许巧珍

（济源市公路管理局，河南 济源 459000）

一、风险管理和内部控制概述

（一）风险管理的含义和作用

1.风险管理的含义

风险管理是企业为降低或抑减经营活动过程中给企业带来损失或增加成本的意外事件发生的可能性，而进行的由决策层、管理层和其他人员共同参与的经济活动管理过程。

2.风险管理的作用

（1）能有效保证企业稳定的生产经营环境

良好的风险管理，不仅能使企业针对自身发展实际，清醒认识风险发生的重要环节和可能性，增强识别潜在事件的能力，而且促使企业积极通过选择规避、分担、降低等风险应对方案，抑减企业经营意外和损失的发生，减少风险发生给企业带来的灾害，保证企业拥有一个安全稳定的生产经营环境，顺利实现企业的各项生产经营目标。

（2）能有效降低企业成本并提高经济效益

一方面，可以通过风险控制降低风险发生的概率或减轻风险事件发生的损失，从而最终避免增加企业的管理和生产成本；另一方面，可以对实施的项目综合进行风险预测和评估，对下一步极可能会出现不利发展的风险项目，及时调整对其资金投入，从而避免企业损失的进一步加大；再一方面，企业还可以通过风险转移将风险带给企业的损失能有效得到补偿，通过风险对冲将风险带给企业的影响相互抵消。最终通过不同的风险应对策略，有效降低企业成本，从而提高企业的经济效益。

（二）内部控制的含义和作用

1.内部控制的含义

内部控制是企业从决策层、管理层到全体员工共同参与和实施的，通过一定的制度和实施程序，对企业各项经济活动面临的风险进行防范和控制的过程。

2.内部控制的作用

（1）规范企业内部的经济业务活动

由于企业内部控制涵盖了企业的各项经济业务活动，对涉及的不管是单位层面还是业务层面，一是针对性地建立内部控制管理制度，促使当事人在操作和执行环节严格按规程办事，从而规范其具体操作行为，减少执行差异率；二是明确的岗位职责分工，可以避免当事人在履行岗位职责时因责任划分不清而推诿扯皮影响工作进度和效率；三是通过内部控制评价环节，可以对企业的各项经济活动运行状态中存在的非正常和不良现象进行筛查，发现内部控制缺陷，找出内部控制漏洞，最终规范企业内部的经济业务活动。

（2）强化对企业内部权利运行的制约

由于按照内部控制规程，要求科学设置内设机构、管理层级、岗位职责权限、权利运行规程，切实做到分事行权、分岗设权、分级授权，并定期轮岗，以满足企业决策、执行、监督相互分离、相互制衡的要求，从而避免由于权利过分集中，发生内部权利滥用，以致发生舞弊和违法违纪行为，给企业带来重大损失。

（3）提升企业防范风险能力

加强企业内部控制，要求企业要全面梳理业务流程，明确各个业务环节，分析各环节的风险隐患，找出关键控制点，在一定程度上将风险管理关口前移，使企业能提前针对风险管理薄弱环节及早制定有效的防范控制措施，堵塞风险管理漏洞，从而降低风险发生的概率，甚至避免风险事件的发生，在一定程度上可以提升企业防范风险的能力。

（三）风险管理和内部控制的关系

1.二者目标方向一致

加强内部控制，是为了使内部经济活动流程尽可能规范、顺畅、良好运行，降低或减少风险发生的可能性，促进企业顺利实现经营管理目标；而风险管理，是对影响企业实现战略与经营目标过程中可能带来损失的不确定因素进行化解或抑减。二者都是为了帮助企业经营管理目标能顺利实现，因此目标方向一致。

2.二者涉及范围、参与人员一致

风险管理涉及企业管理的各项活动、各个环节，并且风险管理从制定、实施到整体制度运行，涉及企业决策层、管理层到全体员工在内的所有人员。内部控制设计和实施包括了企业管理的所有经济活动，细化到各个层面和环节，要求企业从上到下各个部门和所有员工人人参与。因此可以说二者涉及范围、参与人员具有高度一致性。

3.二者相互影响、相辅相成

风险管理是对企业各个工作环节面对的风险进行科学有效的管理和控制，但具体的实施必须通过内部控制来协助实现，即不同的风险应对策略必须对应不同的内部控制措施，要提高风险管理水平，必须从内部控制入手。而内部控制程度的高低和内部控制的好坏，又直接决定了风险发生的可能性大小和轻重程度。因此，二者之间相互影响、相互促进，并且相辅相成。

二、基于风险管理视角的内部控制策略

由于风险管理和内部控制具有相同的目标，并且都贯穿于企业管理的全过程，涉及企业的各个层级和业务单元，都需要企业治理层、管理层和所有员工的参与，因此根据风险管理的决策机构、职能机构、业务部门以及审计监管部门，在企业组织架构上建立三道风险管理防线，结合内部控制要求，建立适合本单位实际情况的内部控制体系，充分发挥他们在加强风险管理和内部控制方面各自应有的作用，可以有效促进企业经济价值的顺利实现。

