王竣

（咸陽市高新天然氣集中供熱有限公司，陜西 咸陽 712000）

風險管理起源于20世紀50年代，西方學者將風險管理作為一門管理學科正式引入學術研究領域。初期的風險管理僅對個體風險在不同領域或不同體系內(nèi)分類研究，未能形成系統(tǒng)性的認知和體系化的建設。在我國，關于風險管理的研究起步較晚，早期處于理論的、單一的研究階段，企業(yè)風險防范意識薄弱，風險應對能力不足，缺少管理制度的支撐和信息化建設的投入，忽略了內(nèi)外部環(huán)境對企業(yè)造成的系統(tǒng)性傷害，導致企業(yè)無法做出有效的應對決策。分析風險管理與內(nèi)部控制理論體系，積極探索或優(yōu)化公司治理結構，成為增強企業(yè)競爭的軟實力。

一、風險管理與內(nèi)部控制的關系

（一）風險管理是內(nèi)部控制的方向引導

企業(yè)風險管理指企業(yè)為實現(xiàn)風險管理目標，對風險進行有效識別、分析、預警和應對等管理活動。企業(yè)可以根據(jù)風險的來源、影響、性質和責任主體不同，建立符合企業(yè)管理需要的和適合企業(yè)發(fā)展的風險管理防范模式，對已發(fā)生的風險事件、損失進行分析，從戰(zhàn)略、財務、市場、運營、法律與合規(guī)等方面進行定性和定量分析，將風險控制在可控、可承受范圍內(nèi)，最大限度地規(guī)避、降低或減少風險造成的損失。風險管理相對于內(nèi)部控制，在可行性研究或市場調(diào)研時更早的介入到企業(yè)設計當中，融入企業(yè)戰(zhàn)略規(guī)劃、經(jīng)營管理、財務管理等業(yè)務活動，達到風險管理與內(nèi)部控制相一致的根本目的。因此，風險管理對內(nèi)部控制具有方向性引導。

（二）內(nèi)部控制是風險管理的有力支撐

內(nèi)部控制是全員參與，旨在實現(xiàn)控制目標的過程，是企業(yè)建立和實施規(guī)范管理，合理保證企業(yè)合法合規(guī)經(jīng)營的管控手段，以科學的職責分工和有效的制衡機制將關鍵控制點和控制措施結合，落實責任并有效監(jiān)督評價的重要管理保證。加強內(nèi)部控制的原動力來自企業(yè)內(nèi)部，雖然沒有統(tǒng)一的模式，但良好的企業(yè)文化氛圍和組織結構有利于內(nèi)部環(huán)境的完善，授權管理、合同審查、往來對賬、采購機制等內(nèi)部控制手段的有效實施為風險管理提供有力支撐。

二、企業(yè)內(nèi)部控制與風險管理的現(xiàn)狀

（一）風險管理體系不健全

1．風險管理意識薄弱

我國經(jīng)濟近年來發(fā)展規(guī)模與速度位居世界前列，重視經(jīng)營的同時對風險認識卻不到位，風險意識薄弱。首先，管理者未將風險管理納入企業(yè)戰(zhàn)略規(guī)劃，缺少對風險識別和判斷，缺少面臨風險的心理準備和措施應對；其次，風險與機遇并存，當風險伴隨機遇來一并來臨時，不能預估其產(chǎn)生的效應，無法用科學的方法判斷，進而導致錯失機會。企業(yè)有必要培養(yǎng)風險意識，將利益與風險權衡，制定合理的有利于企業(yè)發(fā)展的戰(zhàn)略決策。

2．風險管理制度不健全

風險管理在企業(yè)中流于領導口頭和書面表述，缺少制度化、規(guī)范化。制度不健全集中表現(xiàn)在籌融資決策、投資決策、擔保業(yè)務、套期保值等方面業(yè)務。制度建設對風險管理起到指引作用。企業(yè)應當在風險監(jiān)測預警、應急處理、風險決策關鍵環(huán)節(jié)先建立起基礎制度，逐步推進、完善、落實。

