一、开篇引入:风险与内控的重要性
最近,智能驾驶领域的明星企业纵目科技深陷经营危机的消息引发了广泛关注。曾经融资超 22 亿、与众多头部车企合作的它,如今却面临管理层集体离职、员工薪资拖欠、业务停摆的困境 。这一事件就像一面镜子,清晰地映照出企业在风险管理与内部控制方面一旦出现问题,将会引发多么严重的后果。
在如今这个充满变数的商业环境中,市场的波动、技术的快速迭代、政策的不断调整,都像隐藏在暗处的礁石,随时可能让企业这艘大船触礁搁浅。风险管理,就像是船上的瞭望员,提前发现潜在的危险;而内部控制,则如同坚固的船身结构和高效的航行规则,确保企业平稳前行。二者对于企业来说,是关乎生死存亡的关键所在。一旦风险管理失效,企业可能会盲目地驶入危险区域,面临巨大的损失;要是内部控制缺失,企业内部就会像一盘散沙,运营效率低下,资源大量浪费,甚至可能出现内部腐败等问题。
就拿曾经辉煌一时的柯达公司来说,由于未能准确预见到数码技术对传统胶卷业务的巨大冲击,在风险管理上出现重大失误,最终错失转型良机,从行业巨头走向衰落。还有安然公司,因为内部控制的严重缺陷,财务造假丑闻曝光,使得这家世界 500 强企业瞬间崩塌,无数投资者血本无归。这些惨痛的案例都在警示着我们,风险管理与内部控制是企业发展中不可忽视的重要环节。接下来,我们就深入探讨一下当前企业在风险管理与内部控制方面究竟面临着哪些棘手的问题。
二、风险管理与内部控制的关系
风险管理和内部控制,就像是企业运营这辆战车上的两个重要车轮,紧密相连,相辅相成,共同推动着企业稳步前行。
从定义和目标来看,风险管理侧重于对企业内外部各种风险的识别、评估和应对,旨在降低风险对企业目标实现的负面影响,保障企业经营的稳定性和可持续性。而内部控制则是企业为了实现战略目标,通过制定和执行一系列制度、流程和措施,对内部运营活动进行的自我约束和监督,以确保企业经营的合规性、资产的安全性以及财务信息的准确性 。虽然二者的侧重点有所不同,但它们的最终目标高度一致,都是为了促进企业的健康发展,实现企业价值的最大化。
在实际操作中,内部控制是风险管理的重要手段和组成部分。企业通过建立健全的内部控制体系,能够对风险进行有效的防范和控制。例如,通过制定严格的审批流程和权限设置,可以防止决策失误和滥用职权带来的风险;通过完善的财务管理制度和内部审计机制,能够及时发现和纠正财务风险,保证财务信息的真实可靠。可以说,内部控制就像是一张严密的防护网,将各种潜在的风险阻挡在企业之外,或者将已经发生的风险损失降到最低限度。
反过来,风险管理也深刻影响着内部控制的设计和执行。在进行内部控制建设时,企业需要充分考虑可能面临的各种风险,根据风险评估的结果来确定控制的重点和关键环节。比如,如果企业所处的市场竞争激烈,面临着较大的市场份额下降风险,那么在内部控制中就需要加强对市场调研、营销策略制定等方面的控制;要是企业面临着较高的技术创新风险,就需要在研发投入、技术人才管理等环节建立更为严格的内部控制措施。同时,风险管理的动态性也要求内部控制能够及时适应风险的变化,不断进行调整和优化。
从人员和责任层面来看,风险管理和内部控制都需要企业全体员工的共同参与。上至企业高层管理者,下至基层员工,每个人都在风险管理和内部控制中承担着相应的职责。企业管理者要为风险管理和内部控制提供战略指导和资源支持,确保相关制度和措施得以有效执行;员工则要在日常工作中严格遵守内部控制制度,积极参与风险识别和应对工作。只有全员形成合力,才能使风险管理和内部控制真正发挥作用。
三、企业风险管理面临的问题
(一)风险识别不足
