時間:2023-09-26 18:01:22
導語:在企業風險管理要素的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
【關鍵詞】風險管理 框架
一、中美兩國風險管理框架概述
(一)美國COSO-ERM框架
2004年9月,COSO(全國虛假財務報告委員會下屬的發起人委員會)在原有《內部控制――整合框架》的基礎上了《企業風險管理――整合框架》(以下簡稱COSO-ERM框架)。該框架所定義的企業風險管理是指:企業風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。框架要求企業風險管理包括以下8個相互關聯的構成要素:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。
(二)我國企業風險管理框架
在我國,企業風險管理框架主要包括:2006年國資委的《中央企業全面風險管理指引》(以下簡稱《指引》)與2008年5月財政部的《企業內部控制基本規范》(以下簡稱《規范》)。《指引》所定義的全面風險管理是指“企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。”《規范》是在借鑒美國COSO報告的基礎上對企業內部控制及風險管理所做的原則規定,《規范》將內部控制定義為由企業董事會、監事會、經理層和全體員工共同實施的、旨在實現控制目標的過程。這些目標包括:實現企業發展戰略;提高經營的效率和效果;保證企業經營管理合法合規;資產的安全;財務報告及相關信息真實完整。《規范》明確了內部環境、風險評估、控制活動、信息與溝通、內部監督構成了我國企業內部控制的五要素。
二、COSO-ERM框架與《指引》、《規范》的要素對比
(一)內部環境
內部環境是企業風險管理所有其他構成要素的基礎,為其他要素提供約束和結構。它影響著戰略和目標如何制訂、經營活動如何組織及如何識別、評估風險并采取行動。它還影響著控制活動、信息與溝通體系和監控措施的設計與運行。
表1是COSO-ERM框架與《指引》、《規范》三者(下稱“3個框架”)關于內部環境要素的對比分析。
COSO-ERM框架特別強調企業管理層在確定公司文化方面的關鍵作用,指出了管理層表率作用的重要性,這種表率作用應不僅僅體現在口頭上,更要體現在自己的行動中;同時,還著重強調企業的風險管理理念必須被很好地確立和理解、并為員工所信奉。《指引》從中央企業建立風險管理文化、確定可承受目標(即風險容量)和風險管理組織體系等幾個方面提出了對中央企業全面風險管理工作的內部環境培育的具體要求。《規范》對內部環境要素的總體描述與COSO-ERM框架相同,并結合中國企業的實際情況,著重強調了建立規范的法人治理、機構設置的“扁平化”及建立并有效實施內部審計機制和反舞弊機制對于完善企業內部控制和風險管理的重要作用。
(二)目標設定
目標設定是事項識別、風險評估和風險應對的前提。在管理層識別和評估實現目標的風險并采取行動來管理風險之前,首先必須有目標。表2是3個框架關于目標設定要素的對比分析。
3個框架基本上都反應了相同或相似的管理和控制目標,那就是:戰略目標、經營目標、報告目標、合規目標和保護資產的目標。其中戰略目標是企業風險管理最高層次的目標。
(三)事項識別
事項是源于內部或外部的影響戰略實施或目標實現的事故或事件。事項可能帶來正面或負面的影響,或者兩者兼而有之。帶來負面影響的事項代表風險,它要求管理層予以評估和應對;帶來正面影響的事項代表機會,管理層可以將其反饋到戰略和目標設定過程之中。在對事項進行識別時,管理層要在組織的全部范圍內考慮一系列可能帶來風險和機會的內部和外部因素。表3列示了3個框架關于事項識別要素的對比分析。
COSO-ERM框架和《規范》關于企業風險管理和內部控制的外部因素和內部因素及相關事項的描述大致相同,均包括了經濟因素、政治(法律)因素、社會因素、技術因素、自然環境因素、人員因素、基礎結構因素、安全因素等等。《指引》以專門的一章對風險管理初始信息的搜集提出了詳細的要求,它著重從企業戰略風險、財務風險、市場風險、運營風險和法律風險等幾個方面對應該搜集的初始信息進行了細化,充分體現了COSO-ERM框架和《規范》中所提及的相關因素及事項,對中央企業的信息搜集和事項識別具有指導意義。
(四)風險評估
一個主體要對其識別的風險進行分析,以便形成確定應該如何對風險進行管理的依據,這就是風險評估。風險評估使主體能夠考慮潛在事項影響目標實現的程度。在企業風險管理中,風險評估這個構成要素貫穿于企業經營管理活動之中。表4是3個框架關于風險評估要素的比較分析。
3個框架關于風險評估的描述基本相同,都是通過定性或定量抑或兩者結合的方法對潛在事項(風險因素)發生的可能性和影響程度進行分析,并根據風險的重要性水平,運用專業判斷進行風險排序,重點關注重要風險。
(五)風險應對
在評估了相關的風險之后,企業就要確定如何去應對這些風險。表5是3個框架關于風險應對要素的對比分析。
3個框架基本上均給出了4種類型的風險應對策略,即風險回避策略、風險降低策略、風險分擔策略和風險承受策略。企業要結合風險評估情況、企業整體風險承受能力和具體業務層次上的可接受風險水平選擇風險應對策略,不同的業務、同一業務的不同時期都有不同的應對策略,同時,要根據實際情況選擇風險應對的組合策略。《指引》還強調了企業要正確認識和把握風險和收益相平衡的原則。
(六)控制活動
控制活動是幫助確保管理層所選擇的風險應對得以實施的政策和程序。它的發生貫穿于整個組織,遍及各個層級和各個職能部門。表6是3個框架關于風險應對要素的對比分析。
3個框架均強調了職責分離、信息處理、業績指標、實物控制、高層復核、信息系統控制等重要的控制活動,《指引》與《規范》還強調了授權控制、審核批準控制、預算及分析評價控制、會計系統控制、記錄控制等一系列控制活動,并突出了建立重大風險的預警制度、總法律顧問制度及涵蓋各個環節的全流程控制。
(七)信息與溝通
一個組織中的各個層級都需要信息,以便識別、評估和應對風險,以及從其他方面去經營主體和實現其目標。而企業內部向下、平行和向上的溝通會促進信息的流動,確保正確的信息以合適的形式和時機傳遞給員工,以保證員工能履行企業風險管理和其他職責。表7是對3個框架中關于信息與溝通要素的對比分析。
3個框架要求企業要確保信息的質量,指出了設計與利用有效的信息系統并使之與企業的經營戰略相結合,如ERP對企業風險管理的重要性;特別強調了要在企業內部通過向下、平行和向上的順暢溝通,確保正確的信息、以正確的形式、按正確的詳細程度、在正確的時間流向正確的人;同時也指出了企業進行外部溝通的方式。
(八)監控
一個主體的企業風險管理隨著時間而變化,曾經有效的風險應對可能會變得不相關;控制活動可能會變得不太有效,或者不再被執行;主體的目標也可能變化。面對這些情況,需要對企業風險管理進行監控――隨時對其構成要素的存在和運行進行評估。表8列示了3個框架關于監控要素的對比分析。
3個框架分別從不同的側面對監控的方式、報告的內容、報告的層級及責任追究制度進行了闡述和要求。
三、COSO-ERM框架與《指引》、《規范》的對比小結
通過對COSO-ERM框架與《指引》、《規范》的對比分析,我們可以看出:目前,COSO-ERM框架體系仍然是世界上最具權威的全面風險管理框架體系,具有相當廣泛的應用基礎,認真研究和借鑒其8要素理念,對于我國企業進一步提高軟實力,增強在國際市場上的競爭能力和抵御危機的能力至關重要。
《指引》雖然在形式上沒有完全采納COSO-ERM框架要素體系,但是其全面風險管理的內容也基本涵蓋了COSO-ERM框架體系的8要素,并且在各要素方面更加細化,更加貼近我國中央企業實際,體現了國資委作為國有企業出資人的要求,是中央企業推行全面風險管理的綱領性文件。
關鍵詞:內部審計;企業風險框架
一、企業風險管理框架介紹
1 企業風險管理的定義。2003年7月美國COSO(全美反舞弊性財務報告委員會發起組織)委員會的《企業風險管理框架》征求意見稿中對其定義“企業風險管理是4"由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。這是一個廣義的風險管理定義,適用于各種類型的組織、行業和部門。
2 COSO企業風險管理框架的內容。對于許多企業來說,沒有一個普遍認同的關于風險以及風險管理的定義,也缺乏一個概述風險管理運作程序的全面框架,這使得董事會成員和管理層之間進行風險交流變得異常困難。在這背景下,制定框架有著強烈的驅動力。為了順應企業的呼聲和要求,2003年7月美國COSO委員會頒布了企業風險管理框架的討論稿。討論稿描述了企業風險管理框架包括四類目標:戰略目標、經營目標、報告目標、合規性目標。要素:內部環境、目標制定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。
二、以風險導向的內部審計
內部審計是在一個組織內部建立的一種獨立的評價活動,并作為對該組織的活動進行審查和評價的一種服務。內部審計的目的是協助該組織的管理成員有效地履行他們的職責。內部審計的發展趨勢是有財務審計到財務審計與管理審計并重。
現在國內外的審計都推行風險導向審計。審計風險模式為:審計風險=重大錯報風險×檢查風險。在審計過程中,審計師需要實施審計程序,評估重大錯報風險,并依據重大錯報風險的評估水平確定并實施進一步的審計程序,以便把檢查風險降低到一個可以接受的低水平。