3．缺少風險管理信息化構建

企業(yè)短期內(nèi)對風險管理的信息化構建投入不能帶來現(xiàn)實的經(jīng)濟利益流入，因此風險管理的信息化構建處于落后或停滯狀態(tài)。沒有設立專門的風險監(jiān)管機構，人員缺乏統(tǒng)一認識，對風險敏感度不足，對風險責任不明確，缺少對風險持續(xù)跟蹤、監(jiān)控和反饋，間歇性風險管理造成缺少風險指標的監(jiān)測、預警基礎數(shù)據(jù)的支撐，無法從系統(tǒng)中進行標準設定和偏離值預警，更無法得到有效分析和評估。故風險管理需要長期、系統(tǒng)、專業(yè)的信息化建設，完善公司治理結構。

（二）內(nèi)部控制管理現(xiàn)狀

1．內(nèi)部控制機構不健全，制度不完善

內(nèi)部控制是現(xiàn)代企業(yè)的重要組成部分，實際工作中內(nèi)控環(huán)境存在監(jiān)事會、董事會等職責權限弱化現(xiàn)象。以董事會為核心的管理責任，以監(jiān)事會為核心的監(jiān)督責任未真正發(fā)揮職能，控股權與經(jīng)營權未實質分離，委托代理關系難以發(fā)揮作用，企業(yè)管理者多依賴于上級部門的文件和規(guī)定，缺少委托代理或職業(yè)經(jīng)理人的專用判斷力。企業(yè)管理缺少基層員工參與，民主意識淡化職責權限不清導致企業(yè)內(nèi)控制度不完善，由下到上的執(zhí)行力不夠。內(nèi)控制度過于粗放，缺乏考核和激勵機制，難以調(diào)動內(nèi)控實施積極性。

2．內(nèi)部控制監(jiān)管滯后，缺乏獨立性

一方面，內(nèi)部控制管理涵蓋預算管理、投資管理、生產(chǎn)管理、營銷管理、財務管理、人力管理等諸多方面，而大多數(shù)企業(yè)內(nèi)控監(jiān)管與日常業(yè)務存在脫節(jié)現(xiàn)象，往往在內(nèi)控審計部門審計或檢查時管理層才能關注、重視內(nèi)部控制問題。重經(jīng)營，輕管理，忽視內(nèi)部控制管理的重要性，缺少事前介入和連續(xù)的監(jiān)管，造成內(nèi)部控制管理缺乏連貫性、完整性、精準性。另一方面，內(nèi)部控制監(jiān)管部門獨立性有待加強。對于其他職能部門而言，獨立、客觀、公正的評價，專業(yè)的分析能力，不與任何職能部門產(chǎn)生信息、數(shù)據(jù)的舞弊行為是監(jiān)管部門的工作職責。在監(jiān)督實施過程中或多或少受到來自上級領導、同級部門的干擾，人為干擾監(jiān)管部門意見的獨立性。

3．內(nèi)部控制守舊，缺少激勵機制

企業(yè)管理不斷優(yōu)化、創(chuàng)新，內(nèi)部控制不應墨守成規(guī)。激勵機制作為內(nèi)部控制考核評價的一部分，在于調(diào)動人為主動性，達到促進企業(yè)目標實現(xiàn)的手段。人，作為企業(yè)活動主導因素，與經(jīng)營者政治文化素質、專業(yè)技能水平、法律意識等息息相關，激勵關系中不論是激勵者，還是被激勵者，落實重點在于激勵計劃的制定和執(zhí)行。缺少內(nèi)部激勵的企業(yè)，突出表現(xiàn)在人才流失、研發(fā)能力薄弱、業(yè)績下滑、工作積極性下降。部分上市公司和國內(nèi)知名企業(yè)將激勵機制在內(nèi)部控制中應用，激發(fā)了公司內(nèi)部活力和潛力，取得超出預期的效果，其經(jīng)驗值得我們學習和研究。因此，固守監(jiān)管職責無法調(diào)動員工的積極性，納入激勵機制才能激發(fā)企業(yè)活力。

（三）缺少專業(yè)化人才培養(yǎng)

