关于国有企业风险管理和内部控制实施方面几个基本问题的思考和建议
[发布时间：2014-10-19 08:36:59 点击率：]

  一、问题的提出

  财政部等五部委联合发布的《企业内部控制基本规范》及其配套指引，对于推进中国企业的健康发展，是一项里程碑式的重大成就，在全世界企业风险管理和内控发展史上，也是非常光辉的一页。从过去数年间企业推广和落实相关规范和指引的实践来看，也确实起到了增强企业各级员工特别是管理层风险管理意识、完善和健全企业风险管理和内控规章制度的巨大作用。但在实践的过程中，也暴露出了一些问题，不少企业存在着一些共同的困惑：

  1、企业，特别是大中型国有企业，由于其同时还受到国资委发布的《中央企业全面风险管理指引》的指导和约束，因此对于在并行实施过程如何理解这两者之间的差异及各自侧重点，以及如何相关配合，普遍存在着认识模糊、无从衔接的现象。

  2、银行、保险机构等行业在并行实施《基本规范》及其配套指引的过程中，感觉到其与所在行业相关的一些特别规定，如巴塞尔协议之间，在协调方面存在着较大难度。例如，巴三协议对于资本充足率、操作风险、信贷风险的计量方面，都有比较成熟的技术和工具应用，而《基本规范》及配套指引对此并无特别规定。相当一部分银行业风险管理人士甚至认为，巴塞尔协议相关规定更切合银行业的特点，银行业实施《基本规范》及配套指引是一种倒退。银行同时并行两种目标相类似的体系，既劳神费力，又影响了银行的运行效率（周玮，2008）。

  3、相当一部分已实施《基本规范》及其配套指引的企业，存在着非常浓厚的“过关”意识，一些企业的负责人和高管人员，还没有意识到企业加强风险管理和内控是企业增强核心竞争力、实现企业可持续发展的内在要求，而是将其当作是外部监管机构或者上级单位指派的一项任务，在实施过程中应付、蒙混过关的心理非常严重，而这与五部委推行《基本规范》及其配套指引的初衷无疑是背道而驰的。

  4、企业内部真正理解风险管理及内控思想、掌握具体方法和工具的人士仍然短缺，领导层对风险管理和内控的重视程度虽然与过去相比已经有了较大程度提高，但与实际需要相比仍然严重不足，对风险管理和内控实施效果的考核、激励和问责仍很不到位，信息平台建设滞后的情况较普遍。

  以上问题和现象的存在，表明很多企业在风险管理和内控的建设方面仍浮于表面，尚未实现与企业管理的真正融合。国家监管机构、代行出资人职能的国家资产管理部门对企业风险管理和内控工作的高度重视和积极推动，虽然可以帮助企业各级人员提高对风险管理和内控工作的重视程度，推进相关工作的组织部署力度，但这种外部的“倒逼机制”毕竟不能代替企业人员对于风险管理和内控工作重要性、意义和各项具体措施的真正理解和认同。

  另外，即使从世界范围来看，企业整体的风险管理和内控工作也仍是一个新兴事物，对其认识也处于一个形成和发展的过程之中，国际以及国内发布的有关风险管理和内控的理论框架、指引和规范，本身即是探索过程的阶段性产物，对于一些复杂的深层次问题语焉不详甚至不能达成一致，也是可以理解的。

  因此，对于如何完成在企业中切实落实风险管理和内部控制工作这一重要的、根本性任务来说，关键是使企业风险管理和内控工作的实施主体，也就是企业各级人员真正意识到和认同这一点，即所谓企业运营的过程，就是企业根据自己所处的运营环境、行业特点和市场需求情况，在制定了共同接受的愿景、使命、价值观，建立了合理的治理架构的基础上，制定切实可行的战略目标，建立精干高效的组织体系，并将目标合理分解落实到相关责任主体，进而对实施情况进行考核、对相关人员进行奖惩、对流程进行改进的过程。在这个过程中，企业本身的运行与外部环境是实时交互作用的，为保证这一过程的平稳、健康并能有所发展，对机会的把握和风险的管理便具有同等重要的意义。企业各级人员只有真正理解了这个全过程，才能变被动为主动，变消极应对为主动实施，变“要我搞风险管理和内控工作”为“我要开展风险管理和内控工作”。

