时间:2023-09-26 18:01:22
导语:在企业风险管理要素的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】风险管理 框架
一、中美两国风险管理框架概述
(一)美国COSO-ERM框架
2004年9月,COSO(全国虚假财务报告委员会下属的发起人委员会)在原有《内部控制――整合框架》的基础上了《企业风险管理――整合框架》(以下简称COSO-ERM框架)。该框架所定义的企业风险管理是指:企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。框架要求企业风险管理包括以下8个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
(二)我国企业风险管理框架
在我国,企业风险管理框架主要包括:2006年国资委的《中央企业全面风险管理指引》(以下简称《指引》)与2008年5月财政部的《企业内部控制基本规范》(以下简称《规范》)。《指引》所定义的全面风险管理是指“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”《规范》是在借鉴美国COSO报告的基础上对企业内部控制及风险管理所做的原则规定,《规范》将内部控制定义为由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。这些目标包括:实现企业发展战略;提高经营的效率和效果;保证企业经营管理合法合规;资产的安全;财务报告及相关信息真实完整。《规范》明确了内部环境、风险评估、控制活动、信息与沟通、内部监督构成了我国企业内部控制的五要素。
二、COSO-ERM框架与《指引》、《规范》的要素对比
(一)内部环境
内部环境是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。
表1是COSO-ERM框架与《指引》、《规范》三者(下称“3个框架”)关于内部环境要素的对比分析。
COSO-ERM框架特别强调企业管理层在确定公司文化方面的关键作用,指出了管理层表率作用的重要性,这种表率作用应不仅仅体现在口头上,更要体现在自己的行动中;同时,还着重强调企业的风险管理理念必须被很好地确立和理解、并为员工所信奉。《指引》从中央企业建立风险管理文化、确定可承受目标(即风险容量)和风险管理组织体系等几个方面提出了对中央企业全面风险管理工作的内部环境培育的具体要求。《规范》对内部环境要素的总体描述与COSO-ERM框架相同,并结合中国企业的实际情况,着重强调了建立规范的法人治理、机构设置的“扁平化”及建立并有效实施内部审计机制和反舞弊机制对于完善企业内部控制和风险管理的重要作用。
(二)目标设定
目标设定是事项识别、风险评估和风险应对的前提。在管理层识别和评估实现目标的风险并采取行动来管理风险之前,首先必须有目标。表2是3个框架关于目标设定要素的对比分析。
3个框架基本上都反应了相同或相似的管理和控制目标,那就是:战略目标、经营目标、报告目标、合规目标和保护资产的目标。其中战略目标是企业风险管理最高层次的目标。
(三)事项识别
事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响,或者两者兼而有之。带来负面影响的事项代表风险,它要求管理层予以评估和应对;带来正面影响的事项代表机会,管理层可以将其反馈到战略和目标设定过程之中。在对事项进行识别时,管理层要在组织的全部范围内考虑一系列可能带来风险和机会的内部和外部因素。表3列示了3个框架关于事项识别要素的对比分析。
COSO-ERM框架和《规范》关于企业风险管理和内部控制的外部因素和内部因素及相关事项的描述大致相同,均包括了经济因素、政治(法律)因素、社会因素、技术因素、自然环境因素、人员因素、基础结构因素、安全因素等等。《指引》以专门的一章对风险管理初始信息的搜集提出了详细的要求,它着重从企业战略风险、财务风险、市场风险、运营风险和法律风险等几个方面对应该搜集的初始信息进行了细化,充分体现了COSO-ERM框架和《规范》中所提及的相关因素及事项,对中央企业的信息搜集和事项识别具有指导意义。
(四)风险评估
一个主体要对其识别的风险进行分析,以便形成确定应该如何对风险进行管理的依据,这就是风险评估。风险评估使主体能够考虑潜在事项影响目标实现的程度。在企业风险管理中,风险评估这个构成要素贯穿于企业经营管理活动之中。表4是3个框架关于风险评估要素的比较分析。
3个框架关于风险评估的描述基本相同,都是通过定性或定量抑或两者结合的方法对潜在事项(风险因素)发生的可能性和影响程度进行分析,并根据风险的重要性水平,运用专业判断进行风险排序,重点关注重要风险。
(五)风险应对
在评估了相关的风险之后,企业就要确定如何去应对这些风险。表5是3个框架关于风险应对要素的对比分析。
3个框架基本上均给出了4种类型的风险应对策略,即风险回避策略、风险降低策略、风险分担策略和风险承受策略。企业要结合风险评估情况、企业整体风险承受能力和具体业务层次上的可接受风险水平选择风险应对策略,不同的业务、同一业务的不同时期都有不同的应对策略,同时,要根据实际情况选择风险应对的组合策略。《指引》还强调了企业要正确认识和把握风险和收益相平衡的原则。
(六)控制活动
控制活动是帮助确保管理层所选择的风险应对得以实施的政策和程序。它的发生贯穿于整个组织,遍及各个层级和各个职能部门。表6是3个框架关于风险应对要素的对比分析。
3个框架均强调了职责分离、信息处理、业绩指标、实物控制、高层复核、信息系统控制等重要的控制活动,《指引》与《规范》还强调了授权控制、审核批准控制、预算及分析评价控制、会计系统控制、记录控制等一系列控制活动,并突出了建立重大风险的预警制度、总法律顾问制度及涵盖各个环节的全流程控制。
(七)信息与沟通
一个组织中的各个层级都需要信息,以便识别、评估和应对风险,以及从其他方面去经营主体和实现其目标。而企业内部向下、平行和向上的沟通会促进信息的流动,确保正确的信息以合适的形式和时机传递给员工,以保证员工能履行企业风险管理和其他职责。表7是对3个框架中关于信息与沟通要素的对比分析。
3个框架要求企业要确保信息的质量,指出了设计与利用有效的信息系统并使之与企业的经营战略相结合,如ERP对企业风险管理的重要性;特别强调了要在企业内部通过向下、平行和向上的顺畅沟通,确保正确的信息、以正确的形式、按正确的详细程度、在正确的时间流向正确的人;同时也指出了企业进行外部沟通的方式。
(八)监控
一个主体的企业风险管理随着时间而变化,曾经有效的风险应对可能会变得不相关;控制活动可能会变得不太有效,或者不再被执行;主体的目标也可能变化。面对这些情况,需要对企业风险管理进行监控――随时对其构成要素的存在和运行进行评估。表8列示了3个框架关于监控要素的对比分析。
3个框架分别从不同的侧面对监控的方式、报告的内容、报告的层级及责任追究制度进行了阐述和要求。
三、COSO-ERM框架与《指引》、《规范》的对比小结
通过对COSO-ERM框架与《指引》、《规范》的对比分析,我们可以看出:目前,COSO-ERM框架体系仍然是世界上最具权威的全面风险管理框架体系,具有相当广泛的应用基础,认真研究和借鉴其8要素理念,对于我国企业进一步提高软实力,增强在国际市场上的竞争能力和抵御危机的能力至关重要。
