企业风险管理与内部控制一体化管理体系构建

王 强 中国宝武运营共享服务中心马鞍山区域分中心

引言

随着国家法律、法规、市场、行业等的不断变化与调整，风险管理既是企业自身发展的必然要求，也是企业应对外部环境变化的必要手段，只有持续地对风险管理体系和内部控制体系进行审查、调整和优化，运用科学的方法和策略来构建风险管理体系，协调资源，共同参与，企业才能提升防范和化解重大风险的能力，从而保证高质量发展。近年来，伴随著企业风险管理理论与实务的进步，企业风险管理的框架也逐渐成型。一体化管理体系将管理流程分为管理流程、运行控制以及支撑流程，构建企业风险管理与内部控制一体化管理体系，通过对潜在风险的识别，对风险产生的原因进行分析，对风险发生的可能性进行预测，对风险的影响进行评估、制定方法策略，对风险的变化进行监控，这样就能够将风险控制在可接受的范围之内，从而对业务风险有更多的了解、更多的可控性和更多的可承受性。

一、风险管理与内部控制一体化体系构建的依据

(一)以风险管理目标为前提进行体系构建

企业经营的目标在于创造并实现其价值，提高业务运作水平，保证法律上的合规运作，这都是达成企业价值的重要先决条件。在企业内部，无论是计划、组织、资源还是绩效，都必须为企业的价值增值服务，包括风险管理。托马斯·斯图尔特强调，企业风险管理的基本任务是将损失降至最低，在“损失最小化、绩效最好化、不确定性最小化”这三个目标中找到一个平衡点，对不确定性进行管理，并使企业业绩达到最佳[1]。一味地追求亏损控制，把风险降至最低，常常会因为不确定而导致企业价值的增加，这说明企业风险管理的目的在于使企业的风险处于可接受的水平(即风险偏好设定)。企业在面对风险时，能够按照事先制定好的方案，以最小的代价对风险进行控制，获得最大的收益，保证企业的经营安全。企业的风险控制目标不仅要具有经济性，还要具有一定的收益稳定性。收益稳定，就是指企业能够走上正轨，好的企业领导者倾向于将企业的持续、稳定经营作为一个目标，而非将其作为一个高风险、高收益的目标。

(二)以风险识别为基础进行体系构建

风险识别是企业风险管理的根本，企业经营过程中最主要的风险是企业对风险的识别不准确。《中央企业全面风险管理指引》从战略风险、市场风险、财务风险、法律风险、业务风险等五个方面对我国中央企业的风险进行了分类。首先，针对不同的风险类型，采用不同的方法进行风险识别。在进行企业战略风险识别时，要根据企业的经营目的、经营成果，搜集企业及同行业企业的风险资料。通过对企业战略目标的剖析与分解，运用情境分析与成因分析等手段，对企业战略目标进行识别。市场风险指的是未来市场价格、供需关系、竞争对手等各种不确定因素对企业经营绩效的影响，其实质是价格风险。市场风险识别应该包括价格，供应和需求以及竞争者的状况，运用PEST分析、基准分析等方法，对风险的特点及成因进行分析，对其造成的冲击进行预测，并对其所需的费用进行估算。其次，必须以业务过程为支撑来进行风险识别。财务风险、法律风险、操作风险是指企业在经营过程中，围绕着风险管理客体各种不确定因素而发生的风险。因此可以看到，对于财务、法律、操作风险的识别，在企业运作过程中，一定要结合企业的运作过程来进行，在企业经营过程中，通过对企业经营过程中的主要经营环节的分析与评价，识别出企业经营过程中的主要风险。除此之外，后续的风险评估、风险应对和风险监控都是在风险管理流程的基础上展开的，通过以业务流程为基础的风险防范，从而达到对企业各种业务管理问题的安全控制。