站在企業立場的內部審計師更多的把風險導向審計中的“風險”擴大為企業或組織在經營過程中面臨的不能實現其目標的各種風險,所以內部審計領域的風險導向審計是以影響企業經營目標實現的經營風險為依據確定審計項目,以企業進行的所有降低風險的活動為測試重點,評價風險降低的充分性和有效性,并提出恰當的降低風險的建議的一種審計方法。
三、內部審計與企業風險管理的關系
內部審計即是企業風險管理(內部控制)的一個組成部分,又是企業風險管理(內部控制)的一種特殊形式。
企業風險管理體系包括要素,其中監控又分為持續監控與個別評價。持續監控的對象是除監控外的七大要素,持續監控的主體是各直接進行風險管理的業務部門。個別評價的對象是除監控外的七大要素和持續監控。個別評價的主題是內部審計部門和業務部門,并且應該以內部審計部門為主,因為業務部門主要負責持續監控,長時間從一個角度看問題容易產生偏差,由內部審計部門介入,能有效地糾正這種偏差。作為個別評價的內部審計是企業風險管理的一部分,評價除自身以外的企業風險管理體系的全部內容。
四、內部審計中企業風險管理框架的應用
在企業風險管理體系中,內部審計是對企業風險管理有效性的評價。本文試圖建立一個風險管理評價體系,以方便地指導內部審計對風險管理體系的評價工作,加強全企業范圍內對風險的識別與控制,完善風險管理體系。
1 評價的目的。內部審計對企業風險管理有效性評價的目的在于完善企業風險管理體系,更好地控制風險、增加價值。需要注意的是,評價本身不是目的,評價過程中內審人員與各部門的溝通以及評價后相應改進措施比評價本身更為重要。
2 評價的內容。內部審計人員對企業風險管理的評價可分為總體和業務兩個層面進行,評價的內容就是企業風險管理框架中的八要素。
3 評價的方法。評價的方法有很多,有很多不同的評價方法和工具,包括一覽表、問券以及流程圖技術等。這里介紹2種模式。(1)風險管理自評。風險管理自評的方法就是要求審計人員與被審計部門管理人員組成一個小組,對本部門風險管理的恰當性和有效性進行評估,然后根據評估提出審計報告,由管理者實施。對于內部審計而言,風險管理自評可以讓管理部門了解到對風險管理的責任,同時還可以提高審計的效率和效果,減少審計人員的工作量,節省審計時間。(2)風險管理矩陣法。風險管理矩陣法是審計人員根據企業經常目標、風險與控制之間的聯系,為確保審計建議能針對重要的風險而建立的一張工作表。
該表包含了下列信息:明確企業的經營目標,審計人員對被審計事項的初步了解,根據初步了解的情況識別風險因素,衡量風險的重要程度,采取適當的控制措施,審計人員的評價和結論。
內部審計人員通常在測試的最后階段來做這個矩陣,其優點是清楚地反映出對每一目標的測試和評價,有助于關注重要風險。
4 評價的報告。評價報告分為兩大類,一類是專項評價報告,一類是總體評價報告。
關鍵詞:全面風險管理;管理框架;風險管理審計
中圖分類號:C93
文獻標志碼:A
文章編號:1000-8772(2012)11-0091-02
所謂風險管理審計就是指企業內部審計部門采用一種系統化、規范化的方法作為指引或導向,對企業風險管理進行評價,為企業風險管理提供咨詢,對企業風險管理提供合理保證的活動。其目的是控制和減少企業風險,提高企業風險管理效率,幫助企業實現風險管理目標,促進企業增值。風險管理審計是全面風險管理體系的重要組成部分,屬于風險管理要素中的監控要素,主要負責對風險的持續監控、單獨評價和報告缺陷等,是現代審計一項重要的審計內容和具體職能。企業風險管理框架的建立和完善,為開展風險管理審計提供了一個良好的審計環境。在全面風險管理模式下,風險管理主要責任應由管理層承擔,內部審計不是風險管理的設計者和實施者,而是風險管理的確認者,是對風險管理的再管理。筆者擬從自己多年從事企業風險管理審計工作的實際出發,就風險管理審計不可忽視的基本工作談幾點看法。在全面風險管理框架下,要使企業的風險管理審計工作落到實處就必須重視從以下幾個方面進行努力。
一、必須明確職能定位,切實強化內部審計的獨立性
獨立性是審計工作的靈魂,是內部審計職業道德規范的基本要素,獨立性與風險管理審計的質量密切相關,內部審計不能直接參與風險管理流程和風險戰略決策,應避免直接負責風險管理,承擔管理責任。風險管理主要責任應由管理層承擔,而不是內部審計。內部審計在風險管理中的職責應在內部審計章程中明確,要保證內部審計在風險管理過程中的職能定位不影響其獨立性。
內部審計在企業風險管理中的職能定位不是一成不變的,而是一個逐步變化和延續發展的過程。在企業風險管理框架、程序尚未建立和建立的初期,內部審計主要充當咨詢者的身份,向管理層提出構建企業風險管理框架的建議。在企業風險管理框架、程序日趨成熟后,風險管理審計以確認職能為主,對風險管理過程加以評估、監督,輔之以咨詢職能,對風險管理過程中出現的問題提供適當的建議和支持。另外,可以借鑒莫茨和夏拉夫的觀點,將內部審計部門按照職能劃分成兩個部分,分別提供確認和咨詢服務,兩個部分的人員互不交叉重復,使確認和咨詢兩大業務相互分離,這樣有利于保持實質上的獨立,使其在發表意見時專業判斷不受影響。
二、切實做好風險審計計劃編制工作,從源頭上控制風險
企業的風險因子很多,風險管理審計、識別和評價關鍵風險才是恰當的審計策略。審計應從實際出發,遵循務求實效原則,在條件和資源具備時,以重大潛在風險為重點,積極開展全面風險管理審計。也可量力而行,選擇投資收購、兼并重組、財務報告、衍生產品交易、法律事務、安全生產、產品營銷、財產物資采購、應收賬款管理、貨幣性資產管理等一項或多項業務開展風險管理審計,積累經驗,逐步擴大審計范圍和內容。無論企業風險管理審計從一個企業的總體來檢查評價,還是從一個單獨的部門或多個部門的角度來檢查評價,所有的風險管理要素都應作為基準包含在內,所有的要素都要得到執行。要利用系統思維的方法去檢查評價風險管理問題,將審計檢查評價的對象看作由許多相互聯系、相互作用的要素組成的具有特定功能的有機整體,不僅要研究分析各要素,而且要分析研究各要素之間的相互聯系,更要從系統整體的角度出發,審查評價各種組合風險與衍生風險。
要轉變觀念,充分認識制訂風險審計計劃的必要性和重要性,不能走過場和應付。編制風險審計項目計劃,既是上市公司內控建設的要求,也是國資委《中央企業全面風險管理指引》的要求。審計部門在確定每年審計計劃時,要先對企業風險管理現狀進行詳細分析,充分考慮企業風險和戰略規劃,對風險科學地評估和優先排序,確定風險高的領域作為優先安排項目,再根據風險重要性分配審計人員與時間。這有利于提高審計工作效率,合理運用審計資源。在確定具體審計項目時,可將風險管理審計納入傳統審計項目(比如單位負責人經濟責任審計)之中,也可開展風險管理專項審計,例如單獨開展風險管理審計。通過編制以風險為導向的審計項目計劃,確定審計重點,使有限的審計資源分配在風險大、影響全局的審計項目上,保證內部審計的有效性,從而從源頭上有效控制風險。
三、不斷優化審計手段,切實提高內部審計效率
按風險管理框架建立起來的內控體系是一個龐大的系統工程,涉及到公司的生產、經營、建設、企業文化等方面,還涉及到公司的信息系統如ERP系統和MES系統等,內部審計如果還沿用過去的手工操作,不僅測試工作量大,而且也難以適應信息系統上機測試的要求。信息技術的發展為內部審計帶來了準確、快速的輔助工具,為了適應風險管理的需要,要依托現有的審計技術,逐步向聯網審計和遠程審計方向發展,向事前、事中審計延伸。伴隨著各種信息系統的全面實施,內部審計人員的工作環境漸趨網絡化和智能化,內審人員要盡可能充分利用全新的網絡化審計方法,實施遠程審計和實時監督,通過審計信息化手段,協助管理層發現風險,控制風險,提高審計效率和質量。
四、開展風險管理審計需要注意的幾個環節
1.學會運用外部專家服務
在開展風險管理審計過程中,當涉及到審計人員較為生疏的領域時,可考慮利用外部專家服務,即聘請在某一領域中具有專門技能、知識和經驗的個人或單位提供專業服務,并在審計活動中利用其工作結果。審計部門在利用外部專家服務結果作為審計證據時,應當評價其充分性、相關性及可靠性,并應當對利用外部專家服務結果所形成的審計結論負責。
2.處理好風險管理審計與日常審計業務的關系
開展風險管理審計不應與企業常規審計業務產生沖突。審計部門如能將風險管理審計融人常規審計之中,則會相得益彰。比如在開展單位(部門)負責人離任審計時,可將其在任職期間管理風險狀況作為重要評價內容,更有利于評價的全面客觀。
3.積極探索風險管理框架下環境審計、安全審計工作的有效途徑
開展環境審計和安全審計的主要目的,就是貫徹科學發發展觀,使企業和諧、健康、有序的發展,而不是破壞性的、無序地開采。內部審計不僅要協助管理層發現經濟環境存在的缺陷,更重要的是協助管理層發現組織環境、生態環境、道德環境、安全等方面存在的薄弱環節,評價公司環境和安全方面的得失,為公司戰略目標的實現和價值增值服務。也只有這樣,才能得到管理層的重視、才能發揮內部審計價值增值的作用,才能使內部審計更加充滿活力。
4.建立完備的風險信息數據庫
收集風險信息數據是風險管理審計中的必然選擇,因此必須建立完備的風險信息數據庫。風險信息數據庫應是一套多維度、多層次的風險列表,是內部單位各層面、各類別風險信息的集中存儲中心,是對內部各單位開展具體風險分析,應對和監控工作的數據庫平臺,是進行風險管理評審工作的基石。除包括經濟數據資料外,還包括對風險的統一定義、與風險有關的數據、風險事件、風險分解結構模型、風險與部門匹配模型、風險與工作任務匹配模型等。審計工作中可利用這些風險數據庫資料,為審計人員預測和發現風險提供導引和幫助。
參考文獻:
[1] 楊學東.風險管理審計中應注意的關鍵問題[J].中國內部審
計,2006,(1).
