前言:中文期刊网精心挑选了内部控制的风险评估要素范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内部控制的风险评估要素范文1
物流企业内部控制包括五方面要素,如果把企业内部控制比作一个人,那么控制环境就是内部控制的系统的“空气”、风险评估是“大脑”、控制活动是“神经”、信息沟通是“血液”、监控是“免疫”,缺一不可。企业发展就如同行走中的人,内部控制出现问题,就如同人的器官出现疼痛导致人停止不前一样,会阻碍企业的发展。
(一)内部控制系统的“空气”―控制环境
控制环境是物流企业的基调,是内部控制系统中其他要素的基础,是推动企业前进的助推器。一般包括企业文化、高层管理方式、企业经营理念、人力资源管理及规则。
(二)内部控制系统的“大脑”―风险评估
物流企业重视企业内部的风险评估,就如同人有一个健全的大脑。企业要建立具有有识别、分析和管理风险的机制。了解企业面临的风险,运用相关机制加以控制,同时在企业控制环境发生变化后,要在新的控制环境下对企业的可能存在的风险进行评估和管理、改善。
(三)内部控制系统的“神经”―控制活动
当物流企业出现风险或企业评估出有潜在风险时,内部控制的相关部门采取相应的行为或措施来控制、抵御风险,以保证企业的正常运转。企业应该订立一套针对风险评估结果的政策,做到未雨绸缪,以在出现问题时能及时根据政策执行,抵偿企业风险。
(四)内部控制系统的“血液”―信息沟通
物流企业具有流动性和分散性的特点,因此企业内部要保持总公司与下属公司、下属公司之间要在风险评估和控制活动中良好的信息沟通活动,使企业的员工获得他们在执行、管控企业发展时所需要的信息。
(五)内部控制系统的“免疫”―监控
主要是物流企业管理层、内部审计部门或企业外的第三方,对企业控制系统的运行实施作出评估,以确保当企业出现状况时,内控制度会随之作出相关反应。
二、我国物流企业内部控制存在的问题及原因分析
(一)物流企业控制环境不完善
现在,我国物流企业存在高层管理方式混乱、人力资源管理滞后等问题。许多物流企业采用了企业法人治理结构,但是股东会、董事会、监事会相互干涉、有的甚至董事长、总经理一人担当,导致物流企业在高层管理方面出现管理混乱;物流企业员工普遍存在综合素质不高的问题,企业在员工培训方面没有做到位,相关的员工考核激励制度不健全,致使企业内部控制的实施面临困难。
(二)风险评估及控制能力比较弱
有些企业管理者不能很好的理解风险评估及控制活动,甚至对内部控制不重视,感觉“企业没有发生过问题”、“员工很可靠、最好把时间用在企业业务上”。企业管理者风险意识比较弱,许多物流企业在激烈竞争中无法认识到企业存在的经营风险,没有完整的控制活动、管控规范来抵御风险,导致企业错失了降低风险损失的最佳时间。
(三)企业内部信息沟通不畅
物流企业具有流动性、分散性的特点,企业的资源很难得到共享,企业管理者管理活动比较分散,使企业总公司与下属子公司之间、各子公司之间不能进行良好的、及时的信息沟通,是企业员工不能很好的参与到公司的内部控制中来。
(四)监控制度不合理
我国物流企业没有形成一套完整、有效的行业内部控制规范,各内部部门缺乏有效沟通,在监控中存在长官意志大于一切的现象。而且企业内审计部门多以事后检查的方式为主,没有对活动过程进行监控,导致审计部门不能发现在内部控制制度上出现的问题及缺陷。
三、完善我国物流企业内部控制的有效途径
(一)完善物流企业内部控制环境
内部环境是内部控制中位于的基础地位的元素,是其他内部控制活动得以进行的保障。完善完善物流企业内部控制环境可以从以下两方面完成:一方面,完善法人治理结构。严格按照公司章程和相关制度任选董事、监事及其他各部门管理人员,是各个部门间人员各司其职,发挥各级人员的内部控制职责。公司董事长与总经理有不同的人员担当,发挥各自的能力与职权,互不干涉;另一方面,提高企业人力资源管理水平,建立健全考核与奖惩机制。人力资源部门要建立严格的招聘程序、制定员工工作规范、定期对员工进行业务及素质培训,提高员工的工作能力和综合素质,建立起一套完整的内部考核机制,通过强化企业人力资源管理来调动员工的积极性、主动性和创造性。同时突出本企业的企业文化,以此影响员工的精神世界,极大的激发员工工作热情,使每个员工都能不断快乐成长,实现企业的凝聚力。
(二)完善风险评估制度,提高风险控制能力
物流企业管理人员要有风险意识,重视内部控制的施行,依据相关规范和政策建立健全风险评估制度,可以借鉴发达国家的先进的风险评估机制,识别、管理企业发展中来自内部及外部的风险因素;当识别到企业存在风险因素时,内部控制的相关部门采取相应的行为抵御风险,以保证企业的正常运转。同时企业应该制定一套针对本企业风险评估结果的政策,以在出现问题时能及时根据政策执行,降低企业损失。
(三)加强企业信息沟通能力
物流企业的信息沟通包括内部信息和外部信息的沟通。企业可以建立高效的信息数据库,使企业的信息资源得到共享,同时加强信息在各部门之间的传递与沟通,疏通总公司与下属物流公司的沟通渠道,使企业内部实现自由、快捷沟通;另外,物流企业还应加强与外部企业的交流,实现外部信息的沟通,保证本企业的发展。
(四)强化物流企业监控系统
加强管理层的监督能力,引入内部审计制度。内部审计要对企业活动过程进行监控、审计,如果出现问题,可以很好的发现并制定相关措施。各部门要加强沟通,互相监督,保证管理层的监控能力及准确性。
(五)消除关键控制点风险
关键控制点是指企业经营过程中容易发生错误或舞弊行为而需要控制的环节。企业可以依据相关法律、规章制度,需找活动中的关键控制点,并且对这些关键点进行风险评估,以制定出应对措施,以降低风险。过程中,内部审计调查内控的执行情况,以此对内部控制制度的完善性作出评价。
内部控制的风险评估要素范文2
【关键词】 内部控制; 风险导向; COSO报告; 整合框架
内部控制是一个非常重要的管理术语,是防范各类风险,促进企业目标实现的必要因素。2008年5月,我国财政部、证监会、审计署、银监会、保监会五部委联合《企业内部控制基本规范》。2010年4月,上述五部委又联合《企业内部控制配套指引》,随后财政部对配套指引逐一作了深入而权威的解读。至此,中国新版企业内部控制框架(以下称“新框架”)基本形成。新框架自2011年1月1日起在境内外同时上市的公司施行,2012年1月1日起扩大到境内上市公司,择机扩大到中小板和创业板。
一、中国企业内部控制框架的构成
内部控制是一个完整的框架,而不仅仅是一系列的制度安排。如图1所示,新框架由企业内部控制基本规范、企业内部控制配套指引、企业内部控制配套指引解读三部分构成。企业内部控制配套指引包括应用指引、评价指引和审计指引三个系列。其中,应用指引又可细分为:(1)内部环境类应用指引,包括组织架构、发展战略、人力资源、社会责任和企业文化等;(2)控制活动类应用指引,包括资金运动、采购业务、资产管理、销售业务、工程项目、担保业务、业务外包、财务报告、研究与开发等;(3)控制手段类应用指引,包括全面预算、合同管理、内部信息传递、信息系统等。
内部控制评价是公司董事会或类似权力机构对内部控制的健全性和有效性进行全面评价、形成评价结论、出具评价报告的过程。《企业内部控制评价指引》主要规范企业自身对其内部控制的健全性和有效性进行评价,主要用于引导企业全面评价内部控制的设计与运行情况,规范企业自我评价的主体、程序、范围和报告,揭示和防范内部控制评价过程的相关风险。
