風險導向下企業內部控制的評價與改進

吳彥

摘 要：自從進入21世紀以來，我國無論是社會經濟還是科學技術都得到了快速發展。尤其是隨著市場經濟體制的全面深化，各大小企業的實踐經驗日益豐富，因而企業風險管理的意識也在不斷增強。現代企業管理系統中，在企業風險管理整合框架的運營模式之下進一步強調了內部控制的重要地位，在內部控制的構建、執行、評價、改進等方面都做了進一步的革新，以應對企業內外部環境的波動影響因素，獲得持續穩定發展。本文從企業內部控制的理論概述入手，探討企業內部控制評價當下的發展現狀，在此基礎上進行分析并提出可行性改進建議，以促進企業的內部控制體系構建，為有效的風險控制奠定基礎。

關鍵詞：風險管理;風險導向;內部控制

隨著社會經濟發展和市場經濟體制的深化，企業風險管理意識和技能也在不斷增強，但仍然有部分企業內部控制的體系建設不夠完善，方法手段落后，無法滿足現階段企業在市場環境中應對競爭和風險的需求。尤其是近幾年，受到新冠疫情等不可抗力因素影響，經濟發展速度趨緩，競爭壓力巨大，企業要實現內生性的增長，就更加需要提高內部管理水平，加強內部控制體系的改進，以更好地應對新形勢下企業發展的內外部環境變化。

企業風險控制工作，主要是指內部控制人員在對企業相關財務指標進行分析，利用運營管理領域的經驗或者工具，針對重點環節以及涉及到企業未來發展，比如重大項目的預算決策，進行風險的評估和預判，并制定風險應對方案，進而采取措施降低風險。而風險導向下的企業內部控制，則是圍繞可能發生的重大風險，來建立或健全內部控制體系，對未知風險進行有效控制，幫助企業實現股東財富最大化。

一、風險導向下加強內部控制的背景概述

1.企業風險導向的理解

企業風險導向，主要內容是指企業在日常生產與經營過程中，由于需要面對并承擔一定的風險，于是以這些風險的規避作為導向，將內部控制的針對性調整為風險應對，并對內部控制的范圍和重點進行調整。比如，一些企業將任何涉及企業核心發展的重點項目方向都列入內部控制的范圍，企業全員上下從被動接受企業風險的沖擊，轉變為主動對企業內部風險進行控制。

對于我國企業來說，市場內外部環境的風險因素眾多，控制風險的主要目的是為了能夠讓企業有效地控制風險和減少風險的損失，在瞬息萬變的經濟環境下能夠獲得持續性、高質量發展。隨著內部控制體系更加完善，企業對控制的對象目標、范圍、方式方法等各方面都有了質的提升。以風險為導向作為內部控制體系構建的理念，主要是對企業日常運營和經濟決策全過程所涉及到的風險進行預測，并根據風險大小制定針對性的策略。風險導向下的企業內部控制包括風險可能涉及到的對象與范圍確定、風險識別和預警、風險級別評估和應對等，以此為基礎進行相關項目的投資運作。風險導向下的內部控制，其主要特征在于能夠對未知風險進行提前預測以及有效評估，有利于將風險盡可能降到最低，這對于企業來說有利于建立強制性和規范性的風險防控意識。

2.內部控制的概念

內部控制的概念較為明確，1972年美國準則委員會對內部控制做出以下解釋：“內部控制是在一定的環境之下，企業為了能夠獲得高效的經營利潤、為了能夠獲得各方面的資源所設定的管理目標”。因此，在企業內部實施的各種制約和調節的組織計劃、程序、方法和措施，并將其變為更規范化、系統化，讓其能夠成為一個具有嚴密性組織的體系，這被稱之為內部控制評價體系。從內部控制的主要目的出發，可以將內部控制分為會計控制和管理控制。2010年，我國財政部所頒發的關于企業內部控制配套指引中，對內部會計控制做出了明確規定，認為內部會計控制制度是單位能夠進一步確保會計信息質量，保證財產安全與完善，對相關法律法規、規章制度貫徹徹底的基礎。內部控制主要內容包括嚴格規定控制方法、控制設施以及控制程序，確保經營方針科學，經營決策執行到底，促進運營活動的效率性和經濟性。