《指引》虽然在形式上没有完全采纳COSO-ERM框架要素体系,但是其全面风险管理的内容也基本涵盖了COSO-ERM框架体系的8要素,并且在各要素方面更加细化,更加贴近我国中央企业实际,体现了国资委作为国有企业出资人的要求,是中央企业推行全面风险管理的纲领性文件。
关键词:内部审计;企业风险框架
一、企业风险管理框架介绍
1 企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2 COSO企业风险管理框架的内容。对于许多企业来说,没有一个普遍认同的关于风险以及风险管理的定义,也缺乏一个概述风险管理运作程序的全面框架,这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下,制定框架有着强烈的驱动力。为了顺应企业的呼声和要求,2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标:战略目标、经营目标、报告目标、合规性目标。要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、以风险导向的内部审计
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。
现在国内外的审计都推行风险导向审计。审计风险模式为:审计风险=重大错报风险×检查风险。在审计过程中,审计师需要实施审计程序,评估重大错报风险,并依据重大错报风险的评估水平确定并实施进一步的审计程序,以便把检查风险降低到一个可以接受的低水平。
站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种审计方法。
三、内部审计与企业风险管理的关系
内部审计即是企业风险管理(内部控制)的一个组成部分,又是企业风险管理(内部控制)的一种特殊形式。
企业风险管理体系包括要素,其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素,持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门,并且应该以内部审计部门为主,因为业务部门主要负责持续监控,长时间从一个角度看问题容易产生偏差,由内部审计部门介入,能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分,评价除自身以外的企业风险管理体系的全部内容。
四、内部审计中企业风险管理框架的应用
在企业风险管理体系中,内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系,以方便地指导内部审计对风险管理体系的评价工作,加强全企业范围内对风险的识别与控制,完善风险管理体系。
1 评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系,更好地控制风险、增加价值。需要注意的是,评价本身不是目的,评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。
2 评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行,评价的内容就是企业风险管理框架中的八要素。
3 评价的方法。评价的方法有很多,有很多不同的评价方法和工具,包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组,对本部门风险管理的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对于内部审计而言,风险管理自评可以让管理部门了解到对风险管理的责任,同时还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
4 评价的报告。评价报告分为两大类,一类是专项评价报告,一类是总体评价报告。
关键词:全面风险管理;管理框架;风险管理审计
中图分类号:C93
文献标志码:A
文章编号:1000-8772(2012)11-0091-02
所谓风险管理审计就是指企业内部审计部门采用一种系统化、规范化的方法作为指引或导向,对企业风险管理进行评价,为企业风险管理提供咨询,对企业风险管理提供合理保证的活动。其目的是控制和减少企业风险,提高企业风险管理效率,帮助企业实现风险管理目标,促进企业增值。风险管理审计是全面风险管理体系的重要组成部分,属于风险管理要素中的监控要素,主要负责对风险的持续监控、单独评价和报告缺陷等,是现代审计一项重要的审计内容和具体职能。企业风险管理框架的建立和完善,为开展风险管理审计提供了一个良好的审计环境。在全面风险管理模式下,风险管理主要责任应由管理层承担,内部审计不是风险管理的设计者和实施者,而是风险管理的确认者,是对风险管理的再管理。笔者拟从自己多年从事企业风险管理审计工作的实际出发,就风险管理审计不可忽视的基本工作谈几点看法。在全面风险管理框架下,要使企业的风险管理审计工作落到实处就必须重视从以下几个方面进行努力。
一、必须明确职能定位,切实强化内部审计的独立性
独立性是审计工作的灵魂,是内部审计职业道德规范的基本要素,独立性与风险管理审计的质量密切相关,内部审计不能直接参与风险管理流程和风险战略决策,应避免直接负责风险管理,承担管理责任。风险管理主要责任应由管理层承担,而不是内部审计。内部审计在风险管理中的职责应在内部审计章程中明确,要保证内部审计在风险管理过程中的职能定位不影响其独立性。
内部审计在企业风险管理中的职能定位不是一成不变的,而是一个逐步变化和延续发展的过程。在企业风险管理框架、程序尚未建立和建立的初期,内部审计主要充当咨询者的身份,向管理层提出构建企业风险管理框架的建议。在企业风险管理框架、程序日趋成熟后,风险管理审计以确认职能为主,对风险管理过程加以评估、监督,辅之以咨询职能,对风险管理过程中出现的问题提供适当的建议和支持。另外,可以借鉴莫茨和夏拉夫的观点,将内部审计部门按照职能划分成两个部分,分别提供确认和咨询服务,两个部分的人员互不交叉重复,使确认和咨询两大业务相互分离,这样有利于保持实质上的独立,使其在发表意见时专业判断不受影响。
二、切实做好风险审计计划编制工作,从源头上控制风险
企业的风险因子很多,风险管理审计、识别和评价关键风险才是恰当的审计策略。审计应从实际出发,遵循务求实效原则,在条件和资源具备时,以重大潜在风险为重点,积极开展全面风险管理审计。也可量力而行,选择投资收购、兼并重组、财务报告、衍生产品交易、法律事务、安全生产、产品营销、财产物资采购、应收账款管理、货币性资产管理等一项或多项业务开展风险管理审计,积累经验,逐步扩大审计范围和内容。无论企业风险管理审计从一个企业的总体来检查评价,还是从一个单独的部门或多个部门的角度来检查评价,所有的风险管理要素都应作为基准包含在内,所有的要素都要得到执行。要利用系统思维的方法去检查评价风险管理问题,将审计检查评价的对象看作由许多相互联系、相互作用的要素组成的具有特定功能的有机整体,不仅要研究分析各要素,而且要分析研究各要素之间的相互联系,更要从系统整体的角度出发,审查评价各种组合风险与衍生风险。