内部控制审计是会计师事务所接受委托,对特定基准日客户内部控制设计与运行的健全性和有效性进行审计。由注册会计师对企业内部控制实施审计,是促进企业贯彻落实企业内部控制框架的重要制度安排。《企业内部控制审计指引》主要用于规范注册会计师内部控制审计业务,明确审计工作要求,保证执业质量。注册会计师在执行内部控制审计时,除应遵守审计指引外,还应遵守相关的执业准则。
二、企业内部控制的概念
我国新框架将内部控制定义为:“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。为直观解读内部控制的内涵,可用图2来描述内部控制的过程。
(一)内部控制主体
过去人们将企业内部控制的主体定义为会计人员和会计机构,层次较低,会计人员和会计机构难以担当内部控制之大任,无法有效推动内部控制的实施。新框架强调内部控制的主体是企业董事会、经理层和全体员工。从决策层面到执行层面,上至董事会、经理层,下至各部门、各岗位的普通员工,都需要参与进来。对内部控制的健全性和有效性最终负责的应是董事会,但内部控制绝不仅仅是董事会和经理层的事,全体员工在内部控制过程中都有自己的责任、权限和义务。例如,员工的正直、诚信和道德价值观是重要的内部环境;公司的人力资源政策和岗位责任制会涉及到全体员工等。因此,内部控制的主体是上至董事会,下至全体员工,中间是经理层和各阶层管理者。
(二)内部控制属性
过去人们认为内部控制是方法、措施和程序的安排,是静态的制度。新框架强调内部控制是一个过程,是由一系列要素构成的整体框架(如图3所示),是一种完整的风险管理体系,而非简单的制度或措施安排。控制环境是企业实施内部控制的基础,一般包括治理结构、组织机构及权责分配、诚信和道德价值观、员工素质和人力资源政策、经营风格和管理哲学、企业文化等。风险评估是企业及时识别、分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部及企业与外部间进行有效沟通。监控是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,若发现内部控制缺陷,应及时加以改进。
内部控制的构成要素并非简单相加,而是相互联系、相互制约、相辅相成,共同组成一个完整的框架。控制环境是内部控制过程赖以存在的基础;风险评估是实施内部控制的依据,实施风险评估进而管理风险是建立控制活动的重点;控制活动是实现控制目标的手段,是内部控制的主要组成部分;信息与沟通贯穿于内部控制的全过程,信息传递沟通上下,将整个内控结构凝聚在一起,是保证内部控制过程良好运行的媒介;监督检查位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。
内部控制是控制主体对影响企业目标实现的各种风险实施控制活动的持续过程,它强调执行过程和实施的效率效果。内部控制不是会计控制,而是融合了内部会计控制和内部管理控制的全过程控制。因此,内部控制建设绝不等于制度建设,而是要建立健全有效的内部控制整体框架。内部控制对企业目标的实现只能提供合理保证,内部控制的有效性可能因员工串通舞弊、管理层凌驾、职业判断偏差等而降低。
(三)内部控制目标
过去人们将内部会计控制的目标设定为会计信息质量目标、资产安全目标、合规性目标三个方面。新框架提出五大目标,特别是促进企业实现发展战略的提出,是一项重大突破。内部控制的主要目标不是防范差错和舞弊,而是实现公司发展战略和可持续繁荣,不断提高企业核心竞争力和经营管理水平,促进企业价值最大化,打造百年老字号的优秀企业。因此,内部控制理念应从牵制和制约理念转向可持续发展理念。资产的安全完整是管理层、投资人和其他利益相关者普遍关注的问题,是企业可持续发展的物质基础,良好的内部控制应为资产安全提供可靠的保障。
三、企业内部控制要素
内部控制要素在内部控制理论中居于核心地位,直接影响着内部控制的设计、实施和评价等环节(王竹泉等,2010)。美国COSO报告将内部控制分解为五要素,即控制环境、风险评估、控制活动、信息与沟通、监控。我国新框架也提出五要素的构成,但将控制环境改为内部环境,将监控改为内部监督,其他要素名称相同。朱荣恩(2008)认为,我国在形式上借鉴了COSO内部控制五要素框架,而在内容上体现了风险管理八要素的框架。
(一)内部环境
内部环境处于内部控制五大要素之首,构成一个企业的氛围,是内部控制过程赖以存在的基础,决定着内部控制的边界和效果。COSO报告的控制环境包括正直与道德价值观、员工素质与人力资源政策、管理哲学与行事作风、组织架构与审计委员会、权责配置等。我国新框架界定的内部环境包括组织架构、发展战略、人力资源、社会责任和企业文化。新框架将发展战略和社会责任引入内部环境,是一项重大创新,这与内部控制目标突破是相呼应的。企业是创造财富与履行社会责任的统一体。促进企业履行社会责任,是提升发展质量,实现可持续发展的根本。企业只有切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,才能实现企业与员工、企业与社会、企业与环境的健康和谐发展。新框架将正直诚信与道德价值观、经营理念与管理哲学、企业精神与行事作风等融入企业文化建设,也是一项创新。企业兴旺在于管理,管理优劣在于文化。企业文化是竞争决胜的关键,是企业实现可持续发展的前提,一流的企业都十分重视文化建设。
(二)风险评估
风险评估是实施内部控制的依据,实施风险评估进而管理风险是建立控制活动的重点。此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、风险应对。
新框架在内部控制配套指引中全面融入风险导向理念,无论是应用指引,还是评价指引和审计指引,都突出强调风险管控的导向性。过去认为风险是个不利因素,主要集中在业务层面,内部控制的重点是防范差错和舞弊风险。新框架认为风险是影响目标实现的不确定性,贯穿于企业经营和管理的全过程,既涉及公司治理层面,也涉及内部机构和业务层面。在公司治理层面,应关注董事、监理、高管的职业操守、能力胜任和风险偏好;在内部机构层面,应重点关注不相容岗位的相分离情况、岗位权责配置和运行机制、运行效率;在业务层面,应关注岗位责任制的履行情况和重大风险的识别、分析、评估和控制。
(三)控制活动
控制活动是实现控制目标的手段,是内部控制的主要组成部分。企业应结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。从控制内容看,内部控制通常存在战略控制、管理控制、作业控制等三个层级;从控制对象看,涉及财务控制、会计控制、资产控制、人员控制等;从控制手段看,控制活动包括不相容职务相分离、授权审批、会计系统、财产保护、预算管理、文件记录、运营分析、绩效考评、内部报告等。
在控制活动方面,新框架增加了运营分析控制和绩效考评控制。运营分析控制要求单位建立运营分析制度,管理层应综合运用各种内外信息和科学的分析方法,定期开展运营分析,及时发现问题,查明原因,加以改进。绩效考评控制要求单位建立和实施绩效考评制度,科学设置考核指标体系,对内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为员工薪酬、晋升、评优、辞退等的依据。
(四)信息与沟通
