風險導向內部控制評價模式研究 2006-8-7 21:20:26 　　一、企業目標、風險與內部控制的關係 　　隨著國際經濟和資訊技術的發展，世界經濟一體化為企業在全球範圍內的大市場中開展經營活動提供了機會，同時也使企業生存與發展的環境面臨更大的風險。風險已成為影響企業目標實現的重要因素，管理與控制風險變得越來越重要。 　　企業內部控制系統存在的目的在於對威脅其目標實現的風險進行管理。企業的內部控制能否發揮作用，還必須考慮企業面臨的風險的性質、範圍、風險可量化程度、控制成本與管理相關風險可獲得的收益的對比。 　　1.風險控制水平 　　企業管理當局對風險的態度直接影響風險的控制水平。如果企業管理當局喜歡冒險，對面臨的風險缺乏預防或控制措施，則會引起巨大損失；如果過分謹慎也會使企業失去發展機會；只有正確地認識風險，並對風險加以控制，才能最大限度地提高企業的利潤。這說明風險控制的目的不是為了限制企業的各種經營活動，而是確保它們受到正確的引導，以減少不必要的損失。筆者認為對待風險的策略應該是適當地接受風險，但這並非是盲目地冒險，而是事先合理地預計可能的風險，積極地尋求企業的發展機會。就像一個人不能因為害怕交通事故而不出門或不駕車，而是應該 在其出門或駕車時採取必要的防範措施，如遵守交通規則、扣好安全帶或避免高速行駛等。就企業而言，可以發展業務組合（有不同風險和回報的業務的組合）或退出高風險低回報的業務領域。 　　2.比較風險與回報 　　風險的可接受水平取決於回報的大小。通常人們為了實現高回報才去冒較大的風險，而不會為了低回報去冒較高的風險。最好的商業機會是回報高而風險小的商業機會；而低回報高風險則會對企業構成較大的危險。 　　3.分析風險控制成本 　　如果企業沒有對風險進行控制，那麼就要承擔出問題和事故的代價，如一次污染後要支付的處理費，平息一次工傷事故的費用，或收回劣質產品的開支。所有這些費用，都可在圖1中用事故費用曲線表示。當企業意識到管理企業風險的必要性後，就開始在預防手段上投資，包括進行預防的支出及為加強控制而增加的人工費用等，這些開支可用預防費用曲線表示。從圖1中我們可以看到，隨著預防費用的增加，事故的發生率下降，因此事故費用也隨著下降，總體開支下降。事故費用曲線與預防費用曲線的交點使企業總體開支最低。如果企業繼續投資於預防措施上，尋找進一 步減少事故發生的可能性，那麼預防費用就會上升。最後總體費用達到了企業開始管理風險以前的水平。圖1顯示，在風險管理上有一個最優效果的投資水平，投資過多會使企業背上成本的負擔，使它失去競爭力，而關注不足會使企業付出高昂的事故費用，中間的某處是最佳的位置。 　　由此可見，企業為降低總體開支水平，必須識別和評估風險，建立適當的控制制度，採取行動管理風險，並對管理的效果進行監督和檢查。 　　二、內部審計領域的風險導向審計 　　內部審計既是內部控制的一個組成部分，又是內部控制的一種特殊形式。1986年最高審計機關國際組織在第十二屆國際審計會議上發表的《總聲明》中，就把內部審計與組織結構、方法程式一起列為內部控制的重要組成部分。1992年，美國的“反虛假財務報告委員會”發起成立的一個贊助組織委員會（簡稱COSO，Committee of Sponsoring Organization）專門致於內部控制研究，提出了“內部控制——整體框架”的研究報告。該報告將內部控制劃分為控制環境、風險評估、控制活動、資訊與溝通及監控等五個要素，其中的監控就是指對內部控制結構運行質量的監督，它是通過管理控制方法和內部審計的職能來實現的。可見，內部審計職能作為內部控制的一個要素，是管理當局用來監督相關控制程式的手段，即是對內部控制的再控制。COSO報告為內部審計人員進行風險管理提供了指南，表明了以風險為導向的審計方法成為審計方法發展的必然趨勢。 　　在內部審計領域，人們似乎對風險導向審計方法有著與外部審計不同的理解。內部審計師更多地將風險導向審計中的“風險”擴大為企業或組織在經營過程中面臨的不能實現其目標的各種風險[2]，並將其作為確定審計專案及其審計重點的依據。內部審計領域的風險導向審計是以影響企業經營目標實現的經營風險為依據確定審計項目，以企業進行的所有降低風險的活動為測試重點，評價風險降低的充分性和有效性，並提出恰當的降低風險的建議的一種方法。國外的許多企業審計實踐證明，在內部審計領域實施風險導向審計，改變了內部審計人員探討風險和內部控制的方ꨊk，為內部審計參與風險管提供了基礎，促進了內部審計與其他風險管理要素的結合，並已為企業管理當局所接受。 　　