要转变观念,充分认识制订风险审计计划的必要性和重要性,不能走过场和应付。编制风险审计项目计划,既是上市公司内控建设的要求,也是国资委《中央企业全面风险管理指引》的要求。审计部门在确定每年审计计划时,要先对企业风险管理现状进行详细分析,充分考虑企业风险和战略规划,对风险科学地评估和优先排序,确定风险高的领域作为优先安排项目,再根据风险重要性分配审计人员与时间。这有利于提高审计工作效率,合理运用审计资源。在确定具体审计项目时,可将风险管理审计纳入传统审计项目(比如单位负责人经济责任审计)之中,也可开展风险管理专项审计,例如单独开展风险管理审计。通过编制以风险为导向的审计项目计划,确定审计重点,使有限的审计资源分配在风险大、影响全局的审计项目上,保证内部审计的有效性,从而从源头上有效控制风险。
三、不断优化审计手段,切实提高内部审计效率
按风险管理框架建立起来的内控体系是一个庞大的系统工程,涉及到公司的生产、经营、建设、企业文化等方面,还涉及到公司的信息系统如ERP系统和MES系统等,内部审计如果还沿用过去的手工操作,不仅测试工作量大,而且也难以适应信息系统上机测试的要求。信息技术的发展为内部审计带来了准确、快速的辅助工具,为了适应风险管理的需要,要依托现有的审计技术,逐步向联网审计和远程审计方向发展,向事前、事中审计延伸。伴随着各种信息系统的全面实施,内部审计人员的工作环境渐趋网络化和智能化,内审人员要尽可能充分利用全新的网络化审计方法,实施远程审计和实时监督,通过审计信息化手段,协助管理层发现风险,控制风险,提高审计效率和质量。
四、开展风险管理审计需要注意的几个环节
1.学会运用外部专家服务
在开展风险管理审计过程中,当涉及到审计人员较为生疏的领域时,可考虑利用外部专家服务,即聘请在某一领域中具有专门技能、知识和经验的个人或单位提供专业服务,并在审计活动中利用其工作结果。审计部门在利用外部专家服务结果作为审计证据时,应当评价其充分性、相关性及可靠性,并应当对利用外部专家服务结果所形成的审计结论负责。
2.处理好风险管理审计与日常审计业务的关系
开展风险管理审计不应与企业常规审计业务产生冲突。审计部门如能将风险管理审计融人常规审计之中,则会相得益彰。比如在开展单位(部门)负责人离任审计时,可将其在任职期间管理风险状况作为重要评价内容,更有利于评价的全面客观。
3.积极探索风险管理框架下环境审计、安全审计工作的有效途径
开展环境审计和安全审计的主要目的,就是贯彻科学发发展观,使企业和谐、健康、有序的发展,而不是破坏性的、无序地开采。内部审计不仅要协助管理层发现经济环境存在的缺陷,更重要的是协助管理层发现组织环境、生态环境、道德环境、安全等方面存在的薄弱环节,评价公司环境和安全方面的得失,为公司战略目标的实现和价值增值服务。也只有这样,才能得到管理层的重视、才能发挥内部审计价值增值的作用,才能使内部审计更加充满活力。
4.建立完备的风险信息数据库
收集风险信息数据是风险管理审计中的必然选择,因此必须建立完备的风险信息数据库。风险信息数据库应是一套多维度、多层次的风险列表,是内部单位各层面、各类别风险信息的集中存储中心,是对内部各单位开展具体风险分析,应对和监控工作的数据库平台,是进行风险管理评审工作的基石。除包括经济数据资料外,还包括对风险的统一定义、与风险有关的数据、风险事件、风险分解结构模型、风险与部门匹配模型、风险与工作任务匹配模型等。审计工作中可利用这些风险数据库资料,为审计人员预测和发现风险提供导引和帮助。
参考文献:
[1] 杨学东.风险管理审计中应注意的关键问题[J].中国内部审
计,2006,(1).
[2] 孟焰,潘秀丽.企业风险管理审计研究[J].审计研究,2006,(3).
[3] 林朝颖.风险管理审计现存问题与对策探讨[J].内蒙古农业大
关键词:风险管理审计 ;标准 ;内容
Abstract: The enterprise want to survive and development in the complicated business environment, it must strengthen risk management. Internal audit is an important means of enterprise risk management; risk management audit is the effective supervision on the operation status of the overall risk management mechanism. This paper firstly clarifies the definition of risk management audit, and expounds the risk management standards and content.
Keywords: risk management audit; standard; content
中图分类号:F279.23
随着经济全球化发展,市场竞争越来越激烈,企业的经营环境更加充满了不确定性,如何识别、控制和利用好风险,完善企业的内部控制制度,提高企业的风险管理水平,已成为当务之急。内部审计是企业风险管理的重要手段,开展企业风险管理审计,对企业的风险管理进行持续监督评价,已成为企业内部审计新的任务和转型的必然之路。
一、风险管理审计的定义
风险是无法完全规避的,既然无法规避,就需要对其进行管理控制,管理控制的效益、效率、效果如何,就需要对其进行监督评价,就需要开展风险管理审计。所谓企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法作为指引或导向,对企业风险管理进行评价、为企业风险管理提供咨询,对企业风险管理提供合理保证的活动,其目的是提高企业风险管理效率、帮助企业实现风险管理目标、为企业增加价值。风险管理审计是全面风险管理体系的重要组成部分,属于风险管理要素中的监控要素,主要负责对风险的持续监控、单独评价和报告缺陷等。
二、风险管理审计的标准
1、风险管理审计评价标准。风险管理审计评价标准应参考并不固化于以下内容:一是COSO委员会新报告《企业风险管理框架》,它是在1992年COSO委员会颁布的内部控制框架基础上,结合《萨班斯一奥克斯法案》在报告方面的要求,吸收各方风险管理研究成果基础上提出的,具有一定的权威性并为大多数企业所接受;二是政府有关部门结合国情制定的企业风险管理指引等文件规定;三是企业结合本单位实际情况制定的风险管理制度;四是企业制定的发展战略目标和风险管理目标;五是企业存在的潜在风险管理与内外部环境是否适应,是否影响企业持续经营;六是企业发生的风险损失大小与机会利用程度。
2、审计实务标准。开展企业风险管理审计要遵守国际内部审计师协会制定的《内部审计实务标准》,遵守中国内部审计协会制定的《内部审计准则》,它们“为开展并促进多种不同的,具有增值作用的内部审计活动制定了框架”,为内部审计提供了行为标准,是衡量内部审计工作质量的准绳,是开展内部审计工作的保障。因此,它同样也是开展风险管理审计的实务标准,是开展风险管理审计的系统化、规范化的方法。
