浅议实施风险导向的内部控制的问题和策略
内部控制是对影响企业目标实现的各种风险因素进行分析和控制,从而帮助实现企业目标的过程。内部控制不是单纯的制度安排,而是由目标、要素、结构三个层面构成的完整框架。目标层面包括战略目标、经营目标、合规性目标和报告目标,我国《企业内部控制基本规范》还单独设定了资产安全目标;要素层面包括内部环境、控制活动、风险评估、信息与沟通、内部监督五要素。内部监督是企业对内部控制设计和运行情况进行监督检查,对其健全性和有效性进行评估,发现和认定内部控制缺陷,并及时加以改进和完善的过程。目前,我国企业内部监督机制的建设情况不容乐观。普遍存在着内部审计职能残缺、内部审计独立性得不到保证、检查监督制度流于形式、监督信息缺乏有效的沟通反馈机制等问题。
一、内部监督流程(一) 建立监督基础
一是高层基调。高层基调对于内部控制的有效性有直接影响,董事、监事的言论基调会影响管理层执行监督和对监督的反应方式,同样管理层的言行举止也会影响员工行为。企业高层应以身作则,诚实守信,倍尽职守,依据规程和制度实施管理,尊重和支持内部监督机构的工作,积极沟通和反馈监督结果。二是监督机构。监督职能依赖监督机构和监督人员来实施,因此,监督机构设置和监督人员配备是影响内部监督有效性的重要因素。监督机构的独立性、监督检查人员的专业胜任能力及职业操守、监督机构及人员被适当授权等是形成有效监督的重要基础。三是理解和把握内部控制有效性的依据和标准。有效性是指内部控制对实现控制目标的合理保证程度。有效性应从内部控制的设计和运行两个方面进行评价,评价的内容应涉及内部控制整体框架。评价应结合内部控制目标进行综合评价,存在一个或多个重大缺陷的内部控制,应认定内部控制无效。企业上下应通过宣传、培训等手段明确内部控制有效性的判断标准,在整个企业内部统一该标准,这是进行有效监督的方向和基准。
(二) 设计和执行监督程序
一是风险排序。风险是影响目标实现的不确定性,是不确定事件发生的概率及其影响结果的组合。风险影响可以是正面的或负面的或两者兼有,并表明目标可以有不同方面。企业应从整体层面、业务单元、分支机构及子公司四个方面系统梳理各业务、各活动、各环节的风险点,进行风险识别、分析和排序,这是风险评估要素的重要内容。二是识别关键控制点。风险点是影响目标实现的不确定性,如员工道德风险、员工能力胜任风险等;控制点是针对风险点设置的控制环节,如招聘、培训、考核等;控制活动是针对风险点在控制点采取的控制措施。企业应依据风险评估结果确定关键控制点,这是建立控制活动的重点。三是获取有说服力的信息。针对关键控制点,监督者应努力获取有说服力的信息来支持自己的监督结论。有说服力的信息是适当且充分的,适当要求信息具有相关性、可靠性和及时性。识别有说服力的信息有助于确定使用哪些监督程序及频率。(三) 评估和报告监督结果
一是监督结果排序。按缺陷的严重程度,内部控制缺陷可分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指可能导致企业严重偏离控制目标的一个或多个控制缺陷的组合。重要缺陷是指一个或多个控制缺陷的组合,严重程度和经济后果低于重大缺陷,但仍有可能导致控制目标的偏离。一般缺陷就是除重大缺陷、重要缺陷之外的其他缺陷。企业应根据自身实际情况制定缺陷的定量和定性确认标准。二是报告监督结果。发现内部控制缺陷应及时报告给执行该流程和相关控制的人,并向比这些人更高级别的管理层报告,以便及时采取纠正措施。监督者应编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和整改方案等进行综合分析和全面复核,并以书面形式向有关方面报告。内部控制缺陷应按严重程度的不同确定报告层级,重大缺陷应与审计委员会、最高管理层和董事会沟通,涉及董事和高管的缺陷应与监事会沟通。三是后续追踪。针对监督中发现的问题,董事会、管理层及相关人员应分析缺陷原因,及时采取措施纠正,监督人员应及时追踪缺陷纠正情况。