3.風險導向下構建內部控制體系的可行性

風險管理框架代表了內部控制理論研究的最高成就和現階段的發展趨勢。風險管理框架與我國當前所實施的內部控制指導以及對于相關風險管理規范具有較高的相似性。根據深層次的分析歸納總結可以了解到內部控制發展過程中對內部控制要素確定與風險管理框架的要求基本相同。對于我國來說，我國五部委內部控制規范在要素形式上借鑒了內部控制框架五要素。但是，在對風險進行評估的過程中，對風險評估要素進行分析時，了解到其合并了風險管理框架中的目標設定與識別、風險評估、風險應對等要素。因此，現在的風險管理框架設計背景下，內部評價指標一定要與五部委所設定的內部控制規范的五要素進行有機結合。2006年，我國全面實施了風險管理的依據，將風險管理框架分為風險識別、風險分析、風險應對和風險監控四部分所構成的全面風險管理體系。

二、目前企業內部控制的發展現狀

目前隨著我國科技以及經濟的快速發展，內部控制制度的建設和實施體系在發展過程中已經取得了初步的實踐經驗。企業內部控制是一個動態的過程。包含了內部控制體系的構建、內部控制的實施、內部控制實施效果的評價以及改進整個過程。在這一過程中，內部控制實施效果的評價是最為關鍵的也是最重要的一點。通過內部控制實施效果的科學評價，能夠很好地了解企業內部控制的作用大小，是否存在漏洞，是否充分發揮功能作用。在評價的基礎上，針對內部控制存在的不足，分析原因并采取改進對策，進一步調整內部控制的各個要素，以確保內部控制體系的運行更加符合企業實際，充分發揮應對風險的作用。目前企業內部控制評價的目標主要有以下四種。

1.以報表審計為目的的內部控制評價

報表審計為目的的內部控制評價是以注冊會計師作為主體，在對財務報表進行審計時能夠通過財務報表所涉及到的數據以及所涉及到的內容進行企業內部控制，對于評價各項控制活動來說，具有一定的有效性。通過注冊會計師的評價，能夠制定如何進行審計抽樣，幫助企業內部提高對于審計的效率。從另一方面來看，通過以報表審計為目的的內部控制評價，能夠有效地降低數據的虛假性、確保數據的真實性。對于企業后續再進行相關項目的投資時，能夠具有正確性投資依據。

2.以自我完善為目的的內部控制評價

對于以自我完善為目的的內部控制評價來說，評價的主體是企業本身。根據相關的調查結果顯示，在企業發展過程中，由于內外部環境的不斷變化，這就使得企業內部控制需要發展出新的評價體系，才能夠適應新的發展理念。對于企業來說，企業需要定時或不定時地開展內部控制評價工作。這樣做的主要目的是為了能夠讓內部控制評價適用新環境的發展，并根據新環境的發展方向以及發展要求，實施改進策略，進而順應時代的發展趨勢。

3.以信息披露為目的的內部控制評價

在2002頒布的SOXAct 法案要求上市公司必須對內部控制進行評價并對外進行披露，這樣做的目的主要是為了防止企業內部進行相關數據的造假，造成數據不真實。對外部投資人員來說存在一定的欺騙性。在2008年，我國也頒布了關于內部控制基本規范，進一步強制要求上市公司對外披露內部控制評價報告。這是近幾年來，對于內部控制評價要求較高的規范性報告。

4.以內部控制審計為目的的內部控制評價

以內部控制審計為目的的內部控制評價，這種評價的主體，是以企業外部會計師或者其他專業人員作為主體，來對企業內部控制進行有效性評判，最終形成的外部評價體系。主要目的是為了檢驗企業對外披露的內部控制信息是否具有真實性與準確性。

綜上所述，我國目前主流的內部控制評價體系主要分為兩種：

（1） 以要素觀為主體的基于內部控制本要素的運行有效性所設計的;

（2） 基于內部控制目標實現程度上所設計的。

這兩種體系的主要區別，不僅在于財務和非財務指標體系設計的不同，更重要的差異在于評價的角度、目標不同。風險導向下的內部控制體系評價很明顯屬于后者，基于風險規避的目標，來建立內部控制體系，對風險管控的有效程度進行評價，能夠滿足企業應對市場風險的需求，降低風險導致的不良影響，為企業持續穩定發展奠定基礎。

三、風險導向下企業內部控制體系建設存在的問題

1.風險控制薄弱

隨著我國經濟進入高質量的發展階段，我國國內企業數量急劇增加，對于中小企業近幾年的發展趨勢來看，占據的數量和比例居多。這些企業的增多，對于我國國民經濟的發展以及我國經濟增速的貢獻，起到了較大的助推作用。但是，在信息技術和經濟制度開放化的影響之下，這些企業在發展中面臨越來越多的風險。這些風險主要包括政治風險、市場風險、經營風險、財務風險等。政治風險、市場風險是不可控制的風險。經營風險和財務風險是可控的風險，企業可以通過內部控制評價體系來有效控制。對于企業發展來說，企業可以通過構建有效的內部風險控制機制，來應對發展過程中所存在的風險。但是也不能忽視，現階段我國許多中小型企業還存在很大的提升空間。由于管理層缺乏必要的風險控制意識，在發展過程中，忽略了對于相關風險機制的構建，導致在風險真正來臨時，缺乏先進的管理理念以及風險防控機制，無法及時規避和應對風險，給企業帶來巨大的經濟損失。對于小規模的企業來說，受限于資金無法周轉，最終面臨破產的風險。

