我国企业风险管理存在的问题
摘要：对于我国企业而言，风险管理不仅仅是监管部门和独立审计行业外在要求，更应该体现为企业自身的需求。站在我国企业的角度，指出其所面临的风险管理的问题，并提出对我国企业建立风险管理的几点建议。	关键词：企业风险管理；经营风险；控制机制；监督机制
加强我国企业风险管理的现实意义 企业风险管理已经普及到大中小企业，在各企业均建立有风险管理机构，设立专门风险管理人员、风险管理顾问等，由他们专门负责企业各种风险的志别、测定和处理等方面的工作。随着经济的发展和科技的进步，风险管理机构已经成为企业中的一个重要职能部门，它与企业的计划、财务、审计等部门一样，共同为实现企业的经营目标而努力。换言之，风险管理的地位已经不容忽视。 实施企业的风险管理有利于企业资源的最佳组合：①可以提高企业经营效率，降低成本，减少损耗，促使企业生产活动的顺利进行，创造安全稳定的企业环境，保障企业目标的实现。②通过系统的处置和控制风险保障企业经营目标的顺利实现；使企业的决策科学化和合理化，减少决策的风险性；有助于提高企业经营效益；③为企业提供一个稳定安全的工作环境，积极的投入到生产工作中去。二、我国企业风险管理存在的问题（一）企业管理层本身的风险的意志淡薄，忽视对企业未来风险的预测 在对风险管理的认志过程中，既存在过去计划体制下的完全漠视风险，又有目前强化风险管理和问责制度下过度规避风险，两种倾向并存，使得管理层不能正确地对待风险，疏忽了风险管理预测，其中包括企业风险管理部门的设置、风险预警机制和人员的培训等。企业预警管理的重点应放在发生前的预防，而非发生后的处理，由此可见，缺少风险预警机制的中国企业在经营中只会举步维艰。实际上风险是客观存在的，风险对企业是灾难还是机会，不在于风险本身，而在于企业对其的了解和掌控能力，在成本与报酬之间进行合理的平衡。就企业内部原因来说，由于管理者素质低下，企业基础管理薄弱；内部管理效率不高，加大了风险管理的预算成本，最终影响了企业的可持续发展。（二）企业风险管理制度不完善，缺乏可操作性 实施风险管理是企业管理当局的责任，而风险管理制度则是风险管理的基石，管理层应建立健全有效的风险管理制度。目前关于风险管理制度的内容主要是以财务风险管理为主，缺乏对产品开发、生产制造、市场营销、售后服务等制度的完善；在操作过程中某些制度过于原则化，使得在实际工作中难以执行。同时员工的素质及其风险意志也是一个制约因素。企业本身的风险管理制度与相关的法律、法规、行为准则以及相关惯例等外部规则的结合出现问题，使得内部的管理制度在实际应用中无法达到预期的目的，不能确保各项业务操作与管理制度符合规则的要求；另一方面缺乏对现行管理制度的清理、修改、补充和废止，及时发现并弥补制度设计和执行上的缺陷。（三）企业缺少必要的问责制、考核制及其相应的奖惩制度匮乏，缺少风险责任追究 企业在经历了风险冲击之后，由于缺少内部责任追究制度，不能通过各种形式的责任约束，限制和规范内部人员的行为，弱化和模糊责任，恶化企业管理；考核的目的是为了完善全员风险管理意志，缺乏考核制度，使得企业员工应对风险的能力滞后于企业风险管理的标准；没有相应的奖罚标准，会使员工缺乏责任感和事业心，正是由于缺乏足够的资金去完善必要的问责制、考核制及其相应的奖惩制，以至于事态严重，企业无法良性运转
完善我国企业风险管理的若干建议（一）加强企业风险管理的职能机构建设，防范企业经营风险 1.增加机构设置，组建管理小组。管理小组应熟知企业和本行业内外部环境，组内成员应具有较高的文化素质和道德修养，具有风险志别的能力，反应灵敏，严谨细致。鉴于以往的经验，应增强企业高层管理人员参加企业风险管理师的培训和认证的机会，通过专业而系统的学习提高管理层的素质，树立充分的企业风险管理意志。企业高层有了系统的风险管理理念，才能进一步做出企业风险管理的战略战术规划，为企业有序的开展具体工作提供企业条件。 2.加大开展企业员工的风险教育和培训。