(四) 形成内部控制有效性的结论
无论是单独评估还是持续监督,都需要对内部控制的有效性给出结论。在实施完成以上三个步骤后,企业应根据监督结果排序、报告和纠正情况,对内部控制设计和运行的有效性进行全面评价,形成内部控制有效性的结论,并出具监督评价报告。
二、风险导向的内部监督模式的建立(一) 明确风险归属
企业生产和经营活动的每一环节随时充满各种风险。风险的类别很多,有不同的分类标准。从企业管理目标看,有战略风险、合规风险、报告风险、经营的效率效果风险、资产安全性风险等;从风险发生的层级看,有战略风险、经营风险和操作风险;从风险性质看,有市场风险、法律风险、政策风险、经营风险、人员风险、信用风险、流动性风险等;从风险后果看,有纯粹风险和机会风险;按风险是否可被分散,可分为系统风险和非系统风险;从风险来源看,有内部风险和外部风险等。风险不仅存在于业务层面,而且伴随着企业活动的全过程,普遍存在于预测、决策、执行和监督等活动中,可以说企业生产经营和日常管理的每一环节都充满各种风险。风险可能形成实际结果与预期目标的差异,企业实施内部控制和风险管理首先需要明确风险归属。企业应通过书面授权文件清晰地定义风险归属,合理划分决策机构、执行机构和监督机构的职责权限,明确治理层(股东大会、董事会、监事会、总经理等)和内部机构层面(业务单元和职能部门)的风险管理职责。治理层通常要对战略风险(包括战略决策风险和战略实施风险)负责,对经营、投资和财务活动中的重大风险负责,对重要的人事任免风险负责。董事会负责设计、实施并维护有效的风险管理机制,;管理层和职能部门主要对经营和管理风险负责,并协助业务部门控制业务活动层面的风险;业务部门主要对业务层面的风险管理负责,重点关注业务流程风险;普通员工应结合岗位职责,对岗位操作风险负责。
(二) 将风险评估结果与内部监督相联系
风险评估是识别、分析和评价影响企业目标实现的各种不确定因素并采取应对措施的过程。风险评估是企业内部控制的重要构成要素,是企业实施控制活动的主要依据。实施风险
评估进而管理风险是建立控制活动的重点,风险评估过程主要包括目标设定、风险识别、风险分析和风险应对。企业应结合业务流程、风险因素、风险承受度和重要性水平等,对可能存在的各类风险进行系统梳理、分析和评估,列示风险清单,建立风险数据库,为持续开展和不断改进控制活动及内部监督提供依据。风险评估过程是一个持续和反复的过程。企业应结合不同发展阶段和业务发展情况,持续收集与风险变化相关的信息,定期或不定期地开展风险评估,适时更新、维护风险数据库。风险会随着时间推移而发生变化,监督者对风险重要性水平的判断应是一个持续的动态过程。相应地,内部监督的侧重点也可能随着时间的推移而有所不同。风险重要性水平的持续判断对于提高内部监督的效果具有重要意义。
(三) 控制内部监督流程各环节的自身风险
如前文所述,内部监督有特定的流程,每一环节的实施都有很多的不确定性,因此,实施内部监督本身也面临诸多风险,例如,监督机构的独立性风险、监督者的业务胜任能力风险和职业操守风险、监督结果报告风险等。为提高内部监督的效率效果,企业应加强内部监督各环节的风险控制和管理,全面系统地梳理和识别内部监督各环节的主要风险点,分析风险形成原因,评估其发生概率以及会产生哪些不利影响。针对内部监督流程各环节的主要风险点分别设置相应的关键控制点,采取风险管控措施,建立内部监督制度,这实际上是对内部监督流程的一种再控制、再监督。
参考文献:
[1]樊行健.宋仕杰.企业内部监督模式研究——基于风险导向和成本效益原则[J].会计研究. 2011. (3)
[2]陈汉文.张宜霞.企业内部控制的有效性及其评价方法.审计研究.2008(3).