  下面笔者结合自己对企业风险管理和内部控制的实践和思考，对于企业切实开展风险管理和内控工作提出一些初步建议。

  二、关于对企业风险管理和内控基本假设及基本概念的思考

  对于有关风险管理和内控理论的最根本问题，比如，什么是机会，什么是风险，以及它们之间的关系等等，既往的理论研究一直是非常薄弱的。一些似是而非的说法，如“机会与风险是同一问题的两个方面，两者是同时发生的”以及“收益与风险成正比，风险越大，收益就越大”等，一直被当作是风险管理和内控研究的逻辑起点和“公理”。正是由于对这些最基本问题研究的薄弱乃至缺失，直接制约了企业风险管理及内控理论及实践的发展和提升。

  （一）关于对风险管理和内控基本假设的认识

  企业是在一个广义不确定环境下运行的，但随着在政治、法律、文化及道德等因素共同作用下的良好经济秩序的建立，企业运行的可预测性已经大大增加。机会和风险都是对未来、未实现事项的判断，是可基于过往经验加以推断的、可用概率加以表述的“可能性”，两者共同从属于广义的“不确定性”。机会与风险两者都与目标实现相关，区别在于对目标实现的不同影响，其中，机会就是对达成目标有正向影响的可能性，风险就是对达成目标有负向影响的可能性。两者在逻辑上有先后次序：机会先位于风险，风险随形于机会（刘霄仑，2010）。广义的“不确定性”扣除“可能性”之后，剩下就是狭义的“不确定性”，即既无法用概率加以衡量、更不知是否会发生的部分。随着人们对已知世界认识水平的提升，狭义的“不确定性”的范畴可能会不断变化乃至逐渐缩小。

  人类在有意识行为的前提下，所做的任何事情都是有目的的。人们为了达成某个目的而实施某种行为，在实施该行为的过程中，就产生了阻碍组织目标实现的风险。与此相关的，导致目标实现的正向可能性减少的因素，可被定义为缺陷。缺陷与风险的区别在于：缺陷是实现目标过程中的“自身不完美”，具体可表现为“不足”或“不当”；而风险则源于目标实现过程中的外界负面影响，或是由缺陷导致。

  （二）关于风险和缺陷的分类

  通过对企业设立和运营阶段的分析，笔者认为，对于企业的风险和缺陷，可以按企业发展阶段或企业运营管理的层级，分为以下几类：

  1、企业设立阶段（或企业治理层级）的风险和缺陷，包括公司治理结构的风险及缺陷、战略目标设定的风险及缺陷、业务模式选定的风险及缺陷、企业价值观和文化的风险及缺陷。

  2、企业运营阶段（或运营层面）的风险和缺陷，其中风险包括：合规风险，运营的效率、效果、效益风险，财务报告风险。缺陷包括：计划缺陷、组织缺陷、领导缺陷，控制缺陷。

  3、危机阶段或跨职能层面的风险和缺陷，其中风险包括预案风险，信息风险，过程处理风险；缺陷包括预案缺陷，预警缺陷，应急组织缺陷，沟通缺陷，救援及善后方式缺陷。

  以上分类方式，不同于国资委的五类风险分类，也不同于各大中介机构和组织的风险分类方式，具有立足于企业发展阶段和决策层级，主体清晰明确、系统性强，无遗漏和重合的特点，并可涵盖其他各种风险分类方法。

  （三）关于机会管理和风险管理之间的关系

  机会管理和风险管理都是为企业制订和实施目标服务的，两者都是企业运营管理的主线，但两者实现的途径不同：机会管理是为企业制订目标、达成目标直接服务的，是企业运营的“明线”，其职能主要有四项：计划、组织、领导和控制；企业风险管理则是企业运营的“暗线”，目的是将企业运营全过程的风险控制在可接受水平。机会管理即传统企业（工商）管理学科的内容，从学科发展上看已经比较成熟和完备。而关于企业风险管理这条暗线则所谈甚少，且其理论体系也仍在建立之中。

