風險導向型內部控制探析

胡華軍

【摘要】文章分析了企業戰略目標、風險管理、內部控制之間的價值關系，從理論上分析了風險導向的內部控制在公司戰略地圖中的價值路徑，解析了企業風險的主要特征，從內部控制實踐上分析了傳統內部控制的局限性，介紹了風險導向型內部控制的思維模式，對比了風險導向型內部控制與傳統內部控制的優缺點，陳述了風險導向型內部控制測試的一般工作流程，豐富了戰略目標與內部控制之間的關系，展望了內部控制發展的未來趨勢。

【關鍵詞】戰略目標；風險管理；內部控制

【中圖分類號】F272.3；F275

企業發展有企業的戰略目標與戰略實施方案，企業建立組織架構并明確各部門的職能是為了保障戰略目標的實現，最終獲得企業利益最大化。從企業層面搭建公司的組織架構定義各部門的職能是在建立內部控制的整合框架，建立了框架基礎之后才能對各業務循環系統實施內部控制。公司經營活動中面臨的內外部風險會導致戰略目標難以實現，為了防范風險，企業經營管理者必然采取相應的應對策略對風險進行控制，保障企業正常健康運營。建立內部控制體系對風險進行控制是風險應對策略的一個選項。企業面臨的風險是不斷變化的，依據變化的風險，企業內控部門應該適時調整內部控制策略，將風險控制在可控范圍之內以保障戰略目標的實現。

一、內部控制、風險管理、戰略目標之間的價值關系

內部控制從企業價值鏈的角度來看只是一種輔助活動，并不直接面對客戶創造價值，內部控制通過強化控制活動防范風險降低企業的風險損失成本，優化流程提高業務活動的效率最終保障戰略目標的實現來創造價值。企業戰略地圖以平衡計分卡為基礎，基于企業愿景與戰略，將戰略目標及其因果關系、價值創造路徑以圖示的形式直觀、明確、清晰地呈現出來，系統闡述了企業組織如何創造價值，但是平衡計分卡并沒有列明內部控制、風險管理與戰略目標價值創造的因果關系。內部控制的價值在于防范風險，這種風險來自于戰略目標的確定、戰略規劃實施、財務層面、客戶層面、內部業務流程層面、學習與成長層面這些業務活動之中。內部控制的價值是保障戰略地圖列明的企業組織價值得以實現，防止因為風險的影響讓價值創造脫離平衡計分卡這個軌道，同時促進企業組織價值實現效率的提升。內部控制的價值獨立于平衡計分卡的價值關系導向圖，使各部門各司其職，讓企業的經營價值得以順利實現，服務于公司的戰略目標與愿景。風險管理的價值在于確保業務活動內外部真實可靠的信息溝通，遵守有關的法律法規，企業的規章制度能夠得到貫徹執行，確保企業建立針對各大風險發生后的處理計劃。

內部控制與風險管理兩者都是服務于企業的戰略目標。風險管理本質也是一種內部控制，它是內部控制的一種延伸，風險管理所涉及的寬度比內部控制要寬。風險管理是內部控制的一部分，制定風險管理策略時運用到的風險承擔、風險對沖、風險規避、風險補償、風險轉移、風險控制、風險轉換策略又包含了內部控制，風險管理與內部控制你中有我，我中有你，兩者相輔相成。內部控制、風險管理、戰略目標價值導向如圖1所示。

二、企業風險的主要特征

企業風險是指未來的不確定性對企業實現其經營目標的影響。未來的不確定性說明企業也是無法對風險實施掌控，但是它會直接影響經營目標能否實現。企業風險具有如下特征：

（一）風險具有多變性特點

企業風險無時不在，隨著時間與經營環境的變化，企業在初創期、成長期、成熟期、衰退期所面臨的風險是不斷變化的。風險的動態變化決定了內部控制也要動態適應風險的變化。內部控制只有根據風險的動態變化不斷調整才能有效的管控風險，這是風險導向型內部控制產生的根源。

（二）風險具有來源多樣性特點

企業風險無處不在，來自于企業相關的各種業務以及企業所處的環境之中。企業風險有可能來自企業內部、企業外部，也有可能來自戰略、市場、財務、運營以及法律等不同的業務板塊。

（三）風險與經營目標具有相關性

風險之所以引起公司治理層的高度重視，是因為風險的發生會直接導致經營目標難以實現，最終會導致公司的戰略目標不能實現，甚至于會引起企業的破產，因此不僅企業關注風險，整個社會對風險事件的發生也是高度關注。