風險管理與內(nèi)部控制涵蓋范圍既有重疊又有不同，風險管理需要的是綜合性的、可擴展的多方面人才，涉及專業(yè)更具多樣性。本質上，風險管理是內(nèi)部控制的外延，內(nèi)部控制是風險管理有效性的補充，管理目的相同但審視角度不同，需要具有豐富的工作經(jīng)驗，專業(yè)的判斷能力以及多領域業(yè)務知識支撐。理論的充實不代表實際工作合理應用，就目前現(xiàn)狀而言，實際工作中缺乏風險管理和內(nèi)部控制的專業(yè)人士，需要關注專業(yè)化人才的培養(yǎng)。

三、風險管理與內(nèi)部控制應對策略

（一）建立風險管理體系

1．建立統(tǒng)一的風險管理理念

在現(xiàn)代風險管理理念中，學者們以美國COSO委員會和GARP組織提出全面風險管理框架為基礎，開展風險管理體系研究。通過風險矩陣分析提供可視化風險等級，經(jīng)過定量技術（概率和非概率風險模型）風險量化，將風險描述與關鍵指標聯(lián)系，避免主觀判斷偏差，將風險管理意識、風險管理理念融入日常業(yè)務，從而形成良好的風險管理環(huán)境，增強風險管理意識，促使企業(yè)整體、團隊、個人在風險管理價值觀上的趨同，避免風險策略的激進或保守，合理保證風險管理目標的一致性。

2．建立風險管理組織體系

全面風險管理的必要條件是明確組織架構和職責。組織架構中，公司業(yè)務部門和職能部門作為風險管理的基礎建設，需貫徹公司制度的有效執(zhí)行，完善簽字審批流程；風險管理職能部門應認真審核流程必要的環(huán)節(jié)的把控，形成完整業(yè)務流程；內(nèi)控審計部門和法律事務部門根據(jù)企業(yè)自身經(jīng)營和管理需求出發(fā)，從監(jiān)督、制衡方面保持其評價獨立性，將日常監(jiān)督與專項監(jiān)督有機結合，定期進行自我評價，形成目標設定、風險識別、風險分析、風險應對、風險監(jiān)控、信息溝通和報告、風險管理考核和評價的完整組織體系。

3．建立風險管理制度

企業(yè)應當對風險管理制度實行分級管理，堅持全面性原則、審慎性原則、獨立性原則、有效性原則、適應性原則。引入戰(zhàn)略分析PESTEL分析法，從政治、經(jīng)濟、社會、科技、生態(tài)、法律等方面，綜合分析固有風險和剩余風險，通過計算風險敞口及歷史對比，制定科學的風險應對策略，達到分擔、降低、轉移的目的。

4．加強風險管理信息共享

通過研究風險管理理論，分析風險管理現(xiàn)狀，發(fā)現(xiàn)要提高風險管理效率和質量，必須進行風險數(shù)據(jù)化采集和標準化制定，注重并參考歷史數(shù)據(jù)，加強信息質量、溝通機制、信息反饋。借助網(wǎng)絡媒體獲取外部有效信息，加以篩選和整合，形成企業(yè)信息集成與共享，提高全員風險防范意識。

（二）完善內(nèi)部控制管理機制

1．優(yōu)化內(nèi)部控制環(huán)境

內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎。根據(jù)國家有關法律法規(guī)，建立規(guī)范的治理結構，明確的職責分工，嚴謹?shù)氖跈鄬徟贫?，“三重一大”的集體決策制度執(zhí)行，都是為了建立規(guī)范的內(nèi)控環(huán)境。企業(yè)應結合業(yè)務特點設置內(nèi)部機構，明確職權范圍，實現(xiàn)不相容職務分離。企業(yè)應制定合理的授權審批制度，冗長無效的審批流程浪費企業(yè)資源。企業(yè)應當對各部門業(yè)務活動加強關鍵崗位、關鍵環(huán)節(jié)控制，如：梳理采購流程，建立靈活多樣的采購招投標和定價機制；合理決策投融資和資金調(diào)度，防止決策不當造成資金鏈斷裂，加強合同雙方資質審查和履約能力審查等。企業(yè)應當加強對財政法規(guī)政策的掌握，加強對經(jīng)營財務風險管理的敏感度，發(fā)揮內(nèi)部控制在企業(yè)中作用。優(yōu)化內(nèi)部環(huán)境，使企業(yè)客觀評價現(xiàn)實狀況，合理預測未來趨勢，避免因主觀的判斷錯誤導致企業(yè)失去方向。