三、开展风险管理审计的主要内容
1、企业内外部风险管理环境。企业的内部风险管理环境是指建立、加强或削弱特定风险管理政策、程序及其效率的各种因素,是其他所有风险管理要素的基础,是实施风险管理的有力保障,是影响企业风险管理目标实现的核心因素。企业的内部风险管理环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。风险从另一个侧面也可以看作企业的运营对外部环境的不适应性。不掌握这种外部环境,缺乏足够的外部信息资源,就难以识别并评价这种不适应性,对风险识别、评估也不会得出正确的结果。因此,企业的外部环境也同样是风险管理审计的重要内容。
现行的审计准则,无不要求审计人员在组织审计实施时,深入调查了解被审计单位的情况,并把了解熟悉企业的内外部环境,作为确定审计范围、审计重点、制订和调整审计方案的前提,作为选择审计策略的重要方法和途径。这些要求对开展风险管理审计同样是使用的,但是它不仅是做好风险管理审计的前提,更是风险管理审计的重要内容,如果把环境放在风险管理要素之外或仅对环境做一般了解,而不是作为一项审计内容深入检查评价,就不可能从组织的顶端、以一种全局的风险组合观来看待风险,就不可能找到风险管理缺失或失效的真正原因。
2、企业的风险管理制度是否健全有效。企业风险管理制度是企业员工在生产经营活动中进行风险管理共同遵守的规定和准则的总称,如果没有统一的规范性的风险管理制度,风险管理就不可能在企业管理制度体系正常运行下,企业的风险管理制度是否健全有效应作为一项重要审计内容。要通过风险管理制度的审计检查,确认企业中的每个员工都能分享风险的概念,并在日常的生产经营中使用相同的风险语言。要通过制度检查确信企业是否已建立风险管理机制,风险管理机制是否包含了风险管理各项要素,覆盖了所有风险领域和风险种类,风险管理策略是否适当,风险管理体系是否健全,风险管理职责是否明确,风险管理文化是否具备、风险信息是否能够及时沟通、风险是否能够得到及时和持续监控等。
3、审查企业的风险管理体系是否健全并有效运作。一是企业是否建立和健全风险管理基本流程。主要包括收集风险管理信息、进行风险评估、制订风险管理策略、提出和实施风险管理解决方案、对风险管理持续监督与改进等工作;二是企业是否建立了内部控制系统。是否围绕风险管理战略目标,针对企业内部的各项业务管理和重要业务流程存在的风险事项,制定并执行相关的规章制度、程序、政策和措施;三是企业是否建立风险管理组织体系。风险管理职责是否得到明确规定和履行。主要包括是否建立了规范的法人治理结构,是否设立了风险管理职能部门,各业务职能部门或生产经营单元是否执行风险管理职责,正确执行风险管理流程,内部审计或监督部门是否定期对风险管理进行指导、监督、检查、评价等;四是企业是否建立了风险管理信息系统。建立了涵盖风险管理基本流程、内部控制系统各环节和风险管理全部组织体系,风险管理信息能够在各职能部门和业务单元之间集成与共享;五是企业是否建立风险管理文化系统;六是企业的风险管理要求是否融入到企业管理和业务流程当中。要通过审查风险管理体系,确认企业的风险管理是否全过程、全方位和全员、全要素的风险管理控制。
关键词:内部审计;风险管理框架;应用
中图分类号:F239文献标识码:A文章编号:1672-3198(2009)03-0237-02
1引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理——总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程,IIA《标准》确定了风险审计的方向。
2风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析——经营环节分析——剩余风险分析”的思路展开风险分析,确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4结论与建议
4.1结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
本文试从企业风险库的建立及运行方面着手,探讨其对企业风险管理的现实意义;同时从内部审计部门的角度出发,提出若干建议和办法,以期能为企业风险库的建设与运行提供参考意见。
关键词:
内审部门企业风险库
随着企业风险管理工作越来越受到重视,作为风险管理的重要组成部分——风险库也逐步走进了管理层的视野。企业风险库收集、归类、跟踪已识别的各类风险信息,能够帮助管理层特别是内审部门了解、掌握企业的风险现状及变化趋势,是企业风险管理的重要工具。同时,实践当中由企业内审部门承担风险管理工作的情况也屡见不鲜。为此,如何建设及运行企业风险库就成为摆在内审部门面前的一道重要课题。
一、基本原则
企业风险库的建设及运行工作应遵循以下几个原则:
1.先易后难、逐步扩展原则。
企业风险库建设涉及到企业管理和运营方面,内容包括内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,其建设与完善绝非能一日而就。作为企业内审部门,可采用电子表格形式,先将比较熟悉的内控风险、运营风险、财务风险等类风险纳入风险库进行监管,待条件成熟后再将其它风险逐一纳入企业风险库进行跟踪管理。
2.形式规范原则。
企业风险库是企业风险管理的一个重要工具,它承载着企业风险的识别、评估与应对工作;同时它也是一项重要资源,企业管理层从中获取有用的管理信息和风险提示。因此,风险库的形式必须规范,既能承载企业风险管理的日常工作和信息,又能让相关部门在日常业务中借鉴。
3.定期维护原则。
在风险库建立后,运维工作成为关键。没有日常运维的风险库,即使建立时风险数据比较全面,也将逐步脱离企业实际情况,失去其价值。维护周期视企业具体情况而定,但不能少于每月一次。
4.信息化辅助管理原则。
随着企业风险管理工作逐步完善,风险库数据量快速增大,日常维护工作耗费大量人力,运行成本变得高昂;风险库应用在企业内逐步推广,维护及使用部门增多,电子表格的协作受到考验。因此,风险库载体由电子表格向专业软件演化将是一个发展趋势。内审部门在风险库设计及日常运行时应充分考虑到这一因素。
二、风险库建设
必要的人员配置和项目预算是风险库建设和运行的前置条件,决定了风险库建设和日后运行状态的优劣。内审部门应充分意识到风险库在风险管理工作中的重要性,成立项目组安排专门人员结合企业实际情况和相关法律法规,制订风险库建设的步骤、方法等计划;报批项目组人员配置、工作职责、项目预算等;拟订风险的搜集、分类、分级、录入、运维办法等。风险数据库建设人员应包括内部审计、内控、法务、财务、企管等人员;后期维护人员应不少于一人,可视企业规模设为兼职,但必须有确定的人员和工作责职。风险库在内容方面和结构要素方面应包含下面内容:
1.内容方面,
风险库应当包括但不限于下列分类:战略风险、内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,细分之下还包括生产风险、政策风险、道德风险等。风险的纳入应遵循先易后难、逐步扩展原则。
2.要素方面,
