□ 繆建亞

絕大多數(shù)的企業(yè)，為了適應市場需求和自身需要，根據(jù)國際上各類管理體系的標準健全和完善企業(yè)管理體系。如以ISO 9001為代表的質量管理體系標準、以ISO 14001為代表的環(huán)境管理體系標準等，新版的管理體系標準，明確引入了風險管理的思維。風險管理及隨之而來的內控管理也隨著美國安然事件的發(fā)生，在企業(yè)，特別是上市公司中得到重視。國家證監(jiān)會、財政部、國資委等管理機構對于企業(yè)風險管理、內控管理都提出了明確要求。

但現(xiàn)實中不少企業(yè)沒有真正理解風險管理、內控管理和管理體系管理之間的內在邏輯關系，在公司內部只是機械地、割裂地推進相關管理工作，不少公司按照咨詢機構的建議，將這些管理分別歸屬于不同的管理部門進行推進，缺乏整體的策劃和協(xié)調，公司內部也為了所謂的風險、內控和管理體系開展相關工作，企業(yè)資源沒有聚焦到其真正需要的“刀刃”上。

為有效識別、控制企業(yè)的運營風險，保障企業(yè)在當今多變的市場環(huán)境下，完成經(jīng)營目標并保持可持續(xù)發(fā)展，如何在企業(yè)中將風險管理、內控管理和體系管理有機融合，提高企業(yè)資源效率，是目前所有企業(yè)管理層均需面對的現(xiàn)實問題。

一、影響風險、內控和管理體系有機融合的因素分析

1.企業(yè)在風險、內控和管理體系的導入，來自不同的時期

管理體系認證在20世紀80年代末、90年代初引入中國，“貫標”之勢隨即在企業(yè)迅速展開。各種各樣的認證咨詢機構 “幫助”企業(yè)建立各類管理體系。

2001年美國安然公司會計造假案，引起全球對企業(yè)風險、內控的關注。2006年，國務院國資委《中央企業(yè)全面風險管理指引》是我國現(xiàn)代第一個風險管理框架，對我國風險管理具有重要指導作用。中國財政部等五部委分別在2008年和2010年發(fā)布了《企業(yè)內部控制基本規(guī)范》 《企業(yè)內部控制配套指引》，共同構建了中國企業(yè)內部控制規(guī)范體系。企業(yè)的風險管理體系、內控管理體系有不少是通過咨詢機構（許多是會計事務所）的幫助建立起來的。

2.企業(yè)的內部推進各歸不同職能部門和主管領導

企業(yè)內部管理體系的推動，由公司技術副總（管理者代表）主持；具體日常工作推進多由技術質量部門、安全環(huán)保部門主持；同時，組建管理體系內審隊伍開展管理體系內部審核工作。

企業(yè)內部風險、內控管理體系多由公司負責財務的副總（總監(jiān)）主持推動，具體由財務部門、審計部門或風控合規(guī)部門主持推進；同時，組建內控審計隊伍開展內部審計工作。

3.不同的外部評估機構依據(jù)不同的規(guī)范對企業(yè)審核、審計

風險和內控的評估，由會計事務所進行審計，出具審計報告。而管理體系的認證審核由認證機構進行，簽署體系認證證書。不同機構按照其各自不同的“游戲規(guī)則”開展工作。

二、風險、內控、管理體系有機融合的內在邏輯關系

1.管理體系是風險、內控管理的基石

企業(yè)的業(yè)務活動內容多而復雜，要有序開展經(jīng)營活動，需要通過管理體系標準的方法進行管理。管理體系的任務就是分析企業(yè)的運行環(huán)境，識別各類需求和相關方，識別風險和機會，策劃、確定管理目標，通過組織職能的明確、文件化制度體系的建立、按照策劃方案實施和執(zhí)行全過程的運作，并且通過監(jiān)控、審核和評審等機制來發(fā)現(xiàn)和解決企業(yè)運行中存在的問題，從而高效實現(xiàn)管理目標。

風險管理是對企業(yè)運行各項活動中存在的各種風險，即對實現(xiàn)目標的不確定性，進行管理。企業(yè)運行的風險，往往有程序性風險和環(huán)境變化帶來的風險。程序性風險主要是指公司運行程序本身的管理疏漏或程序本身沒有問題但執(zhí)行過程中存在的風險。而環(huán)境變化的不確定性給企業(yè)帶來的風險在當今時代更具普遍性。企業(yè)應圍繞總體經(jīng)營目標，通過管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，建立健全全面風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理的保證。

