董佳琦 福建厦门抽水蓄能有限公司

一、全面风险管理与内部控制的历史背景

风险一词最初是指不确定性。全面风险管理，主要被应用于管理领域，是指企业围绕总体经营目标，通过识别企业在经营管理的各个过程和环节中可能影响经营目标实现的潜在性或未识别的风险，执行风险管理的特定流程，将风险控制在企业可承受范围内，进一步培育风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供全面、有效保证的过程和方法。

内部控制，是指围绕全面风险管理目标，将风险管控要求融入企业流程、制度、职责、考核、文化等方面，由企业决策层、管理层和全体员工共同实施，贯穿企业经营活动的控制过程和管理方法。

国际上，1992年出版的COSO内部控制整合架构最早被用来设计、实施和管理内部控制，是较领先和有效的内部控制架构。历史上，美国最大的能源公司——安然公司，利用会计审计制度中的缺陷，人为操纵利润，特别是在2002年6月，再一次发生世界通信会计丑闻事件，强烈破坏了(美国)投资者对(美国)资本市场的信心。为了避免再次发生类似问题，美国国会和政府加速通过了《萨班斯法案》。《萨班斯法案》在风险管理层面对企业进行规范和要求，督促企业必须将各种风险考虑在经营范围之内。在广泛汇聚各国的风险管理成果的基础上，历时五年，2009年末，国际标准化组织(ISO)和国际电工委员会(IEC)，发布了适用于各种组织的风险管理国际标准ISO31000:2009，进一步阐释了风险和风险管理的认识。伴随商业逐步趋向科技化和范畴全球化，企业决策管理层渴望进一步补充完善内部控制制度，期待能有较好的透明度支持企业经营决策和组织治理，2013版COSO风险管理整合框架应运而生。

国内方面，2006年6月，《中央企业全面风险管理指引》对企业全面风险进行明确，指导企业规范开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展。2010年，《企业内部控制基本规范》出台，要求企业通过遵循全面性、重要性、制衡性等原则，主要从信息与沟通、风险评估、内部监督、内部环境、控制活动等五个方面实行内部控制制度，促进企业提高经营管理水平和风险防范能力。

二、企业开展全面风险管理与内部控制的意义

目前，全面风险管理与内控控制管理在我国企业管理中是较为薄弱的环节，企业在应对风险时一般采用惯性思维，即先发生再处理，未雨绸缪意识淡薄，大多数企业“从上至下”对开展全面风险管理与内部控制的意义不明。在实践中，有很多企业要么将两者完全隔离开来，只开展全面风险管理或实施内部控制，要么只是简单地将它们等同起来，实际上全面风险管理与内部控制相辅相成，两者联系紧密。一是全面风险管理中包括内部控制，在COSO(全国反虚假财务报告委员会的发起人委员会)框架中可以提现出来，此框架也明确指出，内部控制是企业全面风险管理的一个重要子系统。二是内部控制是实施全面风险管理过程中必不可少的环节。企业全面风险管理需围绕企业内部环境提前设定风险防控目标，建立风险管控标准。风险防控目标的设定以企业的发展战略及企业文化等内控控制评价为基础，风险管控标准的建立也同时依赖于企业首先识别内部控制缺陷。内控控制评价和内部控制缺陷，是企业进行内部控制的有效实施手段。此外，企业可以通过实施内部控制流程，一定程度上监督和防范企业在经营管理过程中因管理决策程序不完善、制度设定存在缺陷等方面风险。因此，企业进行内部控制对开展全面风险管理而言非常必要，同时，维持充分的内控系统也是国内外许多法律法规的合规要求。

开展全面风险与内部控制管理，一方面，可以通过全面风险管理与内部控制体系形成企业风险预警，利用现有信息系统技术，帮助企业面对突发事件快速响应，及时获取风险预案，从容准备风险行动，提高企业抗风险能力。另一方面，开展全面风险管理与内部控制，可以促进企业完善制度管理体系，明确企业内部各部门及各岗位的职责权利，进一步规范业务操作流程，提高企业管理效率，增强企业的管理水平。

