信息化下內部控制—風險評估應對方案探討

□趙 晶 張 輝 關振宇（教授）（北京青年政治學院 北京 100102）

現代信息技術對經濟生活的影響越來越大，其廣泛應用已經滲透到了社會經濟生活的各個方面，“大力推動全社會的信息化，以信息化帶動工業化”是我國信息技術的戰略目標，會計信息化、管理信息化系統、ERP等現代信息技術創造的現代管理工具已被各個行業的企事業單位廣泛應用。企業信息化不僅是實現現代企業管理的途徑和工具，同時也是其生存發展的內在環境，信息化促進了企業內部控制在網絡在線環境下的全面實現，同時也對內部控制提出了新的挑戰。企業如何在信息化下全面實施好內部控制、如何進行有效的風險評估，以促進內部控制系統的完善運行，便構成了本文擬探討的核心問題。

一、信息化下的風險評估所面臨的瓶頸

（一）風險評估思想認識缺位、組織機制薄弱

1.很大比例的企業經營者和管理者把內部控制和內部監督相混淆，把內部控制只看作是制度文件，或者把成本控制和資產安全控制等視為內部控制，內部控制的思想認識缺位必然導致風險評估的思想認識缺位。企業經營者和管理者內部控制和風險評估的認識程度對風險評估的具體操作起著十分重要的作用，其對風險評估的思想認識對整個企業風險評估起著關鍵的影響。企業經營者和管理者對風險評估的思想缺位會影響、引導和導致企業員工對內部控制和風險評估的認識不足，勢必會嚴重影響企業內部控制和風險評估制度的執行效果。

2.風險評估是整個內部控制的關鍵環節，建立合理的風險評估組織是及時有效開展風險評估工作的前提。目前來看，企業在內部控制組織機制方面的不健全、企業沒有專門的內部控制部門和由內部審計部門承擔風險評估工作等現象導致了風險評估職責不清和風險評估組織機構缺失。內部審計部門只是對風險評估工作進行監督，如果對具體風險評估工作負責將有損于審計的公正性和獨立性。內部控制管理機構缺位導致風險評估機構的缺失，造成各部門會片面強調本部門業務工作的重要性和風險防范的必要性，而不在意其他部門的業務及風險狀況，從而會導致形式上的控制過度和事實上的控制不足并存，企業風險管理缺乏統一協調。

（二）風險評估制度缺失、方法陳舊

1.在多數企業的內部控制文件中，風險評估內容并不全面、到位，導致了風險評估工作的缺位。風險評估內容不全面、合理，根源于缺少統一的評估標準，進而在進行風險評估系統設計時缺少客觀公正的評估依據，風險評估作用難以發揮最大效用。風險評估制度缺失使企業經營者和管理者將風險評估工作轉嫁給內部審計部門，使內部審計部門承擔不應有的風險評估工作，從而造成監督方與被監督方責任界定不清。風險評估標準的缺失和風險評估職能的混淆，使風險評價結果利用價值大大降低，導致無法順利實現內部控制系統的目標設置。

2.企業內控人員在應對風險識別、分析工作中，習慣運用傳統甚至陳舊的理念和方法，以定性分析評估為主而缺少科學合理的計量和定量分析評價。較少運用spss軟件分析系統、矩陣分析和COSO例舉法等統計與分析方法，科學性、客觀性與合理性欠缺，據此得出的風險評估結果缺乏可信度。企業的內部控制工作的風險評估程序不夠合理，評價手段不夠先進和科學，導致評估時間長、效率低、質量低。

（三）風險防范流程缺失

很多企業在風險管理工作中，對于操作業務流程沒有實現對既有風險和剩余風險的識別、分析和持續跟蹤；缺少后續防控措施，沒有堅持開展風險預測與預警工作，導致風險事前防范缺失。缺少定期對風險防范的檢查，對風險處置結果的及時性和關注度不到位。

二、信息化下的風險評估瓶頸的應對

（一）樹立科學系統的內部控制理念，建立風險評估體系框架

隨著企業經營規模擴大和業務日益冗雜，企業最高管理當局，不可能事事都親自過問，必須建立健全制度，為使企業各項業務的處理過程程序化，使工作手續執行規范化，使職責分工制度化，必須樹立內部控制理念。樹立內部控制理念能使包括管理者和普通員工在內的所有人員按規定按程序進行工作，做到相互制約和相互促進，防范風險的爆發，有利于企業的經營管理。

建立健全風險評估體系是防范風險的重要手段、有效途徑和必要措施。企業要成立管理層的風險管理委員會和專業風險評估小組，通過公司戰略和公司業務等多層次對整體風險狀況進行評估。要成立獨立于審計監察部門以外的專職風險管理部門，負責組織日常風險識別、風險監測和風險分析，及時收集整理風險評估資料，及時評估分析風險狀況，為領導決策提供依據。同時，要加大支持風險評估工作的力度，保證風險評估體系具備足夠的人力、財力和物力，保證風險評估體系的建立健全能夠切實實現。

