风险导向型内部控制体系初探

□许媛芳谭 凤伍婷婷

（1、3重庆工商大学 重庆4000672四川外语学院国际商学院 重庆400031）

随着金融危机向实体经济蔓延，部分基础薄弱、内部控制失效的银行、证券公司、实体企业纷纷倒闭，经济舞弊诈骗案件频频曝光，诸如：雷曼兄弟破产、AIG深陷次贷泥潭、房利美和房地美被接管、中信泰富等公司衍生金融产品投资巨亏等。此类案例诠释了内部控制失效的极大危害，同时引发了企业和监管部门对内部控制制度的反思。在此背景下，COSO委员会于2009年1月发布了《监督内部控制系统的指南》，该指南力图把以风险为导向作为核心理念，构建了一个有效内部控制监督模型。风险管理是内部控制与企业经营活动循环相结合的直接目标所在，是链接内部控制与公司战略规划的关节点。而我国企业内部控制风险监督机制的建设情况不容乐观。风险监督的低效甚至无效直接影响了内部控制系统的有效运行。基于此，本文以内部控制组织体系为基本依托，提出镶合危机管理、预警管理、金融风险控制、战略风险控制等的风险导向型内部控制构建模型。

一、风险导向型内部控制的基本内涵及其意义

（一）风险导向型内部控制的内涵

风险导向型内部控制指以风险管控为逻辑起点，把将风险管理理念镶嵌到内部控制流程中形成的以风险为导线、价值增值责任为主线的内控体系基础框架。即以 “战略规划——风险考量——风险内控——战略目标”为基本思路，在内部控制设计时，关注重点风险区域和关键业务，以提升内部控制的针对性。根据内部控制的五要素理论，风险导向型内部控制的构建涵盖以下几个方面：一是构建全面风险管理体系基础框架；二是设计科学的风险动态重估机制；三是建立高效的经营指标风险动态监控预警机制；四是建立合理的风险管理考核体系；五是搭建全面风险管理信息系统框架。

（二）风险导向型内部控制的意义

当今社会，面对日趋激烈的竞争环境实施风险导向型内部控制具有重大意义。

1.风险的巨大危险性使得风险管理相对于常规内部控制工作中的资产安全性及其记录正确性而言更加重要。风险一旦来临，无论资产和记录的质量如何，企业可能都会在瞬间荡然无存。面对此种情况，要求企业以风险管理为导向，即要求内部控制视角不仅仅要放在某几个关键控制点上，也要包括凡是可能诱发和产生风险的所有经营管理作业活动上。

2.风险导向型内部控制是现代内部控制发展的必然趋势，我国内部控制发展缓慢，其滞后性、形式化等问题亟待解决，加之于内部利益冲突、信息和权力等不对称问题的客观存在，极易造成内部控制的缺失和脱节。因此，通过加强风险管理，才可以更好地完善内部控制体系，真正发挥内部控制的作用。

3.风险导向型内部控制促进战略发展。在原有的内部控制体系中融入风险管理而产生风险导向型内部控制。这使得风险偏好、风险容忍度、风险对策、压力测试、情景分析等风险度量的概念和方法，也融入到内部控制体系。这对企业是大有裨益的，有利于发展战略与风险偏好相一致，进行经济资本分配及利用风险信息支持业务前台决策流程等，以此帮助董事会和高级管理层实现原内部控制所不能实现的战略目标。

二、风险导向型内部控制系统的价值链

价值链的定义最初是由迈克尔·波特根据企业经营活动提出的，他把企业价值链定义为顾客愿意为企业提供的产品或服务支付的价格。价值可以用企业的最终产品来衡量，即企业销售其产品或服务的价格。对于风险导向型内部控制体系来讲，其价值链可以用图1刻划：

图1 风险导向型内部控制价值链分析图

正如上图所示，风险导向型内部控制价值链存在以下显著特点：

（一）从内部控制的目标维度看。风险导向型内部控制把经营有效性目标与控制流程特别是其中的风险评估与控制活动紧密衔接，最终落实到企业价值增值和战略目标的实现上来，使得内部控制内容更丰富、目标更明确。具体而言，内部控制目标由以前的三目标扩充为运营有效性风险控制、财务报告可靠性风险控制、合规性风险控制以及企业战略目标风险控制。

（二）从流程链条维度上讲。风险导向型内部控制是以风险事项识别为起点，构建涵盖风险识别、风险评估、风险内控、监察与评价等四项基本活动以及内部控制基本环境建设、内部控制信息与沟通等两项辅助活动的内部监控链条，有效管理企业的资金运动、物资运动和各业务活动信息处理过程等。

（三）从内涵来看。风险控制与内部控制结合，更体现了内部控制的过程性，从动态的角度解释了内部控制是一个活动流程，而不仅仅局限于政策、措施和手段等层面。

三、风险导向型内部控制的作用机理

如前所述，风险导向型内部控制是以风险为中心轴的风险控制。从确认潜在风险事项入手，将整体风险分解到不同层次，再区别剖析各层次风险的特点、进而有针对性地采取措施协调企业内部管理各个部门和环节，将内部控制渗透到企业风险管控各个业务流程。具体而言，风险导向型内部控制动态的流程如图2所示分为风险排序、识别控制、执行监督以及评估报告四个环节，每个环节都在某种程度上持续运行。

（一）风险排序。风险导向型内部控制是把焦点放在评估及应对重大风险控制。重大风险是那些通过内部控制的风险评估要素确定的，在特定的时间范围内可能对组织目标产生不确定性影响的事项。同时，对潜在的控制缺陷排序不仅要关注风险的危害量，更要注意从性质上把握风险控制。

（二）识别关键控制。组织通过了解内部控制系统如何应对或减轻重大风险以及确定哪些控制对风险控制结论贡献最大来确定关键控制。对关键控制的判断可能发生在组织中不同层级。通过考虑那些会增加控制失败风险的因素，如控制的复杂性、是否需要高度判断、人工或自动化、人员的胜任能力或经验、高管凌驾的风险等，可以促进关键控制的分析。

图2 风险导向型内部控制的作用机理

（三）实施控制监督程序。控制监督包括风险即时管理和持续监督两个层面。持续监督为管理层关于控制有效性的日常信念提供主要支持，确保了内部控制的长期有效。

（四）评估和报告结果。评估和报告结果强调内部控制缺陷的发现要及时向执行该流程和相关控制的人员以及更高级别的管理层报告；重大缺陷要与高管层和董事会沟通；来自内部或外部的缺陷报告都应该予以考虑，并有针对性地采取控制措施。这种事后评估和报告的后监督效应能够促进内部控制的持续有效。