從內部控制到全面風險管理

2022-06-18 00:54
0個贊
摘要:國際審計準則對內部控制(internal?controls)的定義,是指管理當局為了確保以有序和有效的方式實現(xiàn)其管理目標,包括遵循管理制度、保護資產(chǎn)的安全、防范和發(fā)現(xiàn)錯誤與舞弊、確保會計記錄的準確和完整、及時編制可信的財務信息而制定和實施的管理政策和控制程序。

歡迎注冊內控網(wǎng)賬號,海量行業(yè)內控測評表單內控課程學習盡在內控網(wǎng)www.neikong.com

 

 

一.內部控制的含義

國際審計準則對內部控制(internal controls)的定義,是指管理當局為了確保以有序和有效的方式實現(xiàn)其管理目標,包括遵循管理制度、保護資產(chǎn)的安全、防范和發(fā)現(xiàn)錯誤與舞弊、確保會計記錄的準確和完整、及時編制可信的財務信息而制定和實施的管理政策和控制程序。

我國審計準則將內部控制定義為,是指被審計單位為了保證業(yè)務活動的有效進行,保護資產(chǎn)的安全和完整,防止、發(fā)現(xiàn)、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。

綜合來看,內部控制,是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

 

二.從內部控制到全面風險管理的演變

內部控制的發(fā)展經(jīng)歷了一個漫長的時期,“內部控制”一詞最早見諸于文字,是作為審計術語出現(xiàn)在審計文獻中的 1936年,美國會計師協(xié)會 ( 美國注冊會計師協(xié)會的前身 ) 在其發(fā)布的《注冊會計師對財務報表的審查》文告中,首次正式使用了“內部控制”這一專門術語,其中指出:“注冊會計師在制定審計程序時,應考慮的一個重要因素是審查企業(yè)的內部牽制和控制,企業(yè)的會計制度和內部控制越好,財務報表需要測試的范圍則越小。”

內部控制漫長的發(fā)展過程,基本上可以分為內部牽制、內部控制制度、內部控制結構、內部控制整體框架、企業(yè)風險管理整體框架以及完善六階段。

 

圖一.從內部控制到全面風險管理演變過程

 

(一)內部牽制階段

一般認為,上世紀 40 年代以前是內部牽制階段。內部牽制就是指一個人不能完全支配賬戶,另一個人也不能獨立地加以控制的制度,某位職員的業(yè)務與另一位職員的業(yè)務必須是相互彌補、相互牽制的關系,即必須進行組織上的責任分工和業(yè)務的交叉檢查或交叉控制,以便相互牽制,防止錯誤或弊端。這就是內部控制的雛形?!犊率蠒嬙~典》給它下的定義是:“為提供有效的組織和經(jīng)營,并防止錯誤和其他非法業(yè)務發(fā)生而制定的業(yè)務流程,其主要特點是以任何個人或部門不能單獨控制任何一次或一部分業(yè)務權利的方式進行組織上的責任分工,每項業(yè)務通過正常發(fā)揮其他個人或部門的功能進行交叉檢查或交叉控制。”人們對上述內部牽制概念長期以來沒有根本的異議,以致在現(xiàn)代的內部控制理論中,內部牽制仍占有相當重要的地位,并成為現(xiàn)代內部控制理論中有關組織控制、職務分離控制的雛形。

 

(二)內部控制制度階段

在內部牽制思想的基礎上,產(chǎn)生了內部控制制度的概念。內部控制制度的形成,可以說是傳統(tǒng)的內部牽制思想與古典管理理論相結合的產(chǎn)物。1949 年美國會計師協(xié)會的審計程序委員會發(fā)表了一份題為《內部控制、協(xié)調系統(tǒng)諸要素及其對管理部門和注冊會計師的必要性》的專題報告,該報告對內部控制首次做出了如下權威定義:“內部控制是企業(yè)所制定的旨在保護資產(chǎn)、保證會計資料可靠性和準確性、提高經(jīng)營效率、推動管理部門所制定的各項政策得以貫徹執(zhí)行的組織計劃和相互配套的各種方法及措施。”