风险库应有风险名称、风险描述、分类、等级、控制流程、风险主控部门等要素,内审部门可以根据企业实际情况适当增补部分项目,以达到对风险进行充分管控的目标。风险名称应简单易懂,如“上海办事处售后存货损失风险”。风险描述内容应具体明确。风险分类原则上按内容区别,如内控风险、市场风险、法律风险。风险等级评定时,要考虑具体风险的年发生频次及每次发生的损失金额。控制流程根据企业实际业务流程填写。风险主控部门同时也是风险应对的主要责任部门。风险应对措施不仅包括风险主控部门报送的应对措施,还应包括内审部门对应对措施落实的检查情况。风险状态以风险管理的各个阶段确认,如识别、评估、应对、跟踪、结案等。
三、风险库运行
风险库运行的基本理念是,以数据库作为支撑,通过识别、评估、应对、监控企业风险,对企业管理提供建议,使管理层能够较快做出科学合理的风险决策。同时,跟踪风险的发展状态,实现企业动态风险管理。风险库的运行工作主要包括以下几个方面:
1.识别风险,甄选入库。
风险的识别可依据相关的资料和以前的审计发现,使用清单法、调查法、流程图法和事件树等方法来进行。通过上述方法并广泛走访调查,能够相对全面的识别企业所面临的风险。在经过风险识别后,可得出企业运营中的常见风险,进而根据识别出的风险进行甄选,优先将具有管理效益的风险纳入企业风险库。在确定风险等级时,应考虑年发生频次和每次可能损失金额。当风险项目需要采用总分类管理时,可以采用电子表格的分组功能实现。
2.评估风险,组织应对。
内审部门应对已纳入风险库的风险项目进行分析,明确风险主控部门和控制流程,并督促风险主控部门制定出相应的风险应对策略和具体措施。在应对策略方面,可供选择的有风险回避、风险预防、风险转移和风险授受等。制订具体应对措施时,风险主控部门应根据实际业务情况和可能发生的损失。内审部门应对制订的应对措施进行审核和评估,以确认是否能够达到企业决策的风险管控目标。
3.监控风险,跟踪落实。
内审部门应在企业运营过程中,持续对风险情况进行监控和跟踪。主要途径有风险主控部门定期汇报、日常走访了解、专项审计报告确认等。监控的主要内容包括已识别风险变化情况、风险应对措施实际落地情况和应对风险效果、残余风险和衍生风险情况;针对风险应对措施实际效果考虑是否追加或减少措施。
4.信息共享,全面管理。
内审部门定期整理风险库数据,形成报表传达各风险主控部门,内容包括对各个风险的评估、决策、应对措施和处置结果。风险库日常对风险主控部门和相关管理部门开放各自业务范围内的风险信息权限,能够有效提高工作效率并促进风险管理规范花、制度化,达到全面风险管理的最终目标。综上所述,企业风险库的建设及应用以防范和解决企业风险为主线,通过系统评估和记录企业内控漏洞和风险状况,评判应对措施,有利于加强企业内控工作和增强管理层的风险意识。风险库对于企业建立完善先进的风险管理体系,健全经营管理机制,实现风险“可控、能控、在控”,具有重要的现实意义。
作者:冯安平 单位:江苏新日电动车股份有限公司
参考文献:
[1]方红星、王宏译.企业风险管理-整合框架/美国COSO[M].大连:东北财经大学出版社,2005.9.
COSO的经典性报告《内部控制——整体框架》是内部控制方面的权威性文献,自1992年以来,得到了包括美国在内的多个国家的政府组织和企业的认可,并以此框架为基础制定和了内部控制的框架和文件,如我国财政部等五部委在2008年6月份的《企业内部控制基本规范》就是在我国国情的基础上借鉴了COSO的内部控制报告。尽管该框架受到了各方的认可,但是随着经济和科技的发展,企业的经营环境也在不断的变化,再加上安然公司等舞弊案的出现,使得人们对于COSO的内部控制框架有了质疑。在此背景下,COSO委员会与普华永道会计师事务所于2010年9月份启动了内部控制框架的修订工作,并于2011年12月份了内部控制新框架的征求意见稿,经过1年多的公开征求意见,于2013年5月了的《内部控制——整体框架》(以下简称新框架)的正式报告。COSO委员会要求新框架于2014年12月15日开始生效。COSO新框架有利于帮助组织在业务和经营环境变化了的背景下设计和实施内部控制,在经营和报告目标上扩大了内部控制的应用范围,并做出如何判断内部控制的有效性。众所周知,COSO委员会的经典权威报告除了《内部控制——整体框架》外,还包括其2004年的《企业风险管理——整体框架》(以下简称ERM框架),这二者关系非常密切,有学者认为二者是一致的,有学者则认为ERM框架是内部控制框架的替代,那么二者究竟是什么关系呢?在内部控制新框架中,COSO委员会给出了解释。新框架中内容众多,笔者拟就内部控制新旧框架进行比较并对其与ERM框架的关系进行探讨。
二、内部控制新框架与旧框架比较
内部控制新框架是在旧框架的基础上结合目前全球经济和环境的变化进行更新和修订的,因此,在新框架中,既有与旧框架中内容一致的方面,也有不一致、变化了的方面。
(一)内部控制新旧框架维持不变的方面 (1)内部控制的核心定义。新框架与旧框架中的内部控制核心概念形式上是一致的,基本上沿用了旧框架中内部控制的核心定义,即都给出了一个非常宽泛的定义,都强调了是一个过程,受到人为因素的影响,都是对目标的合理保证。由于内部控制的目标有所改变,因此概念中的目标也相应变化。但总体上来讲,新旧框架中的内部控制的概念基本上没有变化。(2)三目标和五要素形式。与旧框架中一致,新框架采用的仍然是三目标和五要素的形式,而且三个目标中有两个没有变化,即第一个目标——经营的效率和效果与第三个目标——法律、法规的遵循等两个目标的名称没有改变。在五要素的名称上,第五个要素的名称在旧框架中称为“监督”,在新框架中增加了“活动”二字,即为“监督活动”;其余的四个要素如控制环境、风险评估、控制活动、信息与沟通等要素,其名称完全一样,没有任何变化。(3)用于评估内部控制系统有效性的标准没有变化。有效的内部控制系统能为三个目标的实现提供合理的保证。如果内部控制系统是有效的,则组织能够使得经营具有效率和效果、提供可靠的报告、遵循所适用的法律和法规。判断一个内部控制系统是否有效,需要如下步骤:首先判断内部控制系统能否合理保证目标的实现;其次内部控制系统能否合理保证目标的实现,取决于这五个要素是否在同时发挥作用,只有这五个要素同时发挥作用,才能说明内部控制系统可能是有效的;最后,判断这五个要素是否有效,这取决于内部控制要素的17个原则和82个属性是否发挥作用。无论是新框架还是旧框架,评价的标准没有变化,只不过旧框架中没有原则和属性的概念。
