探討企業(yè)風險管理與內(nèi)控體系建設(shè)

　　一、風險管理與內(nèi)部控制體系概述

　　1.1 風險管理的概念

　　國際內(nèi)部審計師將風險定義為發(fā)生某種影響目標完成的事件的不確定性，用該事件的后果和可能性來衡量風險的大小。風險管理主要是從控制的角度來進行定義，是指企業(yè)進行管理、控制以及監(jiān)督風險的相關(guān)政策以及程序。風險管理的核心目標在于運用測量以及分析等手段來處理企業(yè)經(jīng)營過程中面對的各種不確定性，以便優(yōu)化企業(yè)承擔風險的規(guī)模和結(jié)構(gòu)，同時平衡風險及回報之間的關(guān)系。風險管理的最終目的是讓企業(yè)追求回報最大化的同時承擔最小的風險。

　　1.2 內(nèi)部控制體系的概念

　　為了實現(xiàn)經(jīng)營目標，以防范風險為目的所制定的一系列規(guī)章制度和方法稱之為企業(yè)內(nèi)部控制體系。企業(yè)內(nèi)部控制體系的主要作用在于職責分離、授權(quán)批準、相互制約和監(jiān)督檢查。內(nèi)部控制體系的五要素為內(nèi)部環(huán)境、控制活動、風險評估、信息與溝通以及內(nèi)部監(jiān)督等。

　　1.3 風險管理與內(nèi)部控制的關(guān)系

　　風險管理和內(nèi)部控制都是企業(yè)發(fā)展過程中的重要促進因素，有著十分緊密的聯(lián)系。從主流的COSO企業(yè)的風險管理和內(nèi)部控制的框架出發(fā)，內(nèi)部控制是風險管理的重要組成部分，也是進行風險管理的必要環(huán)節(jié)，如果內(nèi)部控制系統(tǒng)缺失，那么風險管理也就無從談起，內(nèi)部控制是進行風險管理的必要基礎(chǔ)，風險管理是層次更高且綜合性更強的一種控制活動。風險是企業(yè)制定內(nèi)部控制系統(tǒng)的主要依據(jù)，內(nèi)部控制又是企業(yè)所采取的風險管理措施。因此企業(yè)風險管理和內(nèi)部控制應(yīng)同時得以足夠重視，并不斷健全以風險管理為核心的內(nèi)控體系制度。

　　二、基于風險管理的內(nèi)控體系建設(shè)

　　2.1 完善內(nèi)部環(huán)境

　　完善的企業(yè)內(nèi)控體系依托于良好的內(nèi)部環(huán)境，企業(yè)內(nèi)部環(huán)境主要由治理結(jié)構(gòu)、機構(gòu)的設(shè)置和權(quán)責利分配、企業(yè)文化、企業(yè)的管理哲學、企業(yè)經(jīng)營理念和風格以及人力資源管理等內(nèi)容共同構(gòu)成。在內(nèi)部環(huán)境的各項構(gòu)成要素中，董事會屬于最重要的組成部分，董事會的職能是否完善，董事會的職能發(fā)揮水平等都對其他各項要素具有十分重要的影響作用。所以必須建立完善的企業(yè)董事會職能體系。此外建立健全企業(yè)內(nèi)部文化也是完善內(nèi)部環(huán)境的重要一環(huán)，例如通過定期組織培訓、經(jīng)驗交流會、公司內(nèi)刊等多種形式，宣傳公司內(nèi)部控制理念，分步驟分階段將內(nèi)部控制融入經(jīng)營管理活動，逐步形成內(nèi)部控制文化。

　　2.2 完善風險評估

　　風險評估是企業(yè)完善內(nèi)部控制體系的關(guān)鍵環(huán)節(jié)和重要內(nèi)容。所謂風險評估主要是指及時的識別并且科學的分析影響企業(yè)戰(zhàn)略以及經(jīng)營管理目標實現(xiàn)的各種不確定因素，且能夠采取相應(yīng)的策略加以解決的過程。風險評估主要由目標設(shè)定、風險識別、風險分析以及風險應(yīng)對等內(nèi)容組成。企業(yè)應(yīng)及時識別業(yè)務(wù)流程中易發(fā)生高風險的業(yè)務(wù)板塊，完善企業(yè)各項管理制度和管理政策，提升對各項違規(guī)行為的管控水平，及時制定相應(yīng)的補救措施，將風險因素造成的損失降至最低。