鉴于一些国有企业经营人员合同法律意志淡薄、业务素质不高的现状，加强员工队伍的思想建设和人力资源的配置，增强全员风险意志。 3.建立风险预警监测机制，构筑防范风险的屏障。建立灵敏准确的外部环境监测系统。企业必须加大对外部环境监测系统的投入，密切关注企业的具体状况及变化趋势。建立风险预警系统，首先要对风险进行科学的预测分析，预计可能发生的风险状态。此外，企业的经营管理者应密切注意与本企业相关的各种因素，如环境因素、技术因素、目标因素和制度因素等变化发展趋势，从因素变化的动态中分析预测企业可能发生的风险。因此必须增加对环境、技术、目标和制度等风险志别和分析的成本。（二）增加企业风险管理的控制机制，控制风险 1.加强规章制度体系建设的完善。一方面，以企业风险管理的整合框架为准绳，制定完善的企业内部风险管理制度；另一方面，需要对现行管理制度的清理、修改、补充和废止，及时发现并弥补制度设计和执行上的缺陷，不断完善制度体系。 2.加强常规性的调查分析。风险具有不确定性，总会在不同阶段和领域表现出一些征兆，应从消费领域、本行业相关企业的生产领域及企业内部各部门投入资金进行调查，收集有用的显性和隐性的风险信息，对企业可能发生的风险开列清单，预先予以警示。 3.增加风险管理的模拟训练。定期确定风险主题，进行风险处理训练，这不仅可以提高风险管理的快速反应能力，还可以监测已拟定的管理计划是否切实可行。（三）增加企业风险管理的监督机制，减少风险 通过增加健全合规的问责制、考核制和奖惩制的投入，来制定违规的内部责任追究制度，落实合规责任。重点是明确管理者的责任，真正落实“合规从高层做起”的理念，也只有加大监督成本，才能真正提高全员的责任意志；同时也需要在考核制度和奖惩制度上投入资金来提高员工对风险的处理能力。 对于我国企业风险管理中存在的问题，我们提出了若干建议来帮助企业解决风险管理中存在的障碍。经营风险是企业日常管理工作中不可忽视的问题，然而企业的经营管理是个复杂的问题，面临各种各样不同的风险，主要有企业内部风险：财务风险、经营风险；外部风险：自然风险、社会风险、经济风险、政治风险等。这些不同的风险构成了企业需要面对的复杂的风险系统。各种不同的风险之间也不是孤立的，它们之间相互联系共同作用于企业。例如当企业面临的外部风险增大时，企业经营风险和财务风险也有增大的趋势，因此企业的经营管理者应该全面分析各种不同的风险产生原因，增强企业抵御风险和防范风险的能力，提高企业的市场的竞争力，促进我国企业的健康、持续、快速发展，从而立于不败之地。
企业风险管理存在的问题
  1.混淆风险管理与内部控制的关系。许多企业的管理者将内部控制与企业管理和风险管理等同起来，常常产生这样的误解：内部控制可保证企业成功并使其财务报告绝对合法；内部控制可以防止企业决策的失误；建立了内部控制就等于实施了科学管理等。两者混淆的关键原因，是没有看到内部控制管理是风险管理的本质要求。 2.过分关注内部控制细节而忽视企业风险管理。企业把主要精力放在所有细小的、微不足道的控制上，如有些企业差旅费报销的规定长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会使企业重大风险被忽视。 3.只重视内部控制设计而疏于其执行效果，使企业承担巨大风险。任何一个企业都或多或少地存在一定的内部控制，否则，企业无法正常运行。企业把大量精力放在设计内部控制上，而在如何保证制度实施方面，则缺乏应有的措施；在具体控制活动和监督等方面存在缺陷，所以很难保证已设计好的内部控制能够得到执行。如果企业用这样一纸空文来管理，势必会带来巨大风险。 4.对风险管理缺乏足够重视。与国际领先企业相比，除了我国的金融、保险等高风险行业非常重视风险管理外，大部分企业尚未足够重视，风险管理还处于起步阶段。企业过分强调增长和效益，没有处理好增长、效益和风险之间的平衡，在企业风险管理方面与国际领先企业存在很大的差距，缺乏如COSO《企业风险管理——整体框架》那样的权威框架对企业风险管理的指导。由于有的风险是可以计量的，因此，部分企业应重视采取大量复杂的技术来管理这些风险。此外，一些定性的风险也被忽视，如声誉风险、管制风险、遵循风险、安全风险和政治风险等，企业缺乏系统和全面的风险管理。