內部控制制度思想認為內部控制應分為內部會計控制和內部管理控制兩個部分。內部會計控制包括與財產(chǎn)安全與財產(chǎn)記錄可靠性有關的所有方法和程序。內部會計控制在于保護企業(yè)資產(chǎn)、檢查會計數(shù)據(jù)的準確性和可靠性。內部管理控制包括組織規(guī)劃的所有方法和程序,這些方法和程序主要與經(jīng)營效率和貫徹執(zhí)行方針有關。內部管理控制在于提高經(jīng)營效率,促使有關人員遵守既定的管理方針。

西方學術界在對內部會計控制和內部管理控制研究時,逐步發(fā)現(xiàn)這兩者是不可分割、相互聯(lián)系的。因此在 20 世紀 80 年代提出了內部控制結構的概念。

注:(1) 最早提出內部會計控制系統(tǒng)的是1934 年美國發(fā)布的《證券交易法》。該法規(guī)定:證券發(fā)行人應設計并維護一套能夠為財務信息真實可靠目標提供合理保證的內部控制制度。(2) 1958 年,美國審計程序委員會又發(fā)《獨立審計人員評價內部控制的范圍的報告》將內部控制分為內部會計控制和內部管理控制.

 

(三)內部控制結構階段

進入20世紀 80 年代以來,內部控制的理論研究又有了新的發(fā)展,人們對內部控制的研究重點逐步從一般涵義向具體內容深化。其標志是美國 AICPA于 1988 年 5 月發(fā)布的《審計準則公告第 55 號》(SAS55)。在公告中,以“內部控制結構”概念取代了“內部控制制度”,并指出:“企業(yè)內部控制結構包括為提供取得企業(yè)特定目標的合理保證而建立的各種政策和程序。”認為內部控制結構由下列三個要素組成:控制環(huán)境、會計系統(tǒng)和控制程序。明確了內部控制結構的三要素的內容??刂骗h(huán)境:所謂控制環(huán)境是指對建立、加強或削弱特定政策和程序的效率發(fā)生影響的各種因素。主要表現(xiàn)在股東、董事會、經(jīng)營者及其他員工對內部控制的態(tài)度和行為。會計系統(tǒng):規(guī)定各項經(jīng)濟業(yè)務的確認、計量、記錄、歸集、分類、分析和報告的方法。也就是要建立企業(yè)內部的會計制度。控制程序:控制程序指管理當局可制定的用以保證達到一定目的的方針和程序。

與以前的內部控制定義相比,內部控制結構有兩個特點:一是將內部控制環(huán)境納入內部控制的范疇,二是不再區(qū)分會計控制和管理控制。至此,在企業(yè)管理實踐中產(chǎn)生的內部控制活動,經(jīng)過審計人員的理論總結,已經(jīng)完成從實踐到理論的升華。

 

(四)內部控制整合框架理論

在 1992 年,由美國會計學會、注冊會計師協(xié)會、美國內部審計師協(xié)會、財務經(jīng)理人員協(xié)會和管理會計師協(xié)會等組織成立的專門研究內部控制問題的美國虛假財務報告全國委員會的后援組織委員會 (Committee Of Sponsoring Organization of the Tread way Committee,簡稱 COSO委員會 ) 發(fā)布了指導內部控制的綱領性文件 COSO報告——內部控制整體框架,并于 1994 年進行了增補,這份報告堪稱內部控制發(fā)展史上的又一里程碑。

COSO報告指出,內部控制是由公司董事會、管理層和其他員工實施的,為實現(xiàn)經(jīng)營的效果性和效率性、財務報告的可靠性以及適用法律法規(guī)的遵循性等目標提供合理保證的一個過程。內部控制的根本目的是防范風險。根據(jù) COSO委員會的這一定義,內部控制是為達到目標提供合理保證而設計的過程。具體來說,是為了達到提供可靠財務報告、遵循法律法規(guī)和提高經(jīng)營效率效果等目標。COSO提出了企業(yè)內部控制的整體框架,在 COSO內部控制框架中,管理層需要履行的職責包括 5個步驟或要素:控制環(huán)境 (Controlenvironment) 、風險評估 (Riskassessment) 、控制活動 (Controlactivities) 、信息與溝通 (Information andcommunication) 和監(jiān)控 (Monitoring) 。