  以上几点认识，可以被理解为是有关风险管理和内控研究的基本假设。这几点假设，不同于COSO所认为的“风险包含了机会”（COSO,2013），ISO 31000提出的“风险是不确定性对目标的影响”(ISO,2009)，以及Basel委员会的有关“风险是由于可能的损失而导致的预期收益的不确定性”的定义。

  三、如何理解企业治理、企业管理与风险管理、内部控制之间的关系

  （一）如何理解企业治理与企业管理之间的关系

  虽然“公司治理”作为一个概念的正式提出是在20世纪80年代，但其作为一个问题则早就引起了人们的关注。亚当·斯密在其《国富论》中已经明确指出了企业经营者与所有者之间存在着利益不一致的问题。哈特（1996）指出了企业治理问题的产生与公司制之间存在着必然联系，只要组织成员之间存在着利益冲突（即存在代理问题）以及交易费用之大使得组织成员的利益冲突问题不可能通过契约来解决这两个情况同时存在，则企业治理问题必然发生。在公司制下，所有者追求的是剩余价值的最大化和持续经营风险的最小化，而经营者追求的是自身报酬的最大化以及短期经营风险的可控化，两者利益不能协调一致，特别是在内部人控制的情况下委托代理问题被激化，经营者所表现出的逆向选择和道德风险，将直接损害所有者的利益。除此之外，在非单一所有者的情况下，所有者之间可能也会存在着利益不一致的情况，股东之间也会存在着制衡与合谋以获取不正当利益的现象。

  为了解决以上公司治理问题，可从狭义和广义两个范畴给出企业治理解决方案。狭义的企业治理解决方案就是从企业的董事会功能、结构和股东权利等方面做出的制度安排（Blair，1995）。如，吴敬琏认为，公司治理是由股东大会、董事会和高管人员组成的组织安排；广义的企业治理解决方案，则是一整套有关公司控制权或剩余索取权分配的法律、制度和文化安排。李维安等（2013）综合了广义和狭义公司治理的概念，提出：公司治理是通过一整套正式的或非正式的、外部的或内部的制度或机制来协调企业与利益相关者之间的利益关系，包括外部治理和内部治理。其中外部治理包括由证券市场、金融机构、产品市场、经理市场、政府规制、劳动市场等共同形成的投资机制、选购机制、竞争机制、规划机制；内部治理包括由股东会、董事会、监事会、经理层等共同组成的选择机制、激励机制、约束机制、决策机制。

  基于以上观点，本文将企业治理定位为企业治理层面的管理，包括了股东会、董事会、监事会、管理层、外部监管机构、社会公众等治理结构及其关系的处理，战略目标的制定、业务模式的选择，企业价值观和文化的设立等内容。

  另一方面，企业管理也同样有广义和狭义之分。广义的企业管理，不仅涵盖了机会管理和风险管理，而且也涵盖了治理层面的管理（即前述狭义的公司治理）和运营层面的管理。狭义的企业管理，是指企业运营层面的管理，包括了计划、组织、领导和控制四大职能，侧重于对机会的管理。本文取狭义的理解。

  关于企业治理与管理之间的关系，Mueller（1981）进行了比较分析，其结论可以简单表示如图1。其中，倒三角形部分表示公司治理，正三角形部分表示公司管理，两者交叉部分为战略管理。战略管理作为管理和治理交叉的部分既属于公司治理的范畴，又属于公司管理的范畴。