浅析企业风险管理整合框架实现路径
提要：在国际国内企业频频出现风险管 理问题的背景下，首先阐述内部控制的内涵范畴，然后介绍内部控制发展历程，以及全面风险管理内部控制的各个要素组成，最后分析如何实现企业风险管理的整合框架思路. 关键词：内部控制；路径；风险管理 近年来，国际上一些着名企业相继爆出丑闻，造成极其严重的后果。我国企业也为内部控制和风险管理的缺失付出了惨痛的代价，如国内着名企业中发生的中航油（新加坡）公司破产倒闭事件以及中行、农行、兴业、浦发等银行巨额虚假贷款、大额资金失踪等舞弊案频频曝光。究其原因，内部控制存在缺陷是导致企业不能及时发现和有效控制经营风险，并最终铤而走险、欺骗社会公众和投资者的重要原因。在对这些财务舞弊和经营管理失败案例进 行反思后，人们逐渐认识到“有控则强、失控 则弱、无控则乱”的道理，控制失灵难以使事业持久、基业常青。建立完善的且行之有效的企业内部控制机制已成为企业的当务之急. 一、内部控制的内涵 
人们对内部控制的定义经历了从简单到复杂、从静态到动态、从以制度为本到以人为本的一种逻辑演绎，体现了人们对内部控制认识的逐渐深化，加深了人们对内部控制的进一步理解，从而使人们对内部控制这一客观事物的认识更能贴近事物的本原。所谓内部控制，是由企业建立的，通过约束和激励等手段，以保障企业各利益相关者的行为能够按契约的要求进行，并能够促使契约自我优化的一种系 统化的机制，其目的是为了实现企业目标. 二、内部控制发展历程 
对内部控制的认识，经历了一个逐渐发展的过程。美国的内部控制经历了从内部牵制到二要素法、三要素法到五要素法，日趋完整和深入，最终发展为全面风险管理框架模式.	1、内部牵制。内部控制的最初形式是内部牵制，内部牵制以账目间的相互核对为主要内容，并实施岗位分离，内部牵制机制在减少错 误和舞弊行为上起到了十分重要的作用.	2、二要素法。随着经济的发展和企业组织规模的扩大，人们发现内部牵制已经越来越不能适应大型企业需要，因此对内部控制的研究也越发深入，美国注册会计师协会的审计程序委员会于1958年10月发布的《审计程序公告n第29号》将内部控制划分为会计控制和管理控制，内部控制划分为二要素形式.	3、三要素法。1988年美国注册会计师协会的审计准则委员会发布《审计准则公告第 55号》，该公告以“内部控制结构”代替“内部 控制制度”，具体包括三个要素：控制环境、会计制度、控制程序.	4、五要素法。1996年美国注册会计师协会发布《审计准则公告第78号》，全面接受COSO报告的内容，新准则将内部控制定义为：“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性、经营的效果和效率以及符合适用的法律和法规”。该准则将内部控制划分为五种要素：控制环境、风险评估、控制活动、信息与沟通、监控.	5、全面风险管理框架。2003年7月美国 COSO委员会颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正式稿。将企业风险 管理的构成分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿 在企业的管理过程之中.三、企业风险管理整合框架的诸要素构成 