[2] 孟焰,潘秀麗.企業風險管理審計研究[J].審計研究,2006,(3).
[3] 林朝穎.風險管理審計現存問題與對策探討[J].內蒙古農業大
關鍵詞:風險管理審計 ;標準 ;內容
Abstract: The enterprise want to survive and development in the complicated business environment, it must strengthen risk management. Internal audit is an important means of enterprise risk management; risk management audit is the effective supervision on the operation status of the overall risk management mechanism. This paper firstly clarifies the definition of risk management audit, and expounds the risk management standards and content.
Keywords: risk management audit; standard; content
中圖分類號:F279.23
隨著經濟全球化發展,市場競爭越來越激烈,企業的經營環境更加充滿了不確定性,如何識別、控制和利用好風險,完善企業的內部控制制度,提高企業的風險管理水平,已成為當務之急。內部審計是企業風險管理的重要手段,開展企業風險管理審計,對企業的風險管理進行持續監督評價,已成為企業內部審計新的任務和轉型的必然之路。
一、風險管理審計的定義
風險是無法完全規避的,既然無法規避,就需要對其進行管理控制,管理控制的效益、效率、效果如何,就需要對其進行監督評價,就需要開展風險管理審計。所謂企業風險管理審計是指企業內部審計部門采用一種系統化、規范化的方法作為指引或導向,對企業風險管理進行評價、為企業風險管理提供咨詢,對企業風險管理提供合理保證的活動,其目的是提高企業風險管理效率、幫助企業實現風險管理目標、為企業增加價值。風險管理審計是全面風險管理體系的重要組成部分,屬于風險管理要素中的監控要素,主要負責對風險的持續監控、單獨評價和報告缺陷等。
二、風險管理審計的標準
1、風險管理審計評價標準。風險管理審計評價標準應參考并不固化于以下內容:一是COSO委員會新報告《企業風險管理框架》,它是在1992年COSO委員會頒布的內部控制框架基礎上,結合《薩班斯一奧克斯法案》在報告方面的要求,吸收各方風險管理研究成果基礎上提出的,具有一定的權威性并為大多數企業所接受;二是政府有關部門結合國情制定的企業風險管理指引等文件規定;三是企業結合本單位實際情況制定的風險管理制度;四是企業制定的發展戰略目標和風險管理目標;五是企業存在的潛在風險管理與內外部環境是否適應,是否影響企業持續經營;六是企業發生的風險損失大小與機會利用程度。
2、審計實務標準。開展企業風險管理審計要遵守國際內部審計師協會制定的《內部審計實務標準》,遵守中國內部審計協會制定的《內部審計準則》,它們“為開展并促進多種不同的,具有增值作用的內部審計活動制定了框架”,為內部審計提供了行為標準,是衡量內部審計工作質量的準繩,是開展內部審計工作的保障。因此,它同樣也是開展風險管理審計的實務標準,是開展風險管理審計的系統化、規范化的方法。
三、開展風險管理審計的主要內容
1、企業內外部風險管理環境。企業的內部風險管理環境是指建立、加強或削弱特定風險管理政策、程序及其效率的各種因素,是其他所有風險管理要素的基礎,是實施風險管理的有力保障,是影響企業風險管理目標實現的核心因素。企業的內部風險管理環境不僅影響企業戰略和目標的制定、業務活動的組織和對風險的識別、評估和反應,還影響企業控制活動、信息和溝通系統以及監控活動的設計和執行。風險從另一個側面也可以看作企業的運營對外部環境的不適應性。不掌握這種外部環境,缺乏足夠的外部信息資源,就難以識別并評價這種不適應性,對風險識別、評估也不會得出正確的結果。因此,企業的外部環境也同樣是風險管理審計的重要內容。
現行的審計準則,無不要求審計人員在組織審計實施時,深入調查了解被審計單位的情況,并把了解熟悉企業的內外部環境,作為確定審計范圍、審計重點、制訂和調整審計方案的前提,作為選擇審計策略的重要方法和途徑。這些要求對開展風險管理審計同樣是使用的,但是它不僅是做好風險管理審計的前提,更是風險管理審計的重要內容,如果把環境放在風險管理要素之外或僅對環境做一般了解,而不是作為一項審計內容深入檢查評價,就不可能從組織的頂端、以一種全局的風險組合觀來看待風險,就不可能找到風險管理缺失或失效的真正原因。
2、企業的風險管理制度是否健全有效。企業風險管理制度是企業員工在生產經營活動中進行風險管理共同遵守的規定和準則的總稱,如果沒有統一的規范性的風險管理制度,風險管理就不可能在企業管理制度體系正常運行下,企業的風險管理制度是否健全有效應作為一項重要審計內容。要通過風險管理制度的審計檢查,確認企業中的每個員工都能分享風險的概念,并在日常的生產經營中使用相同的風險語言。要通過制度檢查確信企業是否已建立風險管理機制,風險管理機制是否包含了風險管理各項要素,覆蓋了所有風險領域和風險種類,風險管理策略是否適當,風險管理體系是否健全,風險管理職責是否明確,風險管理文化是否具備、風險信息是否能夠及時溝通、風險是否能夠得到及時和持續監控等。
3、審查企業的風險管理體系是否健全并有效運作。一是企業是否建立和健全風險管理基本流程。主要包括收集風險管理信息、進行風險評估、制訂風險管理策略、提出和實施風險管理解決方案、對風險管理持續監督與改進等工作;二是企業是否建立了內部控制系統。是否圍繞風險管理戰略目標,針對企業內部的各項業務管理和重要業務流程存在的風險事項,制定并執行相關的規章制度、程序、政策和措施;三是企業是否建立風險管理組織體系。風險管理職責是否得到明確規定和履行。主要包括是否建立了規范的法人治理結構,是否設立了風險管理職能部門,各業務職能部門或生產經營單元是否執行風險管理職責,正確執行風險管理流程,內部審計或監督部門是否定期對風險管理進行指導、監督、檢查、評價等;四是企業是否建立了風險管理信息系統。建立了涵蓋風險管理基本流程、內部控制系統各環節和風險管理全部組織體系,風險管理信息能夠在各職能部門和業務單元之間集成與共享;五是企業是否建立風險管理文化系統;六是企業的風險管理要求是否融入到企業管理和業務流程當中。要通過審查風險管理體系,確認企業的風險管理是否全過程、全方位和全員、全要素的風險管理控制。
關鍵詞:內部審計;風險管理框架;應用
中圖分類號:F239文獻標識碼:A文章編號:1672-3198(2009)03-0237-02
1引言
2004年美國反虛假財務報告委員會(COSO)頒布了《企業風險管理——總體框架》中,企業風險管理的定義是,由董事會和管理層在制定戰略及在整個企業中實施的、用于識別可能影響組織的潛在事件并根據風險偏好管理風險,為組織實現目標提供合理保證的過程。它強調企業風險管理和內部控制體系整合,使二者共同成為公司治理的強大工具。內部控制體系中核心環節之一的內部審計承擔了監督、評價、檢查、報告和改進等任務,是企業風險管理不可或缺的組成部分。
2004年國際內部審計師協會(IIA)內部審計的定義將風險管理和內部控制、公司治理列為內部審計的工作對象,明確要求內部審計參與風險管理和公司治理過程,IIA《標準》確定了風險審計的方向。
2風險管理框架下風險導向審計的應用前提