2.內部控制環境不完善

企業的內部控制環境，蘊含了企業機構、治理機構、債權分配、人力資源政策等各方面的內容，這也是內部控制組成最重要的要素。就目前來說，我國企業內部控制環境的不完整性，主要表現在相關風險治理結構的規范性和系統性不足。治理結構是企業內部環境能夠有效控制風險、獲得持續性發展的基本保障。但是，由于我國大部分企業，在發展過程中缺乏對治理結構的重視，其主要的表現形式在于企業股權過于分散，股東大會形同虛設。在國內，有一半以上的企業總經理是由董事長兼任的，正是因為這些現象的存在，才會導致經營者在對企業進行相關項目發展時，缺乏自身約束及控制。實際上經營者只是企業中對相關項目做出決定的重要決策者，但是他并不是唯一的決策者。某一個人的意見并不是最終的意見，因而這就需要成立股東大會，主要目的是為了集中所有人的時間以及精力，對相關項目的實施以及規劃做出全面的理解及認識。這樣做出來的決定，具有一定的科學性和系統性，能夠盡量減免風險的產生。例如，萬科股權之爭從2015年的12月開始，一直持續到2017年6月結束，這一次的股權之爭，在我國上演了股市市場之中規模最大的一場公司并購與反并購的攻防戰。對于萬科公司來說，陷入并購風波的主要原因是由于萬科公司內部的股權過于分散。因此，企業在內部控制過程中存在的主要問題在于內部控制環境不夠完善。

3.缺乏風險導向分析機制

當前，我國許多企業都缺乏完善的風險導向分析機制，尤其是中小型企業。在發展過程中，更是缺乏完善的風險導向、風險機制，這就使得一些中小型企業在運行過程中，由于缺乏對于風險的預測和對風險的處理以及防范能力，一旦面臨風險，容易出現企業倒閉的現象。在內部缺乏風險評估或者評估效果過低的情況之下，對于相關企業在開展新的項目時，容易存在盲目投資和盲目經營的現象，這種現象一旦出現，容易給企業在拓展業務過程中帶來極大的風險。由于中小企業自身在經營和資金周轉方面都存在一定的局限性，容易導致企業在出現內部風險時，無法及時對內部風險進行控制以及防范，為企業的發展帶來巨大的經濟損失。

完善的風險導向分析，可以為經營管理者提供相關的風險防控機制，幫助經營者了解，在經營過程中應該需要規避風險因素并為企業設定風險預控目標，企業經營者在進行相關項目投資或者經營時能夠有所參考。如果一個企業缺乏風險導向分析體系，在發展過程中就會失去對相關項目的預測性，不能掌握企業發展真實的狀況，對于相關項目了解不全面，在風險來臨時，無法采用完善機制對相關的風險進行規避和應對。

四、風險導向下企業內部控制體系構建的改進對策

1.確定企業風險偏好及風險容忍度

企業在發展過程中，一定要根據自身實際情況，對風險偏好和風險容忍度進行評估，其主要目的是為了做到知己知彼，才能在風險來臨之前，能夠根據風險的類型選擇適當的解決方式，對風險進行化解以及防控，將損失降到最低。

風險偏好直接決定著企業對于風險的防護態度，進而影響到企業對于相關風險策略的選擇。所以說，風險偏好直接決定了一個企業風險管理工作是否能夠順利開展。同時，這也是評價企業風險管理水平的重要參考依據，劃分企業是屬于風險厭惡者、風險中性者還是風險愛好者，將影響企業在對相關風險進行管理時，是否能夠正確對待風險。根據自身對于風險的偏好來制定風險防控計劃。風險容忍度也叫風險忍耐度，是指在企業目標實現過程中對差異的可接受程度，在風險偏好的基礎上設定的對相關目標實現過程中所出現差異的可容忍限度。企業一定要結合企業風險變化來制定整體層面的風險容忍度，將風險容忍度分為不同的層級，由企業經營者將風險容忍度根據業務單位自上而下地進行分配，要求不同部門能夠根據不同層級去防范。

