風險導向型內部控制體系構建探討

■陳春曉（廈門象嶼股份有限公司）

隨著社會的不斷進步，企業在發展過程中所形成的內部風險以及所面對的外部不確定因素越來越多，這對于企業的發展來說必然會形成一定的消極影響。同時，當前的市場經濟環境復雜多變，不穩定因素逐漸擴大，原本的內部控制系統已經無法對企業的發展形成有力保障，并且其也開始產生一定的缺陷，甚至開始威脅到企業的發展。在這一背景下，企業開始注意創新自身的發展理念，重新構建內部控制體系，以保障企業長期可持續健康發展。

一、內部控制的定義及與風險管理的聯系

首先，內部控制體系指的是企業在發展的過程中為了達到經營的效率和效果而采取的一系列控制措施和方法。該體系的存在能夠對企業組織框架形成有效制約的責任分工體系，能有效加強企業內部各個階層工作人員之間的連接性，也能夠促使其主動的負責自己的工作職責，保障企業經營的穩定推進。

其次，內部控制與風險管理之間存在著緊密的聯系。兩者均是為了戰略目標的實現而存在。兩者均有防舞弊功能，都涉及風險的評估和控制。在企業風險管理工作開展的過程中，需要確立風險偏好、風險承受度，選擇相應的風險應對策略，而不同的風險應對策略用不同的內部控制措施應對，內部控制是推動其穩定開展的關鍵保障。所以在此過程中，相關的工作人員就需要結合內部控制體系中的相關條例，對風險進行有效控制，對業務流程進行精準梳理，以此保證所面臨的風險得以有效的應對。

二、風險導向型內部控制體系構建現狀

傳統的企業管理下的內部控制以流程管理、合規遵循為導向，風險管理為導向的內部控制在當代企業中應用還不夠廣泛。主要存在有如下幾點原因，一是企業發展過程中，管理者和員工缺少風險管理意識，進行各項決策時，沒有充分衡量風險與收益的關系，大部分采用事后管理的思維，不能有效進行風險防范。二是企業信息化程度低，信息溝通傳遞渠道不暢通，造成信息傳遞不及時，給風險的有效識別和防范帶來障礙。三是未建立風險預警體系，有的企業在運營過程中遇到的問題各自采取對策，有的企業只關注內部不確定風險，未考慮外部因素，有的企業遇到問題靠經驗處理，事后應對。較少對風險進行模型化、量化分析，多數企業未建立風險預警體系，無法及時識別潛在風險，無法將風險消滅在萌芽之中，達不到風險管理的目的。

三、風險導向型內部控制體系構建策略

（一）強化風險管理意識

首先，風險管理是企業董事會、管理層及全體員工共同參與的，是應用于企業戰略的制定過程和企業內部各層級各部門的。因此在決定內部控制構成時，董事會及相關人員需要對諸多的風險管理問題進行深入思考。其需要對相關的企業內部控制基本規范進行全面化的學習以及了解的基礎上，融入風險管理思維，加強風險管理意識。比如通過風險管理地圖的繪制，風險數據庫的建立，及時更新風險信息，為風險評估提供數據支撐，進而充分運用規范的內部控制應對措施整合各種資源，有效控制帶來的各種風險。

除此之外，企業還需要站在內部控制工作的基礎之上，對企業的風險管理因素以及風險管理文化進行全面總結，定期組織全體員工開展風險管理學習活動，在日常工作中，充分衡量風險與收益的關系，將風險管理融入日常的工作規范當中，并加強其自身的抵抗風險的能力，提高員工的工作素養。

（二）加強對風險的評估

首先，構建完整的風險預警機制。在此過程中，企業的管理層需要精準的對企業的實際發展情況以及市場經濟的發展趨勢進行分析，以此確定企業的發展目標以及發展策略，對企業在現階段所存在的內部風險以及外部風險進行有效的識別以及掌控，以此作為構建風險警示系統的基礎。例如當企業在開展分包合同簽訂工作的過程中，針對于合同中的總價，倘若其在后續的應用過程中呈現出超額狀態，那么要能夠自動觸發預警機制，而企業的相關負責人也需要對活動的執行情況以及各個階段的執行狀態進行統一的分析以及處理，從而有針對性的找出其中存在的問題，保證企業的經濟效益。