（四）風險是可以控制和轉換的

雖然風險會對企業的經營目標產生不利的影響，但是企業管理者可以采取風險應對策略對風險進行控制并減少損失。風險只要進行了有效的管理，就可以避免企業經營管理嚴重事件的發生。

（五）風險的重要程度具有層次性

企業所面臨的風險是可以依據重要程度進行層次劃分的，并且根據重要程度采取不同的風險應對策略。風險的重要程度不一樣，管理者可調用不同層級的資源來應對風險。

三、傳統內部控制的局限性

傳統的內部控制有其自身局限性，內部控制的對象主要是企業內部的、可控的、非決策性的風險，對于企業外部的、不可控的、決策性的風險基本是無能為力。內部控制的對象是內部的人、財、物、制度、流程等，只能強化對企業內部管理要素的控制防范風險，對于超出企業控制范圍外的業務無法形成有效控制。

傳統內部控制側重于制度之間的相互牽制，業務過程控制，不相容職責相分離以及審批授權控制，實施的是各業務模塊全覆蓋的“網狀結構”。客觀的說，這種網狀結構從內控體系健全性的角度來說是沒什么問題的，但是這種內控是為了控制而控制，往往不具有靈活性，沒有依據企業風險的變化靈活調整內部控制策略，給人一種刻板的印象，甚至于將簡單的業務活動復雜化，反而降低業務活動的效率。企業管理實踐中，內控人員經常聽到管理人員抱怨公司的內部控制“一控就死，不控就亂”。內部控制過于嚴苛死板導致業務人員對于業務活動都是看一步走一步，進而裹足不前使業務活動喪失活力，最終因為內部控制導致業務活動失去活力。內部控制過于寬松又會導致業務風險增加，最終導致企業面臨生死存亡的問題。按照內控標準來對照還會發現，風險頻發的業務內部控制過于寬松，風險概率低的業務卻內部控制過于嚴苛，內部控制過度浪費公司有限的資源，沒有依據風險的變化及時調整策略。這些問題產生的根源就在于內控人員沒有以風險為導向進行內部控制，內部控制與風險管理不匹配。公司的內部控制設計嚴重滯后不能適用動態變化的風險，反而對現有業務活動產生了不利影響。內控不僅不能幫企業優化流程提高效率實現價值增值，反而會成為企業的一個管理負擔。

四、風險導向型內部控制

風險導向型內部控制的適用范圍。企業從成立之日起就在進行內部控制體系建設，會建立股東大會、董事會、監事會的公司治理結構，這是屬于企業層面的內部控制，已經形成了相對穩定的結構，一般不會頻繁的進行調整。具體業務經營層面的內部控制，要根據風險的變化動態管理，識別風險防控的重點要測試內部控制設計合理性與運行有效性。內控人員首先要明確公司的戰略目標與年度經營計劃，對企業經營計劃實施過程中所面臨的風險進行識別與分析，然后制定年度的內部控制測試計劃。

企業內控部門制定年度的內部控制測試計劃要堅持全面性、重要性、持續性、適度性、成本效益性原則。內控設計測試計劃編制在堅持全面性原則的基礎之上還要堅持重要性原則，依據業務的重要程度，風險發生的概率與頻率，將重要的業務循環列入測試計劃進行重點測試，這樣能夠將內控部門有限的人力、物力、財力資源用在核心的風險防范上。內部設計測試工作計劃要根據公司經營風險的變化進行調整，以風險為導向，保持內部控制強化的持續性，對于重要風險領域要持續強化內部控制測試。

內部控制測試計劃要堅持適度原則，內部控制只能合理的管理風險不能消滅風險，將風險控制在一個合理的范圍之內，內控測試不可以過于嚴苛也不可以過于寬松。內部控制測試計劃要堅持成本效益原則，要用最少的人財物的投入將主要的風險都控制住，如果實施內控的過程中，公司的內控成本在增加，但是主要業務風險卻沒有防控住，那說明內部控制沒有抓住重點或者在次要的風險上投入了大量的成本形成了過度內控。

風險導向型內部控制除了在制定內控測試計劃時要考慮風險防控的側重點以外，在具體面對不同來源的風險時也需要采用不同的內部控制應對策略。對于風險的動態變化，內控部門及時調整內部控制設計來適應新的風險變化。對于來自企業外部的風險，內審部門通過加強內部控制的防范能力應對風險。來自企業外部風險內部控制是無法直接控制的，外部風險會演變成內部風險對企業造成不利影響，內部控制只能通過內控措施的加強提升企業內部的防控能力，將外部風險降低至可以接受的范圍之內。對于來自不同業務模塊的風險，內審部門設計不同的內控措施予以應對。對于重要程度不一樣的風險，內控部門設計不同的內部控制級別予以應對。風險導向型內部控制對內控人員的職業勝任能力也提出了新的要求，風險導向型內部控制要求內控人員要與業務活動進行業控融合，只有業控融合才能增加內控人員對業務活動的了解，將控制活動與業務活動有效結合。

