建立以風險為導向的內部控制制度

□文/趙 鵬

近年來，內部控制理論的一個新成果是基于風險管理的內部控制，它從風險管理角度分析風險管理與內部控制之間的關系，企業通過建立這一新型內部控制制度，可以有效地增強風險管理效果。

一、我國企業內部控制在風險管理中的問題及對策

（一）我國企業內部控制在風險管理中存在的問題。企業在日常生產經營過程中面臨著各種不確定性因素。對企業有利的不確定性因素稱之為機會，對企業發展可能會產生不利影響的不確定性因素稱之為風險。在現代經濟領域中，風險無處不在。現階段，我國企業在進行風險管理的過程中，存在著諸多問題。具體包括四方面的問題：一是風險管理的意識淡薄；二是風險管理的技術手段相對落后；三是缺乏有效的風險防范措施；四是風險管理未能與內部控制緊密結合。目前，企業各種機制不夠健全，組織設計不盡合理，管理也不到位。正是由于內部控制在風險管理方面的諸多缺陷，致使我國許多企業內部控制制度不能很好地用于防范和管理企業風險，風險過大已成為一部分企業最急需解決的問題。

（二）解決措施。通過閱讀相關資料，人們對上述問題提出一些對策。

1、評估內部控制。通過評估內部控制的實施效果，目的是為了更早地發現問題，針對問題采取措施，更好地實現內部控制的目標。通過評估內部控制，可以加強企業管理，提高勞動生產率，增強風險管理的能力。

2、整體風險分析。事先做好企業整體的風險分析是提高企業內部控制效率和效果的關鍵，通過建立健全的評估分析體系，提前預防可能發生的風險，最大限度地減少風險的負面影響。

3、創立風險管理負責制。首先在企業內部建立起風險管理組織，風險管理組織包括總組織和下設若干分組織，風險管理組織實行部門領導負責制，其中總組織負責管理企業整體風險，各分組織負責管理不同部門的風險。各部門領導負責本部門的風險管理工作，風險管理者可以由部門主要領導擔任，也可以由其他人擔任，受部門一把手直接領導。

4、建立管理信息系統。企業加強風險管理時，可以建立一整套能夠提供全面、及時、有效信息的企業管理信息系統，有助于增強風險管理的效果。一個良好的信息系統可以使企業及時掌握運營狀況和發現組織中的問題，以便及時做出調整。

5、完善高層管理人員約束與激勵機制。通過在董事會中設立獨立董事，使董事會成為內部控制中制衡企業高級管理層的重要機構，防止高管層舞弊以使企業面臨巨大的風險。內部控制除了具有對高層管理人員進行控制和約束外，還要考慮制定合理的激勵機制。我國企業可以通過高管人員業績與工資掛鉤或持股等激勵方式，調動起全員的工作積極性，使企業管理人員及其員工的利益與企業的利益相一致。

6、防范操作風險。操作風險都是因人為因素導致的風險，堅持以人為本的原則。一是要加強對員工的專業能力培訓和工作技能訓練，滿足員工的日常工作需要；二是要引導員工樹立正確的人生觀、世界觀、價值觀，堅持政策法規的學習，教育員工要遵紀守法；三是加大監察力度，認真嚴肅查處違法亂紀人員。

7、防范投資風險。不同的投資項目組合，投資收益率的高低和投資安全性的好壞不同，大致可分為四種：高風險型組合、穩健型組合、低風險型組合、冒險型組合。企業通過分析不同類型的項目組合，在進行項目投資時有效地控制投資風險。

8、防范經營風險。經營風險是每個企業最常遇到的風險，應大力加強經營風險的防范。我國企業應建立監督部門，負責對企業經營進行監督。堅持以市場需求為導向，確定生產產品品種及其生產數量，盡可能地避免因無市場需求或不足，致使產品滯壓，導致經營風險的情況出現。

（三）建立以風險為導向的內部控制制度。建立以風險為導向的內部控制制度是本文所提出的新解決措施。建立以風險為導向的內部控制不再僅僅局限在單一的財務范圍內，而是擴展到企業其他領域中去。通過建設這種類型的內部控制制度，加強企業內部控制在風險管理中的作用效果。

二、建立以風險為導向的內部控制制度

在現代企業中，蘊涵著各種各樣的風險。現代企業內部控制能否發揮作用，以及能否很好地發揮作用，很大程度上取決于企業內部控制制度是否能很好地處理各種風險。近年來，人們探索出一種新的內部控制制度——以風險為導向的內部控制制度。

