□趙 晶 張 輝 關振宇（教授）（北京青年政治學院 北京 100102）

現(xiàn)代信息技術對經(jīng)濟生活的影響越來越大，其廣泛應用已經(jīng)滲透到了社會經(jīng)濟生活的各個方面，“大力推動全社會的信息化，以信息化帶動工業(yè)化”是我國信息技術的戰(zhàn)略目標，會計信息化、管理信息化系統(tǒng)、ERP等現(xiàn)代信息技術創(chuàng)造的現(xiàn)代管理工具已被各個行業(yè)的企事業(yè)單位廣泛應用。企業(yè)信息化不僅是實現(xiàn)現(xiàn)代企業(yè)管理的途徑和工具，同時也是其生存發(fā)展的內在環(huán)境，信息化促進了企業(yè)內部控制在網(wǎng)絡在線環(huán)境下的全面實現(xiàn)，同時也對內部控制提出了新的挑戰(zhàn)。企業(yè)如何在信息化下全面實施好內部控制、如何進行有效的風險評估，以促進內部控制系統(tǒng)的完善運行，便構成了本文擬探討的核心問題。

一、信息化下的風險評估所面臨的瓶頸

（一）風險評估思想認識缺位、組織機制薄弱

1.很大比例的企業(yè)經(jīng)營者和管理者把內部控制和內部監(jiān)督相混淆，把內部控制只看作是制度文件，或者把成本控制和資產(chǎn)安全控制等視為內部控制，內部控制的思想認識缺位必然導致風險評估的思想認識缺位。企業(yè)經(jīng)營者和管理者內部控制和風險評估的認識程度對風險評估的具體操作起著十分重要的作用，其對風險評估的思想認識對整個企業(yè)風險評估起著關鍵的影響。企業(yè)經(jīng)營者和管理者對風險評估的思想缺位會影響、引導和導致企業(yè)員工對內部控制和風險評估的認識不足，勢必會嚴重影響企業(yè)內部控制和風險評估制度的執(zhí)行效果。

2.風險評估是整個內部控制的關鍵環(huán)節(jié)，建立合理的風險評估組織是及時有效開展風險評估工作的前提。目前來看，企業(yè)在內部控制組織機制方面的不健全、企業(yè)沒有專門的內部控制部門和由內部審計部門承擔風險評估工作等現(xiàn)象導致了風險評估職責不清和風險評估組織機構缺失。內部審計部門只是對風險評估工作進行監(jiān)督，如果對具體風險評估工作負責將有損于審計的公正性和獨立性。內部控制管理機構缺位導致風險評估機構的缺失，造成各部門會片面強調本部門業(yè)務工作的重要性和風險防范的必要性，而不在意其他部門的業(yè)務及風險狀況，從而會導致形式上的控制過度和事實上的控制不足并存，企業(yè)風險管理缺乏統(tǒng)一協(xié)調。

（二）風險評估制度缺失、方法陳舊

1.在多數(shù)企業(yè)的內部控制文件中，風險評估內容并不全面、到位，導致了風險評估工作的缺位。風險評估內容不全面、合理，根源于缺少統(tǒng)一的評估標準，進而在進行風險評估系統(tǒng)設計時缺少客觀公正的評估依據(jù)，風險評估作用難以發(fā)揮最大效用。風險評估制度缺失使企業(yè)經(jīng)營者和管理者將風險評估工作轉嫁給內部審計部門，使內部審計部門承擔不應有的風險評估工作，從而造成監(jiān)督方與被監(jiān)督方責任界定不清。風險評估標準的缺失和風險評估職能的混淆，使風險評價結果利用價值大大降低，導致無法順利實現(xiàn)內部控制系統(tǒng)的目標設置。

2.企業(yè)內控人員在應對風險識別、分析工作中，習慣運用傳統(tǒng)甚至陳舊的理念和方法，以定性分析評估為主而缺少科學合理的計量和定量分析評價。較少運用spss軟件分析系統(tǒng)、矩陣分析和COSO例舉法等統(tǒng)計與分析方法，科學性、客觀性與合理性欠缺，據(jù)此得出的風險評估結果缺乏可信度。企業(yè)的內部控制工作的風險評估程序不夠合理，評價手段不夠先進和科學，導致評估時間長、效率低、質量低。

