陈君

摘要：随着企业规模的不断扩大，加强全面风险管理和内部控制是企业健康、可持续稳定发展的必然要求，通过对其概念和理论特性的阐述，分析其管理思路的变化和内在关系，结合企业实施情况和特点，提出未来全面风险管理内控的着力点。

关键词：企业 全面风险管理 内部控制 体系

一、全面风险管理和内部控制概念

（一）全面风险管理的概念

全面风险管理是一个持续的实施过程，紧密结合在企业经营战略的设定之中，是企业的董事会、管理层和其他员工共同参与的协作执行，应用于企业的战略制定和企业的各个部门及各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提供合理保证。

根据企业管理层经营的方式划分，全面风险管理包括八个要素，内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控，上述要素之间相互关联，相互协作，始终贯穿于企业生产经营活动中。

（二）内部控制的概念

内部控制是一个动态的全过程，包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素，体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，有利于梳理全面、全过程控制的理念。

笔者认为，内部控制的基本出发点是以预防为主，贯穿于企业生产经营的始终，内部控制需通过事前、事中、事后的过程性的控制手段，对内部控制设计及执行过程进行评估，从中获得当前内部控制体系的有关信息，及时对内部控制体系进行修订、完善和补充，确保企业管理的完整性，有利于充分发挥审计职能、提供各方决策依据等内容，以达到整体控制的效果。

二、全面风险管理和内部控制的关系

全面风险管理与内部控制既相互联系又存在一定差异，具体情况如下。

（一）管控实施主体一致

从实施主体上看，企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素，体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，有利于梳理全面、全过程控制的理念。

笔者认为，内部控制的基本出发点是以预防为主，贯穿于企业生产经营的始终，内部控制需通过事前、事中、事后的过程性的控制手段，对内部控制设计及执行过程进行评估，从中获得当前内部控制体系的有关信息，及时对内部控制体系进行修订、完善和补充，确保企业管理的完整性，有利于充分发挥审计职能、提供各方决策依据等内容，以达到整体控制的效果。

二、全面风险管理和内部控制的关系

全面风险管理与内部控制既相互联系又存在一定差异，具体情况如下。

（一）管控实施主体一致

从实施主体上看，企业风险管理和内部控制管控主体都是企业董事会管理层及各员工，其管控主体为公司全体员工，为公司战略目标实现提供合理保证。

（二）管控范围相互包含

从管控范围上看，企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一，而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能，而全面风险管理贯穿于企业经营管理过程的各个方面。

（三）管控视角侧重不同

从管控视角上看，全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险，侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险，侧重于财务和运营。

（四）管控目的存在差异

从管控目的上看，企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇，规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。

综上所述，能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素，进行准确全面的度量和评估，建立初始信息框架，是全面风险管理工作流程起始点，因此，要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上，提出各种应对措施及方法，内部控制措施其必要性与风险系数呈正相关的关系，并依据风险内容制定控制机制与实施，企业在生产运营管理中，通过使用具体的内部控制措施的有效工具，对各类风险进行控制、评估，从而监控管理潜在的各类风险爆发隐患。

三、企业内部控制体系实施

随着国家有关部门和资本市场监管要求日趋严格，以及全面风险管理与内部控制理论的特性，为企业建立风险管控体系提供了指导依据。同时，将风险管理理念列为管理重点，以有效的内部控制为基础，科学融合了现代企业管理体系中的风险管理理念，促使企业充分审视、完善和加强自身内部控制管理工作。

建立以风险管理为导向的内部控制体系，从而不断提升企业自身的风险管控能力，其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。

（一）基于财务报告相关基础的SOX内控体系

初步建立以《萨班斯》财务报告为基础的一套内控体系，主要关注内控组织和制度的建设，完成体系的搭建，内外部审计中，均顺利过关，遵循工作总体有效，主要建设效果如下。

1.搭建内部控制体系组织架构和体系

内控体系从组织架构上实行两条线管理机制。一方面，财务部门作为内控职能管理部门与业务部门（虚拟团队）作为运动员，分别负责公司内控体系的设计和执行；另一方面，内审部及外部审计师作为裁判员，负责内控体系的监督和检查。

按照内部控制建设目标和原则，通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设，完善了基本的内部控制设计，业务流程范围覆盖了企业所有业务部门，形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点，形成内部控制手册和矩阵。

2.梳理规范业务操作

梳理及规范了业务执行层面各类操作，实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估，通过内控文档的优化更新及内控制度办法的建立完善了制度设计，通过明确落实关键控制点责任部门和责任人保证执行落地，通过内外部内控审计测试及业务自查加强了监督检查力度，通过定期内控体系建设情况报告形式明确了管理要求。

3.提升风险管理意识

通过结合基于财务报告相关的内控建设初步的风险管理体系，深化了内控的管理细度，实现了将与财务报告相关的内控要求融入日常工作，与业务运营融合，提升了业务执行效率与效果，增强了风险管理意识。

