基于風險導向的企業內部控制構建

查貴良 楊維杰

一、企業內部控制與風險管理

1.基于風險導向的企業內部控制的定義及目標

企業內部控制是指由企業董事、監事、經理人員和其他關鍵人員制定的對所有影響企業可持續發展的風險進行有效控制的制度體系以及由企業所有成員嚴格執行制度以實現有效控制和風險管理并不斷自省和完善的動態過程。董事會對企業內部控制的建立和實施負責。

企業內部控制的目標由總體目標和具體目標構成。總體目標是指實現企業價值最大化，具體的目標包含確保企業的生產經營活動合法合規、提高經營活動的效果、真實完整的反映企業的財務狀況。總體目標與具體目標相輔相成，促進內部控制的實現。

2.內部控制與風險管理的聯系

企業內部控制與風險管理是相輔相成的。內部控制在于確保企業的生產經營活動合法合規，保證企業的資金資產安全完整，能夠提供真實可靠的財務信息。而風險管理是采用各種方式來評估和管理企業風險，將風險控制于可以承受的范圍內，有利于企業實現內部控制的目標。從本質上來說，內部控制與風險管理的目標一致，隨著企業逐步地關注外部風險，內部控制將逐漸地與風險管理融合，成為在風險管理導向下的內部控制體系。

二、基于風險導向的企業內部控制的要素

1.內部環境

內部控制的基礎是內部環境，環境在很大程度上影響了內部控制是否能夠良好的實施。內部環境中包含硬環境與軟環境。硬環境是指設置和安排企業內部機構的職能，軟環境是指企業的文化、經營方式和人力資源政策。設置企業內部的各個部門是指防范企業的內部風險，讓企業的固有風險有所制衡，例如分離不相容的職責。分配職責是指合理安排各個部門和各個員工的工作任務，并形成良好的監督和制衡關系。

2.控制活動

控制活動是指企業根據風險分析的情況，采用一定的措施，有效的控制風險。根據不同的風險事項，可劃分控制活動為兩種類別，分別為一般控制活動、特別控制活動。一般控制活動是指控制一般的風險事項，特點為數量多、原則性強。特別控制活動在于控制特別的風險，特點為靈活度高、變化性強。企業應當設置風險管理部門，特別關注特別風險，確保及時的控制和解決所有的特別風險。

3.信息與溝通

信息是指與企業內部控制相關的所有信息，包含內部信息與外部信息，形式多種多樣，包含電子、紙質、傳媒等等。溝通是指擁有信息的主體進行互相的交流，包括企業各個員工之間的交流、企業內部與外部之間的交流。企業應該采用各種方式獲取內部信息與外部信息，并有效將信息在企業內部進行分享。

4.內部監督

內部監督是指企業監督、檢查、管理內部控制的設置和執行情況，發現內部控制中存在的缺陷并及時反饋。內部控制不僅與管理層相關，還與審計委員會、企業各個員工密切相關。企業內各個員工都擁有監督和檢舉內部控制的權力，而且越多的使用權力，內部控制越完善。

監事會負責實施監督行為，制定如何界定內部控制缺陷，明確每個員工監督管理內部控制的職責，建立健全檢舉內部控制缺陷制定，完善保護檢舉人制定，明晰檢舉渠道，營造檢舉內部控制缺陷的氛圍。一旦發現內部控制缺陷，應及時與相關人員溝通，并向管理層匯報，分析缺陷產生的原因及其性質，明確更正缺陷的方案，并實時跟蹤缺陷整改情況。

內部監督可以分為日常監督與專項監督。日常監督是指監督、管理、檢查日常性的內部控制活動，專項監督是指監督、管理、檢查企業特別事項的內部控制活動。日常監督應該充分發揮每個員工擁有檢舉內部控制缺陷的權力，專項監督應該關注特別風險的性質并積極應對。

5.自我評價

自我評價是指企業定期或不定期的分析和評價內部控制是否有效，并出具內部控制評價報告，需對外進行披露。企業應該成立內部控制委員會或聘請外部專業的內部控制結構執行自我評價工作。自我評價工作完成后，執行自我評價的相關負責人應在內部控制評價報告上簽字，對所披露的信息負責。自我評價包含兩方面：合理的設置自我評價方案、有效的執行自我評價方案。內部控制評價報告中應該包含企業的評價方式、執行過程以及最終結果，對于評價結果應詳細說明，不能一句話帶過，應說明內部控制是否有效，無效的地方是設計無效還是未有效執行，目前內部控制缺陷在哪，是否制定整改計劃，是否有效執行整改計劃。報告最后應當在附錄中詳細說明兩個問題：一是所評價期間對重大風險的識別、評估及控制情況；二是所評價期間對重大控制缺陷的發現、整改及再監督情況。

