风险管理导向型内部控制体系的构建

第第页风险管理导向型内部控制体系的构建【摘要】通过三鹿奶粉事件分析切入，认识企业内部控制与风险管理的重要性。分析我国企业在风险管理方面主要存在五个问题。提出风险管理导向型内部控制体系构建途径，形成一整套风险评估、预警和回应机制，从而实现企业价值最大化。

【关键词】内部控制；风险管理；体系构建；企业价值

1.三鹿奶粉事件中内部控制存在的风险缺陷和反思

1.1三鹿奶粉事件回顾

三鹿奶粉事件引起广泛关注可以追溯到2008年9月11日。中国卫生部当晚指出，甘肃等地报告多例婴幼儿泌尿系统结石病例中，有很多患病儿童有食用三鹿牌婴幼儿配方奶粉的历史。9月12日，三鹿向公众宣称有不法奶农投毒。9月15日，2名婴幼儿因病致死，截止当时，共有患儿1253名。

事实上早在2008年6、7月，就有顾客投诉三鹿奶粉可能存在污染，但三鹿集团决策层担心顾客对三鹿及其产品失去信心，于是采取了铤而走险的办法，继续生产和销售问题奶粉长达2个月。真相大白后，顾客基本上对三鹿集团及其产品失去了信心。

由于该企业及其当地政府在内部控制中采取的不当措施，造成企业和当地政府官员下台，甚至面临牢狱之灾，更是造成该企业破产，当地经济损失严重。

1.2事件反思：内部控制的设计应更加关注企业风险

“大头娃娃”奶粉事件。反映出企业内部风险防范意识薄弱，忽视了产品的质量问题，错失了稳固河山的历史机遇。盲目扩张导致了资金投入、机器设备硬件设施跟不上，内部管理软件相对滞后，埋下了诸多的安全隐患。面对这种组织结构的大变化，建立有效应对风险的内部控制体系更尤为重要。结合美国ERM框架的新变化来看，ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。因此，内部控制的动力来自企业对风险的认识和管理，内部控制的设计应更加关注企业风险。

2.我国企业现行内部控制体系在应对风险方面存在的问题

2.1对企业风险管理认识不足，风险意识不强

随着市场竞争的深入，企业规模的扩大，我国大部分企业的高层管理人员缺缺乏风险管理意识，没有积极进行风险管理工作。主要表现在两个方面：一是企业中的风险管理活动缺乏连续性；二是企业缺乏对风险进行定期复核和再评估。而正因为此导致企业蒙受巨大损失。

2.2缺乏有效的风险评估预警机制

我国企业缺乏事前风险评估机制，往往出现盲目扩张。企业风险评估机制的缺失，造成企业职能部门之间对风险缺乏共同认识和对企业风险管理的有效协调。据了解，兖矿集团这样的省国资委直属企业，在国际煤炭行情的驱使下，盲目扩张，建设贵州能化、新疆能化等对外开发单位，但缺乏对当地存在各种风险的评估，导致入不敷出，损失严重。

2.3企业风险管理组织结构不完善

我国大多数企业存在较为严重的结构问题，导致各个部门和岗位的人员对操作程序和工作职责不清晰，风险承担的主体不明确，因而使得独立的风险管理部门难以形成。即便是成立了风险管理部门，也没有专职的风险经理负责，风险承担的主体也不明确，无力承担起具有权威性的、独立的、有效管理企业风险的职责。

2.4信息系统在应对风险方面作用有限

三鹿集团的发展已经进入信息化阶段，ERP系统也在逐渐普及之中，从经营活动中获取相关数据并有效地识别、分析风险事项，是风险管理信息系统的关键。然而，这些软件系统由于制度的约束以及自身存在的一些问题，导致其未能在风险管理方面充分发挥作用。不能做到风险数据的实时采集、处理和报告。

2.5内部审计未能全面参与风险管理

内部审计在我国现代审计体系中具有相对独立的地位，它是一种系统内部的高层次的经济监督，因而内部审计人员能够充当企业长期风险策略与各种决策的协调人，通过对长期计划与短期计划的调节，调控、指导企业的风险管理策略。所以，内部审计更应该参与风险管理。而当前内部审计的工作范围往往局限于财务审查，重在进行财务收支的合法性与合规性。职能、地位的特殊造成内部审计参与风险管理的困境。

3.构建风险管理导向型内部控制体系的途径

企业风险管理是一种全新的管理理念，在现阶段，我国企业对其还没有足够的认识和实践经验。因此，必须借鉴COSO关于《企业风险管理――整体框架》的理论，结合我国企业实际，不断探索并逐步完善突出风险管理的内部控制系统。

3.1强化风险意识，提高管理水平

必须加强企业的风险意识，公司及上级管理部门应对广大公司管理人员和公司员工进行知识培训，强调内部控制和风险管理的重要性，形成一种人人参与控制、处处留意风险的良好人文环境，营造具备风险意识的企业文化氛围。重视对单位负责人进行风险管理的宣传。使企业由上而下共同执行内部控制要求、从而推动我国企业内部控制健康发展。

3.2识别重要风险，建立风险评估、预警和回应机制

企业的风险管理体系主要由风险管理机制、风险识别、风险衡量、风险处理等内容构成。只有在对风险进行识别和评估的基础上，才能够进一步针对不同的风险做出适当的反应。这一过程包括以下方面：首先要建立风险识别体系，完善风险预警系统；其次建立风险评估机制，正确评价风险水平；最后须建立有效的风险回应机制，增强抗险能力。

3.3建立以董事会制度为核心的风险管理结构

我国企业应建立和完善以董事会制度为核心的现代风险管理结构，形成董事会、监事会和经理层高效协调、制衡运转的监督约束运营机制，包括：董事会对经理层的监督机制，董事会对经理层的激励机制，董事会的决策机制，监事会对董事会和经理层监督机制。

3.4改进企业风险管理信息系统

对于风险管理信息系统，应当重视完善内部牵制制度和建立以安全审计为核心的风险评估和应急处理机制。具体包括：

（1）通过内部分工，实现相互牵制。

（2）确定各类人员对不同数据的访问权限。

（3）完善应用控制及日常管理制度，以便检测、预防和更正错误。

（4）建立有效的安全控制制度。

（5）加强安全审计，并对信息系统的安全状况做出相应的评价。

（6）预测信息失真的风险，并有针对性地建立应急处理机制。

3.5强化内部审计在风险监控方面的作用

风险导向内部审计是指内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，将风险管理原则贯穿于审计的全过程。

风险管理成为组织中的关键流程，它既可以作为公司管理者的指南，也可用作通报企业风险，进而满足控制、风险管理、信息交流、监督等多方面的要求。风险导向内部审计和现代内部控制两个要素以风险作为共同的语言，相互协同作用，其目标都在于增加企业价值，从而有力地促进内部控制的监督和再控制。

4.结论

随着经济的不断发展，企业管理层和股东的不断重视，相信内部控制体系将向风险管理导向型内部控制体系转换，内部控制的设计也会更加关注企业整体目标运营的风险，形成一整套风险评估、预警和回应机制，从而促进企业实现价值最大化。

【参