在快速变化的市场环境中,许多企业在风险管理过程中,往往对潜在风险的识别不够全面,尤其容易忽视新兴风险。随着互联网技术的飞速发展,网络安全威胁日益加剧,像数据泄露、网络攻击等事件频发,给企业带来了巨大的损失。但仍有部分企业未能充分认识到网络安全的重要性,没有将其纳入风险识别的范畴,导致在遭受攻击时毫无还手之力。还有在市场波动方面,一些企业对宏观经济形势、行业趋势的变化缺乏敏锐的洞察力,未能及时察觉市场需求的转变、竞争对手的新策略等风险因素 。就拿传统的燃油汽车企业来说,在新能源汽车崛起的浪潮中,如果不能及时识别出新能源技术发展、政策导向变化等带来的风险,依然固步自封,坚持传统燃油车的生产和研发,就很可能会在市场竞争中逐渐被淘汰。这种风险识别不足的情况,使得企业在面对突发事件时反应迟缓,无法及时采取有效措施,从而陷入被动的局面。
(二)风险评估不准确
企业在进行风险评估时,常常过度依赖历史数据和经验,缺乏科学的评估模型和工具。在科技飞速发展的今天,市场环境瞬息万变,新的风险因素不断涌现,仅仅依靠过去的数据和经验,很难准确地评估当前和未来的风险。曾经有一家传统零售企业,在评估市场风险时,一直参考过去几年的销售数据和市场份额变化情况。然而,随着电商的迅猛发展,消费者的购物习惯发生了巨大改变,线上购物成为主流。该企业由于没有及时更新评估方法,仍然按照以往的经验判断市场风险,严重低估了电商对传统零售业务的冲击,导致在市场竞争中节节败退,最终不得不进行大规模的业务转型和裁员。
尤其是在复杂的商业环境中,单一的评估方法难以全面反映风险的真实情况。不同的风险因素可能具有不同的特点和影响程度,需要综合运用多种评估方法,如定性分析与定量分析相结合、情景分析、蒙特卡洛模拟等,才能更准确地评估风险。如果企业只采用单一的评估方法,比如仅依靠财务指标来评估风险,就可能会忽略一些非财务因素,如市场声誉、员工士气、政策法规变化等对企业的影响,从而导致风险评估结果出现偏差,影响企业的决策和资源配置。
(三)风险应对措施缺乏灵活性
许多企业在制定风险应对措施时,往往采取固定的策略,缺乏灵活性和适应性。一旦市场环境、风险因素发生变化,这些固定的策略就可能无法发挥作用,导致措施的有效性降低。在市场竞争中,竞争对手推出了一款极具竞争力的新产品,对企业的市场份额造成了严重威胁。如果企业仍然按照以往的竞争策略,仅仅通过降价促销来应对,而不考虑产品创新、服务升级等其他方式,就很难在竞争中取得优势。因为市场情况是复杂多变的,不同的竞争对手、不同的市场需求,都需要企业采取不同的应对策略。
此外,企业内部沟通不畅也是一个突出问题。在应对风险时,各部门需要协同作战,共同制定和执行应对措施。但在实际情况中,由于部门之间信息不共享、沟通不及时,导致各部门在应对风险时缺乏协同,影响整体应对效果。当企业面临供应链中断的风险时,采购部门可能没有及时将供应商的问题告知生产部门,生产部门在不知情的情况下继续按照原计划安排生产,结果导致原材料短缺,生产停滞。而销售部门也因为没有提前得知供应链问题,无法及时调整销售策略,安抚客户情绪,最终给企业带来了巨大的经济损失和声誉损害。
四、企业内部控制面临的问题
(一)内部控制制度不完善
许多企业在内部控制制度的设计上存在严重缺陷,缺乏全面性和系统性。一些企业的制度仅仅是对上级要求的简单照搬,没有充分结合自身的业务特点和管理需求,导致制度在实际执行中缺乏可操作性。比如,某些企业的采购制度没有明确规定采购流程中的关键控制点,如供应商选择标准、采购价格审批权限等,使得采购过程中容易出现暗箱操作、高价采购等问题。同时,制度的更新不及时也是一个普遍问题。随着市场环境的变化、企业业务的拓展以及新技术的应用,企业面临的风险和管理需求也在不断变化。然而,部分企业未能及时对内部控制制度进行修订和完善,导致制度与实际业务脱节,无法有效发挥控制作用。就像在电商行业,随着直播带货等新兴销售模式的兴起,如果企业的销售内部控制制度没有及时涵盖这些新业务,就可能在销售过程中出现订单管理混乱、收入确认不准确等问题 。此外,一些企业的岗位职责划分不清,部门之间的权力和责任交织,导致在执行内部控制制度时相互推诿、扯皮,影响了制度的执行效果。