在風險管理框架下,要發揮風險導向審計的作用,必須以風險管理為基礎,改變審計思路,改進審計流程和方法。
2.1以風險管理框架為理論框架
COSO提出的ERM框架首先增加了戰略目標,將企業風險的關注點引向戰略問題;其次,在內部控制五要素(內控環境、風險評估、內控活動、信息與溝通、監督)的基礎上增加了目標設定、事件識別和風險評估三個要素,與原來的風險評估要素構成了一個完整的風險管理過程;最后,還強調風險管理覆蓋所有層次,包括業務單元、子公司、分支機構和公司的整體層次等內部控制的全部領域。可見,ERM是一個整合公司治理和內部控制的框架,它關注包括公司治理領域和內部控制環節的一切風險。
IIA通過修改內部審計定義加速了它的發展并使其成為現代內部審計發展的趨勢。它是傳統審計的發展,賦予為企業的風險管理提供保證的重要任務,因此,應該讓內部審計和風險管理框架直接聯系,實現協同效應。IIA《標準》對風險審計的規范和指導,極力倡導內部審計在企業風險管理框架中發揮不可替代的重要作用,即內部審計要在風險環境分析、風險事件識別、風險評估、風險反應和控制、風險信息溝通和管理系統監控環節中發揮重要作用。
2.2以風險管理目標為審計過程的行動指引
全球化、技術更新、資本重組、變化的市場、競爭和管制等因素使企業經營面臨著很多不確定性,現代企業管理的戰略目標是增加企業價值,同時承受相應的風險。不確定性是對價值的破壞或增進,風險與機會并存,管理層把機會反饋到戰略或目標制訂過程中,以便把握住適合的機會。
COSO對企業風險管理定下四大目標:戰略目標——高層次目標,與使命相關聯并支撐其使命;經營目標——有效和高效率地利用其資源;報告目標——報告的可靠性;合規目標——符合適用的法律和法規。在這些目標指引下,風險管理過程就是要合理保證管理層及時了解企業實現目標的程度。依據IIA對內部審計的定義,風險導向審計的總目標是對企業所面臨的風險進行管理,對內部控制和治理過程進行評估,將評估的結果反饋給管理層,從而幫助企業實現目標。其目標基本一致。
COSO風險管理框架擴展了風險管理的廣度和深度,提高了企業管理層控制風險的地位,也提高了風險評估在企業經營中的地位,企業目標分為經營效果和效率、財務報告可靠性和法律法規的遵守程度,內部控制目標提升到企業戰略的層次。風險導向審計對企業風險的監控是指對風險管理要素的內容和運行及一段時期內執行質量的評估,要求在企業風險控制監督過程中取得實效,廣泛收集有關經營決策和風險狀況的信息,評估各個待審計項目的風險,進而確定審計風險控制策略。風險導向審計的焦點體現在分析、確認和解釋關鍵性的經營風險,使審計和企業風險管理策略緊密聯系。
2.3采用新型的審計思路
傳統的內部審計沿襲“自下而上”、“由點到面”的審計思路,風險導向審計則要求審計人員對企業的戰略管理進行分析,對企業風險做出合理的專業判斷,運用“自上而下”的思路,確定審計的范圍、重點、審計目標和相關審計程序,通過實質性測試的結果,結合重要性判斷來判斷整個企業的風險并最終形成審計意見。
2.4以企業戰略為審計起點
企業經營戰略指導企業未來的發展方向,內部審計要把握好企業戰略和長遠規劃,才能充分發揮其服務職能,從戰略分析入手,按照“戰略分析——經營環節分析——剩余風險分析”的思路展開風險分析,確定實質性審計程序的性質、時間和范圍。它使得審計人員從戰略系統觀角度對企業保持和加強風險管理體系的競爭優勢進行分析評價,指導審計重點、范圍、目標和程序,從系統上改進了審計方法,以適應新經濟環境的要求。
2.5以風險識別為審計主線
風險導向審計以風險識別為起點,通過事前分析評估,提出應對風險的方案并輔之事后總結,完善風險管理制度,并檢查風險控制的有效性,及時揭示和報告潛在風險,提出防范措施和改進建議。
所謂風險識別是指在風險發生前,運用各種方法系統地、連續地發現風險的過程,了解企業存在的各種風險因素及其可能帶來的后果,將風險識別運用到審計中,審計人員可以針對不同的風險程度采取不同的實質性測試程序和相應的風險控制措施。風險識別方法有很多,如環境分析法、財務報表法、流程圖法、情景分析法、決策分析法、動態分析法、頭腦風暴法等,多種方法可在風險識別過程中結合運用。
2.6以風險評估為控制手段
在風險管理框架下,內部審計的一個重要職能是協助建立和完善企業風險管理制度,對執行情況的有效性進行檢查,及時揭示和報告潛在風險,提出防范措施和改進意見,因此風險評估是風險導向審計的重要手段。它有利于幫我們確定合理的審計程序,揭示被審計單位財務、經營等方面風險,并重點考慮形成這些財務數據的業務經營及其他影響因素等方面,搜集充分、適當的審計證據。非財務因素如企業的戰略優勢在哪里,未來發展前景如何,管理方式與經營理念是否合理,主要競爭對手是誰,重要客戶是誰,人力資源素質怎么樣,面臨的法律監管環境如何及內部控制制度等。
風險評估的核心是分析性復核的運用。所謂分析性復核,就是以財務資料與非財務資料之間的表面關系或可預測的關系,評估財務信息的合理性,分析被審計單位的重要比率,包括這些比率異動及與預期數的差異,目的是評價業務的總體合理性。在多元因素評估過程中,還要將現代管理方法運用到分析性程序中去,使風險因素不再獨立,常用的分析方法有:戰略分析、績效分析、財務分析、會計分析及前景分析等。
3風險管理框架下內部風險導向審計的應用過程
風險管理是一個動態過程,風險管理框架下的內部審計也是一個動態過程,且貫穿于企業管理全過程。
3.1理解風險管理是一個動態過程
COSO對風險管理的定義是“風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證”。從定義可以看出,風險管理滲透于企業經營活動全過程且反復相互影響,風險管理機制的運作是一個動態管理的過程,與經營管理活動交互存在。我們看到,風險和機會有時會互換,也是動態過程,如果把握不好,機會將變為風險,如果控制及時,風險也會轉化為機會。風險管理就是幫助管理層有效處理不確定性,規避風險、把握機會,提高企業創造價值的能力,這也決定了風險管理是個動態過程。
風險管理要素由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監控等八個相互關聯的要素構成。這些要素來源于企業經營方式,各個要素之間相互影響、互相作用。例如,風險評估促進風險應對,并影響控制活動,突出信息和溝通的重要性。因此,風險管理是多方向且反復的過程,不同要素之間相互影響。
3.2風險導向審計貫穿于企業管理全過程
風險導向審計最終目的是為了完善公司治理,協助管理層應對風險、把握機遇,提升企業價值。它以風險為出發點,由傳統的事后評價變為全過程的動態反應,為管理層提供及時有用的信息,為公司治理相關措施的有用性給予反饋,并提出建議。所以,風險導向審計是將各項管理經營活動整合成一個完整、相互約束和自我改善的體系。它運用立體觀察的理論來判斷影響企業經營風險的各種因素,從企業所處的行業狀況、監管環境、經營目標、戰略規劃到經營方式、業務流程等內外部各個方面來評估企業的風險水平,把經營風險植入到本身的風險評價中去,并貫穿于內部審計的全過程。
我國學者黃園園提出,企業管理活動可以劃分為戰略管理、管理控制和作業活動三個層面,風險導向審計貫穿于企業管理的全過程,內部審計通過作業活動層面的風險導向審計和自我控制評價了解企業風險狀況和管理薄弱環節,進而向戰略管理層或管理控制層提出管理建議,在戰略層做出決策后向管理控制層或作業活動層提供管理咨詢,并在獲得授權的情況下協調作業活動層的改進工作。
3.3風險導向審計在不同風險管理水平的作用過程
風險導向內部審計與傳統內部審計的區別在于其遵循的邏輯順序是“目標風險控制”,同時根據企業風險評估調整審計戰略,確定審計重點,緊密關注高風險的領域,以提供更相關、更符合管理層和董事會需求的確證信息。