  笔者部分同意Mueller关于企业治理与企业管理两者关系的认识，但基于前述分析，对治理与管理的构成及其交集内容有不同理解。可参见图2。治理与管理的交集应在于如何将战略目标分解到年度可执行计划并落实到具体部门、岗位和个人的过程，也即罗伯特·安东尼等（2009）所称的（狭义）管理控制过程。与此相对应，以西蒙斯为代表的广义的管理控制观点则包含了战略规划、管理控制和运营控制三个层面，强调三个关系安排：基于资本契约关系的委托代理安排与目标确定、基于管理契约关系的企业业绩评价与管理业绩考核、基于利益相关关系的激励机制与管理报酬。

  此外，基于混沌理论的观点，企业灾害及不利后果的发生将是不可避免的（Root,1998）,因此有必要将危机管理也作为企业运营过程中不可或缺的组成部分。

  （二）如何理解风险管理与内部控制之间的关系

  以美国内部控制发展史为例。内部控制，从其作为一个概念正式提出的背景看，是站在外部审计人员与企业财务人员的视角提出的，目的是为了提高审计效率、降低审计成本（AICPA,1938,1949）。之后其内涵逐渐扩展，发展出了内部会计控制和管理控制两大分支（AICPA,1958，1973），但这样的划分已经超出了财会及外审人员的控制范畴和能够承担的责任范畴，因此在1988年AICPA废除了内部会计控制的概念，提出了控制环境、会计系统与控制程序三位一体的“三要素论”。但这一理念对于财会计外审人员来说，由于缺少抓手而显得力不从心。

  随着1992年COSO内控整体框架的提出，内控就彻底跳出了从会计和审计人员看问题的视角，转而从企业管理人员的角度来看问题。此后随着安然、世通等事件的爆发，2004年COSO对内控整体框架的理念进行了提升和扩展，站在了企业治理的高度，将战略制订及实施过程中的风险都纳为管理对象。但在外部评价人员普遍缺乏企业治理层面风险评价能力的现状下，企业风险管理整体框架的实施效果并不理想，并由此加剧了风险管理与内部控制两者的关系之争。

  而通过对2008年爆发的金融危机的反思，为了弥补企业公司治理与内部控制方面存在的不合理、不健全之处，2013年COSO推出了修订后的内部控制整体框架，在基本保留1992年COSO内部控制目标、要素和主体的情况下，将原有的合理保证财务报告可靠性的目标扩展为合理保证报告可靠性的目标，这里所说的报告，既涵盖了财务报告和对外提供的报告，也涵盖了非财务报告和对内提供的报告。对于根据SOX法案的要求按照COSO内控框架开展内控自我评价以及外部审计的企业内外部人士来说，这对于帮助他们将公司治理和战略实施的相关风险的管理纳入工作范畴具有重要意义。但COSO体系仍未彻底解决这样一个问题，就是如何处理企业风险管理、内部控制与企业管理之间的关系。而正确理解这一关系问题，对于指导企业开展相关工作而言，具有重要意义。如，是否需要设立不同部门来开展相关工作；在董事会内部究竟是设立风险管理专业委员还是内部控制专业委员会，或是两者并列；在企业高管层是否需要设立新的职位，以及报告体系的确立，等等。

  对于以上关系问题，COSO在其于2004年发布的《企业风险管理整体框架》中认为是风险管理包含了内部控制，原因在于风险管理涵盖了对治理层面的战略制定风险和运营层面的战略实施风险的管理，而内部控制是在治理结构和战略目标既定的前提下，仅局限在对运营层面的战略实施风险（包括了运营的效率效果风险、财务报告的可靠性风险以及合规性风险）的管理，因此风险管理涵盖了内部控制。英国的Turnbull委员会也持同样观点。但对此也有不同观点，如，有专家认为，内部控制就是控制风险，而控制风险就是风险管理，因此内部控制和风险管理是风险控制的两种不同语义表达形式，不存在本质区别。也有专家认为，内部控制的过程中包含了对风险的评估和应对，因此也就包含了风险管理在内；还有专家认为，风险管理与内部控制两者之间并非包含关系，而是完全等价的。