(二)管理者对内部控制重视不足
在不少企业中,管理者对内部控制的重要性认识不足,缺乏应有的重视。他们往往将主要精力放在业务拓展和业绩提升上,认为内部控制只是一种形式,对企业的实际发展没有实质性的帮助。这种错误的观念导致企业在内部控制建设上投入的资源严重不足,内部控制体系形同虚设。有些企业管理者虽然制定了内部控制制度,但在实际工作中却带头违反制度,使得制度的权威性受到严重挑战,员工也对制度失去了敬畏之心。而且,管理者对内部控制的片面理解,仅仅将其局限于内部会计控制,忽视了对企业经营活动各个环节的全面控制。在这种情况下,企业的生产、销售、采购等重要业务环节缺乏有效的内部控制,容易出现管理漏洞和风险。比如,在生产环节,如果没有严格的质量控制和成本控制措施,可能会导致产品质量下降、生产成本上升;在销售环节,缺乏对客户信用的评估和销售合同的管理,可能会引发应收账款坏账风险 。由于管理者对内部控制的不重视,企业内部缺乏有效的沟通和协调机制,员工对内部控制的目标和要求不了解,在工作中无法有效执行内部控制制度,遇到问题时也容易相互推诿责任。
(三)风险意识薄弱
当前,许多企业在经营活动中风险意识淡薄,对潜在的风险缺乏足够的认识和警惕。在市场竞争日益激烈的今天,企业面临着来自市场、信用、操作等多方面的风险,但部分企业却没有建立起完善的风险防控体系,对风险的识别、评估和应对能力不足。一些企业在进行投资决策时,没有充分考虑市场风险、行业风险以及自身的承受能力,盲目跟风投资,导致投资失败,给企业带来巨大的经济损失。就像前几年共享经济热潮时,一些企业看到共享单车、共享充电宝等项目的火爆,不顾自身的实际情况和市场饱和度,纷纷跟风投资,最终因市场竞争激烈、盈利模式不清晰等原因,导致资金链断裂,项目失败。
企业内部控制仅仅停留在内部会计控制层面,没有将风险控制贯穿于企业经营活动的全过程。在业务流程设计上,没有充分考虑可能出现的风险因素,缺乏有效的风险预警和防范机制。一旦风险发生,企业往往措手不及,无法及时采取有效的应对措施,导致风险损失不断扩大。例如,在供应链管理中,如果企业没有对供应商的信用风险、交货风险等进行有效的评估和监控,当供应商出现问题时,就可能导致企业原材料供应中断,生产停滞,进而影响企业的正常运营。而且,企业内部各部门之间缺乏有效的风险信息沟通和共享机制,导致对风险的整体把控能力不足。不同部门可能只关注自身业务范围内的风险,而忽视了其他部门的风险对企业整体的影响,无法形成有效的风险防控合力。
(四)内部监督机制不完善
企业内部监督机制是保障内部控制有效执行的重要手段,但目前许多企业的内部监督机制存在严重缺陷。内部审计部门作为企业内部监督的主要力量,其工作范围往往局限于财务审计,对企业的经营管理活动、内部控制制度的执行情况等缺乏全面、深入的监督。在一些企业中,内部审计部门只负责对财务报表的真实性和合规性进行审计,而对于企业的采购流程、销售业务、工程项目等重要领域的内部控制执行情况却很少涉及,无法及时发现和纠正其中存在的问题。而且,内部审计部门的独立性和权威性不足,往往受到企业管理层的干预和制约,难以发挥应有的监督作用。有些企业的内部审计部门隶属于财务部门或者其他业务部门,在开展审计工作时,无法独立地进行审计判断和决策,审计结果的客观性和公正性受到质疑。
