基于风险管理视角的企业内部控制评价体系研究

陈兴龙

（福建未名信息技术股份有限公司，福建 福州 350003）

在市场竞争日益加剧的今天，内部控制管理在企业整个管理体系中占据着重要地位，为企业提高经营效率、降低经营成本、杜绝徇私舞弊行为提供了强有力保障。而企业在经营过程中也会面临各种风险，企业为保障高质量发展，就要对这些风险加以识别、评估、应对，将风险控制在可承受范围内。本文主要从风险管理角度出发，分析其内部控制评价体系，对于企业来说，帮助其实现高质量发展有着重要的指导意义。

一、企业风险管理与内部控制评价之间关系的辨析

企业风险管理由董事会、股东、全体员工共同实施，是对营运期间产生的各种已存在的、潜在的经营风险进行精准识别、分析，并且采用合适的处理方式和措施对其风险进行预防、管控、应对。一般企业进行风险管理的主要手段有：风险事件发生前，识别并预警可能发生的风险并加以防范；事件发生时，采取应对措施以降低损失；事件发生后，进行分析评价，提高风险管理效果。内部控制评价的开展主体有很多，有内部管理层人员、有内部审计人员、有外部专业人士、有第三方机构等。其过程是评价主体采用各种方式对内部控制有效性情况开展的活动过程，并出具报告，评价工作的开展包括准备、实施、报告等环节。

企业风险管理与内部控制评价之间辨析主要从联系和区别分析：联系在于管控目标相同，都是为了提升企业经营管理效率和质量，实现企业战略目标和经营目标；管理内容有交叉，例如，信息沟通、风险评估、监督管控、环境管控、控制活动等都存在关联，二者相辅相成。区别在于管理侧重点有差异，风险管理侧重于事前预测，内部控制则更加重视事中和事后管控；管理方式不同，风险管理是应对措施、具体做法，而内控评价是一套制度体系流程[1]。

二、风险管理视角下内部控制评价体系的构建要素

（一）内部控制评价目标与原则

基于风险管理角度制定企业内部控制评价目标，可大致归纳为：一是确保企业行为在国家法律法规、行业规章制度等规范的约束中实施；二是加强对经营风险点管控，提高内部控制的执行效果；三是重视员工风险管理意识的培养，鼓励员工积极参与风险管理工作；四是树立正确的风险管理理念，加强财务报表的风险管控；五是提升员工的风险应对能力，注重业务活动前的风险预测、识别。

基于风险管理基础上的内控评价，应该遵循的原则有：风险导向原则、成本效益原则、独立性原则、客观性原则。企业应以风险为导向，分层次确定评价体系，并保持评价标准和方式的一致性，做到公平公正公开。

（二）内部控制评价范围

企业内部控制评价内容较为丰富，而且可以根据不同的标准进行划分，同时也产生不尽相同的评价范围。这里要着重强调的是企业在进行内部控制评价内容划分时，要结合行业特点和企业实际发展情况。企业内部控制评价范围划分方式具体如下。

1.从业务层面和企业层面进行内部控制评价。前者包含的评价内容主要是微观层面的，具体指企业业务经营过程中产生的各种经营或财务风险，评价内容有项目管理、财务报表、采购环节、生产、营销、研发新产品、项目外包、资金资产管理、传递信息、计算机平台等。后者包含的评价主要是针对企业内外部经营环境，属于宏观角度内容。例如，企业文化软实力、组织架构设置、战略发展目标的制定、人力资源管理水平等。

⒉根据内部控制实施效果不同，可把评价范围划分为硬控制和软控制两个层面。其中，硬控制主要是指刚性的制度体系、流程、管理机制、组织架构、法律法规政策文件等，属于比较正式的、可以进行量化的、客观存在的；软控制主要是指岗位职业道德约束、员工个人能力、领导期望值、员工与企业间互相信任程度、领导管理水平等，属于非正式的、不可量化的、主观性较强的。

