风险基础内部控制评价体系构建.docVIP

风险基础内部控制评价体系构建 　　摘 要：从内部控制评价发展的趋势来看，内部控制评价基本上都趋向于采用风险基础评价方法，而我国对内部控制风险基础评价方法应用不足。因此，将以评估影响内部控制目标实现的风险因素为起点，构建与组织目标相匹配的内部控制评价体系，评价影响目标实现的“风险与应对”有效性，分析研究内部控制缺陷，提出改进意见，以促进内部控制，合理保证组织目标的实现 关键字：风险导向；内部控制；有效性；评价 中图分类号：F272 文献标志码：A 文章编号：1673-291X（2016）26-0108-03 引言 巴塞尔银行监管委员会（Basle Committee on Banking Supervision）在对20世纪90年代以来的系列银行破产案例作了深入调查之后得出结论，认为著名商业银行发生资金风险案件的原因，除了内部控制失效外，很难再找到其他因素了。如2008年兴业银行的期货交易欺诈案，一位从事普通股指期货对冲的交易员，闯过5道操作权限划分严密的银行审核系统关卡，获取使用巨额资金的权限，虚构交易一年多而没有被发现，使得法国兴业银行的内部控制成为众矢之的。无独有偶，我国近几年金融机构风险案件也多发、频发。如2016年1月农行爆发的39.15亿元巨额票据案，按规定应保存在银行保险柜的汇票被农行员工与票据中介内外勾结，提前取出套取资金非法流入股市；但由于股市下跌，巨额资金缺口导致票据到期无法兑付，而保险柜中的票据被换成了报纸，并且票据进出未建立台账。因此，在风险控制流程严密、监控系统发达、工作权限级别森严的金融机构出现风险案件频发，使我们禁不住对自己的内部控制体系是否有效产生疑虑。所以，在风险空前险恶的当今，评价组织应对风险的内部控制是否有效是至关重要的。笔者将以评估影响内部控制目标实现的风险因素为起点，构建与组织目标相匹配的内部控制评价体系，对影响组织目标实现的“风险与应对”的有效性进行评价，研究分析内部控制缺陷，提出改进意见，以合理保证组织目标的实现 一、内部控制评价发展状况 目前，内部控制评价主要采取详细评价法和风险基础评价法两种方法。详细评价法以控制目标是否实现以及实现程度为出发点，对内部控制的完整性、合理性及有效性发表意见。即以内部控制框架为标准，对内部控制架构成要素是否存在进行判定，评价内部控制设计的有效性；根据内部控制现有业务流程和操作制度，测试控制是否按照规定的程序得到了执行，评价内部控制运行的有效性。这种方法的特点是从控制到风险，即从内部控制到相关目标实现的风险，忽视了内部控制本身的缺陷以及风险的不确性等因素，比较适合于内部控制的建立和保持。风险基础评价法以影响组织目标实现的风险为基础，首先，对影响组织相关目标实现的风险进行识别和确定；其次，判定应对目标风险所必需的控制是否存在、合理，即评价控制目标风险的应对措施设计的有效性；再次，对应对风险的控制措施运行的有效性进行评估，评价现有的控制措施是否得到了有效的运行；最后，研究分析控制措施的缺陷，判断内部控制是否存在实质性漏洞。这种方法的特点是从风险到控制，即从内部控制相关目标实现的风险到内部控制，充分体现了以风险为基础的理念 从目前的现状以及未来国际发展趋势来看，内部控制评价基本上都趋向于采用风险基础评价方法。从2007年开始，美国证券交易委员会发布的管理层报告内部控制指南（SEC，2007）和公共公司会计监督委员会发布的内部控制审计准则（PCAOB，2007）就采用了风险基础评价方法。这一方法在英国、加拿大、日本等国的上市公司的内部控制年度评价也得到应用。我国2010年颁布的《企业内部控制评价指引》要求企业围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等五要素对内部控制设计与运行情况进行自我评估，属于详细评价法，但目前对风险基础评价法应用不足 二、风险基础内部控制评价体系设计 由于风险管理已成为组织治理和管理的关键所在，所以对作为风险管理重要组成部分的内部控制进行评价时，应该充分体现风险管理理念。风险基础评价法就是以评估控制目标实现的风险为起点，关注重大风险，仅评价充分应对风险的控制，根据风险发生的可能性和对目标的影响程度确定评价的重点业务单元、重要业务领域或业务流程环节等范围获取证据，判断内部控制有效与否也是以风险为基础，根据内部控制是否合理保证了可能发现或防止了重要风险得出评价结论，将风险管理理念贯穿始终。故结合风险管理理念和内部控制风险基础评价法，构建以风险为基础的内部控制评价程序图（图1） 图1 风险基础内部控制评价程序图 （一）设定相关目标 由于组织在不同时期、发展阶段所面临的风险因素是不同的，内部控制需要规避的风险自然也是不一样的，组织应当动态设定不同发展时期内部控制的目标重心