任孝臣　曹愛靜

【摘 要】通過三鹿奶粉事件分析切入，認識企業(yè)內(nèi)部控制與風險管理的重要性。分析我國企業(yè)在風險管理方面主要存在五個問題。提出風險管理導向型內(nèi)部控制體系構建途徑，形成一整套風險評估、預警和回應機制，從而實現(xiàn)企業(yè)價值最大化。

【關鍵詞】內(nèi)部控制；風險管理；體系構建；企業(yè)價值

1.三鹿奶粉事件中內(nèi)部控制存在的風險缺陷和反思

1.1三鹿奶粉事件回顧

三鹿奶粉事件引起廣泛關注可以追溯到2008年9月11日。中國衛(wèi)生部當晚指出，甘肅等地報告多例嬰幼兒泌尿系統(tǒng)結石病例中，有很多患病兒童有食用三鹿牌嬰幼兒配方奶粉的歷史。9月12日，三鹿向公眾宣稱有不法奶農(nóng)投毒。9月15日，2名嬰幼兒因病致死，截止當時，共有患兒1253名。

事實上早在2008年6、7月，就有顧客投訴三鹿奶粉可能存在污染，但三鹿集團決策層擔心顧客對三鹿及其產(chǎn)品失去信心，于是采取了鋌而走險的辦法，繼續(xù)生產(chǎn)和銷售問題奶粉長達2個月。真相大白后，顧客基本上對三鹿集團及其產(chǎn)品失去了信心。

由于該企業(yè)及其當?shù)卣趦?nèi)部控制中采取的不當措施，造成企業(yè)和當?shù)卣賳T下臺，甚至面臨牢獄之災，更是造成該企業(yè)破產(chǎn)，當?shù)亟?jīng)濟損失嚴重。

1.2事件反思：內(nèi)部控制的設計應更加關注企業(yè)風險

“大頭娃娃”奶粉事件。反映出企業(yè)內(nèi)部風險防范意識薄弱，忽視了產(chǎn)品的質量問題，錯失了穩(wěn)固河山的歷史機遇。盲目擴張導致了資金投入、機器設備硬件設施跟不上，內(nèi)部管理軟件相對滯后，埋下了諸多的安全隱患。面對這種組織結構的大變化，建立有效應對風險的內(nèi)部控制體系更尤為重要。結合美國ERM框架的新變化來看，ERM框架要求董事會與管理層將精力主要放在可能產(chǎn)生重大風險環(huán)節(jié)上， 將風險管理作為內(nèi)部控制的最主要內(nèi)容， 這是一個革命性的變化。因此，內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，內(nèi)部控制的設計應更加關注企業(yè)風險。

2.我國企業(yè)現(xiàn)行內(nèi)部控制體系在應對風險方面存在的問題

2.1對企業(yè)風險管理認識不足，風險意識不強

隨著市場競爭的深入，企業(yè)規(guī)模的擴大，我國大部分企業(yè)的高層管理人員缺缺乏風險管理意識，沒有積極進行風險管理工作。主要表現(xiàn)在兩個方面：一是企業(yè)中的風險管理活動缺乏連續(xù)性；二是企業(yè)缺乏對風險進行定期復核和再評估。而正因為此導致企業(yè)蒙受巨大損失。

2.2缺乏有效的風險評估預警機制

我國企業(yè)缺乏事前風險評估機制，往往出現(xiàn)盲目擴張。企業(yè)風險評估機制的缺失，造成企業(yè)職能部門之間對風險缺乏共同認識和對企業(yè)風險管理的有效協(xié)調(diào)。據(jù)了解，兗礦集團這樣的省國資委直屬企業(yè)，在國際煤炭行情的驅使下，盲目擴張，建設貴州能化、新疆能化等對外開發(fā)單位，但缺乏對當?shù)卮嬖诟鞣N風險的評估，導致入不敷出，損失嚴重。

2.3企業(yè)風險管理組織結構不完善

我國大多數(shù)企業(yè)存在較為嚴重的結構問題，導致各個部門和崗位的人員對操作程序和工作職責不清晰，風險承擔的主體不明確，因而使得獨立的風險管理部門難以形成。即便是成立了風險管理部門，也沒有專職的風險經(jīng)理負責，風險承擔的主體也不明確，無力承擔起具有權威性的、獨立的、有效管理企業(yè)風險的職責。

2.4信息系統(tǒng)在應對風險方面作用有限

三鹿集團的發(fā)展已經(jīng)進入信息化階段，ERP系統(tǒng)也在逐漸普及之中，從經(jīng)營活動中獲取相關數(shù)據(jù)并有效地識別、分析風險事項，是風險管理信息系統(tǒng)的關鍵。然而，這些軟件系統(tǒng)由于制度的約束以及自身存在的一些問題，導致其未能在風險管理方面充分發(fā)揮作用。不能做到風險數(shù)據(jù)的實時采集、處理和報告。

