陳興龍

（福建未名信息技術股份有限公司，福建 福州 350003）

在市場競爭日益加劇的今天，內(nèi)部控制管理在企業(yè)整個管理體系中占據(jù)著重要地位，為企業(yè)提高經(jīng)營效率、降低經(jīng)營成本、杜絕徇私舞弊行為提供了強有力保障。而企業(yè)在經(jīng)營過程中也會面臨各種風險，企業(yè)為保障高質(zhì)量發(fā)展，就要對這些風險加以識別、評估、應對，將風險控制在可承受范圍內(nèi)。本文主要從風險管理角度出發(fā)，分析其內(nèi)部控制評價體系，對于企業(yè)來說，幫助其實現(xiàn)高質(zhì)量發(fā)展有著重要的指導意義。

一、企業(yè)風險管理與內(nèi)部控制評價之間關系的辨析

企業(yè)風險管理由董事會、股東、全體員工共同實施，是對營運期間產(chǎn)生的各種已存在的、潛在的經(jīng)營風險進行精準識別、分析，并且采用合適的處理方式和措施對其風險進行預防、管控、應對。一般企業(yè)進行風險管理的主要手段有：風險事件發(fā)生前，識別并預警可能發(fā)生的風險并加以防范；事件發(fā)生時，采取應對措施以降低損失；事件發(fā)生后，進行分析評價，提高風險管理效果。內(nèi)部控制評價的開展主體有很多，有內(nèi)部管理層人員、有內(nèi)部審計人員、有外部專業(yè)人士、有第三方機構等。其過程是評價主體采用各種方式對內(nèi)部控制有效性情況開展的活動過程，并出具報告，評價工作的開展包括準備、實施、報告等環(huán)節(jié)。

企業(yè)風險管理與內(nèi)部控制評價之間辨析主要從聯(lián)系和區(qū)別分析：聯(lián)系在于管控目標相同，都是為了提升企業(yè)經(jīng)營管理效率和質(zhì)量，實現(xiàn)企業(yè)戰(zhàn)略目標和經(jīng)營目標；管理內(nèi)容有交叉，例如，信息溝通、風險評估、監(jiān)督管控、環(huán)境管控、控制活動等都存在關聯(lián)，二者相輔相成。區(qū)別在于管理側重點有差異，風險管理側重于事前預測，內(nèi)部控制則更加重視事中和事后管控；管理方式不同，風險管理是應對措施、具體做法，而內(nèi)控評價是一套制度體系流程[1]。

二、風險管理視角下內(nèi)部控制評價體系的構建要素

（一）內(nèi)部控制評價目標與原則

基于風險管理角度制定企業(yè)內(nèi)部控制評價目標，可大致歸納為：一是確保企業(yè)行為在國家法律法規(guī)、行業(yè)規(guī)章制度等規(guī)范的約束中實施；二是加強對經(jīng)營風險點管控，提高內(nèi)部控制的執(zhí)行效果；三是重視員工風險管理意識的培養(yǎng)，鼓勵員工積極參與風險管理工作；四是樹立正確的風險管理理念，加強財務報表的風險管控；五是提升員工的風險應對能力，注重業(yè)務活動前的風險預測、識別。

基于風險管理基礎上的內(nèi)控評價，應該遵循的原則有：風險導向原則、成本效益原則、獨立性原則、客觀性原則。企業(yè)應以風險為導向，分層次確定評價體系，并保持評價標準和方式的一致性，做到公平公正公開。

（二）內(nèi)部控制評價范圍

企業(yè)內(nèi)部控制評價內(nèi)容較為豐富，而且可以根據(jù)不同的標準進行劃分，同時也產(chǎn)生不盡相同的評價范圍。這里要著重強調(diào)的是企業(yè)在進行內(nèi)部控制評價內(nèi)容劃分時，要結合行業(yè)特點和企業(yè)實際發(fā)展情況。企業(yè)內(nèi)部控制評價范圍劃分方式具體如下。

