风险导向下企业内部控制的评价与改进

吴彦

摘 要：自从进入21世纪以来，我国无论是社会经济还是科学技术都得到了快速发展。尤其是随着市场经济体制的全面深化，各大小企业的实践经验日益丰富，因而企业风险管理的意识也在不断增强。现代企业管理系统中，在企业风险管理整合框架的运营模式之下进一步强调了内部控制的重要地位，在内部控制的构建、执行、评价、改进等方面都做了进一步的革新，以应对企业内外部环境的波动影响因素，获得持续稳定发展。本文从企业内部控制的理论概述入手，探讨企业内部控制评价当下的发展现状，在此基础上进行分析并提出可行性改进建议，以促进企业的内部控制体系构建，为有效的风险控制奠定基础。

关键词：风险管理;风险导向;内部控制

随着社会经济发展和市场经济体制的深化，企业风险管理意识和技能也在不断增强，但仍然有部分企业内部控制的体系建设不够完善，方法手段落后，无法满足现阶段企业在市场环境中应对竞争和风险的需求。尤其是近几年，受到新冠疫情等不可抗力因素影响，经济发展速度趋缓，竞争压力巨大，企业要实现内生性的增长，就更加需要提高内部管理水平，加强内部控制体系的改进，以更好地应对新形势下企业发展的内外部环境变化。

企业风险控制工作，主要是指内部控制人员在对企业相关财务指标进行分析，利用运营管理领域的经验或者工具，针对重点环节以及涉及到企业未来发展，比如重大项目的预算决策，进行风险的评估和预判，并制定风险应对方案，进而采取措施降低风险。而风险导向下的企业内部控制，则是围绕可能发生的重大风险，来建立或健全内部控制体系，对未知风险进行有效控制，帮助企业实现股东财富最大化。

一、风险导向下加强内部控制的背景概述

1.企业风险导向的理解

企业风险导向，主要内容是指企业在日常生产与经营过程中，由于需要面对并承担一定的风险，于是以这些风险的规避作为导向，将内部控制的针对性调整为风险应对，并对内部控制的范围和重点进行调整。比如，一些企业将任何涉及企业核心发展的重点项目方向都列入内部控制的范围，企业全员上下从被动接受企业风险的冲击，转变为主动对企业内部风险进行控制。

对于我国企业来说，市场内外部环境的风险因素众多，控制风险的主要目的是為了能够让企业有效地控制风险和减少风险的损失，在瞬息万变的经济环境下能够获得持续性、高质量发展。随着内部控制体系更加完善，企业对控制的对象目标、范围、方式方法等各方面都有了质的提升。以风险为导向作为内部控制体系构建的理念，主要是对企业日常运营和经济决策全过程所涉及到的风险进行预测，并根据风险大小制定针对性的策略。风险导向下的企业内部控制包括风险可能涉及到的对象与范围确定、风险识别和预警、风险级别评估和应对等，以此为基础进行相关项目的投资运作。风险导向下的内部控制，其主要特征在于能够对未知风险进行提前预测以及有效评估，有利于将风险尽可能降到最低，这对于企业来说有利于建立强制性和规范性的风险防控意识。

2.内部控制的概念

内部控制的概念较为明确，1972年美国准则委员会对内部控制做出以下解释：“内部控制是在一定的环境之下，企业为了能够获得高效的经营利润、为了能够获得各方面的资源所设定的管理目标”。因此，在企业内部实施的各种制约和调节的组织计划、程序、方法和措施，并将其变为更规范化、系统化，让其能够成为一个具有严密性组织的体系，这被称之为内部控制评价体系。从内部控制的主要目的出发，可以将内部控制分为会计控制和管理控制。2010年，我国财政部所颁发的关于企业内部控制配套指引中，对内部会计控制做出了明确规定，认为内部会计控制制度是单位能够进一步确保会计信息质量，保证财产安全与完善，对相关法律法规、规章制度贯彻彻底的基础。内部控制主要内容包括严格规定控制方法、控制设施以及控制程序，确保经营方针科学，经营决策执行到底，促进运营活动的效率性和经济性。

