基于風險導向的內部控制體系構建研究

【摘 要】內部控制理論的發展，表明風險導向的內部控制是內部控制的發展趨勢。建立風險導向的內部控制能使我國企業適應復雜多變的外部環境并提高自身內部管理能力。我國企業應在內部控制目標和內部控制原則的指導之下，從完善內控環境、建立健全風險評估管理體系、完善內控措施、加強信息溝通與交流、對內控進行監督評價以持續改進幾個方面循序漸進構建風險導向型內部控制體系，實現企業的可持續發展。

【關鍵詞】風險導向 內部控制 體系構建

1. 基于風險導向的內部控制體系構建意義

1.1基于風險導向的內部控制是內部控制的發展趨勢

內部控制的演進總體上經歷了內部牽制、內部控制制度、內部控制結構、內部控制框架四個階段，見圖1。

從內部控制的發展趨勢來看，內部控制的內容逐漸變得越來越廣泛，逐漸由簡單的“以職務分離、賬戶核對為主要內容”的內部牽制，發展到了“包含控制環境、風險評估、控制活動、信息與溝通、監督等要素”的內部控制框架；內部控制的預期實現的目標亦變得越來越遠大，由原來的“保障資產安全，防止會計錯弊”提升到了支撐戰略目標實現的高度；內部控制的工作重點逐漸由控制轉向了風險。這表明風險導向的內部控制是內部控制的發展趨勢，我國企業應順應趨勢發展，建立風險導向的內部控制體系。

1.2建立風險導向的內部控制具有重要的現實意義

建立風險導向的內部控制能使企業有效應對復雜多變的外部環境和提高自身經營管理的水平。首先，外部環境是復雜且不斷變化的，而企業管理者又往往難以預測到未來的全部事項，或即使預測到一些事項也不一定清楚地知曉它的具體情況，因此通常短期內難以控制事項的發展。建立風險預警的長效機制，強化風險管理和內部控制是推進企業適應外部環境，減少甚至消除外部環境對企業生存發展產生的不利影響的有效措施。其次，建立一個以風險為導向的動態的內部控制機制，還能有效提升企業的經營管理水平。通過將風險意識和風險管理理念深深嵌入內部控制的控制環境中，將風險識別、風險評估和風險應對的方法運用到內部控制活動中，實現內部控制中對未來不確定事項的積極預測和應對，形成企業“自我免疫機制”。

2. 風險導向的內部控制體系構建的目標和原則

2.1內部控制建設的目標

構建企業風險導向內部控制體系，首先需要明確企業風險導向內部控制的目標，進而識別企業生產經營過程中潛在的或現實的影響目標實現的各種風險，并評估風險程度，采取積極有效的控制措施，保證其目標的實現。

內部控制的最終目標是為了控制和管理企業所面臨的一切風險，避免企業遭受損失，增加企業價值。將最終目標在企業內自上而下進行分解，可將其分為：戰略目標、經營目標、報告目標和合規目標。內部控制的最終目標是風險導向的，那么細分出來的四大目標也應該是風險導向的。企業應努力規避戰略目標制定、選擇和實施過程中的風險；規范經營管理，查找日常業務活動中的弊端、堵塞日常管理活動中的漏洞，消除隱患，將經營風險控制在事先確定的風險偏好范圍之內；采取財務會計系統控制、內部報告控制等相關系列的控制措施，確保企業對內、對外報告的可靠性，防止企業因報告不實而造成的決策失誤風險；采取措施確保相關法律法規、行業行規、企業內部規則和政策在企業內得以遵守。

總而言之，在構建內部控制體系的過程中，應以風險管理理念為導向，重點對影響企業目標實現的關鍵性風險進行分析、確認和揭示，并通過各種手段進行管理從而降低風險。

2.2內部控制建設的原則

構建一個基于風險管理、健全有效的企業內部控制體系，應當遵循以下基本原則：（1）合法性原則。企業在建立或修訂其內部控制體系時，一定要遵循國家的各項方針政策，符合有關法律的要求。（2）針對性原則。內控體系的建立與完善，應始終保持與國情、企業所屬行業特征、企業發展階段、企業生產經營特點等相結合，充分考慮當前企業內部控制存在的薄弱環節和主要風險所在。（3）目標性原則。企業構建的內部控制體系應與企業戰略相適應，并有利于促進企業戰略目標的實現。（4）系統性原則。內部控制體系的構建必須堅持系統性和整體性原則，充分考慮體系內各子系統之間的獨立性和相關性，使各項控制要素、各業務循環和部門的子控制系統，構成一個有機的、協同作用的整體，要避免簡單拼湊有關控制制度。（5）全方位、全過程、全員性原則。企業的內控體系應涵蓋企業生產經營和管理的方方面面，涵蓋控制的全過程和所有人員，進行人、財、物全方位的控制。（6）成本與效益、效率原則。在構建企業內控體系的過程中，必須保證因控制所耗費的成本小于因控制所獲得的收益。（7）可操作性原則。構建企業內控體系應注重內部控制體系的可操作性。（8）前瞻性原則。企業內部控制體系不應局限于現有內容，應當具有適當的前瞻性，充分吸收國際上關于企業內部控制建設方面的成功經驗，并隨著企業發展和企業所處內外部環境的變化而不斷發展和完善。