4.内部控制落实

企业通过部门层面内控常态化管理项目的实施，将公司层面的控制落实到部门层面，控制的执行更加明确，转换部门角色，把部门由受控主体转变为控制的主体，形成部门内控闭环管理体系，实现部门内部控制的建立、执行、测试及跟进闭环管理，将控制真正融入到日常工作之中，避免内控管理与生产管理“两张皮”。同时，建立并完善内部信息沟通渠道即内控月报制度，内控月报涵盖了各部门日常工作中涉及的相关内控工作，实现与公司内控职能管理部门财务部的有效沟通。

5.加强内控执行监督

为加强对内控业务执行的监督力度与执行效果，设置考核体系和评价体系，企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式，以加强业务部门对内控管理工作的重视程度；在日常监督检查方面，采取了部门层面内控闭环管理体系，通过明确各部门内控自测要求，促进业务部门开展自测，并与内外部审计等检查实行有效衔接，主动发现风险，从而达到关注重点、聚焦实质的目标，将内控风险管理工作和业务管理工作有机的结合在一起。

（二）以风险为导向、面向业务运营的全面内控体系

开展企业层面的风险评估，编制全面风险评估报告，全面优化SOX内控，梳理、搭建业务风控框架，以风险管理控制为核心，面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设，建立全面内控体系，其主要效果如下。

1.搭建业务框架

内控体系框架不再以存货、资金等会计视角为主线，而是从市场营销、采购等公司具体业务视角搭建。同时，从全生命周期出发，在各关键环节设置数据稽核的控制要求，区分实物管理和数据管理采集稽核样本，从而加强全流程的风险管理控制，提升数据真实性。

2.增设关键控制，注重前后评估

一方面，由于业务合作形式日趋多样，多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如，对于代销商与营业厅合作业务，对代管存货明确了控制措施，明确控制要求；另一方面，结合原则性控制要求，针对具体方式进一步细化控制要求，提高关键环节控制力度。如，对于采购业务，鉴于采购方式及业务流程不同，区分了招标采购、非招标采购与集中采购三类模式，细化控制要求。

根据业务流程进行梳理发现，部分业务流程未明确事前评估及事后监控的闭环要求。基于此，在业务流程评估的基础上，对部分业务流程增加了前后评估环节，提升了效率效果。

3.合并同质控制

通过长期的业务实践来看，对于同类业务，放在不同的流程中，出现了不同业务部门的认识不统一，导致管理方式不一致。通过业务流程的删繁就简，归并整理了同类型业务控制。

4.梳理标准规范

考虑系统维护量增加，效率降低，以及未来的可扩展性，兼顾控制基线要求，适当强化部分控制，为不断增多的系统提供统一、标准的控制规范，统一了各信息系统的整体控制要求。此外，通过梳理与财务报告相关性系统，考虑其是否产生计费话单或生成财务数据，是否传输或存储财务数据，对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴，而是纳入日常管理流程。

5.实施内控系统固化

伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善，内控制度和流程相对明确，内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中，将内部控制矩阵中的关键控制点在业务系统中予以固化，以建立常态化的内控执行体系，既是进一步改善内控措施执行的效率和效果，又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势，并为业务的健康成长和管理效率的提升提供支撑保障。

（三）以全面风险管理为视角的内控体系

遵循COSOII框架的全面风险管控体系，组织开展重大风险管控项目试点，促进风险管理工作与业务的深度融合，主要关注风险评估和风险应对，实现向全面风险管理过渡，不断完善其风险体系和内控体系建设，构建与以全面风险管理视角的内控体系，其主要建设效果如下。

1.深化风险文化

作为企业文化建设的重要部分，企业已将风险管理文化建设纳入企业文化标杆管理体系，从制度层面上保障风险管理文化的建设，并将风险管理与绩效考核相结合，对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚，促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量，分别通过自上而下和由点及面的推动方式，传播公司的风险管理文化。通过风险管理文化建设与培训，风险管理意识日趋深入人心，风险文化逐步形成。

2.构建风险体系

企业以国资委发布的《中央企业全面风险管理指引》中确定的分类为参考，结合企业行业特点及其实际业务情况，主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。

全面风险管理工作从上述六类风险角度出发，营造企业自身文化；梳理公司各业务和内外部环节存在的风险，健全风险防范制度，构建风险防范体系。通过与利益相关方的沟通，提升公司形象，加强公司的廉政建设。

首先，企业根据业务发展需求，围绕中心，服务大局，联系实践，落实企业文化规划，完成企业文化发展规划，提升企业文化知晓率和认同度。

其次，企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节，提升全员信息安全意识，以风险管理为核心开展信息安全管理工作。