 1、内部环境。内部环境是企业风险管理其 他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标的制定、经营活动的 组织以及风险的识别、评估和应对，它还影响着控制活动、信息与沟通体系以及监控措施的 设计与运行。内部环境受企业历史和文化的影响，包含许多要素，包括风险管理理念、风险容量、董事会监督、主体中人员的诚信、道德价值 观和胜任能力以及管理者分配权力和职责、组织员工的方式.所有这些要素都很重要，但对每个要素的 强调程度会因企业而异。然而，董事会是内部环境的一个关键部分，它对其他的内部环境要 素有重大影响。因为董事会对管理者独立性、经验、才干、敬业等方面的监督与审查，对企业来说至关重要。要想使内部环境有效，董事会中的独立外部董事必须至少占多数.内部环境的另一关键要素是企业的风险管理理念。一个企业的风险管理理念是一整套 共同的信念和态度，它决定着该企业在做任何事情（从战略制定和执行到日常经营活动）时如何考虑风险. 2、目标设定。企业在既定的任务和背景下，制定战略目标、选择战略，并制定相关目标，将其细分至企业的方方面面，与战略保持一致并相联系。企业必须先有目标，管理者才能识别影响它们实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标， 确保所设定的目标支持和切合该企业的使命，并与它的风险容量或风险容限一致. 3、事件识别。管理当局必须识别可能对企业产生影响的潜在事项。潜在事项具有负面的或正面的影响，或两者兼而有之。具有潜在负面影响的代表风险，管理者要对之进行评估和做出反应。相应地，风险被定义为事项发生并对目标实现产生不利影响的可能性。具有潜在正面影响的事项代表机会。代表机会的事项引导管理者制定战略和相关目标，以便采取行动抓住机会. 4、风险评估。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角 度对事项进行评估：可能性和影响，并且通常采用定性和定量相结合的方法。在不要求定量化的地方，或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时，管理者通常采用定性评估技术。定量技术精确度更高，通常应用在更加复杂的活动中，以对定性技术进行补充。评估风险时既要考虑固有风险，也要考虑剩余风险。固有风险是管理当 局没有采取任何措施来改变风险的可能性或 影响的情况下，一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险. 5、风险应对。在评估相关风险以后，管理者就要确定如何应对风险。风险应对有四种类型：回避，即退出会产生风险的活动；降低，即采取措施降低风险的可能性或影响，或者同时降低二者；分担，即通过转移的方式来降低风险的可能性或影响，或者分担一部分风险，如购买保险产品、外包一项业务活动；承受，即不采取任何措施去改变风险的可能性或影响. 6、控制活动。控制活动是帮助管理当局实 施风险应对方案的政策和程序。控制活动贯穿于整个组织，遍及各个层级和各个职能机构.它们包括一系列不同的活动，例如批准、授权、 验证、调节、经营业绩评价、资产安全以及职责分离。控制活动一般包括两个要素：确定应该 做什么样的政策，以及如何执行政策的程序. 此外，由于信息系统在企业经营和报告及合规目标方面具有重要影响，因此需要对重要的系 统进行控制。对重要的信息系统的控制主要有两类活动：一般控制和应用控制. 7、信息与沟通。组织中的各个层级都需要信息，以识别、评估和应对风险。信息可以来自内部，也可以来自外部；可以以定量的形式出现，也可以以定性的形式出现。可以是财务的，也可以是非财务的。管理者面临的一项挑战便是处理和提炼大量的数据以形成可参考的信息。这项挑战可以通过建立一套信息系统来解决；另一项挑战是信息的质量问题，例如内容是否恰当、信息是否及时、是否准确等。这可以 通过建立整个企业范围的数据管理程序（包括对相关信息的获取、维护和分配）来解决.信息是需要沟通传递的，沟通包括企业内部沟通和外部沟通。有效的内部沟通会出现在组织中向下、平行和向上的流动。例如，全部员工从高层管理者那里收到一个清楚的信息：必须认真担负起企业风险管理的责任。他们了解自己在企业风险管理中的职责以及个人的活动与其他员工工作间的关系。