1. 控制環(huán)境??刂骗h(huán)境作為內部控制整體框架中所有構成要素的基礎,為內部控制提供了前提和結構。其特征是先明確定義機構的目標和政策,再以戰(zhàn)略計劃和預算過程進行支持;然后,清晰定義利于劃分職責和匯報路徑的組織結構,確立基于合理年度風險評估的風險接受政策;最后,向員工澄清有效控制和審計體系的必要性以及執(zhí)行控制要求的重要性,同時,高級領導層需對文件控制系統(tǒng)作出承諾??刂骗h(huán)境決定了企業(yè)的基調,直接影響企業(yè)員工的控制意識。

2. 風險評估。風險評估是確定和分析目標實現(xiàn)過程中的風險,并為決定如何對風險進行管理提供基礎。這一環(huán)節(jié)是 COSO內部控制整體框架的獨特之處。把風險評估作為要素引入到內控領域,這是第一次。在風險評估過程中,管理層識別并分析實現(xiàn)其目標過程中所面臨的風險,從而制定決定如何管理風險的制度基礎。管理層應該在審計師開始審計之前,識別那些重大的風險,并基于這些風險發(fā)生的可能性和影響采取措施緩和這些風險。隨后,審計師對這一風險評估過程進行評價。

3. 控制活動。控制活動是指確保管理層的指令得以實現(xiàn)的機制,包括那些被識別能夠緩和風險的活動??刂苹顒哟嬖谟诮M織的所有層面及組織所有的功能中,如核準、授權、驗證、調節(jié)、復核經(jīng)營績效、保障資產(chǎn)安全、職務分工及信息系統(tǒng)等。

4. 信息與溝通。信息是指員工能夠獲得其工作中所需要的信息,是確保員工履行職責的必要條件。溝通是各級人員接收最高管理層關于控制責任的指令方式和他們對待內部控制的嚴肅程度,包括信息向上的、向下的、橫向的、在組織內外自由的流動。在企業(yè)運行和目標實現(xiàn)過程中,組織的各個層面都需要一系列包括來自企業(yè)內部和企業(yè)外部的財務和運營信息。信息系統(tǒng)對戰(zhàn)略行動提供支持,并融入到經(jīng)營活動中。

5.監(jiān)督。監(jiān)督是由實時評價內部控制執(zhí)行質量的程序組成的,這一程序包括持續(xù)監(jiān)督、獨立評價,或者是二者的綜合。獨立評價的范圍和頻率取決于所評估的風險程度,內部控制系統(tǒng)需要被監(jiān)督,監(jiān)督能夠確保內部控制的有效運行??刂频谋O(jiān)督要素包括經(jīng)理人員日常的監(jiān)督,審計師和其他群體定期的審核以及經(jīng)理人員用以揭示和糾正已知的缺陷與不足的程序。監(jiān)督可以用來保證其他控制的運行。

COSO將內部控制要素以一個金字塔結構提出,其中控制環(huán)境作為金字塔的最底部,風險評估和控制活動位于上一層次,信息和溝通接近頂部,監(jiān)督處于最頂端。內部控制各要素之間的關系如圖二所示:

圖二

 

圖二表明:五大要素中,控制環(huán)境是基礎,是其余要素發(fā)揮作用的前提條件。如果沒有一個有效的控制環(huán)境,其余四個要素無論其質量如何,都不可能形成有效的內部控制。風險評估、控制活動、信息與溝通是整個控制框架的組成要素,監(jiān)督則是對另四個要素所進行的持續(xù)不間斷的檢驗和再控制。

