張英理

在一個充滿不確定性的市場經濟環境中，如何識別和控制風險成為企業生存與發展的重要一環，在很多情況下，往往決定了企業的成敗。內部風險控制的疏漏導致1995年英國霸菱銀行的破產、2001年美國安然公司的倒臺和2002年世通公司的丑聞，這些血淋淋的例子促使企業對風險控制的重視程度顯著提高，投入了大量的資源改造和完善內部控制的流程、操作、監督和評估。企業管理者在公司治理、經營管理和技術創新等方面下了很大的功夫去控制風險，但是公司治理結構：“形似神不似”的問題依然普遍存在，內部控制和風險管理依然是“阿客琉斯之鍾”，制約著企業的長遠健康發展。我們時常在思考，為什么會出現這樣的情況呢，企業的管理者也常常在頭痛著這樣的問題。企業所制定的內部控制體系沒有辦法確保公司得到有效的控制。

2007年，美國次貸危機在不經意之間擴散到全球，造成了象雷曼兄弟這樣的世界知名的破產清算，引起了極大的經濟恐慌。全球資本市場的信心也由此遭到了沉重的打擊，而世界經濟發展的前景也就此被蒙上了一層濃厚的陰影。究其原因是內部控制制度出現了問題。內部控制制度是企業的一項基本制度，是約束企業行為的一種規范，是國家政策、法律法規在內部管理中的具體體現，內部控制制度的建立、健全及實施情況的好壞，是企業生產經營成敗的關鍵，加強企業內部控制制度建設，不僅是《會計法》、《公司法》的基本要求，而且是企業規范創新的要求。隨著美國次貸危機引發的全球金融危機，內部控制對企業而言變得越來越重要，企業要生存、發展已離不開內部控制。內部控制已成為企業很重要的工作。

那么我們應該如何進行控制、如何發現威脅、如何建立有效地監督和控制經營活動的程序？換言之我們如何來建立一套適合自己企業生產和發展的有效內部控制體系呢？個人以為要建立適合自己企業內部控制體系應從以下三方面的內容來考慮：

1、發現、評估和確認潛在的風險。

2、明確每名管理者負責的業務流程。

3、找出薄弱環節。

發現、評估和確認潛在的風險 風險意識的淡薄常常為企業的發展帶來巨大的隱患，風險管理的落后更是阻礙了企業發展的進程。企業生產經營情況不同，所要面對的風險也不同。如果我們沒有辦法了解自己企業在生產經營活動中所要面臨到的風險，那么我們也就不會想到要去預防，更不可能會采取保護的措施。所以我們在制定內部控制體系前的第一步就是發現本企業在生產經營過程中潛在的風險。國資委將企業風險定義為未來的不確定性對企業實現其經營目標的影響，一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等，并將風險分為純粹風險和機會風險。那么我們如何來發現企業的潛在的風險呢。首先我們來看看企業在生產過程中都存在哪些方面的風險，根據國務院國有資產監督管理委員會《中央企業全面風險管理指引》，企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業帶來盈利等機會為標志，將風險分為純粹風險（只有帶來損失一種可能性）和機會風險（帶來損失和盈利的可能性并存）。《中央企業全面風險管理指引》對企業廣泛、持續收集風險初始信息也提出了明確的要求，并詳細列舉了企業管理戰略、財務、市場、法律四類常規風險所需的重要基礎信息，例如財務方面，建議企業收集償債能力、現金流、資金周轉率、盈利能力、成本核算、行業會計政策等信息。這些初始信息是風險評估活動的基礎，能幫助企業分析風險的動因、風險影響目標的路徑、風險事件的表現、各類風險之間的相互關系等，為企業管理者制定和實施內部控制明確目標和確定內部控制的重點。

公司面臨著種種風險，幾乎每一天都會有新的風險出現，這么多的風險如果光靠某一個管理者是沒有辦法應對的。從實際企業的操作業務層面來看，也并不是每個管理者都需要應對公司遇到的所有風險。如果我們能對這些風險的表現形式和危害有所了解，可以使管理者更清楚地明白自己在整個控制流程中所起的作用。需要強調的是并不是每個管理者都能夠出色的應對任何風險，我們要做的是弄清楚每個風險由誰管理，以及這些管理者如何應對風險進行評估和匯報。也就是說我們把發現的所有潛在風險根據其風險的性質以及所在的業務流程進行分解，具體落實到每一個管理者身上。比如說：負責銷售的管理者負責銷售與收款業務流程中的風險；負責采購的管理者承擔采購與付款業務流程的風險等等。

