风险导向型内部控制探析

胡华军

【摘要】文章分析了企业战略目标、风险管理、内部控制之间的价值关系，从理论上分析了风险导向的内部控制在公司战略地图中的价值路径，解析了企业风险的主要特征，从内部控制实践上分析了传统内部控制的局限性，介绍了风险导向型内部控制的思维模式，对比了风险导向型内部控制与传统内部控制的优缺点，陈述了风险导向型内部控制测试的一般工作流程，丰富了战略目标与内部控制之间的关系，展望了内部控制发展的未来趋势。

【关键词】战略目标；风险管理；内部控制

【中图分类号】F272.3；F275

企业发展有企业的战略目标与战略实施方案，企业建立组织架构并明确各部门的职能是为了保障战略目标的实现，最终获得企业利益最大化。从企业层面搭建公司的组织架构定义各部门的职能是在建立内部控制的整合框架，建立了框架基础之后才能对各业务循环系统实施内部控制。公司经营活动中面临的内外部风险会导致战略目标难以实现，为了防范风险，企业经营管理者必然采取相应的应对策略对风险进行控制，保障企业正常健康运营。建立内部控制体系对风险进行控制是风险应对策略的一个选项。企业面临的风险是不断变化的，依据变化的风险，企业内控部门应该适时调整内部控制策略，将风险控制在可控范围之内以保障战略目标的实现。

一、内部控制、风险管理、战略目标之间的价值关系

内部控制从企业价值链的角度来看只是一种辅助活动，并不直接面对客户创造价值，内部控制通过强化控制活动防范风险降低企业的风险损失成本，优化流程提高业务活动的效率最终保障战略目标的实现来创造价值。企业战略地图以平衡计分卡为基础，基于企业愿景与战略，将战略目标及其因果关系、价值创造路径以图示的形式直观、明确、清晰地呈现出来，系统阐述了企业组织如何创造价值，但是平衡计分卡并没有列明内部控制、风险管理与战略目标价值创造的因果关系。内部控制的价值在于防范风险，这种风险来自于战略目标的确定、战略规划实施、财务层面、客户层面、内部业务流程层面、学习与成长层面这些业务活动之中。内部控制的价值是保障战略地图列明的企业组织价值得以实现，防止因为风险的影响让价值创造脱离平衡计分卡这个轨道，同时促进企业组织价值实现效率的提升。内部控制的价值独立于平衡计分卡的价值关系导向图，使各部门各司其职，让企业的经营价值得以顺利实现，服务于公司的战略目标与愿景。风险管理的价值在于确保业务活动内外部真实可靠的信息沟通，遵守有关的法律法规，企业的规章制度能够得到贯彻执行，确保企业建立针对各大风险发生后的处理计划。

内部控制与风险管理两者都是服务于企业的战略目标。风险管理本质也是一种内部控制，它是内部控制的一种延伸，风险管理所涉及的宽度比内部控制要宽。风险管理是内部控制的一部分，制定风险管理策略时运用到的风险承担、风险对冲、风险规避、风险补偿、风险转移、风险控制、风险转换策略又包含了内部控制，风险管理与内部控制你中有我，我中有你，两者相辅相成。内部控制、风险管理、战略目标价值导向如图1所示。

二、企业风险的主要特征

企业风险是指未来的不确定性对企业实现其经营目标的影响。未来的不确定性说明企业也是无法对风险实施掌控，但是它会直接影响经营目标能否实现。企业风险具有如下特征：

（一）风险具有多变性特点

企业风险无时不在，随着时间与经营环境的变化，企业在初创期、成长期、成熟期、衰退期所面临的风险是不断变化的。风险的动态变化决定了内部控制也要动态适应风险的变化。内部控制只有根据风险的动态变化不断调整才能有效的管控风险，这是风险导向型内部控制产生的根源。

（二）风险具有来源多样性特点

企业风险无处不在，来自于企业相关的各种业务以及企业所处的环境之中。企业风险有可能来自企业内部、企业外部，也有可能来自战略、市场、财务、运营以及法律等不同的业务板块。

（三）风险与经营目标具有相关性

风险之所以引起公司治理层的高度重视，是因为风险的发生会直接导致经营目标难以实现，最终会导致公司的战略目标不能实现，甚至于会引起企业的破产，因此不仅企业关注风险，整个社會对风险事件的发生也是高度关注。

（四）风险是可以控制和转换的

虽然风险会对企业的经营目标产生不利的影响，但是企业管理者可以采取风险应对策略对风险进行控制并减少损失。风险只要进行了有效的管理，就可以避免企业经营管理严重事件的发生。

