基于风险管理的内部控制评估方法探讨.docVIP

基于风险管理的内部控制评估方法探讨 ■张淑慧/重庆工商大学会计学院 近年來，随着国内外财务刃闻频频爆发，在世界范围内掀起了加强风险管理的浪潮，要 求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。基于此，COSO在2004年 9月发布了《企业风险管理——整体框架》（简称“ERM”框架），ERM框架对原COSO报 告的整体框架进行了扩展，把更多地注意力放到了企业风险管理这一更加宽泛的领域。除了 已有的五个内部控制目标，ERM框架又增加了 “战略目标”；原來的“风险评估”要素被拓 展为目标设定、风险识别、风险评估和风险应对”等四个要素；内部控制成为企业整体化 风险管理中主要关注如何有效的防范和控制财务经营风险的-个重要组成部分。鉴于此，内 部控制的评估方法也山传统的问卷、流程图等，不断改进为以风险为导向的现代内部控制评 估方法，如风险矩阵法、控制自我评估法等。本文在探讨儿种方法的基础上，介绍了控制自 我评估法的应用，并对如何有效地进行内部控制的评估提出几点拙见。 -、内部控制评估方法的变革 （-）传统内部控制评估方法 传统对内部控制评估的方法主要有问卷法、流程图法、文字叙述法等，通过这些方法來 描述和分析内部控制系统的恰当性和有效性，以及在完成所指派职责时的执行效果。传统对 内部控制的测试与评价所遵循的逻辑顺序是控制T凤险T评价控制目的是否实现”，可 见，更多的是一种事后的反馈，在确认内部控制薄弱环节之后，提供信息以帮助管理层增强 和完善内部控制，从血导致充分的控制。这种事后的评价是亡羊补牢”，而不是未雨绸 缪”，这些方法无法根据企业目标考察风险，也不能根据风险安排相应的控制以适当管理风 险。因此，传统的内部控制评估方法（2不能适应现代管理的需要。 （二）现代内部控制评估方法 在ERM框架中，现代内部控制的测试与评价遵循的逻辑顺序是“目标f 险Tfe制”, 同时将根据企业风险评估调整审计战略，确定审计重点，紧密关注高风险的领域，以提供更 相关、更符合管理层和董事会需求的确证信息。 图1:现代内部控制（ERM）的过程 评佔ERM过 程的充 分行和 有效性确证 评佔ERM过 程的充 分行和 有效性 确证服务 帮助金 立、实 施并兀 善ERM 资料来源:严晖，风险导向内部审计整合框架研究.中国财政经济出版社,2004, PII4 通过图1:现代内部控制过程來看，关注企业风险比关注企业细节控制显得更加重要。 基于此，内部控制评估方法有了诸多改进与变革，本文将介绍几种以风险为导向的内部控制 评估方法。 标杆比较法 标杆比较法(benchmark)就是将本企业各项活动与从事该项活动最佳者进行比较，从 而提出行动方法，以弥补自身的不足。它-?般分为以下两个步骤： 首先，企业需要建立或确认自身所在行业的最佳实务。 其次，了解ERM实际情况并将其与最佳实务进行对比，用定量或定性方式评估ERM 实务的差距。 美国ALLTEL公司在评估内部控制时采用农格的方式进行标杆比较，在表格第一列列 示了与各个内部控制要素有关的最佳实务，从第二列开始则设置了五个档次，山评估者根据 其判断在対应的格子中打勾，从而反映了内部控制实际情况与最佳实务的差距，如表1。 表1: ALLTEL公司内部控制评估表 最佳实务 非常一致 …致 不确定 不一致 极不?致 环境 管理层人员及所有员工都忠 诚于企业并遵守道徳规范 经营单?元的业绩日标是合理 且能够实现的 存在书而的岗位工作责任书， 并提交所有成员 责权的分配提供了受托责任 和控制的基础 风险评估 控制活动 资料來源：转引自严晖，风险导向内部审计整合框架研究冲国财政经济出版社，2004 风险控制矩阵 风险控制矩阵(Risk and Control Matrix, RCM)是市i|?人员根据企业经营目标、风险与 控制之间的联系，为确保审计建议能针对重耍的风险而建立的一张工作衣，如表2,是差距 分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制 状态等提供了一个控制范例。制定RCM nJ以从以下三点来考虑。首先，是否已识别出了所 有风险？其次，己识别的风险是否都与财务交易相关？最后，对于每一个风险，有什么对应 的控制？ 表2：风险控制工作表 目标 初步了解 风险因素 风险的重 要程度 控制要求 对其他H 标的影响 评价 结论 该农包含了下列信息：明确金业的经营目标，审计人员对被审计事项的初步了解，根据 初步了解的情况识别风险因素，衡量风险的重耍程度，采取适当的控制措施，控制措施是否 会影响其他目标的实现，审计人员的评价和结论。 内部审计人员通曲在测试的瑕后阶段來做这个矩阵，其优点是清楚地反映出对每一目标 的测试和评价，有助于关注重要风险。 控制自我评估法 控制自我评估(Contro