1.從業(yè)務層面和企業(yè)層面進行內(nèi)部控制評價。前者包含的評價內(nèi)容主要是微觀層面的，具體指企業(yè)業(yè)務經(jīng)營過程中產(chǎn)生的各種經(jīng)營或財務風險，評價內(nèi)容有項目管理、財務報表、采購環(huán)節(jié)、生產(chǎn)、營銷、研發(fā)新產(chǎn)品、項目外包、資金資產(chǎn)管理、傳遞信息、計算機平臺等。后者包含的評價主要是針對企業(yè)內(nèi)外部經(jīng)營環(huán)境，屬于宏觀角度內(nèi)容。例如，企業(yè)文化軟實力、組織架構設置、戰(zhàn)略發(fā)展目標的制定、人力資源管理水平等。

⒉根據(jù)內(nèi)部控制實施效果不同，可把評價范圍劃分為硬控制和軟控制兩個層面。其中，硬控制主要是指剛性的制度體系、流程、管理機制、組織架構、法律法規(guī)政策文件等，屬于比較正式的、可以進行量化的、客觀存在的；軟控制主要是指崗位職業(yè)道德約束、員工個人能力、領導期望值、員工與企業(yè)間互相信任程度、領導管理水平等，屬于非正式的、不可量化的、主觀性較強的。

⒊從總體管控和應用管控兩方面考量。前者是對企業(yè)整體業(yè)務活動的控制，包含組織架構管控、人力資源管理、內(nèi)部控制監(jiān)督管理、崗位職責分離、合規(guī)性管理等。后者主要是對業(yè)務經(jīng)營過程的管控，有實物管控、會計工具管控等。

⒋根據(jù)企業(yè)組織架構特征可分為治理層次、執(zhí)行層次和業(yè)務活動層次三方面。治理層面是三者中最重要的一環(huán)，而且治理架構的完善、優(yōu)化，對企業(yè)內(nèi)部控制功能的有效發(fā)揮有著一定的促進作用。

（三）內(nèi)部控制評價實施的主體、客體

內(nèi)控評價實施主體是內(nèi)部控制評價體系的重要組成部分。當前，企業(yè)內(nèi)外部環(huán)境發(fā)生了深刻變化，企業(yè)面臨的未知風險也越來越復雜。鑒于此，內(nèi)部控制評價的主體也在不斷進行改變，以順應企業(yè)發(fā)展環(huán)境的變化。內(nèi)部控制評價主體主要有第三方審計機構、外部審計人員、經(jīng)營管理層、內(nèi)部審計人員、各崗位員工等，不同主體都有各自的職能。例如，F(xiàn)企業(yè)內(nèi)部控制評價主體相關定位設置如下圖1所示。

圖1 F企業(yè)內(nèi)部控制評價各個主體定位示例

總而言之，任何企業(yè)在實施內(nèi)部控制評價體系過程中，僅僅依靠單獨存在的內(nèi)部或外部主體都無法實現(xiàn)有效的評價工作，要注重內(nèi)外部評價主體的融合，保障其互相監(jiān)督、互相幫助，協(xié)同發(fā)揮作用，唯有此，才能有效實現(xiàn)對各環(huán)節(jié)的監(jiān)督管理，實現(xiàn)對各業(yè)務環(huán)節(jié)的風險防范和控制。而且，由于企業(yè)內(nèi)外部環(huán)境的不斷變化，審計委員會的作用也愈加突出，所以，在實際企業(yè)經(jīng)營管理過程中，監(jiān)管部門和審計委員會都有一定的權利義務擔任主體執(zhí)行單位。而客體對象是指所有參與內(nèi)部控制工作的部門、相關人員及牽扯的具體流程。