  笔者认为，对风险管理与内部控制的关系的划分，取决于其各自内涵，结合在实际执行过程确定责任方责任的便利程度而定。如前所述，风险管理包括了对治理风险的管理和对运营风险的管理，以及风险爆发后的危机管理。内部控制，则是局限于运营层面，包括了对机会管理过程的缺陷进行控制和风险管理过程中的风险所进行的管理。两者内容有不同也有交叉，共同点就是对运营层面风险的管理（笔者将之定义为风险控制）。所以，两者并不是简单的谁包含谁的问题。明确这一点，对企业正确开展风险管理和内控工作意义重大。目前理论界及实务界普遍存在的共性问题，就是将管理控制过程中的缺陷与风险控制过程中的风险混为一谈，进而将缺陷扩大为涵盖风险在内，由此或者隐藏了真正的风险，或者所提出的改进建议与问题根源南辕北辙。

  另外，从两者与企业战略目标设定的关系来看，风险管理是涵盖了治理层面的战略制定风险在内的，而内部控制，则是以企业既定的战略目标和业务模式为前提的。具体而言，可以通过下图展示企业治理、管理及其缺陷与风险管理之间的关系：

  图2 企业治理、管理、缺陷与风险关系图

  来源：本研究整理。

  （三）成本效益原则适用性的问题

  在《企业内部控制基本规范》中，将成本效益原则确定为内部控制的五大原则之一。但其在风险控制范畴下并不合理。原因在于：一方面，风险折现期限的无限延长使得风险控制的成本收益不再局限于当期损益，另一方面，相应的风险损害远非单纯的财务指标所能测度和衡量。从这两个方面来看，成本效益原则并不适用于风险管理领域，在内部控制领域也仅适用于管理控制范畴，而不适用于风险控制范畴（刘霄仑，2010）。

  因此，治理层及管理层在制定风险管理相关决策时，应以“风险效益原则”取代“成本效益原则”，就是以风险敞口乘以风险发生概率计算得出的期望值，与可能受到影响的效益进行比较，继而决定是否开展相应的风险管理措施。

  四、国有企业开展风险管理和内控工作的前提和基础

  良好的企业治理、健康的组织结构以及良好的价值观和企业文化，既是企业管理（广义）的重要组成部分，又是企业开展风险管理和内控工作的前提和基础。

  （一）良好的企业治理

  良好的企业治理，要求在企业治理结构中要有能够合理代表各利益相关方利益的代表，通过治理结构这个沟通平台、合理的权责分配机制、良好的议事规则，来确定各权力主体的关系，并通过相互制衡来最终达成一致，从而制定出科学的发展战略、确定适用的业务模式、合理的利益和亏损分担原则。

  良好的企业治理对于内部控制的意义，除了制定战略目标和选定业务模式以作为内控的前提之外，更主要的是区分了内部控制的监督者和实施者：董事会作为内部控制有效性的最终负责人，行使的是监督者职责，负责监督和评价内部控制的整体有效性；总经理作为内部控制实施的负责人，负责保证内部控制的设计合理性以及运行的有效性。内控的监督责任与实施责任，两者不可合一。

  良好的企业治理对风险管理的意义，也是在于其能够区分治理风险管理的实施者和监督者的职责。治理控制和治理风险管理的实施责任，应由董事会承担，但其监督责任，应由股东会或股东会指定的适当机构如监事会来承担。目前对治理风险的管理责任，包括实施责任和监督责任（特别是监督责任），从相关规范以及实践来看，仍处于空白。

  （二）健康的组织结构

  健康的组织结构，要求企业的机构设置设计科学，权责分配合理，运行高效，以岗定员，岗位职责清晰明确，在岗人员胜任岗位能力要求且无冗员。组织结构设置能够有效实现组织目标，无机构重叠、职能交叉或缺失、推诿扯皮现象。人力资源管理部门在建设健康组织结构过程中发挥着重大、不可替代的作用。

  现实中，相当多的企业由于组织结构设置不合理、员工胜任能力不足、冗员现象严重等问题，既不能有效的实现组织的既定目标，也不能对实现目标过程中的风险进行识别、分析和应对。“打铁还需自身硬”，如果企业的组织建设薄弱，则必然会影响到企业风险管理和内控工作的顺利实施。