3. 風險導向的內部控制體系的構建

從我國的現狀來看，企業的風險管理水平和內部控制水平還沒有嫻熟到可以將兩者合二為一。因此，以風險為導向的企業內部控制，只是將風險管理的一些理念和方法運用到內部控制中，而不是將二者等同。內部控制體系的構建不是一蹴而就的事情，而是有著循序漸進的過程，其形成和完善都有著嚴密的邏輯程序。

3.1風險導向的內部控制體系的構建框架

風險導向的內部控制體系構建應在內部控制目標和內部控制原則的指導之下，從完善內控環境、建立健全風險評估管理體系、完善內控措施、加強信息溝通與交流、對內控進行監督評價以持續改進幾個方面展開。風險導向型內部控制體系框架圖見圖2。

風險導向型內部控制是以風險為中心軸的風險控制。從確認潛在風險事項入手，將整體風險分解到不同層次，再區別剖析各層次風險的特點、進而有針對性地采取措施協調企業內部管理各個部門和環節，將內部控制建設為滲透于企業風險管控業務流程。

3.2風險導向的內部控制體系的構建步驟

總體來說，風險導向型內部控制體系建設可分為四個階段：內控體系規劃階段、內控現狀診斷階段、內控體系構建階段和內控效果評價階段。

3.2.1內控體系規劃階段

內控體系規劃階段主要是對內控體系建設進行相關的計劃工作和準備工作，其中設置內控體系構建工作的相關組織機構、在全公司上下進行內控宣傳以引導員工積極配合內控工作的具體展開、獲取管理層的支持是內控體系建設準備工作的關鍵。

要構建嚴密實用的現代企業內控體系，首先需要成立專門的組織機構或增設專門的崗位，培養風險管理相關的人才，組織專業的風險分析團隊和內控體系設計人員，制定相應的工作流程。其次，輿論導向的宣傳對于內控體系的建設也是十分必要的基礎工作。在內控體系建立之初，內控部門應進行廣泛的宣傳教育，讓所有員工都明白內控體系的構建與自己的工作及企業前途的關系，以確保內控體系的建設、推廣和運營更加順利。另外，獲取管理層的支持亦是內控體系建設工作順利開展的關鍵因素。

3.2.2內控現狀診斷階段

內控現狀診斷階段主要目的是通過對企業管理及內控體系現狀的診斷和評價，揭示主要問題，確定內部控制體系建設的重點及目標。

對企業內控現狀診斷的首要問題是明確企業是否建立了內控體系？若企業已經構建了內部控制體系，則要分析企業現有內控體系是否存在不完善的地方？不完善的地方是內部控制體系的設計不恰當，還是內部控制的運行缺乏效率？等等。診斷的內容包括企業內部環境、現有風險管理體系、業務流程控制措施、企業信息溝通機制、監督改進措施等，主要采用的方法包括問卷調查法、訪談法、制度審核、流程測試等等。

3.2.3內控體系構建階段

內控體系構建的實施基于風險導向型內部控制體系框架，主要從完善內控環境、建立健全風險評估管理體系、完善內控措施、加強信息溝通與交流、對內控進行監督評價以持續改進幾個方面構建完善的風險導向型內部控制體系。

完善企業內部控制環境。面面俱到的控制環境構成了一個單位的氛圍。控制環境包括治理結構、組織結構、權利與責任的分配、員工勝任能力、管理理念和經營風格、人力資源政策與實踐、誠信與道德價值觀、反舞弊機制及信息系統等九部分內容。完善企業內部控制環境就是要完善以上九大控制環境內容。例如在人力資源政策與實踐方面，通過加強員工的風險控制管理，實行有效的激勵與約束機制，不斷地對員工的守法意識和職業道德進行后續教育，將員工的守法情況、職業道德作為聘用、晉升、薪酬待遇的重要標準，對違反誠信的員工進行懲罰等。

