浅析企业风险控制体系的建设

摘要：企业的内部控制是风险管理过程中的重要环节，两者相辅相成，相互依托又彼此成就，二者共同打造了企业的管理体系。以风险为导向，将内部控制嵌入风险管理的全过程，通过“关键控制点”统一规范风险管理与内部控制要求，构建合二为一的风险控制体系，更能促进企业持续健康发展。本文从内部控制和风险管理的关系出发，分析企业建立风险控制体系的现实意义，针对目前企业风控体系建设存在的主要问题，提出具体的优化建议。

关键词：风险控制体系；内部控制；风险管理

一、企业风险控制体系的概述

（一）企业风险管理与内部控制的关系。首先，全面的风险管理包括内部控制。全面风险管理的一系列具体活动并不都是内部控制，全面风险管理的八个要素除了内部控制的五个要素外，还包括目标设定、事件识别和风险应对三个要素。内部控制主要负责风险管理过程中及以后的重要活动，主要是通过事后控制和过程控制来实现自身的目标，如风险评估和控制活动、信息和沟通活动、监督评审并纠正缺陷等。而全面的风险管理贯穿于管理过程的各个方面，控制手段不仅体现在对事中的控制和事后控制上，更重要的是在事前设定目标时充分考虑了风险。两者最明显的区别是，内部控制并不负责确立企业的具体经营目标，而只是对目标的评价过程，尤其是对目标和战略计划制定过程中的风险进行评估。其次，内部控制是全面风险管理的必要组成部分，内部控制的动力来自于对风险的识别和管理。从定义来说，内部控制是实现企业管理目标的合理保证，良好的内部控制能够合理地保证企业经营的合规性，财务报表的真实性和可靠性，可以合理保证经营的效率与效益。而企业进行全面风险管理所要达到的基本状态正是合规经营、真实的财务报告和高效的运营。（二）企业建设和实施风险制控体系的应遵循的原则。首先，全面性原则。决策层、管理层和全体员工共同实施，覆盖公司各业务，贯穿管理各层级，实现决策、执行、监督全过程管控；其次，重要性原则。在全面覆盖的基础上，重点关注高风险领域、主要经济活动和重要业务事项，明确关键控制环节，制定风险应对措施，防范重大风险；然后，标准化原则。与国际国内标准保持衔接，建立企业级风控体系，统一风险框架与内部控制标准，规范风控工作机制和流程，协同高效推进企业风险防控工作；最后，持续改进原则。通过建立设计、执行、评价及改进闭环管理机制，动态适应业务范围、组织架构、风险水平等变化，帮助实现企业风控体系持续完善与提升。

二、企业建立风险控制体系的现实意义

（一）有助于促进企业发展目标的实现。我国《企业内部控制基本规范》及其配套指引充分吸收了全面风险管理的理念和方法，强调内部控制与风险管理的整合与统一。在我国内部控制规范体系下，加强内部控制是为了防范和控制风险，促进企业发展目标的实现，而风险管理目标也是为了促进企业实现发展目标，两者都要求将风险控制在可承受的范围内。从这个意义上说，内部控制与风险管理不是相互对立的，而是作为一个整体协调统一的。（二）有助于精细化地加强风险管理。全面风险管理所应对的是企业的所有风险，内部控制通常控制企业内部可控的风险。因此，当企业完成风险识别、风险评估，制定风险管理策略时，需要围绕企业发展战略和目标，根据自身条件和外部环境，确定风险偏好、风险承受能力和风险管理有效性标准，选择风险应对策略，采取不同的控制措施。（三）有助于实现企业预期效益内部控制体系的建设和全面风险管理体系的建设都是系统工程，两者在内涵上有一定重合，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本条件。因此，从成本的角度来看，将全面风险管理体系和内部控制体系相结合，建立统一的风控体系更能实现全面风险管理的平衡性原则，合理权衡风险与回报、成本与收益之间的关系，以最为适当的成本实现有效控制。