同时，他们也必须具有同级间沟通和向上沟通重要信息的有效方式。除了内部沟通，企业还需要外部沟通.例如，通过有效的外部沟通，客户和供应商能够提供与产品或服务的设计和质量有关的重要信息，从而使企业能够不断关注客户需求或 偏好的变化. 8、监控。企业风险管理的监控是指随时对其构成要素的存在和运行进行评估，必要时加以修正。企业曾经适当的风险应对可能会变得不适用；控制活动可能会变得不太有效，或者 不再被执行；企业的目标也可能发生变化。面对这些变化，管理当局就需要确定企业风险管理的运行是否持续有效，他们所依赖的措施便是监控.监控可以以持续监控活动或者个别评价 两种方式进行。持续监控建立在企业正常的、重复发生的活动之上，一般由直线式的经营管 理人员或职能式的辅助管理人员来执行；个别评价的范围和频率主要取决于对风险的评估 和持续监控程序的有效程度。此外，监控包括内部监控和外部监控两方面，企业要将他们所 评价出的企业风险管理缺陷和提供的有关风 险管理的重要信息向上报告，严重的问题还需报告给高层管理人员和董事会. 四、企业风险整合框架实现路径分析 1、内部控制环境方面。控制环境的定义是 五个要素中最重要的因素，控制环境确定了管理层的基调，并影响人们的控制意识。这是所有其他内控要素的基础，提供了规则和结构. 其基本原则包括：（1）健全的道德观和诚信的文化。组织应具有明确的价值观，监控各项活动，并采取措施；（2）有效而独立的董事会。应建立独立而有效的监督机制。独立而有效的监督，可以是来自于公司外部的机构或个人，也可能来自于公司的拥有者；（3）管理层的运行方式促进良好的控制。管理层应设定目标，并为各项活动设定一个基调；（4）权限和责任的分配与财务报表的目标是一致的。权限和责任的分配是从董事会和财务总监开始的；（5）人力资源政策和规程支持有效控制。应考虑激励因素、招聘、培训和其他活动. 2、内部监督。监控的目的，是通过识别控制的缺陷和漏洞并持续改进以创造效率。监控 是指内控系统应该被有效监控，它是评估内控系统在一段时期内有效性的流程。这将通过持 续的监控活动和独立评估以及两者相结合的方式来实现。另外，内控的缺陷应向上级汇报， 重大事件向管理层和董事会汇报。持续的监控、独立评估和缺陷报告构成监控三要素. 3、信息沟通。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间以及企业与外部投资者、债权人、客户、 供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问 题，应当及时报告并加以解决。利用信息技术 促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用. 4、控制活动。企业应该参考《基本规范应 用指引》，确定各种业务和事项的控制目标并 设计控制活动，结合各自业务流程，将控制活 动整合在各项业务循环中，常用的控制活动包 括：不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考核等，在每一项经营业务的流程中，必须根据业务的特点， 选择相适应的控制活动，这样才能达到合适的 控制目标. 5、风险评估。首先需要建立风险评估机制 以确定风险承受度，识别内部、外部风险，采用定性与定量相结合的方法，对风险进行分析和 排序，这种机制不是一年一度的填表流程，而应该是每个部门定下的工作原则，在每个项目 的开始阶段必须执行的工作流程；然后确定关注重点和优先控制的风险，根据风险评估的结果，结合风险承受度，权衡风险与收益，确定风险应对策略并且持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略，要让风险评估成为日常工作的标准流程，首先必须在制度中明确规定；另外，必须对员工进行必要的培训，每个岗位的员工应 当知晓本职工作可能存在的各种风险. 
