站便是风险管理能力。投资有风险，这是每个人都明白的道理，但是投资并购的风险究竟在哪里？如何识别？如何掌握并控制风险？这是评估企业风险管理能力的主要关注点。

　　风险控制当前已经成为国内企业界关注的热点。2008年，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基础规范》，首先要求上市公司在2009年7月1日前（后推迟到2010年），必须建立企业内部控制体系；对内部控制的要求在国有企业及其其它类型企业中逐步推进。

　　对此，我对企业家们有一个忠告：企业可以因为财政部等相关部门的要求而去加紧推进内控建设，但是，绝对不要“为建而建”。内控建设中“外因是急”，但是“内因才是本”。对于意图推进企业并购，进行外延式扩张的企业来说，内部风险控制体系的建设是当务之急！

　　企业推进风险管理能力的建设可以从四个方面进行评估。

　　第一个方面就是对企业的战略风险管理能力进行评估。当前中国企业大多数都还没有建立起内部控制体系，通过对企业战略的梳理，包括集团管控、业务特点以及业务环境等的识别，可以明确企业战略对内部控制体系建设的要求是什么。根据企业的战略，了解企业内部控制的特点，风险集中体现在哪些区域。然后进行针对性地规划，确定内部控制体系建设的重心。

　　第二个方面就是在企业战略目标的指导下，围绕内部控制的控制环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求，评估公司级的内部控制。通过对风险的识别，发现上述几个方面存在的问题，并通过对公司内部控制管理的测试，全面解决这些问题。

　　第三个方面就是流程级和IT级内部控制体系的建设，这是风险管理和内部控制评估的重点，也是难点。把通过战略梳理确定的关键风险区域归结成流程地图，对现有的流程进行描述，并找到这些流程中的风险点、现有的控制措施以及控制的缺失，从而制定内部控制措施、风险控制目标等。对于IT（信息系统）而言主要关注的是一般性控制缺陷，例如安全性的缺陷、硬件管理的缺陷等。通过流程级和IT级内部控制体系的建设，要形成企业的风险控制矩阵，系统性地发现风险并制订相应的控制措施。

　　前三个方面主要针对公司内部控制的设计缺陷，比如公司没有战略、或者缺失流程、或者流程不合适存在风险，这就通过上述过程解决。但是我们发现，有很多企业所面临的风险不是由于设计缺陷造成的。它有制度、有流程，只是没有去严格地执行。所以需要进行第四个方面的评估。通过测试发现运行缺陷，并针对内控建设的基本要求提出整改意见。不仅流程要整改，制度要整改，组织、文化也要整改，管理要系统提升。通过一到两次的测试，弥补内控体系运行的缺陷。就可以让企业的内控真正做实。

　　正略钧策根据企业并购咨询的实际，提出了“CSSI并购风险控制模型”。模型的设计主要是对国际上一些通用工具进行应用组合。具体以现金流指标、资金安全指标、偿债能力和投资预警四个相关的指标体系为基础，建立的CSSI投资预警模型。测试结果能够较为充分地反映企业在某一个时点上现金流是否健康，偿债能力是否充分，现金流是否充裕，对外投资规模是否合理。

　　通过定量和定性相结合的方式综合企业投资并购基因测试评估的四大能力评价体系，评判企业是否具备并购重组的基因。通过对投资管理能力、融资管理能力、决策支持能力和风险管理能力四个方面的评分以及权重设置，初步判断企业是否并购基因以及水平，并据此提出提升并购能力的可行路径，这是进行企业并购基因测试的目标和落脚点。

　　四项能力的测试评估，为企业推进并购找到了更为具体可行的抓手，也为企业通过参与并购提升企业竞争力提供了可能。