風險導向內部控制評價模式研究
一����、企業(yè)目標、風險與內部控制的關系
隨著國際經(jīng)濟和信息技術的發(fā)展�,世界經(jīng)濟一體化為企業(yè)在全球范圍內的大市場中開展經(jīng)營活動提供了機會,同時也使企業(yè)生存與發(fā)展的環(huán)境面臨更大的風險�����。風險已成為影響企業(yè)目標實現(xiàn)的重要因素��,管理與控制風險變得越來越重要���。
企業(yè)內部控制系統(tǒng)存在的目的在于對威脅其目標實現(xiàn)的風險進行管理���。企業(yè)的內部控制能否發(fā)揮作用����,還必須考慮企業(yè)面臨的風險的性質����、范圍、風險可量化程度����、控制成本與管理相關風險可獲得的收益的對比。
1.風險控制水平
企業(yè)管理當局對風險的態(tài)度直接影響風險的控制水平��。如果企業(yè)管理當局喜歡冒險����,對面臨的風險缺乏預防或控制措施,則會引起巨大損失��;如果過分謹慎也會使企業(yè)失去發(fā)展機會�;只有正確地認識風險,并對風險加以控制�,才能最大限度地提高企業(yè)的利潤。這說明風險控制的目的不是為了限制企業(yè)的各種經(jīng)營活動,而是確保它們受到正確的引導����,以減少不必要的損失。筆者認為對待風險的策略應該是適當?shù)亟邮茱L險���,但這并非是盲目地冒險����,而是事先合理地預計可能的風險���,積極地尋求企業(yè)的發(fā)展機會。就像一個人不能因為害怕交通事故而不出門或不駕車�,而是應該在其出門或駕車時采取必要的防范措施,如遵守交通規(guī)則�、扣好安全帶或避免高速行駛等。就企業(yè)而言�����,可以發(fā)展業(yè)務組合(有不同風險和回報的業(yè)務的組合)或退出高風險低回報的業(yè)務領域�����。
2.比較風險與回報
風險的可接受水平取決于回報的大小。通常人們?yōu)榱藢崿F(xiàn)高回報才去冒較大的風險��,而不會為了低回報去冒較高的風險�����。最好的商業(yè)機會是回報高而風險小的商業(yè)機會��;而低回報高風險則會對企業(yè)構成較大的危險��。
3.分析風險控制成本
如果企業(yè)沒有對風險進行控制�����,那么就要承擔出問題和事故的代價�����,如一次污染后要支付的處理費�����,平息一次工傷事故的費用����,或收回劣質產品的開支。所有這些費用,都可在圖1中用事故費用曲線表示�����。當企業(yè)意識到管理企業(yè)風險的必要性后����,就開始在預防手段上投資,包括進行預防的支出及為加強控制而增加的人工費用等�����,這些開支可用預防費用曲線表示��。從圖1中我們可以看到��,隨著預防費用的增加�,事故的發(fā)生率下降�,因此事故費用也隨著下降,總體開支下降�。事故費用曲線與預防費用曲線的交點使企業(yè)總體開支最低。如果企業(yè)繼續(xù)投資于預防措施上�,尋找進一步減少事故發(fā)生的可能性,那么預防費用就會上升����。最后總體費用達到了企業(yè)開始管理風險以前的水平��。圖1顯示��,在風險管理上有一個最優(yōu)效果的投資水平�,投資過多會使企業(yè)背上成本的負擔����,使它失去競爭力,而關注不足會使企業(yè)付出高昂的事故費用��,中間的某處是最佳的位置����。
由此可見,企業(yè)為降低總體開支水平�,必須識別和評估風險,建立適當?shù)目刂浦贫?���,采取行動管理風險,并對管理的效果進行監(jiān)督和檢查����。
二�、內部審計領域的風險導向審計