三、企业在实行全面风险管理与内部控制中存在的问题

(一)缺乏风险管理意识

实践中，很多企业在全面风险管理与内部控制文化方面缺失，决策层作为企业管理的第一责任人，不能从宏观层面意识到风险管理与内部控制的开展对实现企业战略的重要性，“重业务轻风险”现象突出，企业风险管理忧患意识和预控意识不足，内部控制作用发挥不明显，在观念理解上还未完全正确认识风险管理与内部控制同企业经营业务发展的关系，某些企业还存在采用回避风险的方式进行风险管理，企业长远发展目标不能与外部社会环境适应，企业面临发展系统性风险；管理层作为企业的中坚力量，风险管理意识淡薄，内部控制手段不够有效，企业全面风险管理未能真正融入到经营管理各管理流程和业务环节，企业内部无独立风险管理专业部门，导致风险管理与内部控制仅仅是企业门内部形势主义，无法形成有效的内部控制机制，不能发挥真正作用。

具体表现为，有的企业或没有设立风险管理部门，或将风险管理部门与业务职能部门合并，管理职责分散，各部门各员工各行其是，互不沟通，审计部门负责财务方面的风险，人力资源部门负责人力资源部门方面的风险，技术经济部门负责技术经济方面的风险，全面风险管理缺乏应有的独立性，不能充分发挥其对业务部门的风险监督管理职能，无法承担起具有权威性的独立风险管理职责。同时，因风险管理未形成单独管理部门，企业内部监督无法真正落实，风险管理缺乏内部监督重要管理流程，企业的风险管理监督效果不够显著。

另外，管理层作为企业决策执行的“领头羊”，缺乏对员工风险管理与内部控制管理理念的传递，员工感受不到风险管理与内部控制文化的氛围，无法平衡和掌握风险管理与内部控制的联系，对风险管理缺乏敏锐性和预判性，导致企业整体风险防范意识不足。

(二)缺乏风险管理机制，制度执行力不足

企业在应对风险方面缺乏有效的风险管理机制和风险防控体系，风险管理制度体系不能完全满足企业实际发展的需求。表现为：一是风险管理制度停留在制定层面，流于形势，不考虑企业实际情况，制度一旦制定处于静止状态，企业无法实际执行。二是企业缺乏定期进行风险评估和审核的有效机制，风险评估和内部控制与企业实际情况联系不紧密，企业无法因环境变化而变化，管理风险和规避风险的能力弱；或风险评估中风险目标内容定位不准确，化解风险应对方案的内部控制环节不明确不清晰，内部控制流程不够严谨，风险防控措施不够具体，缺乏针对性等。三是风险防控制度宣贯不彻底、不及时，无法引起员工对风险管理的足够重视，或因员工自身原因对风险防控制度了解不足，无法准确看待风险、评价风险、管理风险，企业内部全面管理风险的力度不够。四是企业未建立与风险防控相衔接的考核问责机制或激励机制，风险管理与内部控制的结果导向不明确，员工进行风险管理与内部控制的动力不足，工作落实不到位。

(三)缺乏专业人才，风险管理方法运用水平差

风险管理工作，是一项难度大、专业性强、综合能力强的工作。目前在国内高校中没有开设全面风险管理方面的专业，风险管理专业人才严重匮乏。大多数企业无专业的风险管理人员，普遍由财务、审计、法律专业类的人员从事风险管理工作，风险管理队伍较薄弱，企业在实际经营过程中对风险管理工作要求不断提高，队伍力量与工作任务矛盾较为突出。由于缺乏专业化管理人才，现有信息系统技术操作水平低，运用效率差，自动化系统控制手段未能更好地在全面风险管理领域发挥作用。

四、完善企业开展全面风险管理与内部控制的措施

(一)加强宏观研究，提升风险意识

企业应充分认识目前生存及经营所处的客观环境，加强对环境的宏观研究，以环境为基础着手确立风险管理与内部控制。企业应全面评估所有业务领域，通过调查问卷、实地调研等方式，将业务领域涉及影响企业实现发展目标的潜在事项确立为风险，企业根据风险管理偏好，明确对风险的容忍度，建立企业风险管理框架(仅以内部环境风险为例)(表1)，科学地提高风险防范意识和可操作理论水平。

表1 ：风险管理框架

第二，培育企业员工全面风险管理理念，构建全面风险管理与内部控制互相促进、互相融合的企业文化，持续提升企业风险管理意识。企业决策层及管理层及时转变思想观念，充分意识到全面风险管理与内部控制在企业经营管理过程中的战略地位，努力发挥好领导带头作用，将重要领域及关键岗位节点的企业骨干纳入传播及被传播范围，通过企业微信公众号、企业新闻宣传稿件、企业自办报刊杂志等自媒体载体，将全面风险管理与内部控制管理文化提升到企业文化发展的主体，大力引导员工牢固树立风险随时随处存在、立足自身岗位防范风险的意识，逐渐将风险管理意识转化为员工的行动自觉，引导员工做到知行合一，积极发挥主观能动性，严格防范纯粹风险，审慎处置机会风险，促进企业不断建立与企业发展战略和发展目标相适应的一套科学、合理、有序的风险管理机制。

