- 相关推荐
内部控制发展方向:风险导向
内部控制与风险管理是紧密联系的。如何正确认识这两者间的关系,无论对学术研究还是企业的经营管理实践,都具有现实意义。本文在梳理内部控制理论演进历史的基础上,分析了企业风险管理框架对内部控制框架的继承和发展,明确指出内部控制和风险管理已日益融合,风险导向已成为内部控制的发展方向。
一、内部控制理论的演进历史
内部控制的思想和实践历史悠久,其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段,内部控制都被赋予不同的内涵。
(一)内部牵制阶段。一般认为,20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入,数人之耳目通焉”等,均反映了内部牵制的基本原理,即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想,这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。
(二)内部控制制度阶段。20世纪40年代到20世纪70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限,使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化,从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。
1958年,出于审计人员测试与财务报表有关的内部控制的需要,审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。
(三)内部控制结构阶段。20世纪70年代以后,内部控制的理论研究又有了新的发展,研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制,而且后者对前者其实有很大影响,无法在审计时完全忽略。于是,1988年5月AICPA发布了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,以“内部控制结构”的概念取代了“内部控制制度”。该公告认为:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并指出内部控制结构包括三个组成要素:控制环境,会计制度和控制程序。从而,内部控制从“制度二分法”步入“结构分析法”阶段,这是内部控制发展史上的一次重要改变。
(四)内部控制整体框架阶段。1992年9月,由美国注册会计师协会、美国会计学会(AAA)、国际内部审计师协会(IIA)、财务经理协会(FEI)以及管理会计师协会(IMA)共同组成的COSO委员会发布了指导内部控制实践的纲领性文件COSO研究报告:《内部控制——整体框架》(IC-IF),并于1994年作了修改。该报告重新定义了内部控制:“内部控制是受董事会、管理当局和其他职员影响,为企业经营活动的效率和效果、财务报告的可靠性,相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多有价值的新观点,阐述了内部控制的各个组成部分,客观地指出了内部控制的局限性,而且明确了不同人员在内部控制中的角色和责任。
二、企业风险管理框架
自COSO报告发布以来,内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对该框架提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合(朱荣恩、贺欣,2003)。因此2004年9月,COSO委员会在1992年的COSO报告的基础上,结合《萨班斯——奥克斯利法案》在报告方面的要求,颁布了《企业风险管理整体框架》的报告(ERM)。该报告把企业风险管理定义为:“企业风险管理是一个受企业的董事会、管理当局和其他职员影响,应用于战略制定并贯穿于整个企业,用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险,为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。企业风险管理的信息流程如下图所示:
图在文尾!
企业风险管理的信息流程
该流程并不代表风险管理的组织流程,但可以从信息流的角度透视企业的风险管理流程。企业风险管理的信息流程描述如下:由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好;董事会与经理层设定包括战略目标及其他相关目标在内的目标体系,在设定目标时,要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会;确定了目标,企业就要考虑其所面临的内部因素和外部因素,并识别相关可能带来潜在不利影响的事项(风险);在风险评估部分评价风险损失额和风险发生概率,同时考虑剩余风险;采用组合风险观和其他具体的应对措施来应对风险;在控制活动环节继续落实有助于风险反应的政策和措施,并报告结果。然后,从控制活动环节返回到事项识别环节,重复事项识别、风险评估、风险反应、控制活动这个流程;监控则对上述所有环节的效率和效果进行监督和控制。
下一页
【内部控制发展方向:风险导向】相关文章:
浅析内部审计新模式-风险导向内部审计06-07
浅谈内部审计风险控制(精选7篇)04-26
谈现代风险导向审计08-28
论煤炭企业风险导向审计06-03
我国内部审计发展方向的探讨06-02
内部控制审计评价初探06-03
建立内部控制审计与组织效率06-03
内部审计风险及应对措施探讨的论文08-23
企业内部控制失控的表现03-29
证券公司内部控制指引06-03