(二)内部控制新旧框架发生变化的方面 (1)考虑了业务和经营环境的变化。在新框架中,内部控制的设计更加具有灵活性,其充分考虑了组织业务和经营环境的变化。这些体现环境变化的内容主要包括:期望基于公司治理的视野设计内部控制;考虑全球化的市场和经营的因素;考虑业务的变化及其更加的复杂性;考虑法律、法规、规章和标准的要求和复杂性;期望人员的胜任能力和责任性;使用和依赖日趋发展的科技;期望能够发现和预防舞弊。这样变化使得企业在设计内部控制与环境的联系更加紧密,从而有更好的适用性。(2)经营和报告目标的扩展。从名称上来看,经营目标没有变化,但实质上其经营的目标范围有所扩大,旧框架中经营目标所指的保证经营的效率和效果,主要指达到经营的目标;新框架中经营目标不仅包括经营的目标,还包括达到财务绩效目标以及保证资产不受损失等经营目标。在报告目标上,旧框架中仅指对外列报的财务报告目标,保证财务报告的真实、可靠,其范围界定为对外报告的财务报告;新框架中的报告目标中的“报告”,不仅包括对外的报告,还包括内部的报告,不仅包括财务报告,还包括非财务报告。这些报告的披露要遵循法律法规、准则以及企业政策等所规定的可靠性、及时性、透明性等要求。这无疑增加了报告的内涵、外延和要求,对于各利益相关者都具有非常大的影响。报告目标的扩展不仅增加了企业的成本,而且也加大了注册会计师的审计风险。(3)五要素基础概念中体现的是原则导向。无论新旧框架,采用的均是五要素,但在其基础概念中采用的方式不一致。旧框架中没有明确提出构成各要素的原则,在新框架中针对五个要素,提出了17项原则,而且在原则下面又提出了相应的属性。每一个要素,都对应相应的原则和属性。这17项原则是构成这些要素的基础性理念,也是判断内部控制是否有效的主要标准。原则导向体现了新框架全新的思路和理念,每个企业根据自身的实际情况和环境的变化,根据这些原则,设计适合自身的内部控制,这些都有利于增加内部控制的适用性、时效性和灵活性。但另一方面,由于这些原则不是针对某个特定企业而设定的,而是设计内部控制的一些原则性基础,因此,具体到某个企业如何根据这些原则设计适合于自身的内部控制制度,需要设计企业内部控制的相关组织或人员进行判断,这无疑增加了设计的难度。(4)增加了与经营、合规性和非财务报告目标相关的一些案例和方法。在新框架报中,提供了一些评估内部控制系统有效性工具的一些例子,给出了外部财务报告内部控制的一些方法和例子。新框架给出了这些要素的原则和属性是如何影响外部财务报告的,它给出了一个对管理层非常有用的总结性说明,一个要素下的某一个原则会影响其他要素的有效性,如,控制环境下的原则:组织的诚信和价值观,这一原则会影响控制环境要素下人力资源政策保证雇员理解行为规则并且企业的雇员都在遵循这一政策的有效性,并且会影响信息与沟通要素下比较管理层所获得的数据与信息热线获得数据的偏差,以评估信息数据的质量;还会影响监督活动要素下根据获得的雇员行为和举报热线的结果,内部审计单独评估控制环境的有效性等等。由于被征求意见的大多数人和组织,不建议内部控制旧框架推倒重来,因此,总的来说,新框架是在旧框架基础上结合环境的变化形成的,是变化了的环境下的产物,主要体现在:考虑了业务和环境的变化,如全球化、技术的进步等;扩展了业务和报告的范围;提出了原则导向的五要素基础理念;增加了一些例子来说明如何判断内部控制的有效性,具有较强的操作性。因此,新框架主要是时代的产物,使得内部控制新框架更加灵活和适应实际状况,而且具有针对性。
三、新框架与ERM框架比较
(一)内部控制与企业风险管理的关系 2004年,COSO委员了其另一经典性的报告《企业风险管理——整体框架》(ERM框架),当时很多人以为该框架会取代1992年内部控制框架,但COSO委员会从未过以ERM框架取代1992年内部控制框架的任何声明和文件。我国关于内部控制和企业风险管理的关系,观点主要有以下几种:内部控制是企业风险管理的工具;内部控制是企业风险管理的一部分;企业风险管理是内部控制的高级阶段;内部控制包括企业风险管理等。我国财政部的《企业内部控制基本规范》中融合了1992年框架和ERM框架的内容,属于“旧瓶装新水”,从表面和形式来看是1992年的框架,实质上体现的是2004年ERM的框架的内容。关于内部控制框架和ERM框架的关系,COSO委员会在征求意见稿中认为内部控制是企业风险管理的一个组成部分。企业风险管理比内部控制的内涵要广,它延伸了内部控制的边界,比内部控制更加关注风险。
(二)目标比较 内部控制包括三个目标,即经营、报告和遵循目标;企业风险管理除了包括三个类似的目标外,它还包括第四个目标:战略目标,这是一个比其他三个目标更高层次的目标。战略目标与企业的愿景相联系,合理保证企业战略的实现,经营、报告和遵循目标从属于战略目标。企业风险管理中引入了风险胃口(Risk appetite)和风险容忍(risk tolerance)的概念。风险胃口是与企业愿景相联系的一个词语,它应用于战略的制定,并选择相应的目标。如果设定为风险容忍的层次,则管理层需考虑相应目标的重要性,并将容忍的程度限定在风险胃口内。风险容忍是内部控制的前提条件,但并不是内部控制的一个组成部分。
(三)要素比较 从要素数目上来看,内部控制框架为五要素,而ERM则为八要素,ERM框架增加了目标设定、事项识别和风险应对等三个要素。除了数目上不一致外,在名称上,二者第一个要素和最后一个要素不太一致。单从名称上看,第一个内部控制要素为控制环境,而ERM的第一个要素为内部环境,最后一个内部控制要素为监督活动;ERM的最后一个要素为监督。具体比较如下:(1)控制环境。在ERM框架中,更加强调的是风险管理的哲学和理念,强调的是内部的环境,主要是关于企业考虑风险的态度和特点,反映了它的价值观,并会影响企业文化和经营风格。由于董事会的重要性,企业风险管理框架和内部控制框架中均要求董事会成员中要包含一定数量的独立董事,但二者要求的数量不同,内部控制框架通常要求2名即可,而ERM框架中要求大多数董事都应为外部独立的董事。(2)风险评估。这两个框架均要求对企业内部的、外部的各个层次的风险进行评估,而且均要求评估风险对目标实现的潜在影响。但很显然,企业风险管理框架更加注重风险,它将此要素扩展为四个要素。内部控制框架中没有考虑潜在事项的影响,这部分事项可能会影响企业战略的实施或目标的实现。这两个框架均要求对风险进行评估,但企业风险管理框架对风险评估的要求要高一些,它要求基于固有的和剩余基础来评估风险,这些风险要与战略和目标实现的时间相一致,而且同时要求关注内部相关的风险,一个单独的事项可能会引起多种风险。与内部控制框架一致,企业风险管理框架风险应对的策略包括回避、降低、分担和接受。但企业风险管理框架还要考虑企业风险胃口和风险容忍度。(3)控制活动。控制活动的目的均是根据风险评估的结果所采取的活动,其目的是为了使风险降低到可以承受的范围之内。但内部控制新框架更多地体现了目前科技因素的影响,并考虑了科技对企业的影响。(4)信息与沟通。在信息与沟通方面,ERM的范围更为广泛一些,它所分析的数据,包括来自于过去、现在和将来潜在事项的数据。而内部控制框架则更多地关注数据的质量以及与内部控制相关的数据。至于沟通,均包括内部沟通和外部沟通。(5)监督活动。这两个框架都认为监督活动是为了保证内部控制和企业风险管理发挥作用并能继续适用。不过,内部控制框架代表了更新的观点,包括运用基础的资料进行监督以及要监督外部的服务提供商(如审计师)。可见,企业风险管理框架要素与内部控制要素主要区别在于:一是数量上的区别;二是企业风险管理框架的要素更加关注风险,以及风险与战略的关系;三是内部控制新框架更加体现了现代技术和科技的影响,在要素中融入了科技因素。
[本文系教育部人文社科基金项目“基于社会责任本质揭示的企业社会责任内部控制研究”(项目编号:10YJC790089)阶段性研究成果]
参考文献:
[1]丁红燕:《COSO内部控制新框架的变化及对注册会计师审计的影响》,《中国注册会计师》2012年第12期。
[2]COSO. Internal Control - Integrated Framework (1992), http://.