內部控制的目標是圍繞各種風險點，采取適當?shù)拇胧┖侠肀ＷC企業(yè)運營管理，提高運營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

企業(yè)的管理從公司治理到確定公司戰(zhàn)略目標和經(jīng)營管理目標，圍繞目標實現(xiàn)的不確定性，運用不同技術方法進行風險評估，針對不同風險采取不同的內控措施，通過監(jiān)控、審核、審計、評審等進行監(jiān)督，不斷改進存在的問題，最終實現(xiàn)改善的戰(zhàn)略目標。沒有良好的管理體系，無從推進風險管理和內控管理，因此管理體系是進行風險管理、內控管理的基石。

2.風險管理更加突出對管理體系目標不確定性的把握，更加聚焦風險以采取適當措施

企業(yè)風險一般可分為：重大決策過程中的戰(zhàn)略風險，如投資決策的失誤；公司經(jīng)營過程中的財務風險，如資金鏈斷裂；企業(yè)外部市場產(chǎn)業(yè)鏈供需量變化的風險，如下游產(chǎn)業(yè)發(fā)生重大調整、新競爭者的加入；公司內部運行中的各種控制風險，如生產(chǎn)安全事故、產(chǎn)品批量不合格；法律的變化所帶來的合規(guī)性風險，如國家環(huán)保政策要求的提高、煤炭使用總量控制；等等。

風險管理彌補了過去管理體系標準對于管理目標雙相性考慮的不足，當然新的管理體系標準也提出了“風險思維”的要求，明確了既要減少對目標實現(xiàn)產(chǎn)生負面影響造成的“損失”，又要抓住正面的發(fā)展“機會”。使企業(yè)在分析外部環(huán)境、確定目標時更加積極主動。

管理體系在推進過程中，特別強調持續(xù)改進，如何真正做到“糾正措施應與所遇到的不合格的影響程度相適應”，往往不易被運用者把握，管理體系審核提出的不符合項或改善建議，理論上似乎總是正確的，對企業(yè)的問題容易產(chǎn)生“眉毛、胡子一把抓”。但企業(yè)的資源永遠是有限的，企業(yè)管理者會依據(jù)自己的經(jīng)營理念和做事風格（風險癖好），運用規(guī)避、降低、分擔和承受等風險應對策略，實現(xiàn)對風險的有效控制。就如同人們將資金大膽投資于股市和謹慎存入銀行這2種不同的投資策略——高風險可能帶來高收益；反之，謹慎的策略承擔較少的風險，當然收益也有限。

3.內控管理更加提升控制層面，更加強化全組織控制

內控管理就是為了實現(xiàn)公司的各類目標所開展的對所識別出風險的內部控制活動的總稱。管理體系管理的控制層面，一般都是以企業(yè)總經(jīng)理為最高管理者的企業(yè)運行控制活動，而內控管理所涉及的層面就一直上延到公司治理層面的各項活動。

這樣就能夠依據(jù)內部控制要求，更好地使整個管理體系中最頂層的決策、監(jiān)督活動得到有效控制，能夠從企業(yè)的最頂層來把握企業(yè)的最重大決策事項，如企業(yè)發(fā)展戰(zhàn)略、對重大業(yè)務活動的監(jiān)控等。內控管理，彌補了一般體系管理所涉及不深的頂層管理，可以更好地圍繞風險管理策略目標，針對企業(yè)各項業(yè)務管理及其重要業(yè)務流程，通過執(zhí)行風險管理基本流程，識別風險并評估風險，依據(jù)風險大小分層、分類，制定并執(zhí)行規(guī)章制度、程序。因此，內控管理更加提升控制層面，更加強化全組織控制。

三、解決方案

1.準確理解風險、內控和管理體系的內在邏輯，實施統(tǒng)一策劃、管理

企業(yè)管理最根本的是實現(xiàn)企業(yè)的戰(zhàn)略目標并通過一定的短期目標（如年度、季度）進行分解推進。要實現(xiàn)目標，必然需要根據(jù)所處的環(huán)境等各種不確定因素，進行風險識別和評估，根據(jù)企業(yè)管理者的風險癖好采取一定的風險防范措施，建立完善的管理程序，強化內控管理。對運行結果，運用績效評價、審核、審計等方式開展評審和檢查工作，對企業(yè)目標進行有效性評估。如果達到管理目標，則顯示管理體系運行有效；若與管理目標存在差距，則采用各類改善活動以提高運營績效，實現(xiàn)企業(yè)管理目標。筆者建議企業(yè)將風險、內控管理體系在組織內部集中策劃，由公司董事長或總經(jīng)理親自領導，再根據(jù)具體風險由專業(yè)職能部門進行專業(yè)管理，支持公司總體目標的實現(xiàn)。