  （三）良好的价值观和企业文化

  良好的价值观和企业文化，就是要在企业中建立起公正、透明的的企业文化，建立起以愿景、使命为引导，以共享价值观为核心的道德规范体系。为了保证这样一个道德规范体系的顺利实施，高层领导需要积极倡导并发扬身先士卒的表率作用，需要在高管层设置专人负责相关工作，加强培训和宣传贯彻工作，将企业全体员工遵守职业道德规范状况与培训、晋升、业绩考核等相挂钩，设立道德举报专线，对违反道德规范的行为进行惩处等多种举措并举。

  良好的价值观和企业文化对于企业开展风险管理和内控工作的成败至关重要。特别是在中国这样一个人治传统浓厚的国家，如何将对“人”的忠诚转化为对企业“价值观”和各项规章制度的忠诚，是一个无比巨大的挑战。国际上，由于企业文化和价值观出现问题而导致企业失败的案例也屡见不鲜。如安然公司，由于企业整体崇尚激进，没有建立起公正透明的企业文化，内部小圈子文化盛行，导致绩效考核过程中所采用的360度评价和末位强制淘汰制度，不但没有起到应有的作用，反而变成了打击异己的工具，最终导致了安然公司的垮台。

  良好的企业治理、健康的组织结构以及良好的价值观和企业文化，就好像企业的脑、身、心，任何一方面出现问题，企业都不可能具备应有的竞争力。这样一个没有竞争力的企业，在复杂多变的市场环境中要想立于不败之地，是不可想象的。毋庸讳言，在国有企业中，带病运行的绝非少数。对于那些脑、身、心存着问题的企业，当务之急不是到商海搏击，而是应先把身体调养好。

  五、对风险管理和内控工作的目标及主客体的探讨

  （一）对风险管理和内控工作的目标的探讨

  对于国内企业而言，企业风险管理的目标可见于《中央企业全面风险管理指引》，企业内控工作的目标可见于《企业内部控制基本规范》。这两个目标有部分内容重合或相近，但仍各有侧重。具体来说，《指引》中有关企业风险管理的五类目标，与COSO于2004年发布的企业风险管理整体框架相比，既体现了COSO 的风险偏好要与风险容限相适应的理念，又增加有关危机管理的要求，此外，还强调指出风险管理应确保内外部特别是企业与股东之间实现真实、可靠的信息沟通。而《基本规范》在借鉴了COSO于1992年发布的内部控制整体框架的基础上，新增了两个目标，即合理保证资产安全目标和促进企业实现发展战略目标。其中，合理保证资产安全目标也是与1994年COSO内部控制整体框架增补本的目标保持一致的，虽然这一目标在合理保证运营的效率效果、合规性和财务报告的可靠性目标中分别得以了体现，但将其作为一个目标单列出来，突出了制定者对于资产安全的关注，也是合理的。

  但是，在《指引》和《基本规范》所确定的目标中，仍有两个问题是我们值得关注的，其一，就是《基本规范》说内部控制要促进企业实现发展战略目标，那么，将促进企业实现发展战略目标作为内部控制的目标是否合适。其二，就是在《指引》和《基本规范》中都出现的，将“提高企业的经营效率和效果”作为风险管理和内部控制的目标，是否合适。

  关于第一个问题，我们在前面探讨了风险和缺陷的分类，也介绍了风险与内部控制的一个重大区别就是风险管理涵盖了战略目标确定的风险，而内部控制则是以既定的战略目标和业务模式为前提的。但是，对于企业管理层而言，战略目标作为战略方向固然重要，但他们在运营的过程中更关注的是年度运营目标的实现。因此，对于内部控制来说，其实现目标不是要促进既定战略目标的实现，而是要促进运营目标的实现（就运营层面的机会管理而言），此外，还应该包括合理保证运营战略目标的实现（就运营层面的风险管理而言）。促进与合理保证，对于运营目标的实现而言，是两个不同的但又相辅相成的目标。因此，有关内部控制的第五个目标，应重新表述为：“促进及合理保证企业运营目标的实现”。

