浅析国有企业内部控制与全面风险管理

浅析国有企业内部控制与风险管理

海南省洋浦经济开发区审计办    罗秋华

【内容摘要】 本文从国务院各部委颁布的内部控制规范和风险管理有关法规政策出发，通过对内部控制与风险管理的联系和区别进行比较, 针对目前我国国有企业内部控制与风险管理的现状，分析了其形成原因，并提出了运用风险管理方法构建风险导向型内部控制体系，形成“自我免疫机制”的对策与建议。

【关 键 词】国有  企业  控制  规范  风险  机制

2008年，由美国次贷危机引发的全球金融海啸,引起我国各行各界对企业的内部控制与风险管理体系建设和评价达到了前所未有的重视程度。国有企业掌握着我国国民经济的命脉，关系着我国经济发展的成败兴衰。为了有效控制企业风险，我国相继出台了一系列法规政策，2006年6月国资委出台了《中央企业全面风险管理指引》,目的是促进中央企业内部控制建设和全面风险管理工作；2008年6月财政部会同审计署等五部委联合发布了《企业内部控制基本规范》，2010年4月财政部会同审计署等五部委再次发布了《企业内部控制配套指引》，基本规范和配套指引共同构建了中国企业内部控制规范体系，对企业防范风险、控制舞弊、促进发展产生积极推动作用。本文通过对比内部控制与风险管理的联系和区别, 针对目前我国国有企业内部控制与风险管理的现状，分析了其形成原因，并提出了运用风险管理方法构建风险导向型内部控制体系，形成“自我免疫机制”的对策与建议。

一、内部控制与风险管理的联系和区别

内部控制与风险管理是一对既相互联系又相互差别的概念。内部控制是指企业为了合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略，由董事会、监事会、经理层和全体员工设计与实施的政策和程序，旨在实现控制目标的过程。风险管理是一个由企业董事会、经理层和全体员工共同参与的，应用于企业战略和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

两者相同点：（1）两者的目标有一致性，都是为了提高经营效率和效果、经营合法合规、财务报告可靠、资产安全、实现发展战略等5个目标，首要目标提高经营效率和效果，终极目标是实现发展战略；（2）都强调是全员参与的管理，是由企业董事会、管理层以及全体员工共同实施的，指出各方在内部控制或风险管理中都有相应的角色与职责；（3）也都是企业全方位的管理，明确是一个持续不断的“过程”，其本身并不是一个目标，而是实现目标的一种工具和手段，都是渗透于企业日常管理过程中的一系列行动，需作为一种常规运行的机制来建设；（4）都是为企业目标的实现提供合理保证，而不能提供百分之百绝对保证。

两者的差别主要体现在：（1）在报告目标的范围上风险管理有所扩展, 将“财务报告的可靠性”发展为“报告的可靠性”，报告范围由“财务报告”扩展到“内部的和外部的”“财务的和非财务的”报告，涵盖了企业的所有报告；（2）在内容上风险管理更丰富，引入了风险管理文化、风险偏好、风险承受度以及风险应对策略等新概念；（3）两者侧重点不一样，风险管理更偏向过程的前端，更偏向于对影响目标实现因素的识别、分析、评估与应对，是一个更为独立的过程，而内部控制更加重视实施，嵌入到企业各业流程的具体业务活动中，融合在企业的各项规章制度之中。

可见，内部控制与风险管理既相辅相成、又各有侧重的现代管理元素，不存在包涵或被包涵关系，也无法完全替代，两者都是公司治理极为重要的组成部分。

二、目前我国国有企业内部控制与风险管理的现状

　　从目前总体情况来看，我国国有企业内部控制与风险管理建设工作还处于起步阶段，基本上都建立了自已的内部控制体系，也有一些风险管理策略，但其内部控制和风险管理的水平和效果尚不容乐观,实际执行中存在诸多问题,主要如下：

1、法人治理结构不完善,内部人控制现象严重。现阶段我国绝大多数国有企业虽然进行了公司制改造，但其法人治理结构普遍存在问题，设计不科学，股东会、董事会和监事会等核心机构形同虚设，审计委员会、风险管理委员会、董事、独立董事和监事会只是形式上挂个名，没有实际行使监督治理职责，导致董事不“懂事”、独董不“独立”、监事不“干事”。企业管理者集控制权、执行权和监督权于一身，内部人控制现象严重，自觉不自觉地凌驾于内部控制之上。