建立健全風險評估管理體系。為了防范風險，應建立風險評估機制。風險評估機制的建立通過風險識別、風險因素分析與風險評價、風險應對策略、風險控制措施四步曲進行。首先根據企業經營管理特點，從公司層面和流程層面兩個層面對企業存在的戰略風險、財務風險、運營風險、市場風險、法律風險等進行識別，建立企業風險識別模型，在企業全體員工中規范風險語言、統一對風險認識和理解。其次對識別出的各類風險進行分類細化，找出各風險的關鍵影響因素，揭示風險發生的內外部原因、暴露狀態、產生的不利后果等，并明確風險事項的關鍵責任單位、所屬流程及現有制度建設情況。在此基礎上，再從風險發生的可能性和風險發生對經營目標實現的影響程度進行評估，確定風險防范優先級別及管控重點。再次針對評估出的關鍵性風險作出回應，對比企業的風險容忍度，選擇風險降低、風險消除、風險轉移、風險保留等策略。最后再對企業風險控制措施進行設計。針對重大風險所涉及的各管理和業務流程，制定涵蓋各個環節的全流程控制措施，對其他風險所涉及的業務流程，則將關鍵環節作為控制點，采取相應的控制措施。

完善內控措施。控制活動包括批準、授權、查證、核對、經營業績評價、資產保全措施和職責分工等，貫穿于整個企業內所有級別和職能部門，涉及到企業的人、財、物、產、供、銷等各個方面，落實到企業的各業務和管理流程之中。實施有效的，全方位、全過程、全員控制活動，應該以風險防范和控制為出發點，結合風險評估結果，按照手工控制與自動控制、預防性控制與發現性控制相結合的原則，綜合運用各類控制措施，將風險評估過程中識別出的風險控制在可承受范圍之內，保證企業戰略目標、經營目標、報告目標及合規目標的實現。

加強信息溝通與交流。為了實現信息的有效溝通，企業首先應加快信息化建設的腳步，加強信息化管理，利用互聯網技術建立信息高速公路，提高企業各種信息傳遞速度、共享程度和透明度，為企業領導者提供正確的決策支持。其次，企業還應建立有效的信息與溝通機制，明確信息的收集、處理和傳遞程序，提升信息的精確度、及時性和可預測性，對信息進行動態管理，建立健全部門間、分子公司之間的信息共享和溝通機制；通過對信息的識別、掌握、加工和報告，及時應對行業、競爭對手、客戶需求變化，保持信息與需求間的一致性，促進各項經營管理活動的有序有效進行，實現企業戰略目標。

對內控進行監督評價以持續改進。根據監督的性質可以分為日常監督和專項監督。日常監督是對企業各層次、各環節組織日常活動進行全面系統地監督和控制，使內部控制隨時適應新情況。通過監控風險的發展和變化，企業管理者不僅可以實時跟蹤已識別的風險，關注產生的條件和導致的后果，衡量風險減緩計劃需求，還可以根據風險變化及時調整應對措施，識別、分析遺留風險和新增風險，并采取適當的應對措施。專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監督檢查。企業應當根據風險評估結果以及日常監督的有效性等確定專項監督的范圍和頻率。

3.2.4內控體系評價階段

企業應結合內部監督的情況，定期對內部控制的有效性進行自我評價，如內部環境是否處于恰當的狀態，資本控制、風險控制、信息控制有無發揮有效作用。自我評價是指負責某一單位或職責的人員對控制活動本身的有效性進行評價，即各管理部門和人員定期或不定期地對各自執行內部控制制度情況進行檢查，分析和評估其有效性及實施的效率效果，出具內部控制自我評價報告，以期更好的實現控制目標。

總結

作為衡量現代企業管理的內部控制，得控則強，失控則弱，無控則亂。隨著經濟的發展，我國企業應在內部控制目標和內部控制原則的指導之下，從完善內控環境、建立健全風險評估管理體系、完善內控措施、加強信息溝通與交流、對內控進行監督評價以持續改進幾個方面循序漸進構建風險導向型內部控制體系，通過有效的風險管理將風險控制在企業可以容忍的水平之下，實現企業的可持續發展。

參考文獻：

[1]黃真真.風險導向內部控制構建與實施的思考[J].內控與審計，2010，(12).

[2]楊有紅.內部控制框架—構建與運行[M].杭州：浙江人民出版社，2001.

[3]丁銀玲.出版企業風險導向內部控制研究[D].安徽大學，2011，4.

[4]王海燕.基于風險導向構建集團公司內部控制體系[J].科技與管理，2008，(3).

[5]李影.風險導向型內部控制體系構建[J].銅陵學院學報，2010，(4).

[6]楊博.中國企業基于風險管理視角的內部控制體系構建[J].北京市經濟管理干部學院學報，2009，(2).

（作者單位：中國移動通信集團廣東有限公司）