如何構建風險導向型的內部控制體系

趙承燕

摘 要： 本文首先從典型的風險管理案例入手，分析企業由于不重視風險、內部控制缺失而失敗的經驗教訓，說明構建風險導向型內部控制體系的重要性。接著從風險管理和內部控制的關系入手，重點講述如何構建以風險管理為基礎的內部控制體系，促進體系的正常有效運行，保障企業的健康安全發展。

關鍵詞： 風險管理；內部控制；有效運行；不斷改進

中國鋼鐵集團公司（簡稱中鋼集團）在鋼鐵礦業鼎盛時期，中鋼集團資產總值曾高達1800多億元，位列美國《財富》雜志發布全球500強排行榜第354位。然而，2014年12月底，中鋼集團及所屬子公司的債務總額逾1000多億元。中鋼集團的債務困局源自對山西中宇鋼鐵有限公司（簡稱中宇鋼鐵）、河北邯鄲縱橫鋼鐵集團有限公司（簡稱河北縱橫）以及澳大利亞中西部礦業股份有限公司（簡稱中西部礦業）的投資，從而導致了中鋼集團的巨額虧損。

中鋼集團的巨額虧損從表面上看是因為其盲目擴張、大量境內外并購，同時伴隨鋼鐵行業嚴重產能過剩，鋼價、礦價出現大幅下滑，而實質上卻是中鋼集團違反國資委相關規定，違規開展融資性貿易業務，內部控制不嚴，且風險意識淡薄，風險防控手段和方法缺失。如中鋼集團在與中宇鋼鐵合作的項目中，業務部門將大額資金支出進行分拆以低于5000萬元進行審批，以規避內部規定，內部控制流于形式，在與中宇鋼鐵、河北縱橫的“全面合作”事項上均未開展有效風險評估，更未制定風險防控措施防范風險，最終出現大額損失。最終導致中鋼出現巨大的“財務黑洞”。

類似中鋼集團的案例還有很多，這些慘痛教訓告誡我們：企業應該建立一套適合自身發展且運行有效的內部控制機制，最大限度的防范風險，保障企業的健康安全發展。

一、正確理解內部控制和全面風險管理的內涵，了解兩者之間的關系。

（一）什么是內部控制和全面風險管理？

內部控制是受企業董事會、管理層和其他職員共同作用，為實現經營效果性和效率性、財務報告的可靠性，以及對適用的法律法規的遵循性等目標提供合理保證的一種過程。包括控制環境、風險評估、控制活動、信息與溝通及監控五個要素。

全面風險管理是以內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通及監控等要素為環節的不斷修正、循環往復的過程，并滲透于各項經營管理活動中。

（二）內部控制和風險管理的關系

從內部控制和全面風險管理的定義可以看出，內部控制是風險管理的基礎，是全面風險管理體系的組成部分，風險管理涵蓋了內部控制，拓展了內部控制內涵。隨著內部控制的逐步實踐，內部控制初步發展成了以風險為導向的內部控制。

二、構建風險導向型內部控制體系的重要作用

（一）推動企業規章制度的建立健全，進一步規范業務操作流程，提高企業的經營管理水平。為建立運行有效的內部控制體系，企業必須對內部的業務流程進行梳理，對業務流程中的風險進行甄別、評估并制定行之有效的風險控制措施。因此體系的建立就是流程的梳理和制度健全完善的過程，同時也提高了企業各級管理者的經營管理水平。

（二）提高企業的抗風險能力。內部控制體系建立的前提就是要進行風險評估，并建立風險信息庫，盡可能的規避風險，內控體系的正常運轉更是風險防控的過程，因此，內控體系建設可以將風險控制在萌芽狀態，做到風險早預防、早發現、早控制，提高企業的抗風險能力。

（三）提升全員風險防范意識，形成良好的內控文化氛圍。內控體系的建設是全員參與的過程，既需要企業領導層的支持，也離不開各級管理層及員工的大力配合與積極參與.要構建科學有效的內控體系，必須統一全員的思想，樹立正確的風險防范及內部控制意識。內控體系的建立能大大提升企業的風險防范意識，構建重視風險、執行有力、遵規守紀的內控文化氛圍。

