費韞婷 汪子林 韋祖彬

[摘要]目前實踐中企業(yè)風險治理的常規(guī)做法是由獨立的部門（風險管理部門或內(nèi)部審計部門）實施定期的風險評估與處置工作。但此種風險治理模式在面對不斷變化的經(jīng)營環(huán)境與內(nèi)部管理模式時，通常具有一定的時滯性，無法對經(jīng)營風險做到適時的、動態(tài)的、持續(xù)性的監(jiān)控與評估，難以做到對風險的及時預警、反饋與處置。本文從推行規(guī)范化的內(nèi)部控制自我評估入手，對內(nèi)部審計部門如何發(fā)動公司全體員工關注內(nèi)部控制與風險治理，以風險管控為目標，實施靈活、全面、適時的內(nèi)部控制自我評估，從而實現(xiàn)經(jīng)營風險的適時預警、反饋與處置等問題進行了探討。

[關鍵詞]風險治理;內(nèi)部控制;自我評估

一、內(nèi)部控制自我評估的核心理念與主要特征

按照COSO委員會1992年發(fā)布的《內(nèi)部控制整體框架》和2004年發(fā)布的《企業(yè)風險管理整合框架》精神， 內(nèi)部審計不再是內(nèi)部控制和風險管理的唯一責任主體，企業(yè)的所有成員都對內(nèi)部控制負有相應的責任。內(nèi)部控制自我評估充分體現(xiàn)了這一精神，其核心理念是由管理層或業(yè)務人員直接參與審查和評估內(nèi)部控制的效果，是一種包括自我評估調(diào)查和協(xié)調(diào)研究的方法。它強調(diào)企業(yè)管理層和一線員工的參與，并通過專題會議、問卷調(diào)查、管理人員分析、跨部門的協(xié)調(diào)聯(lián)席會議等多種手段，對經(jīng)營管理過程進行持續(xù)的、日?；脑u價，提出即時解決方案，以加強對經(jīng)營風險的治理。

內(nèi)部控制自我評估具有六個基本特征：關注管理的過程和控制的成效;由管理部門和職員共同進行;用結(jié)構(gòu)化的方法開展自我評估;具有持續(xù)性和動態(tài)性;借助并發(fā)揮集體的知識和見解;靈活的實施方法。

二、內(nèi)部控制自我評估的優(yōu)勢

內(nèi)部控制自我評估與傳統(tǒng)內(nèi)部控制評價方法相比，具有明顯的優(yōu)勢。1、更加貼近實際和靈活，從而具有更高的效率和效果。2、更適宜于對“軟控制”要素的評價。3、具有在公司內(nèi)部進行知識轉(zhuǎn)移的功能，有利于進一步提升公司整體控制環(huán)境。4、評估結(jié)論更容易得到認同，糾正和整改措施更容易得到及時有效的執(zhí)行。

三、基于風險治理的內(nèi)部控制自我評估的主要方法

作為風險管理工作的重點內(nèi)容，內(nèi)部審計部門推行的內(nèi)部控制自我評估主要以風險治理為基礎，從明確單位（部門）經(jīng)營管理目標出發(fā)，討論并列舉可能妨礙目標實現(xiàn)的各種障礙、威脅和風險，并對列舉出的風險進行排序，確定風險的重要程度;接著對控制程序進行檢查，以確定現(xiàn)有控制過程是否足以對關鍵風險予以合理管控;最后根據(jù)評價結(jié)果形成評價報告，擬定整改管控措施與行動時間表，開展整改與管控行動。一項完整的內(nèi)部控制自我評估活動包括計劃與選題、預備工作、單獨的研討會、系列的聯(lián)席會議、報告和整改方案的實施、后期跟蹤檢查等一系列過程。

（一）前期計劃與選題。內(nèi)部審計部門首先應開展公司系統(tǒng)經(jīng)營管理風險評估，形成公司系統(tǒng)風險評估初步結(jié)論，從中選擇高風險管理領域和重點管理領域、具有代表性的基層單位和管理部門作為內(nèi)部控制自我評估的對象，制定公司年度內(nèi)部控制自我評估實施計劃時間表，從而提高內(nèi)部控制自我評估活動的針對性和時效性，確保內(nèi)部控制自我評估活動切合公司實際經(jīng)營管理和風險管理的需要。

（二）預備工作。1、與參與內(nèi)部控制自我評估的基層單位（部門）高級管理層進行充分溝通，尋求支持。2、針對具體的活動主題，選擇合適的參與人員。

（三）召開專題研討會。內(nèi)部審計部門按照預定的時間召開專題研討會，召集評估小組成員進行討論。討論的內(nèi)容不能局限于現(xiàn)有的內(nèi)部控制制度完善性、制度執(zhí)行的有效性等方面，還要包括人的因素（即員工職業(yè)道德情況、領導層管理理念、激勵機制等）對本單位（部門）的經(jīng)營管理目標的影響。