信息与沟通是企业应对情况改变、保证控制有效的“神经系统”。信息与沟通贯穿于内部控制的全过程,信息传递沟通上下,将整个内控结构凝聚在一起,是保证内部控制过程良好运行的“系统”。企业应建立信息与沟通机制,明确相关信息的收集、处理和传递程序,确保信息真实、沟通及时。及时、准确、完整地收集、加工、传递决策所需的信息是组织稳定的基础。
在信息与沟通方面,我国新框架要求企业建立反舞弊机制、举报投诉制度和举报人保护制度。企业应坚持惩防并举、重在预防,明确反舞弊工作重点、关键环节和责权配置。企业应设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报和投诉成为企业反舞弊的重要途径。举报投诉制度和举报人保护制度应透明公开,传达至全体员工。
(五)内部监督
内部监督是企业对内部控制建立与实施情况进行监督检查,评价其健全性、合理性和有效性,发现和认定内部控制缺陷,并及时加以改进和完善的过程。内部监督分为日常监督和专项监督。内部监督在内部控制框架中位于顶端的重要位置,是内控系统的特殊构成要素,是对其他内部控制要素的一种再控制。
在内部监督的组织保障方面,我国新框架明确了董事会及其审计委员会、监事会、内部审计机构的职责权限。在企业组织架构中,审计委员会、内部审计机构的关系如图4所示。在公司治理层面,董事会及其审计委员会、监事会应发挥主导监督作用,重点关注公司治理和机构运行情况、高管操守和能力胜任情况、授权执行情况、人力资源政策、反舞弊机制运行、信息系统及沟通机制等。内部审计机构则应重点关注职能部门和业务单元的执行力问题、岗位责任制履行情况、内部机构的运行效率等。企业应制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应分析缺陷性质和产生原因,提出整改方案,采取适当形式及时向董事会、监事会或经理层报告。新框架还要求企业将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
四、内部控制与风险管理的高度融合
风险是对实现目标可能产生影响的各种不确定性因素,可能形成实际结果与预期目标的差异。企业在生产经营过程中随时可能面临各种风险。从风险来源看,有来自企业内部的,如人员的业务胜任能力和职业道德水准、治理结构形同虚设等,有来自企业外部的,如自然灾害、环境变化、产业政策调整、市场竞争加剧等;从企业管理目标看,有战略风险、合规性风险、资产安全性风险、财务报告风险、经营的效率效果风险等;从风险性质看,有政策风险、人员风险、市场风险、法律风险、信用风险、经营风险、流动性风险等;从风险发生过程看,有动态风险和静态风险等。风险因素不仅贯穿于业务层面,还广泛存在于公司治理层面,如董事、监事和高管的职业操守等。可以说,企业生产经营管理的每一环节都充满风险。2009年1月,COSO委员会关于监控要素的应用指引,要求企业借助现代信息技术建立基于风险导向的内部控制监督模型,以推动企业将持续监督有效地植入内部控制全过程(R. Trent Gazzaway;Richard D. Braunstein,2009)。
内部控制是对影响企业目标实现的各种风险因素进行分析和管理,从而帮助实现企业目标的过程。内部控制要以全面风险管理为导向(刘玉廷等,2010),我国新框架全面植入风险导向理念,体现内部控制与风险管理的高度融合。新框架要求企业合理确定整体风险承受能力和具体业务层面上的可接受风险水平,实施风险导向的内部控制。在明确控制目标的前提下,首先分析各项活动的总体风险,根据总体风险分析和内部控制目标,设计控制流程,全面梳理和识别流程各环节的主要风险点,分析其产生原因,评估其发生概率及对企业的影响,针对风险点确立关键控制点,从而进一步采取相应的风险管控措施。在设计和执行控制程序时,要利用风险评估结果,对风险进行识别和排序,把焦点放在对重大风险的控制上,设置关键控制点,从而提高内部控制的效率效果。
以担保业务为例,担保业务属于高风险经济活动,如图5所示,实施基于风险导向的担保业务内部控制,以企业内部控制的完整框架为基础,突出风险管控的导向性,在明确内部控制目标的前提下,确立实施内部控制的基本原则,分析担保业务的总体风险,设计担保业务控制流程,梳理和识别担保业务流程各环节的主要风险点,分析其产生原因,采取定性和定量相结合的科学方法,评估各风险发生概率及对企业的影响,针对各风险点确立关键控制点,从而进一步采取相应的风险管控措施。
目前,我国大部分企业还处在内部控制建设的探索阶段,许多企业并未真正掌握风险评估的技术和方法,也未根据风险的可能性和重要性对其进行排序。很多企业没有风险意识,或缺少先进的风险管理技术(韩洪灵等,2009)。因此,新框架对加强我国企业内部控制建设,提升风险管理水平等具有重要意义。
五、内部控制的核心是人的问题
人力资源是企业活动中最为活跃的生产要素,一切竞争归根到底是人才的竞争,人才是企业活力的源泉、核心竞争力的基础、可持续发展的根本。内部控制的核心问题是人的问题,新框架从基本规范到配套指引及其解读,无不体现这一理念。旧规范强调制度和程序的重要性,而新框架突出人的核心作用。新框架五大要素的设置都以人为中心,特别是内部环境、信息与沟通、内部监督都充分体现人在内部控制中的作用。例如,《内部控制配套指引第3号――人力资源》不仅规范了企业加强人力资源开发与建设的具体要求,更突出了人力资源管理各环境的主要风险及其防范措施;《内部控制配套指引第4号――社会责任》规范了企业的安全生产、促进就业、员工权益保护等社会职责和义务。《内部控制配套指引第5号――企业文化》强调企业要树立以人为本的思想,打造企业核心价值观,培育员工积极向上的价值观、人生观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作的企业精神等。再如,凡涉及岗位设置和人员配备的问题,新框架都强调要配备合格人员,对合格人员的评价至少应从业务胜任能力和职业道德操守两个方面进行。
在内部控制建设中,董事、监事和高管人员应以身作则,诚实守信、恪尽职守,为全体员工树立榜样。各阶层管理者应依据规程和制度实施管理,尊重员工,平等沟通,少用命令式语言。企业员工应遵守员工行为守则,认真履行岗位职责,提升自身职业道德修养,加强业务学习,勤勉尽责。
内部控制的最高境界是“无为而治”,如果每一位员工都能做到业务能力足够强,个人道德和修养非常好,责任感和使命感异常坚定,与企业同呼吸、共命运,达到“人企合一”,也就不需要内部控制了,管理者就非常轻松了。新框架要求企业重视人力资源、社会责任、企业文化等软环境的建设,培育以人为本的管理理念,依靠全体员工办企业,尊重劳动、尊重知识、尊重人才,努力为全体员工搭建发展平台,提供发展机会,挖掘创造潜能,增强其主人翁意识和社会责任感,激发其积极性、创造性和团队精神。
综上所述,可以看出内部控制不等于内部控制制度,不等于内部会计控制,也不仅仅是管理层的控制,而是涉及全员的风险管控过程,是由五要素构成的完整框架。内部控制的目标不再仅仅局限于差错与舞弊的防范,其最终目标是要实现企业的战略规划和可持续发展,打造百年老字号的优秀企业。中国企业内部控制新框架体现与风险管理的高度融合,内部控制主要是对影响企业目标实现的各种风险进行梳理、识别、分析和应对,风险导向理念贯穿内部控制的全过程。内部控制的核心是人的问题,企业应重视人力资源、社会责任、企业文化等软环境建设,积极培育以人为本的管理理念。
【主要参考文献】
[1] 董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009(4).