  关于“提高企业的运营效率和效果”是否合适的问题，首先我们对照COSO报告，其原意是“合理保证企业运营的效率和效果”。如前所述，我们已经分析了“提高”或“促进”与“合理保证”的关系，以及风险管理和内控的内涵，因此我们可以得出结论：

  1、对于企业内部控制而言，由于其既涵盖了机会管理，又涵盖了风险管理的内容，因此，这一表述是不全面的，应该是“提高”与“合理保证”、“企业运营的效率效果”两者并重。

  2、对于企业风险管理而言，由于其涵盖了对治理层面风险的管理以及对运营层面风险的管理，因此这一表述就不仅是不全面的，而且是错误的，应该是“合理保证企业治理及运营的效率和效果”（这里我们对运营也是取狭义理解，如果认为企业运营涵盖了治理层面时，则不需再增加有关治理的表述）。

  进一步地，我们还需要对究竟什么是“效率”和“效果”进行深入剖析。对“效率”和“效果”这两个概念我们虽然都耳熟能详，但真正能够清晰地理解其含义的人寥寥无几。这就妨碍了企业在实践中切实贯彻和落实风险管理和内部控制的目标。严格地说，“效率”、“效果”都属于“有效性”的范畴，并且，“有效性”除涵盖这两个概念之外，还涵盖了“效益（经济性）”的概念。根据安德烈·钱伯斯等（2011）的观点，所谓效益，就是“以最低的成本去做事情”，具体表现为计划投入与实际投入两者的比较；所谓效率，就是“以正确的方式做事情”，具体表现为实际投入与实际产出两者的比较；所谓效果，就是“做正确的事情”，具体表现为计划产出与实际产出两者的比较。因此，衡量一个企业运营是否做到有效率、有效果、有效益的前提，是企业是否存在着强有力的预算管理制度，如果不存在的话，则无法衡量企业运营是否做到了“有效性”。

  图3 企业效率、效果与效益之间的关系

  来源：本研究整理。

  （二）对风险管理和内控主客体的探讨

  1、企业风险管理主客体关系的总原则应是：国资委或其授权的监事会对治理层面风险的管理负监督责任（目前该方面规定尚属空白）；董事会对对治理风险的管理负实施责任，对企业运营风险的管理负监督责任；管理层对企业整体层面的运营风险的管理负实施责任，对具体岗位和作业层面运营风险的管理负有监督责任；员工对与具体岗位和作业相关的运营风险的管理负实施责任。

  2、企业治理控制与内部控制主客体关系的总原则应是：国资委或其授权的监事会对治理缺陷的管理负监督责任（目前该方面规定尚属空白）；董事会对对治理缺陷的管理负实施责任，对企业管理缺陷的管理负监督责任；管理层对企业整体层面的管理缺陷的管理负实施责任，对具体岗位和作业层面管理缺陷的管理负有监督责任；员工对与具体岗位和作业相关的管理缺陷的管理负实施责任。

  3、组织机构及岗位的完善建议：在董事会层面，可以同时成立企业风险管理委员会和内部控制委员会，其中，内部控制委员会行使对企业整体及具体岗位运营缺陷管理和运营风险管理的监督职能，企业风险管理委员会只承担对治理层面缺陷和风险进行管理的实施责任。也可以将两者进行合并。在管理层面，应对已有职位职责进行调整，必要时新设立相关职位：

