从内部牵制到风险智能管理框架.docVIP

从内部牵制到风险智能管理框架 　　【摘 要】 经过不断发展和演进，内部控制先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架和风险管理整合框架等阶段。特别是2007年下半年金融危机爆发后，人们对内部控制和风险管理的认识得到进一步提升，两者融合的趋势日益明显。在COSO风险管理整合框架的基础上，德勤国际会计公司借助现代信息技术，提出风险智能管理框架的新思想，并尝试在其客户中推广和应用，取得良好的实践效果。文章在回顾内部控制发展历程的同时，重点介绍德勤国际会计公司的风险智能管理框架，以期为企业实施内部控制和风险管理提供借鉴。 　　【关键词】 内部控制； 风险管理； COSO报告； 风险智能管理框架 　　企业在生产经营活动中经常面临影响目标实现的各种不确定性因素（即风险），针对各种风险，需要实施内部控制，以确保企业目标的实现。内部控制和风险管理是非常重要的管理术语，是促进企业实现战略目标和经营计划，使之良好运行的必要因素。经过不断发展，内部控制和风险管理经历了由低级到高级的演进变化，两者整合及智能化管理的趋势日益明显。 　　一、内部控制的产生与发展 　　内部控制源于早期的内部牵制，内部牵制是以提供有效的组织和经营，并防止错误和其他非法业务的发生，以不相容职务分离和账目核对为基础的制度设计，包括实物牵制、机械牵制、体制牵制、簿记牵制等。内部牵制的机理基于两个设想：一是两个或两个以上的人或部门无意识地犯同样错误的机会是很小的；二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制是内部控制的萌芽阶段。 　　1949年，美国注册会计师协会（AICPA）审计程序委员会首次提出了内部控制制度，认为内部控制制度是企业所制定的旨在保护资产安全、保证会计信息可靠、提高企业经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。后来，该程序委员会又将内部控制划分为内部会计控制和内部管理控制两类。会计控制由所有与保护资产安全、保证会计信息可靠性有关的组织计划、方法和程序构成，包括授权与批准制度；记账、编制财务报表、保管财物等职务的分离；财产的实物控制；内部审计等。管理控制由所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行等有关的组织计划、方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接关系，如统计分析、经营报告、雇员培训和质量控制等。独立审计师应主要检查会计控制。管理控制通常只对财务记录产生间接的影响，因此，审计人员可不对其作评价。 　　1988年，AICPA发布了《第55号审计准则公告：财务报表审计中对内部控制结构的考虑》，以“内部控制结构”取代了原有的“内部控制制度”。内部控制结构是指为合理保证企业特定目标的实现而建立的各种政策和程序，包括控制环境、会计系统和控制程序。控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，如管理者的思想和经营作风、企业组织结构、董事会及其所属委员会（特别是审计委员会）发挥的职能等。会计系统规定各项交易及事项的分析、归类、记录和编报的方法等。控制程序是管理当局所制定的用以保证达到一定目标的措施和方法，如授权审批、不相容职务分离、内部稽核等。 　　二、从内部控制结构到内部控制框架 　　1992年之前，人们对内部控制存在着多种解释。从审计视角看，内部控制是保证财务报告可靠性的手段和方法；从管理者视角看，内部控制是保证企业效率效果目标实现的管理控制；从股东和其他利益相关者的角度看，内部控制是为解决代理人的道德风险与逆向选择问题而建立的一套监督和制衡制度，即公司治理（张先治等，2011）。为整合多种内部控制概念和解释，1992年，美国“反虚假报告委员会”专门成立了COSO委员会。经过研究，COSO委员会发布了专题报告《内部控制：整体框架》，将内部控制定义为：由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。整体框架认为内部控制是由目标层面、要素层面和结构层面构成的三维度整体框架。目标层面包括财务报告目标、经营目标及合规性目标三个方面；要素层面包括控制环境、风险评估、控制活动、信息与沟通、监督五要素；结构层面包括各业务单位和业务活动。如图1所示。 　　内部控制整体框架相比以前的发展而言，有以下进步： 　　1.强调内部控制是一个过程，是为实现组织目标而实施控制活动的过程，是一个多维度的整体框架，而不仅是文件化的流程和制度。 　　2.内部控制的主体是全体员工，而不仅仅是经理层的控制，更不等于会计控制，上至董事会、经理层，下至普通员工，各部门、各岗位都是风险控制的主体。董事会对内部控制的建立健全和有