（一）風險導向型管理。基于風險管理的內部控制最大的一個特點就是以風險為導向進行管理。風險是隨著目標的存在而確定的，只有先明確了目標，才能夠識別出風險，并采取相應的措施控制風險。因此，目標的設定是以風險為導向的內部控制建立的前提條件，在管理過程中是一個重要步驟。

通常人們判斷風險管理是否應該進行的標準是凈收益原則。所謂凈收益原則就是將進行不同的風險管理后的企業所獲得的凈收益與不進行風險管理所獲得的凈收益比較。如果前者大于后者，則企業應當關注風險，進行有效的風險管理措施。因為風險管理需要付出相應的成本代價，所以企業在決定是否進行風險管理時，應從凈收益原則出發慎重考慮。企業經營者應當善于適當的管理風險，這樣才能保證企業的凈收益最大化，并可能利用風險為企業創造更多的價值。企業內部控制應當適用凈收益原則，對所要進行的風險管理認真評價，以使風險管理活動最優化，這就是風險導向型管理。

在進行風險導向型管理時，通常采取內部審計。內部審計在風險管理中起著重要的作用，它要求內部審計人員通過評價內部控制制度，提出風險管理建議，可以使企業更加有效地控制風險。

（二）以風險為導向的內部控制制度的初步設計。以風險為導向的內部控制制度是內部控制制度的新發展。以風險為導向的內部控制制度不同于傳統內部控制制度，它把風險管理問題放在首要位置來抓。在內部控制制度設計時，首先要明確企業活動的目標，不同目標所帶來的風險類型和大小都不完全一樣，對各種有關業務的風險加以分類、辨認，再對各種類型的風險進行評價，綜合評價其大小。然后分別針對各種具體業務設計其內部控制制度，旨在找到能夠最有效地防范和控制目標風險的內部控制制度。最后，將內部控制制度在實際中應用一段時間后，采用一定的方法分析實際應用后的結果與設計之初所預期情況之間的差別，從而根據這些差別進一步改進內部控制制度，完善風險管理體系。以風險為導向的內部控制制度的設計要求各管理人員應以風險為重要著手點，盡量減少和化解風險，變風險為機會。其中，評價內部控制制度主要通過內部審計，其具體方法主要有三種：

1、新型評估內部控制法。新型評估內部控制法是一種全新的內部審計方法，它使內部審計與管理層一同對企業內部控制進行評估。它要求企業首先設計出評估系統，然后正常有效地運行起來。新型評估內部控制法主要有以下幾個特點：它是一個管理控制風險的工具；使內部審計人員和企業管理人員共同控制風險；可以反映當前管理中存在的問題；提高了內部控制對風險管理的效果，降低了成本；管理人員也對內部控制評估負責。最后一點特別重要，因為一旦內部控制出現問題，管理人員就會知曉，并有責任對內部控制進行重新評價和構建。與原來只由內部審計人員評估內部控制相比，管理人員可以更快地了解內部控制情況。

2、數型結合法。數型結合法主要對各目標的數學信息進行分類整理，將有共性的信息歸為一類，觀察各信息之間的差異，得到一些結論。也可以將數字信息反映在圖形中，根據各風險信息繪制成圖表。這種方法的特點在于：可以更加清晰、直觀地反映風險評價結果，有助于發現重要風險。

3、信息數據庫法。內部審計是企業為監督、評價財務與管理活動而專門設立的獨立職能機構，它在企業中發揮著重要作用。企業內部審計人員可以利用數據庫中大量、及時、有效的信息開展內部控制評估。內審人員通過大量搜集相關資料，制定出風險評價指標，用這些指標評估風險。這種方法的特點在于：將企業的風險數字化，可以更加準確地評估風險，以便于可以盡早地發現問題并及時處理。在計算機日益普及的今天，這種方法是企業最常用的風險評估方法之一。

綜上所述，基于風險管理的內部控制是內部控制理論新時代的產物，代表著今后內部控制理論一個重要的發展方向。以風險為導向的內部控制制度是基于風險管理的內部控制理論的實踐產物，從產生到成熟以及廣泛應用于實踐中，勢必要經歷一段較長的時間，這需要理論界和企業界大量人士的共同努力。