（二）加強風險評估人才建設、開展內部控制主動評估

目前，要重視風險管理人才培養并適時引進專業風險評估人才，通過建立風險評估人才培養體系逐步提升風險評估人員的整體素質。結合風險評估人員自我學習，鼓勵其參加諸如風險管理師資格的培訓和考試，通過學習風險評估理論和風險評估方法提高風險評估工作能力。還可聘請行業專家定期對風險評估人員進行培訓，了解國際國內風險評估工作的先進方式和發展趨勢，使風險評估人員成為會運用數理統計方法和信息技術手段識別、分析和監測風險復合型的風險評估人才。

控制自我評估是組織監督和評估內部控制的重要措施，它是內部控制工作評價的新方法，體現了內部控制系統評價的新突破。企業應當適時開展控制自我評估，了解可能引起的風險的控制環節予以改進，從而促進職能部門加強業務管理、優化業務流程、完善內部風險控制，同時可通過外部獨立審計的介入增強內部控制評價的約束力。

（三）科學設定風險評估標準、建立風險評估預警機制

風險評估標準設計三個層面，分別是風險水平計量、評估標準設定和風險等級劃分，要使風險評估標準的設計合理準確科學，要優化完善以上三個方面。企業面臨包括決策風險、管理風險和財務風險等在內的多種風險，要對于這些風險通過發生幾率、影響程度和波動幅度分別給予一定的權重，結合風險計算方法評估固有風險的大小；企業要對潛在的內部風險和外部風險，按照一定的方法分別評定風險等級，以便對風險進行分類控制的時候實現風險最小化并降低風險控制成本；由于不同行業、不同企業和不同部門所面臨的風險情況呈現多樣性、差異性和變化性，要對不同行業、不同企業和不同部門的風險進行評價比較，就必須要有一個可以用來衡量的評估標準，通過正常、基本正常、關注、重點關注和風控失效五級標準采取不同的風險應對方法，最大限度防范風險。

企業應建立健全包括預警人員、預警機構、職責和權限在內的風險防范評估預警機制。各部門建立素質高、責任心強、風險評估業務精通的預警人員，負責發現部門內崗位風險，及時控制風險、向預警機構發出預警信息；在評估組織內設立預警機構，負責在收到各部門預警信息后做出合適的應對措施。

三、內部控制——風險評估系統的開發與優化

在校企合作、跨專業聯合的背景下，以強化和培養在校青年學生的團隊合作能力、職業創新意識、工作應用技能為目標，通過競賽評優等活動，征集企業內部控制——風險評估系統的開發與優化方案。校企合作：主要以解決企業的內部控制——風險評估的實際需要為導向，確立系統開發目標；跨專業聯合：以計算機應用、企業管理、財務管理與內部控制專業的青年學生為骨干，組成跨專業聯合開發團隊，實現內部控制——風險評估系統的開發目標。內部控制——風險評估系統的開發與優化方案評價指標與目標參照標準：

（一）初始化條件下，企業需要建立風險數據庫，并準備全部的風險信息

通過系統運行，可提供：風險數據庫分類信息；便捷引導式的在線調查；實時展示評估標準，提高評估信息的客觀性；對調查結果開展實時在線自動檢查，校驗保證數據質量；自動對風險數據進行統計分析并生成評估報告。

（二）通過系統運行，實現并得到客觀、全方位的風險評估結論

1.風險數據庫信息分類（以運營風險為例）。（1）研發設計風險：研發規劃風險、產品設計風險、工藝技術風險；（2）固定資產管理風險：固定資產投資風險、運營維護風險、大修風險、轉讓處置風險。（3）采購風險：供應商管理風險、采購計劃風險、采購執行（招標、合同）風險、采購驗收入庫風險、存貨（倉儲）管理風險。（4）生產風險：生產計劃風險、生產過程管控風險、項目管理風險、成本控制風險。（5）銷售風險：市場開發風險、銷售策略風險、產品的市場替代與客戶管理風險。

2.便捷的引導式在線調查。調查開展的可行性、便捷性、引導遞進性和方法選擇的科學有效性。

3.實時展示評估標準，提高評估信息的客觀性。對調查結果開展實時在線自動檢查，校驗保證數據質量。

4.對風險數據進行統計分析并生成評估報告。

四、結論

在全球信息化的大背景下，從企事業單位內部控制的實現，風險評估工作是內控系統的關鍵組成部分。風險評估是一個持續、反復、變化和創新的過程。企事業單位應高度重視風險評估的持續、反復性和變化、創新性，及時收集更新相關信息并系統全面客觀地開展風險評估工作，建立適時更新的風險信息庫，為持續進行的風險評估工作提供有效支持。充分利用現代信息技術實現風險的實時監測、分析和應對，及時根據風險變化調整應對策略，從而有效控制管理風險，促進事業不斷發展壯大，為企事業單位和社會創造更多的價值。