基于风险管理下内部控制评估方法变革的探讨.docVIP

基于风险管理的内部控制评估方法探讨 ■张淑慧/重庆工商大学会计学院 近年来，随着国内外财务丑闻频频爆发，在世界范围内掀起了加强风险管理的浪潮，要 求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。基于此，COSO在2004年 9月发布了《企业风险管理一一整体框架》（简称“ERM”框架），ERM框架对原COSO报 告的整体框架进行了扩展，把更多地注意力放到了企业风险管理这一更加宽泛的领域。除了 已有的五个内部控制目标，ERM框架又增加了 “战略目标”；原来的“风险评估”要素被拓 展为“目标设定、风险识别、风险评估和风险应对”等四个要素；内部控制成为企业整体化 风险管理屮主要关注如何有效的防范和控制财务经营风险的一个重要组成部分。鉴于此，内 部控制的评估方法也市传统的问卷、流程图等，不断改进为以风险为导向的现代内部控制评 估方法，如风险矩阵法、控制自我评估法等。木文在探讨几种方法的基础上，介绍了控制自 我评估法的应用，并对如何有效地进行内部控制的评估提出几点拙见。 -、内部控制评估方法的变革 （-）传统内部控制评估方法 传统对内部控制评估的方法主要有问卷法、流程图法、文字叙述法等，通过这些方法来 描述和分析内部控制系统的恰当性和有效性，以及在完成所指派职责时的执行效果。传统对 内部控制的测试与评价所遵循的逻辑顺序是“控制一9凤险T评价控制目的是否实现”，可 见，更多的是一种事示的反馈，在确认内部控制薄弱环节Z示，提供信息以帮助管理层增强 和完善内部控制，从而导致充分的控制。这种事后的评价是“亡羊补牢”，而不是“未雨绸 缪”，这些方法无法根据企业目标考察风险，也不能根据风险安排相应的控制以适当管理风 险。因此，传统的内部控制评估方法已不能适应现代管理的需要。 （二）现代内部控制评估方法 在ERM框架屮，现代内部控制的测试与评价遵循的逻辑顺序是“目标险空制”, 同时将根据企业风险评估调整审计战略，确定审计重点，紧密关注高风险的领域，以提供更 相关、更符合管理层和董事会需求的确证信息。 1：现代内部控制（ERM）的过程 评佔ERM过 程的充 分行和 有效性确证 评佔ERM过 程的充 分行和 有效性 确证服务 帮助企 立、实 施并完 善ERM 资料來源：严晖,风险导向内部审计整合框架研究.中国财政经济出版社,2004, PI14 通过图1：现代内部控制过程来看，关注企业风险比关注企业细节控制显得更加重要。 基于此，内部控制评估方法有了诸多改进与变苹，木文将介绍几种以风险为导向的内部控制 评估方法。 标杆比较法 标杆比较法(benchmark)就是将木企业备项活动与从事该项活动最佳者进行比较，从 而提出行动方法，以弥补自身的不足。它一般分为以下两个步骤： 首先，企业需要建立或确认自身所在行业的最佳实务。 其次，了解ERM实际情况并将其与最佳实务进行对比，用定量或定性方式评估ERM 实务的差距。 美国ALLTEL公司在评估内部控制时采用表格的方式进行标杆比较，在表格第一列列 示了与备个内部控制要素有关的最佳实务，从第二列开始则设置了五个档次，由评估者根据 其判断在对应的格了屮打勾，从而反映了内部控制实际情况与最佳实务的差距，如表lo 表ALLTEL公司内部控制评估表 最佳实务 非常一致 一致 不确定 不一致 极不一致 环境 管理层人员及所有员T都忠 诚于企业并遵守道徳规范 经营单元的业绩冃标是合理 且能够实现的 存在书面的岗位工作责任书， 并提交所有成员 责权的分配提供了受托责任 和控制的基础 风险评估 控制活动 资料來源：转引自严晖，风险导向内部审计整合框架研究?屮国财政经济出版社，2004 风险控制矩阵 风险控制矩阵(Risk and Control Matrix, RCM)是审计人员根据企业经营甘标、风险与 控制之间的联系，为确保审计建议能针对重要的风险而建立的一张工作表，如表2,是差距 分析和审计过程屮的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制 状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先，是否已识别出了所 有风险？其次，已识别的风险是否都与财务交易相关？最后，对于毎一个风险，有什么对应 的控制？ 表2：风险控制工作表 目标 初步了解 风险因素 风险的重 要程度 控制要求 对其他目 标的影响 评价 结论 该表包含了下列信息：明确企业的经营目标，审计人员对被审计事项的初步了解，根据 初步了解的情况识别风险因索，衡量风险的重要稈度，采取适当的控制措施，控制措施是占 会影响其他日标的实现，审计人员的评价和结论。 内部审计人员通常在测试的最后阶段来做这个矩阵，其优点是清楚地反映出对每一目标 的测试和评价，有助于关注重要风险。 控制自我评估法 控制白我评估(Control Self-as