[2] 韩洪灵,郭燕敏,陈汉文.内部控制监督要素之应用性发展――基于风险导向的理论模型及其借鉴[J].会计研究,2009(8).
[3] 刘玉廷,朱海林,王宏.中国内部控制改革与发展[M].北京:经济科学出版社,2010.
[4] 谢志华.内部控制:本质与结构[J].会计研究,2009(12):70-75.
[5] 张先治,戴文涛.中国企业内部控制评价系统研究[J].审计研究,2011(1):69-78.
[6] 钟玮,唐海秀.内部控制系统要素功能耦合与动态演进[J].审计研究,2010(4):52-56.
[7] Bedard, Jean C..Graham,Lynford.Detection and Severity Classifications of Sarbanes-Oxley Section 404 Internal Control Deficiencies[J]. Accounting Review,2011,86(3):825-855.
[8] COSO.Enterprise Risk Management-Integrated Framework[M].AICPA Publisher,2004.
[9] COSO.Effective Enterprise Risk Oversight: The Role of the Board of Directors[R]. 省略documents COSO
内部控制的风险评估要素范文3
(一)美国COSO的《内部控制——整体框架》 1992年COSO 委员会的《内部控制——整体框架》专题报告首次提出内部控制整体框架概念,构建了以三个目标为指导,五个要素为条件的内部控制框架结构。(1)内部控制框架的三个目标。内部控制的目标可以概括为经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性三个方面。经营效率和效果是企业董事会和高级管理层的利益要求。财务报告的可靠性是内部管理者、投资者及其他利益相关者的利益要求。法律法规的遵循性主要指内部控制要符合立法及监督机构制定的相关法律法规的要求。(2)内部控制框架的组成要素。控制环境、风险评估、控制活动、信息和沟通、监督构成了COSO内部控制框架的基本要素。控制环境是内部控制运行的基础;风险评估包括风险识别和风险分析两个方面,是管理层识别、分析、应对经营管理活动中各种内外部风险的活动;控制活动包括控制制度的制定与控制制度的落实;信息和沟通是组织内部以及组织与外部的信息传递与交流活动;监督是为保证内部控制有效运行而进行的管理活动和监督活动。(3)内部控制框架评价标准。控制环境方面包括诚信与伦理价值观、董事会或审计委员会的设置运行情况、公司权力分配与制衡、人力资源政策与实务等内容。风险评估包括设置恰当的风险目标、建立有效的风险预警系统和准确的风险评估体系、及时有效的风险应对体系。控制活动评价包括公司内部规章制度是否覆盖主要业务领域、是否符合相关法律的规定、是否存在漏洞以至于违规活动有可乘之机等。信息与沟通主要从信息传递的及时性、准确性,以及沟通的无障碍三个方面进行评价。监督评价包括全面参与控制、及时发现问题和持续改进等方面。
(二)加拿大CoCo的《评估控制指南》 隶属于加拿大特许会计师协会的控制标准委员会(Criteria of Control Board,简称CoCo)在1995年了《控制指南》,系统阐述了内部控制的定义、要素、参与主体、原则等内容,对主体控制系统的设计、评估和报告提供了指导,1999年的《评估控制指南》进一步补充了内部控制评估报告的程序和标准,由此形成一个由“行动”联接的以“四大基本要素”为框架的体系。(1)CoCo《控制指南》的目标。CoCo在《控制指南》中界定了“控制”的三类目标,分别是经营的效率和效果、内部和外部报告的可靠性、遵守适用的法律、规章及内部政策。(2) CoCo《控制指南》的要素。CoCo《控制指南》将控制要素分为目的、承诺、能力、监督与学习四个方面。控制的目的是确定企业发展方向,明确可能存在的风险与机遇,具体包括公司使命、愿景、发展战略等;控制承诺是对企业员工价值观和行为的统一;控制能力是对员工完成控制活动所需知识、资源、技术等方面的要求;控制监督与学习是企业持续监督与改进的要求。(3)CoCo《控制指南》的评价标准。CoCo在内部控制整体框架的基础上提出了内部控制的基本原则,成为联结内部控制框架理论体系与内部控制实务操作的纽带,为内部控制评价标准的确立提供了依据,《评估控制指南》确定的评价标准见表1。
(三)英国的Turnbull指南 Turnbull指南于1999年并于2005年进行了修改,建立了以“风险”为导向的内部控制指南。(1)Turnbull指南的目标。一是通过内部控制识别、分析公司经营过程中的经营风险、财务风险和其他影响公司目标实现的风险,及时做出适当反应以保证目标的实现。二是持续、可靠的获取组织内外产生的信息,及时可靠的记录和处理以提升内部报告和外部报告的质量。三是促使员工遵守组织内部政策、商业道德,遵守外部相关法律、规章制度。(2)Turnbull指南的要素。英国Turnbull指南组成要素与美国COSO的“整体框架”构成要素基本一致,其内部控制框架分为四个要素:风险评估、控制环境和控制活动、信息与沟通过程、监督。(3)Turnbull指南的评价标准。一是董事会负有审查内部控制有效性的责任;二是审查内部控制有效性的过程;三是董事会应就以下事项发表声明:风险识别、评价与管理的程序、制度,在年度报告中就程序、制度的有效性进行评价;确保董事会有关内部控制的声明有完整的文档记录、真实反映董事会内部控制系统过程,但不需要出具内部控制有效性的审计报告。
(四)日本的《金融商品交易法》 (1)《金融商品交易法》的目标。一是确保公司业务活动的有效性和效率性;二是确保对财务报表及对公司决策具有重大影响的信息的准确、可靠;三是确保公司业务活动在法律、法规范围内进行;四是资产安全性,确保资产取得、使用、处置按照规定进行。(2)《金融商品交易法》的组成要素。一是控制环境,控制环境是影响组织内成员控制意识并对其他要素产生影响的因素的综合。二是风险的评估与应对,风险评估指识别妨碍组织目标实现的因素确认为风险,并对风险性质、程度做出评价,以为风险应对提供依据。风险应对指在确定风险程度、风险性质的基础上选择规避、降低、转移或接受等措施并实施对应的程序。三是控制活动,旨在保证管理层命令和指示得以执行的政策、章程、流程、管理办法等。四是信息与沟通,甄别、筛选及处理信息,确保有用信息在组织内部、外部及利益相关方间准确传递。五是监控,连续性的评价内部控制的有效性,以对内部控制运行中存在的问题进行纠正。六是信息技术的应对,应用信息技术以提高内部控制,以及制定合理的政策、程序应对业务活动过程中组织内外对信息技术的要求。(3)《金融商品交易法》有关内部控制评价标准。一是内部控制审计的目的。准则要求注册会计师要对财务报告中管理层编制的内部控制报告进行审查,审查的内容包括公司当前内部控制评价的范围是否恰当,需要说明确定内部控制范围的合理依据,要对管理层报告自我有效性评价、以及内部控制重大缺陷报告发表意见。二是内部控制的范围是对企业内部控制整体进行评价,并根据评估结果确定与财务报告质量相关的重大事项,包括虚假信息、关键风险因素等,并对与这些因素相关的内部控制进行评价。三是强调内部控制审计与财务报表审计的协同,即要求内部控制审计由公司财务报表审计单位的统一审计人员负责,内部控制审计取得的证据和财务报表审计过程中取得的证据可以通用。四是可合并内部控制审计报告和财务报表审计报告。注册会计师要对公司管理层内部控制评价报告发表审计意见并在原则上可以和公司财务报表审计报告合并编写。