在不同風險管理水平下,風險導向審計所發揮的作用不同(如表1)。在風險暴露階段,內部審計建立在審計風險評估的基礎上,采用風險管理方法;在風險察覺階段,內部審計建立在審計風險評估基礎上,協助建立企業范圍的風險管理方法;在風險確認階段,內部審計使用管理層的風險評估結果,促進風險管理的戰略和政策的實施;在風險管理階段,內部審計建立在管理層的風險評估基礎上,對風險管理過程進行審計;在風險管理融合階段,內部審計建立在管理層的風險評估基礎上,對風險管理過程進行審計。
當然,在不同風險階段,企業風險管理水平是不斷發展和變化的,在這種邏輯思路下,風險導向審計模式應根據不同的風險水平不斷調整審計目標和重點,發揮不同的職能作用。
4結論與建議
4.1結論
在風險管理框架下風險導向審計的功能得到有效拓展,在促進風險管理、內部控制和公司治理方面都發揮了重要作用,成為企業風險管理體系的重要組成部分。因此,風險導向審計貫穿于企業管理全過程,必須突破傳統觀念,以企業風險管理框架為理論依據,改進審計流程和方法,與風險管理機制相融合,其審計模式在不同風險管理水平下應隨之相應調整。
4.2建議
我國內部審計起步較晚,無論在理論研究還是實際應用,與西方內部審計存在較大差距。隨著我國市場經濟體制逐步完善和世界經濟一體化,我國企業與西方企業面臨著同樣經營環境和風險,內部審計作為企業風險管理體系的重要環節,必將面臨嚴峻的挑戰。我們可以從以下三方面著手準備,為全面推廣風險導向審計提供基礎。
本文試從企業風險庫的建立及運行方面著手,探討其對企業風險管理的現實意義;同時從內部審計部門的角度出發,提出若干建議和辦法,以期能為企業風險庫的建設與運行提供參考意見。
關鍵詞:
內審部門企業風險庫
隨著企業風險管理工作越來越受到重視,作為風險管理的重要組成部分——風險庫也逐步走進了管理層的視野。企業風險庫收集、歸類、跟蹤已識別的各類風險信息,能夠幫助管理層特別是內審部門了解、掌握企業的風險現狀及變化趨勢,是企業風險管理的重要工具。同時,實踐當中由企業內審部門承擔風險管理工作的情況也屢見不鮮。為此,如何建設及運行企業風險庫就成為擺在內審部門面前的一道重要課題。
一、基本原則
企業風險庫的建設及運行工作應遵循以下幾個原則:
1.先易后難、逐步擴展原則。
企業風險庫建設涉及到企業管理和運營方面,內容包括內控風險、運營風險、市場風險、財務風險、安全風險、法律(環保等)風險等,其建設與完善絕非能一日而就。作為企業內審部門,可采用電子表格形式,先將比較熟悉的內控風險、運營風險、財務風險等類風險納入風險庫進行監管,待條件成熟后再將其它風險逐一納入企業風險庫進行跟蹤管理。
2.形式規范原則。
企業風險庫是企業風險管理的一個重要工具,它承載著企業風險的識別、評估與應對工作;同時它也是一項重要資源,企業管理層從中獲取有用的管理信息和風險提示。因此,風險庫的形式必須規范,既能承載企業風險管理的日常工作和信息,又能讓相關部門在日常業務中借鑒。
3.定期維護原則。
在風險庫建立后,運維工作成為關鍵。沒有日常運維的風險庫,即使建立時風險數據比較全面,也將逐步脫離企業實際情況,失去其價值。維護周期視企業具體情況而定,但不能少于每月一次。
4.信息化輔助管理原則。
隨著企業風險管理工作逐步完善,風險庫數據量快速增大,日常維護工作耗費大量人力,運行成本變得高昂;風險庫應用在企業內逐步推廣,維護及使用部門增多,電子表格的協作受到考驗。因此,風險庫載體由電子表格向專業軟件演化將是一個發展趨勢。內審部門在風險庫設計及日常運行時應充分考慮到這一因素。
二、風險庫建設
必要的人員配置和項目預算是風險庫建設和運行的前置條件,決定了風險庫建設和日后運行狀態的優劣。內審部門應充分意識到風險庫在風險管理工作中的重要性,成立項目組安排專門人員結合企業實際情況和相關法律法規,制訂風險庫建設的步驟、方法等計劃;報批項目組人員配置、工作職責、項目預算等;擬訂風險的搜集、分類、分級、錄入、運維辦法等。風險數據庫建設人員應包括內部審計、內控、法務、財務、企管等人員;后期維護人員應不少于一人,可視企業規模設為兼職,但必須有確定的人員和工作責職。風險庫在內容方面和結構要素方面應包含下面內容:
1.內容方面,
風險庫應當包括但不限于下列分類:戰略風險、內控風險、運營風險、市場風險、財務風險、安全風險、法律(環保等)風險等,細分之下還包括生產風險、政策風險、道德風險等。風險的納入應遵循先易后難、逐步擴展原則。
2.要素方面,
風險庫應有風險名稱、風險描述、分類、等級、控制流程、風險主控部門等要素,內審部門可以根據企業實際情況適當增補部分項目,以達到對風險進行充分管控的目標。風險名稱應簡單易懂,如“上海辦事處售后存貨損失風險”。風險描述內容應具體明確。風險分類原則上按內容區別,如內控風險、市場風險、法律風險。風險等級評定時,要考慮具體風險的年發生頻次及每次發生的損失金額。控制流程根據企業實際業務流程填寫。風險主控部門同時也是風險應對的主要責任部門。風險應對措施不僅包括風險主控部門報送的應對措施,還應包括內審部門對應對措施落實的檢查情況。風險狀態以風險管理的各個階段確認,如識別、評估、應對、跟蹤、結案等。
三、風險庫運行
風險庫運行的基本理念是,以數據庫作為支撐,通過識別、評估、應對、監控企業風險,對企業管理提供建議,使管理層能夠較快做出科學合理的風險決策。同時,跟蹤風險的發展狀態,實現企業動態風險管理。風險庫的運行工作主要包括以下幾個方面:
1.識別風險,甄選入庫。
風險的識別可依據相關的資料和以前的審計發現,使用清單法、調查法、流程圖法和事件樹等方法來進行。通過上述方法并廣泛走訪調查,能夠相對全面的識別企業所面臨的風險。在經過風險識別后,可得出企業運營中的常見風險,進而根據識別出的風險進行甄選,優先將具有管理效益的風險納入企業風險庫。在確定風險等級時,應考慮年發生頻次和每次可能損失金額。當風險項目需要采用總分類管理時,可以采用電子表格的分組功能實現。
2.評估風險,組織應對。
內審部門應對已納入風險庫的風險項目進行分析,明確風險主控部門和控制流程,并督促風險主控部門制定出相應的風險應對策略和具體措施。在應對策略方面,可供選擇的有風險回避、風險預防、風險轉移和風險授受等。制訂具體應對措施時,風險主控部門應根據實際業務情況和可能發生的損失。內審部門應對制訂的應對措施進行審核和評估,以確認是否能夠達到企業決策的風險管控目標。
3.監控風險,跟蹤落實。
內審部門應在企業運營過程中,持續對風險情況進行監控和跟蹤。主要途徑有風險主控部門定期匯報、日常走訪了解、專項審計報告確認等。監控的主要內容包括已識別風險變化情況、風險應對措施實際落地情況和應對風險效果、殘余風險和衍生風險情況;針對風險應對措施實際效果考慮是否追加或減少措施。
4.信息共享,全面管理。
內審部門定期整理風險庫數據,形成報表傳達各風險主控部門,內容包括對各個風險的評估、決策、應對措施和處置結果。風險庫日常對風險主控部門和相關管理部門開放各自業務范圍內的風險信息權限,能夠有效提高工作效率并促進風險管理規范花、制度化,達到全面風險管理的最終目標。綜上所述,企業風險庫的建設及應用以防范和解決企業風險為主線,通過系統評估和記錄企業內控漏洞和風險狀況,評判應對措施,有利于加強企業內控工作和增強管理層的風險意識。風險庫對于企業建立完善先進的風險管理體系,健全經營管理機制,實現風險“可控、能控、在控”,具有重要的現實意義。
作者:馮安平 單位:江蘇新日電動車股份有限公司
參考文獻:
[1]方紅星、王宏譯.企業風險管理-整合框架/美國COSO[M].大連:東北財經大學出版社,2005.9.
