建立我國企業內部控制的風險評估體系

【摘要】 文章對國內外企業風險評估的現狀進行分析。根據企業的特點和發展趨勢，指出進行內部控制風險評估的現實意義，并從全面風險管理目標、收集風險管理初始信息、風險識別、風險分析、風險評價、風險管理策略等方面，探討了如何建立我國企業內部控制中的風險評估體系。

【關鍵詞】 內部控制; 風險評估; 管理策略

為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，根據國家有關法律法規，財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》。該規范自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行。我國《企業內部控制基本規范》提出我國內部控制的基本要素包括內部環境、風險評估、控制活動、信息與溝通和內部監督等五項，并在《基本規范》中單辟一章，就風險評估的有關內容進行了規定。這說明國家和企業已經意識到風險評估在企業內部控制中的重要作用，那么企業應該從哪些方面來加強識別企業風險，建立風險評估系統，進一步改善內部控制呢?

一、國內外企業風險評估體系研究綜述

國外對內部控制的研究已有很長的歷史。1988年美國注冊會計師協會發布《審計準則公告第55號》，該公告提出內部控制結構的三個要素:控制環境、會計制度、控制程序。進入90年代以后，COSO提出《內部控制—整體框架》的報告，將內部控制分為控制環境、風險評估、控制活動、信息與溝通和監督五個部分，實現了內部控制由三要素向五要素的飛躍。自此風險評估被納入內部控制系統之中。最新內部控制研究結果表明，內部控制與風險管理愈發趨向目標一致，某些內容也有較大重合，COSO也于2001年起著手進行風險管理研究，從最初的將風險評估作為一個要素納入內部控制整體框架中到目前的著手進行風險管理研究，足可以看出內部控制與風險管理的趨同性和風險這一因素在內部控制中的作用和地位越來越重要。

近年，我國理論界和實務界越來越重視內部控制的研究和應用，學者們在理論觀念的引進和研究方面做了大量的工作。由財政部、證監會等五部委聯合發布的我國第一部《企業內部控制基本規范》就是很好的證明。

二、進行內部控制風險評估研究的現實意義

史學家湯因比曾說過:“一個國家乃至一個民族，其衰亡是從內部開始的，外部力量不過是其死亡前的最后一擊”。企業的存亡又何嘗不是如此呢。既然一個企業的衰亡也是從其內部開始的，那若要尋求企業的生存發展之路就必須從其內部抓起，內部控制正是基于這一點才得到了世界各國理論界和實務界的重視。同時，市場經濟從微觀角度來說是一種風險經濟，企業作為市場的基本單位時刻置身于風險之中，越是開放發達的市場經濟，其中蘊藏的風險和不確定性越大。隨著市場經濟的發展成熟和市場開放程度的加大，風險己經成為企業關注和管理的焦點，作為企業內部管理核心的內部控制要想發揮其應有的作用，必須不斷充實和發展，以求跟上市場發展的步伐，正是基于這個基礎，風險的概念逐步進入了內部控制的范圍。減輕或避免風險是內部控制活動的目標，各種風險因素是內部控制的對象。所以，企業要實施有效的內部控制，就要識別和衡量它所面臨的風險及其風險因素，這是采取有效控制活動的依據和前提，這里的識別和衡量風險就是風險評估。目前COSO整體框架和我國《企業內部控制基本規范》把風險評估作為一項基礎要素納入到內部控制框架之中，這一發展是理論順應客觀實際發展的必然結果。

進行內部控制和風險評估研究具有重要的現實意義:內部控制的缺失和不健全是導致會計舞弊泛濫的根本原因之一;內部控制制度的極度缺失和對風險的忽視是導致我國企業生命周期短的根本原因; 國有企業改革的成功離不開健全的內部控制制度及風險的管理和控制;風險評估是內部控制制度設計控制活動和發揮應有作用的基礎。