2.企業(yè)的內部審計人員、管理體系內審人員需要在相互學習中結合

作為企業(yè)運營風險的核心抓手、企業(yè)內控體系的最后一道防線，內部審計也正從傳統(tǒng)的注重合規(guī)的財務審計向關注影響業(yè)務目標實現(xiàn)的風險導向的業(yè)務流程審計轉變。同時，管理體系的審核價值也正從以管理體系標準要求為重心的符合性驗證向保障業(yè)務目標實現(xiàn)的有效性評價轉變。

基于風險的內控審計和基于業(yè)務流程的管理體系審核，不僅是審計、審核發(fā)展的趨勢，更是公司高層面對組織全面風險控制的要求。而在企業(yè)多變的運營環(huán)境下，內部審核（審計）人員的角色也需要由過去強調的“檢查者”，逐步向既是“檢查者”更是“參謀者”的角色轉變，無論從思維方式、審計（核）方法、專業(yè)技能、溝通方式和報告形式等方面均面臨著新的挑戰(zhàn)和更高的要求。這就需要兩類人員相互學習，內部審計人員要能夠在發(fā)現(xiàn)問題點時，更加系統(tǒng)全面地從業(yè)務流程思考問題；內部體系審核人員要能夠不斷補充經(jīng)營、財務方面的知識和技能，能將發(fā)現(xiàn)與改善的各種問題更加聚焦于企業(yè)經(jīng)營風險。終有一日，企業(yè)內部的審核、審計人員隊伍可以整合。

3.運作中融合才能更具生命力

風險管理、內控管理必須在企業(yè)的體系運作中緊密融合才能具有生命力。通常企業(yè)都建有相應的規(guī)章制度來保障其運作，企業(yè)各層面也都要按照企業(yè)的各種規(guī)章制度來執(zhí)行。因此，企業(yè)在推進風險管理、內控管理時，一定要在整體系統(tǒng)策劃時，有機地將風險、內控和體系管理的制度有機結合。一定要避免脫離企業(yè)實際運作狀況的、按照咨詢公司推薦的所謂固定模式或表單來形成的風險控制手冊、內控手冊。只有將風險控制、內控管理的要求緊緊與企業(yè)正常運行中采用的規(guī)章制度結合，才能真正有效、持久地將風險管理、內控管理根植于企業(yè)運行系統(tǒng)。某領域的單體風險控制不好，會導致公司某領域的整體風險，公司整體風險進一步會導致公司經(jīng)營風險，最終影響公司目標的實現(xiàn)。

多數(shù)企業(yè)管理體系所制定的規(guī)章制度，對于企業(yè)內部的運行風險，在風險的識別環(huán)節(jié)，沒有明顯顯示出來，通過風險管理的推進，使管理體系在制定規(guī)章制度過程中更加清晰地識別和展現(xiàn)出業(yè)務活動中所存在的風險點，使得控制更加聚焦于風險，也能夠引導審核人員在審核中抓住業(yè)務的核心控制環(huán)節(jié)，盡量減少輕重不分的繁復狀況。

此外，內部控制能夠更加聚焦于企業(yè)運行活動中的風險控制點，將企業(yè)運行中許多不相容的職責更加清晰地展現(xiàn)出來，同時對于控制點的控制要求（如準確的職位要求；授權的大小，特別是涉及經(jīng)濟類授權，必須書面明確數(shù)量、金額等；例外的處置；等等）也在企業(yè)規(guī)章制度中得以體現(xiàn)。

四、結論

企業(yè)對風險、內控和體系管理需要進行系統(tǒng)性思考和策劃。管理體系是風險、內控管理的基石。內控管理更加提升控制層面，更加強化全組織控制。風險、內控管理必須在體系運作中融合才能更具生命力。在體系管理中融入風險管理、內控管理，使得管理的內涵得到提升。企業(yè)的內部審計、管理體系內審需要在相互學習中結合，二者的整合是發(fā)展方向。企業(yè)只有將風險、內控和管理體系進行有機的融合管理，避免企業(yè)資源浪費，才能提高企業(yè)的運行效率。