二、内部控制评价标准的国际比较
(一)内部控制的界定 COSO认为内部控制是为保证组织目标实现实施的一系列管理活动的总和,内部控制有效性就是保持内部控制的过程在每个时点上都处于正常的状态,是一种过程管理。CoCo《控制指南》认为“控制”比“内部控制”更合适,是主体要素的集合体,这些要素包括资源、文化、任务等。英国Trunbull指南认为内部控制是一个将组织风险控制在可接受水平的系统。日本《金融商品交易法》认为内部控制内含于业务活动之中,是保证组织经营目标实现的系统。各国对内部控制的定义存在一些差异,COSO是从管理过程的角度来进行界定,而CoCo认为“控制”没有“内部”与“外部”之分,是组织各种“控制”要素的集合。Turnbull 指南和《金融商品交易法》认为内部控制是组织的一个系统,在范围上要大于过程。
(二)内部控制目标的比较 COSO报告中的内部控制目标综合考虑了不同利益主体的要求,划分了三类内部控制目标,体现了维持企业经营的基本要求,但缺少对企业战略的规划,降低了组织应对内外部环境变化的能力,为此,COSO在此后的《企业风险管理——整合框架》(简称ERM 框架)中增加了企业战略这一目标。CoCo《控制指南》中内部控制三类目标与COSO基本一致,但其目标体系的内容更广泛,在报告服务对象上既要服务于外部债权人、投资者、政府等,还要服务于公司管理层,使得“控制”更有利于组织主体要素更好的发挥作用。CoCo内部控制目标不仅要求公司遵循各种外部法律法规,还要求公司内部规章、政策得以落实,以上两点都表明CoCo比COSO更加关注企业管理的需要。Turnbull 的内部控制指南从风险的视角来认识内部控制系统,认为内部控制旨在将风险控制在一个可以接受的水平内,风险可以识别、控制,但不能消除。相比于COSO框架,虽然内部控制在分类上相似,但它们的立足点有所不同,COSO框架强调通过一系列的“过程”来满足不同利益群体的目标以维持企业的生产经营,而Turnbull指南则强调控制风险来保证公司资产安全和投资者利益。日本《金融商品交易法》借鉴COSO以及其他国际通行的内部控制目标,结合本国国情增加了“资产保全”。
(三)内部控制要素的比较 COSO的内部控制五要素虽然内容广泛,但彼此之间具有密切的联系,内部控制不再仅仅是制度、措施,更重要的是意识、环境、价值观等软控制,这是对以往内部控制研究的重大突破。CoCo《控制指南》按照员工执行任务过程中的关键环节划分控制要素,这是因为CoCo《控制指南》认为员工必须理解企业目的才能朝着正确的方向努力,而员工能力则是其努力的基础,员工承诺是员工为企业持续、积极努力的保证。监控与必要的改进措施是员工调整自身行为以适应环境要求的必然措施,尽管表述与划分形式不同,CoCo《控制指南》基本包含了COSO的内部控制要素。Turnbull 指南与COSO 报告的不同在于Turnbull 指南认为风险是内部控制活动的“线”,将整个内部控制活动贯穿于企业整个业务活动过程中,而COSO 报告则将风险作为内部控制活动的一个“点”。日本《金融商品交易法》在国际通用的五要素之外加入了“信息技术的应对”这一要素,以体现信息技术对组织内部控制的影响,以及借助新技术强化内部控制效果的趋势。
(四)内部控制主体的比较 COSO报告作为内部控制体系发展进程中的里程碑,其突出贡献就是将“人”作为内部控制体系的核心,明确了内部控制过程中的责任主体问题,在COSO 报告中,管理层要对内部控制的有效性负责,并对对外的内控有效性评价报告负责。CoCo《控制指南》下整个组织的控制活动都是围绕“员工”行为进行的,更加准确的反映了员工作为组织行为主体的组织和运行方式。Turnbull 指南与COSO的不同在于将董事会作为内部控制的责任主体,管理层则通过落实监督责任来保证内部控制的有效性并对内部控制有效性提交报告。董事会要对管理层提交的内部控制报告进行审查并在年度报告中内部控制有效性的声明,这与COSO报告将内部控制主体限定在CEO以下的做法有较大的不同。日本《金融商品交易法》也以管理层作为内部控制的主体,但其更强调组织内的所有人员,而COSO则更注重公司的实际管理人员。
(五)内部控制外部审计的比较 COSO要求审计师对公司的财务报表和财务报告中的内部控制同时进行审计,而Turnbull指南只要求对董事会的内部控制声明进行审查但不需要对公司内部控制有效性出具审计报告,其原因是Turnbull指南更强调为公司设计、评估、报告内部控制以及公司治理服务而不是达到有关内部控制的最低法定要求。日本在《财务报告内部控制的管理层评价与审计准则》规定内部审计是审计人员对管理层有关内部控制有效性的评价结论表明审计人员的意见,而不直接对内部控制构建与运行状况进行验证。
三、我国内部控制评价标准的建立
(一)控制环境 内部控制运行的条件和基础,主要包括企业管理理念、人力资源政策、业绩考核体系等与企业目标和风险管理有着密切联系的因素,组织成员的知识技能、胜任能力以及职责权限划分的合理性,法人治理结构、公司组织结构的健全有效性。
(二)风险评估 风险评估的全面性,即组织业务活动的相关信息是否能够及时传达给风险管理部门及人员。组织识别、评估组织持续经营过程中存在的经营、财务及其他风险的能力,决定这一能力的因素包括风险管理人员的胜任能力、有效的正式或非正式程序。
(三)控制活动 从资产保全、内部牵制、授权审批、预算管理、信息化、内部报告、成本费用、业务、风险控制等方面制度建设、流程安排等评价控制活动的全面性,考虑内部控制活动的灵活性以评价是否能够适应风险、经营的不确定性。
(四)信息与沟通 企业信息系统的完整性和信息处理的及时性、准确性,企业是否存在正式与非正式的沟通渠道,保证信息在内部传递的及时、准确,保证企业与客户、供应商等存在沟通机制与追踪程序。
(五)监管 董事会对于内部控制活动的安排,内部审计对内部控制活动的监管,有关内部控制活动的改进建议是否得以落实。
参考文献:
[1]王惠芳:《内部控制缺陷认定:现状、困境及基本框重构》,《会计研究》2011年第8期。
[2]周爱慧:《内部会计控制评价指标体系及其评价》,《审计研究》2011第2期。
[3]董美霞:《增强企业内部控制评价效果的思考——基于〈企业内部控制指引(征求意见稿)〉》,《审计与经济研究》2010年第1期。
[4]张龙平、陈作习、宋浩:《美国内部控制审计的制度变迁及其启示》,《会计研究》2009年第2期。
[5]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。
[6]杨雄胜:《内部控制理论研究新视野》,《会计研究》2005年第7期。
[7]李心合:《内部控制:从财务报告导向到价值创造导向》,《会计研究》2007年第4期。
内部控制的风险评估要素范文4
关键词:内部控制;路径;风险管理
近年来,国际上一些著名企业相继爆出丑 闻,造成极其严重的后果。我国企业也为内部 控制和风险管理的缺失付出了惨痛的代价,如 国内著名企业中发生的中航油(新加坡)公司 破产倒闭事件以及中行、农行、兴业、浦发等银 行巨额虚假贷款、大额资金失踪等舞弊案频频 曝光。究其原因,内部控制存在缺陷是导致企 业不能及时发现和有效控制经营风险,并最终 铤而走险、欺骗社会公众和投资者的重要原 因。在对这些财务舞弊和经营管理失败案例进 行反思后,人们逐渐认识到“有控则强、失控 则弱、无控则乱”的道理,控制失灵难以使事业 持久、基业常青。建立完善的且行之有效的企 业内部控制机制已成为企业的当务之急.