 从三鹿简析企业风险评估
当一场看似突如其来的风暴来临，曾经的行业龙头、优质客户石家庄三鹿集团股份有限公司面临着破产的危机。据《财经网》报道，目前三鹿集团的流动资金已全部用来支付奶粉退赔款，其可能面临的巨额赔偿或将接近整个集团现有净资产。
从工商资料看，三鹿集团2007年底总资产为16.19亿元，总负债为3.95亿元，净资产为12.24亿元，资产负债率仅为24%；加之该公司系国内最大的奶粉生产企业和第四大液态奶生产企业，2006年世界上最大的乳制品出口商新西兰恒天然集团更是以8.64亿元的现金获得其43%的股权等等一系列的光环，三鹿集团成为各家银行竞相追逐放贷的优质客户。据《联合早报》转自《大公报》的报道，石家庄当地有七八家银行对三鹿集团放有贷款，其中一家股份制银行对三鹿集团的贷款更是高达两亿元。
三鹿之前，看似一夜之间轰然倒下的品牌企业还有很多，如三株、秦池、德隆、爱多、巨人等；在国外也有安然、八佰伴、百富勤、世通等。他们的倒下，让相关银行蒙受了巨大的损失。但冰冻三尺非一日之寒，无论是三鹿正在面临的致命打击，或者是雷曼突如其来的猝死，一个不容易忽略的事实在于，风险发生之前，企业的底子已经呈现亚健康状态，并且同样没有得到应有的重视。
如何识别企业面临的风险呢？我们可以借鉴风险导向的方法从以下方面对企业进行分析：
一、企业所处的行业状况及其他外部因素
我国乳制品行业主要采用的是“公司+基地+农户”的发展模式，大部分企业采取的策略是“要市场不要牧场”，精力主要放在产业链的销售等下游环节，如2007年蒙牛的销售费用占其销售收入的15.5%（2006年为14.6%），与之形成鲜明对比的是其牧场建设投入则少得多，目前蒙牛对牧场的最高持股比例仅为30%，而且仅能提供其10%的奶源，另外90%的奶源主要靠农户提供。由此导致企业对产业链上端的养殖环节难以控制，奶制品安全风险激增。另一方面，在谈判中生产企业较奶农更为强势，收奶价偏低，奶农尤其是衍生的奶贩子具有造假的利益冲动。
在蒙牛、伊利等标杆企业的竞争压力之下，奶源建设曾经是全国样板的三鹿集团近几年大量收购地方加工厂、增资扩产，其奶源建设已经远远跟不上生产的步伐，最终奶源失控导致“毒奶粉事件”的爆发。
在了解行业状况及其他外部因素中，我们应当考虑企业所在行业的业务性质或监管程度是否可能导致特定的重大风险，必要时还应向具备相关知识和经验的外部人士进行咨询。
二、企业的性质
按照风险导向的分析方法，我们应从所有权结构、治理结构、组织结构及经营活动、投资活动、筹资活动等六个方面了解企业性质。
以治理结构为例，良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低企业风险。从表面看，三鹿集团具有形成良好治理结构的所有权结构：2002年三鹿集团成功改制，政府全身而退，其96%左右的股份由900多名老职工拥有；2006年新西兰恒天然集团以8.64亿元的现金获得43%的股权，成为第二大股东。但是，由于以田文华为代表的强势管理层的存在使得三鹿集团的治理结构变得苍白无力。当恒天然集团得知三鹿集团奶源受污染后，要求采取措施予以恰当应对，但三鹿集团管理层对此置若罔闻；之后恒天然又向石家庄市反映情况无果，最后不得已通过新西兰总理克拉克直接向中国政府反映情况才得到了应有的重视。如果三鹿集团治理结构得到有效的运行，并迫使其管理层及时采取了恰当行动，则后果并不会如此惨烈。所以，如果企业具有良好的治理结构，并得到有效运行，将会有效的防止风险进一步恶化，从而也降低银行信贷资金的风险。