（三）風險防范流程缺失

很多企業(yè)在風險管理工作中，對于操作業(yè)務流程沒有實現(xiàn)對既有風險和剩余風險的識別、分析和持續(xù)跟蹤；缺少后續(xù)防控措施，沒有堅持開展風險預測與預警工作，導致風險事前防范缺失。缺少定期對風險防范的檢查，對風險處置結果的及時性和關注度不到位。

二、信息化下的風險評估瓶頸的應對

（一）樹立科學系統(tǒng)的內部控制理念，建立風險評估體系框架

隨著企業(yè)經(jīng)營規(guī)模擴大和業(yè)務日益冗雜，企業(yè)最高管理當局，不可能事事都親自過問，必須建立健全制度，為使企業(yè)各項業(yè)務的處理過程程序化，使工作手續(xù)執(zhí)行規(guī)范化，使職責分工制度化，必須樹立內部控制理念。樹立內部控制理念能使包括管理者和普通員工在內的所有人員按規(guī)定按程序進行工作，做到相互制約和相互促進，防范風險的爆發(fā)，有利于企業(yè)的經(jīng)營管理。

建立健全風險評估體系是防范風險的重要手段、有效途徑和必要措施。企業(yè)要成立管理層的風險管理委員會和專業(yè)風險評估小組，通過公司戰(zhàn)略和公司業(yè)務等多層次對整體風險狀況進行評估。要成立獨立于審計監(jiān)察部門以外的專職風險管理部門，負責組織日常風險識別、風險監(jiān)測和風險分析，及時收集整理風險評估資料，及時評估分析風險狀況，為領導決策提供依據(jù)。同時，要加大支持風險評估工作的力度，保證風險評估體系具備足夠的人力、財力和物力，保證風險評估體系的建立健全能夠切實實現(xiàn)。

（二）加強風險評估人才建設、開展內部控制主動評估

目前，要重視風險管理人才培養(yǎng)并適時引進專業(yè)風險評估人才，通過建立風險評估人才培養(yǎng)體系逐步提升風險評估人員的整體素質。結合風險評估人員自我學習，鼓勵其參加諸如風險管理師資格的培訓和考試，通過學習風險評估理論和風險評估方法提高風險評估工作能力。還可聘請行業(yè)專家定期對風險評估人員進行培訓，了解國際國內風險評估工作的先進方式和發(fā)展趨勢，使風險評估人員成為會運用數(shù)理統(tǒng)計方法和信息技術手段識別、分析和監(jiān)測風險復合型的風險評估人才。

控制自我評估是組織監(jiān)督和評估內部控制的重要措施，它是內部控制工作評價的新方法，體現(xiàn)了內部控制系統(tǒng)評價的新突破。企業(yè)應當適時開展控制自我評估，了解可能引起的風險的控制環(huán)節(jié)予以改進，從而促進職能部門加強業(yè)務管理、優(yōu)化業(yè)務流程、完善內部風險控制，同時可通過外部獨立審計的介入增強內部控制評價的約束力。

（三）科學設定風險評估標準、建立風險評估預警機制

風險評估標準設計三個層面，分別是風險水平計量、評估標準設定和風險等級劃分，要使風險評估標準的設計合理準確科學，要優(yōu)化完善以上三個方面。企業(yè)面臨包括決策風險、管理風險和財務風險等在內的多種風險，要對于這些風險通過發(fā)生幾率、影響程度和波動幅度分別給予一定的權重，結合風險計算方法評估固有風險的大小；企業(yè)要對潛在的內部風險和外部風險，按照一定的方法分別評定風險等級，以便對風險進行分類控制的時候實現(xiàn)風險最小化并降低風險控制成本；由于不同行業(yè)、不同企業(yè)和不同部門所面臨的風險情況呈現(xiàn)多樣性、差異性和變化性，要對不同行業(yè)、不同企業(yè)和不同部門的風險進行評價比較，就必須要有一個可以用來衡量的評估標準，通過正常、基本正常、關注、重點關注和風控失效五級標準采取不同的風險應對方法，最大限度防范風險。