三、完善基于風險導向建立內部控制的建議

1.完善公司治理結構

三鹿集團的破產原因之一在于內部環境比較惡劣，機構設置及權責分配不合理。我們從田文華的高度集權(田文華，原三鹿集團黨委書記、董事長、兼總經理)就可以看出三鹿很難有強有力的內部牽制，治理結構不完善。企業的內部控制應該從公司治理結構入手，整合組織結構、業務流程、資金運營和會計工作與審計體系。公司治理是股東、董事會、監事會、經理層之間形成的權責分配、激勵與約束和權利制衡的關系。科學的公司治理結構包括民主、透明的決策程序和管理議事規則。高效、嚴謹的業務執行系統以及健全、有效的內部監督和反饋系統。實行公司治理的關鍵是實施相互制衡的共同治理，主要治理人有股東、董事會、監事會、經理和銀行。

2.識別重要風險并建立風險評估和回應機制

首先應建立風險識別制度，完善企業的風險預警系統。企業的風險預警系統是指分析一系列的指標，檢查是否出現不符事項。風險預警系統包含分析風險的組織模式、設置會計信息系統、收集財務信息、傳遞各種信息以及風險分析機制。風險預警系統能夠有效的收集各種信息，并通過分析這些信息發現企業的內部控制是否存在缺陷。企業應該按照管理的流程，從每層組織開始，并考慮企業外部風險，從下而上的進行。當然，一個完善的財務風險預警制度應該包含有效的內部控制制度、監督管理制度，否則財務風險預警制度無法完善的執行。由于各個企業的經營方式不同、企業規模也存在差異，企業應該根據自身的情況來設計風險預警系統，讓風險預警系統符合企業的特征，滿足企業要求。

其次建立風險評估制度，正確的評估企業的風險水平。完善的風險評估制度應包含風險評估標準、風險評估方案、風險評估準則。因此，企業應設置各個風險指標的標準值，尤其是明晰風險高低的臨界值以及風險范圍，方便企業使用，風險范圍太大或太小都會影響風險評估的效果。從總體上來說，風險評估方法可以分為定性評估方法和定量評估方法。在風險評估的過程中，企業應該分析自身最關鍵的問題是什么，哪些會嚴重影響企業實現自身的目標，在風險評估的過程中使用定量評估方法還是定性評估方法，并且還需確定衡量風險的單位和衡量風險的模型以確保評估的假設前提、參數、數據來源和評估程序的合理性和準確性。從而可以有效的了解風險的級別和程度。另外，完善的風險評估機制需使用完善的風險制度來規范，因此企業應制定與企業相適應的規章制度，約束和管理風險評估人員，確保有效的實現風險評估。

最后企業應建立健全有效的風險應對制度，增強抵抗風險的能力。企業面臨的風險具有多樣性、復雜性的特征，這樣要求企業建立健全相應的制度來應對風險、有效的管理風險，只有企業能夠組織化的運作風險，這樣才能足夠的重視風險并真正的運作。企業可以單獨設置一名財務人員進行風險管理，職責在于預測、分析、控制、應對企業的財務風險，需及時的發現風險并有效的應對，建立健全風險管理制度。為了有效的防范未來可能產生的風險，企業應該從長遠角度出發，建立健全企業的風險應對機制。企業可以采用如下方式，例如分散風險制度，即使用風險的分散方法，采取多樣化經營、多方位經營來分散市場的產品風險；轉嫁風險制度，即采取合法的方法和途徑將風險轉嫁給其他的企業承擔，簽訂遠期合同、實行承包經營方式、購買相應保險等轉嫁風險至其他企業。在應對風險的過程中，企業應根據不同風險的類別，采取不同的方式，控制風險，促進企業達成其自身的目標。

3.實行風險導向內部審計，促進內部控制的監督和再控制

現代內部控制的作用之一是將風險管理制度貫穿于企業的各項管理活動。根據已經明確的企業目標來發現、管理、控制企業風險，促進企業實現自身目標。而風險導向內部審計是指內部審計人員分析企業的經營計劃是否與風險一致，并在審計過程中貫穿風險管理。風險管理是一項重要的組織活動，內部審計的重點是識別風險并管理風險。內部審計在繼續發揮評價內部控制執行的效率與效果的作用，并在一定程度上促進內部控制的完善，幫助企業保持有效的內部控制的同時，并參與管理企業風險，幫助企業發現風險、評價風險、控制風險，促進企業完善風險管理制度。風險導向的內部審計，一方面可以作為公司管理層的風險指南，另一方面可以作為企業發現風險、控制風險、管理發現、信息溝通、監督風險等方面的職能。可見，風險導向內部審計的功能是將風險作為最初的出發點，通過確證和咨詢活動為內部控制提供能動的反饋，將反饋控制向事中實時反應以及事前前饋延伸。風險導向內部審計和現代內部控制兩個要素以風險作為共同的語言，相互協同作用。其目標都在于增加企業價值，其功能實現了“1+1＞2”的整體大于部分和的效應，從而有力地促進內部控制的監督和再控制。

四、結語

綜上所述，文章首先探討了企業內部控制與風險管理，接著分析基于風險導向的企業內部控制的要素，最后探討了完善基于風險導向建立內部控制的建議。在現實生活中，相信隨著我國市場經濟的發展和市場經濟制度的健全，內部控制也會越來越完善。