一、内部控制的内涵 人们对内部控制的定义经历了从简单到 复杂、从静态到动态、从以制度为本到以人为 本的一种逻辑演绎,体现了人们对内部控制认 识的逐渐深化,加深了人们对内部控制的进一 步理解,从而使人们对内部控制这一客观事物 的认识更能贴近事物的本原。所谓内部控制, 是由企业建立的,通过约束和激励等手段,以 保障企业各利益相关者的行为能够按契约的 要求进行,并能够促使契约自我优化的一种系 统化的机制,其目的是为了实现企业目标.
二、内部控制发展历程 对内部控制的认识,经历了一个逐渐发展 的过程。美国的内部控制经历了从内部牵制到 二要素法、三要素法到五要素法,日趋完整和 深入,最终发展为全面风险管理框架模式.
1、内部牵制。内部控制的最初形式是内部 牵制,内部牵制以账目间的相互核对为主要内 容,并实施岗位分离,内部牵制机制在减少错 误和舞弊行为上起到了十分重要的作用.
2、二要素法。随着经济的发展和企业组织 规模的扩大,人们发现内部牵制已经越来越不 能适应大型企业需要,因此对内部控制的研究 也越发深入,美国注册会计师协会的审计程序 委员会于1958年10月的《审计程序公告 第29号》将内部控制划分为会计控制和管理 控制,内部控制划分为二要素形式.
3、三要素法。1988年美国注册会计师协 会的审计准则委员会《审计准则公告第 55号》,该公告以“内部控制结构”代替“内部 控制制度”,具体包括三个要素:控制环境、会 计制度、控制程序.
4、五要素法。1996年美国注册会计师协 会《审计准则公告第78号》,全面接受 COSO报告的内容,新准则将内部控制定义为: “由一个企业的董事会、管理层和其他人员实 现的过程,旨在为下列目标提供合理保证:财 务报告的可靠性、经营的效果和效率以及符合 适用的法律和法规”。该准则将内部控制划分 为五种要素:控制环境、风险评估、控制活动、 信息与沟通、监控.
5、全面风险管理框架。2003年7月美国 COSO委员会颁布了企业风险管理框架的讨论 稿,并于2004年4月颁布正式稿。将企业风险 管理的构成分为内部环境、目标制定、事项识 别、风险评估、风险反应、控制活动、信息和沟 通、监控等八个相互关联的要素,各要素贯穿 在企业的管理过程之中.
三、企业风险管理整合框架的诸要素构成 1、内部环境。内部环境是企业风险管理其 他构成要素的基础,为其他要素提供约束和结 构。它影响着战略和目标的制定、经营活动的 组织以及风险的识别、评估和应对,它还影响 着控制活动、信息与沟通体系以及监控措施的 设计与运行。内部环境受企业历史和文化的影 响,包含许多要素,包括风险管理理念、风险容 量、董事会监督、主体中人员的诚信、道德价值 观和胜任能力以及管理者分配权力和职责、组 织员工的方式.
所有这些要素都很重要,但对每个要素的 强调程度会因企业而异。然而,董事会是内部 环境的一个关键部分,它对其他的内部环境要 素有重大影响。因为董事会对管理者独立性、 经验、才干、敬业等方面的监督与审查,对企业 来说至关重要。要想使内部环境有效,董事会 中的独立外部董事必须至少占多数.
内部环境的另一关键要素是企业的风险 管理理念。一个企业的风险管理理念是一整套 共同的信念和态度,它决定着该企业在做任何 事情(从战略制定和执行到日常经营活动)时 如何考虑风险.
2、目标设定。企业在既定的任务和背景 下,制定战略目标、选择战略,并制定相关目 标,将其细分至企业的方方面面,与战略保持 一致并相联系。企业必须先有目标,管理者才 能识别影响它们实现的潜在事项。企业风险管 理确保管理当局采取恰当的程序去设定目标, 确保所设定的目标支持和切合该企业的使命, 并与它的风险容量或风险容限一致.
3、事件识别。管理当局必须识别可能对企 业产生影响的潜在事项。潜在事项具有负面的 或正面的影响,或两者兼而有之。具有潜在负 面影响的代表风险,管理者要对之进行评估和 做出反应。相应地,风险被定义为事项发生并 对目标实现产生不利影响的可能性。具有潜在 正面影响的事项代表机会。代表机会的事项引 导管理者制定战略和相关目标,以便采取行动 抓住机会.
4、风险评估。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角 度对事项进行评估:可能性和影响,并且通常 采用定性和定量相结合的方法。在不要求定量 化的地方,或者在定量评估所需的可靠数据无 法取得或获取和分析数据不具有成本效益时, 管理者通常采用定性评估技术。定量技术精确 度更高,通常应用在更加复杂的活动中,以对 定性技术进行补充。评估风险时既要考虑固有 风险,也要考虑剩余风险。固有风险是管理当 局没有采取任何措施来改变风险的可能性或 影响的情况下,一个企业所面临的风险。剩余 风险是在管理当局应对风险后所残余的风险.