其次，構建完整的風險評估體系。企業應注意對內部的各項業務以及工作流程進行全面總結，并進行有效的梳理，找到整體工作中的風險控制要點，有針對性的對風險管理工作進行落實。同時在這一階段，企業還需要通過試驗的方式對其進行考察，確保其能夠普遍的應用到整體的企業工作中去，以達到能夠有效的保障企業的內部控制工作效果。例如在進行投標工作時，就需要結合風險評估體系對其進行評估驗證。當項目能夠穩定通過考核之后，方可正式開展投標工作，以此將風險降低到可接受范圍內。

最后，構建完整的風險反應機制。在對風險進行控制的過程中，提供一個合適的風險應對方案是風險控制的最高效果。在完成風險評估工作后，企業需要結合不同類型的風險，構建不同的應對方案，以此提高內部控制的有效性，同時減少企業所需承擔的損失。

（三）構建信息溝通機制

在當前的社會中，信息技術以及網絡設備已然成為大眾生活以及工作中無法脫離的一部分。信息技術的存在，能夠有效提高企業的工作效果。因此在企業構建風險導向型內部控制體系的過程中，可以對網絡技術進行適當應用，借助信息技術構建穩定的溝通平臺，確保信息能夠暢通流動。同時，企業也可以借助信息技術來構建內部控制系統。比如要求員工通過賬號以及密碼等信息進行系統登錄，在系統中進行信息交接，與其他部門的工作人員進行信息共享，以此保證企業能夠對潛在的風險進行及時的處理。

（四）重視建設企業文化

良好的企業文化是企業發展的基礎保障，同時也是必不可少的條件。當企業能夠形成穩定良好的企業文化之后，其內部的員工就會形成較為穩定的工作能力以及工作狀態，彼此之間也能夠達到一個和諧的狀態，來共同推動企業的穩固發展。因此，在構建企業內部控制體系的過程中，需將其與風險管理工作進行有效的結合，傳播內部控制體系以及風險管理文化，有效提高員工的風險意識，為內部管理工作的深入形成有力的保障。例如，在工作期間，企業可以定期的引導內部員工開展文化宣傳活動，借此培養員工正確的工作意識以及工作思想，使之能夠貫徹誠實守信的工作理念。

其次，在構建企業文化的過程中，企業的高層管理人員要以身作則注意調整自己的工作理念，為下屬員工樹立正確的榜樣，發揮出自己的帶頭引領作用。

最后，企業內部應注意加強員工之間的溝通以及交流，必要時可以借助互聯網技術，開設企業網站以及企業管理系統，在其內部定期上傳一些與內部控制以及風險管理相關的信息資料，借此對員工形成有意識的引導，豐富員工的風險管理知識水平和管理意識，對整體企業的發展形成有力的保障。

（五）加強風險管理導向監督機制

首先，內部審計機構應參與到風險管理的過程中，對風險管理過程進行評估和報告，論證風險評估過程的充分性和有效性。并運用風險管理的方法和控制措施，協助管理層解決決策性問題。

其次，內部審計機構應從風險管理角度評估內部控制是否健全、合理、有效。從不相容崗位分離、授權審批制度等方面建立相互牽制、相互制約的監督機制，逐步構建全面的風險管理系統。

再次，風險導向性內部控制建立要立足于企業內部，并向外部延伸，內部監督和外部監督相結合。一方面，要求內部審計機構在日常工作中發現異常、內控缺陷，提出管理建議等來改善內部控制運行內部監督。另一方面，公司要接收來自監管機構、稅務等政府部門和中介機構的外部監督。內外監督相結合，實現內部控制雙重規范。

四、結束語

綜上所述，在企業發展的過程中，風險導向型的內部控制體系構建，是發展過程中必須要開展的一項工作，同時也是發展的必然趨勢。在風險導向型內部控制體系的管理以及引導過程中，企業能夠更好的面對外界因素所形成的威脅，也能夠更好的加強自身的發展實力。因此，在對體系進行構建的過程中，企業要通過對自身的風險管理意識的強化，對風險進行有效評估，對信息技術進行恰當應用，構建完整的溝通機制及企業文化，以此推動企業更長久的發展。