[3]COSO. Internal Control–Integrated Framework(2013), http://.
一、内部控制理论的演进历史
内部控制的思想和实践历史悠久,其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段,内部控制都被赋予不同的内涵。
(一)内部牵制阶段。一般认为,20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入,数人之耳目通焉”等,均反映了内部牵制的基本原理,即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想,这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。
(二)内部控制制度阶段。20世纪40年代到20世纪70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限,使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化,从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。
1958年,出于审计人员测试与财务报表有关的内部控制的需要,审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。
(三)内部控制结构阶段。20世纪70年代以后,内部控制的理论研究又有了新的发展,研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制,而且后者对前者其实有很大影响,无法在审计时完全忽略。于是,1988年5月AICPA了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,以“内部控制结构”的概念取代了“内部控制制度”。该公告认为:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并指出内部控制结构包括三个组成要素:控制环境,会计制度和控制程序。从而,内部控制从“制度二分法”步入“结构分析法”阶段,这是内部控制发展史上的一次重要改变。
(四)内部控制整体框架阶段。1992年9月,由美国注册会计师协会、美国会计学会(AAA)、国际内部审计师协会(IIA)、财务经理协会(FEI)以及管理会计师协会(IMA)共同组成的COSO委员会了指导内部控制实践的纲领性文件COSO研究报告:《内部控制——整体框架》(IC-IF),并于1994年作了修改。该报告重新定义了内部控制:“内部控制是受董事会、管理当局和其他职员影响,为企业经营活动的效率和效果、财务报告的可靠性,相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多有价值的新观点,阐述了内部控制的各个组成部分,客观地指出了内部控制的局限性,而且明确了不同人员在内部控制中的角色和责任。
二、企业风险管理框架
自COSO报告以来,内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对该框架提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合(朱荣恩、贺欣,2003)。因此2004年9月,COSO委员会在1992年的COSO报告的基础上,结合《萨班斯——奥克斯利法案》在报告方面的要求,颁布了《企业风险管理整体框架》的报告(ERM)。该报告把企业风险管理定义为:“企业风险管理是一个受企业的董事会、管理当局和其他职员影响,应用于战略制定并贯穿于整个企业,用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险,为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。企业风险管理的信息流程如下图所示:
图在文尾!
企业风险管理的信息流程
该流程并不代表风险管理的组织流程,但可以从信息流的角度透视企业的风险管理流程。企业风险管理的信息流程描述如下:由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好;董事会与经理层设定包括战略目标及其他相关目标在内的目标体系,在设定目标时,要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会;确定了目标,企业就要考虑其所面临的内部因素和外部因素,并识别相关可能带来潜在不利影响的事项(风险);在风险评估部分评价风险损失额和风险发生概率,同时考虑剩余风险;采用组合风险观和其他具体的应对措施来应对风险;在控制活动环节继续落实有助于风险反应的政策和措施,并报告结果。然后,从控制活动环节返回到事项识别环节,重复事项识别、风险评估、风险反应、控制活动这个流程;监控则对上述所有环节的效率和效果进行监督和控制。
企业风险管理整体框架与内部控制整体框架相比,有以下几种变化:第一,目标的拓展。由IC-IF的三个目标——经营、财务报告和遵循性,扩大到ERM的四个目标——战略、经营、报告和遵循性,两者中只有经营和遵循性这两个目标的定义相同。IC-IF中的财务报告目标只与公开披露的财务报告的可靠性相关,而ERM中的报告目标的范围有很大的扩展,包括企业所有对内和对外的报告,报告目标的范围从仅仅关注财务信息扩展到同时关注非财务信息。此外,ERM还增加了战略目标,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现在企业战略制定阶段就考虑一系列备选方案的风险因素,从而使 ERM 的应用深入到了战略制定层次。第二,要素的增加。ERM 增加了目标设定,事项识别和风险反应这三个与风险密切相关的要素,遵循了“目标——风险——控制”的逻辑顺序,充分体现了对风险的关注。第三,对原有要素内容的充实和丰富。在内部环境要素中,ERM更直接关注企业的风险文化与风险偏好。在风险评估要素中,倾向于更准确地进行风险评估,采用定性或定量的方法对事项发生的后果和可能性进行估计,并将风险与相关的目标联系起来。在信息与沟通要素中,考虑了来自历史、现在和将来潜在的事项和沟通方式,并要求与企业信息系统整合。此外,ERM还明确了控制活动的目的,指出控制是有助于确保管理层的风险反应措施得以执行的政策和程序。第四,提出了风险组合观的概念,全面贯彻了风险理念。ERM要求管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险保持在风险偏好的范围内。因为对企业内部各个部门而言,其风险可能落在该部门的风险容忍度范围内,但从企业总体来看,总风险则有可能超过企业总体的风险偏好范围。
三、内部控制与风险管理日益融合