(三)以风险评价纽带进行体系构建

风险评价应该建立在评价风险对目标影响的质与量的基础上，并且应该按照评价的结果进行分级与排序。风险评价一般是从三个方面来进行的：事件的发生概率、事件的影响程度和事件的承受力。发生可能性是指在将来可能出现的风险，一般是根据企业的历史资料，并与趋势分析相结合，来估算出可能出现的风险。因此，需要从收益与损失两个方面来评价风险对目标实现的影响。在确定影响的方向之后，还要对其可能的影响程度进行评价，该评价与其持续时间、影响速率等因素相关[2]。特别是在这个有时会发生“黑天鹅”“灰犀牛”的时期，迅速爆发的风险常常会给企业带来毁灭性的打击。风险承受力是一家企业为应付风险所做的准备，对风险的容忍性是与一个企业的管理水平相联系的，管理愈成熟，愈能承担愈多的风险，愈能控制企业的风险。风险评估可以通过数据分析、问卷调查、访谈、专家意见、头脑风暴等方式，对所识别出的风险进行归类和排序，根据风险评估结果，找出企业的主要风险点。

二、企业风险管理与内部控制一体化管理体系构建策略

(一)构建由所有人员共同参加的风险管控组织系统

董事会作为企业的最高决策机关，在企业的风险管理中起着重要作用。董事会负责企业的风险管理，并根据企业的风险偏好与容忍度，确定企业的经营策略。在董事会中，成立风险管理专业委员会，专门负责企业的风险管理工作，对企业的风险管理文化进行培育，对企业的风险管理战略和目标进行明确，对各业务领域的风险管理工作进行指导，并确保将风险管理与企业的管理体系相结合。企业每个业务部门的主管都要对自己的业务部门进行风险管理，并且要把风险管理纳入到企业的整体之中，在业务计划中对风险进行识别和评价，在业务开发过程中贯彻执行风险管理战略，在日常运作中对这些战略的效果进行监督，保证风险被控制在可以接受的程度。同时，企业应当建立一个专门的风险管理机构，并聘请一批专业的风险管理人员来对企业的风险进行统筹与管理。各业务部门形成一套完整的风险管理机构，从决策到实施，将风险管理责任划分到核心业务、辅助功能和监管功能，为各业务部门的风险管理工作提供有力的组织保障。

(二)持续完善管理体系文件

根据一体化管理体系的功能划分，体系文件划分为管理手册、程序文件、业务流程与规则、作业标准与记录。企业一体化管理体系文件在建立之后，由于其会随着企业的实际发展而发生动态变化，并且会不断地完善、补充和调整，因此，必须不断地对其进行完善。首先，企业管理方面有了重大变化。当企业变革和重组、组织结构改变、主要功能的分配和资源分配的变化、新规章制度与法律法规标准的实施等，都需要对文件进行及时的检查，以保证体系文件的正确性和适用性[3]。企业受内外部环境的影响，需要以已有的生产经营管理要求、环境绩效、职业安全健康、绩效管理以及不同利益相关者的反馈为基础，迅速对变化进行梳理，从而对体系内容产生影响，并做出相应的调整。其次，在实际操作过程中所遇到的一些问题，会对整个制度造成很大的冲击。要及时地对管理体系在日常运作中产生的问题进行收集，并对其进行系统地分析，以便区别出哪些问题是由不恰当的或缺少的体系文件造成的，而哪些问题是由雇员的不当行为造成的。在此基础上，要对其进行系统性的分析，对其中存在的不合理之处进行修正，对遗漏之处进行补足，保证其正确性与适用性。再次，对于制度文件执行过程中存在的问题，要及时对其进行修正并对其进行完善。各单位应制定方案，搜集各专业部门的修订意见或建议，并按照专业管理的需要，对有关的体系文件进行检讨，并加以完善。最后，提高职工对制度执行的参与度。在系统的运作过程中，企业应该建立起与之相适应的激励机制将所有的员工都调动起来，深度参与到系统的治理当中，充分体现他们的主人翁意识，充分发挥他们的积极性、主动性和创造性得到充分的发挥，从而让系统能够更加高效地运作，并搜集有效的实践经验、先进的创新实践以及对系统信息资料的优秀实践结果，进行系统的管理内容的更新。