風險評估是內部控制系統的基礎組成部分，要使控制制度發揮其應有的作用，企業必須清楚所面臨的風險，并對整個企業的風險進行定性或定量的評估，然后針對風險評估的結果采取相應的控制活動。其實內部控制也就是風險的管理與控制活動，如果毫無風險，也就不需耗費大量的人力財力物力去搞什么內部控制。既然風險的存在是控制的原因所在，進行風險評估就成為整個內部控制制度的基礎和關鍵。無論是從國際大環境來看還是從我國的具體情況出發，內部控制的研究和應用都是非常重要的。但是，作為有效實施內部控制的基礎條件的風險評估卻還沒有得到足夠的發展，研究會計和審計的人都早已熟知制度基礎上的審計，但風險基礎上的控制觀念還是個新概念，還沒有建立起比較完善的體系。因此，進行內部控制和風險評估研究無疑具有非常重要的現實意義。

三、風險評估體系的構建

鑒于風險評估在我國內部控制中的運用，筆者認為可以通過以下幾個步驟來建立風險評估系統。

(一)確定全面風險管理目標

風險是指企業在未來經營中面臨的、可能影響其經營目標實現的所有不確定性。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，并合理確定風險應對策略。全面風險管理是指企業圍繞總體目標，制定風險管理策略，在企業經營管理的各個方面和業務過程中的各個環節進行風險管理的基本流程，落實風險理財措施，培育良好的風險管理文化，建立健全風險管理的組織體系、信息系統和內部控制系統的過程和方法。

企業目標是企業宗旨的具體化，是企業各項業務和管理活動所指向的終點。企業風險管理的首要任務，就是確定目標。只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。確定全面風險管理目標要做到:企業風險管理目標的確定應與員工溝通;企業計劃和預算與風險管理目標、戰略計劃及當前情況具有一致性;業務活動風險目標要具體;領導層參與制定企業風險目標并對其負責。

(二)收集風險管理初始信息

實施全面風險管理，企業應廣泛、持續不斷地收集與本企業風險和風險管理相關的內部、外部初始信息，包括歷史數據和未來預測。應把收集初始信息的職責分工落實到各有關職能部門和業務單位。

1.在財務風險方面，企業至少收集以下信息

(1)負債、或有負債、負債率、償債能力。(2)現金流、應收賬款及其占主營業務收入的比重、資金周轉率。(3)應付賬款及其占購貨額的比重。(4)成本和管理費用、財務費用、營業費用。(5)成本核算、資金結算和現金管理業務中曾發生或易發生錯誤的業務流程或環節。

2.在市場風險方面，企業至少收集以下信息

(1)產品的價格及供需變化。(2)產品供應的充足性、穩定性和價格變化。(3)主要客戶、主要供應商的信用情況。(4)潛在競爭者、競爭者及其主要產品情況。

3.在運營風險方面，企業至少收集以下信息:

(1)新市場開發，市場營銷策略。(2)企業組織效能、管理現狀、企業文化，中、高層管理人員和重要業務流程中專業人員的知識結構、專業經驗。(3)質量、安全、環保、信息安全等管理中曾發生或易發生失誤的業務流程或環節。(4)因企業內、外部人員的道德風險致使企業遭受損失或業務控制系統失靈。(5)企業風險管理的現狀和能力。

企業對收集的初始信息應進行必要的篩選、提煉、對比、分類、組合，以便進行風險評估。

(三)風險識別

企業風險的識別應當以一種系統方法來進行，以確保公司的所有主要活動及其風險都被囊括進來，并進行有效的分類。根據企業實際情況和技術水平，風險識別主要以定性識別方法為主，適當結合定量識別方法，同時根據業務發展和管理水平的不斷提高，逐步引進和加大定量識別方法。

企業應選擇適當的風險識別方法，保證風險識別的規范性和科學性，具體措施有:

1.建立科學的風險識別方法體系，對企業和各職能部門隨時關注企業活動中存在的風險提供指導。

2.對風險識別方法進行規范化和制度化，確保企業和各職能部門使用統一的識別方法體系對風險識別結果進行描述。

3.利用歷史事件諸如違約支付、產品價格變動等，關注未來事件諸如人口變動、新市場條件以及競爭者行為等對風險進行趨勢分析和關注。

4.建立損失事件數據庫，通過事件列表、事件分類、內部分析、推動討論和會談、流程分析等方法進行風險識別，確定風險因素發展趨勢和根源。

(四)風險分析

企業風險分析評估的方法多種多樣，采用定量分析方法，特別是利用數學模型進行風險分析，可以使風險管理建立在科學的基礎上，并為最終的決策提供可靠的依據。風險分析及度量，需要充分地獲得企業在歷史年度內發生的各種風險的次數以及所導致的損失，統計時段越長，風險評估的準確性越高。風險評估不僅要了解歷史上各種風險發生的頻率，還要充分考慮風險的客觀環境是否改變，如果有變化，就要在歷史數據的趨勢分析上進行修正。在實際操作中，許多風險發生的可能性實際上難以量化，它們至多只能定性地被描述為“大的”、“中的”、或“小的”風險。

企業在分析風險發生的可能性(或頻率、概率)和風險發生的條件方面，可采取如下措施:

1.企業基于風險識別的結果對風險的發生概率進行分析評估，選擇采用諸如預期估計或情況評價等術語來表達潛在的可能性，或采用數據或圖表的形式來描述和評價風險發生的概率。

2.企業建立風險分析模型，通過關鍵風險指標管理方法、壓力測試和情景分析等定量技術手段和會談、工作組會議等定性評價技術對風險發生的條件因素進行分析，以確定風險發生的具體條件。

3.企業自查與外部檢查、事前與事后檢查相結合。

4.企業引進技術手段，由日常業務數據、財務數據入手，按照既定的模型做預警提示。

(五)風險評價

企業風險評價是在風險識別、風險分析的基礎上，評估風險對企業可能產生的影響以及確定風險的重要性水平的過程。企業風險評價包括兩個方面的內容，即分析風險可能產生的影響和確定風險的重要性水平。企業風險評價通常是和風險分析同步進行的，因而其方法也和風險分析相同。

企業風險評價的控制措施有:

1.企業對于重要事項面臨的重要風險可能帶來的重大影響，應當通過定量分析技術，確定各種可能性造成影響的數量，從而為企業采取恰當的風險對策提供科學的依據。

2.企業應當按照風險可能帶來的影響程度的大小，對風險進行排序，明確重要風險和一般風險。

3.企業應當對重要風險予以特別的關注，避免重要風險可能給企業帶來的重大損失。

(六)風險管理策略

一般情況下，對戰略、財務、運營和法律風險，可采取風險承擔、風險規避、風險轉換、風險控制等方法。

1.企業針對各種風險建立確定風險應對措施的程序和方法，對具有較高發生概率、影響重大的風險優先考慮。

2.建立一套廣泛適應的風險決策判斷標準，即根據風險嚴重程度和企業的風險承受程度確定不同的決策。

3.企業對降低風險水平所需成本進行合理分析，評估風險應對措施的成本與效益。

4.企業選定風險處理措施后，根據剩余風險重新校訂風險。

5.企業要持續獲得風險變化信息，有效地控制、管理風險，防范新風險的產生。

6.對重要風險進行實時監控。

四、結論

企業風險評估是一個持續反復的過程，一次風險評估并不能一勞永逸。企業應當結合不同發展階段和業務拓展情況，持續收集與風險變化相關的信息，進行風險識別和風險分析，根據情況的變化及時調整風險應對策略，以避免由于原來選擇使用的風險應對策略無效而影響內部目標的實現。特別是當企業經營活動所處的外部環境發生變化時，企業必須保持應有的靈敏度，針對變化的外部環境進行相應的風險評估，以使企業的目標在變化了的外部環境中得以實現。我國企業只有建立比較完善的風險評估系統，才能真正完善我國企業的內部控制，真正促進我國企業的進一步發展。●

【參考文獻】

[1] 李玉環.內部控制中的風險評估[J].會計之友，2008 (10).

[2] 馬宏杰.企業內部控制制度存在的問題與對策[J].財會研究，

2007(4).

[3] 印發《企業內部控制基本規范》的通知[J].安徽水利財會， 2008(4).

[4] 王立勇.企業內部控制中的風險評估研究[J].交通財會，2002(2).