基于風險導(dǎo)向的企業(yè)內(nèi)部控制構(gòu)建

查貴良 楊維杰

一、企業(yè)內(nèi)部控制與風險管理

1.基于風險導(dǎo)向的企業(yè)內(nèi)部控制的定義及目標

企業(yè)內(nèi)部控制是指由企業(yè)董事、監(jiān)事、經(jīng)理人員和其他關(guān)鍵人員制定的對所有影響企業(yè)可持續(xù)發(fā)展的風險進行有效控制的制度體系以及由企業(yè)所有成員嚴格執(zhí)行制度以實現(xiàn)有效控制和風險管理并不斷自省和完善的動態(tài)過程。董事會對企業(yè)內(nèi)部控制的建立和實施負責。

企業(yè)內(nèi)部控制的目標由總體目標和具體目標構(gòu)成?？傮w目標是指實現(xiàn)企業(yè)價值最大化，具體的目標包含確保企業(yè)的生產(chǎn)經(jīng)營活動合法合規(guī)、提高經(jīng)營活動的效果、真實完整的反映企業(yè)的財務(wù)狀況。總體目標與具體目標相輔相成，促進內(nèi)部控制的實現(xiàn)。

2.內(nèi)部控制與風險管理的聯(lián)系

企業(yè)內(nèi)部控制與風險管理是相輔相成的。內(nèi)部控制在于確保企業(yè)的生產(chǎn)經(jīng)營活動合法合規(guī)，保證企業(yè)的資金資產(chǎn)安全完整，能夠提供真實可靠的財務(wù)信息。而風險管理是采用各種方式來評估和管理企業(yè)風險，將風險控制于可以承受的范圍內(nèi)，有利于企業(yè)實現(xiàn)內(nèi)部控制的目標。從本質(zhì)上來說，內(nèi)部控制與風險管理的目標一致，隨著企業(yè)逐步地關(guān)注外部風險，內(nèi)部控制將逐漸地與風險管理融合，成為在風險管理導(dǎo)向下的內(nèi)部控制體系。

二、基于風險導(dǎo)向的企業(yè)內(nèi)部控制的要素

1.內(nèi)部環(huán)境

內(nèi)部控制的基礎(chǔ)是內(nèi)部環(huán)境，環(huán)境在很大程度上影響了內(nèi)部控制是否能夠良好的實施。內(nèi)部環(huán)境中包含硬環(huán)境與軟環(huán)境。硬環(huán)境是指設(shè)置和安排企業(yè)內(nèi)部機構(gòu)的職能，軟環(huán)境是指企業(yè)的文化、經(jīng)營方式和人力資源政策。設(shè)置企業(yè)內(nèi)部的各個部門是指防范企業(yè)的內(nèi)部風險，讓企業(yè)的固有風險有所制衡，例如分離不相容的職責。分配職責是指合理安排各個部門和各個員工的工作任務(wù)，并形成良好的監(jiān)督和制衡關(guān)系。

2.控制活動

控制活動是指企業(yè)根據(jù)風險分析的情況，采用一定的措施，有效的控制風險。根據(jù)不同的風險事項，可劃分控制活動為兩種類別，分別為一般控制活動、特別控制活動。一般控制活動是指控制一般的風險事項，特點為數(shù)量多、原則性強。特別控制活動在于控制特別的風險，特點為靈活度高、變化性強。企業(yè)應(yīng)當設(shè)置風險管理部門，特別關(guān)注特別風險，確保及時的控制和解決所有的特別風險。

3.信息與溝通

信息是指與企業(yè)內(nèi)部控制相關(guān)的所有信息，包含內(nèi)部信息與外部信息，形式多種多樣，包含電子、紙質(zhì)、傳媒等等。溝通是指擁有信息的主體進行互相的交流，包括企業(yè)各個員工之間的交流、企業(yè)內(nèi)部與外部之間的交流。企業(yè)應(yīng)該采用各種方式獲取內(nèi)部信息與外部信息，并有效將信息在企業(yè)內(nèi)部進行分享。

4.內(nèi)部監(jiān)督

內(nèi)部監(jiān)督是指企業(yè)監(jiān)督、檢查、管理內(nèi)部控制的設(shè)置和執(zhí)行情況，發(fā)現(xiàn)內(nèi)部控制中存在的缺陷并及時反饋。內(nèi)部控制不僅與管理層相關(guān)，還與審計委員會、企業(yè)各個員工密切相關(guān)。企業(yè)內(nèi)各個員工都擁有監(jiān)督和檢舉內(nèi)部控制的權(quán)力，而且越多的使用權(quán)力，內(nèi)部控制越完善。

監(jiān)事會負責實施監(jiān)督行為，制定如何界定內(nèi)部控制缺陷，明確每個員工監(jiān)督管理內(nèi)部控制的職責，建立健全檢舉內(nèi)部控制缺陷制定，完善保護檢舉人制定，明晰檢舉渠道，營造檢舉內(nèi)部控制缺陷的氛圍。一旦發(fā)現(xiàn)內(nèi)部控制缺陷，應(yīng)及時與相關(guān)人員溝通，并向管理層匯報，分析缺陷產(chǎn)生的原因及其性質(zhì)，明確更正缺陷的方案，并實時跟蹤缺陷整改情況。