⒊从总体管控和应用管控两方面考量。前者是对企业整体业务活动的控制，包含组织架构管控、人力资源管理、内部控制监督管理、岗位职责分离、合规性管理等。后者主要是对业务经营过程的管控，有实物管控、会计工具管控等。

⒋根据企业组织架构特征可分为治理层次、执行层次和业务活动层次三方面。治理层面是三者中最重要的一环，而且治理架构的完善、优化，对企业内部控制功能的有效发挥有着一定的促进作用。

（三）内部控制评价实施的主体、客体

内控评价实施主体是内部控制评价体系的重要组成部分。当前，企业内外部环境发生了深刻变化，企业面临的未知风险也越来越复杂。鉴于此，内部控制评价的主体也在不断进行改变，以顺应企业发展环境的变化。内部控制评价主体主要有第三方审计机构、外部审计人员、经营管理层、内部审计人员、各岗位员工等，不同主体都有各自的职能。例如，F企业内部控制评价主体相关定位设置如下图1所示。

图1 F企业内部控制评价各个主体定位示例

总而言之，任何企业在实施内部控制评价体系过程中，仅仅依靠单独存在的内部或外部主体都无法实现有效的评价工作，要注重内外部评价主体的融合，保障其互相监督、互相帮助，协同发挥作用，唯有此，才能有效实现对各环节的监督管理，实现对各业务环节的风险防范和控制。而且，由于企业内外部环境的不断变化，审计委员会的作用也愈加突出，所以，在实际企业经营管理过程中，监管部门和审计委员会都有一定的权利义务担任主体执行单位。而客体对象是指所有参与内部控制工作的部门、相关人员及牵扯的具体流程。

（四）内部控制评价实施的标准

企业内部控制评价实施的标准是用来衡量实际经营各环节执行效果、制度体系健全程度与否的有效依据。在标准制定过程中，要结合相关法律法规、企业业务活动运营效果、财务报告真实可靠性。理论上讲，企业内控评价标准可分为一般标准和具体标准两大类。前者可以被广泛应用于评价所有企业内部控制过程及结果优劣，本身具有完整性、系统性、合理性、总括性。例如，判断其业务流程是否完善、风险识别是否准确等。后者可从微观角度进行的标准划分，是对一般标准范围的精细化、量化。具体可细化为目标设置、环境评价、识别风险、评估风险、应对风险、管控风险、建立沟通渠道、实施监管8个基本要素，而且每个要素还可以进一步细化。例如，内部环境还可以细化为岗位职责、经营者能力、企业文化软实力等。建立在风险管理基础上的内部控制评价标准，同样也可以按照一般和具体划分，在风险导向基础上进行内部控制评价，有事半功倍的效果[2]。

（五）内控评价实施方法

企业一般可用的评价方式有抽样问卷调查法、谈话法、记叙法、流程图、标杆法、实验法、实地调研法等，在风险管理基础上进行评价，同样可以采用这些方法。

企业内部控制评价方式从时间层次划分，一般有定期或不定期两种。定期评价一般是指外部注册会计师、第三方机构等的评价，评价时间节点在项目周期初或者周期末；不定期评价一般都是指内部审计部门、监督管理委员会等开展的评价，没有固定时间段。内部控制评价方式从主体层次划分，可分为单一或多元化主体。在风险管理基础上进行企业内部控制评价的方式，一般是基于内部业务活动进行的自我评价，是企业经营者为了实现利润最大化，在企业内部全面对制度体系、流程等环节基础上实施的完善、优化措施。

（六）评价报告

编制报告所用的基础数据信息的真实性、可靠性、全面性至关重要。编写报告工作人员要保持客观公正的态度，不能掺杂个人主观情感或感受，而且报告编制的详略要有合理规划，不可太过随意。基于风险管理理念，内部控制评价报告编制时，也需要注意业务流程中关键控制节点的风险成因、风险缺陷、风险防范等信息，尽可能提升评价报告的实用价值[3]。

