- 相關推薦
內部控制發展方向:風險導向
內部控制與風險管理是緊密聯系的。如何正確認識這兩者間的關系,無論對學術研究還是企業的經營管理實踐,都具有現實意義。本文在梳理內部控制理論演進歷史的基礎上,分析了企業風險管理框架對內部控制框架的繼承和發展,明確指出內部控制和風險管理已日益融合,風險導向已成為內部控制的發展方向。
一、內部控制理論的演進歷史
內部控制的思想和實踐歷史悠久,其伴隨著組織的形成而產生。內部控制理論的發展大體上經歷了內部牽制、內部控制制度、內部控制結構、內部控制框架等四個階段。在每一階段,內部控制都被賦予不同的內涵。
(一)內部牽制階段。一般認為,20世紀40年代以前是內部牽制階段。內部控制思想的萌芽早在五千多年前就出現了。蘇美爾文化的史料記載中會計賬簿數字邊的標記、古埃及古物入倉時的職務分離、我國周朝留下的記錄——“一毫財賦之出入,數人之耳目通焉”等,均反映了內部牽制的基本原理,即以賬目間的相互核對為主要內容并實施崗位分離。內部牽制理論建立在兩個基本假設之上:兩個或兩個以上的人或部門無意識地犯同樣錯誤的可能性很小;兩個或兩個以上的人或部門有意識地串通舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。美國著名審計學家蒙哥馬利1912年所著的《審計——理論與實踐》一書中已明確表述過這種思想,這種思想在早期被認為是確保所有賬目正確無誤的一種理想控制方法。
(二)內部控制制度階段。20世紀40年代到20世紀70年代,在內部牽制思想的基礎上逐漸產生了內部控制概念。1949年美國注冊會計師協會(AICPA)所屬的審計程序委員會發表了一份題為《內部控制:系統協調的要素及其對管理部門和獨立公共會計師的重要性》的特別報告,首次正式提出了內部控制的定義:“內部控制包括組織的計劃和企業為了保護資產,檢查會計數據的準確性和可靠性,提高經營效率,以及促使遵循既定的管理方針等所采用的所有方法和措施”。這一概念突破了與財務會計部門直接有關的控制局限,使內部控制擴大到企業內部各個領域。內部控制的內容也發生了變化,從內部牽制時期的賬戶核對和職務分離逐步演變為由組織機構、崗位職責、人員條件、業務處理程序、檢查標準和內部審計等要素構成的較為嚴密的內部控制系統。
1958年,出于審計人員測試與財務報表有關的內部控制的需要,審計程序委員會又將內部控制分為內部會計控制和內部管理控制。前者是指與財產安全和會計記錄的準確性、可靠性有直接聯系的方法和程序;后者主要是與貫徹管理方針和提高經營效率有關的方法和程序。將內部控制一分為二使得審計人員在研究和評價企業內部控制制度的基礎上來確定實質性測試的范圍和方式成為可能。由此內部控制進入“制度二分法”階段。
(三)內部控制結構階段。20世紀70年代以后,內部控制的理論研究又有了新的發展,研究重點逐步從一般涵義向具體內容深化。在實踐中審計人員發現很難確切區分內部會計控制和內部管理控制,而且后者對前者其實有很大影響,無法在審計時完全忽略。于是,1988年5月AICPA發布了第55號審計準則公告《財務報表審計中內部控制結構的考慮》,以“內部控制結構”的概念取代了“內部控制制度”。該公告認為:“企業內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序”,并指出內部控制結構包括三個組成要素:控制環境,會計制度和控制程序。從而,內部控制從“制度二分法”步入“結構分析法”階段,這是內部控制發展史上的一次重要改變。
(四)內部控制整體框架階段。1992年9月,由美國注冊會計師協會、美國會計學會(AAA)、國際內部審計師協會(IIA)、財務經理協會(FEI)以及管理會計師協會(IMA)共同組成的COSO委員會發布了指導內部控制實踐的綱領性文件COSO研究報告:《內部控制——整體框架》(IC-IF),并于1994年作了修改。該報告重新定義了內部控制:“內部控制是受董事會、管理當局和其他職員影響,為企業經營活動的效率和效果、財務報告的可靠性,相關法律法規的遵循性等目標的實現提供合理保證的過程。”內部控制整體框架由控制環境、風險評估、控制活動、信息與溝通、監控等五個要素組成。同以往的內部控制理論及研究成果相比,COSO報告提出了許多有價值的新觀點,闡述了內部控制的各個組成部分,客觀地指出了內部控制的局限性,而且明確了不同人員在內部控制中的角色和責任。
二、企業風險管理框架
自COSO報告發布以來,內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對該框架提出改進建議,認為其對風險強調不夠,使得內部控制無法與企業風險管理相結合(朱榮恩、賀欣,2003)。因此2004年9月,COSO委員會在1992年的COSO報告的基礎上,結合《薩班斯——奧克斯利法案》在報告方面的要求,頒布了《企業風險管理整體框架》的報告(ERM)。該報告把企業風險管理定義為:“企業風險管理是一個受企業的董事會、管理當局和其他職員影響,應用于戰略制定并貫穿于整個企業,用于識別可能影響企業的潛在事項并在企業的風險偏好內管理風險,為企業目標的實現提供合理保證的過程”。企業風險管理由內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控等八個相互關聯的要素組成。企業風險管理的信息流程如下圖所示:
圖在文尾!
企業風險管理的信息流程
該流程并不代表風險管理的組織流程,但可以從信息流的角度透視企業的風險管理流程。企業風險管理的信息流程描述如下:由董事會的風險管理委員會確定內部環境中的風險管理文化和風險偏好;董事會與經理層設定包括戰略目標及其他相關目標在內的目標體系,在設定目標時,要考慮企業的風險容忍度、風險偏好以及事項識別環節所確定的機會;確定了目標,企業就要考慮其所面臨的內部因素和外部因素,并識別相關可能帶來潛在不利影響的事項(風險);在風險評估部分評價風險損失額和風險發生概率,同時考慮剩余風險;采用組合風險觀和其他具體的應對措施來應對風險;在控制活動環節繼續落實有助于風險反應的政策和措施,并報告結果。然后,從控制活動環節返回到事項識別環節,重復事項識別、風險評估、風險反應、控制活動這個流程;監控則對上述所有環節的效率和效果進行監督和控制。
下一頁
【內部控制發展方向:風險導向】相關文章:
風險導向內部審計與內部控制結合初探(下)03-22
基層央行內部控制實施風險導向審計之管見03-24
ERP應用風險與內部控制03-21
以風險為導向的內部審計應用解析03-07
淺析內部審計新模式-風險導向內部審計01-13
風險導向企業內部審計研究03-28
企業稅務風險的內部控制研究11-16
內部審計風險的成因與控制對策03-21
新環境下的企業風險管理與風險導向內部審計03-22