内部控制的风险评估要素范文5
关键词 内部控制 评价主体 评价客体 评价指标
中图分类号:F270 文献标识码:A
对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排。从动态角度看,内部控制评价与内部控制的建立、实施构成了一个完整的循环。在这一循环过程中,评价起到了枢纽的作用。内部控制制度的设计和执行,是否完整、合理和有效,是否存在的缺陷,需要评价予以认定,然后根据评价结果,进行整改,以实现内部控制的持续性改进。但是,内部控制评价系统的构建是一项复杂的系统工程。首先是内部控制是一个开放、动态的复杂系统,决定了内部控制的动态性和复杂性。其次,内部控制评价的结果需面向社会公众,因而评价系统构建就必然要考虑利益相关者的信息需求和市场反应。因此,内部控制评价的先决条件是建立评价体系框架,界定清楚主体、客体和评价指标等内容。
一、内部控制评价主体
不同目的的内部控制评价主体是不同的,例如基于审计目的的内部控制评价主体是注册会计师。关于披露目的的内部控制评价主体,我国财政部等部委于2010年4月20日的《企业内部控制评价指引》指定为董事会;而美国《SOX法案》则指定为管理层。二者之所以会出现差异是因为我国公司股权相对集中,董事会主导企业,而美国公司股权相对分散,管理层主导企业。企业的主导者理应对企业内部控制的建立和执行承担更多责任。有必要说明的是,这里的评价主体指的是内部控制评价报告的责任人,即内部控制评价报告的签字人,而不仅仅是内部控制评价活动的参与者。
董事会之所以是内部控制的主体,是因为尽管股东是企业风险的主要承担者和企业剩余的主要索取者,但是由于股东是企业的外部人,只能是企业内部控制评价报告的主要使用人,而不可能是内部控制评价报告的提供者。董事会做为股东的受托人,取代股东成为了内部控制的直接评价者,股东只是内部控制的间接评价者。之所以强调这一特征,只是想说明基于报告目的的内部控制评价,是由内部人向外部人报告的,为了约束内部人的行为,保护外部人利益,内部控制的评价需要遵循标准的规范,这与注册会计师基于审计目的的内部控制评价不同。
公司治理与内部控制密切相关,因此,分析内部控制评价主体,有必要结合公司治理的特征。公司治理是解决企业问题的一种制度安排,而内部控制通过对会计信息的可靠、企业资产的安全、资产运营的有效性的合理保证对公司治理提供支持。公司治理对象的有两层,一是董事会对经营者的治理,衡量指标是公司的经营绩效;二是股东对董事会的治理,衡量指标是股东的投资回报率。可以看出,董事会是公司治理的关键环节,完善的内部控制必须由良好的公司治理作保证,其中关键是要发挥好董事会的作用。也就是说,要使企业管理当局有足够的动力去执行内部控制,就必须解决所有者和经营者之间的问题,其中的关键是董事会。
二、内部控制评价客体
内部控制评价是对内部控制的“有效性”发表意见。所以,“有效性”即为内部控制的客体。
所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。只要内部控制设计恰当得到了一贯执行,即可视为内部控制对实现控制目标提供了合理保证。
(一)内部控制评价的内容。
内部控制评价的客体包括控制环境、风险评估、控制活动、信息与沟通、监督这五个内部控制要素。其中控制环境包括了诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略等方面。
风险评估包括了公司层面和业务活动两个基本层面。公司层面的风险评估全面考虑影响公司目标实现的各方面因素,从可能性和影响程度两个维度对风险进行分析并确定其重要风险;业务活动层面的风险评估主要针对业务活动层面的不同目标类型先识别出相应的风险,然后分析风险发生的可能性和影响程度,最终确定出风险的重要性。风险评估实施程序依次为目标设置、风险识别、风险分析和风险评价四个步骤。
控制活动由控制政策和程序组成,政策主要描述应当做什么,程序主要描述应当如何做。控制活动的载体是业务流程,即控制活动是通过流程展开的。因此,控制活动的前提有两个,一是梳理业务流程,二是完善制度。
监督是对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并及时进行改进的持续过程。内部控制的有效性是一个持续性的过程,因此,对内部控制的评价也是一个持续的过程。同时,内部控制评价还包括独立评估和缺陷报告等。
(二)内部控制的有效性。
鉴于内部控制的有效性是以完整性和合理性为基础的,所以,对内部控制有效性的评价还需要考虑内部控制的完整性和合理性。
1、内部控制的完整性。
内部控制的完整性主要包含两个方面的含义:一方面是指内部控制要对企业生产经营的全过程进行控制;另一方面是指内部控制要对企业生产经营的各个层面进行控制,从企业层面到业务层面,从高层管理者到普通员工都要被纳入控制。
2、内部控制的合理性。
内部控制的合理性也包含两个方面的含义:一方面是指内部控制设计和执行是否能有效适应企业的运作;另一方面是指内部控制设计和执行是否符合成本配比原则。合理性是内部控制更深层次的要求,内部控制的有效性必须建立在内部控制的合理性之上。
3、内部控制的有效性。
内部控制的有效性也包含两个方面的含义:一方面是指企业建立的内部控制政策和措施符合相关国家法律法规的规定,在企业生产经营过程中能发挥作用;另一方面是指内部控制能够为内部控制目标的实现提供合理保证。内部控制的有效性是对内部控制完整性和有效性的提升,内部控制的完整性与合理性是内部控制有效性的基础,而有效性是完整性与合理性的目标。
三、内部控制评价指标
内部控制评价是一个由评价主体、评价客体、评价指标、评价标准、评价方法和评价报告多要素组成的综合体。内部控制评价系统通过选取评价指标,确立评价标准,并经由一定的评价方法,最终得到一个评价指数,作为评价系统的最终评价结果。要构造一个合理、科学的内部控制评价系统,前提是构造科学的评价指标体系。
根据《企业内部控制基本规范》五要素框架和《内部控制评价指引》,以及《企业内部控制应用指引》,内部控制评价指标可以分为四个级次。一级指标是要素层指标,包括内部环境、风险评估、控制活动、信息与沟通和内部监督。二级指标是规范层或指引层指标,由各要素对应的具体业务活动或者各要素的子要素组成组成。三级指标为政策层指标,由各业务活动对应的控制政策或者各要素的子要素对应的控制政策组成,四级指标为程序层指标,由各控制政策对应的控制程序(即实现措施)组成。例如,一级指标“内部环境”对应组织架构(应用指引第1号)、发展战略(应用指引第2号)、人力资源(应用指引第3号)、社会责任和企业文化(应用指引第4号和第五号);“风险评估”一级指标对应“风险识别”、“风险分析”和“风险应对”等二级指标(子要素);“控制活动”对应不相容职务分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制(子要素)和合同管理(应用指引第16号);“信息与沟通”对应信息系统(应用指引第18号)和内部信息传递(应用指引第17号);“内部监督”对应内部审计、和内部控制评价(内部控制评价指引)。
例如,内部环境一级指标可以分解为组织架构、发展战略、人力资源、社会责任和企业文化等五个二级指标。其中,组织架构二级指标又可以分解为公司治理、内部机构等两个三级指标。其中,公司治理三级指标又可以分解为制衡机制、专门委员会、独立董事、关联交易、三重一大事项和交叉任职等六个四级指标,分别评价评价公司治理结构的科学性和有效性,评价董事会下设专门委员会的规范性,考核独立董事独立性是否流于形式,评价公司关联交易的治理情况理结构,考核公司重大决策、重大事项、重大人事任免及大额资金支付业务的科学规范性,考核“内部人控制”现象等。
参考文献:
内部控制的风险评估要素范文6
关键词:风险导向审计;企业经营风险;风险评估
中图分类号:F239 文献标志码:A 文章编号:1673-291X(2013)08-0135-03
一 、现代风险导向审计的引入
风险导向审计产生于20世纪70年代的西方,当时的注册会计师职业界面临着空前的“诉讼爆炸”,审计人员的风险意识日益增强,风险导向审计应运而生。我国风险导向审计产生于20世纪90年代后期,由于公司经营本身存在的风险,以及审计技术的局限性等,使得注册会计师不可能对所作出的审计意见作完全的保证,而只对有能力作出保证的程度承担责任,这时,审计界就开始探讨风险导向审计运用。
(一)传统风险导向审计的缺陷
在运用传统风险导向审计方法时,审计人员往往不注重从宏观层面上了解企业及其环境,而从较低层面上评估风险,导致审计资源在低风险和高风险审计领域的分配不当,难以保证审计的效率和效果。传统风险导向审计方法注重对账户余额和交易层次风险的评估,但企业处于整个社会经济生活中,所处的经济环境、行业状况、经营目标、企业战略和经营风险都将最终对会计报表产生重大影响。而且,当企业管理当局串通舞弊时,内部控制是失效的。如果不把审计视角扩展到内部控制以外,就不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。因而急需一种全新审计模式来代替它,现代风险导向审计也就应运而生。
(二)现代风险导向审计的含义与特征
