上市公司相較于其他企業而言面臨更為復雜多變的環境，因此其面臨的風險也將會是多方面、多層次的。所以，構建一套健全、有效的風險控制制度，使 得公司能夠及時對各種風險做出相應處理,盡可能降低風險事件產生的概率，甚至避免其發生，將風險造成的損失最小化，對公司的健康長遠發展具有極其重大的意 義。

 
　　內控與風控
 
　　風險控制制度是指組織在風險和收益期望組合既定的前提下,為了合理確保其經營過程符合其目標期望而制定的準則。其目標是使風險盡可能地降低從而 不造成損失，可分為內部控制與外部控制這兩個方面。內部控制是指組織為了更好地處理組織中各個層級之間代.理問題，其本身所建立的一套風險控制制度，希望通 過這樣一種制度，來確保各個層級履行各自的職責，從而為組織目標的實現提供保證。而外部控制是由組織以外的主體對該組織的風險進行控制所采取的一些辦法， 例如國家公共組織。
 
　　為了保證內部風險控制的有效性，第一個關鍵點是要由上市公司的最高層管理人員許諾由其來承擔公司風險控制的全部責任,即在公司內部集中行使從業 務頂層開始、自上而下貫徹落實風險控制制度的權力。其次是平衡風險控制成本，公司管理層應準確預測并衡量實行風險控制的實行成本與經濟收益，力求以成本最 小化實現控制效果最大化。
 
　　上市公司風控洼地
 
　　國內許多企業風險意識仍然較為薄弱，對內部風險控制的重要性認識遠遠不夠，大多數企業管理者所關注的風險僅僅停留在財務風險這一方面；風險控制 制度的制定方與執行方缺乏有效溝通，限制了組織成員遵從有關制度、及時反饋信息的主觀能動性。例如，某女鞋品牌就因貿然實施激進的“去加盟化”策略，直營 店低價促銷侵占了加盟商的利益，甚至在合約有效期內單方面停止供貨，遭到多家加盟商的抵.制和起訴，一度陷入法律糾紛的漩渦。這正是由于品牌母公司在依靠大 企業進行融資時，只規劃了自己的美好未來，而忽略了加盟中的法律風險控制。
 
　　從預警與防范機制的建立來看，內部風險控制的不足主要體現在缺乏專門的風險管理部門，對風險的事先識別和分析不足，缺少相關的防范措施，以致在 風險來臨時不能及時有效地應對。就中國企業的現實狀況而言，風險管理部門和崗位的專門化、獨立化尚未普遍實現。得益于國家有關部門的積極指導和大力推進， 國有大中型企業，特別是四大國有商業銀行、中央投資公司等，率先建立了較為規范、健全的風險管理組織體系，并委任了一批具有相應風險管理資質的首席風險 官。據調查數據顯示，截至至2004年，CRO（首席風險官）一職在美國大型企業中已達到了40%的覆蓋率，但是此職位在我國還很少為人所知。
 
　　當前我國不少企業的風險控制狀況令人堪憂：組織機構不合理，管理層風險控制意識缺乏、風險應對水平較差，關鍵控制點識別偏差，行使控制職能人員 勝任能力不足。許多企業由于缺乏充裕的資金，軟硬件基礎設施得不到配套支持，管理水平難以提高，仍停留在較低的風險管控標準。風險管理崗位的獨立化、專業 化受到了極大的限制，風險管理職責往往由總經理一人承擔。這樣很容易導致一旦出現較大的困境，企業就會陷入經營危機，遭受重大損失甚至破產。
 
　　2007年，全球領先商業及技術風險咨詢機構甫瀚首次發布了一份面向中國內地500強上市公司的首席執行官、首席運營官、董事會董事等高管，涉 及制造、科技、金融、房地產等14個行業的企業風險管理情況調查報告。調查結果表明，只有9%的受訪者認為其所在公司對潛在重大風險的識別和管理“十分有 效”，與下表顯示的其他國家和地區的有效性水平存在較大差距。
 
　　由于科學、健全的公司法人治理結構的缺位，不少上市公司均不同程度地存在管理層凌駕于內部控制制度之上、內部審計部門受制于高層管理者的問題，極大地限制了內部監督機制作用的發揮。
 
　　2012年9月萬福生科股份有限公司（以下簡稱萬福生科）因財務造假，涉嫌欺詐發行股票被證監會介入調查一案則說明了內部控制缺陷、控制流程疏 漏對企業規避經營風險、可持續發展的負面影響。從2008年起，該公司多名財務人員在董事長和財務總監的壓力下，采用了捏造供貨經銷方、私刻無效公章、編 造購銷合同、憑空開具發.票、偽造銀行往來等系列惡劣手法，連續五年有組織地為收入和利潤大量“注水”。形式上原始憑證齊備，記賬憑證審核、傳遞等控制流程 健全規范，實質上隱藏著一整套有組織的造假體系，內部審計職權被完全架空，內部監督職能被人為弱化，極大阻礙了上市公司的長效經營。
 
　　打造防御盾
 
　　企業應積極創造一個良好的風險識別內部環境。風險控制應當考慮到企業中的每一個層面，并且通過宣傳的方式進行教育，讓企業中的每一位成員都能清 楚地知道風險所可能帶來的損失。例如，在對新員工進行培訓時，應當向員工告知可能對企業正常發展造成影響的常見的風險因素，幫助員工樹立風險意識。當然， 也可在企業內部進行風險評價的活動，給企業員工一個自由反映自己在公司內部發現的風險問題的機會。在這種環境下，企業員工自然而然對風險產生預防意識，使 得面臨風險時能夠更好地應對，減少風險給企業帶來的損失。
 
　　上市公司有必要建立獨立、專職的風險管理部門來控制風險。該風險控制部應由董事會直接領導，主要負責制定風險識別、分析、應對的程序和辦法，按 期向董事會報告風險方面的狀況，從而能夠全程控制風險，并使其有所遵循，而非過去只有事后監督的情況。為了有效地發揮董事會、監事會應具備的職能，規定董 事會、監事會應當定期或不定期舉行會議，以確保董事會、監事會能夠在風險控制上最大限度地發揮它的功能。
 
　　我國許多上市公司都缺少人才為其建立一種良好的風險管理理念。因此，不妨可以考慮采取積極措施，吸引有經驗的風險管理人才，壯大公司的人才隊 伍，為公司樹立一個適合本公司實際情況的風險管理理念，有針對性地制定風險監管措施，指引公司正確地應對風險，保證風險控制的效率和效果，提升公司競爭 力，使其獲得更好的發展。
 
　　企業應當在內部實行以風險作為導向的審計制度。內部審計作用的發揮必須依靠獨立性這一前提條件，這樣才能保證內審人員在行使審計監察權時持客觀 公正態度，具有威懾力。因此，企業必須要保持內部審計部門的獨立性，使其不被其他部門或者個人所影響。企業還可以通過設立審計委員會，保證內部審計能夠具 有較高的權威性和獨立性。
 
　　為了加強監管受托責任，使監管方法更加多樣，使監管更加有效果，有效地利用國家審計部門以及社會中介機構方面的監管與檢查職能，可以作為企業一 個重要的選擇。強化企業的信息披露，及時將公司的財務狀況、生產經營風險等信息披露，降低企業股東因為不能了解企業信息而遭受損失的可能性。
 
　　（作者單位為中南財經政法大學會計學院）