淺論基于風險治理的內部控制自我評估

費韞婷 汪子林 韋祖彬

國網安徽省電力公司 230022

淺論基于風險治理的內部控制自我評估

費韞婷 汪子林 韋祖彬

國網安徽省電力公司 230022

目前實踐中企業風險治理的常規做法是由獨立的部門（風險管理部門或內部審計部門）實施定期的風險評估與處置工作。但此種風險治理模式在面對不斷變化的經營環境與內部管理模式時，通常具有一定的時滯性，無法對經營風險做到適時的、動態的、持續性的監控與評估，難以做到對風險的及時預警、反饋與處置。本文從推行規范化的內部控制自我評估入手，對內部審計部門如何發動公司全體員工關注內部控制與風險治理，以風險管控為目標，實施靈活、全面、適時的內部控制自我評估，從而實現經營風險的適時預警、反饋與處置等問題進行了探討。

風險治理；內部控制；自我評估

一、內部控制自我評估的核心理念與主要特征

按照COSO委員會1992年發布的《內部控制整體框架》和2004年發布的《企業風險管理整合框架》精神，內部審計不再是內部控制和風險管理的唯一責任主體，企業的所有成員都對內部控制負有相應的責任。內部控制自我評估充分體現了這一精神，其核心理念是由管理層或業務人員直接參與審查和評估內部控制的效果，是一種包括自我評估調查和協調研究的方法。它強調企業管理層和一線員工的參與，并通過專題會議、問卷調查、管理人員分析、跨部門的協調聯席會議等多種手段，對經營管理過程進行持續的、日常化的評價，提出即時解決方案，以加強對經營風險的治理。

內部控制自我評估具有六個基本特征：關注管理的過程和控制的成效；由管理部門和職員共同進行；用結構化的方法開展自我評估；具有持續性和動態性；借助并發揮集體的知識和見解；靈活的實施方法。

二、內部控制自我評估的優勢

內部控制自我評估與傳統內部控制評價方法相比，具有明顯的優勢。1、更加貼近實際和靈活，從而具有更高的效率和效果。2、更適宜于對“軟控制”要素的評價。3、具有在公司內部進行知識轉移的功能，有利于進一步提升公司整體控制環境。4、評估結論更容易得到認同，糾正和整改措施更容易得到及時有效的執行。

三、基于風險治理的內部控制自我評估的主要方法

作為風險管理工作的重點內容，內部審計部門推行的內部控制自我評估主要以風險治理為基礎，從明確單位（部門）經營管理目標出發，討論并列舉可能妨礙目標實現的各種障礙、威脅和風險，并對列舉出的風險進行排序，確定風險的重要程度；接著對控制程序進行檢查，以確定現有控制過程是否足以對關鍵風險予以合理管控；最后根據評價結果形成評價報告，擬定整改管控措施與行動時間表，開展整改與管控行動。一項完整的內部控制自我評估活動包括計劃與選題、預備工作、單獨的研討會、系列的聯席會議、報告和整改方案的實施、后期跟蹤檢查等一系列過程。

（一）前期計劃與選題。內部審計部門首先應開展公司系統經營管理風險評估，形成公司系統風險評估初步結論，從中選擇高風險管理領域和重點管理領域、具有代表性的基層單位和管理部門作為內部控制自我評估的對象，制定公司年度內部控制自我評估實施計劃時間表，從而提高內部控制自我評估活動的針對性和時效性，確保內部控制自我評估活動切合公司實際經營管理和風險管理的需要。

（二）預備工作。1、與參與內部控制自我評估的基層單位（部門）高級管理層進行充分溝通，尋求支持。2、針對具體的活動主題，選擇合適的參與人員。

（三）召開專題研討會。內部審計部門按照預定的時間召開專題研討會，召集評估小組成員進行討論。討論的內容不能局限于現有的內部控制制度完善性、制度執行的有效性等方面，還要包括人的因素（即員工職業道德情況、領導層管理理念、激勵機制等）對本單位（部門）的經營管理目標的影響。

（四）形成初步結論，并予以復核。內部審計部門對專題研討會收集到的評估意見予以整理匯總，形成初步評估報告。對高風險環節應進行具體陳述，說明其狀況、影響，并提出改進方案和方案的完成時間、責任人。評估報告應詳細列明專題研討會上大家發表的各種意見，以供報告使用者參考，內部審計部門不能根據自身視角和觀點對評估報告進行加工。

（五）召開聯席會議。如果初步評估報告形成的結論涉及到其他單位和部門，內部審計部門應牽頭組織召開部門聯系會議，對初步評估報告進行討論，尋求有效地解決方案后，形成完整的評估報告。

（六）報告和整改方案的實施。內部審計部門應將評估報告和整改方案分別報送公司最高管理層、參與內部控制自我評估的基層單位（部門）高級管理層。對具有代表性的風險環節和內控薄弱環節應予以重點提示，以便相關管理層能夠充分認識到問題的嚴重程度和存在的廣泛性，及時落實整改工作。

（七）后續跟蹤檢查。內部審計部門應根據評估報告和整改方案，及時調整審計工作計劃，對該參與部門的整改落實行動實施適時的后續跟蹤審計，督促其認真落實整改方案，從而通過整改，進一步完善內部控制、加強風險管控。這也是內部控制自我評估活動的連續性和動態性特征的重要體現。

四、影響內部控制自我評估活動成效的主要因素

一項內部控制自我評估活動能夠取得成功，不僅需要嚴格履行規范化的程序，采用專業化的評估方法和手段，還應關注以下幾個方面：

（一）評估企業文化，選擇適當的內部控制自我評估方式。作為一種相對比較新的發展中的方法，內部控制自我評估的成功與員工的有效參與直接相關。而員工對內部控制自我評估的反應和接受能力在很大程度上受到企業文化的影響。如果企業文化不具備鼓勵員工坦誠進行開放式交流的氛圍，專題討論會將由于參與者的顧慮或隨大流的心態而失去廣泛收集意見的意義，得出的評估結果也沒有太大價值。此時內部審計人員應通過采取問卷調查和管理人員分析等其他替代手段實施內部控制自我評估活動。

（二）合理選擇評估對象。在內部控制自我評估處于剛剛推行的階段，內部審計部門不可能對有管理領域開展全面的內部控制自我評估活動。這就要求內部審計部門選擇合適的評估對象，一方面要緊緊圍繞公司經營管理重點工作；另一方面要盡量規避那些業務性質復雜，操作難度較大的對象。

（三）選擇合適的參與人員。內部控制自我評估對參與人員的素質要求比較高，要求能夠充分熟悉自己所在崗位的經營活動及內部控制，并具備思考、分析以及表達能力。理想的內部控制自我評估研討會通常有8到10位參與者，參與者要能夠覆蓋評估對象的全部業務流程。

（四）充分認識到內部控制自我評估缺乏獨立性和客觀性這一特點。內部控制自我評估主要精神是由管理層和一般員工對本單位（部門）的內部控制過程實施自我評估。雖然與傳統的內部控制評價方法相比內部控制自我評估更貼近實際、更加靈活，但這也導致了內部控制自我評估在先天上就缺乏獨立性和客觀性。因此內部審計部門和管理層應充分考慮這一因素，在實施自我評估活動過程中應對參與人員的客觀性進行監督與控制，在運用評估成果時與相關的內部稽核結論和審計、監察等保障部門提交的分析報告結合起來。

[1]IIA：《內部審計實務標準—專業實務框架（2004年修訂）》中國時代經濟出版社，2005年8月版.