3.风险导向下构建内部控制体系的可行性

风险管理框架代表了内部控制理论研究的最高成就和现阶段的发展趋势。风险管理框架与我国当前所实施的内部控制指导以及对于相关风险管理规范具有较高的相似性。根据深层次的分析归纳总结可以了解到内部控制发展过程中对内部控制要素确定与风险管理框架的要求基本相同。对于我国来说，我国五部委内部控制规范在要素形式上借鉴了内部控制框架五要素。但是，在对风险进行评估的过程中，对风险评估要素进行分析时，了解到其合并了风险管理框架中的目标设定与识别、风险评估、风险应对等要素。因此，现在的风险管理框架设计背景下，内部评价指标一定要与五部委所设定的内部控制规范的五要素进行有机结合。2006年，我国全面实施了风险管理的依据，将风险管理框架分为风险识别、风险分析、风险应对和风险监控四部分所构成的全面风险管理体系。

二、目前企业内部控制的发展现状

目前随着我国科技以及经济的快速发展，内部控制制度的建设和实施体系在发展过程中已经取得了初步的实践经验。企业内部控制是一个动态的过程。包含了内部控制体系的构建、内部控制的实施、内部控制实施效果的评价以及改进整个过程。在这一过程中，内部控制实施效果的评价是最为关键的也是最重要的一点。通过内部控制实施效果的科学评价，能够很好地了解企业内部控制的作用大小，是否存在漏洞，是否充分发挥功能作用。在评价的基础上，针对内部控制存在的不足，分析原因并采取改进对策，进一步调整内部控制的各个要素，以确保内部控制体系的运行更加符合企业实际，充分发挥应对风险的作用。目前企业内部控制评价的目标主要有以下四种。

1.以报表审计为目的的内部控制评价

报表审计为目的的内部控制评价是以注册会计师作为主体，在对财务报表进行审计时能够通过财务报表所涉及到的数据以及所涉及到的内容进行企业内部控制，对于评价各项控制活动来说，具有一定的有效性。通过注册会计师的评价，能够制定如何进行审计抽样，帮助企业内部提高对于审计的效率。从另一方面来看，通过以报表审计为目的的内部控制评价，能够有效地降低数据的虚假性、确保数据的真实性。对于企业后续再进行相关项目的投资时，能够具有正确性投资依据。

2.以自我完善为目的的内部控制评价

对于以自我完善为目的的内部控制评价来说，评价的主体是企业本身。根据相关的调查结果显示，在企业发展过程中，由于内外部环境的不断变化，这就使得企业内部控制需要发展出新的评价体系，才能够适应新的发展理念。对于企业来说，企业需要定时或不定时地开展内部控制评价工作。这样做的主要目的是为了能够让内部控制评价适用新环境的发展，并根据新环境的发展方向以及发展要求，实施改进策略，进而顺应时代的发展趋势。

3.以信息披露为目的的内部控制评价

在2002颁布的SOXAct 法案要求上市公司必须对内部控制进行评价并对外进行披露，这样做的目的主要是为了防止企业内部进行相关数据的造假，造成数据不真实。对外部投资人员来说存在一定的欺骗性。在2008年，我国也颁布了关于内部控制基本规范，进一步强制要求上市公司对外披露内部控制评价报告。这是近几年来，对于内部控制评价要求较高的规范性报告。

4.以内部控制审计为目的的内部控制评价

以内部控制审计为目的的内部控制评价，这种评价的主体，是以企业外部会计师或者其他专业人员作为主体，来对企业内部控制进行有效性评判，最终形成的外部评价体系。主要目的是为了检验企业对外披露的内部控制信息是否具有真实性与准确性。

综上所述，我国目前主流的内部控制评价体系主要分为两种：

（1） 以要素观为主体的基于内部控制本要素的运行有效性所设计的;

（2） 基于内部控制目标实现程度上所设计的。

这两种体系的主要区别，不仅在于财务和非财务指标体系设计的不同，更重要的差异在于评价的角度、目标不同。风险导向下的内部控制体系评价很明显属于后者，基于风险规避的目标，来建立内部控制体系，对风险管控的有效程度进行评价，能够满足企业应对市场风险的需求，降低风险导致的不良影响，为企业持续稳定发展奠定基础。

三、风险导向下企业内部控制体系建设存在的问题

1.风险控制薄弱

随着我国经济进入高质量的发展阶段，我国国内企业数量急剧增加，对于中小企业近几年的发展趋势来看，占據的数量和比例居多。这些企业的增多，对于我国国民经济的发展以及我国经济增速的贡献，起到了较大的助推作用。但是，在信息技术和经济制度开放化的影响之下，这些企业在发展中面临越来越多的风险。这些风险主要包括政治风险、市场风险、经营风险、财务风险等。政治风险、市场风险是不可控制的风险。经营风险和财务风险是可控的风险，企业可以通过内部控制评价体系来有效控制。对于企业发展来说，企业可以通过构建有效的内部风险控制机制，来应对发展过程中所存在的风险。但是也不能忽视，现阶段我国许多中小型企业还存在很大的提升空间。由于管理层缺乏必要的风险控制意识，在发展过程中，忽略了对于相关风险机制的构建，导致在风险真正来临时，缺乏先进的管理理念以及风险防控机制，无法及时规避和应对风险，给企业带来巨大的经济损失。对于小规模的企业来说，受限于资金无法周转，最终面临破产的风险。