內(nèi)部監(jiān)督可以分為日常監(jiān)督與專項監(jiān)督。日常監(jiān)督是指監(jiān)督、管理、檢查日常性的內(nèi)部控制活動，專項監(jiān)督是指監(jiān)督、管理、檢查企業(yè)特別事項的內(nèi)部控制活動。日常監(jiān)督應(yīng)該充分發(fā)揮每個員工擁有檢舉內(nèi)部控制缺陷的權(quán)力，專項監(jiān)督應(yīng)該關(guān)注特別風險的性質(zhì)并積極應(yīng)對。

5.自我評價

自我評價是指企業(yè)定期或不定期的分析和評價內(nèi)部控制是否有效，并出具內(nèi)部控制評價報告，需對外進行披露。企業(yè)應(yīng)該成立內(nèi)部控制委員會或聘請外部專業(yè)的內(nèi)部控制結(jié)構(gòu)執(zhí)行自我評價工作。自我評價工作完成后，執(zhí)行自我評價的相關(guān)負責人應(yīng)在內(nèi)部控制評價報告上簽字，對所披露的信息負責。自我評價包含兩方面：合理的設(shè)置自我評價方案、有效的執(zhí)行自我評價方案。內(nèi)部控制評價報告中應(yīng)該包含企業(yè)的評價方式、執(zhí)行過程以及最終結(jié)果，對于評價結(jié)果應(yīng)詳細說明，不能一句話帶過，應(yīng)說明內(nèi)部控制是否有效，無效的地方是設(shè)計無效還是未有效執(zhí)行，目前內(nèi)部控制缺陷在哪，是否制定整改計劃，是否有效執(zhí)行整改計劃。報告最后應(yīng)當在附錄中詳細說明兩個問題：一是所評價期間對重大風險的識別、評估及控制情況；二是所評價期間對重大控制缺陷的發(fā)現(xiàn)、整改及再監(jiān)督情況。

三、完善基于風險導(dǎo)向建立內(nèi)部控制的建議

1.完善公司治理結(jié)構(gòu)

三鹿集團的破產(chǎn)原因之一在于內(nèi)部環(huán)境比較惡劣，機構(gòu)設(shè)置及權(quán)責分配不合理。我們從田文華的高度集權(quán)(田文華，原三鹿集團黨委書記、董事長、兼總經(jīng)理)就可以看出三鹿很難有強有力的內(nèi)部牽制，治理結(jié)構(gòu)不完善。企業(yè)的內(nèi)部控制應(yīng)該從公司治理結(jié)構(gòu)入手，整合組織結(jié)構(gòu)、業(yè)務(wù)流程、資金運營和會計工作與審計體系。公司治理是股東、董事會、監(jiān)事會、經(jīng)理層之間形成的權(quán)責分配、激勵與約束和權(quán)利制衡的關(guān)系?？茖W的公司治理結(jié)構(gòu)包括民主、透明的決策程序和管理議事規(guī)則。高效、嚴謹?shù)臉I(yè)務(wù)執(zhí)行系統(tǒng)以及健全、有效的內(nèi)部監(jiān)督和反饋系統(tǒng)。實行公司治理的關(guān)鍵是實施相互制衡的共同治理，主要治理人有股東、董事會、監(jiān)事會、經(jīng)理和銀行。

2.識別重要風險并建立風險評估和回應(yīng)機制

首先應(yīng)建立風險識別制度，完善企業(yè)的風險預(yù)警系統(tǒng)。企業(yè)的風險預(yù)警系統(tǒng)是指分析一系列的指標，檢查是否出現(xiàn)不符事項。風險預(yù)警系統(tǒng)包含分析風險的組織模式、設(shè)置會計信息系統(tǒng)、收集財務(wù)信息、傳遞各種信息以及風險分析機制。風險預(yù)警系統(tǒng)能夠有效的收集各種信息，并通過分析這些信息發(fā)現(xiàn)企業(yè)的內(nèi)部控制是否存在缺陷。企業(yè)應(yīng)該按照管理的流程，從每層組織開始，并考慮企業(yè)外部風險，從下而上的進行。當然，一個完善的財務(wù)風險預(yù)警制度應(yīng)該包含有效的內(nèi)部控制制度、監(jiān)督管理制度，否則財務(wù)風險預(yù)警制度無法完善的執(zhí)行。由于各個企業(yè)的經(jīng)營方式不同、企業(yè)規(guī)模也存在差異，企業(yè)應(yīng)該根據(jù)自身的情況來設(shè)計風險預(yù)警系統(tǒng)，讓風險預(yù)警系統(tǒng)符合企業(yè)的特征，滿足企業(yè)要求。