COSO的經典性報告《內部控制——整體框架》是內部控制方面的權威性文獻,自1992年以來,得到了包括美國在內的多個國家的政府組織和企業的認可,并以此框架為基礎制定和了內部控制的框架和文件,如我國財政部等五部委在2008年6月份的《企業內部控制基本規范》就是在我國國情的基礎上借鑒了COSO的內部控制報告。盡管該框架受到了各方的認可,但是隨著經濟和科技的發展,企業的經營環境也在不斷的變化,再加上安然公司等舞弊案的出現,使得人們對于COSO的內部控制框架有了質疑。在此背景下,COSO委員會與普華永道會計師事務所于2010年9月份啟動了內部控制框架的修訂工作,并于2011年12月份了內部控制新框架的征求意見稿,經過1年多的公開征求意見,于2013年5月了的《內部控制——整體框架》(以下簡稱新框架)的正式報告。COSO委員會要求新框架于2014年12月15日開始生效。COSO新框架有利于幫助組織在業務和經營環境變化了的背景下設計和實施內部控制,在經營和報告目標上擴大了內部控制的應用范圍,并做出如何判斷內部控制的有效性。眾所周知,COSO委員會的經典權威報告除了《內部控制——整體框架》外,還包括其2004年的《企業風險管理——整體框架》(以下簡稱ERM框架),這二者關系非常密切,有學者認為二者是一致的,有學者則認為ERM框架是內部控制框架的替代,那么二者究竟是什么關系呢?在內部控制新框架中,COSO委員會給出了解釋。新框架中內容眾多,筆者擬就內部控制新舊框架進行比較并對其與ERM框架的關系進行探討。
二、內部控制新框架與舊框架比較
內部控制新框架是在舊框架的基礎上結合目前全球經濟和環境的變化進行更新和修訂的,因此,在新框架中,既有與舊框架中內容一致的方面,也有不一致、變化了的方面。
(一)內部控制新舊框架維持不變的方面 (1)內部控制的核心定義。新框架與舊框架中的內部控制核心概念形式上是一致的,基本上沿用了舊框架中內部控制的核心定義,即都給出了一個非常寬泛的定義,都強調了是一個過程,受到人為因素的影響,都是對目標的合理保證。由于內部控制的目標有所改變,因此概念中的目標也相應變化。但總體上來講,新舊框架中的內部控制的概念基本上沒有變化。(2)三目標和五要素形式。與舊框架中一致,新框架采用的仍然是三目標和五要素的形式,而且三個目標中有兩個沒有變化,即第一個目標——經營的效率和效果與第三個目標——法律、法規的遵循等兩個目標的名稱沒有改變。在五要素的名稱上,第五個要素的名稱在舊框架中稱為“監督”,在新框架中增加了“活動”二字,即為“監督活動”;其余的四個要素如控制環境、風險評估、控制活動、信息與溝通等要素,其名稱完全一樣,沒有任何變化。(3)用于評估內部控制系統有效性的標準沒有變化。有效的內部控制系統能為三個目標的實現提供合理的保證。如果內部控制系統是有效的,則組織能夠使得經營具有效率和效果、提供可靠的報告、遵循所適用的法律和法規。判斷一個內部控制系統是否有效,需要如下步驟:首先判斷內部控制系統能否合理保證目標的實現;其次內部控制系統能否合理保證目標的實現,取決于這五個要素是否在同時發揮作用,只有這五個要素同時發揮作用,才能說明內部控制系統可能是有效的;最后,判斷這五個要素是否有效,這取決于內部控制要素的17個原則和82個屬性是否發揮作用。無論是新框架還是舊框架,評價的標準沒有變化,只不過舊框架中沒有原則和屬性的概念。
(二)內部控制新舊框架發生變化的方面 (1)考慮了業務和經營環境的變化。在新框架中,內部控制的設計更加具有靈活性,其充分考慮了組織業務和經營環境的變化。這些體現環境變化的內容主要包括:期望基于公司治理的視野設計內部控制;考慮全球化的市場和經營的因素;考慮業務的變化及其更加的復雜性;考慮法律、法規、規章和標準的要求和復雜性;期望人員的勝任能力和責任性;使用和依賴日趨發展的科技;期望能夠發現和預防舞弊。這樣變化使得企業在設計內部控制與環境的聯系更加緊密,從而有更好的適用性。(2)經營和報告目標的擴展。從名稱上來看,經營目標沒有變化,但實質上其經營的目標范圍有所擴大,舊框架中經營目標所指的保證經營的效率和效果,主要指達到經營的目標;新框架中經營目標不僅包括經營的目標,還包括達到財務績效目標以及保證資產不受損失等經營目標。在報告目標上,舊框架中僅指對外列報的財務報告目標,保證財務報告的真實、可靠,其范圍界定為對外報告的財務報告;新框架中的報告目標中的“報告”,不僅包括對外的報告,還包括內部的報告,不僅包括財務報告,還包括非財務報告。這些報告的披露要遵循法律法規、準則以及企業政策等所規定的可靠性、及時性、透明性等要求。這無疑增加了報告的內涵、外延和要求,對于各利益相關者都具有非常大的影響。報告目標的擴展不僅增加了企業的成本,而且也加大了注冊會計師的審計風險。(3)五要素基礎概念中體現的是原則導向。無論新舊框架,采用的均是五要素,但在其基礎概念中采用的方式不一致。舊框架中沒有明確提出構成各要素的原則,在新框架中針對五個要素,提出了17項原則,而且在原則下面又提出了相應的屬性。每一個要素,都對應相應的原則和屬性。這17項原則是構成這些要素的基礎性理念,也是判斷內部控制是否有效的主要標準。原則導向體現了新框架全新的思路和理念,每個企業根據自身的實際情況和環境的變化,根據這些原則,設計適合自身的內部控制,這些都有利于增加內部控制的適用性、時效性和靈活性。但另一方面,由于這些原則不是針對某個特定企業而設定的,而是設計內部控制的一些原則性基礎,因此,具體到某個企業如何根據這些原則設計適合于自身的內部控制制度,需要設計企業內部控制的相關組織或人員進行判斷,這無疑增加了設計的難度。(4)增加了與經營、合規性和非財務報告目標相關的一些案例和方法。在新框架報中,提供了一些評估內部控制系統有效性工具的一些例子,給出了外部財務報告內部控制的一些方法和例子。新框架給出了這些要素的原則和屬性是如何影響外部財務報告的,它給出了一個對管理層非常有用的總結性說明,一個要素下的某一個原則會影響其他要素的有效性,如,控制環境下的原則:組織的誠信和價值觀,這一原則會影響控制環境要素下人力資源政策保證雇員理解行為規則并且企業的雇員都在遵循這一政策的有效性,并且會影響信息與溝通要素下比較管理層所獲得的數據與信息熱線獲得數據的偏差,以評估信息數據的質量;還會影響監督活動要素下根據獲得的雇員行為和舉報熱線的結果,內部審計單獨評估控制環境的有效性等等。由于被征求意見的大多數人和組織,不建議內部控制舊框架推倒重來,因此,總的來說,新框架是在舊框架基礎上結合環境的變化形成的,是變化了的環境下的產物,主要體現在:考慮了業務和環境的變化,如全球化、技術的進步等;擴展了業務和報告的范圍;提出了原則導向的五要素基礎理念;增加了一些例子來說明如何判斷內部控制的有效性,具有較強的操作性。因此,新框架主要是時代的產物,使得內部控制新框架更加靈活和適應實際狀況,而且具有針對性。
三、新框架與ERM框架比較
(一)內部控制與企業風險管理的關系 2004年,COSO委員了其另一經典性的報告《企業風險管理——整體框架》(ERM框架),當時很多人以為該框架會取代1992年內部控制框架,但COSO委員會從未過以ERM框架取代1992年內部控制框架的任何聲明和文件。我國關于內部控制和企業風險管理的關系,觀點主要有以下幾種:內部控制是企業風險管理的工具;內部控制是企業風險管理的一部分;企業風險管理是內部控制的高級階段;內部控制包括企業風險管理等。我國財政部的《企業內部控制基本規范》中融合了1992年框架和ERM框架的內容,屬于“舊瓶裝新水”,從表面和形式來看是1992年的框架,實質上體現的是2004年ERM的框架的內容。關于內部控制框架和ERM框架的關系,COSO委員會在征求意見稿中認為內部控制是企業風險管理的一個組成部分。企業風險管理比內部控制的內涵要廣,它延伸了內部控制的邊界,比內部控制更加關注風險。
(二)目標比較 內部控制包括三個目標,即經營、報告和遵循目標;企業風險管理除了包括三個類似的目標外,它還包括第四個目標:戰略目標,這是一個比其他三個目標更高層次的目標。戰略目標與企業的愿景相聯系,合理保證企業戰略的實現,經營、報告和遵循目標從屬于戰略目標。企業風險管理中引入了風險胃口(Risk appetite)和風險容忍(risk tolerance)的概念。風險胃口是與企業愿景相聯系的一個詞語,它應用于戰略的制定,并選擇相應的目標。如果設定為風險容忍的層次,則管理層需考慮相應目標的重要性,并將容忍的程度限定在風險胃口內。風險容忍是內部控制的前提條件,但并不是內部控制的一個組成部分。
(三)要素比較 從要素數目上來看,內部控制框架為五要素,而ERM則為八要素,ERM框架增加了目標設定、事項識別和風險應對等三個要素。除了數目上不一致外,在名稱上,二者第一個要素和最后一個要素不太一致。單從名稱上看,第一個內部控制要素為控制環境,而ERM的第一個要素為內部環境,最后一個內部控制要素為監督活動;ERM的最后一個要素為監督。具體比較如下:(1)控制環境。在ERM框架中,更加強調的是風險管理的哲學和理念,強調的是內部的環境,主要是關于企業考慮風險的態度和特點,反映了它的價值觀,并會影響企業文化和經營風格。由于董事會的重要性,企業風險管理框架和內部控制框架中均要求董事會成員中要包含一定數量的獨立董事,但二者要求的數量不同,內部控制框架通常要求2名即可,而ERM框架中要求大多數董事都應為外部獨立的董事。(2)風險評估。這兩個框架均要求對企業內部的、外部的各個層次的風險進行評估,而且均要求評估風險對目標實現的潛在影響。但很顯然,企業風險管理框架更加注重風險,它將此要素擴展為四個要素。內部控制框架中沒有考慮潛在事項的影響,這部分事項可能會影響企業戰略的實施或目標的實現。這兩個框架均要求對風險進行評估,但企業風險管理框架對風險評估的要求要高一些,它要求基于固有的和剩余基礎來評估風險,這些風險要與戰略和目標實現的時間相一致,而且同時要求關注內部相關的風險,一個單獨的事項可能會引起多種風險。與內部控制框架一致,企業風險管理框架風險應對的策略包括回避、降低、分擔和接受。但企業風險管理框架還要考慮企業風險胃口和風險容忍度。(3)控制活動。控制活動的目的均是根據風險評估的結果所采取的活動,其目的是為了使風險降低到可以承受的范圍之內。但內部控制新框架更多地體現了目前科技因素的影響,并考慮了科技對企業的影響。(4)信息與溝通。在信息與溝通方面,ERM的范圍更為廣泛一些,它所分析的數據,包括來自于過去、現在和將來潛在事項的數據。而內部控制框架則更多地關注數據的質量以及與內部控制相關的數據。至于溝通,均包括內部溝通和外部溝通。(5)監督活動。這兩個框架都認為監督活動是為了保證內部控制和企業風險管理發揮作用并能繼續適用。不過,內部控制框架代表了更新的觀點,包括運用基礎的資料進行監督以及要監督外部的服務提供商(如審計師)。可見,企業風險管理框架要素與內部控制要素主要區別在于:一是數量上的區別;二是企業風險管理框架的要素更加關注風險,以及風險與戰略的關系;三是內部控制新框架更加體現了現代技術和科技的影響,在要素中融入了科技因素。
[本文系教育部人文社科基金項目“基于社會責任本質揭示的企業社會責任內部控制研究”(項目編號:10YJC790089)階段性研究成果]
參考文獻:
[1]丁紅燕:《COSO內部控制新框架的變化及對注冊會計師審計的影響》,《中國注冊會計師》2012年第12期。
[2]COSO. Internal Control - Integrated Framework (1992), http://.