（一）以相关职能部门和业务单位为第一道防线

由于各部门员工是最先与风险源接触的群体，他们对具体业务操作的正确性和恰当性，决定了单位所面临的风险程度。他们在日常业务中负有及时识别、上报与初步管理风险的职责，是事前控制风险的关键。因此，必须加强对他们的管理。具体措施为：

1.明确建立岗位责任与制衡制度

严格按照岗位责任进行明确分工，划分职责权限，对易发生危害企业行为的岗位采取制衡机制，避免不相容职务由一人担任或负责引起错误和舞弊行为发生，尽早将风险扼杀在萌芽状态。

2.加强内部控制关键岗位工作人员业务培训和职业道德教育

内部控制关键岗位的工作人员的具体行为，严重影响着该岗位所涉及的业务的方方面面，因此，加强业务上和职业道德培训教育显得尤为重要。通过培训学习，使他们具备与其工作岗位相适应的资格和能力，避免因思想认识欠缺、能力不足或操作水平低下造成风险隐患。

3.强化内部控制关键岗位人员风险管理意识和技能

一方面，严格要求内部控制关键岗位人员必须重视风险管理的重要性，正确、充分认识内控不严造成的严重风险后果，对风险管理具有高度的管控意识和自觉性，明确自己在内部控制实施过程中控制风险的责任，克服侥幸和麻痹心理，杜绝违规操作，遏制冒险行为。另一方面，加强内部控制关键岗位人员风险管理方面的培训学习，使之充分了解单位战略目标及可能影响单位达标的风险，能准确快速识别风险类别，掌握当前内部控制措施的效度，协助完成风险的分析和评估，实施决定转移、避免或降低风险的策略。

（二）以风险管理部门和董事会风险管理委员会为第二道防线

他们主要负责领导和协助单位内部各部门在风险管理方面的工作，并对风险管理工作进行统筹组织、协调与规划，对第一道防线的风险管理工作、内部控制开展情况进行实时监控。其主要职责包括：

1.建立健全规章制度

规章制度是企业各项经济业务活动正确开展的依据和规程，风险管理部门和董事会风险管理委员会必须针对企业各项活动的各个环节，充分考虑各种风险存在的可能性，参与制定控制或降低风险的规章制度，尤其是建立健全风险监测及预警管理制度。列示存在风险的可能性、类别、发生程度、控制方式等，保证对风险信息动态持续跟踪和把握。并加强对单位职工的风险管理理念教育，和风险知识方面的培训学习。主要针对国家相关政策、单位内部控制制度，以及本单位拟实现的目标和采取的措施、各部门及其人员在内部控制实施过程中的责任，和风险管理政策、风险管理行动方案、风险应急处理措施等内容进行专题培训学习。

2.开展内部控制风险评估

风险管理部门和董事会风险管理委员会要站在单位整体利益角度，考察单位各个项目和活动的风险，开展内部控制风险评估。综合合本单位的业务特点和实际情况，立足于企业内部控制要求，对风险易发高发点进行重点评估，根据风险形成的规律和频率进行定期或不定期评估。最后根据风险管理效果对各职能部门进行考核和奖惩。

（三）以内部审计部门和董事会审计委员会为第三道防线

内部审计部门和董事会审计委员会主要对第一、第二道防线部门的工作进行监督和审计，对内部控制系统的建立、运行和结果，检查测试是否存在缺陷，并对缺陷进行认定和评价。一般对经营管理者进行经济责任审计，对企业信息系统有效性进行审计，对企业财务报表进行审计等。因此，必须保证他们的机构设置、人员配备和工作的独立性，使他们能真正站立在客观、公正的角度，去审查、监控和评价企业内部控制的设计和运行的有效性。一般采取调查问卷法、穿行测试法、抽样实地查验法 、比较分析法、专题讨论法等系统的评价方法，从单位层面和业务层面的各项评价指标和评价要点上，进行量化评价。最终通过评价结果，为企业找出内部控制薄弱环节，以及风险管控漏洞和重大风险管理缺陷，从而改进企业的风险管理、控制和治理流程效益，改善企业的经营和增加企业价值，帮助企业实现经营目标。

三、结语

企业通过组织架构设立的三道风险管理防线，分别从风险的事前、事中、事后三个阶段，对风险的管控进行了屏障设置。由于企业的最大风险承受度是由董事会来确定的，最后企业高层必须统筹管理和监督三道防线的有效运行，对企业内部控制的建立健全和有效实施负责，并且建立起企业高层相互制衡的机制，最终使企业的风险管理与内部控制有效整合，在共同防范控制企业风险，促进企业目标实现上，发挥出巨大的协同效应。