韩振宇

（中能化创新投资集团有限公司，北京 100055）

风险管理和内部控制是现代企业管理中的两项重要职能，就理论分析而言，两者存在紧密的内在联系。一方面，风险防范是内部控制的基本目标，另一方面，内部控制是风险防范的重要手段。但在企业管理实践中，一定程度上存在着风险管理与内部控制相互分离的问题，典型表现是在职能分配上，风险管理和内部控制分属于企业不同的管理部门，彼此独立地发展成为相互分离的两套体系，从而削弱了风险管理和内部控制应有的协同效应。

笔者认为，对现代企业而言，特别是对金融机构、投资公司等整体风险程度偏高的企业，以风险防控为导向实现风险管理与内部控制深度融合，是理顺两者关系的有效路径。结合相关实践，笔者对实现两者融合的路径设计如下：

1.统一风险与内控领导体制，为融合提供组织保障

以按照公司法规范建立公司治理架构的企业为例，公司可以从董事会、经理层、职能部门等3个层面，自上而下建立分层级的对风险管理与内部控制的统一领导体制。其中：

在董事会层面，可以设置风控委员会，作为董事会所属的专业委员会，协助董事会从公司治理层面统筹指导风险管理、内部控制，以及其他相关工作，协调推进风险管理、内部控制及其他相关职能的有机融合。

在经理层层面，可以设置风控工作领导小组，协助经理层贯彻落实董事会战略决策要求，从经营管理层面强化推进风险管理、内部控制及其他相关工作的落地与融合。

在职能部门层面，可以将风险管理与内部控制职能归口同一部门进行具体组织实施，从执行层面推进风险管理与内部控制的充分衔接和有效融合。在企业管理实践中，不同企业间尽管风险管理与内部控制职能的具体归口管理部门不同，但将两项职能归属于同一部门管理的趋势明显增强。

2.准确评估主要风险，造就融合前提条件

构建以风险防控为导向的风险管理与内部控制融合体系，首先需要准确评估企业面临的主要风险。以笔者曾服务过的Y公司为例，Y公司建立了“年度全面风险评估+月度风险跟踪+重要项目专项风险评估”相结合的风险管理运行机制。根据年度全面风险评估结果，建立风险数据库，并结合月度风险跟踪和重要项目专项风险评估情况，对风险数据库进行动态调整。风险数据库详细列示了Y公司本年度面临的主要风险，以及风险名称、风险表现、风险成因、风险发生后对公司的影响、风险管理策略、风险解决方案、风险管理主体等基本要素是公司开展风险管理的重要基础资料。

以20XX年度为例，Y公司评估确定该年度面临的主要风险为4大类、12项明细风险。具体情况如表1所示。

以上风险类别是Y公司结合自身风险管理实践所做的划分，其含义如下：

需要积极应对的风险是指此类风险的风险因素已经显现，风险事件已经存在，若不积极应对，短期内极大可能对公司形成不利影响。

需要加强管控的风险是指此类风险的风险因素已经显现，短期内无明显的风险事件发生迹象，但若不加强管控，未来出现风险事件的可能性较大。

需要重点关注的风险是指此类风险的风险因素潜在存在，如果不加强防范，随着风险程度的积累，未来存在引发风险事件的可能性。

其他需要注意的风险是指此类风险的风险因素潜在存在，公司也采取了一定的防控措施，但相关风险因素仍需要给予适度关注。

3.梳理内控基本体系，奠定融合的坚实基础

全面梳理公司内部控制基本体系，明确内部控制主要组成部分，是以风险防控为导向，实现风险管理与内部控制深度融合的基础。

仍以Y公司为例。Y公司以财政部等国家五部委印发的《企业内部控制基本规范》和《企业内部控制应用指引》为基础，按照内部环境、风险评估、控制活动、信息与沟通、内部监督等内控五要素，结合公司实际，建立了公司内部控制体系，主要由管理制度、工作流程和授权手册3部分组成。3部分相互衔接、配合使用，共同构成了Y公司的内部控制体系。其中：