企业对内部监督结果的运用不够重视,考核与内部控制脱节。即使内部审计部门发现了内部控制存在的问题,也没有相应的整改措施和责任追究机制,导致问题长期存在,无法得到有效解决。同时,企业在绩效考核中,没有将内部控制的执行情况纳入考核指标体系,员工对内部控制的执行缺乏积极性和主动性,内部控制制度的执行效果大打折扣。例如,在某企业中,内部审计部门发现了销售部门在合同签订过程中存在违规操作的问题,但由于没有对相关责任人进行严肃处理,也没有将该问题与绩效考核挂钩,导致销售部门在后续的工作中依然我行我素,类似问题屡禁不止。
五、案例分析:问题的具象化
为了更直观地感受企业风险管理与内部控制问题的严重性,我们来看看几个经典的案例。
安然公司,曾经是美国最大的石油和天然气企业之一,在 2001 年《财富》500 强中排名第七 。然而,在 2001 年末,安然宣布第三季度 6.4 亿美元的亏损,随后美国证监会调查发现,安然以表外投资合伙形式,隐瞒了 5 亿美元的债务,并且在 1997 年以来虚报利润 5.8 亿美元。安然事件的爆发,犹如一颗重磅炸弹,震惊了整个商业世界。从风险管理与内部控制的角度来看,安然的董事会及审计委员会采取不干预监控模式,对管理层缺乏有效的监督。管理层为了追求短期的业绩指标和高额的薪酬奖金,利用创新的会计方法进行财务造假,藐视或推翻公司制定的内控制度,使得营运风险的内部控制形同虚设 。尽管安然引用了先进的风险量化方法监控期货风险,但却在最基础的内部控制上栽了跟头,最终导致公司破产,无数投资者血本无归,员工失业,也让整个资本市场对企业的信任受到了极大的冲击。
再看世通公司,作为美国第二大电信公司,事发前在《财富》500 强中排名前 100 位。2002 年,世通被发现通过将营运性开支反映为资本性开支等弄虚作假的方法,在 1998 - 2002 年期间虚报利润 110 亿美元。事发后,世通的股价从最高的 96 美元暴跌至 90 美分,并于 2002 年末申请破产保护令,成为美国历史上最大的破产个案之一 。美国证监会和法院调查发现,世通的董事会持续赋予公司 CEO 伯纳德・埃伯斯绝对的权力,使其一人独揽大权,而埃伯斯却缺乏足够的经验和能力领导公司。世通的董事会没有负起监督管理层的责任,审计委员会每年召开会议时间极短,会议记录潦草,对内部审计部门的工作缺乏有效的指导和监督。公司的高级管理层形成了一个既得利益的小圈子,为了自身利益虚报利润,完全忽视了风险管理与内部控制,最终将公司推向了破产的深渊。
巴林银行的案例也令人深思。巴林银行在 1995 年之前是英国最大的银行之一,拥有超过 200 年的历史。1992 - 1994 年期间,巴林银行新加坡分行总经理尼克・里森从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过 10 亿美元,导致巴林银行于 1995 年 2 月破产,最终被荷兰 ING 收购 。调查发现,巴林银行的高层对里森在新加坡的业务了解甚少,在事发 3 年内都无人察觉他的问题。1994 年,巴林银行其实已经发现里森账上有 5000 多万英镑的差额并进行了调查,但都被里森轻易蒙骗过去。巴林银行缺乏职责划分的机制,里森身兼交易员和结算员,这为他伪造文件、隐瞒交易损失提供了机会。同时,巴林银行的高层对财务报告极不重视,董事长甚至认为审视更多资产负债表的数据对了解集团毫无帮助。如果在破产前有人认真查看资产负债表,就能发现里森的问题。正是由于风险管理的失控和内部控制的缺失,巴林银行这个有着悠久历史的金融巨头轰然倒塌。
六、解决之道:破局之策
(一)风险管理的改进措施
