简析风险控制测试对于企业管理的指导意义

高鹏

改革开放四十余载，我国打开国门，开拓视野，兼容并包。在经济的发展过程中的对各类新思维、新的视角不断理解和吸收，再加以总结和创新，形成了与中国特色社会主义初级阶段的国情相适应的经济理论体系。2008年7月，我国颁布了《企业内部控制基本规范》。2010年4月26日，财政部等5部委联合发布《企业内部控制配套指引》，这标志着适应我国企业内部控制规范体系基本建成。近年来，国内企业，特别是大中型国有企业为了落实对风险控制的积极评价和有效管理，在聘请会计事务所对企业财务报告进行审计的同时，也进行了内部控制审计。内控审计中，进行的相关风控测试的结果会在内控审计报告中加以披露。但我们大多数企业对于风险控制測试的结果不重视或者无从下手，不是无法对症下药就是基本无视，究其原因，还是企业对于控制测试的原理和测试结果对于企业管理的重要作用和积极意义不甚了了。笔者认为，正确认识内控测试的原理和结果，能够揭示企业运营中对各项资源的掌控和使用效率，从而描绘运营流程的风险分布突出重大风险点和管理障碍，对于加强企业的有效管理意义重大。

内部控制审计的测试分为控制测试和穿行测试，控制测试是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。穿行测试是指追踪业务在财务报告信息系统中的处理过程。控制测试目的是证明过程中控制点的执行有效，而穿行测试测试目的是了解整个过程识别控制点。这些测试的最终揭示的是企业内部控制设计和执行两个方面有效性的内容。

控制测试的流程包括1、询问，注册会计师可以向被审计单位适当员工询问，获取内部控制运行情况的相关信息;2、观察，观察是测试不留下书面记录的控制运行情况的有效方法;3、检查和阅读，对运行情况留下书面记录的控制，我们主要执行检查程序;4、重新执行，只有在上述方法不足以获得必要和充分的审计证据时，才使用重新执行程序。

穿行测试是追踪业务在财务报告信息系统中的处理过程。1、先将公司规范某项核心经济业务行为的制度按业务流程的方式描述出来;2、抽取某几笔业务样本;3、要求受监察的单位提供所有所抽取业务样本的运行记录;4、按照流程环节，描述样本业务的实际运行情况;5、对照流程环节与要求，比较并记录没有做到位的地方。我们要考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行，这就是穿行测试。

上述测试的结果注册会计师会在审计报告中加以披露，其结论主要是从内部控制设计和运行的有效性加以阐述，并对风险点进行相关描述。

那么如何理解这些测试的结果，能不能更深层次地挖掘，最大限度地利用解析的结果加以利用呢。控制测试的结果反映的是预防重大错报层面控制的有效，就是说我们的控制是存在的，根据披露的风险点，我们还有不完善的风险障碍，没有在管理中很好地体现制衡原则，当然，我们还要知道更深层次的原因。首先从企业整体战略的角度，看我们的风险控制是不是贯彻了当前经营战略的指导思想，是不是能够切实保障企业的中长期战略落地施行。时移世易变化宜以，随着企业环境的不断变迁和每个阶段企业战略的方向性调整，风险控制关注的要点和控制方式也是不断转换的。没有这种转换的观念就谈不上与时俱进，固化的管理思维是不能顺应企业发展的形势的需要的。其次，这些披露的风险障碍也映了企业资源调配管控的不合理，风险控制的目的是保证对人力、物力等各项企业资源管理的优化，风险障碍就意味着你设计的不合理，执行的不到位，关注的不是地方。所以在完善风控设计的同时，全面衡量控制执行的深度和力度，合理选取需要关注的风控节点就是测试结果带给我们的第二层启示。穿行测试是从业务流程的角度对风险控制的设计和存在加以印证。其测试结果在审计报告中同样会加以披露。虽然选取的样本并不多，但穿行测试反映了我们的每项核心业务流程是否执行了风险控制，每个参与业务的职能部门在执行中是秉承了怎样的管理意识和工作态度。更能够体现人的因素在风险控制管理中起到的作用。风险控制是需要全员参与的企业活动，其意识和素养也是需要长期地培育和训练过程中得到提炼和升华，进而发展成企业文化的重要组成部分。

穿行测试的结果给我们有哪些有意义的启示呢？首先必须明确，风险控制也是需要消耗企业资源的管理行为，对每个核心业务流程初始设计的长度和管理幅度，我们需要关注风险的力度和广度，都需要消耗企业有限的管理资源。为了保证风控有效的同时更好地体现企业成本和效益原则，就需要我们合理地布局企业管理资源，在风控管理的从申报到执行的各个环节尽可能地简化手续，对于非核心的冗余管理节点，可以替代或者简化。其次，审计报告中披露的管理有效也要辩证地加以考虑，由于注册会计师在抽取样本的数量和广度上存在的局限性，注册会计师所说的管理有效并不能理解为管理完备。对于恶意串通、弄虚作假、内外勾结为出发点的恶意工作流，是不是能够依然控制有效是无法得到切实论证的。

其实无论对于控制测试还是穿行测试的结果，对于恶意工作流能否控制有效都很难进行论证。这就需要对测试结果进行进一步的引申，由于恶意的工作流基本可以肯定一定会造成企业的损失进而形成重大错报，企业更应对此加以关注。那么如何解决这个问题呢？笔者一家之言，思虑有限，也仅能提供一些思路请读者加以考虑，在正常的业务工作流之外，恶意工作流往往是不可控的，你不知道它什么时候会出现，会以怎样的形式出现，涉及问题的控制节点究竟有哪些，所以说是不可控的。既然都是要面对和解决的管理问题，我们可以把思维开拓一点，把管理位置前移，从事后管理向事前管理转化。既然不可控，我们就可以结合工作的实际流程和社会公知的重大管理事件，定期地、不同层面和宽度地编制恶意工作流，在参与管理人员不可预知的情况下，组织管理层对恶意工作流的执行过程进行全面记录和关注，找出风险点和控制障碍，不断加以改进。最好的控制管理永远是从实践中淬炼出来的，矛盾，最厉害的矛才能练出最好的盾！

最后总结一下，风险控制测试对于企业管理所有的指导意义，都离不开企业管理者对于风险控制的全员参与、动态管理的意识和认知。离开这一点，所有意义都是无本之木无水之源。而运用企业有限的管理资源对风险控制测试的结果加以论证和引申，其目的就是在实践中淬炼出最符合企业实际情况的最经济和优化的风控模式。最贵的不一定是最好的，但最合适你的一定就是最好的！