2.強化內部審計主導的內部監督

內部審計作為內部控制的控制工具，可以對內部控制給出更加完整性和有效性的評價。內部審計的獨立性是順利完成相關審計工作的前提。內部審計機制設置的獨立性是針對內部審計人員，作為考核其在進行工作時是否能夠保持客觀公正的職業態度的首要條件。對于企業發展來看，無論是發展規模還是資源，都具有一定的局限性。內部審計是由董事會所設定的審計委員會直接領導的內部審計職能崗位，主要是為了確保內部審計工作的獨立性和權威性，要求企業經營者能夠將內部審計工作獨立開來。這樣在進行內部審計工作時，才能夠確保工作的順利進行和客觀公正，才有利于內部審計人員排除各種干擾因素，充分發揮出內部審計的職能作用。有效地發揮內部審計作用，對企業各部門或者業務不同層次的內部控制活動的監督以及管理工作，才能夠促進企業的快速發展。根據國外的實踐研究結果表明，內部審計外包能夠有效地幫助公司實現治理層的戰略性目標和管理層的經營目標。內部審計外包是指企業能夠將企業的審計工作外包給會計事務所，由事務所的專業人員來對公司的具體情況制定相關的審計工作。

3.加強重點環節的風險事項識別

企業內部的事項識別是指，識別出企業在發展過程中所面臨的以及潛在的各種事項風險。事項識別是進行風險管理的第一步。在這一環節中，一定要識別出企業在發展過程中可能存在的隱患，對企業發展造成負面影響的隱藏性事件，也能夠進一步找出在企業發展過程中與實現目標所產生不利影響的風險因素。事項識別的主要工作切入點，是風險產生的主要原因。通過收集大量的信息，將其中影響和阻礙企業項目實施和目標實現的信息作為主要風險。通過各種相關的識別工具和方法，來找出影響最大或者一切能夠影響企業項目實施和目標實現的影響因素。

事項識別主要依據相關的工具和方法，對影響企業發展的因素進行識別判定。如流向調查問卷、專家訪談法、流程分析法等，進一步辨別出企業發展中所存在的潛在性的風險事件，進而根據風險事件來建立詳細的風險庫。風險庫的建立，是為了幫助企業能夠針對不同的風險選擇出相關的管理方法，進行防范及預測，能夠讓企業在遇見風險時減少影響，獲得快速發展，減少不必要的資金損失。企業對業務流程的梳理，也可以使內部控制真正地滲入到企業的實際運營中，進一步激勵相關的員工積極地參與到內部的控制中來，使控制工作能夠具有完整性和準確性。

4.做好重大風險預警、評估和應對

當風險經過事項識別之后，要做的工作是對風險的層次以及風險的程度進行評估。風險評估主要是指對已經確認的存在性的風險進一步的分析，以及其風險度量進行確定，然后根據風險的程度和風險所涉及到的范圍，制定下一步的管理措施。這樣做的主要目的在于為了防止企業在發展過程中，由于對風險的不確定性給企業的發展帶來經濟損失。

風險應對是指在確定了決策的主體經營活動中存在的風險，并分析出風險概率及其風險影響程度的基礎上，根據風險性質和決策主體對風險的承受能力而制定的回避、承受、降低或者分擔風險等相應防范計劃。

企業應對策略可以概括為風險規避、風險承擔、風險降低和風險分擔四種類型，對于這種四類風險的處理都有不同的部門來對它進行實施。針對處于不同風險矩陣的風險一定要做出相應的風險管理應對策略。對于具有較大影響性的重大風險，要采用風險組合策略來對其進行管理，從源頭上控制以及降低風險可能對企業發展中所帶來的影響。

五、結論

企業的健康發展不僅需要有資本、有人才、有策略，要保證穩定運行，還需要對企業內部控制制度進行完善。通過風險導向下的內部控制理論分析，得知我國很多企業內部控制制度并不完善，風險應對方面還存在一些問題。隨著市場競爭的加劇，企業需要進一步加強內部管理，完善以風險為導向的內部控制改進，幫助企業積極應對風險，獲得持續發展。

參考文獻：

[1]李海峰.基于財務風險防控導向的房地產企業內部控制體系建設研究[J].企業改革與管理，2020（14）.

[2]郭艷榮.全面風險管理導向下生產型企業的內部控制研究[J].全國流通經濟，2020（29）：35-37.

[3]鄧雄建.基于預算管理的企業內部控制完善路徑[J].中國鄉鎮企業會計，2017（05）：167-168.

[4]王建新.關于企業內部控制的經濟合理性分析[J].中國戰略新興產業，2020（004）：223.

[5]周庭安.企業內部控制存在的問題及對策探討——以DK公司為例[J].當代會計，2020（14）.

[6]高艷，王作宏.企業財務風險控制與防范探討[J].遼寧經濟， 2020（05）：76-77.