的最顶层来把握企业的最重大决策事项，如企业发展战略、对重大业务活动的监控等。内控管理，弥补了一般体系管理所涉及不深的顶层管理，可以更好地围绕风险管理策略目标，针对企业各项业务管理及其重要业务流程，通过执行风险管理基本流程，识别风险并评估风险，依据风险大小分层、分类，制定并执行规章制度、程序。因此，内控管理更加提升控制层面，更加强化全组织控制。

三、解决方案

1.准确理解风险、内控和管理体系的内在逻辑，实施统一策划、管理

企业管理最根本的是实现企业的战略目标并通过一定的短期目标（如年度、季度）进行分解推进。要实现目标，必然需要根据所处的环境等各种不确定因素，进行风险识别和评估，根据企业管理者的风险癖好采取一定的风险防范措施，建立完善的管理程序，强化内控管理。对运行结果，运用绩效评价、审核、审计等方式开展评审和检查工作，对企业目标进行有效性评估。如果达到管理目标，则显示管理体系运行有效；若与管理目标存在差距，则采用各类改善活动以提高运营绩效，实现企业管理目标。笔者建议企业将风险、内控管理体系在组织内部集中策划，由公司董事长或总经理亲自领导，再根据具体风险由专业职能部门进行专业管理，支持公司总体目标的实现。

2.企业的内部审计人员、管理体系内审人员需要在相互学习中结合

作为企业运营风险的核心抓手、企业内控体系的最后一道防线，内部审计也正从传统的注重合规的财务审计向关注影响业务目标实现的风险导向的业务流程审计转变。同时，管理体系的审核价值也正从以管理体系标准要求为重心的符合性验证向保障业务目标实现的有效性评价转变。

基于风险的内控审计和基于业务流程的管理体系审核，不仅是审计、审核发展的趋势，更是公司高层面对组织全面风险控制的要求。而在企业多变的运营环境下，内部审核（审计）人员的角色也需要由过去强调的“检查者”，逐步向既是“检查者”更是“参谋者”的角色转变，无论从思维方式、审计（核）方法、专业技能、沟通方式和报告形式等方面均面临着新的挑战和更高的要求。这就需要两类人员相互学习，内部审计人员要能够在发现问题点时，更加系统全面地从业务流程思考问题；内部体系审核人员要能够不断补充经营、财务方面的知识和技能，能将发现与改善的各种问题更加聚焦于企业经营风险。终有一日，企业内部的审核、审计人员队伍可以整合。

3.运作中融合才能更具生命力

风险管理、内控管理必须在企业的体系运作中紧密融合才能具有生命力。通常企业都建有相应的规章制度来保障其运作，企业各层面也都要按照企业的各种规章制度来执行。因此，企业在推进风险管理、内控管理时，一定要在整体系统策划时，有机地将风险、内控和体系管理的制度有机结合。一定要避免脱离企业实际运作状况的、按照咨询公司推荐的所谓固定模式或表单来形成的风险控制手册、内控手册。只有将风险控制、内控管理的要求紧紧与企业正常运行中采用的规章制度结合，才能真正有效、持久地将风险管理、内控管理根植于企业运行系统。某领域的单体风险控制不好，会导致公司某领域的整体风险，公司整体风险进一步会导致公司经营风险，最终影响公司目标的实现。

多数企业管理体系所制定的规章制度，对于企业内部的运行风险，在风险的识别环节，没有明显显示出来，通过风险管理的推进，使管理体系在制定规章制度过程中更加清晰地识别和展现出业务活动中所存在的风险点，使得控制更加聚焦于风险，也能够引导审核人员在审核中抓住业务的核心控制环节，尽量减少轻重不分的繁复状况。

此外，内部控制能够更加聚焦于企业运行活动中的风险控制点，将企业运行中许多不相容的职责更加清晰地展现出来，同时对于控制点的控制要求（如准确的职位要求；授权的大小，特别是涉及经济类授权，必须书面明确数量、金额等；例外的处置；等等）也在企业规章制度中得以体现。

四、结论

企业对风险、内控和体系管理需要进行系统性思考和策划。管理体系是风险、内控管理的基石。内控管理更加提升控制层面，更加强化全组织控制。风险、内控管理必须在体系运作中融合才能更具生命力。在体系管理中融入风险管理、内控管理，使得管理的内涵得到提升。企业的内部审计、管理体系内审需要在相互学习中结合，二者的整合是发展方向。企业只有将风险、内控和管理体系进行有机的融合管理，避免企业资源浪费，才能提高企业的运行效率。