2.5內(nèi)部審計未能全面參與風險管理

內(nèi)部審計在我國現(xiàn)代審計體系中具有相對獨立的地位，它是一種系統(tǒng)內(nèi)部的高層次的經(jīng)濟監(jiān)督，因而內(nèi)部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調(diào)人，通過對長期計劃與短期計劃的調(diào)節(jié)，調(diào)控、指導企業(yè)的風險管理策略。所以，內(nèi)部審計更應該參與風險管理。而當前內(nèi)部審計的工作范圍往往局限于財務審查，重在進行財務收支的合法性與合規(guī)性。職能、地位的特殊造成內(nèi)部審計參與風險管理的困境。

3.構建風險管理導向型內(nèi)部控制體系的途徑

企業(yè)風險管理是一種全新的管理理念，在現(xiàn)階段，我國企業(yè)對其還沒有足夠的認識和實踐經(jīng)驗。因此，必須借鑒COSO關于《企業(yè)風險管理——整體框架》的理論，結合我國企業(yè)實際，不斷探索并逐步完善突出風險管理的內(nèi)部控制系統(tǒng)。

3.1強化風險意識，提高管理水平

必須加強企業(yè)的風險意識，公司及上級管理部門應對廣大公司管理人員和公司員工進行知識培訓，強調(diào)內(nèi)部控制和風險管理的重要性，形成一種人人參與控制、處處留意風險的良好人文環(huán)境，營造具備風險意識的企業(yè)文化氛圍。重視對單位負責人進行風險管理的宣傳。使企業(yè)由上而下共同執(zhí)行內(nèi)部控制要求、從而推動我國企業(yè)內(nèi)部控制健康發(fā)展。

3.2識別重要風險，建立風險評估、預警和回應機制

企業(yè)的風險管理體系主要由風險管理機制、風險識別、風險衡量、風險處理等內(nèi)容構成。只有在對風險進行識別和評估的基礎上，才能夠進一步針對不同的風險做出適當?shù)姆磻?。這一過程包括以下方面：首先要建立風險識別體系，完善風險預警系統(tǒng)；其次建立風險評估機制，正確評價風險水平；最后須建立有效的風險回應機制，增強抗險能力。

3.3建立以董事會制度為核心的風險管理結構

我國企業(yè)應建立和完善以董事會制度為核心的現(xiàn)代風險管理結構，形成董事會、監(jiān)事會和經(jīng)理層高效協(xié)調(diào)、制衡運轉的監(jiān)督約束運營機制，包括：董事會對經(jīng)理層的監(jiān)督機制，董事會對經(jīng)理層的激勵機制，董事會的決策機制，監(jiān)事會對董事會和經(jīng)理層監(jiān)督機制。

3.4改進企業(yè)風險管理信息系統(tǒng)

對于風險管理信息系統(tǒng)，應當重視完善內(nèi)部牽制制度和建立以安全審計為核心的風險評估和應急處理機制。具體包括：

（1）通過內(nèi)部分工，實現(xiàn)相互牽制。

（2）確定各類人員對不同數(shù)據(jù)的訪問權限。

（3）完善應用控制及日常管理制度，以便檢測、預防和更正錯誤。

（4）建立有效的安全控制制度。

（5）加強安全審計，并對信息系統(tǒng)的安全狀況做出相應的評價。

（6）預測信息失真的風險，并有針對性地建立應急處理機制。

3.5強化內(nèi)部審計在風險監(jiān)控方面的作用

風險導向內(nèi)部審計是指內(nèi)部審計人員通過對當前的風險分析確保其審計計劃與經(jīng)營計劃相一致，將風險管理原則貫穿于審計的全過程。

風險管理成為組織中的關鍵流程，它既可以作為公司管理者的指南，也可用作通報企業(yè)風險，進而滿足控制、風險管理、信息交流、監(jiān)督等多方面的要求。風險導向內(nèi)部審計和現(xiàn)代內(nèi)部控制兩個要素以風險作為共同的語言，相互協(xié)同作用，其目標都在于增加企業(yè)價值，從而有力地促進內(nèi)部控制的監(jiān)督和再控制。

4.結論

隨著經(jīng)濟的不斷發(fā)展，企業(yè)管理層和股東的不斷重視，相信內(nèi)部控制體系將向風險管理導向型內(nèi)部控制體系轉換，內(nèi)部控制的設計也會更加關注企業(yè)整體目標運營的風險，形成一整套風險評估、預警和回應機制，從而促進企業(yè)實現(xiàn)價值最大化。

【參考文獻】

[1]楊博.中國企業(yè)基于風險管理視角的內(nèi)部控制體系構建[J].北京市經(jīng)濟管理干部學院學報，2009，（2）.

[2]劉今秀.建設以風險管理為導向的企業(yè)內(nèi)部控制體系[Z].中華通訊，2009，（33）.

[3]劉偉杰等.構建風險導向的內(nèi)部控制[M].北京：中信出版社，2009.