文=何振宇

近年来，国内外严峻复杂的经济形势和接踵而至的巨大风险挑战愈演愈烈，国有企业经营的不确定性和不可控性风险因素不断增加，全面推行内部控制与风险管理工作的重要性也越发凸显。为实现国有企业高质量发展，统筹传统安全和非传统安全，党中央对防范化解重大风险给予了高度重视，习近平总书记多次强调要增强忧患意识，防范各类风险挑战。党的二十大报告更是将防范化解重大风险放在了更加突出的位置。国资委在贯彻落实党中央、国务院关于防范化解重大风险和推动高质量发展的决策部署中，也将建立健全“以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系”作为国企改革的一项重要工作来推进。因此，如何将全面风险管理与内部控制在设计层面有机融合、在运行层面协同推进，是关系到国有企业合规性与效益性经营的重要保证，是低成本化解各类风险带来经济损失的有力之举，是国有企业深化改革亟待统筹考量的重要课题。

全面风险管理与内部控制的概念及关系

（一）全面风险管理与内部控制的概念

风险管理源于19世纪30年代。2004年，美国COSO（反虚假财务报告委员会下属的发起人委员会）委员会在《企业风险管理—整合框架》中指出，“企业风险”管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主体目标的实现提供合理的保证。现已成为世界各国和众多企业广为接受的标准规范。

“内部控制”源于20世纪90年代，先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理整合框架等不同阶段的漫长演变。1992年美国COSO委员会《内部控制—整合框架》将内部控制定义为：“内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律法规的遵循性等目标提供合理保证的一个过程”。2004年在《企业风险管理—整合框架》中又拓展了内部控制，使之更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。

（二）全面风险管理与内部控制的关系

全面风险管理与内部控制同属公司治理范畴，二者既相互独立同时又紧密相关。内部控制是风险管理的组成部分和重要手段，它主要针对企业内部经营活动。全面风险管理则兼顾企业经营中的内外部风险，是内部控制的导向基础和拓展延伸。尽管风险管理框架涵盖了内部控制框架的内容，但两者又是不可替代的。正确认识内部控制和风险管理的关系、实现两者的深度融合与协同推进，是改善企业管控效果、助推可持续发展的有力手段。具体表现为以下方面：

第一，全面风险管理涵盖了内部控制。COSO框架中明确指出：风险管理框架涵盖了内部控制框架的全部内容。内部控制作为其子系统之一，是风险管理框架制定的基础。全面风险管理的四个目标包含了内部控制的三个目标，全面风险管理的八个管理要素包含了内部控制的全部五个要素，全面风险管理与内部控制的管理主体也是一致的，是对内部控制的拓展和延伸。因此，加强内部控制是提升企业风险管理水平的重要路径。

第二，内部控制是全面风险管理的核心内容。企业的风险普遍存在于生产经营的各个环节，而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范，能有效防范化解风险，并作为风险管理的重要手段可发挥其良好作用。

第三，全面风险管理和内部控制的逻辑框架具有一致性。全面风险管理为构建风险导向的内部控制体系提供了基础，风险的识别与细化是建设内部控制体系的前提。伴随业务发展，企业面临的重大风险动态变化，也促使内部控制体系不断扩大其外延。构建内部控制和全面风险管理体系都是一个系统工程，都是一个动态过程，都需要“整合”和“嵌入”公司既有管理机制之中。

我国全面风险管理与内部控制的开展情况

（一）风险管理与内部控制要求

风险管理方面。我国风险管理研究始于1980年。2005年以来，中国证监会、沪深证券交易所和国资委分别针对上市公司和中央企业出台了多部法规，要求建立健全公司内部控制制度，尽早确立风险管理长效机制。2006年，国务院国有资产监督管理委员会下发了《中央企业全面风险管理指引》，要求中央企业主动建立全面风险管理体系，这是我国第一个全面风险管理的指导性文件，标志着我国国有企业全面风险管理的时代已经来临。