三、目前企业风控体系建设存在的主要问题

（一）风险管理的岗位职责不明。有些集团公司高度集权管理，有些企业标准化运作要求不高、管理基础薄弱，多数小微企业长期处于低投入、低成本运营，风控体系组建不完整，职能配置不合理，岗位缺失，形成了组织虚设，管理无序的局面，不能明确各自在风控体系中的地位与承担的责任、对风险管理界限模糊、职权把握不准确，导致在管理过程中方向不明、过程混乱、范围重叠或遗漏。（二）分层授权管理制度不健全。因为未建立法人授权、合同授权、资金分级授权等授权审批机制或授权不当，企业控制活动的话语权、决策权，往往掌握在高层手中，理应由集体决策的“三重一大”事项，但因少数人控制和干预，容易出现个人超越授权指定供应商、带病提拔干部等“一支笔”和“一言堂”情况。（三）风险评估缺乏持续性少数企业识别了相关风险，评估后制定了内部控制制度，对相关业务实施执行，但未根据企业不同时期和发展规模，持续和重复实施风险评估，分析后续发生风险的可能性和影响程度，未定期对内部控制设计与运行情况进行全面评价，导致风险管控双重预控机制不能有效实施。（四）企业内部监督机制不健全。多数企业未建立内部审计、监察等监督机制，有的企业监督职能未完全发挥作用，监督没有重点，浮于表面，走过场，重要岗位的监督措施和监督责任不明确。有的企业未建立风控责任追究机制，未将风控建设、执行等情况纳入企业负责人年度业绩考核和全员绩效考核体系，监督机构或人员只是完成工作，监督乏力。（五）风险管理缺乏方法与信息应用。一般企业主要采用定性评价进行风险评估，人为确定风险类别和风险发生的可能性，由于人的主观影响较大，缺乏定量的评估方法来支持风险评估的正确性，缺乏专业的风险管理信息系统软件和风险数据库系统，不能及时进行信息共享，各部门间不能迅速进行信息沟通，不利于企业进行全面、全方位的风险管理。

四、企业优化风控体系建设的具体建议

为了贯彻落实党的精神，紧密结合国家宏观政策和行业发展趋势，立足企业战略目标，建立健全以风险管理为导向、内控流程为载体、规章制度为保障、授权管理为约束、内控评价为手段、信息系统为支撑，全面覆盖、全员参与、全程管控、高效协同、防范有力的风控体系，目的是预防和控制可能对企业造成损失的纯粹风险，并通过对机会风险的管理创造企业价值。具体建议包括：（一）构建完整的组织体系。高效严密的风控体系建设需要董事会、风险管理委员会、审计委员会、监事会、经理层、各业务部门、内审部门、企业员工共同参与并承担相应的职责。首先是建立风险管理委员会，一个有效的不受干扰、能独立开展工作的风险管理委员会是极为重要的，它必须能够制定风险管理的方针大略；同时还是要建立风险管理职能部门，应保持独立性和权威性，需要有一批专业化的风险管理与技术人员。设立董事会领导下的审计委员会，保证内部审计机构设置、人员配备和工作的独立性。其中风控三道防线的运作机制是：风委会统筹组织公司风控管理工作，强化跨专业、跨单位、跨层级间的沟通协调；风控办负责做好组织协调工作，加强风控日常管理；各专业部门强化管控职能，增强对风控管理的主动性和自觉性，确保管控有效执行。（二）严格管理流程。严格的授权管理和集体决策程序，明确授予的权限范围、应遵循的审批流程、应承担的相应责任，各管理层级应当在授权范围内行使职权并承担责任，企业重大业务和事项的审批要进行集体决策或者联签，任何个人不得单独决策或擅自改变集体决策。还要明确业务流程关键环节、关键控制内容、权限授予标准、监督评价程序及制度依据。利用流程图方式全貌展示业务概况，标示业务流程关键环节，并通过“关键控制点”统一规范风险管理与内部控制要求，明确授权事项及标准，帮助业务人员快速掌握业务管控的要点。（三）加强风险分析与评估。企业应明确业务活动面临的主要风险以及可能引发风险的具体成因，明确管理职责，将风险与业务活动、关键控制点、主责与配合岗位进行关联，强化风险管控的导向作用，推动风险控制管理与业务活动的有机衔接，指导各专业以重点风险防控为中心开展日常业务，实现风险管控有效实施。与此相对应，企业应组织开展专项风险评估，对重大风险分布情况进行预判，及时提醒和警示，引导专业风险管理重点，落实风险事件及时报告制度。组织开展年度风险评估与内控评价工作，编制年度风险评估报告和内部控制评价报告，经风委会审议后报送董事会。（四）提高监督力度与质量。制定与关键控制点相匹配的监督评价程序，明确监督评价的制度依据，既能强化企业的自律，为各种业务岗位的自我评价提供参考，也能加强监督与他律，为企业的综合评价提供规范、科学的规则与程序。同时，细化评价标准，强化考核力度。通过专业风险管理典型经验评比，建立专业风险典型案例库等工作，推动各部门风控管理经验交流。将风控管理关键指标融入各部门业绩考核，借助年度业绩考核责任书细化评价和考核标准，层层分解落实到部门、员工，有力推动各项关键管控指标的监控和考核结果的落地。（五）加强信息化建设。加强信息系统建设，推进业务全面数据化，探索建立大数据分析系统，搭建并完善移动应用平台，做好现有系统的深化应用和数据标准化，预留数据接口，做好风控标准数据共享，提高风控管理信息化水平。

参考文献

［1］袁学玉.内部控制--企业风险管理的重要保障［J］.财经界,2019（3）.

［2］邵锋祥.某企业风险管理现状分析与改善研究［J］.现代商业,2019（23）.

［3］邵玲霞.企业风险管理与内部控制体系化建设的思考［J］.纳税,2019（27）.

作者:田志杰 单位:四川九寨鲁能生态旅游投资开发有限公司