(三)以数字化的方式构建风险管理信息体系

不确定性是指企业所处的信息不完备的状况，它既有企业所面临的外部风险，也有企业所面临的内部风险。企业的风险管理，既要对不确定因素进行有效的预测，又要对不确定因素进行有效的控制。企业在经营活动中所收集的行业、市场、利益相关方及企业经营等方面的资料，对企业的风险决策与管理有很大的参考价值，因此，以企业现有的信息为基础，构建出一个数据库，运用数字化和信息化的方法，构建出一个风险管理信息系统，对相关的风险管理信息进行实时收集、分析、评估和识别，进而帮助企业展开风险分析、评估、监测和预警工作。同时，根据已有的资料，对风险管理者所建议的不同方法进行预测，以协助他们选取最优的风险管理策略。风险管理信息系统所能降低的并不是损失的不确定性，而是在提高风险战略的效率和影响，降低风险管理成本，提高风险管理的技术水平，以及提高企业及时处理风险的能力等方面所做的有关决策的不确定性[4]。

(四)重视内部审核提高内审工作的有效性

内部审计是企业自身完善、自我诊断、自我改进的一种重要方式，企业要按照“PDCA”原理来规划和实施内审工作，全面地开展内审工作，对制度的运行情况进行准确的诊断与评价，针对不符合规定的问题、存在的问题以及潜在的问题，及时提出整改或防范的对策，并在此基础上，对各环节进行有效控制，使各环节均得到有效控制，从而实现各环节的有效运行。在进行内部审计时，要考虑以下事项：

首先，建立高级审计师团队。在多专业、多制度的内部人员中，选择专业能力强、分析能力强、文化素养高的人员进行专业培训，取得内审人员的资格。内审人员要将自身的业务活动与企业的业务活动有机地结合起来，在各个业务活动之间起到搭建桥梁的作用。如果一个实体需要进行外部审核，这些人应该被委派为随行人员或联络员。在这种情况下，内审人员不仅可以观摩外审人员的工作流程，而且还可以不断地提升自身的工作能力，从而更好地了解内审技术与方法。内审队伍应具有较强的稳定性，包括石油化工等行业的专业知识，对企业的各种经营活动了如指掌，能够保证内审及外审工作的顺利进行。

其次，管理部门应当了解并支持内部审计。内部审计牵涉到企业各个功能单位，要使内审工作的效果得到最大程度的发挥，就必须进行及时的信息交流，以获得各层次管理者的理解与支持。企业可制订审核方案，并通过工作表、邮件和会议等方式告知被审核单位。审计前，企业应积极与被审计单位的主管人员交流，明确审计的目标、内容、工作地点及工作重点。如果发现或者观察到了什么问题或者不符合规定，一定要在第一时间和主管联系，与被审计单位共同、仔细分析存在的问题及侵权风险，并提出改正、改正措施或改善方案，以便得到被审计方的重视和理解。同时，要使他们认识到，认清问题并不能帮助他们找到问题所在，而能帮助他们分析问题从而推动其改善与发展。在内审阶段，全面体现内审的目的，帮助内审单位制定规范的内审制度[5]。

最后，充分利用内审清单功能，提升内审工作效率。企业要对内部审计流程进行清晰化，并对检查表格的应用进行统一，同时，内部审计师要掌握编制和应用检查表格的要领和方法，从而提高现场审计的效率。一是能够保证抽样检验的代表性和完全性，检验表上能够反映出有关的样品、抽样数量和抽样方法。二是保证审计师与被审对象密切联系，降低审计师对被审对象的随机性、盲目性。三是在审计师被打断的情况下，能够及时地提示审计师按照事先准备好的内容、目的，对被审计师进行调查、收集证据，以免出现偏差或漏掉的情况。四是为了保证审核程序文件的可追溯性，审查程序清单是最初审核程序的一份，应当保存在档案中，以备查阅。五是核对表格可确定审核途径与政策，保证系统高效地执行审核流程。

三、结语

总之，在当前的市场竞争日趋激烈的情况下，要想保持企业的经营效率，就必须对企业的风险管理体系进行周密的规划与有效的执行。一体化管理体系的建立与实施，使经营过程有了更为系统化的控制手段，为经营过程中的产品质量、生产安全、员工健康、绿色环保、节能环保等方面的建设奠定了基础。企业只有根据自己的规模和特征，将有关的体系标准和管理体系进行有机的整合，并做好日常的运营管理，把一切可能对一体化管理体系造成风险的有关活动都纳入到系统管理的范围内，保证管理体系的有序、完整、高效。唯有以基础为基础，对其进行分析、修正，才能使其不断完善，为企业创造更多的价值。