三、企业的目标、战略及相关经营风险
目标是企业经营活动的指针。战略是企业管理层为实现经营目标采用的总体层面的策略和方法。经营风险源于对企业实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略。
面对极速扩张的市场和咄咄逼人的竞争对手，志存高远的三鹿集团于2004年制定了积极扩张的企业发展战略：
到2007年，奶粉产销量13万吨，液态奶产销量180万吨，销售收入160亿元；2007年奶粉产销量继续保持全国第一，酸牛奶和系列高附加值保健食品力争全国第一，液态奶位居全国前三名，同时进一步开拓外国品牌长期占据优势的高档奶粉市场。（据：中国食品产业网）
为达成这一战略，据《中国经营报》报道，三鹿集团近几年大量收购地方加工厂、增资扩产，甚而还召集散兵游勇，大肆进行贴牌生产，而奶源的卫生安全管理上多处于盲点状态，产品质量管理水平大大降低。如此病相不由得让人想起11年前的秦池，同样处于表象上的健康状态，却被一个行业内已不是秘密的潜规则击倒。当年的秦池在“川酒入鲁”的真相前，颓然而倒。三鹿也一样来不及喊冤，已经被抓做行业的标靶树在风口浪尖上。不同的是，三鹿将企业的急速扩张与利润追求建立在道德风险之下，相伴而生的经营风险经过不断累积，最终形成压倒企业的致命一击，原本光鲜的财务报表猛然变脸，企业濒于破产，银行遭受坏账损失。
四、企业的内部控制与管理
如果说三鹿之殇在于面临市场压力的道德感降低，同时段已经死在华尔街的雷曼兄弟则是另一种启示。当第二财季亏损成为雷曼公司14年来首亏之后，公司CEO富尔德曾将原因归结为它以前所做出的“糟糕选择”。事实并非完全如此，公司的内部管理结构或许才是真正祸首。
富尔德促进员工协作的重要手段之一，就是提供极具诱惑力的物质激励。他在雷曼实行员工持股制，给员工们的报酬中，有相当比例以公司股票和期权支付，而且锁定期比其他同行要长，“富翁效应”自然有其副作用。如果缺乏完善的制约机制，巨大的物质诱惑就有可能成为“诱致犯罪”的诱源。强大的财富激励因此更为富尔德的积极冒险政策推波助澜。
除去市场高压与高利润诱惑，长江商学院滕斌圣教授认为，伴随做大市场的壮志雄心，急速扩张带来的管理厚度拉薄，也是企业面临的重要风险之一。滕斌圣分析，光明曾经出现的郑州回奶事件就是最为典型的例子之一。事后王佳芬在谈到管理上的缺失时曾经坦言，光明从上海走向全国，但还没有完全按照全国公司来管理、发展，任何一种公司的治理结构，都不能替代管理。治理结构再好，与管理没有必然的联系。不会因为你有股权就自然而然地好。管理就是管理，治理结构会让你的管理更加有序，但是再好的治理结构也不能没有一套严格的管理系统。对质量意识的提高是一个持续进步的过程。所幸回奶事件最终不过演化成一个风波，此后的光明依然全速发展。相形之下，曾经盛极一时的爱多、巨人集团等企业大多倒在急速扩张的门槛上，面对市场机会，企业规模不断膨胀，内部管理无法与之同步。一旦遭遇外部环境恶化，遭遇死亡危险便不足为奇。
除上述四方面之外，还应从以下两方面评估企业的潜在风险：一是通过了解企业对会计政策的选择和运用，评估财务数据的合法性、公允性；二是了解企业财务业绩的衡量和评价，以考虑管理层是否面临着实现某些关键财务业绩指标的压力，从而操纵财务报表。