风险导向审计是以审计风险的分析和评估为基础,综合考虑评价影响审计风险的各种因素,并将风险水平加以量化,然后以此为根据来确定审计实施的重点和范围,进而对被审事项的真实、公允进行实质性检查。它按照战略管理论和系统论,将由企业整体经营风险所带来的重大错报风险作为一个重要构成要素进行评估,是评估审计风险观念、范围的扩大与延伸。
现代风险导向审计的重点是风险评估整个流程突出对重大错报风险的评估,运用“自上而下”和“自下而上”相结合的审计思路,审计起点从原来的会计报表项目转为从企业的环境、性质、目标战略及业务流程,全面评估企业可能存在的重大风险。
二、审计风险评估体系的建立
风险导向审计模式下审计的程序包括以下步骤:风险评估程序、控制测试、实质性程序,其中风险评估是基础和前提,通过风险评估来确定实施进一步审计程序的性质、时间和范围。
(一)审计风险评估指标体系设计思路。
审计风险是指,会计报表存在重大错报或漏报,而审计人员审计后发表不恰当意见的可能性。根据新的审计准则,总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性,重大错报风险的大小主要取决于生产经营风险的大小,而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。
审计的最根本着眼点就是分析企业所面临的经营风险,审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品,① 其审计风险=企业经营风险+控制风险+检查风险。②
(二)审计风险评估指标体系的构成
审计风险评估指标体系可以依据注册会计师审计准则第1211 号―了解被审计单位及其环境,并评估重大错报风险来确定。
1.外部环境。外部环境对企业的经营和发展产生重要影响,从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。
2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷 ,就有可能造成财务报表出现重大错报。
3.经营活动。被审计单位的经营活动会产生经营风险,而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略,以及为实现目标和战略制定的关键经营流程。
4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。
5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊,如果内部控制不利,被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。
三、审计风险的评估
审计风险的评估方法采用定量分析法与定性法分析相结合的方法,在下面的审计风险评估中,我们采用了因素分析法、① 审计风险模型法、分析性复核等方法。
(一)企业经营风险的评估
企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性,传统的风险评估注重于对账户余额和交易层次风险的评估,在现代风险导向审计下,是从经营风险的评估入手,评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是:在各种情况都比较好的情况下,企业经营的水平应该高于 50%;反之,如果有某种迹象表明有可能存在重大错误,就应该将企业经营风险定为非常高的水平,甚至 100%。
评估企业经营风险的3个具体步骤如下:需要考虑企业经营风险的构成要素及其企业经营风险评估指标;各要素所占的权重以及各要素本身风险值的大小;最后将各要素风险值与其权重加权平均计算出企业经营风险值。
下面举例说明企业经营风险评估的具体实施。
步骤一、经过对企业经营风险要素的识别,从指标体系中,选择一部分指标来进行计算。
它们是企业长期偿债能力指标,盈利能力状况指标,资产营运效率、安全边际指标,顾客满意度,市场占有率,主营业务市场份额等。
步骤二、确定每个指标的取值
A=企业长期偿债能力,B=盈利能力状况,C=资产营运效率,D=安全边际,E=顾客满意度,F=市场占有率,G=主营业务市场份额,H=研究开发新产品周期,I=合格产品比率,以上指标取值均为1― 5 分。
其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大,研究开发新产品周期非常短、合格产品比率非常高。
5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小,研究开发新产品周期非常长、合格产品比率非常低。
运用专家意见法,通过反复多次征求专家意见,形成基本一致的意见。根据专家的意见,假设每个指标取值如下:
需说明的是,本举证仅利用了一个简单的多元比较,而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性(主要取决于审计人员的职业判断)。相关加数值(即各自的权重)是由其上一行的平方根除以4得出。因此,可以计算出个指标的权重如下:
(二)企业控制风险的评估
控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平,仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况:(1)控制政策与程序与认定不相关;(2)控制政策和程序无效;(3)取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为 100%,直接进行实质性测试。如果审计人员将控制风险定为 100%以下的某一水平,则要执行下面的步骤来评估控制风险的水平。
1.根据识别初步评价控制风险
审计人员在评估控制风险时,先了解相关的内部控制流程,识别相关的控制风险,对控制风险水平作一个初步的评估。了解内部控制时,主要从以下方面考虑:(1)每一结构要素中制度和程序如何设计;(2)这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。
2.通过控制测试降低估计的控制风险水平
审计人员决定通过有效方法进一步降低控制风险的估计水平时,可以设计追加的测试程序来进行,包括3种方法:重新执行、进一步观察和文件测试。审计人员进行测试时,应该对3个层次的内部控制进行测试,即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解,所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。
3.控制风险的计量
内部控制是一个系统,按层次可分为3个控制层次,即最高层、中层和基层控制。每一个层次都是一个子系统,3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为:C=1-P;P=P1*P2*P3
其中,C 表示控制风险,P 表示内部控制的可信性,P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先,对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高,则内部控制设计相对较为健全,控制风险较小。在中层控制流程上,所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标,当这一指标越高时,即管理部门的设计越全面,各职能部门之间能起到很好的牵制作用,则控制风险就可能会小些。在基层控制流程上,评估控制风险的指标主要有一定会计期间内的岗位轮换率,业务操作的换人复核率,稽核程序执行率,稽核统计差错率,稽核重大事项的及时报告率等。当这些指标比率较高时,控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合,就可具体地评估出控制风险。
(三)检查风险的评估
检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险,其水平的高低与被审计单位无关,而与审计程序的有效性有关。审计人员能够控制检查风险,但受审计资源、审计时间等要素制约,以及审计人员出于成本效益的考虑,检查风险不能根除。与企业经营风险和控制风险不同,检查风险是根据审计风险模型的公式计算出来的,即:
检查风险=审计风险/企业经营风险*控制风险
检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。
结束语
目前,审计风险评估体系还存在以下下问题:(1)非财务性指标运用较少,如企业面临的竞争环境、潜在的危机等指标如何计入指标体系;(2)非量化的财务指标操作性不强,易纵和受主观因素影响;(3)信息化运用水平不高,未形成统一风险评估软件,评估方法不一;(4)法律制度不健全,从业人员对审计风险重视不够,因此,审计风险评估体系有待完善。
参考文献:
[1] 郭莉.现代风险模型及其推行难点分析[J].审计与经济研究,2006,(6):46-48.
[2] 谢志华,崔学岗.风险导向审计机理与运用 [J].会计研究2006,(7):15-20.