內部控制理論—— COSO報告的出臺,引起了世界會計學界的廣泛研究興趣,加深了各界對內部控制認識的重要性,基本上統(tǒng)一了業(yè)界的認識,這對人們進行企業(yè)內部控制的研究極具時代意義。COSO報告對我國的會計理論和會計實務方面都具有重大的啟示和借鑒意義。在理論方面的啟示,首先體現(xiàn)在我國各級會計人員必須加深對內部控制的認識,內部會計控制是內部控制的核心組成部分,必須轉變原有過時的內部會計控制觀念和思想,以便更好地促進企業(yè)內部控制管理,使內部會計控制思想得到企業(yè)各個階層的自覺遵守,“軟控制”在企業(yè)中得到生根發(fā)芽,這是企業(yè)管理中最為推崇和有效的控制方法。在實務方面的啟示,我國應吸收 COSO報告的研究成果,對我國企業(yè)的內部會計的控制環(huán)境、控制過程和風險評估等進行重新審視并加以完善和提高,以便建立一套更適合我國企業(yè)的內部控制辦法。

 

(五)企業(yè)風險管理整合框架階段

背景:

安然事件——股東損失700億美元

世通事件——110億美元的會計舞弊案

薩班斯法案

企業(yè)風險管理架構在1992年 COSO報告的基礎上,結合《薩班斯 - 奧克斯法案》在財務報告方面的要求,進行了擴展研究。COSO對風險管理框架的定義是:“企業(yè)風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰(zhàn)略制定并貫穿于企業(yè)之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現(xiàn)提供合理的保證”。

與 1992 年 COSO報告提出的內部控制整體架構相比,企業(yè)風險管理架構增加了一個觀念、一個目標、兩個概念和三個要素,即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標設定”、“風險識別”和“風險應對”要素。

 

圖三COSO企業(yè)風險管理整體框架

 

1)提出了一個新的觀念——風險組合觀

企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險,對相關的風險進行識別并采取措施使企業(yè)所承擔的風險在風險偏好的范圍內。對企業(yè)內每個單位而言,其風險可能落在該單位的風險容忍度范圍內,但從企業(yè)總體來看,總風險可以超過企業(yè)總體的風險偏好范圍。因此,應從企業(yè)總體的風險組合的觀點看待風險。

2)增加了一類目標——戰(zhàn)略目標,并擴大了報告目標的范疇

內部控制架構將企業(yè)的目標分為經(jīng)營、財務報告和合規(guī)性三類目標。企業(yè)風險管理架構也包含三個類似的目標,但是其中只有兩個目標與內部控制架構中的定義相同,財務報告目標的界定則有所區(qū)別。內部控制架構中的財務報告目標只與公開披露的財務報表的可靠性相關,而企業(yè)風險管理架構中報告目標的范圍有很大的擴展,該目標覆蓋了企業(yè)編制的所有報告,既包括內部報告,也包括外部報告;包括企業(yè)內部管理者使用的報告,也包括向外部提供的報告;包括法定報告,也包括向其他利益相關者提供的非法定報告;既包括財務信息,也包括非財務信息。此外,企業(yè)風險管理架構比內部控制架構增加了一類新的目標—戰(zhàn)略目標。該目標的層次比其他三個目標更高。企業(yè)的風險管理在應用于實現(xiàn)企業(yè)其他三類目標的過程中,也應用于企業(yè)的戰(zhàn)略制定階段。

3)提出了兩個新概念——“風險偏好”和“風險容忍度”

從廣義上看,風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。企業(yè)的風險偏好與企業(yè)的戰(zhàn)略直接相關,企業(yè)在制定戰(zhàn)略時,應考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結合起來。風險容忍度的概念是建立在風險偏好概念基礎上的,是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度,是企業(yè)在風險偏好的基礎上設定的對相關目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。在確定各目標的風險容忍度時,企業(yè)應考慮相關目標的重要性,并將其與企業(yè)風險偏好聯(lián)系起來。