管理制度部分，Y公司综合自身职能定位、业务范围、组织机构等相关因素，以“三大层级、七大类别”为基础框架，按照机构、职能、业务3条主线，制定管理制度100余项，形成建立了相对完善的管理制度体系，实现了“有机构即有议事规则、有职能即有管理办法、有业务即有实施细则”的制度建设目标。

工作流程部分，Y公司区分8大类、50余项业务，分别明确了股权投资、银行融资、合同管理、人员招聘、银行账户管理等主要业务的标准化工作流程，为实务操作规范化提供了依据。

授权手册部分，Y公司按照9章、8类、50余项流程的基本架构，分别明确了公司股东、党委会、董事会、监事会、董事长、法定代表人、总经理等公司治理层面的职责权限，以及各项具体业务在不同管理环节的审批权限，为开展重点领域、重点环节的授权控制提供了具体依据。

4.以风控为导向调整内部控制，实现两者深度融合

明确了公司面临的主要风险和内部控制主要组成之后，以风险防控为导向优化调整内部控制，主要是根据面临的主要风险及管理需要，检查评估管理制度、工作流程和授权手册对各项风险防控工作的支持程度，对缺失的管理制度、工作流程和授权要求进行补充完善，对与风险防控要求不相适应的内部控制内容进行修订。并根据主要风险的动态变化情况，对内部控制进行相应的动态完善，确保各项具体风险防控要求在管理制度、工作流程和授权要求3个方面均得到有效落实，充分实现各项具体风险防控要求与管理制度、工作流程、授权要求的完全匹配。

以前述Y公司为例，根据表1所示的Y公司20XX年度主要风险，对组成公司内部控制的管理制度、工作流程、授权要求分别进行优化调整，并形成如表2所示的对应关系。

通过以风险防控为导向对内部控制进行优化调整，针对各项风险的具体表现形式，确保在制度规定、流程设计、授权管理等3个方面均落实有相应的防控措施，将3个方面的工作统一到风险防控目标上来，并根据风险动态变化情况进行相应的补充、修订、调整和完善，在确保风险防控与内部控制相互协调一致的同时，也有效避免了制度规定、流程设计和授权管理各行其是、相互脱节。

5.实现风险管理与内部控制深度融合的保障措施

以风险防控为导向，实现风险管理与内部控制的深度融合，除上述基本路径外，还需要从风险文化培育、员工队伍建设、外部资源协同等方面积极采取措施，确保以两项职能融合取得良好效果。

5.1 大力培育积极的风险管理企业文化

企业文化是支撑企业发展的软实力，各企业在经营管理实践中也形成了各具特色的企业文化。在促进风险管理与内部控制深度融合过程中，高度重视企业文化软实力的推动作用，将风险管理文化培育纳入企业文化建设工程统筹设计，达到“大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制”的目的。

以Y公司为例，为培育积极的风险管理企业文化，制定了《Y公司风险文化建设纲要》，分析了加强风险管理文化建设的重要性和必要性，明确了风险管理文化建设的指导思想和基本原则，规划了风险管理文化建设的主要内容，部署了风险管理文化建设的主要任务，提出保障风险管理文化建设顺利实施的主要措施，是Y公司在一定时期内推进风险管理文化建设的纲领性文件。

Y公司在风险文化建设纲要的引领下，主要实施了以下风险管理文化建设措施：

（1）制定风险文化建设工作规划。根据规划，Y公司风险文化建设工作分为宣传推广和巩固提高两个阶段推进实施。其中：宣传推广阶段，计划利用2年左右的时间，通过公司文件、工作简报、专题讲座、案例剖析等形式，重点宣传风险管理理念，增进员工的风险意识，逐步形成风险管理文化共识。巩固提高阶段，在一个较长时期内，进一步丰富风险管理文化的内容和内涵，推进风险管理文化与整体企业文化的有机融合，形成较为完善的风险管理文化体系，并重点培育适当数量的风险管理工作先进示范典型。