 2、内部控制制度缺乏系统性，制度执行流于形式。绝大多数国有企业都建立了比较多的内部控制制度，其内容应有尽有，但制度间缺乏有效衔接，甚至存在“互相打架”现象。一些新开展业务领域，其风险容易发生的关键环节没有有效控制措施。制度执行流于形式，主要有3种情形：一是执行不到位，出现制度与实际执行“两层皮”现象，纸上写的、墙上挂的是一套，执行的是另一套；二是不愿意执行，因人员数量不足、水平不够、能力有限，以忙于具体工作业务为由没时间去执行；三是故意不执行，为谋求个人利益，先把水搅混，好从中摸鱼。

3、内部审计机构不健全，内外部监督未形成有效合力。有的没有设立内部审计部门，有的内部审计部门与财务或纪检合署办公，有的虽然单独设立了内部审计部门却形同虚设,不具备真正意义上审计的独立性，从而缺乏客观性，发现不了问题，或者发现了问题也不让追查，内部审计没有发挥其应有监督作用。企业、注册会计师和有关监督部门在在内部控制监督评价工作中，监督标准不一，各种监督职能交叉，各监督主体缺乏横向沟通，未能形成有效合力。

4、风险管理薄弱，缺乏有效风险管理体系。企业缺乏有效对已经面临的和即将面临的风险作出系统分析、整体评价和管理风险的机制，没有制订具体的风险控制点，也没有将风险控制点分解和责任控制到岗、到人；一旦盲目扩张出现了问题，采取“头痛医头，脚痛医脚”的“灭火式”风险管理模式，抗风险能力较差。更没有将企业风险管理与内部控制有机结合起来，建立风险导向型内部控制体系。

三、原因分析

导致上述问题的产生，既有大环境下法规政策和理论研究方面存在缺陷的深层次原因，也有企业本身对内部控和风险管理制重视不够、设计制度不足、执行和监督评价不到位等方面的个性原因：

1、我国内部控制和风险管理制的理论研究和实践工作仍处在摸索阶段，其理论研究基本上借鉴美国COSO《内部控制-整合框架》、《企业风险管理-整合框架》相关理论，与实际国情、行业特点结合不够。在《配套指引》出台之前，相关法规政策条例倾向于定性描述，缺乏具体标准，没有实务操作指引，为企业内部控制的实际执行和客观评价工作带来一定难度。企业董事长、总经理、监事由上级任命，且董事会成员和管理层成员高度重叠，企业内部人集控制权、执行权和监督权于一身，经营权得不到有效的监控，容易产生滥用职权、以权谋私等现象，进而影响内部控制的实施和健全。治理结构不完善是阻碍国有企业实现发展战略的根本性问题。

2、没有风险文化，缺乏风险意识。没有风险文化，企业的风险管理机制就失去了灵魂，缺乏风险意识，是企业最大的风险源。风险管理意识不足，一方面风险意识淡薄，投机心理、侥幸心理比较重，另一方面求稳心态较重，经营偏保守，注重规避风险，而不是管理风险，不能有效控制风险并利用其发展机会。

3、企业没有对内部控制制度进行测试评价，并根据测试评价结果及时修订。内部控制评价是推动企业内部控制机制建立健全的重要手段，内部控制制度在实行之前，一定要对其完整性、有效性、符合性进行评价，及时发现问题并进一步完善。然而，许多企业在内部控制制度制订过程中，并没有对内部控制制度的有效性进行测试，对内部控制制度符合性进行评价，更没有随着国家政策调整、经营业务拓展，对内部控制制度及时修订。这是导致企业内部控制缺陷产生的根源。

4、激励机制、约束机制缺位。长期以来，对企业员工和领导干部的考核，以目标利润、经营规模完成情况为主要依据，缺乏对内部控制和风险管理等相关指标的综合考察，激励约束机制缺位，直接造成企业制度没有执行力。

5、企业普遍缺乏专业的内部控制和风险管理人才。内部控制制度制订合不合理、能否有效执行、监督评价能否公正客观，都取决于人的素质水平。企业内部控制和风险管理是一项综合性较强的管理工作，对人员素质要求较高，特别是知识新、阅历广、综合型，而企业普遍缺乏这样的人才。 