企業(yè)應建立健全包括預警人員、預警機構、職責和權限在內的風險防范評估預警機制。各部門建立素質高、責任心強、風險評估業(yè)務精通的預警人員，負責發(fā)現(xiàn)部門內崗位風險，及時控制風險、向預警機構發(fā)出預警信息；在評估組織內設立預警機構，負責在收到各部門預警信息后做出合適的應對措施。

三、內部控制——風險評估系統(tǒng)的開發(fā)與優(yōu)化

在校企合作、跨專業(yè)聯(lián)合的背景下，以強化和培養(yǎng)在校青年學生的團隊合作能力、職業(yè)創(chuàng)新意識、工作應用技能為目標，通過競賽評優(yōu)等活動，征集企業(yè)內部控制——風險評估系統(tǒng)的開發(fā)與優(yōu)化方案。校企合作：主要以解決企業(yè)的內部控制——風險評估的實際需要為導向，確立系統(tǒng)開發(fā)目標；跨專業(yè)聯(lián)合：以計算機應用、企業(yè)管理、財務管理與內部控制專業(yè)的青年學生為骨干，組成跨專業(yè)聯(lián)合開發(fā)團隊，實現(xiàn)內部控制——風險評估系統(tǒng)的開發(fā)目標。內部控制——風險評估系統(tǒng)的開發(fā)與優(yōu)化方案評價指標與目標參照標準：

（一）初始化條件下，企業(yè)需要建立風險數(shù)據(jù)庫，并準備全部的風險信息

通過系統(tǒng)運行，可提供：風險數(shù)據(jù)庫分類信息；便捷引導式的在線調查；實時展示評估標準，提高評估信息的客觀性；對調查結果開展實時在線自動檢查，校驗保證數(shù)據(jù)質量；自動對風險數(shù)據(jù)進行統(tǒng)計分析并生成評估報告。

（二）通過系統(tǒng)運行，實現(xiàn)并得到客觀、全方位的風險評估結論

1.風險數(shù)據(jù)庫信息分類（以運營風險為例）。（1）研發(fā)設計風險：研發(fā)規(guī)劃風險、產(chǎn)品設計風險、工藝技術風險；（2）固定資產(chǎn)管理風險：固定資產(chǎn)投資風險、運營維護風險、大修風險、轉讓處置風險。（3）采購風險：供應商管理風險、采購計劃風險、采購執(zhí)行（招標、合同）風險、采購驗收入庫風險、存貨（倉儲）管理風險。（4）生產(chǎn)風險：生產(chǎn)計劃風險、生產(chǎn)過程管控風險、項目管理風險、成本控制風險。（5）銷售風險：市場開發(fā)風險、銷售策略風險、產(chǎn)品的市場替代與客戶管理風險。

2.便捷的引導式在線調查。調查開展的可行性、便捷性、引導遞進性和方法選擇的科學有效性。

3.實時展示評估標準，提高評估信息的客觀性。對調查結果開展實時在線自動檢查，校驗保證數(shù)據(jù)質量。

4.對風險數(shù)據(jù)進行統(tǒng)計分析并生成評估報告。

四、結論

在全球信息化的大背景下，從企事業(yè)單位內部控制的實現(xiàn)，風險評估工作是內控系統(tǒng)的關鍵組成部分。風險評估是一個持續(xù)、反復、變化和創(chuàng)新的過程。企事業(yè)單位應高度重視風險評估的持續(xù)、反復性和變化、創(chuàng)新性，及時收集更新相關信息并系統(tǒng)全面客觀地開展風險評估工作，建立適時更新的風險信息庫，為持續(xù)進行的風險評估工作提供有效支持。充分利用現(xiàn)代信息技術實現(xiàn)風險的實時監(jiān)測、分析和應對，及時根據(jù)風險變化調整應對策略，從而有效控制管理風險，促進事業(yè)不斷發(fā)展壯大，為企事業(yè)單位和社會創(chuàng)造更多的價值。