信息化下内部控制—风险评估应对方案探讨

□赵 晶 张 辉 关振宇（教授）（北京青年政治学院 北京 100102）

现代信息技术对经济生活的影响越来越大，其广泛应用已经渗透到了社会经济生活的各个方面，“大力推动全社会的信息化，以信息化带动工业化”是我国信息技术的战略目标，会计信息化、管理信息化系统、ERP等现代信息技术创造的现代管理工具已被各个行业的企事业单位广泛应用。企业信息化不仅是实现现代企业管理的途径和工具，同时也是其生存发展的内在环境，信息化促进了企业内部控制在网络在线环境下的全面实现，同时也对内部控制提出了新的挑战。企业如何在信息化下全面实施好内部控制、如何进行有效的风险评估，以促进内部控制系统的完善运行，便构成了本文拟探讨的核心问题。

一、信息化下的风险评估所面临的瓶颈

（一）风险评估思想认识缺位、组织机制薄弱

1.很大比例的企业经营者和管理者把内部控制和内部监督相混淆，把内部控制只看作是制度文件，或者把成本控制和资产安全控制等视为内部控制，内部控制的思想认识缺位必然导致风险评估的思想认识缺位。企业经营者和管理者内部控制和风险评估的认识程度对风险评估的具体操作起着十分重要的作用，其对风险评估的思想认识对整个企业风险评估起着关键的影响。企业经营者和管理者对风险评估的思想缺位会影响、引导和导致企业员工对内部控制和风险评估的认识不足，势必会严重影响企业内部控制和风险评估制度的执行效果。

2.风险评估是整个内部控制的关键环节，建立合理的风险评估组织是及时有效开展风险评估工作的前提。目前来看，企业在内部控制组织机制方面的不健全、企业没有专门的内部控制部门和由内部审计部门承担风险评估工作等现象导致了风险评估职责不清和风险评估组织机构缺失。内部审计部门只是对风险评估工作进行监督，如果对具体风险评估工作负责将有损于审计的公正性和独立性。内部控制管理机构缺位导致风险评估机构的缺失，造成各部门会片面强调本部门业务工作的重要性和风险防范的必要性，而不在意其他部门的业务及风险状况，从而会导致形式上的控制过度和事实上的控制不足并存，企业风险管理缺乏统一协调。

（二）风险评估制度缺失、方法陈旧

1.在多数企业的内部控制文件中，风险评估内容并不全面、到位，导致了风险评估工作的缺位。风险评估内容不全面、合理，根源于缺少统一的评估标准，进而在进行风险评估系统设计时缺少客观公正的评估依据，风险评估作用难以发挥最大效用。风险评估制度缺失使企业经营者和管理者将风险评估工作转嫁给内部审计部门，使内部审计部门承担不应有的风险评估工作，从而造成监督方与被监督方责任界定不清。风险评估标准的缺失和风险评估职能的混淆，使风险评价结果利用价值大大降低，导致无法顺利实现内部控制系统的目标设置。

2.企业内控人员在应对风险识别、分析工作中，习惯运用传统甚至陈旧的理念和方法，以定性分析评估为主而缺少科学合理的计量和定量分析评价。较少运用spss软件分析系统、矩阵分析和COSO例举法等统计与分析方法，科学性、客观性与合理性欠缺，据此得出的风险评估结果缺乏可信度。企业的内部控制工作的风险评估程序不够合理，评价手段不够先进和科学，导致评估时间长、效率低、质量低。

（三）风险防范流程缺失

很多企业在风险管理工作中，对于操作业务流程没有实现对既有风险和剩余风险的识别、分析和持续跟踪；缺少后续防控措施，没有坚持开展风险预测与预警工作，导致风险事前防范缺失。缺少定期对风险防范的检查，对风险处置结果的及时性和关注度不到位。

二、信息化下的风险评估瓶颈的应对

（一）树立科学系统的内部控制理念，建立风险评估体系框架

随着企业经营规模扩大和业务日益冗杂，企业最高管理当局，不可能事事都亲自过问，必须建立健全制度，为使企业各项业务的处理过程程序化，使工作手续执行规范化，使职责分工制度化，必须树立内部控制理念。树立内部控制理念能使包括管理者和普通员工在内的所有人员按规定按程序进行工作，做到相互制约和相互促进，防范风险的爆发，有利于企业的经营管理。

建立健全风险评估体系是防范风险的重要手段、有效途径和必要措施。企业要成立管理层的风险管理委员会和专业风险评估小组，通过公司战略和公司业务等多层次对整体风险状况进行评估。要成立独立于审计监察部门以外的专职风险管理部门，负责组织日常风险识别、风险监测和风险分析，及时收集整理风险评估资料，及时评估分析风险状况，为领导决策提供依据。同时，要加大支持风险评估工作的力度，保证风险评估体系具备足够的人力、财力和物力，保证风险评估体系的建立健全能够切实实现。