（四）內(nèi)部控制評價實施的標準

企業(yè)內(nèi)部控制評價實施的標準是用來衡量實際經(jīng)營各環(huán)節(jié)執(zhí)行效果、制度體系健全程度與否的有效依據(jù)。在標準制定過程中，要結合相關法律法規(guī)、企業(yè)業(yè)務活動運營效果、財務報告真實可靠性。理論上講，企業(yè)內(nèi)控評價標準可分為一般標準和具體標準兩大類。前者可以被廣泛應用于評價所有企業(yè)內(nèi)部控制過程及結果優(yōu)劣，本身具有完整性、系統(tǒng)性、合理性、總括性。例如，判斷其業(yè)務流程是否完善、風險識別是否準確等。后者可從微觀角度進行的標準劃分，是對一般標準范圍的精細化、量化。具體可細化為目標設置、環(huán)境評價、識別風險、評估風險、應對風險、管控風險、建立溝通渠道、實施監(jiān)管8個基本要素，而且每個要素還可以進一步細化。例如，內(nèi)部環(huán)境還可以細化為崗位職責、經(jīng)營者能力、企業(yè)文化軟實力等。建立在風險管理基礎上的內(nèi)部控制評價標準，同樣也可以按照一般和具體劃分，在風險導向基礎上進行內(nèi)部控制評價，有事半功倍的效果[2]。

（五）內(nèi)控評價實施方法

企業(yè)一般可用的評價方式有抽樣問卷調(diào)查法、談話法、記敘法、流程圖、標桿法、實驗法、實地調(diào)研法等，在風險管理基礎上進行評價，同樣可以采用這些方法。

企業(yè)內(nèi)部控制評價方式從時間層次劃分，一般有定期或不定期兩種。定期評價一般是指外部注冊會計師、第三方機構等的評價，評價時間節(jié)點在項目周期初或者周期末；不定期評價一般都是指內(nèi)部審計部門、監(jiān)督管理委員會等開展的評價，沒有固定時間段。內(nèi)部控制評價方式從主體層次劃分，可分為單一或多元化主體。在風險管理基礎上進行企業(yè)內(nèi)部控制評價的方式，一般是基于內(nèi)部業(yè)務活動進行的自我評價，是企業(yè)經(jīng)營者為了實現(xiàn)利潤最大化，在企業(yè)內(nèi)部全面對制度體系、流程等環(huán)節(jié)基礎上實施的完善、優(yōu)化措施。

（六）評價報告

編制報告所用的基礎數(shù)據(jù)信息的真實性、可靠性、全面性至關重要。編寫報告工作人員要保持客觀公正的態(tài)度，不能摻雜個人主觀情感或感受，而且報告編制的詳略要有合理規(guī)劃，不可太過隨意。基于風險管理理念，內(nèi)部控制評價報告編制時，也需要注意業(yè)務流程中關鍵控制節(jié)點的風險成因、風險缺陷、風險防范等信息，盡可能提升評價報告的實用價值[3]。

（七）內(nèi)控評價操作流程

企業(yè)在實施內(nèi)部控制評價活動時，可從主體單位間的差異進行劃分，可大致劃分為內(nèi)部和外部兩種方式?；陲L險管理視角下的內(nèi)部控制評價體系流程設置如下：首先，要切實了解企業(yè)內(nèi)部控制制度體系、執(zhí)行現(xiàn)狀等，在此基礎上，對其進行整體分析；其次，選用符合性測試、健全性測試等合適的內(nèi)部控制評價方法來確定企業(yè)內(nèi)部控制體系的有效性、完整性、科學性、合理性，得到更加可靠、全面的基礎數(shù)據(jù)信息；最后，在這些真實、完整的數(shù)據(jù)基礎上進行分層分類，完成報告編制工作。

三、基于風險管理視角的企業(yè)內(nèi)部控制評價保障措施

在風險管理視角下進行內(nèi)部控制評價是一項全面性的系統(tǒng)工作，企業(yè)為了更好地展開內(nèi)部控制評價，還要有其他各方面保障機制，如組織管理保障、制度體系保障、技術保障和教育培訓保障。

（一）組織管理保障

企業(yè)內(nèi)部控制評價體系能否最大程度地體現(xiàn)其價值、效用，取決于企業(yè)內(nèi)部控制環(huán)境的營造，而組織結構的好壞直接影響著企業(yè)內(nèi)部控制環(huán)境，所以，企業(yè)為了擁有舒適的、優(yōu)秀的內(nèi)部控制環(huán)境，就要在企業(yè)內(nèi)部建立科學、合理的內(nèi)控組織架構，營造良好的內(nèi)控評價環(huán)境[4]。企業(yè)應當結合自身的戰(zhàn)略規(guī)劃、發(fā)展階段及業(yè)務特點，認真梳理業(yè)務活動流程，合理設置部門及崗位，并明確其職責范圍，形成科學有效的職責分工和制衡機制，規(guī)避和防范組織架構所引發(fā)的運營風險，為內(nèi)控評價有效開展提供組織保障。

