关于对企业风险管理与内部控制融合的运用与研究.docx

关于对企业风险管理与内部控制融合的运用与研究 摘要：现代企业在错综复杂的外部环境下参与市场竞争，必然会面临很多风险。这些风险既包括企业进行经营活动时面临的经营风险、财务风险、市场风险等，也包括公司治理中委托代理关系带来的道德风险、逆向选择的风险。面对纷杂的风险，如何全面管理企业风险以实现企业战略就显得异常迫切。本文主要从历史、实践两个维度来探讨企业风险管理与内部控制的融合，并结合笔者自身的经验，就如何做好二者的融合提供一些建议。 下载 关键词：企业风险管理 内部控制 融合 从历史上来看内部控制理论的起源要比风险管理的理论早很多，二者之间的关系一直是理论界的研究热点，在很多研究文献中，内部控制和风险管理常有混用，甚至有学者认为，内部控制就等于风险管理。直接导致内部管控和内部风险管理产生直接联系的公开文件是1992年由COSO所提出的内部控制整体框架，在国际上被普遍认同的COSO框架中，内部控制有5个要素组成，风险管理由8个要素组成，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个组成要素是重合的；内部控制的一个基本作用是控制风险，风险管理则是企业为了对所面临的风险进行识别、评估和控制，最终目标也是控制风险，二者的总体目标基本是一致的；内部控制与风险管理都提出该管理活动是由董事会、经理层和全体员工共同参与实施的过程，其最终责任人都是管理者。 就我国风险管理和内部控制发展的进程看，国资委启动全面风险管理在先，而五部委组织编制的企业内部控制基本规范则充分吸收了全面风险管理的理念和方法，进一步强调内部控制与风险管理的统一，要求企业建立合理的内部控制，提升风险防范能力。 由此可见，内部控制和风险管理同属于企业经营管理的范畴，二者互为前提，相辅相成，缺一不可。 下面，将结合笔者所在公司开展全面风险管理与内部控制的具体实践，就二者在融合应用时应关注的几个关键因素进行分析。 一、树立“风险管理内部控制”循环工作思维模式 笔者在企业管理实践过程中体会到，内部控制和风险管理工作的出发点和落脚点都是控制风险。风险管理更倾向于战略层面，是对方向、政策的把握，而内部控制更倾向于战术层面，是手段、措施。在企业管理的不同层级，内部控制和风险管理相互依存但重要性次序可能不同。在战略管理层面，企业需要结合自身经营管理目标，梳理、分析可能导致目标偏离的风险事件，并根据风险发生的可能性和影响程度，建立适当的发展战略，这一过程中风险管理发挥主导作用，内部控制仅起到配合作用。在具体业务流程管理层面，这一角色逐步逆转，管理者必须综合运用内部控制和风险管理，通过风险管理辨识业务流程各环节中存在的风险事件，并按照内部控制的要求建立风险管理策略，在这一过程中是由内部控制最终发挥主导作用，风险管理则起到配合作用。 风险管理从辨识风险出发，经过评估风险、确定风险承受度，最终建立风险管理策略，而内部控制则从流程中的风险点起步，按照内部控制的规范要求，针对各项风险点建立相应的内部控制措施并定期评估，二者的工作过程在实际管理过程中形成了“风险管理内部控制”的工作循环。 基于这种思维模式，笔者所在公司从顶层设计开始，按照“风险管理内部控制”工作循环实施内部控制和风险管理工作，在对各项风险发生的可能性和影响程度进行定性和定量分析的基础上，根据企业实际情况确定相应的风险承受度，并以此为目标，按照内部控制的规范要求，确定不同的风险应对策略和相应的内部控制措施，同时定期组织对各项业务流程内部控制设计与运行的有效性予以评价。目前公司已初步实现了风险管理和内部控制相互融合的有机循环，为公司管理层提供决策支持，拉动管理提升，促进企业实现风险管理从战略规划到战术行动的管理“落地”。 