內部審計既是內部控制的一個組成部分����,又是內部控制的一種特殊形式。1986年最高審計機關國際組織在第十二屆國際審計會議上發(fā)表的《總聲明》中�����,就把內部審計與組織結構�����、方法程序一起列為內部控制的重要組成部分�����。1992年����,美國的“反虛假財務報告委員會”發(fā)起成立的一個贊助組織委員會(簡稱COSO,CommitteeofSponsoringOrganization)專門致于內部控制研究����,提出了“內部控制——整體框架”的研究報告�����。該報告將內部控制劃分為控制環(huán)境、風險評估��、控制活動�����、信息與溝通及監(jiān)控等五個要素��,其中的監(jiān)控就是指對內部控制結構運行質量的監(jiān)督�,它是通過管理控制方法和內部審計的職能來實現(xiàn)的?����?梢?���,內部審計職能作為內部控制的一個要素,是管理當局用來監(jiān)督相關控制程序的手段��,即是對內部控制的再控制�。COSO報告為內部審計人員進行風險管理提供了指南,表明了以風險為導向的審計方法成為審計方法發(fā)展的必然趨勢���。
在內部審計領域�,人們似乎對風險導向審計方法有著與外部審計不同的理解。內部審計師更多地將風險導向審計中的“風險”擴大為企業(yè)或組織在經(jīng)營過程中面臨的不能實現(xiàn)其目標的各種風險[2]�,并將其作為確定審計項目及其審計重點的依據(jù)。內部審計領域的風險導向審計是以影響企業(yè)經(jīng)營目標實現(xiàn)的經(jīng)營風險為依據(jù)確定審計項目�,以企業(yè)進行的所有降低風險的活動為測試重點,評價風險降低的充分性和有效性���,并提出恰當?shù)慕档惋L險的建議的一種方法��。國外的許多企業(yè)審計實踐證明�����,在內部審計領域實施風險導向審計��,改變了內部審計人員探討風險和內部控制的方法���,為內部審計參與風險管提供了基礎,促進了內部審計與其它風險管理要素的結合����,并已為企業(yè)管理當局所接受。
內部審計領域運用風險導向審計方法�����,改變了過去那種內部審計人員以檢查歷史業(yè)務記錄和內部控制系統(tǒng)的歷史運營情況提出建議和意見的方式�,變?yōu)楦雨P注企業(yè)面臨的風險和企業(yè)未來的發(fā)展及企業(yè)為降低風險所進行的一項管理活動[3].在快速發(fā)展的時代,企業(yè)管理當局需要了解變化過程中可能遇到的風險�,而固定的、靜態(tài)的控制體系只能反映企業(yè)的過去�。因此,要求內部審計師在風險環(huán)境中觀察業(yè)務過程���,提出控制風險的建議�����,從而為企業(yè)增加更多的價值���。
采用風險導向審計方法,內部審計的報告更容易被接受�����,管理部門也更容易理解內部審計存在的價值��。在過去的制度基礎審計中����,內部審計總是以其內部控制為中心��,并在審計報告中不斷提出增加控制點或增加控制的建議�,這樣�����,若干年后審計的結果就是控制點越來越多����,業(yè)務過程越來越繁雜。同時�����,也產生了不能為企業(yè)增加價值的員工�。在風險導向審計中,審計報告中關注的企業(yè)當前及未來需要的準備���,是企業(yè)現(xiàn)行經(jīng)營活動與戰(zhàn)略計劃之間的“橋梁”[4].三��、風險基礎法下內部控制的評價模式
傳統(tǒng)的內部控制評價模式主要是采用“內部控制調查問卷”和符合性測試�,對企業(yè)已經(jīng)存在的內部控制進行評價,審計報告中的建議也是管理當局早已經(jīng)知道的���,缺乏新意[5].有人形象地比喻��,內部審計的工作就是“審核數(shù)豆子的人是否將豆子數(shù)得一粒不差”。風險導向審計法要求內部審計人員改變傳統(tǒng)的評價模式��,把審計的起點放在關注企業(yè)發(fā)展戰(zhàn)略和識別企業(yè)業(yè)務流程的風險上���,分析風險��,并提出控制風險的建議和方法�。