2．健全考評和激勵制度

在企業(yè)組織體系中，監(jiān)督、考核、評價、激勵的目的是為企業(yè)內(nèi)部控制有效性服務。通過監(jiān)督，加強業(yè)務流程的授權審批，不相容職務分離，優(yōu)化資產(chǎn)配置；通過考核，定期開展因素分析、對比分析、趨勢分析，發(fā)現(xiàn)運營中存在的問題；通過評價，分析預算執(zhí)行授權和指標落實，監(jiān)督預算執(zhí)行過程，完善獎懲考核；通過激勵，激發(fā)員工工作創(chuàng)新力，吸引高質量人才隊伍加入，提高企業(yè)研發(fā)創(chuàng)新能力，激活企業(yè)發(fā)展內(nèi)驅動力。健全考評和激勵制度，有利于創(chuàng)造良好的企業(yè)文化。

3．持續(xù)加強人才培養(yǎng)與信息化建設

風險管理與內(nèi)部控制并不是獨立體系的存在，與財務管理、人力資源、信息中心、企業(yè)文化共同組成企業(yè)的治理結構。人才的培養(yǎng)需要各領域人員的相互配合，需要各領域之間的相互協(xié)調(diào)，人才的專業(yè)是以縱向審視視角，從風險管理或內(nèi)部控制的專業(yè)角度分析問題，但人才又是橫向跨專業(yè)的，需要具備不同領域知識儲備才能更好完成專業(yè)問題，所以企業(yè)需要加強人才培養(yǎng)。

當今社會，信息技術的應用有利于提升工作效率和管理水平。在風險管理和內(nèi)部控制中，信息數(shù)據(jù)分析已經(jīng)成為常態(tài)化。要將風險與內(nèi)控需求轉化為信息語言、立體模型、圖表數(shù)據(jù)、趨勢演變等，實現(xiàn)數(shù)據(jù)連通的協(xié)同效應，需要不斷進行信息化“硬設備”的建設和人員“軟設備”的建設。

（三）內(nèi)部控制與風險管理的銜接與融合

在內(nèi)部控制與風險管理的研究上，一直存在“等同論”“區(qū)別論”“并行不悖論”的觀點，隨著理論的實踐與應用可以發(fā)現(xiàn)，高質量的內(nèi)部控制對企業(yè)管理形成有效的權力監(jiān)督和制衡，幫助企業(yè)構建良好的公司治理環(huán)境，更好地完成企業(yè)發(fā)展戰(zhàn)略目標與經(jīng)營目標。完善的內(nèi)部控制能夠降低風險發(fā)生的概率，風險管理中識別、分析幫助企業(yè)清楚認識面臨危機，從而采取措施進行風險“降解”，二者目標一致。內(nèi)部控制的過程管控，對內(nèi)部缺陷的評價與整改，幫助管理者正確認識不足，監(jiān)督約束管理行為，有效解決因信息不對稱帶來的資源配置和利用效率問題，降低風險的負面影響，二者相互補充。企業(yè)在發(fā)展過程中，應協(xié)調(diào)處理二者關系，使其有效銜接達到融合、互補。

四、結束語

內(nèi)部控制和風險管理作為公司治理的核心問題，需要優(yōu)秀的管理團隊和先進的管理理念，內(nèi)部控制和風險管理的整合與統(tǒng)一，需要在企業(yè)管理中不斷實踐和探索。企業(yè)的風險意識和抗擊能力是提高企業(yè)競爭實力的具體措施，內(nèi)部控制是苦練內(nèi)功的過程，以此為抓手進行企業(yè)組織內(nèi)部的提升，對企業(yè)管理水平和可持續(xù)發(fā)展具有重要的指導意義。