（五）风险的重要程度具有层次性

企业所面临的风险是可以依据重要程度进行层次划分的，并且根据重要程度采取不同的风险应对策略。风险的重要程度不一样，管理者可调用不同层级的资源来应对风险。

三、传统内部控制的局限性

传统的内部控制有其自身局限性，内部控制的对象主要是企业内部的、可控的、非决策性的风险，对于企业外部的、不可控的、决策性的风险基本是无能为力。内部控制的对象是内部的人、财、物、制度、流程等，只能强化对企业内部管理要素的控制防范风险，对于超出企业控制范围外的业务无法形成有效控制。

传统内部控制侧重于制度之间的相互牵制，业务过程控制，不相容职责相分离以及审批授权控制，实施的是各业务模块全覆盖的“网状结构”。客观的说，这种网状结构从内控体系健全性的角度来说是没什么问题的，但是这种内控是为了控制而控制，往往不具有灵活性，没有依据企业风险的变化灵活调整内部控制策略，给人一种刻板的印象，甚至于将简单的业务活动复杂化，反而降低业务活动的效率。企业管理实践中，内控人员经常听到管理人员抱怨公司的内部控制“一控就死，不控就乱”。内部控制过于严苛死板导致业务人员对于业务活动都是看一步走一步，进而裹足不前使业务活动丧失活力，最终因为内部控制导致业务活动失去活力。内部控制过于宽松又会导致业务风险增加，最终导致企业面临生死存亡的问题。按照内控标准来对照还会发现，风险频发的业务内部控制过于宽松，风险概率低的业务却内部控制过于严苛，内部控制过度浪费公司有限的资源，没有依据风险的变化及时调整策略。这些问题产生的根源就在于内控人员没有以风险为导向进行内部控制，内部控制与风险管理不匹配。公司的内部控制设计严重滞后不能适用动态变化的风险，反而对现有业务活动产生了不利影响。内控不仅不能帮企业优化流程提高效率实现价值增值，反而会成为企业的一个管理负担。

四、风险导向型内部控制

风险导向型内部控制的适用范围。企业从成立之日起就在进行内部控制体系建设，会建立股东大会、董事会、监事会的公司治理结构，这是属于企业层面的内部控制，已经形成了相对稳定的结构，一般不会频繁的进行调整。具体业务经营层面的内部控制，要根据风险的变化动态管理，识别风险防控的重点要测试内部控制设计合理性与运行有效性。内控人员首先要明确公司的战略目标与年度经营计划，对企业经营计划实施过程中所面临的风险进行识别与分析，然后制定年度的内部控制测试计划。

企业内控部门制定年度的内部控制测试计划要坚持全面性、重要性、持续性、适度性、成本效益性原则。内控设计测试计划编制在坚持全面性原则的基础之上还要坚持重要性原则，依据业务的重要程度，风险发生的概率与频率，将重要的业务循环列入测试计划进行重点测试，这样能够将内控部门有限的人力、物力、财力资源用在核心的风险防范上。内部设计测试工作计划要根据公司经营风险的变化进行调整，以风险为导向，保持内部控制强化的持续性，对于重要风险领域要持续强化内部控制测试。

内部控制测试计划要坚持适度原则，内部控制只能合理的管理风险不能消灭风险，将风险控制在一个合理的范围之内，内控测试不可以过于严苛也不可以过于宽松。内部控制测试计划要坚持成本效益原则，要用最少的人财物的投入将主要的风险都控制住，如果实施内控的过程中，公司的内控成本在增加，但是主要业务风险却没有防控住，那说明内部控制没有抓住重点或者在次要的风险上投入了大量的成本形成了过度内控。

风险导向型内部控制除了在制定内控测试计划时要考虑风险防控的侧重点以外，在具体面对不同来源的风险时也需要采用不同的内部控制应对策略。对于风险的动态变化，内控部门及时调整内部控制设计来适应新的风险变化。对于来自企业外部的风险，内审部门通过加强内部控制的防范能力应对风险。来自企业外部风险内部控制是无法直接控制的，外部风险会演变成内部风险对企业造成不利影响，内部控制只能通过内控措施的加强提升企业内部的防控能力，将外部风险降低至可以接受的范围之内。对于来自不同业务模块的风险，内审部门设计不同的内控措施予以应对。对于重要程度不一样的风险，内控部门设计不同的内部控制级别予以应对。风险导向型内部控制对内控人员的职业胜任能力也提出了新的要求，风险导向型内部控制要求内控人员要与业务活动进行业控融合，只有业控融合才能增加内控人员对业务活动的了解，将控制活动与业务活动有效结合。