　　2.3 完善控制活動

　　2.3.1 授權(quán)審批

　　授權(quán)審批主要包含兩方面的內(nèi)容。一方面是關(guān)于采購活動的授權(quán)審批，另一方面是合同簽訂過程的授權(quán)審批。例如當企業(yè)的采購活動是通過單一來源渠道且非招標形式確定的，就需要企業(yè)內(nèi)控部門依據(jù)項目的重要程度進行全過程的監(jiān)督工作，且在相關(guān)文件中進行會簽。公司的管理層應(yīng)對相關(guān)部門公開公正并實現(xiàn)充分的授權(quán)；對于合同的簽訂方面， 應(yīng)首先依據(jù)合同會簽的程序和合同管理的各項規(guī)定進行，然后由合同的承辦部門、財務(wù)部門、法律事務(wù)部門的經(jīng)辦人員以及部門的負責人對合同條款進行會簽，保證合同條款中規(guī)定的費用、質(zhì)量標準等均符合相關(guān)標準及法律法規(guī)的規(guī)定，有效實現(xiàn)合同簽訂的事前控制。

　　2.3.2 業(yè)績評價與考核

　　有效的業(yè)績評價控制是管理層能夠隨時分析企業(yè)經(jīng)營的績效，詳細記錄企業(yè)經(jīng)營成果，并將該成果和預(yù)期目標進行比較，以確定企業(yè)目標是否完成的一種控制活動。例如某集團企業(yè)通過制定《內(nèi)部控制評價與考核辦法》，確定內(nèi)控評價與考核工作的基本政策要求，一方面對所屬公司執(zhí)行集團統(tǒng)一的管理要求情況進行監(jiān)督檢查，避免出現(xiàn)重大經(jīng)營和管理風險事件，落實集團化管控。另一方面通過建立內(nèi)控管理績效考核體系，將“內(nèi)控管理情況”作為指標納入集團年度經(jīng)營績效考核，加強公司領(lǐng)導(dǎo)班子對內(nèi)控管理工作的重視程度，為集團內(nèi)控管理建設(shè)、評價與考核提供保障。

　　2.3.3 職責分離

　　現(xiàn)代社會分工越來越細，職責也越來越明顯。通過合理的分工將責任進行明確的劃分，能夠切實有效的完善企業(yè)經(jīng)營管理控制活動，通過合理分工將相容的職責分派給同一員工，不相容的進行分離處置，可以防止舞弊，降低了企業(yè)經(jīng)營過程中的風險。

　　2.4 完善信息與溝通機制

　　信息與溝通是企業(yè)正常發(fā)展過程中必要的方式，企業(yè)應(yīng)積極建立和完善有效的信息與溝通機制，通過信息的收集→處理→傳遞程序，實現(xiàn)信息的動態(tài)管理。

　　通過對信息的收集、分析和溝通，及時了解市場中客戶需求的變化以及競爭對手的調(diào)整，并且及時調(diào)整信息溝通機制，通過信息和需求之間的一致性，實現(xiàn)企業(yè)各種經(jīng)營管理活動的有效運作，并確保企業(yè)管理層的有效交流和職責的及時履行，實現(xiàn)企業(yè)的戰(zhàn)略目標。

　　2.5 完善內(nèi)部監(jiān)督機制

　　2.5.1 制定內(nèi)部審計工作規(guī)范和流程

　　內(nèi)部審計工作規(guī)范一般包括：審計立項與授權(quán)、審前準備、審計實施、審計報告、后續(xù)審計及審計評價等方面。內(nèi)審部門依據(jù)內(nèi)部審計工作規(guī)范，組織審計隊伍，合理分工，明確責任。并且應(yīng)依據(jù)獨立性、勝任力以及職業(yè)道德等原則來確定審計組長、審計員工的人選并明確其合理分工。

　　2.5.2 加強審計整改

　　內(nèi)審部門應(yīng)根據(jù)實際情況，適時安排實施審計跟進工作。例如為追蹤內(nèi)控體系整改落實情況，對公司的內(nèi)控整改情況進行評價。經(jīng)過評價與整改，公司的內(nèi)控體系進一步優(yōu)化，經(jīng)營管理流程日趨完善。

　　2.5.3 持續(xù)優(yōu)化監(jiān)督機制

　　通過詳盡分析企業(yè)內(nèi)部控制監(jiān)督中存在的各項問題，采取改善措施持續(xù)優(yōu)化監(jiān)督機制。例如監(jiān)督過程不到位不及時，監(jiān)督缺乏持續(xù)性，監(jiān)督缺乏自我評估以及相互之間缺乏牽制力等風險因素，依據(jù)事前事中的評估，廣泛的監(jiān)督、制度保障以及自我評估等，同時借助外部的力量，加強考核和補充監(jiān)督機制框架，通過完善的企業(yè)內(nèi)審組織體系，有效的監(jiān)督和評價企業(yè)日常經(jīng)營活動以及內(nèi)部控制活動，最終促進內(nèi)部審計的效率、效果和質(zhì)量水平。

　　總之，在當前激烈的市場競爭環(huán)境中，企業(yè)應(yīng)建立適合自身特點的風險方法和內(nèi)控體制，規(guī)范企業(yè)的日常經(jīng)營活動，提高企業(yè)防范風險能力，進而促進企業(yè)經(jīng)營目標的實現(xiàn)。