建立全面风险识别机制:企业应运用多种方法,如头脑风暴、德尔菲法、流程图分析等,全面识别内外部风险。组织不同部门的员工参与风险识别活动,充分发挥各部门的专业优势,从不同角度发现潜在风险。对于市场风险,市场部门可以结合市场调研数据和行业动态,分析竞争对手的策略、市场需求的变化趋势等;技术部门则可以从技术创新的角度,识别可能出现的技术替代风险、技术研发风险等。同时,要关注新兴风险,如随着数字化转型的推进,及时识别网络安全风险、数据隐私风险等。建立风险数据库,对识别出的风险进行分类记录,方便后续的评估和管理。
引入科学评估工具:采用定性与定量相结合的评估方法,如风险矩阵、蒙特卡洛模拟等,提高风险评估的准确性。利用风险矩阵,根据风险发生的可能性和影响程度,对风险进行评级,确定风险的优先级;运用蒙特卡洛模拟,通过对大量随机数据的模拟分析,预测风险可能带来的各种结果,为决策提供更全面的依据。结合企业自身特点和行业标准,建立适合本企业的风险评估指标体系。对于金融企业,除了关注传统的财务指标外,还应重点关注信用风险指标、市场风险指标等;对于制造业企业,则要注重生产风险指标、供应链风险指标等。定期对风险评估方法和指标体系进行更新和优化,以适应不断变化的市场环境和企业发展需求。
制定灵活应对策略:根据风险评估结果,制定多元化的风险应对策略,包括风险规避、降低、转移和接受等。对于高风险且无法承受的项目,采取风险规避策略,放弃该项目;对于可以通过加强管理、改进技术等方式降低风险的,采取风险降低策略,如加强设备维护,降低设备故障风险;对于一些可以通过购买保险、签订合同等方式转移风险的,采用风险转移策略,如购买财产保险,转移自然灾害造成的财产损失风险;对于一些风险较小且在企业承受范围内的,选择风险接受策略,但要密切关注风险的变化情况。建立风险动态监控机制,实时跟踪风险的变化,根据风险的发展态势及时调整应对策略。当市场风险突然增大时,及时调整投资组合,降低风险暴露;当出现新的风险因素时,迅速评估其影响,并制定相应的应对措施。
加强培训与意识提升:定期组织风险管理培训,提高员工对风险管理的认识和理解,增强员工的风险意识。培训内容应包括风险管理的基本理论、方法和工具,以及企业的风险管理制度和流程。邀请专业的风险管理专家进行授课,分享实际案例和经验,让员工更好地掌握风险管理知识。将风险管理纳入员工绩效考核体系,激励员工积极参与风险管理工作。对在风险管理中表现突出的员工给予奖励,对因忽视风险导致损失的员工进行相应的处罚,促使员工在日常工作中更加注重风险防范。
建立信息共享平台:搭建企业内部的风险管理信息共享平台,实现各部门之间风险信息的及时传递和共享。通过该平台,各部门可以实时了解企业面临的各类风险情况,为协同应对风险提供支持。在平台上设置风险预警功能,当风险指标达到设定的阈值时,自动发出预警信息,提醒相关部门及时采取措施。利用大数据、人工智能等技术,对风险信息进行分析和挖掘,为风险管理决策提供更精准的支持。通过对海量的市场数据、客户数据、财务数据等进行分析,发现潜在的风险趋势和规律,提前制定应对策略。
(二)内部控制的优化策略
完善内部控制制度:结合企业自身的业务特点、组织架构和管理需求,制定全面、系统、可操作的内部控制制度。明确各部门、各岗位的职责权限,避免职责不清导致的管理混乱和风险隐患。在采购制度中,详细规定采购流程的各个环节,包括供应商选择、采购谈判、合同签订、验收付款等,明确每个环节的责任人和审批权限;在销售制度中,规范销售合同的签订、执行、收款等流程,加强对客户信用的管理。定期对内部控制制度进行修订和完善,使其适应企业发展和市场变化的需求。随着企业业务的拓展、技术的创新以及法律法规的调整,及时更新内部控制制度,确保制度的有效性和适应性。建立内部控制制度的评估机制,定期对制度的执行情况进行检查和评估,发现问题及时整改。