（七）内控评价操作流程

企业在实施内部控制评价活动时，可从主体单位间的差异进行划分，可大致划分为内部和外部两种方式。基于风险管理视角下的内部控制评价体系流程设置如下：首先，要切实了解企业内部控制制度体系、执行现状等，在此基础上，对其进行整体分析；其次，选用符合性测试、健全性测试等合适的内部控制评价方法来确定企业内部控制体系的有效性、完整性、科学性、合理性，得到更加可靠、全面的基础数据信息；最后，在这些真实、完整的数据基础上进行分层分类，完成报告编制工作。

三、基于风险管理视角的企业内部控制评价保障措施

在风险管理视角下进行内部控制评价是一项全面性的系统工作，企业为了更好地展开内部控制评价，还要有其他各方面保障机制，如组织管理保障、制度体系保障、技术保障和教育培训保障。

（一）组织管理保障

企业内部控制评价体系能否最大程度地体现其价值、效用，取决于企业内部控制环境的营造，而组织结构的好坏直接影响着企业内部控制环境，所以，企业为了拥有舒适的、优秀的内部控制环境，就要在企业内部建立科学、合理的内控组织架构，营造良好的内控评价环境[4]。企业应当结合自身的战略规划、发展阶段及业务特点，认真梳理业务活动流程，合理设置部门及岗位，并明确其职责范围，形成科学有效的职责分工和制衡机制，规避和防范组织架构所引发的运营风险，为内控评价有效开展提供组织保障。

（二）制度体系保障

制度是规范和引导员工日常工作的行为指南，其刚性约束是落实企业内控评价体系的强有力后盾。制度体系文件，用以规范和激励各岗位员工行为。一方面，企业应切实完善内部控制制度体系，例如，员工行为规范、岗位任职要求、内部控制流程、内部控制监督管理体系等制度文件；另一方面，制度体系保障体现在能够精准进行各岗位工作的目标设定、职责分工、工作程序、工作方法、评价报告等内容，为内部控制评价自身提供制度保障，使评价工作开展有据可依，有章可循；另外，为了鼓励员工认真履行岗位职责，落实内部控制管理工作，还要建立合理的奖惩制度，并与员工个人、部门、企业整体绩效相关联，以调动工作积极性，激发员工个人潜能，配合内部控制评价工作的落实。

（三）技术保障

随着科技的进步，信息技术在企业经营管理中有着不可替代的功效。同样对于企业内部控制体系的实施，也必然要加强对现代信息技术的应用，积极推进数字化建设。一方面，利用移动互联网、人工智能、云平台等先进信息技术，将企业管理制度、管理活动、控制措施等固化到信息系统中去，实现控制的程序化、自动化、常态化；另一方面，应提高信息系统的集成程度，避免形成信息孤岛，实现相关信息在各职能部门、业务单位之间的实时共享，可以将业务分析数据、风险预警信息等各种数据信息快速反馈至相关部门、责任人。

（四）教育培训保障

企业内部控制评价工作有效落实仅仅依靠当前组织结构、制度体系、先进的技术手段并不足以发挥内控评价的最佳效用，还需要有足够的人才作为保障。企业要加强在职人员的继续教育培训力度，营造良好的培训氛围，让更多员工深入理解内部控制评价工作的重要性，熟悉企业各业务流程在风险管理和内部控制中的重要节点，在提高职业技能的同时，提升内控意识和风险管理水平。企业用人标准也要适当提高，不仅仅要考虑专业知识技能，还要考虑员工个人职业道德素养。在员工入职前对其进行专业的岗前培训，确保其具备相应的上岗能力，规避和防范人为因素导致内部控制系统失灵的风险，也为企业发展提供人才储备[5]。

四、结语

传统的内部控制评价体系未能很好地融入风险管理，导致内控人员的风险防范意识薄弱，不利于企业持续稳定发展。本文基于风险管理视角，对内部控制评价体系进行了深入探讨，旨在使其既充分体现内部控制管理职能，也使风险管理和内部控制实现“1＋1＞2”的协同效应。风险管理和内部控制的融合模式将会成为未来企业经营的一个重要发展趋势，希望本文的研究能对企业内控评价实践起到积极的促进作用。