4)增加了三個風險管理要素

對其他要素的分析更加深入,范圍上也有所擴大企業(yè)風險管理架構新增了三個風險管理要素:“目標制定”、“事項識別”和“風險反應”。此外,風險管理架構更加深入地闡述了其他要素的內涵,并擴大了相關要素的范圍。在控制環(huán)境要素上,企業(yè)風險管理架構將“控制環(huán)境”擴展為“內部環(huán)境”,更加直接、廣泛地關注風險是如何影響企業(yè)的風險文化。在風險評估方面,企業(yè)風險管理架構建議從固有風險和殘存風險的角度來看待風險;還要求注意相互關聯(lián)的風險,確定一件單一的事項如何為企業(yè)帶來多重的風險。在信息與溝通方面,企業(yè)風險管理架構擴大了企業(yè)信息和溝通的構成內容,認為企業(yè)的信息應包括來自過去、現(xiàn)在和未來潛在事項的數(shù)據(jù)。

總的來講,新的架構強調在整個企業(yè)范圍內識別和管理風險的重要性。COSO委員會強調風險管理框架必須和內部控制框架相一致,把內部控制目標和要素整合到企業(yè)全面風險管理過程中。因此,風險管理框架是對內部控制框架的擴展和延伸,它涵蓋了內部控制,并且比內部控制更完整、有效。

 

(六)風險管理管理框架的完善

2016年6月,COSO發(fā)布修訂版《企業(yè)風險管理—協(xié)調戰(zhàn)略與業(yè)績》(征求意見稿)。2017年9月6日,COSO發(fā)布了新版(2017版)的企業(yè)風險管理框架:《企業(yè)風險管理—與戰(zhàn)略和業(yè)績的整合》。從征求意見稿到正式版,企業(yè)風險管理框架中的要素和原則從圍繞企業(yè)戰(zhàn)略和績效,變成了貫穿融入企業(yè)戰(zhàn)略、績效和價值提升,也是對題目一詞進行變更后,正文整體內容變化的一個直接體現(xiàn)。

新的框架從企業(yè)使命、愿景和核心價值出發(fā),定位的宗旨為提升主體的價值和業(yè)績,強調嵌入企業(yè)管理業(yè)務活動和核心價值鏈,從主要的要素和內容看也進行了翻天覆地的變化,從而使得一個嶄新的“管理框架”誕生,這種視角是一種新型的企業(yè)管理視角,對企業(yè)管理界來說是一場理念的變革。如果說在原有“控制框架”下,會計師事務所可以在實施內部控制框架的基礎上,協(xié)助企業(yè)加強風險管理工作,但新的“管理框架”更像是企業(yè)決策者或企業(yè)管理咨詢顧問關心的范疇。

 

 

近年來,基于風險導向的管理理念逐漸興起,企業(yè)管理領域中常見的公司治理、企業(yè)文化、戰(zhàn)略管理、卓越績效、危機管理、高效溝通等都可以應用此套框架實現(xiàn)更好的標準化和科學化,因為基于風險的管理理念將成為主流并滲透到企業(yè)管理的各個方面了解COSO 1992年、2004年發(fā)布的內部控制框架和企業(yè)風險管理框架的人都應該清楚,兩個框架均列示了企業(yè)內部控制和風險管理工作的局限性,而且這兩個框架的局限性基本一致,這也在另外一個角度印證了2004年版的企業(yè)風險管理框架還是一個大內控的“控制框架”。

新版本的框架中刪除了對于風險管理局限性的章節(jié),作為一套“管理體系”而非“控制體系”,突破原來的局限性是不言自明的。

 

 

 

三.內部控制與全面風險管理的關系

1.全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統(tǒng)。全面風險管理除包括內部控制的3個目標之外,還增加了戰(zhàn)略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件識別和風險對策3個要素。從時間先后和內容上來看,全面風險管理是對內部控制的拓展和延伸。

2.內部控制是全面風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理,對于企業(yè)所面臨的大部分運營風險,或者說對于在企業(yè)的所有業(yè)務流程之中的風險,內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時,維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此,滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。

 

 

 

 

近期課程安排:

《國際注冊內部控制師CICS資格認證》面授及網(wǎng)絡課程學習班:

報名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

報名二維碼:

這篇文章對你有沒有幫助?有 0無 0
上一篇:中國石化:全員參與打造世界領先內控管理體系下一篇:財務總監(jiān)拒簽年報后“失聯(lián)”,福成股份發(fā)公告稱“公司存在內部控制缺陷”