明確每名管理者負責的業務流程 通過發現、確認和評估潛在的風險，我們知道了本企業需要注意哪些風險，每位管理者負責控制哪些風險。企業面臨的潛在風險種類很多，是方方面面的，這些潛在的風險不可能有某一個管理者來全部監控，他也沒有這個能力了解和知道所有的事情，這就需要我們明確每名管理者負責的業務流程。一般企業的管理者不僅對主要業務流程負責，而且還對各種輔助業務流程有決策權。例如，很多管理者還要審批發放給新雇員的工資，或則向相關部門提交辦公用品采購申請。輔助業務也有風險，輔助業務上的疏忽同樣會給企業帶來巨大的風險和損失。比如說業務經理虛增傭金獲得額外的收入，或以公司的名義購買私人物品等等。因此，我們在制定內部控制體系時，要對每位管理者所擁有決策權的所有業務了如指掌，洞察業務流程中的每個漏洞和威脅。以此來保證我們在明確各個部門的崗位、職責和權限時，有相應完善的業務操作程序和監控流程。

找出薄弱環節 我們找到了各種風險，制定了風險的責任人，并且確定了每位管理者擁有決策權的業務流程。現在企業的管理者對公司的業務以及每一個業務流程中的具體環節也已經相當了解了。這樣我們就能分析公司管理者的職責范圍內的風險，同時我們也可以分析、找到業務流程中控制的漏洞和潛在的風險，然后來明確各個流程以及各個崗位的負責人所要控制的重點。很多時候我們單純從業務流程上，未必能夠發現一些控制的薄弱環節，或則我們可以自問自答一些問題，如：某個流程的記錄、保管和審批職能是否由同一個人全權負責？

如果有人想從公司偷東西，如何能察覺？

如果控制失靈，最大的損失是什么？損失程度不同是否有相對應的措施？等等。

通過回答這些簡單的問題，可以讓我們了解該流程中存在的薄弱環節。

要特別強調的是這一部分內容一定要根據本身企業生產以及業務流程的特點來進行分析、評估和判斷，然后根據我們得出的結論來確定控制范圍和改進控制系統。

在這里我們也有必要明確“控制”的含義。內部控制被定義為一個過程，這個過程受企業的董事會、管理層及其他人員影響。設計這個過程是為達成下列目標提供合理的保證

經營的效率和效果

財務報表的可靠性

相關法律法規的遵循

確切的說“企業內部”是由公司主要執行官、財務官或履行類似職責的人員設計或監管，受公司董事會、管理層和其他人員的影響，為財務報告的可靠性和外部財務報表編制符合企業會計準則提供合理保證的流程，具體包括以下政策和程序：

三、保留詳略程度合理的會計記錄，準確客觀地放映資產的交易和處理情況。

四、為下列事項提供合理的保證：公司對發生的交易進行了必要的記錄，從而使財務報表的編制滿足企業會計準則的要求；公司所有的收支活動均有公司管理層和董事的合理授權。

五、為防止或及時發現未經授權的資產采購、使用和處置提供合理保證，這種未經授權的采購、使明和處置資產的行為可能對財務報表發生的重大影響

這段傳實際上是說，完善的內部控制系統能夠保證會計記示完整，保證財務報告準確且符合公認的標準，以及保證公司的資產不被任意利用。證券交易委員會著重強調了對財務報告的內部控制；但由于任何形式的控制漏洞，不管是財務、運營還是監管，若未能及時發現，都可能導致嚴重的財務損失，因此我們在制定企業的內部控制體系時，一定要根據本身企業的生產經營特點，從本身企業所面臨的潛在風險出發，制定適合本企業的內部控制體系，來合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。

參考文選：

1、《中央企業全面風險管理指引》

2、胡為民《內部控制與企業風險管理一一實務操作指南》