提高管理者重视程度:加强对企业管理者的培训,使其深刻认识到内部控制对企业发展的重要性,增强管理者对内部控制的重视程度。通过培训,让管理者了解内部控制的基本原理、目标和方法,以及内部控制在防范风险、提高企业运营效率等方面的作用。管理者要以身作则,带头遵守内部控制制度,为员工树立良好的榜样。在企业决策过程中,充分考虑内部控制的要求,确保决策的科学性和合规性。将内部控制的执行情况纳入管理者的绩效考核指标,对内部控制执行不力的管理者进行问责,促使管理者积极推动内部控制工作的开展。建立健全内部控制的领导机制,明确管理者在内部控制中的领导责任,确保内部控制工作得到有效的组织和实施。
增强风险意识:开展风险意识培训,提高全体员工对风险的认识和敏感度,使员工在日常工作中能够主动识别和防范风险。培训内容可以包括市场风险、信用风险、操作风险等各类风险的特征、表现形式和防范方法,以及风险与企业发展的关系。通过案例分析、模拟演练等方式,让员工更加直观地感受风险的影响,提高员工应对风险的能力。将风险意识融入企业文化建设中,营造全员参与风险管理的良好氛围。通过企业内部刊物、宣传栏、培训活动等多种渠道,宣传风险管理的理念和方法,让员工在潜移默化中增强风险意识。建立风险预警机制,及时发现和报告潜在的风险,为企业采取应对措施争取时间。当市场出现异常波动、企业财务指标出现异常变化等情况时,能够迅速发出预警信号,提醒企业管理层和相关部门关注。
健全内部监督机制:加强内部审计部门的独立性和权威性,提高内部审计的地位,使其能够独立地开展审计工作,不受其他部门的干扰和制约。内部审计部门应直接向董事会或审计委员会负责,确保审计结果能够得到及时、有效的处理。拓宽内部审计的工作范围,不仅要关注财务审计,还要加强对企业经营管理活动、内部控制制度执行情况的审计。对采购、销售、生产等关键业务环节进行定期审计和专项审计,及时发现和纠正其中存在的问题。建立健全内部监督的考核机制,将内部控制的执行情况与员工的绩效考核挂钩,对内部控制执行良好的部门和个人给予奖励,对违反内部控制制度的行为进行严肃处理。加强对内部监督结果的运用,根据审计发现的问题,及时调整和完善内部控制制度,优化业务流程,提高企业的管理水平。
七、总结与展望
风险管理与内部控制是企业稳健发展的基石,在风云变幻的市场环境中,它们的重要性不言而喻。从前面探讨的问题和案例可以看出,当前企业在风险管理与内部控制方面存在诸多不足,这些问题如不及时解决,将会给企业带来巨大的隐患。
风险识别不足、评估不准确以及应对措施缺乏灵活性,使得企业在面对风险时犹如盲人摸象,无法准确把握风险的本质和影响,更难以采取有效的应对策略,从而导致企业在市场竞争中处于被动地位,甚至可能遭受重大损失。内部控制制度不完善、管理者重视不足、风险意识薄弱以及内部监督机制不健全等问题,也严重影响了企业的运营效率和管理水平,容易引发内部管理混乱、资源浪费、腐败等问题,削弱企业的竞争力。
解决这些问题刻不容缓。企业应积极行动起来,建立全面的风险识别机制,引入科学的评估工具,制定灵活的风险应对策略,加强风险管理培训,提高员工的风险意识,从而提升风险管理水平。同时,要完善内部控制制度,提高管理者的重视程度,增强全体员工的风险意识,健全内部监督机制,确保内部控制的有效执行。只有这样,企业才能在激烈的市场竞争中立于不败之地,实现可持续发展。
展望未来,随着市场环境的不断变化和企业的发展壮大,风险管理与内部控制将面临更多的挑战和机遇。企业需要不断创新和完善风险管理与内部控制体系,适应新的市场形势和企业发展需求。加强风险管理与内部控制的信息化建设,利用大数据、人工智能等先进技术,提高风险识别、评估和控制的效率和准确性;加强风险管理与内部控制的国际交流与合作,学习借鉴国际先进经验,提升企业的风险管理与内部控制水平。相信在企业的共同努力下,风险管理与内部控制将在企业发展中发挥更加重要的作用,为企业的稳健发展保驾护航。