三、構建以風險為導向的內部控制體系的具體措施

企業完善的內部控制體系必須具有良好的內部控制環境、健全的內部控制制度和完善的監督評價改進機制，內部控制制度設計是否合理健全，執行是否有效是內部控制目標能否實現的必要條件，而良好的內部控制環境是保證內部控制體系正常有效運轉的前提，對內部控制體系進行監督評價是促進體系改進完善的原動力。

（一）統一思想，提高認識，深刻領會風險導向型內控體系建設的重要意義。

內部控制體系建設既是國資委及相關監管部門的要求，也是企業自身健康可持續發展的需要，健全有效的內控體系對進一步規范企業相關業務流程，控制風險，合理保證企業經營合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進實現發展戰略，具有較強的現實意義。企業從領導或管理層應該統一思想，提高認識，高度重視內控體系建設工作。

（二）明確目標，周密部署，統籌策劃風險導向型內部控制體系建設工作。

1、明確內控體系的建設目標，建立什么樣的內控體系？

內控體系建設的目的是要防范風險，合理保證企業經營合法合規、資產安全、促進企業健康安全發展。因此，內控體系建設必然要以風險為導向，而風險會隨著企業發展不同階段、不同政策環境而發生變化，內部控制應隨著風險的變化不斷調整。內控體系建設首先應充分考慮企業自身的經營規模、業務范圍、競爭狀況等因素。內控體系涉及到決策、執行和監督全過程，不能一蹴而就，要克服一勞永逸的思想，做到與時俱進，在保持相對穩定的基礎上不斷加以優化改進。內控體系建設實施應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時應當權衡運行成本與預期效益，以適當的成本實現有效的控制。

因此，企業應當樹立風險管理意識，結合自身實際，以業務流程為重點，關注重要業務事項和高風險領域，逐步建立“風險明確、流程規范、責任清晰、措施有力、制度管用、兼顧成本與效益的內部控制體系。同時建立科學的內控評價機制，及時發現內控體系的缺陷，實現體系的有效運行并持續改進完善。

2、成立內控體系建設組織機構，制定實施方案，全面部署體系建設工作。

健全的組織機構是推動內控體系建設的組織保障，必須建立上到董事長、總經理，下到基層員工的工作機構，明確責任分工，企業的最高管理層必須承諾對風險控制全面負責，自上而下地推動內部控制建設，從控制環境、內部控制制度和監督評價等層面制定切實可行的工作方案，全面部署體系建設工作。

（三）積極構建良好的內部控制環境，

控制環境是內部控制的基礎，具體包括企業的道德價值觀、干部員工的風險理念、工作作風和執行力等。控制環境對企業內部控制的構建與實施具有重大的影響，直接決定了內部控制與風險管理的效率和效果。

1、加強培訓，深化對內部控制的理解，樹立風險管理理念。首先，通過培訓培育內部控制和風險管理文化，使全體員工擁有一個共同的風險語言，強調全局觀和協作觀，把風險管理意識貫穿于企業的生產經營管理全過程，尤其強調領導層的帶頭作用，以上率下，促進內控效果的提高。其次是突破對傳統的內部控制的理解，內部控制不僅局限于財務層面，包含更高層次的戰略目標，以中鋼集團為例，中鋼集團在作出對中宇鋼鐵、河北縱橫以及中西部礦業的重大投資決策之前，如果從戰略高度進行了風險管理和內部控制，就不會出現后面的負債困境。

2、建立完善的公司治理結構并充分發揮各部門職責。企業各層級各部門之間應分工明確，并相互監督、相互牽制，尤其是內部審計監督部門應隸屬于董事會審計委員會，不應歸總會計師或財務總監管理，這樣有利于發揮審計部門在監督內控體系有效性上的作用。