傳統的內部控制以測試企業組織的內部控制為起點，從右往左邊開展內控工作。風險導向的內部控制以組織的戰略目標為起點，圍繞組織目標識別影響目標實現的風險，再測試重點業務的內部控制情況，鎖定內部控制的薄弱環節并重新進行內部控制設計，從而更好的管控風險，促進戰略目標的實現。風險導向型內部控制與傳統的內部控制比較具有如下優勢：（1）風險導向型內部審計與戰略目標的聯系更加緊密，目的性更強。方便內控部門整合資源，集中人、財、物的資源強化對主要風險的控制，更加突顯對年度經營計劃以及戰略目標實現的保障作用。（2）風險導向型內部審計隨著風險的變化適時對內部控制系統進行評估，發現內部控制存在的缺陷，及時采取應對措施進行處理，滿足了風險動態變化的特點。（3）風險導向型內部控制根據風險防控的重要程度，隨時調整內部控制的重點，實現了內部控制的松緊有度。傳統內部控制與風險導向型的內部控制的思維模式如圖2所示。

五、風險導向型內部控制測試的一般工作流程

內控人員進行內控測試主要測試設計合理性與運行有效性，首先需要從內部控制標準的角度明確以下事項：（1）需要明確主要的業務活動是什么。（2）需要進行內部控制的具體環節是什么。（3）明確該環節的風險點是什么。（4）進行風險控制的目標是什么。（5）如果是財務相關內部控制測試，需要列明受到影響的財務項目是什么。（6）如果是財務相關內部控制測試要明確認定受影響的類型。（7）清晰界定內部控制關鍵管控措施或者控制點。（8）劃分風險等級。其次需要從實際執行的角度來測試如下情況：（1）要核查被測試單位現有的內控措施有哪些。（2）了解被測試單位具體都有哪些制度、流程、表單。（3）了解被測試單位控制活動發生的頻率。（4）了解被測試單位控制活動執行人員的勝任能力。內部控制設計的合理性通常通過穿行測試的方式進行測試，調閱業務活動實際運行中的制度、流程、表單樣本以及其他記錄資料，核查實際業務是否按照制度的要求執行落地，將內部控制實際執行情況與制度標準進行對比。穿行測試的目的主要是測試內部控制設計的有效性，可以由被審計部門主動提供業務循環的樣本。通過內部控制標準與實際的對比，內控人員就能夠總結出內部控制設計的健全性與合理性以及內部控制執行的有效性。對于內控設計缺陷，內控人員要及時調研業務活動調整內控應對措施，對于內部控制執行缺陷，內控人員要及時與職能部門溝通要求業務部門整改，同時將設計缺陷與執行缺陷向上級進行匯報。內控測試的一般工作流程如圖3所示。

六、內部控制缺陷的整改

內控部門通過內控測試發現的內控設計缺陷，內控部門需要同業務部門進行充分雙向溝通并交換意見，結合風險控制目標的要求重新設計內控手冊。內控設計完畢之后要進行驗證經過試運行之后才能正式生效，防止內控設計不合理的自身風險。

七、內部控制實現方式的變革

隨著信息技術的發展，未來企業管理的發展方向都是用信息化、數字化的方式進行業務活動的管理，這對內部控制管理提出了新要求。傳統的內部控制實現方式都是通過制度、流程、表單等工具去完成，未來的內部控制會通過信息化技術去實現內部控制體系的構建，會將內控要求嵌入到OA系統或者ERP系統，這樣會降低企業內控的成本同時也會提高內控管理的效率。內控部門的工作重點將會放置到ERP系統的內控測試上，重點測試ERP系統內控設計的合理性與有效性，更進一步實行智慧內控也是可以探索的。依據業務活動所呈現出來的風險，能夠通過ERP系統自動進行風險分析，生成內部控制實施應對方案，實現風險的自動管控與防御。內部控制系統可以依據風險控制系統傳遞的信息，進行內部控制策略自動更新，對風險進行適時監控。

主要參考文獻：

[1]候其鋒.企業內部控制基本規范操作指南[M].北京：人民郵電出版社，2016年5月.

[2]許國才.企業內部控制流程手冊[M].北京：人民郵電出版社，2012年6月.

[3]付淑威.風險導向的內部審計[M]. 北京：人民郵電出版社，2022年10月.

責編：險峰