風險導向型內部控制體系構建

李影

（安徽財經大學，安徽蚌埠 233041）

風險導向型內部控制體系構建

李影

（安徽財經大學，安徽蚌埠 233041）

隨著世界經濟的發展、科技進步及虛擬經濟的出現，企業所面臨的市場環境更加千變萬化，這些都增加了企業在運作當中的風險。鑒于此，企業對風險管理也就越來越重視，并希望通過加強內部控制制度的方式達到管理風險的目的。文章對COSO風險管理框架做了簡要介紹，并指出當前中國企業基于風險管理的內部控制體系建設的必要性，進而初步探討了風險導向型內部控制體系的構建步驟。

風險管理；內部控制；體系構建

2004年，COSO委員會在借鑒以往有關內部控制研究報告精神的基礎上，結合《薩班斯——奧克斯利法案》在財務報告方面的具體要求，發表了新的研究報告——《企業風險管理框架》。這個報告的出臺，預示著COSO委員會對待內部控制的認識和態度有了新的變化，即從重視內部控制本身轉向了重視風險管理，或者說其更加傾向于在風險管理的背景下研究內部控制問題。隨著企業經營環境的日益復雜，面臨的風險威脅日益增加，基于風險管理的內部控制體系構建也成為中國企業尤為緊迫的事情。

一、風險導向型內部控制體系構建動因

1.實現企業戰略目標的需要[1]

企業經營戰略的關鍵在于培養和發展能使企業在未來市場居于有利地位的核心競爭力。企業要想長期穩定地保持其競爭優勢，必須制定明確的戰略目標。而制定的戰略能否最終實施，取決于企業各個業務流程的有效執行。所以制定風險導向型內部控制制度并切實執行是企業實現戰略目標的重要保證。

2.適應內外部環境變化的需要

外部經營環境的變化使企業自身不進則退，許多優秀企業都在采取各種手段提高自身競爭能力，比如，不斷加大新技術開發和應用力度，通過并購延長其產業鏈，強化以團隊為主的虛擬組織，強化內部金融企業作用、強化風險管理及內部控制等。

推進企業適應外部經營環境變化的目標是：通過建設全面風險管理和內控體系，既要控制重點，又要保留一定的彈性空間；既要保證業務規范有序地進行，又要激發管理人員和員工的創新性。

3.提高內部管理能力的需要

企業的發展一般要歷經創建期、成長期、成熟期、衰退期。處于成長期的企業存在著由于職責不清和人才素質差異引起的“成長綜合癥”，比如面臨著多元化產業成熟度低、兼并購行為多而管控不適當、職能化管理條塊分割明顯等風險，迫切需要采取適當的手段提升管控能力[2]。提升管控能力的目標是：建立風險管理及內部控制的組織機構和標準，形成企業“自我免疫機制”，持續優化各層級之間的管理和責任界面、工作流程，健全內部控制制度，使領導層“做正確的事”，執行層“正確地做事”。

4.滿足外部監管的需要

國有大型企業集團及所屬單位面臨國內外多重監管主體的監督，出資人和不同的資本市場均有嚴格的監管規定。國資委從出資人角度出發要求中央企業按照《中央企業全面風險管理指引》建設全面風險管理體系；財政部側重于財務數據和資產安全，出臺《企業內部控制規范》，提出國內大中型企業內部控制建設的整體框架和標準要求；證監會、上交所和深交所側重于對上市公司的監管，各自發布了《上市公司內部控制制度指引》，要求上市公司建立有效的內部控制體系及風險防范機制。滿足外部監管需要達到的目標是：讓所有利益相關者放心，公司有良好的發展環境。

隨著國內外內控失敗事件的頻頻發生，各方都認識到健全內部控制機制、加強企業的風險管理水平，已經顯得十分迫切和必要。此外，建立和完善內部控制制度也有利于強化企業內部管理、提高工作效率、增加經營效益，是上市公司建立規范、高效的現代企業制度的內在要求。

二、風險導向型內部控制體系構建

內部控制體系的構建不是一蹴而就的，而是有著循序漸進的過程，其形成和完善都有著嚴密的邏輯程序。一般來說，內部控制體系構建是以一個項目的形式啟動，集中企業外部和內部的一切優勢力量，在一定的時期內完成內控建設的主要工作，即完成項目，再進行項目驗收及交接，將內部控制長效機制落實到各個部門的日常職責，是內部控制無縫融入企業的日常運作。筆者認為，從項目的角度，構建內控的實施方法從縱向實施的角度通常包括五個階段，即計劃階段、評估階段、推廣階段、測試階段及總結與報告階段。[3]