2.内部控制环境不完善

企业的内部控制环境，蕴含了企业机构、治理机构、债权分配、人力资源政策等各方面的内容，这也是内部控制组成最重要的要素。就目前来说，我国企业内部控制环境的不完整性，主要表现在相关风险治理结构的规范性和系统性不足。治理结构是企业内部环境能够有效控制风险、获得持续性发展的基本保障。但是，由于我国大部分企业，在发展过程中缺乏对治理结构的重视，其主要的表现形式在于企业股权过于分散，股东大会形同虚设。在国内，有一半以上的企业总经理是由董事长兼任的，正是因为这些现象的存在，才会导致经营者在对企业进行相关项目发展时，缺乏自身约束及控制。实际上经营者只是企业中对相关项目做出决定的重要决策者，但是他并不是唯一的决策者。某一个人的意见并不是最终的意见，因而这就需要成立股东大会，主要目的是为了集中所有人的时间以及精力，对相关项目的实施以及规划做出全面的理解及认识。这样做出来的决定，具有一定的科学性和系统性，能够尽量减免风险的产生。例如，万科股权之争从2015年的12月开始，一直持续到2017年6月结束，这一次的股权之争，在我国上演了股市市场之中规模最大的一场公司并购与反并购的攻防战。对于万科公司来说，陷入并购风波的主要原因是由于万科公司内部的股权过于分散。因此，企业在内部控制过程中存在的主要问题在于内部控制环境不够完善。

3.缺乏风险导向分析机制

当前，我国许多企业都缺乏完善的风险导向分析机制，尤其是中小型企业。在发展过程中，更是缺乏完善的风险导向、风险机制，这就使得一些中小型企业在运行过程中，由于缺乏对于风险的预测和对风险的处理以及防范能力，一旦面临风险，容易出现企业倒闭的现象。在内部缺乏风险评估或者评估效果过低的情况之下，对于相关企业在开展新的项目时，容易存在盲目投资和盲目经营的现象，这种现象一旦出现，容易给企业在拓展业务过程中带来极大的风险。由于中小企业自身在经营和资金周转方面都存在一定的局限性，容易导致企业在出现内部风险时，无法及时对内部风险进行控制以及防范，为企业的发展带来巨大的经济损失。

完善的风险导向分析，可以为经营管理者提供相关的风险防控机制，帮助经营者了解，在经营过程中应该需要规避风险因素并为企业设定风险预控目标，企业经营者在进行相关项目投资或者经营时能够有所参考。如果一个企业缺乏风险导向分析体系，在发展过程中就会失去对相关项目的预测性，不能掌握企业发展真实的状况，对于相关项目了解不全面，在风险来临时，无法采用完善机制对相关的风险进行规避和应对。

四、风险导向下企业内部控制体系构建的改进对策

1.确定企业风险偏好及风险容忍度

企业在发展过程中，一定要根据自身实际情况，对风险偏好和风险容忍度进行评估，其主要目的是为了做到知己知彼，才能在风险来临之前，能够根据风险的类型选择适当的解决方式，对风险进行化解以及防控，将损失降到最低。

风险偏好直接决定着企业对于风险的防护态度，进而影响到企业对于相关风险策略的选择。所以说，风险偏好直接决定了一个企业风险管理工作是否能够顺利开展。同时，这也是评价企业风险管理水平的重要参考依据，划分企业是属于风险厌恶者、风险中性者还是风险爱好者，将影响企业在对相关风险进行管理时，是否能够正确对待风险。根据自身对于风险的偏好来制定风险防控计划。风险容忍度也叫风险忍耐度，是指在企业目标实现过程中对差异的可接受程度，在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。企业一定要结合企业风险变化来制定整体层面的风险容忍度，将风险容忍度分为不同的层级，由企业经营者将风险容忍度根据业务单位自上而下地进行分配，要求不同部门能够根据不同层级去防范。