内部控制方面。20世纪90年代后期，我国开始加大企业内部控制的推行力度。1999年修订的《会计法》第一次以法律的形式对建立健全内控制度提出了原则性要求。2001年财政部发布的《基本规范》和《内部会计控制规范——货币资金（试行）》，明确了单位建立和完善内部会计控制体系的基本框架和要求，以及货币资金内部控制的要求。2008年，财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》，标志着我国企业内部控制规范体系建设取得了重大突破。2010年，五部门再次联合发布了《企业内部控制配套指引》，包括了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的内部控制规范体系基本建立。

（二）风险管理与内部控制一体化推进的必要性

通过对全面风险管理与内部控制的概念解析、发展历程回顾以及相互关系的比较研究，认为二者之间既有逻辑上的承接性和方法论共性，又有目标导向下控制要素的一致性与协同性。如能将内部控制方法与风险管理技术全方位融入一体化管理流程之中，将有助于解决以下制约风险管理与内部控制一体化推进的几方面问题。

在风险管理与内部控制关系上认识模糊。目前，部分集团化企业对风险管理与内部控制间的正确关系和在企业发展过程中所占据的重要地位认识不清、分析不够。一是割裂开来、区别对待的模糊认识不在少数，妨碍了企业风险管理同内部控制的有机结合，导致权力与责任划分不明确，绩效目标与措施协调不一致，降低了企业应对风险的能力。二是有的企业负责人将内部控制与风险管理作为单独部门对待，并根据二者工作特点建立独立的管理制度，这样会导致内部控制工作人员在进行制度建设时无法对其进行综合分析，使制度建设缺乏科学性、合理性，增加了风险管理成本并使管控效率和效果打折扣。

风险管理与内部控制的互补性发挥不强。企业内部控制与风险管理主要是针对企业的发展方向做出正确的识别和分析，并制定相应的可行性预案。一方面内部控制为员工的行为设置准则，并通过内、外部风险的分析和研判对流程与关键环节进行安全性设计与把控，防止因制度缺失造成经营损失。另一方面风险管理又离不开内部控制，良好的内部控制可以减少风险发生的可能性，并且在某些无法规避的风险发生时尽量降低损失。因此二者不能独立运行。

风险管理与内部控制的制度与手段单一。我国大中企业对全面风险管理与内部控制的研究起步较晚，尚缺乏完备的实践经验，更谈不上对自身的经营风险和战略目标能有一个全面的把控机制，在风险管理制度和内控体系设置上仍缺乏合理性与配套性，可操作性不强，单一的风险应对策略往往流于形式，难以发挥风控价值。一些企业的内部控制存在与风险防范相脱离问题，缺乏完善的规避程序与明确的内控标准，以至于无法为风险管理服务，一定程度上降低了风险管理效果。

一体化推进全面风险管理与内部控制的建议

（一）落实组织保障，建立覆盖各层级的组织体系

一方面，设立职责清晰、分权制衡的风险与内控组织架构。在公司党委领导下，开展全面风险管理与内部控制工作，明确决策、执行、监督等方面的职责权限，设立专门委员会为董事会决策提供咨询和建议，形成科学有效的职责分工和制衡机制，成立专门机构或指定适当机构作为归口管理部门，保证风险内控机构设置、人员配置和工作的独立性。另一方面，形成各司其职、各负其责的风险内控责任机制。明确主要领导人员作为体系监督工作第一责任人的职责，落实各业务部门体系有效运行责任，层层分解压实责任到具体工作岗位，结合业务流程中的相关风险点，明确本岗位的内控职责，确保全体员工知悉本岗位的风险防控责任，努力做到全员参与风控管理、不留死角，实现真正意义上的全面防控。

（二）加强制度建设，完善全流程覆盖的制度体系

首先，制定体系化管控制度。落实国资委整合优化内控、风险管理制度建设要求，按照一体化推进全面风险管理与内部控制工作思路，制定公司全面风险管理与内部控制规定，作为风险内控体系化管控的基本制度，建立以内控体系建设与监督制度为统领，各项具体操作规范为支撑的“1+N”内控制度体系。其次，明确业务流程风险管控要求。各部门、各单位在具体业务制度流程的制定、审核和修订中嵌入风险管理与内控要求，明确重要业务领域和关键环节的内控要求和风险应对措施，坚持制度流程化管控，确保内控制度体系覆盖研发、采购、生产、销售、招投标、资金等所有业务和管理活动。

