企业内部控制的风险识别和评估 .pdfVIP

企业内部控制的风险识别和评估--第1页

企业内部控制的风险识别和评估

【摘要】企业开展风险评估，应当准确地识别与控制目标相关的外部风险

和内部风险，确定相应的风险承受度。这是促进资本市场健康发展的客观需要，

是稳定稳固强大的国家财政的必然要求，也是完善单位治理机构、建立惩治和预

防腐败体系的重要举措。

【关键词】要素识别评估企业文化应对计划

一、内部控制要素

内部控制，在内部牵制的基础上，由企业管理人员在经营管理实践中创造；

并由审计人员理论总结而逐步完善的自我监督和自行调节体系。内部控制是合理

保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经

营效率和效果，促进企业实现发展战略的重要手段。对内部控制的认识，经历了

一个逐渐发展的过程。内部控制经历了从内部牵制一要素法到二要素法、三要素

法到五要素法，日趋完整和深入，最终发展为全面风险管理框架模式。

内部控制“一要素“阶段——内部牵制阶段，以账目间的相互核对为主要内

容，并实施岗位分离，在减少错误和舞弊问题上起了十分重要的作用。内部控制

“二要素”阶段——内部控制制度阶段，为了适应经济的发展和企业组织规模的扩

大，美国注册会计师协会的审计程序委员会于1958年10月发布的《审计程序公

告第29号》将内部控制划分为会计控制和管理控制，内部控制划分为二要素形

式。内部控制“三要素”阶段——内部控制结构阶段，1988年美国注册会计师协

会的审计准则委员会发布的《审计准则公告第55号》，该公告以“内部控制结构”

代替“内部控制制度”，具体包含三个要素：控制环境、会计制度、控制程序。内

部控制“五要素”阶段——内部控制整合框架阶段，1996年美国注册会计师协会

发布《审计准则公告第78号》，全面接受COSO报告的内容，新准则将内部控

制定义为”由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目

标提供合理保证：财务报告的可靠性、经营的效果和效率以及符合使用的法律和

法规。”该准则将内部控制划分为五种要素：控制环境、风险评估、控制活动、

信息与沟通、监控。内部控制后成熟期——全面风险管理框架，2004年4月正

式颁布，其涵盖了内部控制框架的内容，其范围和内容比内部控制框架的范围更

广泛。将企业风险管理的构成划分为内部环境、目标制定、事项识别、风险评估、

风险反映、控制活动、信息和沟通、监控等八个相互关联的要素，贯穿于企业风

险管理的过程中。

内部控制细化、明确之后最大的变化就是将内部控制更名为企业风险管理。

事实上，不论中航油公司还是伊利股份、创维数码，几乎所有的公司都有一整套

管理制度。从投资到报销，事无巨细，应有尽有，在表面上控制得很好，其实却

忽视了企业重大风险的存在。ERM框架要求管理层将精力主要放在能产生重大

风险环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容。

中航油曾在2003年被新加坡证券监督部门列为最透明的企业，说明企业确实是

企业内部控制的风险识别和评估--第1页

企业内部控制的风险识别和评估--第2页

在内部控制的细节上做得非常密实，然而，正是忽视了风险管理，才使中航油事

件从一个不很大的失误开始，酿成为石破天惊的大案、要案。可见，关注企业风

险控制比关注企业细节控制更能使内部控制发挥重大的作用。

二、内部控制风险识别

企业风险，指未来的不确定性对企业实现其经营目标的影响。企业开展风险

评估，应当准确地识别与控制目标相关的外部风险和内部风险，确定相应的风险

承受度。建立企业风险管理三道防线：其一，各有关