[3]COSO. Internal Control–Integrated Framework(2013), http://.
一、內部控制理論的演進歷史
內部控制的思想和實踐歷史悠久,其伴隨著組織的形成而產生。內部控制理論的發展大體上經歷了內部牽制、內部控制制度、內部控制結構、內部控制框架等四個階段。在每一階段,內部控制都被賦予不同的內涵。
(一)內部牽制階段。一般認為,20世紀40年代以前是內部牽制階段。內部控制思想的萌芽早在五千多年前就出現了。蘇美爾文化的史料記載中會計賬簿數字邊的標記、古埃及古物入倉時的職務分離、我國周朝留下的記錄——“一毫財賦之出入,數人之耳目通焉”等,均反映了內部牽制的基本原理,即以賬目間的相互核對為主要內容并實施崗位分離。內部牽制理論建立在兩個基本假設之上:兩個或兩個以上的人或部門無意識地犯同樣錯誤的可能性很小;兩個或兩個以上的人或部門有意識地串通舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。美國著名審計學家蒙哥馬利1912年所著的《審計——理論與實踐》一書中已明確表述過這種思想,這種思想在早期被認為是確保所有賬目正確無誤的一種理想控制方法。
(二)內部控制制度階段。20世紀40年代到20世紀70年代,在內部牽制思想的基礎上逐漸產生了內部控制概念。1949年美國注冊會計師協會(AICPA)所屬的審計程序委員會發表了一份題為《內部控制:系統協調的要素及其對管理部門和獨立公共會計師的重要性》的特別報告,首次正式提出了內部控制的定義:“內部控制包括組織的計劃和企業為了保護資產,檢查會計數據的準確性和可靠性,提高經營效率,以及促使遵循既定的管理方針等所采用的所有方法和措施”。這一概念突破了與財務會計部門直接有關的控制局限,使內部控制擴大到企業內部各個領域。內部控制的內容也發生了變化,從內部牽制時期的賬戶核對和職務分離逐步演變為由組織機構、崗位職責、人員條件、業務處理程序、檢查標準和內部審計等要素構成的較為嚴密的內部控制系統。
1958年,出于審計人員測試與財務報表有關的內部控制的需要,審計程序委員會又將內部控制分為內部會計控制和內部管理控制。前者是指與財產安全和會計記錄的準確性、可靠性有直接聯系的方法和程序;后者主要是與貫徹管理方針和提高經營效率有關的方法和程序。將內部控制一分為二使得審計人員在研究和評價企業內部控制制度的基礎上來確定實質性測試的范圍和方式成為可能。由此內部控制進入“制度二分法”階段。
(三)內部控制結構階段。20世紀70年代以后,內部控制的理論研究又有了新的發展,研究重點逐步從一般涵義向具體內容深化。在實踐中審計人員發現很難確切區分內部會計控制和內部管理控制,而且后者對前者其實有很大影響,無法在審計時完全忽略。于是,1988年5月AICPA了第55號審計準則公告《財務報表審計中內部控制結構的考慮》,以“內部控制結構”的概念取代了“內部控制制度”。該公告認為:“企業內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序”,并指出內部控制結構包括三個組成要素:控制環境,會計制度和控制程序。從而,內部控制從“制度二分法”步入“結構分析法”階段,這是內部控制發展史上的一次重要改變。
(四)內部控制整體框架階段。1992年9月,由美國注冊會計師協會、美國會計學會(AAA)、國際內部審計師協會(IIA)、財務經理協會(FEI)以及管理會計師協會(IMA)共同組成的COSO委員會了指導內部控制實踐的綱領性文件COSO研究報告:《內部控制——整體框架》(IC-IF),并于1994年作了修改。該報告重新定義了內部控制:“內部控制是受董事會、管理當局和其他職員影響,為企業經營活動的效率和效果、財務報告的可靠性,相關法律法規的遵循性等目標的實現提供合理保證的過程。”內部控制整體框架由控制環境、風險評估、控制活動、信息與溝通、監控等五個要素組成。同以往的內部控制理論及研究成果相比,COSO報告提出了許多有價值的新觀點,闡述了內部控制的各個組成部分,客觀地指出了內部控制的局限性,而且明確了不同人員在內部控制中的角色和責任。
二、企業風險管理框架
自COSO報告以來,內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對該框架提出改進建議,認為其對風險強調不夠,使得內部控制無法與企業風險管理相結合(朱榮恩、賀欣,2003)。因此2004年9月,COSO委員會在1992年的COSO報告的基礎上,結合《薩班斯——奧克斯利法案》在報告方面的要求,頒布了《企業風險管理整體框架》的報告(ERM)。該報告把企業風險管理定義為:“企業風險管理是一個受企業的董事會、管理當局和其他職員影響,應用于戰略制定并貫穿于整個企業,用于識別可能影響企業的潛在事項并在企業的風險偏好內管理風險,為企業目標的實現提供合理保證的過程”。企業風險管理由內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控等八個相互關聯的要素組成。企業風險管理的信息流程如下圖所示:
圖在文尾!