再次，企业通过加强反腐倡廉建设，廉洁自律，强化纪检监察、内审、安全生产、法律和社会责任风险管理，构建全面风险管理体系。

最后，加强利益相关方沟通管理和需求回应，全面提升社会形象。

企业通过上述措施制订执行全面风险管理工作计划，明确责任，评估各项风险发生的可能性和发生后对公司的影响程度，并对风险的重要性程度排序，确定公司面临的各种风险，细化落实相关计划与措施，定期开展回顾总结，监督执行情况、提出改进建议，完善风险管理的闭环管理机制，将风险管理的工作要求与业务运营管理相融合，切实做好日常的风险管理控制。

3.提升管理水平

通过规范业务流程，促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段，实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上，通过风险量化分析工具及效益评价开展风险评估，建立风险评估标准完善了制度设计，通过专项风险管理加强执行，建立风险信息数据库方式增强监督检查重点，通过定期编制全面风险管理报告提升风险管理水平。

4.关注重点风险，内控业务对标

随着企业管理日益精细化，相关内控要求与业务制度也在持续优化更新。在生产经营过程中，运用正向、逆向思维，梳理内部控制制度和业务管理制度，内控制度设计覆盖业务管理全过程，关注重点高风险和舞弊领域，业务制度是内控制度执行依据，内控制度是将业务制度中与内控相关条款归纳、整合。基于此，从内控合规角度出发，查找设计不合规或两者不一致的内容，进而完善内控要求与业务制度，实现全部内控业务流程对标，并将此项工作纳入内控常态化管理工作范围，不断完善内控体系。

上述内控体系特点为，建立企业统一的、标准化的内控手册和矩阵；控制点要求落实到具体部门和责任人，确保有效落地执行；内控管理执行部门和风险管理监督部门各司其职，相互制衡；全面覆盖涉及企业所有业务单元，涵盖生产、市场和管理等各业务线条；采用风险评估的方法，以风险为导向，关注关键环节风险管控；将内控与业务活动的紧密融合，避免“两张皮”；利用信息化手段固化内控要求，充分发挥信息系统优势。

四、未来全面风险管理内控体系的实施建议

（一）将企业风控管理和战略管理结合在一起

战略管理、风险管理是企业整个治理过程中的重要环节，企业战略管理的终极目标是为了实现企业价值的可持续增长，企业价值创造的路径是“股东价值→客户价值→业务流程→核心资源”，所以企业必须具有高效、快捷、有可靠质量的业务管理流程，是企业价值链的形成途径，企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策，并且企业还需结合已确定的内部控制体系建设规划，审核建设方案和实施计划，监督内部控制管理机制的日常运行和持续改进，从而实现自上而下的风控管理与战略管理相结合的管理机制。

为实现企业战略目标，一方面将风控管理偏好和企业的战略结合在一起，将企业成长、风险和收益联系起来，增加风控反应决策，使企业的经营意外和损失最小化，减少企业生产、运营管理风险盲点；另一方面确认和管理企业的总体风险，合理配置风控管理领域的资源，抓住机遇，针对多重风险提供完整的应对反应方案。

（二）全员参与自主风控

全面风险管理是长期性工作，涉及企业生产和管理整个过程，需要全员上下共同参与实施，也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求，评估企业关键性业务的状态，避免业务执行和风控执行信息不对称；实行自主动态风控管理，使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求，从而不断提升全员风险管控意识，做好重大风险自主评估；增强内控与业务融合度，确保关键业务自主内控合规；深化内控管理信息化的建设，实现内控要求系统自动控制；推动审计发现问题整改复查，发挥审计检察闭环监督价值。

（三）强化风险监控预警，有效完善内控体系

企业的风险监控是风险预警的关键部分，结合企业内外部环境、行业特点，通过一定的评估方法或模型来确定风险监控指标的权重，充分利用统计分析的决策支持、工具和系统，从生产管理多维度入手，如运用年度绩效考核指标分析，监控企业经营业绩、发展效益、网络质量等；通过年度全面预算标杆管理体系，对标分析查找差距，突出价值导向优化资源配置；利用对业财半年报表和日常管理情况分析，监控业财指标，从财务角度进行风险分析和提示；透过月度/季度统计数据，分析企业日常生产经营风险，并将监测动态数据进行统计、分析，得出风险的变化趋势，定期进行汇总提出分析报告，为企业决策和风险管控提供参考依据，也为业务流程和内控体系持续优化提供有效信息，切实起到风险把控作用。

五、结束语

本文结合在企业风控管理中的工作经验和体会，分析了企业全面风险管理视角下的内部控制体系的发展历程和未来的实施建议，笔者认为现阶段我国企业在发展过程中面对日益复杂多变的内外部环境，企业要从整体战略和利益角度出发强化全面风险管理及内部控制体系建设工作，切实有效地将企业全面风险管理与内部控制纳入企业生产经营活动之中，将风控管理视为企业自身发展的内在需求，积极切实贯彻推进，从而更好地、有效地规避企业运行中的各类风险，增强企业自身的核心竞争力和可持续发展能力，为企业目标和战略实现保驾护航。

（作者单位：天津移动）