内部控制评价和企业风险管理的整合

内部控制评价和企业风险管理的整合 摘要：内部控制是一个动态循环的过程，功能表现为应对组织内外的风险所带来的对组织目标执行的偏差。内部控制评价是内部控制运行过程中非常关键的一环，企业内部控制评价实施效果的好坏取决于内部控制评价机制的可行性。本文基于企业风险管理的思想，探讨了内部控制评价与企业风险管理的整合。 关键词：内部控制评价 企业风险管理 风险控制 一、内部控制评价 （一）内部控制评价的涵义 内部控制是一个包括设计、执行、评价、改进等环节的动态循环的系统过程，该系统以不断往复的信息反馈为其运行特征。其中，对制度设计和执行进行评价所得到的相关信息作为改善系统的重要资源输入，使企业内部控制系统不断完善。所谓内部控制评价，是通过评价主体对企业现有的内部控制系统的设计和执行的合理性、完整性和有效性进行审查、测试、分析和评价的活动。评价结果为发现企业内部控制的缺陷和薄弱环节提供依据，便于企业有针对性地提出改进意见和建议，从而使企业内部控制系统建设进一步完善。内部控制评价伴随着内部控制理论和实践的发展而不断完善，内部控制理论和实践的不同发展阶段，内部控制评价也有着不同的内涵和侧重点。做好内部控制的评价工作，既可以促进企业建立和完善内部控制系统，又可以保证内部控制系统的贯彻实施，以充分发挥内部控制的功能与作用，实现内部控制与企业目标。 （二）内部控制评价的作用 国际上的世通、安然事件，我国的中航油、四川长虹等事件都在无情的打击着投资者的信心，人们在反思公司内部控制制度缺陷的同时，也认识到了内部控制制度的执行问题、内部控制评价问题的重要性。如今，内部控制评价在审计实务中已得到广泛应用，极大地推动了审计理论的发展，提高了审计的经济效率。内部控制评价的有效实施具有积极的意义。 1、实施内部控制评价，是审计职能充分发挥的基础 实施内部控制评价，有利于确定审计的范围，审计的重点和采用的审计方法，从而提高审计效率，使审计职能得到充分的发挥。现代审计已经由详细审计发展到了抽样审计，抽样审计的具体实施要依据内部控制评价结果，从而确定重点审计领域和范围。 2、实施内部控制评价，是完善企业管理的保证 企业的内部控制是一个系统的、动态的过程，随着经济环境的变化，企业的内部控制制度需要适时调整以适应新的发展需要，这就需要通过定期或不定期的内部控制评价及时发现内部控制制度的缺陷，不断完善内部控制，改善内部管理，减少舞弊，从而提升企业价值。一方面，内部控制评价可以增强企业管理当局对内部控制的了解和重视，从而改善企业内部控制环境。另一方面，评价内部控制的前提是对内部控制的设计和运行进行充分的了解、记录，这个过程可以发现内部控制中存在的问题，从而改善企业内部管理。 3、为信息使用者提供决策依据 内部控制评价信息被公开披露后，包括投资者、政府部门、合作伙伴在内的信息使用者将据此判断公司所提供的财务报告在多大程度上可靠、公司的长期生存能力和成长性如何、是否在循规蹈矩地运作，从而为他们的决策提供依据。 二、企业风险管理 （一）企业风险管理的涵义 2004年，COSO在其颁布的企业风险管理-整合框架中定义企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。企业要明确发展目标，而企业各个不同的主体致力于目标的实现，由于企业是发展的，内部和外部的环境是不确定的，因此企业风险管理就是在符合自身风险偏好的条件下如何更好地消除风险及抓住机会的过程，也就是优化成本与效益的关系。 （二）企业风险管理的构成要素 企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在企业的管理过程之中。 1、内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。 2、目标制定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内分层分解和落实。 3、事项识别 不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应。 4、风险评估 管理者应从两个方面对风险进行评估-风险发生的可能性和影响，对于风险的评估应从企业战略和目标的角度进行。 5、风险反应 风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。 6、控制活动 控制活动是保证风险反应方案得到正确执行的相关政策和程序，控制活动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。 7、信息和沟通 来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通包括企业内自上而下、自下而上以及横向的沟通，也包括将相关的信息与企业外部相关方的有效沟通和交换。 8、监控 指评估风险管理要素的内容和运行以及一段时期的执行质量的过程。企业可以通过两种方式对风险管理进行监控持续监控和个别评估。 