企業風險管理的信息流程
該流程并不代表風險管理的組織流程,但可以從信息流的角度透視企業的風險管理流程。企業風險管理的信息流程描述如下:由董事會的風險管理委員會確定內部環境中的風險管理文化和風險偏好;董事會與經理層設定包括戰略目標及其他相關目標在內的目標體系,在設定目標時,要考慮企業的風險容忍度、風險偏好以及事項識別環節所確定的機會;確定了目標,企業就要考慮其所面臨的內部因素和外部因素,并識別相關可能帶來潛在不利影響的事項(風險);在風險評估部分評價風險損失額和風險發生概率,同時考慮剩余風險;采用組合風險觀和其他具體的應對措施來應對風險;在控制活動環節繼續落實有助于風險反應的政策和措施,并報告結果。然后,從控制活動環節返回到事項識別環節,重復事項識別、風險評估、風險反應、控制活動這個流程;監控則對上述所有環節的效率和效果進行監督和控制。
企業風險管理整體框架與內部控制整體框架相比,有以下幾種變化:第一,目標的拓展。由IC-IF的三個目標——經營、財務報告和遵循性,擴大到ERM的四個目標——戰略、經營、報告和遵循性,兩者中只有經營和遵循性這兩個目標的定義相同。IC-IF中的財務報告目標只與公開披露的財務報告的可靠性相關,而ERM中的報告目標的范圍有很大的擴展,包括企業所有對內和對外的報告,報告目標的范圍從僅僅關注財務信息擴展到同時關注非財務信息。此外,ERM還增加了戰略目標,不僅強調在整個企業范圍內識別和管理風險的重要性,還強調應針對企業目標的實現在企業戰略制定階段就考慮一系列備選方案的風險因素,從而使 ERM 的應用深入到了戰略制定層次。第二,要素的增加。ERM 增加了目標設定,事項識別和風險反應這三個與風險密切相關的要素,遵循了“目標——風險——控制”的邏輯順序,充分體現了對風險的關注。第三,對原有要素內容的充實和豐富。在內部環境要素中,ERM更直接關注企業的風險文化與風險偏好。在風險評估要素中,傾向于更準確地進行風險評估,采用定性或定量的方法對事項發生的后果和可能性進行估計,并將風險與相關的目標聯系起來。在信息與溝通要素中,考慮了來自歷史、現在和將來潛在的事項和溝通方式,并要求與企業信息系統整合。此外,ERM還明確了控制活動的目的,指出控制是有助于確保管理層的風險反應措施得以執行的政策和程序。第四,提出了風險組合觀的概念,全面貫徹了風險理念。ERM要求管理者以風險組合的觀點看待風險,對相關的風險進行識別并采取措施使企業所承擔的風險保持在風險偏好的范圍內。因為對企業內部各個部門而言,其風險可能落在該部門的風險容忍度范圍內,但從企業總體來看,總風險則有可能超過企業總體的風險偏好范圍。
三、內部控制與風險管理日益融合
實行內部控制和風險管理都是為了維護投資者利益,實現企業目標。內部控制的起源較風險管理要早。最初的內部控制是隨著生產的大規模化和資本社會化產生的,是互相牽制的思想,通常采取賬目核對的方法,以確保財產安全和賬目正確。風險管理則是在新技術和市場條件下出現的,風險管理是內部控制概念的自然延伸。關于這點,可以從企業風險管理框架的變化中得到證明。框架最大的變化,就是將企業內部控制更名為企業風險管理,這一變化是有特殊意義的。事實上,幾乎所有的公司都有一大套管理制度,這些制度大到包括對外投資,小到包括差旅費報銷等,應有盡有。因此,董事會與管理層往往認為,這些制度的貫徹與執行就是內部控制的所有內容。其實,企業的管理資源是有限的,控制也是需要成本的,如果將企業主要精力放在所有細小的、或微不足道的控制上,往往會舍本求末。如有些企業在差旅費報銷的規定上長達數十頁,極其繁瑣,表面上控制得很好,但浪費了許多管理資源,還會忽視企業重大風險。所以,框架要求董事會與管理層將精力主要放在可能產生重大風險的環節上而不是放在所有細小環節上,將風險管理作為內部控制的最主要內容,這是一個革命性的變化。
四、結語
內部控制理論發展反映了內部控制實踐的發展。當今社會經濟環境日趨復雜,企業不可避免地會遇到各種風險,因此企業應建立風險管理機制,以防范和規避風險。而分析和辨認風險是有效內部控制的關鍵組成要素。從COSO的兩份重要報告中可以看出,不論是1992年的《內部控制——整體框架》,還是2004年的《企業風險管理——整體框架》,均把風險管理作為主要的內部控制要素,強調識別和管理風險的重要性,強調企業的風險管理應針對企業目標的實現并且在企業戰略制定階段就應該予以考慮。英國的特恩布爾報告擴大了內部控制的范圍,將內部控制與風險管理合為一體,認為兩者是近乎等同的概念。可見,內部控制和風險管理日益融合,風險導向已是內部控制的發展方向。
————————
參考文獻
[1]《內部控制問題研究》課題組:《基于公司治理結構的內部控制有關問題研究》,《會計論壇》2005年第2期。
[2]金彧昉、李若山、徐明磊:《COSO報告下的內部控制新發展——從中航油事件看企業風險管理》,《會計研究》2005年第2期。
[3]陳關亭:《我國企業內部控制缺陷的評析與建議》,《財務與會計》(理論版)2006年第4期。
[4]林瑋:《內部控制概念的演進及其與公司治理的關系》,《福建金融管理干部學院學報》2005年第5期。
關鍵詞:內部控制 風險管理 關系
隨著經濟的不斷發展,公司制企業猶如雨后春筍般涌現在市場上,因而市場競爭也越來越激烈,這就導致了公司的經營和財務風險不斷增加,致使企業面臨倒閉的危險。企業要想快速健康的發展就必須進行有效的風險防范,規避風險的有效措施就是進行內部控制與風險管理。如果企業內部控制與風險管理所解決的問題不一致就會增加企業控制的成本,如果兩者所解決的問題是一致的就沒有必要制定兩種控制規范。由此看來研究企業內部控制與風險管理之間的關系對于建立有效的企業控制體系和完善現代企業制度有著深刻的意義。本文主要從以下幾個方面闡述企業內部控制與風險管理之間的關系,并提出了自己的見解。
一、企業內部控制與風險管理的關系分析
(一)風險管理包含內部控制
企業內部控制是目前企業內部進行風險管理的一項重要方法,企業進行風險管理的主要目的是有效減少企業經營不善所帶來的損失,有效規避企業的各項風險從而保證企業又快又好的發展。風險管理主要由八項要素組成: 內部環境、事件識別、目標設定、風險評估、風險對策、控制活動、信息與溝通以及監督。而內部控制主要由五項要素組成: 控制環境、風險評估、控制活動、信息與溝通、監督。由此可以看出內部控制包含在風險管理之中。企業進行風險管理能有效的預測風險、發現風險,從而降低風險所帶來的影響。內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守,由治理層、管理層和其他人員設計和執行的政策和程序,主要是通過目標制定過程和事后的控制來實現其自身的目標,不必設立企業的具體經營目標,只需評價目標的制定過程,是企業進行風險管理的一項重要職能。與此同時,內部控制以企業風險為主要制定依據,在某些情況下甚至完全依靠企業風險來制定。所以,企業內部控制對于風險管理發揮有著重要作用,應該被企業管理者看作是企業風險管理的一個重要組成方面。當然企業內部控制更是企業風險管理的基石,作為風險管理的一部分,如果企業缺少內部控制就不能進行有效的風險管理,從而導致企業不能健康穩步的發展。
(二)內部控制等同于風險管理
內部控制與風險管理之間還存在著一種觀點,即內部控制就是風險管理。企業內部控制所使用的風險控制方式包含了風險控制的目的, 如果企業內部控制沒有指定其實施的目標那么其實現方式與手段也就顯得毫無意義。企業進行風險管理需要必要的風險控制的方式和手段, 如果缺少必要的控制方式與手段,其風險管理的目的也無法實現。由此看來,企業內部控制與風險管理的目的是一致的,理論上其風險控制系統沒有差異,內部控制是風險管理外延的擴展,其在發展的過程中逐漸變為同一事物。企業內部控制是在財產不安全和信息不真實的基礎上所產生的,企業風險的產生大多是企業進行決策的失誤,內部控制從自身而言,就是風險控制, 進而控制風險以求達到企業風險的管理的目的。
(三)企業內部控制與風險管理互為前提
企業進行風險管理的目的不僅僅是規避風險,而是要事先預測企業承受風險的能力,企業只有將風險控制在所能承受的范圍內才能保證企業的良好發展。從邏輯的角度來推理,企業的風險是來源于對未來收益的不確定性,因而企業進行有效的經營管理就是有效的對風險進行控制,企業風險控制就是企業風險管理。企業進行風險管理的目的就是實現企業利益的最大化,使收益達成企業的目標。從一定程度上講,只有把企業風險降到最低才能實現企業利益的最大化。但是進行任何風險控制都會產生成本,這就導致了企業經營成本的增加,需要企業管理者在風險控制成本與風險控制效益之間做出權衡,盡可能的減少企業經營的成本。總之,企業的設立始終與風險相伴,而風險是否發生則與企業的決策有著重大關系,從這個意義出發,企業內部控制與風險管理互為前提,都屬于企業管理的范疇,兩者的目的都是為了進行有效的風險控制從而實現企業利益的最大化。
二、企業內部控制與風險管理的關系是異是同
對于企業控制與風險管理,對二者的關系有各種不同的看法, 一般都認為二者是密不可分的,互相聯系的。筆者也認為,盡管二者在字面意思上存在差異, 但企業內部控制與風險管理是相輔相成的,缺一不可,就其實質而言是相同的。從歷史的演變來看,兩者具有同一性。無論是企業內部控制還是風險管理,其實際要達到的目的,也都是有效避免企業在經營過程中所存在的風險,例如,企業性質由自然人企業向公司制企業過渡,其風險控制也由內部控制發展為風險管理。此外,COSO內部控制標準的名稱為“企業風險管理框架”,也將內部控制與風險管理緊密的結合在一起。實踐證明,企業的風險是不能完全消除的,只能使用一些有效的管理措施進行防范,而且,企業必須具備承擔一定風險的能力,不然在競爭激烈的市場中無法生存下去。
三、結束語
企業內部控制與風險管理的關系是緊密相連的,它們之間的關系存在著以下三種觀點:第一種觀點是風險管理包含內部控制, 第二種觀點是等同關系, 第三種觀點是互為前提關系。既然兩者的關系如此密切甚至完全等同,這就要求企業管理者充分認識到這兩者的作用,以內部控制為方法構成一個企業風險管理的有機整體,從而實現企業利益的最大化。
參考文獻:
[1]謝志華.內部控制、公司治理、風險管理: 關系與整合[J].會計研究,2007
[2]丁友剛,胡興國.內部控制、風險控制與風險管理――基于組織目標的概念解說與思想演進[J].會計研究,2007