企業內部控制的風險識別和評估

○仝艷寧

（山西省水利水電勘測設計研究院 山西 太原 030024）

一、內部控制要素

內部控制，在內部牽制的基礎上，由企業管理人員在經營管理實踐中創造；并由審計人員理論總結而逐步完善的自我監督和自行調節體系。內部控制是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略的重要手段。對內部控制的認識，經歷了一個逐漸發展的過程。內部控制經歷了從內部牽制一要素法到二要素法、三要素法到五要素法，日趨完整和深入，最終發展為全面風險管理框架模式。

內部控制“一要素“階段——內部牽制階段，以賬目間的相互核對為主要內容，并實施崗位分離，在減少錯誤和舞弊問題上起了十分重要的作用。內部控制“二要素”階段——內部控制制度階段，為了適應經濟的發展和企業組織規模的擴大，美國注冊會計師協會的審計程序委員會于1958年10月發布的《審計程序公告第29號》將內部控制劃分為會計控制和管理控制，內部控制劃分為二要素形式。內部控制“三要素”階段——內部控制結構階段，1988年美國注冊會計師協會的審計準則委員會發布的《審計準則公告第55號》，該公告以“內部控制結構”代替“內部控制制度”，具體包含三個要素：控制環境、會計制度、控制程序。內部控制“五要素”階段——內部控制整合框架階段，1996年美國注冊會計師協會發布《審計準則公告第78號》，全面接受COSO報告的內容，新準則將內部控制定義為“由一個企業的董事會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：財務報告的可靠性、經營的效果和效率以及符合使用的法律和法規。”該準則將內部控制劃分為五種要素：控制環境、風險評估、控制活動、信息與溝通、監控。內部控制后成熟期——全面風險管理框架，2004年4月正式頒布，其涵蓋了內部控制框架的內容，其范圍和內容比內部控制框架的范圍更廣泛。將企業風險管理的構成劃分為內部環境、目標制定、事項識別、風險評估、風險反映、控制活動、信息和溝通、監控等八個相互關聯的要素，貫穿于企業風險管理的過程中。

內部控制細化、明確之后最大的變化就是將內部控制更名為企業風險管理。事實上，不論中航油公司還是伊利股份、創維數碼，幾乎所有的公司都有一整套管理制度。從投資到報銷，事無巨細，應有盡有，在表面上控制得很好，其實卻忽視了企業重大風險的存在。ERM框架要求管理層將精力主要放在能產生重大風險環節上，而不是所有細小環節上，將風險管理作為內部控制的最主要內容。中航油曾在2003年被新加坡證券監督部門列為最透明的企業，說明企業確實是在內部控制的細節上做得非常密實，然而，正是忽視了風險管理，才使中航油事件從一個不很大的失誤開始，釀成為石破天驚的大案、要案。可見，關注企業風險控制比關注企業細節控制更能使內部控制發揮重大的作用。

二、內部控制風險識別

企業風險，指未來的不確定性對企業實現其經營目標的影響。企業開展風險評估，應當準確地識別與控制目標相關的外部風險和內部風險，確定相應的風險承受度。建立企業風險管理三道防線：其一，各有關職能部門和業務單位設為第一道防線；其二，風險管理職能部門和董事會下設的風險管理委員會為第二道防線；其三，風險審計部門和董事會下設的審計委員會為第三道防線。只有在全面了解各種風險的基礎上，才能夠預測風險可能造成的危害，從而選擇處理風險的有效手段。風險識別是風險管理的首要環節，也是風險管理的基礎。風險識別一方面可以通過感性認識和歷史經驗來判斷，另一方面也可通過對各種客觀的資料和風險事故的紀錄來分析，歸納和整理，以及必要的專家訪問，從而找出各種明顯的和潛在的風險及其損失規律。目前主要的識別方法一是對企業整個生產經營過程進行全面分析，制成生產流程圖，找出各種潛在的風險因素。二是通過企業的資產負債表、損益表、營業報告書及其他有關資料進行分析，從而識別和發現企業現有的財產、責任等面臨的風險。風險的識別還有其他方法，諸如環境分析、保險調查、事故分析等。企業在識別風險時，應當交互使用各種方法。風險是多樣的，具有可變性，既有當前的也有潛在于未來的；既有外部的也有內部的；既有動態的也有靜態的。風險識別的任務就是從錯綜復雜的環境中找出所面臨的主要風險。因而風險識別不是一次就能完成的事，而是一種持續性和系統性的工作，要求風險管理者密切注意原有風險的變化，并隨時發現可能出現的新的風險。