特別需要指出�,評價內部控制并非為了控制本身,而應針對企業(yè)經(jīng)營過程中可能面臨的風險��。在風險導向審計法下����,內部審計更為關心的是下列問題:與控制相關的目標是什么?這種控制要解決的問題是什么�����?這種控制是否對被審計單位的經(jīng)營活動有益?是否存在重復控制����?什么樣的風險水平是可以接受的?控制的效果是否影響管理當局決策[6]���?只有清楚地了解了這些����,內部審計人員才能辨別何處控制環(huán)節(jié)過多�����,何處控制環(huán)節(jié)不充分��,何處控制滿意��,何處控制需要改善���。我們以采購為例進行分析�����,企業(yè)采購的目標可概括為:保證采購的物品為企業(yè)所需�,適當?shù)膬r格及付款條件,所購物品的質量符合要求�,交貨的時間、地點等��。審計的目的在于評估實現(xiàn)上述目標的風險���,并建議增加一些強化控制的措施��,長期如此,采購過程就會變得繁雜而無效���。這是因為內部審計人員把審計的重點置于所需的控制����,而并非企業(yè)的目標或其控制環(huán)境中存在的風險����。理想的方式是從決定所需要的控制,轉移到風險的管理����,在審計過程中尋找所有可能的管理風險的途徑,收集證據(jù)��,提出建議。例如��,采取必要的措施控制企業(yè)的戰(zhàn)略風險����;采取風險回避的方式,回避某些固有風險�����;以風險分散方式���,分散經(jīng)營過程中存在的風險���,如由多個供應商提供原材料以減少原材料供應中斷的風險;向其他組織轉移風險����,如何險等;接受風險�����,企業(yè)在經(jīng)營過程中不可能沒有風險����,在合理的程度內�,冒點風險是必要的���。越過內部控制的某些薄弱環(huán)節(jié)�����,這也是風險導向審計方法與其他審計方法的本質區(qū)別�。但大多數(shù)內部審計人員是難以確認管理當局是否能接受這些風險����,因此�����,傳統(tǒng)的內部控制評價方法受到挑戰(zhàn)����,要求內部審計人員采用一個動態(tài)的評價模式,通過與企業(yè)管理當局的有效溝通�,為企業(yè)提供增加價值服務。
1.內部控制自評(CSA)
內部控制自評是一種新興的審計技術����,最早是由加拿大的一個海灣資源公司開始自我評價運用的內部控制系統(tǒng)���,幾年來總結了一套系統(tǒng)的技術和方法,大大推動了該公司內部控制的發(fā)展和完善���。目前這種方法在美國���、加拿大及歐洲開展的較多。內部控制自評的方法就是要部審計人員與被審計單位管理人員組成一個小組��,管理人員在內部審計人員的幫助下�����,對本部門內部控制的恰當性和有效性進行評估��,然后根據(jù)評估提出審計報告�,由管理者實施。CSA有如下優(yōu)點:
對企業(yè)而言���,內部控制自評提供了一個管理控制風險的工具����,保證內部審計人員和管理人員共同對風險進行控制。這是綜合地控制企業(yè)的各方面���,包括相關的社會效益�,使企業(yè)對內部控制有一個更全面的了解��。不僅要考慮發(fā)現(xiàn)的問題���,如何改進��,促進各部門更有效地履行責任����,還要使控制措施便于理解��,使董事會更了解管理的情況以及風險�����。同時��,也降低了審計成本���,使內部審計達到更好的效果��。
對管理部門而言����,內部控制自評可以反映當前管理控制中存在的問題�����,也向高層管理部門表明他們對現(xiàn)存內部控制的態(tài)度����,明確了管理責任,保證企業(yè)內部有良好的人員分工����,使其更好地履行職責。
對內部審計而言����,內部控制自評最重要的一點是讓管理部門了解到對內部控制的責任,同時內部控制自評還可以提高審計的效率和效果��,減少審計人員的工作量�����,節(jié)省審計時間。
2.內部控制矩陣法
內部控制矩陣法是審計人員根據(jù)企業(yè)經(jīng)營目標�、險與控制之間的聯(lián)系,為確保審計建議能針對重要的風險而建立的一張工作表�。如表1.