（二）加强风险评估人才建设、开展内部控制主动评估

目前，要重视风险管理人才培养并适时引进专业风险评估人才，通过建立风险评估人才培养体系逐步提升风险评估人员的整体素质。结合风险评估人员自我学习，鼓励其参加诸如风险管理师资格的培训和考试，通过学习风险评估理论和风险评估方法提高风险评估工作能力。还可聘请行业专家定期对风险评估人员进行培训，了解国际国内风险评估工作的先进方式和发展趋势，使风险评估人员成为会运用数理统计方法和信息技术手段识别、分析和监测风险复合型的风险评估人才。

控制自我评估是组织监督和评估内部控制的重要措施，它是内部控制工作评价的新方法，体现了内部控制系统评价的新突破。企业应当适时开展控制自我评估，了解可能引起的风险的控制环节予以改进，从而促进职能部门加强业务管理、优化业务流程、完善内部风险控制，同时可通过外部独立审计的介入增强内部控制评价的约束力。

（三）科学设定风险评估标准、建立风险评估预警机制

风险评估标准设计三个层面，分别是风险水平计量、评估标准设定和风险等级划分，要使风险评估标准的设计合理准确科学，要优化完善以上三个方面。企业面临包括决策风险、管理风险和财务风险等在内的多种风险，要对于这些风险通过发生几率、影响程度和波动幅度分别给予一定的权重，结合风险计算方法评估固有风险的大小；企业要对潜在的内部风险和外部风险，按照一定的方法分别评定风险等级，以便对风险进行分类控制的时候实现风险最小化并降低风险控制成本；由于不同行业、不同企业和不同部门所面临的风险情况呈现多样性、差异性和变化性，要对不同行业、不同企业和不同部门的风险进行评价比较，就必须要有一个可以用来衡量的评估标准，通过正常、基本正常、关注、重点关注和风控失效五级标准采取不同的风险应对方法，最大限度防范风险。

企业应建立健全包括预警人员、预警机构、职责和权限在内的风险防范评估预警机制。各部门建立素质高、责任心强、风险评估业务精通的预警人员，负责发现部门内岗位风险，及时控制风险、向预警机构发出预警信息；在评估组织内设立预警机构，负责在收到各部门预警信息后做出合适的应对措施。

三、内部控制——风险评估系统的开发与优化

在校企合作、跨专业联合的背景下，以强化和培养在校青年学生的团队合作能力、职业创新意识、工作应用技能为目标，通过竞赛评优等活动，征集企业内部控制——风险评估系统的开发与优化方案。校企合作：主要以解决企业的内部控制——风险评估的实际需要为导向，确立系统开发目标；跨专业联合：以计算机应用、企业管理、财务管理与内部控制专业的青年学生为骨干，组成跨专业联合开发团队，实现内部控制——风险评估系统的开发目标。内部控制——风险评估系统的开发与优化方案评价指标与目标参照标准：

（一）初始化条件下，企业需要建立风险数据库，并准备全部的风险信息

通过系统运行，可提供：风险数据库分类信息；便捷引导式的在线调查；实时展示评估标准，提高评估信息的客观性；对调查结果开展实时在线自动检查，校验保证数据质量；自动对风险数据进行统计分析并生成评估报告。

（二）通过系统运行，实现并得到客观、全方位的风险评估结论

1.风险数据库信息分类（以运营风险为例）。（1）研发设计风险：研发规划风险、产品设计风险、工艺技术风险；（2）固定资产管理风险：固定资产投资风险、运营维护风险、大修风险、转让处置风险。（3）采购风险：供应商管理风险、采购计划风险、采购执行（招标、合同）风险、采购验收入库风险、存货（仓储）管理风险。（4）生产风险：生产计划风险、生产过程管控风险、项目管理风险、成本控制风险。（5）销售风险：市场开发风险、销售策略风险、产品的市场替代与客户管理风险。

2.便捷的引导式在线调查。调查开展的可行性、便捷性、引导递进性和方法选择的科学有效性。

3.实时展示评估标准，提高评估信息的客观性。对调查结果开展实时在线自动检查，校验保证数据质量。

4.对风险数据进行统计分析并生成评估报告。

四、结论

在全球信息化的大背景下，从企事业单位内部控制的实现，风险评估工作是内控系统的关键组成部分。风险评估是一个持续、反复、变化和创新的过程。企事业单位应高度重视风险评估的持续、反复性和变化、创新性，及时收集更新相关信息并系统全面客观地开展风险评估工作，建立适时更新的风险信息库，为持续进行的风险评估工作提供有效支持。充分利用现代信息技术实现风险的实时监测、分析和应对，及时根据风险变化调整应对策略，从而有效控制管理风险，促进事业不断发展壮大，为企事业单位和社会创造更多的价值。