論文（设计）基于风险管理的内部控制评估方法探讨.docVIP

基于风险管理的内部控制评估方法探讨 ■张淑慧/ 重庆工商大学会计学院 近年来，随着国内外财务丑闻频频爆发，在世界范围内掀起了加强风险管理的浪潮，要求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。基于此，COSO在2004年9月发布了《企业风险管理——整体框架》（简称“ERM”框架），ERM框架对原COSO报告的整体框架进行了扩展，把更多地注意力放到了企业风险管理这一更加宽泛的领域。除了已有的五个内部控制目标，ERM框架又增加了“战略目标”；原来的“风险评估”要素被拓展为“目标设定、风险识别、风险评估和风险应对”等四个要素；内部控制成为企业整体化风险管理中主要关注如何有效的防范和控制财务经营风险的一个重要组成部分。鉴于此，内部控制的评估方法也由传统的问卷、流程图等，不断改进为以风险为导向的现代内部控制评估方法，如风险矩阵法、控制自我评估法等。本文在探讨几种方法的基础上，介绍了控制自我评估法的应用，并对如何有效地进行内部控制的评估提出几点拙见。 一、内部控制评估方法的变革 （一）传统内部控制评估方法 传统对内部控制评估的方法主要有问卷法、流程图法、文字叙述法等，通过这些方法来描述和分析内部控制系统的恰当性和有效性，以及在完成所指派职责时的执行效果。传统对内部控制的测试与评价所遵循的逻辑顺序是“控制 风险 评价控制目的是否实现”，可见，更多的是一种事后的反馈，在确认内部控制薄弱环节之后，提供信息以帮助管理层增强和完善内部控制，从而导致充分的控制。这种事后的评价是“亡羊补牢”，而不是“未雨绸缪”，这些方法无法根据企业目标考察风险，也不能根据风险安排相应的控制以适当管理风险。因此，传统的内部控制评估方法已不能适应现代管理的需要。 （二）现代内部控制评估方法 在ERM框架中，现代内部控制的测试与评价遵循的逻辑顺序是“目标 风险 控制”，同时将根据企业风险评估调整审计战略，确定审计重点，紧密关注高风险的领域，以提供更相关、更符合管理层和董事会需求的确证信息。 图1：现代内部控制（ERM）的过程 资料来源：严晖，风险导向内部审计整合框架研究.中国财政经济出版社，2004，P114 通过图1：现代内部控制过程来看，关注企业风险比关注企业细节控制显得更加重要。基于此，内部控制评估方法有了诸多改进与变革，本文将介绍几种以风险为导向的内部控制评估方法。 1．标杆比较法 标杆比较法（benchmark）就是将本企业各项活动与从事该项活动最佳者进行比较，从而提出行动方法，以弥补自身的不足。它一般分为以下两个步骤： 首先，企业需要建立或确认自身所在行业的最佳实务。 其次，了解ERM实际情况并将其与最佳实务进行对比，用定量或定性方式评估ERM实务的差距。 美国ALLTEL公司在评估内部控制时采用表格的方式进行标杆比较，在表格第一列列示了与各个内部控制要素有关的最佳实务，从第二列开始则设置了五个档次，由评估者根据其判断在对应的格子中打勾，从而反映了内部控制实际情况与最佳实务的差距，如表1。 表1：ALLTEL公司内部控制评估表 最佳实务 非常一致 一致 不确定 不一致 极不一致 环境 　 　 　 　 　 管理层人员及所有员工都忠诚于企业并遵守道德规范 　 　 　 　 　 经营单元的业绩目标是合理且能够实现的 　 　 　 　 　 存在书面的岗位工作责任书，并提交所有成员 　 　 　 　 　 责权的分配提供了受托责任和控制的基础 　 　 　 　 　 …… 　 　 　 　 　 风险评估 　 　 　 　 　 …… 　 　 　 　 　 控制活动 　 　 　 　 　 …… 　 　 　 　 　 资料来源：转引自严晖，风险导向内部审计整合框架研究.中国财政经济出版社，2004 2．风险控制矩阵 风险控制矩阵Risk and Control Matrix，RCM是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先，是否已识别出了所有风险？其次，已识别的风险是否都与财务交易相关？最后，对于每一个风险，有什么对应的控制？ 初步了解 风险因素 风险的重要程度 控制要求 对其他目标的影响 评价 结论 …… 该表包含了下列信息：明确企业的经营目标，审计人员对被审计事项的初步了解，根据初步了解的情况识别风险因素，衡量风险的重要程度，采取适当的控制措施，控制措施是否会影响其他目标的实现，审计人员的评价和结论。 　　内部审计人员通常在测试的最后阶段来做这个矩阵，其优点是清楚地反映出对每一目标的测试和评价，有助于关注重要风险。FTSE100家公司的前50个企业，基本上都是英国的大公司。根据要调查的内容，梅