  首席执行官（CEO）：负责企业整体运营决策，对运营层面的机会管理和风险管理进行决策，特别是两者不一致时。

  首席运营官（COO）：负责对影响企业运营的效率、效果、效益的缺陷和风险进行管理。

  首席合规官（CCO）：负责对企业合规风险的管理以及企业文化、价值观以及道德规范体系的建立。

  首席风险官（CRO）：负责牵头、协调各职能部门的运营风险的管理工作，组织开展对运营层面缺陷和风险管理的自我评价工作。

  首席财务官（CFO）：负责财务报告内部控制工作以及资金风险及缺陷的管理。

  首席内审官（CAO）：负责牵头对运营层面的缺陷和风险管理的的实施及自我评价工作。

  五、对国有企业开展风险管理与内部控制工作的建议

  （一）国有企业的特殊性

  国有企业的特殊性，除了众所周知的国家投资比重大、往往会关系到国计民生甚至国家安全之外，还主要表现在这么几个方面：

  1、相当多的国有企业的核心竞争力，不是源于自身能够提供优质产品和服务，而是由于国家扶持和政策倾斜所形成的超额市场地位。国家通过扶持这些市场垄断企业而获得高额税收和红利。长此以往，这类国有企业对于社会公众和消费者将不再具有正向价值，而是有蜕变成吸血虫、变成社会进步、人民幸福的阻力的危险。

  2、国有企业的政企分开的改革还很不彻底，甚至在过去一段时间走了回头路。一方面董事会改制工作还没有完成，另一方面企业治理层面遗留问题仍非常多，新三会、老三会的关系仍然纠葛不清。

  3、国有企业大多是子、分企业众多，甚至由于改组整合等原因导致集团公司内部关系混乱。特别是对于集团性企业而言，风险管理和内控问题往往交织在一起，不易厘清。

  4、历史包袱较沉重。组织机构设置由于历史变迁原因较为复杂甚至混乱，相当多企业人浮于事现象较为严重，具有胜任能力的人才普遍匮乏或没有充分发挥其能力，管理机制僵化，市场竞争能力偏弱。

  5、原有的企业价值观被打破，而新的企业价值观尚未建立起来，上下级待遇相差较大，基层员工普遍待遇偏低，相当多企业人心涣散情况较为严重。

  （二）相关建议

  基于以上分析，笔者从整顿和夯实国有企业风险管理和内控工作前提和基础的角度，提出以下建议：

  1、从长远看，应对公司法相关条款进行修订，对监事会职责应增加对治理风险监管责任的要求。在相关条款未修订时，可以发挥外派监事会的作用，由外派监事会对董事会的治理风险管理情况进行监督。

  2、应对国有企业进行区分处理。竞争性国有企业应退出国家垄断地位，开放市场，公平参与市场竞争。特定行业国有企业仍要保留国有垄断地位的，应由人大立法审批通过，同时其产品或服务售价定价机制应公开且接受国家审计机关监督，财务信息对国民公开，国家收到的股利分红应采用适当方式返还全体国民。

  3、在公司章程中对董事会、监事会以及经理层产生办法、内外部成员比例、职工代表比例做出明确规定，“老三会”应作为“新三会”的部分成员产生渠道和机制，逐渐转到企业后台运作。公司的日常决策、三重一大决策，都应由“新三会”按照相应章程和议事规则产生。“新三会”生成的决策对企业运营具有普遍约束性。不得通过其他渠道干预、阻止。

  4、企业董事会切实发挥战略决策和运营监督作用，同时在董事会内贯彻平等原则，贯彻一人一票表决机制，以及事后问责追究机制。董事会内部执行董事的比例应严格限制，特别是象薪酬委员会、提名委员会和审计委员会，应逐步加大外部及独立董事的比例，甚至是全部由外部董事构成。

  5、国有企业应加强企业文化和价值观建设，建立企业道德规范体系，设立高管职位。专门负责企业的合规及企业文化、价值观建设，设立相应的配套及保障机制。

  6、国有企业应加大对人力资源管理的重视。在企业范围内建立起与实现企业目标相适应的清晰、完整的岗位职责说明，以岗定员，将企业目标分解、落实到企业各个具体岗位职责上，定期进行考核，并根据考核情况决定奖惩、晋升、薪酬等。对各级员工加强在岗培训和后续教育。

  总之，国有企业应以风险管理和内控工作为契机，加大企业改革力度，进一步推进董事会改制工作的开展，推进企业文化和价值观建设，推进企业组织结构的发展和完善。