三、內部控制風險評估

對風險的評估首先需要對風險量化，來衡量風險概率和風險對項目目標影響程度。風險量化的基本內容是確定需要對那些時間制訂應對措施，對辨識出的風險及其特征進行明確的定義描述，分析和描述風險發生可能性的高低、風險發生的條件。進行風險定量評估時，應統一制定各風險的度量單位和風險度量模型，并通過測試等方法，確保評估系統的假設前提、參數、數據來源和定量評估程序的合理性和準確性。要根據環境的變化，定期對假設前提和參數進行復核和修改，并將定量評估系統的估算結果和實際效果對比，據此對有關參數進行調整和改進。企業在評估多項風險時，應根據對風險發生可能性的高低和對目標影響程度的評估，繪制風險坐標圖，對風險造成的影響進行坐標分析，使得風險在一定程度上由不可控制變為可以控制。在此過程中，應當把握以下原則。

全面評估與重點評估相結合，注重評估指標的導向性。要突出關鍵指標，確保評估指標的可操作性。定性與定量相結合，注重評估方法的科學性。要根據評估內容與指標功能，量身定制不同的評估標準。內部評價與外部評價相結合，注重評估結果的有效性。既要引導企業通過對照評估標準，自我改進、自我完善，不斷激發企業的積極性、主動性和創造性，又要兼顧社會公眾以及企業利益相關者，借助專業機構力量，提升文化評估專業水平和公信力。企業文化對風險控制起著至關重要的作用，它是無形的，也可以是有形的，企業文化常常深深地扎根在企業精神中；我國中醫藥行業的著名老字號——北京同仁堂，之所以經久300多年經久不衰，不可否認的是其擁有“核心”技術，但同樣重要的在于歷代同仁堂人前赴后繼、不懈追求，始終格守和培育“炮制雖繁必不可省人工，品味雖貴必不敢減物力”、“修合無人心，存心有天知”的文化傳承。

對于已量化的風險為降低項目風險的負面效應需要制定相應的應對策略和應對計劃，每個措施都必須有明確的人員來負責，要求完成的時間以及進行的狀態。制定需要應對的風險清單；形成一致意見的應對措施；實施所選應對策略所采取的具體行動；明確風險管理人和分配給他們的責任；風險發生的征兆和預警信號；實施所選應對策略需要的預算和進度計劃活動；設計好要準備的符合有關當事人風險承受度地用在不可預見事件上的預留時間和費用；應急方案和要求實施方案的引發因素；要使用的退出計劃，它作為對某個已經發生，并且原來的應對策略已被證明不當的風險的一種反應；對于特定的風險，如果它們可能發生，為了規定各方的責任，可以準備用于保險、服務或其它相應事項的合同。

內部控制雖然是一套完善和嚴格的管理程序和制度，但仍存在一些局限性。首先，內部控制的設計和運行成本受成本效益因素的制約；其次，內部控制可能因有關人員相互勾結或濫用職權而失效；再次，內部控制一般僅針對常規業務活動而設計；最后，內部控制可能會應經營環境或業務性質的改變而發生削弱或失效。

綜上所述，企業的風險大多隨著企業規模和交易規模的擴大而被不斷地放大，必須通過事先安排或主動干預，以最小的代價去最大限度地降低風險造成的損失和其他消極影響。風險無時不在，無處不在，企業必須清醒、全面地意識到所面臨的風險，才有機會以最小的代價加以事前控制。這是促進資本市場健康發展的客觀需要，是穩定穩固強大的國家財政的必然要求，也是完善單位治理機構、建立懲治和預防腐敗體系的重要舉措。

[1]秦懷博、敬文舉：人本角度下企業內部控制研究[J].會計之友，2013（9）.

[2]董本信：內部會計控制系統的有效性研究[J].現代審計與會計，2013（11）.