内部控制的创新及其对审计工作的影响
摘 要:内部控制的创新体现在内容在不断丰富、目标在逐渐拓展,对风险的认识在不断深化、更关注整体和内控的外延在延伸,相应地会影响审计的范围和审计责任以及会促使审计业务流程的转变。
关键词:控制 创新 风险 影响
内部控制的发展经历了一个从低级到高级、从局部到整体的过程。内部控制是受企业董事会、管理层和其他员工的影响,旨在取得经营的效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。内部控制不仅对企业本身的经营效率和效果的提高有着直接的作用,而且也影响到企业内部审计人员的工作范围和注册会计师审计范围及审计责任。1992年COSO报告将内部控制的要素从三要素重新划分为五要素,使人们对内部控制的认识实现了一次历史性的飞跃。2004年反虚假财务报告委员会针对诸多企业发生的管理层舞弊事件,并结合《萨班斯—奥克斯利法案》的相关要求提出企业内部控制应当与企业风险管理相结合,同时提出了企业风险管理的基本要素。可以说,这个报告的提出使人们对内部控制的认识上升到前所未有的高度。使人们对内部控制的认识从局部转为整体、从微观转为宏观、从具体转为战略、从重视与会计相关的内部控制转为以风险管理为核心的高度。本文试图解析内部控制的这些变化以及对注册会计师审计工作的影响。
一、内部控制的创新主要体现在以下几个方面
1.内容的丰富。1992年COSO报告(committeeofsponsoringorganization)将内部控制划分为控制环境、风险评估、控制活动、信息与沟通、监控等五个要素,而2004年COSO报告将企业风险管理框架的基本要素确定为内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八大要素。较之以往相比,内部控制的内容得到了极大的丰富。对与内部控制的相关要素的划分更加清晰,使企业对风险的控制能够落到实处,从而增强了控制的可操作性。风险管理的外延要比内部控制广阔得多。该报告强调内部控制框架的建立应与企业风险管理相结合,内部控制应该作为企业风险管理的有机组成部分,新的报告不再使用内部控制框架概念,而是使用风险管理框架的概念。内容的丰富必然会促使认识的深化,必然会促使企业管理层在建立和实施内部控制时考虑的更周全,更具战略性和前瞻性。
2.目标的拓展。1992年的COSO报告将内部控制定义为“内部控制是一个受到董事会、经理层和其他人员的影响,旨在取得:经营效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。”从该定义中可以看出内部控制能实现三个目标。这三个目标没有触及到企业战略,是战术层次的目标。在2004年的COSO报告《企业风险管理—总体框架》即ERM框架在对内部控制的定义中细化和拓展了相关目标。ERM框架(enterpriseriskmanagement)指出:内部控制是一个过程、被人影响、应用于战略制定、贯穿于企业各个层级、旨在识别影响组织的事件并在组织的风险偏好范围内管理风险、合理保证、为了实现各种目标。由于在1992年的报告中没有明确提出内部控制对资产的安全和完整目标,实际上,对很多企业特别是中小企业而言,内部控制制度设立和执行的主要目标可能就是保护资产的安全和完整。而在2004年的报告中明确提出了“保护资产”或“保护资源”的概念。并在内部控制的定义中明确指出内部控制可以实现各类目标,各类目标不仅包括以前所提到的三个目标,而且还应当实现企业的战略目标。战略目标是企业最高层次的目标,是指导和制约战术目标的,企业所有的活动应该围绕着战略目标的实现而进行,内部控制的建立和实施也不例外,如果企业在战略制定方面出现了真空,企业的战术就会迷失方向,企业的损失会更大,巴林银行的倒闭和中航油巨亏事件就是很好的例证,它们并不是没有完善的内部控制,而是在战略制定之时出现了权力真空。因此新的COSO报告提出了一个新的目标———战略目标,不仅强调企业内部控制应当与企业本身的战略制定和实施紧密地联系在一起,而且强调了内部控制就是首先针对企业战略的。
3.风险认识的深化。尽管在1992年COSO报告中也将风险评估纳入到内部控制一体化框架作为其要素之一,但是对风险的认识还很有限,认识的程度还仅仅限于风险识别和风险分析。风险识别包括对外部因素如技术发展、竞争、经济变化以及内部因素如员工素质、公司活动性质、信息处理系统的特点进行检查;风险分析涉及到估计风险的重大程度,评估风险发生的可能性。在COSO新的报告中,对风险的分析更透彻。新的报告增加了三个风险管理要素:目标设定、事项识别和风险反应。现代企业竞争日趋激烈,不仅要面临国内市场的竞争,还要面临国际市场的竞争;不仅要面临产品市场的竞争,还要面临经理人市场的竞争,企业的风险比以往任何时候都大,如何规避这些风险是企业的头等大事,说企业管理应当以风险管理也丝毫不为过。风险实际上指明了内部控制存在和必要的理由,如果企业没有这些风险也就不需要内部控制。对企业风险问题认识的肤浅必然会使内部控制的建立和实施误入歧途。因此新的报告在第二个要素中明确提出了风险管理应进行目标设定,目标的设定指明了内部控制的实施方向,使内部控制的设立更具针对性,和企业的战略更加吻合,以更好地实现企业的战略目标,使内部控制产生应有的效果。接着该报告就深入阐述了事项识别。企业的风险在各个管理级次和各个部门都有可能出现,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业关键是要识别和控制存在潜在负面影响的事项。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行度量。并在风险度量中提出了风险偏好和风险容忍度的概念。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。新的报告对风险的考虑更加全面和透彻,有利于管理层内部控制制度的建立和实施,使企业能够站在更高的层次、更宽阔的视野来认识内部控制,使人们对风险的认识从单纯的风险分析和风险识别扩大到目标设定—事项识别—风险计量—风险反应—风险评估,可以将风险管理落到实处。
上一篇:关于内部控制建设的思考
下一篇:浅谈事业单位内部会计控制