（2）近3年来，累计举办风险管理专题讲座5次，组织典型风险案例剖析讨论会6次，编发以推广风险管理经验为主要内容的工作简报4期，持续引导全体员工树立风险理念，增强风险意识，形成风险共识。

（3）从公司治理、经营管理、业务操作3个层面制定风险管理制度4项，编制了《Y公司全面风险管理工作指引手册》，确定了公司风险管理的组织体系和工作机制，梳理了公司经营管理中常见风险，明确了常见风险的日常监测指标和监测责任主体，提出对新增风险因素、潜在风险事件的报告和处理机制，优化了风险管理工作评价机制，为公司加强风险管理文化建设提供了制度保障。

5.2 打造厚基础、宽专业的风险管理与内部控制工作团队

工作团队是开展各项工作必不可少的重要基础。Y公司风控工作部作为风险防控、内部控制的具体组织实施部门，其团队成员的知识背景要求涉及企业管理、会计、法律等多个专业。为满足工作需要，公司提出了“打造厚基础、宽专业的风险管理与内部控制工作团队”的目标要求。其中：“厚基础”即是打牢原有专业知识的基础；“宽专业”即是按照缺什么补什么的原则，积极拓展知识面，适应风险管理、内部控制职能融合的需要。通过“厚基础、宽专业”职业胜任能力提升工程建设，以及合理搭配团队成员专业结构，有效提升团队成员协同作战的成效。

为打造厚基础、宽专业的风控工作团队，Y公司主要采取了以下措施：

（1）严把人员入口关，Y公司采取“社会公开招聘为主，公司内部轮岗为辅，实习生顶岗实习为补充”的选择机制，选择具有较强专业拓展能力的人员加入风险管理与内部控制工作团队。其中：在社会公开招聘中，对应聘者在知名企业、机构的工作经历设置底线要求，对工作经历过于单一的应聘人员原则上不予考虑。在公司内部轮岗中，公司有计划地实施业务人员与风控人员的交叉轮岗，一方面增强风险管理与内部控制团队对业务操作的深入了解，增进风险管理与内部控制的深度和针对性；另一方面增强业务人员的风险意识，促进风险防控关口前移，最终在相互理解的基础上，提升公司整体风险防控能力。实习生顶岗实习主要是在工作实践中考察实习生的专业水平、工作能力和专业拓展潜力，选择真正适合公司风险管理与内部控制工作需要的优秀毕业生。

（2）持续提升风险管理与内部控制工作团队综合业务能力，保持团队工作活力。风险管理与内部控制工作团队针对每名成员的特点，按照缺什么补什么的原则，制定个性化的个人能力提升方案，并通过工作业绩考评和鼓励团队考取相关资格证书等方式检验专业拓展成效。目前，风险管理与内部控制团队全体成员均取得了国际注册管理咨询师（CMC）资格证书，2/3的非会计、审计专业背景人员取得了国际注册内部审计师（CIA）资格证书，1/2的非法律专业背景人员取得了法律职业资格证书。风控工作团队“厚基础、宽专业”能力提升工程取得了切实成效。

5.3 汇聚强有力的外部专业资源

风险管理与内部控制工作专业性强，优秀的外部资源可以为2项工作开展和融合提供强有力的专业支持。Y公司结合业务开展需要，组建了律师事务所、会计师事务所等5类专业机构资源库，按照少而精的原则，每类资源库选择10家左右能与公司业务开展形成紧密协同效应的专业机构成为成员单位。公司对资源库成员实行动态管理，在吸收协同性强的新成员入库的同时，淘汰协同性差的成员出库，不断增强公司与资源库成员单位的工作协同性，公司通过多种途径与资源库成员实现信息共享和智慧融合。公司在以风险防控为导向实现风险管理与内部控制工作深度融合过程中，各类资源库成员提供了强有力的专业支持，为公司风险管理与内部控制顺利融合贡献了智慧和力量。