（二）制度體系保障

制度是規(guī)范和引導員工日常工作的行為指南，其剛性約束是落實企業(yè)內(nèi)控評價體系的強有力后盾。制度體系文件，用以規(guī)范和激勵各崗位員工行為。一方面，企業(yè)應切實完善內(nèi)部控制制度體系，例如，員工行為規(guī)范、崗位任職要求、內(nèi)部控制流程、內(nèi)部控制監(jiān)督管理體系等制度文件；另一方面，制度體系保障體現(xiàn)在能夠精準進行各崗位工作的目標設定、職責分工、工作程序、工作方法、評價報告等內(nèi)容，為內(nèi)部控制評價自身提供制度保障，使評價工作開展有據(jù)可依，有章可循；另外，為了鼓勵員工認真履行崗位職責，落實內(nèi)部控制管理工作，還要建立合理的獎懲制度，并與員工個人、部門、企業(yè)整體績效相關聯(lián)，以調(diào)動工作積極性，激發(fā)員工個人潛能，配合內(nèi)部控制評價工作的落實。

（三）技術保障

隨著科技的進步，信息技術在企業(yè)經(jīng)營管理中有著不可替代的功效。同樣對于企業(yè)內(nèi)部控制體系的實施，也必然要加強對現(xiàn)代信息技術的應用，積極推進數(shù)字化建設。一方面，利用移動互聯(lián)網(wǎng)、人工智能、云平臺等先進信息技術，將企業(yè)管理制度、管理活動、控制措施等固化到信息系統(tǒng)中去，實現(xiàn)控制的程序化、自動化、常態(tài)化；另一方面，應提高信息系統(tǒng)的集成程度，避免形成信息孤島，實現(xiàn)相關信息在各職能部門、業(yè)務單位之間的實時共享，可以將業(yè)務分析數(shù)據(jù)、風險預警信息等各種數(shù)據(jù)信息快速反饋至相關部門、責任人。

（四）教育培訓保障

企業(yè)內(nèi)部控制評價工作有效落實僅僅依靠當前組織結構、制度體系、先進的技術手段并不足以發(fā)揮內(nèi)控評價的最佳效用，還需要有足夠的人才作為保障。企業(yè)要加強在職人員的繼續(xù)教育培訓力度，營造良好的培訓氛圍，讓更多員工深入理解內(nèi)部控制評價工作的重要性，熟悉企業(yè)各業(yè)務流程在風險管理和內(nèi)部控制中的重要節(jié)點，在提高職業(yè)技能的同時，提升內(nèi)控意識和風險管理水平。企業(yè)用人標準也要適當提高，不僅僅要考慮專業(yè)知識技能，還要考慮員工個人職業(yè)道德素養(yǎng)。在員工入職前對其進行專業(yè)的崗前培訓，確保其具備相應的上崗能力，規(guī)避和防范人為因素導致內(nèi)部控制系統(tǒng)失靈的風險，也為企業(yè)發(fā)展提供人才儲備[5]。

四、結語

傳統(tǒng)的內(nèi)部控制評價體系未能很好地融入風險管理，導致內(nèi)控人員的風險防范意識薄弱，不利于企業(yè)持續(xù)穩(wěn)定發(fā)展。本文基于風險管理視角，對內(nèi)部控制評價體系進行了深入探討，旨在使其既充分體現(xiàn)內(nèi)部控制管理職能，也使風險管理和內(nèi)部控制實現(xiàn)“1＋1＞2”的協(xié)同效應。風險管理和內(nèi)部控制的融合模式將會成為未來企業(yè)經(jīng)營的一個重要發(fā)展趨勢，希望本文的研究能對企業(yè)內(nèi)控評價實踐起到積極的促進作用。