1.計劃階段

計劃工作在整個內控實施過程中扮演著很重要的角色。與項目和內控實施有關的所有計劃工作和準備工作都在本階段進行，按照一定的技術要求并結合公司現有制度，識別重大風險領域，確定內控范圍及目標，制定內控實施方案。

內部控制的建立應當是基于風險的，因此必須對企業的目的進行分析，對企業面臨的風險進行評估，識別出高風險的領域，并確定內部控制的目標和范圍。同時應考慮不同分子公司的重要性、業務的多樣性、地域分布特點、特殊的行業風險等因素。

2.評估階段

通過對整個企業集團公司層面和流程層面進行風險評估，設計內控管理循環模型以及管控工具，定義內控標準語言，將內控工作分解到具體流程和控制要點。選擇集團中具有代表的典型子公司或分公司機構進行試點，梳理和建設內部控制，并進行適當的測試，發現內部控制的缺陷環節，提出整改方案；同時，通過試點經驗修正內控標準模板，使標準模板更具有使用性和可操作性，為下一個階段的推廣工作積累經驗。

3.推廣階段

在企業內組建內控項目工作組，對相關人員進行內控知識和標準模板的培訓，在第二階段中既定的范圍內大規模開展內部控制的梳理工作，了解公司的整體內部控制的現狀，并對現狀進行記錄，以作為了解公司內控的關鍵文檔。

4.測試階段

基于前面對內控了解的基礎上，編制標準的測試方法，對識別出來的控制活動進行設計有效性和執行有效性的測試，通過測試發現內控中存在的缺陷，并提出相應的整改措施，進而幫助公司完善內部控制體系。一般經驗表明，整改措施的實施必須通過及時檢查才能及時達到整改效果。一般說來，在整改措施實施一段適當的時間后，應當對這些整改措施進行再次測試，這一階段的測試有兩個目的：一個是檢查整改執行的效果，另一個是檢查整改措施的適用性和可操作性。若在實施過程中發現整改措施設計不當，可以及時進行改進，避免整改措施流于形式。因此多輪測試是必要的，有效的整改能夠促進內部控制體系逐步完善。

5.總結與報告階段

通過之前階段的實施，公司已經建立了完善的內部控制體系，可以接受來自公司內部和外部的監督及評價，并滿足國內外監管機構的法規要求。這一階段要做的重要工作是工作成果的整理、項目的總結和交接，要把內部控制各項職責落實到相關的部門和崗位。這些職責中，比較重要的是內部控制體系的動態維護和監督，以及對相關部門關于內部控制的、新要求的時時跟蹤，使內部控制融入企業的日常運營，形成風險和內控的長效管理機制。

三、風險導向型內部控制體系評價

企業應當根據面臨的風險、自身的規模、所處的發展階段、所在的行業以及法律環境，選擇恰當的內部控制評價標準以及內容。如在美國上市的公司，以COSO框架或其他美國證監會認可的內部控制框架作為內部控制評價標準就是恰當的選擇；而中國上市的公司，則以財政部的《企業內部控制基本規范》作為基本評價標準，同時兼顧上交所或深交所的相關具體要求。一旦確定評價的內容和選擇適合企業的內部控制評價方法，內部控制評價機構應該根據企業整體控制目標，制定內部控制評價的工作方案。

首先，需要明確評價的目的，然后，根據目的確定評價范圍和組織，范圍的確定應當遵循風險導向、自上而下的原則來確定需要的評價分支機構、重要業務單元、重點業務領域和流程環節，同時根據前面提到的評價標準和內容，制定具體的工作方案。

其次，企業按照審批通過的評價方案實施評價活動。在執行評價工作時，內部控制評價機構通過適當的方法收集、確認、分析相關信息，確定與實現整體控制目標相關的風險及細化控制目標，并在此基礎上辨識與細化控制目標相對應的控制活動，然后進行必要的測試，獲取充分、相關、可靠的證據對內部控制的有效性進行評價，并做出書面記錄。

對企業來說，建立健全內部控制制度是一個漸進的過程，必須建立其內部控制評價體系，根據情況的變化和出現的問題對相應的內部控制制度做出及時修正或建立新的內部控制制度，只有不斷進行內部控制的自我評價和改進，才能建立起有效的內部控制體系。

［1］楊博.中國企業基于風險管理視角的內部控制體系構建[J].北京市經濟管理干部學院學報，2009，（2）.

［2］劉今秀.建設以風險管理為導向的企業內部控制體系[Z].中華通訊，2009，（33）.

［3］劉偉杰等.構建風險導向的內部控制[M].北京：中信出版社，2009.

F272

：A

：1672-0547（2010）04-0018-02

2010-07-29

李影（1980-），女，安徽財經大學2008級會計學專業碩士研究生，研究方向：國家建設投資項目跟蹤審計。