三、内部控制评价和企业风险管理的整合 （一）整合的必要性 内部控制评价，是通过企业内部审计部门对各项内部控制制度进行审查、评价，以便发现企业的内部控制的缺陷和薄弱环节，有针对性地提出改进意见和建议，从而促进企业内部控制制度的进一步加强和完善。良好的内部控制评价可以保证企业合规经营、财务信息的真实可靠和企业经营效率的提高，而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发，内部控制评价是风险管理的必要环节。内部控制评价的动力来自企业对风险的认识和管理。相反，如果没有良好的内部控制评价，则往往会导致各种错误和舞弊的产生，甚至造成企业的破产倒闭。因此，内部控制评价是防范企业风险事件发生的一种长效机制。 （二）整合的途径 1、建立内部控制评价与风险管理有机结合的机制，明确内设部门工作职责 企业应开发与业务系统相适应的管理系统，建立植入型的内部控制评价和全面风险管理框架。进行内部控制和风险的事前、事中监控，从而在企业内部建立起内部控制与风险管理有机结合的机制，使得内部控制评价与风险管理工作统筹安排、协调一致，保障风险管理的效果和效率。内审部门必须评估控制的效果和效率，促进控制持续改进，协助企业维持有效的控制；必须评估风险管理过程的有效性，并对其改善做出贡献。 2、企业在经营过程中应随时注意各种风险，对企业风险的评估和防范、预警 首先，应做好风险的评估工作。采用可能性评估，风险因素测试和平衡矩阵等方法进行风险的度量，即区分风险类别及危害程度，根据风险损失的大小来确定被审计部门和领域。 其次，防控好风险。根据评估确定的重点部门和领域，建立植入型内部控制评价，通过系统进行风险的实时提示和分析，做好风险的事中控制，开展检查，通过对查出问题进行整改来减少违规，进行事后控制。 最后，做好风险预警。通过对系统进行的风险提示和查出问题的分析，定期进行风险提示；通过内审人员检查后提出切实可行的建议来改善管理；根据业务和系统的变化及时完善制度，加强管理，加大对违规责任部门和人员的处罚力度，起到警示和预警作用，做好风险的事前控制。 3、内审部门利用风险评估框架进行内外部风险因素评估 内审部门利用风险评估框架进行内外部风险因素评估，并以此制定年度审计计划，阻止问题的出现。由于内审资源有限，无法评估企业所面临的所有风险，因此，必须在风险度量的基础上采用绝对排序、相对排序、矩阵排序等方法，进一步评估风险的大小、可能性和后果，据以确定审计领域，确定年度审计计划。 4、风险管理委员会与审计委员会的配合 企业风险管理一般由风险管理委员会负责，内部控制评价由审计委员会负责，二者都是董事会下设委员会。要整合内部控制评价和风险管理，必须由风险管理委员会与审计委员会配合进行。 风险管理委员会和审计委员会配合的关键，一是由董事会领导，协调两个委员会的工作；二是要建立有效的信息沟通渠道，风险管理委员会的风险等级评定信息必须及时传递给审计委员会，而审计委员会对于内部控制有效性的评价信息也要及时传递给风险管理委员会。其具体沟通方式，可以由董事会定期召开碰头会议；也可以采取定期报告方式提交董事会，由董事会责成相关委员会研究解决；或者采取更高效的方式-电子邮件传递，同时报送董事会，相关负责人提出应对措施后上报董事会。 5、内部控制评价中应用风险管理技术 将内部控制评价和风险管理整合的关键就是确定风险等级，因此，在内部控制评价中应用风险管理技术成为必然。而由于内部控制有效性评价需要关注评价前后的风险状况，因此，需要对风险管理采用持续改进的方法。企业在设计和实施内部控制时，罗列出风险并评估其可能性和影响，依据风险容量和风险容限选择高风险进行管理，确定相应的内部控制；在内部控制实施后，再结合风险容量和风险容限，评价内部控制的有效性，进而提出改进建议。 （三）基于风险管理的内部控制评价方法 1、标杆比较法 标杆比较法就是将本企业各项活动与从事该项活动最佳者进行比较，从而提出行动方法，以弥补自身的不足。它一般分为以下两个步骤：首先，企业需要建立或确认自身所在行业的最佳实务。其次，了解企业风险管理整体框架实际情况并将其与最佳实务进行对比，用定量或定性方式评估差距。 2、风险控制矩阵 风险控制矩阵是审计人员根据企业经营目标、风险与控制之间的联系，为确保审计建议能针对重要的风险而建立的一张工作表。风险控制矩阵是差距分析和审计过程中的一个关键文档。风险控制矩阵为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。 3、控制自我评价法 内部控制自我评价是近年来产生的一种新的内部控制评价方法，体现了内部控制评价的新观念控制自我评估。是由组织成员在内部审计机构的推进和协助下评估组织活动的风险和控制的过程。内部控制自我评价强调内部控制系统既不是内部审计工作的责任，也不仅仅是高级管理层应关心的问题，相反，应该把它看成是所有雇员共同的责任。控制自我评估体现了应该最先询问那些参与了风险评估过程以及执行了整个控制过程的人，它所包含的不断改善与现代的全面质量管理概念非常匹配，与整体