基于风险管理的内部控制评估方法探讨.doc

基于风险管理的内部控制评估方法探讨
■张淑慧/ 重庆工商大学会计学院
近年来,随着国内外财务丑闻频频爆发,在世界范围内掀起了加强风险管理的浪潮,要求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。基于此,COSO在2004年9月发布了《企业风险管理——整体框架》(简称“ERM”框架),ERM框架对原COSO报告的整体框架进行了扩展,把更多地注意力放到了企业风险管理这一更加宽泛的领域。除了已有的五个内部控制目标,ERM框架又增加了“战略目标”;原来的“风险评估”要素被拓展为“目标设定、风险识别、风险评估和风险应对”等四个要素;内部控制成为企业整体化风险管理中主要关注如何有效的防范和控制财务经营风险的一个重要组成部分。鉴于此,内部控制的评估方法也由传统的问卷、流程图等,不断改进为以风险为导向的现代内部控制评估方法,如风险矩阵法、控制自我评估法等。本文在探讨几种方法的基础上,介绍了控制自我评估法的应用,并对如何有效地进行内部控制的评估提出几点拙见。
一、内部控制评估方法的变革
(一)传统内部控制评估方法
传统对内部控制评估的方法主要有问卷法、流程图法、文字叙述法等,通过这些方法来描述和分析内部控制系统的恰当性和有效性,以及在完成所指派职责时的执行效果。传统对内部控制的测试与评价所遵循的逻辑顺序是“控制风险评价控制目的是否实现”,可见,更多的是一种事后的反馈,在确认内部控制薄弱环节之后,提供信息以帮助管理层增强和完善内部控制,从而导致充分的控制。这种事后的评价是“亡羊补牢”,而不是“未雨绸缪”,这些方法无法根据企业目标考察风险,也不能根据风险安排相应的控制以适当管理风险。因此,传统的内部控制评估方法已不能适应现代管理的需要。
(二)现代内部控制评估方法
在ERM框架中,现代内部控制的测试与评价遵循的逻辑顺序是“目标风险控制”,同时将根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
图1:现代内部控制(ERM)的过程
评估ERM过程的充分行和有效性
帮助企业建立、实施并完善ERM
目标制定
风险识别
风险评估
风险管理
监控
咨询服务
确证服务
资料来源:严晖,,2004,P114
通过图1:现代内部控制过程来看,关注企业风险比关注企业细节控制显得更加重要。基于此,内部控制评估方法有了诸多改进与变革,本文将介绍几种以风险为导向的内部控制评估方法。

标杆比较法(benchmark)就是将本企业各项活动与从事该项活动最佳者进行比较,从而提出行动方法,以弥补自身的不足。它一般分为以下两个步骤:
首先,企业需要建立或确认自身所在行业的最佳实务。
其次,了解ERM实际情况并将其与最佳实务进行对比,用定量或定性方式评估ERM实务的差距。
美国ALLTEL公司在评估内部控制时采用表格的方式进行标杆比较,在表格第一列列示了与各个内部控制要素有关的最佳实务,从第二列开始则设置了五个档次,由评估者根据其判断在对应的格子中打勾,从而反映了内部控制实际情况与最佳实务的差距,如表1。
表1:ALLTEL公司内部控制评估表
最佳实务
非常一致
一致
不确定
不一致
极不一致
环境