实行内部控制和风险管理都是为了维护投资者利益,实现企业目标。内部控制的起源较风险管理要早。最初的内部控制是随着生产的大规模化和资本社会化产生的,是互相牵制的思想,通常采取账目核对的方法,以确保财产安全和账目正确。风险管理则是在新技术和市场条件下出现的,风险管理是内部控制概念的自然延伸。关于这点,可以从企业风险管理框架的变化中得到证明。框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,几乎所有的公司都有一大套管理制度,这些制度大到包括对外投资,小到包括差旅费报销等,应有尽有。因此,董事会与管理层往往认为,这些制度的贯彻与执行就是内部控制的所有内容。其实,企业的管理资源是有限的,控制也是需要成本的,如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求末。如有些企业在差旅费报销的规定上长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。所以,框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上而不是放在所有细小环节上,将风险管理作为内部控制的最主要内容,这是一个革命性的变化。
四、结语
内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂,企业不可避免地会遇到各种风险,因此企业应建立风险管理机制,以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出,不论是1992年的《内部控制——整体框架》,还是2004年的《企业风险管理——整体框架》,均把风险管理作为主要的内部控制要素,强调识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。可见,内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
————————
参考文献
[1]《内部控制问题研究》课题组:《基于公司治理结构的内部控制有关问题研究》,《会计论坛》2005年第2期。
[2]金彧昉、李若山、徐明磊:《COSO报告下的内部控制新发展——从中航油事件看企业风险管理》,《会计研究》2005年第2期。
[3]陈关亭:《我国企业内部控制缺陷的评析与建议》,《财务与会计》(理论版)2006年第4期。
[4]林玮:《内部控制概念的演进及其与公司治理的关系》,《福建金融管理干部学院学报》2005年第5期。
关键词:内部控制 风险管理 关系
随着经济的不断发展,公司制企业犹如雨后春笋般涌现在市场上,因而市场竞争也越来越激烈,这就导致了公司的经营和财务风险不断增加,致使企业面临倒闭的危险。企业要想快速健康的发展就必须进行有效的风险防范,规避风险的有效措施就是进行内部控制与风险管理。如果企业内部控制与风险管理所解决的问题不一致就会增加企业控制的成本,如果两者所解决的问题是一致的就没有必要制定两种控制规范。由此看来研究企业内部控制与风险管理之间的关系对于建立有效的企业控制体系和完善现代企业制度有着深刻的意义。本文主要从以下几个方面阐述企业内部控制与风险管理之间的关系,并提出了自己的见解。
一、企业内部控制与风险管理的关系分析
(一)风险管理包含内部控制
企业内部控制是目前企业内部进行风险管理的一项重要方法,企业进行风险管理的主要目的是有效减少企业经营不善所带来的损失,有效规避企业的各项风险从而保证企业又快又好的发展。风险管理主要由八项要素组成: 内部环境、事件识别、目标设定、风险评估、风险对策、控制活动、信息与沟通以及监督。而内部控制主要由五项要素组成: 控制环境、风险评估、控制活动、信息与沟通、监督。由此可以看出内部控制包含在风险管理之中。企业进行风险管理能有效的预测风险、发现风险,从而降低风险所带来的影响。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序,主要是通过目标制定过程和事后的控制来实现其自身的目标,不必设立企业的具体经营目标,只需评价目标的制定过程,是企业进行风险管理的一项重要职能。与此同时,内部控制以企业风险为主要制定依据,在某些情况下甚至完全依靠企业风险来制定。所以,企业内部控制对于风险管理发挥有着重要作用,应该被企业管理者看作是企业风险管理的一个重要组成方面。当然企业内部控制更是企业风险管理的基石,作为风险管理的一部分,如果企业缺少内部控制就不能进行有效的风险管理,从而导致企业不能健康稳步的发展。
(二)内部控制等同于风险管理
内部控制与风险管理之间还存在着一种观点,即内部控制就是风险管理。企业内部控制所使用的风险控制方式包含了风险控制的目的, 如果企业内部控制没有指定其实施的目标那么其实现方式与手段也就显得毫无意义。企业进行风险管理需要必要的风险控制的方式和手段, 如果缺少必要的控制方式与手段,其风险管理的目的也无法实现。由此看来,企业内部控制与风险管理的目的是一致的,理论上其风险控制系统没有差异,内部控制是风险管理外延的扩展,其在发展的过程中逐渐变为同一事物。企业内部控制是在财产不安全和信息不真实的基础上所产生的,企业风险的产生大多是企业进行决策的失误,内部控制从自身而言,就是风险控制, 进而控制风险以求达到企业风险的管理的目的。
(三)企业内部控制与风险管理互为前提
企业进行风险管理的目的不仅仅是规避风险,而是要事先预测企业承受风险的能力,企业只有将风险控制在所能承受的范围内才能保证企业的良好发展。从逻辑的角度来推理,企业的风险是来源于对未来收益的不确定性,因而企业进行有效的经营管理就是有效的对风险进行控制,企业风险控制就是企业风险管理。企业进行风险管理的目的就是实现企业利益的最大化,使收益达成企业的目标。从一定程度上讲,只有把企业风险降到最低才能实现企业利益的最大化。但是进行任何风险控制都会产生成本,这就导致了企业经营成本的增加,需要企业管理者在风险控制成本与风险控制效益之间做出权衡,尽可能的减少企业经营的成本。总之,企业的设立始终与风险相伴,而风险是否发生则与企业的决策有着重大关系,从这个意义出发,企业内部控制与风险管理互为前提,都属于企业管理的范畴,两者的目的都是为了进行有效的风险控制从而实现企业利益的最大化。
二、企业内部控制与风险管理的关系是异是同
对于企业控制与风险管理,对二者的关系有各种不同的看法, 一般都认为二者是密不可分的,互相联系的。笔者也认为,尽管二者在字面意思上存在差异, 但企业内部控制与风险管理是相辅相成的,缺一不可,就其实质而言是相同的。从历史的演变来看,两者具有同一性。无论是企业内部控制还是风险管理,其实际要达到的目的,也都是有效避免企业在经营过程中所存在的风险,例如,企业性质由自然人企业向公司制企业过渡,其风险控制也由内部控制发展为风险管理。此外,COSO内部控制标准的名称为“企业风险管理框架”,也将内部控制与风险管理紧密的结合在一起。实践证明,企业的风险是不能完全消除的,只能使用一些有效的管理措施进行防范,而且,企业必须具备承担一定风险的能力,不然在竞争激烈的市场中无法生存下去。
三、结束语
企业内部控制与风险管理的关系是紧密相连的,它们之间的关系存在着以下三种观点:第一种观点是风险管理包含内部控制, 第二种观点是等同关系, 第三种观点是互为前提关系。既然两者的关系如此密切甚至完全等同,这就要求企业管理者充分认识到这两者的作用,以内部控制为方法构成一个企业风险管理的有机整体,从而实现企业利益的最大化。
参考文献:
[1]谢志华.内部控制、公司治理、风险管理: 关系与整合[J].会计研究,2007
[2]丁友刚,胡兴国.内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007
购物车(0)