3、培養員工的職業道德和勝任能力。員工是企業生產經營管理的執行者，良好的員工職業道德可以保證企業的正常發展，有效避免風險事件的發生。員工的知識和技能必須與其所在崗位要求相匹配，這是企業生產經營和內部控制活動得以有效運行的基本保障。因此，企業應以誠信等職業道德作為員工的行為準則，建立獎懲機制，加強員工的再教育，提升員工的崗位勝任能力。

（四）建立風險評估機制，形成風險信息庫。

建立風險導向型內部控制體系，必須把風險管理落實到企業每個業務流程的各個節點。建立風險評估機制應重點關注三點：

1、全面排查風險。企業應從戰略風險、市場風險、財務風險、運營風險和法務風險五大風險（一級）出發，按照職能部門和業務單位廣泛、持續不斷地收集與本企業相關的內部、外部初始信息，識別影響企業目標實現的內部及外部的潛在事項，甄別潛在風險，排查出企企可能面臨的全部風險。

2、分析和評估風險。一是制定風險等級認定標準和預警指標。企業應根據各類風險發生的機率大小及可能造成的危害程度，將風險按照重要程度進行劃分，并針對每個風險制定風險預警指標，形成風險等級認定和預警指標標準。

3、評定風險，編制風險數據庫。具體分析每個風險發生的可能性及影響程度，對照風險等級認定標準，劃分風險等級，編制風險等級目錄，形成企業全面風險信息數據庫。

（五）建立健全完善的內部控制制度

根據COSO的《內部控制—整合框架》，結合國資委的《中央企業全面風險管理指引》及大多數中國企業的實際情況，內部控制制度應從企業管理層面和業務流程層面來建立。

1、梳理企業現有的管理和業務流程。管理流程包括公司的組織架構、職能部門劃分及分工、崗位工作說明等流程。企業組織架構的設計要與企業規模、運行環境、戰略目標相適應，有助于推動企業戰略目標的實現。業務流程包括財務、人力資源、市場開拓、產品購銷、生產加工、固定資產等全業務流程，業務流程應科學、規范、可操作性強便于執行。梳理流程應結合企業現有的管理制度，將流程和制度結合在一起，建立業務流程與制度對照表。

2、結合風險評估情況，建立完善的流程制度。根據前期風險評估的結果，對重大風險和非重大風險采取不同的控制措施。對重大風險所涉及的各管理及業務流程，制定覆蓋各個環節的全流程控制措施，對非重大風險所涉及的業務流程，要把關鍵環節作為控制點，采取相應的控制措施，將新的控制措施納入制度和流程中，列明需要新建的制度或修改完善的制度內容，更新業務流程，形成業務流程與制度之間的對應關系，使得內控流程的執行有相應的制度支撐。

（六）建立內部控制監督與評價機制

為保證內部控制體系的運行有效，必須對內部控制進行監督與評價，可以及時發現體系運行中的問題，發現風險，促進體系的完善。

1、明確體系監督與評價的主體。為保證監督與評價結果的客觀公正，應由獨立的審計部門或審計委員會進行內部監督評價，同時，加強外部監督，如上級監管等。

2、建立內部控制監督與評價機制。無論是內部評價還是外部評價都應建立監督與評價的機制，明確評價的程序、方法和標準，對內部控制的有效性進行全面評價、形成評價結論、出具評價報告。內控評價應準確地揭示經營管理中存在的問題和風險狀況，在內部控制評價報告中如實反映、準確描述內部控制缺陷，客觀評價內部控制設計與運行的有效性。

3、抓好內控缺陷的與整改落實。內部控制監督與評價發現的問題，應責成責任部門編制內控缺陷整改工作計劃，并由監督部門跟蹤整改落實，確保缺陷整改到位。通過整改進一步完善流程和相關制度，實現內控體系的不斷優化改進。

參考文獻

[1]《基于風險管理的內部控制建設》王曉玲.

[2]《全面風險管理輔導手冊》中央企業管理提升活動領導小組.