四、对策与建议

1、认真学习好、贯彻好内部控制规范。

国有企业要认真学习企业内部控制基本规范及其配套指引，根据内部控制和风险管理相关法规政策条例，并结合企业自身实际情况，制订适合、适度、适用于本企业的《内部控制与风险管理手册》。这对于指导内部控制体系建设，促进各项经营管理活动进一步规范、有序运行，增强风险防范能力等，都有极其重要的意义。

2、完善法人法理结构，解决内部人控制问题，加强企业文化建设，优化内部控制环境。

法人治理结构由企业股东会、董事会、监事会和经理层和全体员工组成，是内部控制环境的核心。规范各责任主体的职责权限，保证决策权、经营权和监督权制衡。董事会负责内部控制的健全和有效实施，经理层负责组织领导企业内部控制的日常运行，监事会负责对董事会建立与实施的内部控制进行监督。同时，企业应培育良好的企业精神、内部控制和风险管理文化，加强团队协作意识，为内部控制创造一个良好的环境。

3、构建企业、注册会计师和有关监管部门三位一体的内外部监督评价体系。

国有企业应该建立由董事会领导下的审计委员会统一管理企业的内部审计工作，赋予审计委员会监督内部控制执行情况和自我评价情况、协调内部控制审计等方面的职能，授权内部审计机构监督评价职能，增强内部审计的独立性；注册会计师要严格按照内部控制规范的要求，将内部控制审计范围覆盖企业内部控制整体，而不仅仅局限于财务报告内部控制，也可以将内部控制与财务报表进行整合审计，提高审计效率；财政部等有关监管部门要加强对企业和注册会计师执行内部控制规范体系的监督检查，同时协调监管政策，规范监管口径，形成有效监管合力。

4、建立内部控制和风险管理长效机制。

国有企业要建立对内部控制和风险管理的执行情况与管理层和全体员工的绩效考核挂钩制度，作为绩效考核的一个重要指标，通过利益约束驱使企业全体干部员工高度重视内部控制建设和风险管理。另外，要建立重大决策失误责任追究制，对造成风险损失的责任人进行责任追究，提高制度的威慑力和执行力。

5、运用风险管理方法构建风险导向型内部控制体系，形成“自我免疫机制”。

国有企业应致力于建立风险导向型的内部控制体系，即围绕影响企业目标实现的不确定因素，进行风险识别、风险评估、风险应对，并针对各个风险点制定相应的风险控制点，区分关键控制点和非关键控制点，再根据企业的组织架构、职责分工，将风险控制点层层分解到岗、到人，从而构建出贯穿于整个企业业务流程的内部控制体系。并结合企业的风险偏好，制定相应的风险应对策略，从而指导企业内部控制体系的构建。可以有效防止错误和舞弊，提高效率，确保企业战略目标的实现。

内部控制制度是风险评估和分析的产物，是企业进行有效内部控制的基础和依据，是风险管理的支点；风险管理是建立在内部控制基础上，而内部控制的实施经常运用风险管理的的方法。建立风险导向型内部控制体系，对现代企业来说，风险管理的有效性离不开权责利相制衡的体制保障。只有保证内部控制监管的独立性，明确高管层的责任，实现管理层与内审机构的相互监督，才能保证内部控制制度的有效执行，实现对风险的有效控制，形成“自我免疫机制”。

6、注重内部培养和外聘选拔，提高人员专业胜任能力。

企业内部控制和风险管理是一项综合性较强的管理工作，对人员素质要求较高，首先要熟悉国家和行业法规政策、企业业务流程和内部控制制度，其次要讲政治、懂技术（计算机运用技术和审计技术）、善沟通、会理财，具备较强的发现问题、分析问题、解决问题能力和识别风险、评估风险、控制风险的能力。企业要注重内部培养和外聘选拔相结合，提高内部控制和风险管理人员专业胜任能力。

内部控制和风险管理的完善不是一朝一夕的，是现代企业管理永恒的主题。国有企业只有不断完善法人治理结构，持续优化风险导向型内部控制体系，通过制度规避风险、机制控制风险，责任降低风险，才能为风险管理奠定扎实基础，才能提高企业经营管理效率和效果，才能在当今激烈的国内外市场经济竞争中持续健康发展,从而实现发展战略目标。