該表包含了下列信息:明確企業(yè)的經(jīng)營目標,審計人員對被審計事項的初步了解��,根據(jù)初步了解的情況識別風險因素�,衡量風險的重要程度,采取適當?shù)目刂拼胧?����,控制措施是否會影響其他目標的實現(xiàn)���,審計人員的評價和結論����。
內部審計人員通常在測試的最后階段來做這個矩陣��,其優(yōu)點是清楚地反映出對每一目標的測試和評價�,有助于關注重要風險��。
3.利用網(wǎng)絡信息開展動態(tài)評估
收集風險數(shù)據(jù)是企業(yè)中常用的風險評估法�。內部審計人員通過收集有助于資料�����,建立數(shù)據(jù)庫����,利用一定的指標來估計風險��。內部審計人員應根據(jù)企業(yè)機構和人員的設置情況���,對日常資料的收集和分析工作進行分工�����。特別是大型綜合企業(yè)�,指定專人進行對口分工收集資料�,以保證內部審計人員在熟悉本企業(yè)及下屬公司經(jīng)營情況下,進行風險評估�����。數(shù)據(jù)庫應包括企業(yè)的外部信息和內部信息�����。對于外部信息,內部審計人員可以利用社會上公開的信息資源����,如利用有關統(tǒng)計資料,了解和掌握本行業(yè)的發(fā)展情況���,或通過信息網(wǎng)絡了解國家政策�、本行業(yè)或相關行業(yè)市場變化情況�����。對于內部信息的收集可通過調查問卷��、閱讀企業(yè)的文件及合同�、計劃、投資可行性分析報告等有關資料獲得����,或通過財務網(wǎng)絡或定期報送的報表,查看各分支機構的財務狀況�����。一般來說,員工對影響其發(fā)展的風險有較詳細的了解���,調查問卷就是要他們加入到風險評估和管理過程中。
數(shù)據(jù)庫法的優(yōu)點是把企業(yè)面臨的風險進行量化����,發(fā)揮預警的作用,以便及早發(fā)現(xiàn)企業(yè)存在的問題���,及時進行處理�����。內部審計人員通過訪問數(shù)據(jù)庫�����,了解哪里存在風險����,風險的嚴重程度��,并將風險按重要程度進行排序�。例如���,我們以應收帳款的回收期作為一個風險因素,通過詢問數(shù)據(jù)庫就可以查出所有存在應收帳款超期的部門�����,并按超過的期限進行排列���。又如�����,一家餐廳希望獲得銷售酒類的高利潤��,酒類銷售額需維持在總收入的40%�,因此��,當酒類銷售額降到總收入的25%~35%時����,管理階層即警覺到顧客對酒類的需求態(tài)度已經(jīng)改變,而立刻設計新的菜單���,增加食物的銷量��,以維持總的銷售收入不變���。由此可見�����,預警制度并非完全針對防弊,而是為及早發(fā)現(xiàn)經(jīng)營中存在的問題����,并采取有效的控制措施。這種方法的弱點是在為風險管理者提供大量資料的同時��,也可能使其難以發(fā)現(xiàn)重點���。
「參考文獻」
[1]陳漢文��。證券市場與會計監(jiān)督[M].北京:中國財政經(jīng)濟出版社���,2001.525.
[2]劉力云。審計風險與控制[M].北京:中國審計出版社��,1999.153.
[3]DavidB.Crawford.LevelsofControl[J].InternalAuditor.2000(10):42-45.
[4]DavidMcnamee����,GeorgesSelim.TheNestStepinRiskManagement[J].InternalAuditor.1999����,(6):36-38.
[5]廣東省紡織進出口(集團)公司課題組:風險基礎內部審計:機遇與挑戰(zhàn)[J].中國內部審計�����,2001��,(3):8
[6](英)基特����。塞德格洛夫。商務風險管理完全手冊[M].(羅巖平譯)沈陽:沈陽出版社��,2000.14-17.
[7]WilliamE.Chadwick.BestPracticesMillennium[J].InternalAuditor.1999(2):36-39.
您所在的位置: