企業風險的內部控制管理策略研究

張祚晨

摘 要：隨著經濟形勢的改變，企業所面臨的風險日趨復雜。為了有效應對企業發展過程中的各類風險，本文從內部控制的角度出發提出企業風險管理策略。提出了企業風險管理和內部控制的五點配置機制：以風險管理作為企業內部控制的重要目標，以風險識別作為企業內部控制的業務基礎，以風險評估作為企業內部控制的關鍵內容，以風險應對作為企業內部控制的核心價值，以風險監控達成企業內部控制的閉環管理。提出了企業風險管理內部控制策略的構建方法：全員參與集體智慧構筑風險管理體系，企業內部打造風險管理日常文化氛圍，依托信息技術構建風險管理平臺系統。

關鍵詞：風險管理；內部控制；企業風險；風險評估；風險識別

隨著“一帶一路”倡議的持續推進，我國與世界經濟的對接范圍和融合深度進一步增強，這也給我國各類企業帶來了新一輪的發展機遇[1]。在這一輪中國發揮引領作用的經濟發展周期內，我國企業可以吸引更多的資金、開展更多的技術研發和國際業務、創造更高的經營績效、進一步擴大自己的經營規模并獲得更大規模的增長[2]。在絕好的發展契機之下，我國企業應該居安思危，充分意識到各種風險的存在。新的經濟形勢下，各種復雜的國際國內關系、經濟秩序和政治環境、經營過程中的未知因素和不確定性，都會給我國企業帶來前所未有的沖擊和挑戰[3]。因此，如何構建合理的風險管理模式、形成長效的風險管理機制，對未知風險防患于未然、對即將爆發的風險形成有效應對，對于我國企業長期穩定的發展具有十分重要的意義。本文中，從內部控制的角度出發，將風險管理和內部控制進行整合，形成一套完備的風險管理策略。

一、企業風險管理和內部控制的內涵

本文的研究工作，涉及了企業風險管理、內部控制、風險管理和內部控制的關系問題。因此，首先對企業風險管理和內部控制的概念進行界定并闡述分析二者的內涵及關聯。

（一）企業風險管理

企業風險管理（Enterprise Risk Management，簡稱ERM）是一個計劃、組織、領導、控制一個組織的活動的過程，其目的是使一個組織的資產及所得所受的風險影響減為最小。企業風險管理的過程不僅涉及與意外損失相關的風險，還擴展到財政、策略、運營及其他風險。

近年來，各種組織已將外部因素列為ERM中越來越重要的影響因素。行業及政府的管理機構，還有投資者，已經開始細察公司風險管理的政策及過程。越來越多行業都要求董事會檢查報告他們所管理的組織的風險管理過程的足夠性。金融機構興旺于風險商業，他們就是得益于有效的ERM的最好例子。他們的成功取決于很好地處理了增加利潤和風險管理二者間的關系。由企業風險管理又可以引發出多個延伸概念，如商業風險管理（Business Risk Management）、全面風險管理（Holistic Risk Management）以及策略風險管理（Strategic Risk Management）。

企業風險管理的對象是企業風險，企業在生產運營的過程中可能面臨的風險多種多樣，按照風險發生的邊界又可以劃分為企業內部風險和企業外部風險兩個大類。所以，企業風險管理也可以對應于內部風險管理和外部風險管理。在大多數情況下，企業風險管理會同時考慮各類風險，制定一個系統的風險管理策略，進而去區分風險發生的邊界。

（二）內部控制

所謂內部控制，是指一個單位為了實現其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手段與措施的總稱。

從風險管理的角度看，內部控制正是希望通過加強企業內部的有效管理從而實現風險管理預期目標的一種策略。對于很多類型的企業風險，正是由于企業內部結構、運營機制出現問題，才導致各類風險的發生。因此，對內部進行有效控制確實是有效防控風險發生的正確策略。

從風險發生的邊界來看，內部控制很難直接對外部風險實施應對，只能寄希望于對企業內部的管控達到對外部風險防控的效果。但是，很多外部風險是企業所在的大環境發生改變所產生的，無法通過企業內部治理就達成外部風險的解決。

二、企業風險管理和內部控制的配置機制

為了有效應對新經濟形勢下的企業風險管理問題，本文希望從企業內部控制進行設計，實現內部控制和企業風險管理的整合解決，這里從五個方面進行整合機制的配置：

（一）以風險管理作為企業內部控制的重要目標

企業內部控制是希望通過企業內部組織架構調整、各部門的協調，達到企業內部的有效治理，從而提升企業運行效率、增加企業經營收入、創造更多企業價值?？梢?，內部控制與企業經營的根本目標是契合的、一致的。而風險管理，是希望合理剖析企業經營過程中所面臨的各種不確定性因素，利用其中的有益因素創造更多的價值和財富，防控其中的不利因素避免其帶來的經營問題和價值損失。從這個角度來看，風險管理與企業經營的目標也是一致的。這樣，就形成了企業經營、內部控制、風險管理的目標統一。所以，內部控制的合理設置過程中，也要始終關注其風險管理的成效，并以風險管理作為企業內部控制的重要目標。這里需要指出的是，內部控制不要把風險中的不確定性全部扼殺掉，因為一部分不確定性是會給企業帶來正向影響的。

（二）以風險識別作為企業內部控制的業務基礎

通過上一點的分析可知，內部控制、風險管理的目標是一致的，都是為了給企業經營帶來更好的前景、更多地增加企業受益、提升企業價值。內部控制過程中，依托風險管理來制定業務內容，并以風險識別作為企業內部控制的業務基礎。這里所說的風險識別，就是判斷風險中的哪些不確定性對企業經營、未來發展是有益的，哪些不確定性對企業經營、未來發展是有害的。當風險識別工作全面開展以后，就可以對不利于企業發展的風險進行有效應對和防控，盡可能避免這些風險發生。同時，也可以挖掘對企業發展有益的不確定性，將這種不確定性轉化為企業經營的新業務或新探索。

（三）以風險評估作為企業內部控制的關鍵內容

風險評估和風險識別既有區別又有聯系，相比較而言，風險評估應該作為企業內部控制執行過程中的關鍵內容。風險識別是對風險中的不確定性進行分類，是一種定性的判斷。風險評估則是對好的不確定性和壞的不確定性進行量化，是一種定量的判斷。企業所面臨的風險中好的不確定性，是可以給企業帶來新的經營收益或價值的。但受限于企業規模、人力、物力和財力，不可能對所有的好的不確定性進行嘗試。這時，風險評估就可以讓企業有選擇性地進行那些對企業大概率有益的嘗試。當然，風險評估更重要的是評估風險中壞的不確定性，判斷其中最嚴重的、最具破壞力的風險，進行提前預防和有效應對。

（四）以風險應對作為企業內部控制的核心價值

一部分企業風險必然會轉變成實際危害，即便企業進行了事先的識別、評估，也無法完全杜絕企業風險的現實化。因為，這些風險不是可以依靠內部控制就能完全規避的，它們可能滋生于企業所依賴的外部環境，如制度環境、金融環境或市場環境。所以，企業在內部控制的執行過程中，必須對高危害風險制定應對預案，即風險真實發生后企業采取何種方案加以應對。相比于風險識別和風險評估，風險應對體現了企業的緊急事務處理能力，更體現了內部控制的核心價值。

（五）以風險監控達成企業內部控制的閉環管理

企業風險不是靜態的，不是一成不變的。隨著企業的不斷發展，企業所面臨的風險也會不斷變化。新的風險會出現，已有風險的嚴重程度也會不斷轉變。所以，以應對風險管理為目標的企業內部控制，也要不斷做出調整和新的判斷，并及時更新自己的風險應對預案。但是，風險識別、風險評估、風險應對，都依賴于有效的風險監控。只有通過風險監控，才能實現對企業風險的最及時和最準確的應對。所以，必須將風險監控納入到企業內部控制的業務范疇之內，這樣才能實現企業風險的閉環管理。

三、基于內部控制的企業風險管理策略構建

基于風險管理和企業內部控制的整合配置機制，企業構建出風險管理策略，包括三個方面：全員參與集體智慧構筑風險管理體系，企業內部打造風險管理日常文化氛圍，依托信息技術構建風險管理平臺系統。

（一）全員參與集體智慧構筑風險管理體系

企業不是管理者一個人的企業，也不是管理層一部分人的企業，它是企業全部員工所共有的企業。所以，企業的風險管理也不是管理者或管理層的特有任務，企業全部員工都應擔負起風險管理的責任。所以，企業內部控制，首先就是要樹立全員參與的風險管理意識，并充分發揮每一個人尤其是基層員工的風險識別和風險評估能力，利用集體的智慧對企業的生存環境、經營過程、未來發展進行風險監控。而這種風險監控應該是全時間段的，根據企業內外部環境條件變換不斷進行的監控。所以，企業內部控制首先就要建立一個有效的風險管理體系，這個體系應該是包括全部員工在內的一個完整體系。

（二）企業內部打造風險管理日常文化氛圍

風險管理，首先應該是一種風險意識的建構。即便是經營狀況良好、企業持續向上發展的階段，也要居安思危、時刻保持風險防控意識。尤其是在全員參與的風險防控體系之下，從領導層到基層員工，都要建立自己的風險意識，并且打造一個風險防控的文化氛圍，將其作為企業文化的一部分，納入到企業日常經營活動的過程中。只有這種風險防控的文化氛圍形成，才能時刻提醒企業內的每一個人，風險無處不在、風險無時不在，防控風險是每一個企業員工的職責和義務。打造這種文化氛圍，是企業內部治理的一項常備工作。

（三）依托信息技術構建風險管理平臺系統

風險識別、風險評估、風險應對、風險監控，可以理解為企業風險管理的常見形態。要更好地完成這些風險管理工作，就依賴于最先進的科學技術手段和工具的運用。在信息社會里，在數字技術蓬勃發展的今天，依托信息技術構建風險管理平臺是非常重要的工作，這也應該作為企業內部控制的一項關鍵工作。有了這種技術手段作為依托，有關企業風險的各種大數據就可以被及時地采集進來，進而利用數據挖掘算法進行風險識別和風險評估，實現風險的量化評估和智能判斷。

結論

新的經濟形勢給中國企業帶來了更多的發展機遇，但也帶來了更多的沖擊和挑戰。為了有效應對企業發展過程中的各類風險，本文從內部控制的角度出發提出企業風險管理策略。首先從五個方面闡述了企業風險管理和內部控制的配置機制，包括：以風險管理作為企業內部控制的重要目標，以風險識別作為企業內部控制的業務基礎，以風險評估作為企業內部控制的關鍵內容，以風險應對作為企業內部控制的核心價值，以風險監控達成企業內部控制的閉環管理。其次提出了企業風險管理內部控制策略的構建方法：全員參與集體智慧構筑風險管理體系，企業內部打造風險管理日常文化氛圍，依托信息技術構建風險管理平臺系統。

參考文獻：

[1]劉瓊暉.經濟轉型期下企業風險管理應用實踐研究——企業全面風險管理“六個一工程”[J].中國注冊會計師，2022，28（10）：113-116.

[2]楊星，張義強.中國上市公司信用風險管理實證研究——EDF模型在信用評估中的應用[J].中國軟科學， 2022，36（01）：55-61.

[3]丁友剛，胡興國.內部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[J].會計研究， 2017，35（12）：101-104.