其次建立風險評估制度，正確的評估企業(yè)的風險水平。完善的風險評估制度應(yīng)包含風險評估標準、風險評估方案、風險評估準則。因此，企業(yè)應(yīng)設(shè)置各個風險指標的標準值，尤其是明晰風險高低的臨界值以及風險范圍，方便企業(yè)使用，風險范圍太大或太小都會影響風險評估的效果。從總體上來說，風險評估方法可以分為定性評估方法和定量評估方法。在風險評估的過程中，企業(yè)應(yīng)該分析自身最關(guān)鍵的問題是什么，哪些會嚴重影響企業(yè)實現(xiàn)自身的目標，在風險評估的過程中使用定量評估方法還是定性評估方法，并且還需確定衡量風險的單位和衡量風險的模型以確保評估的假設(shè)前提、參數(shù)、數(shù)據(jù)來源和評估程序的合理性和準確性。從而可以有效的了解風險的級別和程度。另外，完善的風險評估機制需使用完善的風險制度來規(guī)范，因此企業(yè)應(yīng)制定與企業(yè)相適應(yīng)的規(guī)章制度，約束和管理風險評估人員，確保有效的實現(xiàn)風險評估。

最后企業(yè)應(yīng)建立健全有效的風險應(yīng)對制度，增強抵抗風險的能力。企業(yè)面臨的風險具有多樣性、復(fù)雜性的特征，這樣要求企業(yè)建立健全相應(yīng)的制度來應(yīng)對風險、有效的管理風險，只有企業(yè)能夠組織化的運作風險，這樣才能足夠的重視風險并真正的運作。企業(yè)可以單獨設(shè)置一名財務(wù)人員進行風險管理，職責在于預(yù)測、分析、控制、應(yīng)對企業(yè)的財務(wù)風險，需及時的發(fā)現(xiàn)風險并有效的應(yīng)對，建立健全風險管理制度。為了有效的防范未來可能產(chǎn)生的風險，企業(yè)應(yīng)該從長遠角度出發(fā)，建立健全企業(yè)的風險應(yīng)對機制。企業(yè)可以采用如下方式，例如分散風險制度，即使用風險的分散方法，采取多樣化經(jīng)營、多方位經(jīng)營來分散市場的產(chǎn)品風險；轉(zhuǎn)嫁風險制度，即采取合法的方法和途徑將風險轉(zhuǎn)嫁給其他的企業(yè)承擔，簽訂遠期合同、實行承包經(jīng)營方式、購買相應(yīng)保險等轉(zhuǎn)嫁風險至其他企業(yè)。在應(yīng)對風險的過程中，企業(yè)應(yīng)根據(jù)不同風險的類別，采取不同的方式，控制風險，促進企業(yè)達成其自身的目標。

3.實行風險導(dǎo)向內(nèi)部審計，促進內(nèi)部控制的監(jiān)督和再控制

現(xiàn)代內(nèi)部控制的作用之一是將風險管理制度貫穿于企業(yè)的各項管理活動。根據(jù)已經(jīng)明確的企業(yè)目標來發(fā)現(xiàn)、管理、控制企業(yè)風險，促進企業(yè)實現(xiàn)自身目標。而風險導(dǎo)向內(nèi)部審計是指內(nèi)部審計人員分析企業(yè)的經(jīng)營計劃是否與風險一致，并在審計過程中貫穿風險管理。風險管理是一項重要的組織活動，內(nèi)部審計的重點是識別風險并管理風險。內(nèi)部審計在繼續(xù)發(fā)揮評價內(nèi)部控制執(zhí)行的效率與效果的作用，并在一定程度上促進內(nèi)部控制的完善，幫助企業(yè)保持有效的內(nèi)部控制的同時，并參與管理企業(yè)風險，幫助企業(yè)發(fā)現(xiàn)風險、評價風險、控制風險，促進企業(yè)完善風險管理制度。風險導(dǎo)向的內(nèi)部審計，一方面可以作為公司管理層的風險指南，另一方面可以作為企業(yè)發(fā)現(xiàn)風險、控制風險、管理發(fā)現(xiàn)、信息溝通、監(jiān)督風險等方面的職能?？梢?，風險導(dǎo)向內(nèi)部審計的功能是將風險作為最初的出發(fā)點，通過確證和咨詢活動為內(nèi)部控制提供能動的反饋，將反饋控制向事中實時反應(yīng)以及事前前饋延伸。風險導(dǎo)向內(nèi)部審計和現(xiàn)代內(nèi)部控制兩個要素以風險作為共同的語言，相互協(xié)同作用。其目標都在于增加企業(yè)價值，其功能實現(xiàn)了“1+1＞2”的整體大于部分和的效應(yīng)，從而有力地促進內(nèi)部控制的監(jiān)督和再控制。

四、結(jié)語

綜上所述，文章首先探討了企業(yè)內(nèi)部控制與風險管理，接著分析基于風險導(dǎo)向的企業(yè)內(nèi)部控制的要素，最后探討了完善基于風險導(dǎo)向建立內(nèi)部控制的建議。在現(xiàn)實生活中，相信隨著我國市場經(jīng)濟的發(fā)展和市場經(jīng)濟制度的健全，內(nèi)部控制也會越來越完善。