第三，企业内部设立全面风险管理职能部门。将全面风险管理从企业业务职能部门体系中剥离出来，成立单独业务职能部门，完善与风险管理部门相对应的专业岗位设置，必要时可以成立全面风险管理管理委员会，进一步统筹负责全面风险管理的组织、协调与规划，制定委员会工作目标和方案，定期召开委员会会议，实时监督全面风险作用发挥。企业内部可通过审计等职能部门监督风险管理工作的独立性、真实性和完整性，目标明确地开展强化监督检查，结合内部控制要求，对检查结果进行监督评价、提出管理建议，堵塞管理漏洞，促进企业提高防范风险的管理能力。

(二)健全制度管理体系，加大执行力度

第一，为建立健全全面风险管理与内部控制制度体系，企业在不同时期不同情况，需持续完善和动态更新制度，保证制度与企业末端内控流程风险点、关键控制点和控制措施有效衔接。企业应在充分考虑自身实际情况的基础上，围绕风险管控标准，细化风险预案，将风险目标、制度要求、授权规则、评价标准等嵌入内控流程，按照“控什么、何时控、如何控”原则，结合重点业务领域的风险管控要求，筛选重要业务流程和关键环节，进一步将风险防控措施具体化、合理化，形成统一的内控流程，保障全面风险管理规范化实施。

第二，企业可利用科学技术对所收集的风险信息进行系统分析，采用包括问卷调查、情景分析、标杆比较、政策分析、个别访谈在内的定性分析方法，及包括概率分析、敏感性分析、统计推论、压力测试、事件树分析在内的定量分析方法，结合专业手段，对企业风险进行有效评估，及时形成一套适合本企业的风险管理信息库，利用公司企业信息系统，建立风险与流程环节、控制点的衔接关系，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，并及时督促和预警相关部门针对性开展风险应对和防控。必要时企业可进行预案演练，确保企业在遇到临时风险时及时输出应对措施，不断提高企业规避风险、管理风险的能力。

第三，企业需进一步强化对全面风险与内部控制的制度宣贯力度，引起员工对全面风险管理与内部控制的重视，明确其在风险管理过程中应遵守的底线和承担的责任。

第四，企业需进一步构建主体责任明确、履责清晰、问责有力的责任机制，建立报告制度，搭建风险信息沟通互享平台，逐级落实风险管理与内部控制责任，科学划分风险责任主体界限，督促员工从自身岗位做起，不断提高制度执行力，强化风险管理责任落实，对于因风险防范执行不到位造成重大风险事件，或内部控制执行不到位存在重大显性或隐性缺陷的，应严肃问责有关部门或人员，必要时引入风险管理问题个人销号机制，保证员工能意识到风险、觉察到风险、防范好风险，管理好风险。

(三)加强全面风险管理人才培训，强化信息技术开发应用

企业可适时引入综合素质较高的全面风险管理人才，或加大对企业内部全面风险管理员工的培训力度，通过部门轮换、岗位锻炼等方式，持续强化全面风险管理人员在各领域的专业能力，结合企业风险管理与内部控制的有效融合方式，努力打造一支专业素质高、风险管理技术强的专业化人才队伍，进一步夯实企业风险管理的人才基础。此外，重视现代化科技力量，制定信息系统开发部署和规划，加大研发力度，定期进行信息管理系统的维护与检修，持续打造防范管控风险有力的高效信息系统，为全面风险管理和内部控制提供科技信息力量支撑，确保企业全面风险管理水平持续提升。

五、结语

受传统思维定式影响，全面风险管理与内部控制在我国企业中真正实施并有效落实少见，企业并未完全意识到预判风险、提前管理风险的重要。本文简单从风险管理与内部控制的定义开始，从缺乏管理意识、管理机制不健全及缺乏管理人才三方面入手，对全面风险与内部控制过程中出现的问题及应对措施进行分析。反观企业目前面临的发展形势，全面风险管理与内部控制管理观念一定会伴随客观环境变化而逐渐植入企业管理核心，助力企业在快速发展和日益激烈的竞争中获得优势。