（四）形成初步結(jié)論，并予以復核。內(nèi)部審計部門對專題研討會收集到的評估意見予以整理匯總，形成初步評估報告。對高風險環(huán)節(jié)應進行具體陳述，說明其狀況、影響，并提出改進方案和方案的完成時間、責任人。評估報告應詳細列明專題研討會上大家發(fā)表的各種意見，以供報告使用者參考，內(nèi)部審計部門不能根據(jù)自身視角和觀點對評估報告進行加工。

（五）召開聯(lián)席會議。如果初步評估報告形成的結(jié)論涉及到其他單位和部門，內(nèi)部審計部門應牽頭組織召開部門聯(lián)系會議，對初步評估報告進行討論，尋求有效地解決方案后，形成完整的評估報告。

（六）報告和整改方案的實施。內(nèi)部審計部門應將評估報告和整改方案分別報送公司最高管理層、參與內(nèi)部控制自我評估的基層單位（部門）高級管理層。對具有代表性的風險環(huán)節(jié)和內(nèi)控薄弱環(huán)節(jié)應予以重點提示，以便相關管理層能夠充分認識到問題的嚴重程度和存在的廣泛性，及時落實整改工作。

（七）后續(xù)跟蹤檢查。內(nèi)部審計部門應根據(jù)評估報告和整改方案，及時調(diào)整審計工作計劃，對該參與部門的整改落實行動實施適時的后續(xù)跟蹤審計，督促其認真落實整改方案，從而通過整改，進一步完善內(nèi)部控制、加強風險管控。這也是內(nèi)部控制自我評估活動的連續(xù)性和動態(tài)性特征的重要體現(xiàn)。

四、影響內(nèi)部控制自我評估活動成效的主要因素

一項內(nèi)部控制自我評估活動能夠取得成功，不僅需要嚴格履行規(guī)范化的程序，采用專業(yè)化的評估方法和手段，還應關注以下幾個方面：

（一）評估企業(yè)文化，選擇適當?shù)膬?nèi)部控制自我評估方式。作為一種相對比較新的發(fā)展中的方法，內(nèi)部控制自我評估的成功與員工的有效參與直接相關。而員工對內(nèi)部控制自我評估的反應和接受能力在很大程度上受到企業(yè)文化的影響。如果企業(yè)文化不具備鼓勵員工坦誠進行開放式交流的氛圍，專題討論會將由于參與者的顧慮或隨大流的心態(tài)而失去廣泛收集意見的意義，得出的評估結(jié)果也沒有太大價值。此時內(nèi)部審計人員應通過采取問卷調(diào)查和管理人員分析等其他替代手段實施內(nèi)部控制自我評估活動。

（二）合理選擇評估對象。在內(nèi)部控制自我評估處于剛剛推行的階段，內(nèi)部審計部門不可能對有管理領域開展全面的內(nèi)部控制自我評估活動。這就要求內(nèi)部審計部門選擇合適的評估對象，一方面要緊緊圍繞公司經(jīng)營管理重點工作;另一方面要盡量規(guī)避那些業(yè)務性質(zhì)復雜，操作難度較大的對象。

（三）選擇合適的參與人員。內(nèi)部控制自我評估對參與人員的素質(zhì)要求比較高，要求能夠充分熟悉自己所在崗位的經(jīng)營活動及內(nèi)部控制，并具備思考、分析以及表達能力。理想的內(nèi)部控制自我評估研討會通常有8到10位參與者，參與者要能夠覆蓋評估對象的全部業(yè)務流程。

（四）充分認識到內(nèi)部控制自我評估缺乏獨立性和客觀性這一特點。內(nèi)部控制自我評估主要精神是由管理層和一般員工對本單位（部門）的內(nèi)部控制過程實施自我評估。雖然與傳統(tǒng)的內(nèi)部控制評價方法相比內(nèi)部控制自我評估更貼近實際、更加靈活，但這也導致了內(nèi)部控制自我評估在先天上就缺乏獨立性和客觀性。因此內(nèi)部審計部門和管理層應充分考慮這一因素，在實施自我評估活動過程中應對參與人員的客觀性進行監(jiān)督與控制，在運用評估成果時與相關的內(nèi)部稽核結(jié)論和審計、監(jiān)察等保障部門提交的分析報告結(jié)合起來。

參考文獻

[1]IIA：《內(nèi)部審計實務標準—專業(yè)實務框架（2004年修訂）》中國時代經(jīng)濟出版社，2005年8月版.