2.强化内部审计主导的内部监督

内部审计作为内部控制的控制工具，可以对内部控制给出更加完整性和有效性的评价。内部审计的独立性是顺利完成相关审计工作的前提。内部审计机制设置的独立性是针对内部审计人员，作为考核其在进行工作时是否能够保持客观公正的职业态度的首要条件。对于企业发展来看，无论是发展规模还是资源，都具有一定的局限性。内部审计是由董事会所设定的审计委员会直接领导的内部审计职能岗位，主要是为了确保内部审计工作的独立性和权威性，要求企业经营者能够将内部审计工作独立开来。这样在进行内部审计工作时，才能够确保工作的顺利进行和客观公正，才有利于内部审计人员排除各种干扰因素，充分发挥出内部审计的职能作用。有效地发挥内部审计作用，对企业各部门或者业务不同层次的内部控制活动的监督以及管理工作，才能够促进企业的快速发展。根据国外的实践研究结果表明，内部审计外包能够有效地帮助公司实现治理层的战略性目标和管理层的经营目标。内部审计外包是指企业能够将企业的审计工作外包给会计事务所，由事务所的专业人员来对公司的具体情况制定相关的审计工作。

3.加强重点环节的风险事项识别

企业内部的事项识别是指，识别出企业在发展过程中所面临的以及潜在的各种事项风险。事项识别是进行风险管理的第一步。在这一环节中，一定要识别出企业在发展过程中可能存在的隐患，对企业发展造成负面影响的隐藏性事件，也能够进一步找出在企业发展过程中与实现目标所产生不利影响的风险因素。事项识别的主要工作切入点，是风险产生的主要原因。通过收集大量的信息，将其中影响和阻碍企业项目实施和目标实现的信息作为主要风险。通过各种相关的识别工具和方法，来找出影响最大或者一切能够影响企业项目实施和目标实现的影响因素。

事项识别主要依据相关的工具和方法，对影响企业发展的因素进行识别判定。如流向调查问卷、专家访谈法、流程分析法等，进一步辨别出企业发展中所存在的潜在性的风险事件，进而根据风险事件来建立详细的风险库。风险库的建立，是为了帮助企业能够针对不同的风险选择出相关的管理方法，进行防范及预测，能够让企业在遇见风險时减少影响，获得快速发展，减少不必要的资金损失。企业对业务流程的梳理，也可以使内部控制真正地渗入到企业的实际运营中，进一步激励相关的员工积极地参与到内部的控制中来，使控制工作能够具有完整性和准确性。

4.做好重大风险预警、评估和应对

当风险经过事项识别之后，要做的工作是对风险的层次以及风险的程度进行评估。风险评估主要是指对已经确认的存在性的风险进一步的分析，以及其风险度量进行确定，然后根据风险的程度和风险所涉及到的范围，制定下一步的管理措施。这样做的主要目的在于为了防止企业在发展过程中，由于对风险的不确定性给企业的发展带来经济损失。

风险应对是指在确定了决策的主体经营活动中存在的风险，并分析出风险概率及其风险影响程度的基础上，根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低或者分担风险等相应防范计划。

企业应对策略可以概括为风险规避、风险承担、风险降低和风险分担四种类型，对于这种四类风险的处理都有不同的部门来对它进行实施。针对处于不同风险矩阵的风险一定要做出相应的风险管理应对策略。对于具有较大影响性的重大风险，要采用风险组合策略来对其进行管理，从源头上控制以及降低风险可能对企业发展中所带来的影响。

五、结论

企业的健康发展不仅需要有资本、有人才、有策略，要保证稳定运行，还需要对企业内部控制制度进行完善。通过风险导向下的内部控制理论分析，得知我国很多企业内部控制制度并不完善，风险应对方面还存在一些问题。随着市场竞争的加剧，企业需要进一步加强内部管理，完善以风险为导向的内部控制改进，帮助企业积极应对风险，获得持续发展。

参考文献：

[1]李海峰.基于财务风险防控导向的房地产企业内部控制体系建设研究[J].企业改革与管理，2020（14）.

[2]郭艳荣.全面风险管理导向下生产型企业的内部控制研究[J].全国流通经济，2020（29）：35-37.

[3]邓雄建.基于预算管理的企业内部控制完善路径[J].中国乡镇企业会计，2017（05）：167-168.

[4]王建新.关于企业内部控制的经济合理性分析[J].中国战略新兴产业，2020（004）：223.

[5]周庭安.企业内部控制存在的问题及对策探讨——以DK公司为例[J].当代会计，2020（14）.

[6]高艳，王作宏.企业财务风险控制与防范探讨[J].辽宁经济， 2020（05）：76-77.