（三）规范评价标准，落实全领域覆盖的监督评价机制

围绕战略目标，以问题、风险为导向，整合内部监督力量，统一规范监督评价的内容、工作程序、标准和方式、缺陷认定标准等，统筹推进风险管理与内控体系监督评价工作。一是常态化实施风控监督。对于日常业务中违反内控流程、风控措施执行不到位、风险超出承受度标准的业务予以叫停或退回，确保各项风控措施得到有效执行，业务风险处于受控、可控状态。二是定期开展体系有效性监督评价。以健全体系、规范流程、消除盲区、有效运行为重点，每年对体系健全性、有效性进行全面自评，客观、真实、准确揭示经营管理中存在的内控缺陷和风险问题，并形成报告。三是实现子公司监督评价全覆盖。在子公司全面自评的基础上，围绕重点业务、关键环节和重要岗位，组织对所属企业体系有效性进行监督评价。并根据工作安排，组织开展专项风险评估和专项内控监督评价。四是按需组织风控专项检查。根据业务内部控制评价、监督评价等发现的问题，针对特定单位、特定事项、特定要素开展风控专项检查，深入剖析风控管理中存在的问题，发现风控存在的缺陷。

（四）构建长效机制，确保问题整改全覆盖

一是建立一体化风控缺陷整改机制。将各类检查、监督评价发现的缺陷进行整合，统一整改。各责任单位制定整改计划，建立整改台账，明确责任、限期落实，并采用即行即改、举一反三等整改方式严格整改落实，通过扎实有效的整改工作，将整改成果转化为治理效能。二是加大问题整改跟踪检查力度。按时间节点检查验收内控缺陷整改情况，动态更新内控缺陷整改台账。同时将整改落实情况纳入年度体系有效性抽查评价范围，完善提示函和通报工作机制，对整改不力的印发提示函或通报，进一步落实整改责任，避免出现重复整改、形式整改等问题。

（五）做好激励约束，实施全要素覆盖的考核评级

一是探索建立风控成熟度评价体系。建立风险内控实施的激励约束机制，制定风控成熟度评价规则，评价指标可覆盖风控管理组织、风险管理机制、流程管控、风控执行、风控监督、缺陷整改、风控信息化等风控核心内容。定期组织对各子公司风控工作情况进行综合评级，将各责任单位和全体员工实施风险内控的情况纳入绩效考评体系。二是充分运用监督评价结果。加大监督检查结果在经营决策及干部管理工作中的运用力度，对体系不健全、执行不力、瞒报漏报谎报重要事项、整改落实不到位的单位和个人予以考核，必要时开展责任追究工作，强化监督警示震慑作用。

（六）强化队伍建设，实现全员覆盖的风控文化建设。

一是推进风控人才梯队建设。在各部门、各单位配置专兼职风险管理人员，建立包括管理人员、骨干人才、管理专家等在内的职业发展畅通通道，明确高层次人才选拔的申报资格、选聘程序、工作纪律与职责、工作条件与待遇、考核评价、薪酬激励、交流培训、职业发展等内容，加强各层级风险内控人才队伍的培养。二是培育风险内控文化。将风险管理文化融入企业文化建设全过程，充分发挥企业领导的先导和垂范作用，树立主动参与的全员风险内控理念，通过采用专项培训、课题研讨、内外部对标交流等形式，提升全员风险管理意识，营造积极向上的风控文化氛围。

基于全面风险管理与内部控制在国有企业实现高质量发展和资产保值增值中的地位和作用，国有企业必须坚定一体化推进全面风险管理与内部控制的信心和决心，正确认识二者的交叉互融关系与推进中的不足，才能有效发挥二者的价值作用。国内外知名企业的成功实践启示我们，全面风险管理与内部控制只要相互协同而非单打独斗，并始终结合市场动态和经营发展需求，营造协同互鉴的风险管控环境，建立健全与企业发展战略目标相一致的科学化内部控制体系，就一定能为国有企业搏击市场风浪形成强有力保障。