传统的内部控制以测试企业组织的内部控制为起点，从右往左边开展内控工作。风险导向的内部控制以组织的战略目标为起点，围绕组织目标识别影响目标实现的风险，再测试重点业务的内部控制情况，锁定内部控制的薄弱环节并重新进行内部控制设计，从而更好的管控风险，促进战略目标的实现。风险导向型内部控制与传统的内部控制比较具有如下优势：（1）风险导向型内部审计与战略目标的联系更加紧密，目的性更强。方便内控部门整合资源，集中人、财、物的资源强化对主要风险的控制，更加突显对年度经营计划以及战略目标实现的保障作用。（2）风险导向型内部审计随着风险的变化适时对内部控制系统进行评估，发现内部控制存在的缺陷，及时采取应对措施进行处理，满足了风险动态变化的特点。（3）风险导向型内部控制根据风险防控的重要程度，随时调整内部控制的重点，实现了内部控制的松紧有度。传统内部控制与风险导向型的内部控制的思维模式如图2所示。

五、风险导向型内部控制测试的一般工作流程

内控人员进行内控测试主要测试设计合理性与运行有效性，首先需要从内部控制标准的角度明确以下事项：（1）需要明确主要的业务活动是什么。（2）需要进行内部控制的具体环节是什么。（3）明确该环节的风险点是什么。（4）进行风险控制的目标是什么。（5）如果是财务相关内部控制测试，需要列明受到影响的财务项目是什么。（6）如果是财务相关内部控制测试要明确认定受影响的类型。（7）清晰界定内部控制关键管控措施或者控制点。（8）划分风险等级。其次需要从实际执行的角度来测试如下情况：（1）要核查被测试单位现有的内控措施有哪些。（2）了解被测试单位具体都有哪些制度、流程、表单。（3）了解被测试单位控制活动发生的频率。（4）了解被测试单位控制活动执行人员的胜任能力。内部控制设计的合理性通常通过穿行测试的方式进行测试，调阅业务活动实际运行中的制度、流程、表单样本以及其他记录资料，核查实际业务是否按照制度的要求执行落地，将内部控制实际执行情况与制度标准进行对比。穿行测试的目的主要是测试内部控制設计的有效性，可以由被审计部门主动提供业务循环的样本。通过内部控制标准与实际的对比，内控人员就能够总结出内部控制设计的健全性与合理性以及内部控制执行的有效性。对于内控设计缺陷，内控人员要及时调研业务活动调整内控应对措施，对于内部控制执行缺陷，内控人员要及时与职能部门沟通要求业务部门整改，同时将设计缺陷与执行缺陷向上级进行汇报。内控测试的一般工作流程如图3所示。

六、内部控制缺陷的整改

内控部门通过内控测试发现的内控设计缺陷，内控部门需要同业务部门进行充分双向沟通并交换意见，结合风险控制目标的要求重新设计内控手册。内控设计完毕之后要进行验证经过试运行之后才能正式生效，防止内控设计不合理的自身风险。

七、内部控制实现方式的变革

随着信息技术的发展，未来企业管理的发展方向都是用信息化、数字化的方式进行业务活动的管理，这对内部控制管理提出了新要求。传统的内部控制实现方式都是通过制度、流程、表单等工具去完成，未来的内部控制会通过信息化技术去实现内部控制体系的构建，会将内控要求嵌入到OA系统或者ERP系统，这样会降低企业内控的成本同时也会提高内控管理的效率。内控部门的工作重点将会放置到ERP系统的内控测试上，重点测试ERP系统内控设计的合理性与有效性，更进一步实行智慧内控也是可以探索的。依据业务活动所呈现出来的风险，能够通过ERP系统自动进行风险分析，生成内部控制实施应对方案，实现风险的自动管控与防御。内部控制系统可以依据风险控制系统传递的信息，进行内部控制策略自动更新，对风险进行适时监控。

主要参考文献：

[1]候其锋.企业内部控制基本规范操作指南[M].北京：人民邮电出版社，2016年5月.

[2]许国才.企业内部控制流程手册[M].北京：人民邮电出版社，2012年6月.

[3]付淑威.风险导向的内部审计[M]. 北京：人民邮电出版社，2022年10月.

责编：险峰