二、基于流程视角的风险管理与内部控制融合 从COSO框架的定义中，可以看出内部控制和风险管理都被明确为一个“过程”，而不是静止的事物，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，因此内部控制和风险管理最好是融入于企业日常管理流程中，形成一种常规运行的管理机制，主要步骤如下： （一）结合企业目标辨识风险 中央企业全面风险管理指引中对风险的定义是“未来的不确定性对企业实现其经营目标的影响”。由此可见，风险与企业目标密切相关，企业应结合经营目标、战略、经营计划，对内外部各种可能影响目标实现的事件进行系统的分析，确认哪些潜在的事件会影响到目标的实现，从而辨识出未来企业经营管理所面临的各类风险。 笔者所在公司为大型航空发动机制造企业，其主要经营目标就是制造出质量合格、成本适当的航空发动机，一旦发生生产系统不稳定、质量检测不细致、财务管理不健全、采购工作不及时、国家政策和国际环境发生剧烈变化等风险事件，无疑将导致公司生产经营偏离既定目标，而由于军品订单相对稳定，公司在销售业务和客户管理过程中面临的风险相对较小。由此可以确定公司的一级风险框架主要为生产运营风险、质量风险、财务风险、采购风险、战略风险等。在此基础上，可以对一级风险做进一步的细化和分解，最终形成公司的风险事件库，如表1所示。 （二）在流程环境中确定风险承受度 在流程管理理念中，客户需求是其管理的出发点和最终目标，要使内部控制、风险管理与流程相融合，最重要的理念就是从客户的角度对风险进行分析，并在流程环境中从总体上衡量各项风险的承受度。 笔者在公司管理中发现，按业务职能建立的管理体系往往有突出部门职责而损害流程整体目标的缺陷，例如：为确保采购风险降至最低，法律风险管控部门提出了一系列的供应商资质要求，采购部门采取了竞争性谈判的方式选择供应商并确定采购价格，财务部门提出了付款方式的约束条件，各部门分别在采购流程的不同阶段履行部门职责，防范采购风险。然而当生产过程中出现特殊情况需要紧急采购时，若各部门只考虑自身利益，如法律风险管控部门坚持履行供应商资质审查程序而拒绝简化程序、采购部门要求必须竞争性谈判而不是直接采购、财务部门完全不同意提供超过常规水平的预付款以加快供货速度，只能导致采购活动延迟，生产目标难以实现。因此单独管控一项风险毫无意义，只有将一条流程中各项风险管控水平进行总体平衡，确保在实现流程目标的前提下，各项风险在内部控制体系的管理下处于在可控范围之内，且该流程总体风险同样可控，才能够被认为是有效的内部控制和风险管理。 （三）明确风险应对策略，制定内部控制措施 在确定各项风险承受度之后，应按照内部控制的规范要求，有针对性地提出相应的风险管理策略。目前被广泛采用的风险管理策略主要包括风险回避、风险控制、风险分散与中和、风险承担、风险转移等。实践经验证明，建立风险应对策略是企业从风险管理到内部控制的转折点，企业的管理者应在风险应对策略指出的管理方向上，按照内部控制体系的管理要求，制定或完善内部控制措施，确保各项风险的管理最终能够通过内部控制措施与业务流程有效融合，形成企业内部控制和风险管理的整合框架。 三、总结 总体而言，内部控制和风险管理逐渐呈现相互融合的发展趋势，即以风险管理为主导，将内部控制和风险管理融合，建立适应企业风险管理的内部控制体系，促进企业提升风险辨识的灵敏度，推动内部控制管理从事后的监控和完善走向事前的预警和事中的防范，从而最终帮助企业提高运行效率与效果。笔者从事财务工作多年，深感将二者融合使用，更符合成本效益原则，可以避免职能交叉、资源浪费、重复劳动，降低显性和隐性成本，管理更高效，完全符合现代企业对价值创造和管理的根本追求。因此，企业管理者在构建内部管理体系时，应充分考虑内部