內部審計領域運用風險導向審計方法，改變了過去那種內部審計人員以檢查歷史業務記錄和內部控制系統的歷史運營情況提出建議和意見的方式，變為更加關注企業面臨的風險和企業未來的發展及企業為降低風險所進行的一項管理活動[3].在快速發展的時代，企業管理當局需要瞭解變化過程中可能遇到的風險，而固定的、靜態的控制體系只能反映企業的過去。因此，要求內部審計師在風險環境中觀察業務過程，提出控制風險的建議，從而為企業增加更多的價值。 　　採用風險導向審計方法，內部審計的報告更容易被接受，管理部門也更容易理解內部審計存在的價值。在過去的制度基礎審計中，內部審計總是以其內部控制為中心，並在審計報告中不斷提出增加控制點或增加控制的建議，這樣，若干年後審計的結果就是控制點越來越多，業務過程越來越繁雜。同時，也產生了不能為企業增加價值的員工。在風險導向審計中，審計報告中關注的企業當前及未來需要的準備，是企業現行經營活動與戰略計畫之間的“橋樑”[4].三、風險基礎法下內部控制的評價模式 　　傳統的內部控制評價模式主要是採用“內部控制調查問卷”和符合性測試，對企業已經存在的內部控制進行評價，審計報告中的建議也是管理當局早已經知道的，缺乏新意[5].有人形象地比喻，內部審計的工作就是“審核數豆子的人是否將豆子數得一粒不差”。風險導向審計法要求內部審計人員改變傳統的評價模式，把審計的起點放在關注企業發展戰略和識別企業業務流程的風險上，分析風險，並提出控制風險的建議和方法。 　　特別需要指出，評價內部控制並非為了控制本身，而應針對企業經營過程中可能面臨的風險。在風險導向審計法下，內部審計更為關心的是下列問題：與控制相關的目標是什麼？這種控制要解決的問題是什麼？這種控制是否對被審計單位的經營活動有益？是否存在重複控制？什麼樣的風險水平是可以接受的？控制的效果是否影響管理當局決策[6]？只有清楚地瞭解了這些，內部審計人員才能辨別何處控制環節過多，何處控制環節不充分，何處控制滿意，何處控制需要改善。我們以採購為例進行分析，企業採購的目標可概括為：保證採購的物品為企業所需，適當的價格及ꔊI款條件，所購物品的質量符合要求，交貨的時間、地點等。審計的目的在於評估實現上述目標的風險，並建議增加一些強化控制的措施，長期如此，採購過程就會變得繁雜而無效。這是因為內部審計人員把審計的重點置於所需的控制，而並非企業的目標或其控制環境中存在的風險。理想的方式是從決定所需要的控制，轉移到風險的管理，在審計過程中尋找所有可能的管理風險的途徑，收集證據，提出建議。例如，採取必要的措施控制企業的戰略風險；採取風險回避的方式，回避某些固有風險；以風險分散方式，分散經營過程中存在的風險，如由多個供應商提供原材料以減ꐊ眴鴔鰹⑧挴酗刈_的風險；向其他組織轉移風險，如何險等；接受風險，企業在經營過程中不可能沒有風險，在合理的程度內，冒點風險是必要的。越過內部控制的某些薄弱環節，這也是風險導向審計方法與其他審計方法的本質區別。但大多數內部審計人員是難以確認管理當局是否能接受這些風險，因此，傳統的內部控制評價方法受到挑戰，要求內部審計人員採用一個動態的評價模式，通過與企業管理當局的有效溝通，為企業提供增加價值服務。 　　1.內部控制自評（CSA） 　　內部控制自評是一種新興的審計技術，最早是由加拿大的一個海灣資源公司開始自我評價運用的內部控制系統，幾年來總結了一套系統的技術和方法，大大推動了該公司內部控制的發展和完善。目前這種方法在美國、加拿大及歐洲開展的較多。內部控制自評的方法就是要部審計人員與被審計單位管理人員組成一個小組，管理人員在內部審計人員的幫助下，對本部門內部控制的恰當性和有效性進行評估，然後根據評估提出審計報告，由管理者實施。CSA有如下優點： 　　對企業而言，內部控制自評提供了一個管理控制風險的工具，保證內部審計人員和管理人員共同對風險進行控制。這是綜合地控制企業的各方面，包括相關的社會效益，使企業對內部控制有一個更全面的瞭解。不僅要考慮發現的問題，如何改進，促進各部門更有效地履行責任，還要使控制措施便於理解，使董事會更瞭解管理的情況以及風險。同時，也降低了審計成本，使內部審計達到更好的效果。 　　對管理部門而言，內部控制自評可以反映當前管理控制中存在的問題，也向高層管理部門表明他們對現存內部控制的態度，明確了管理責任，保證企業內部有良好的人員分工，使其更好地履行職責。 　　對內部審計而言，內部控制自評最重要的一點是讓管理部門瞭解到對內部控制的責任，同時內部控制自評還可以提高審計的效率和效果，減少審計人員的工作量，節省審計時間。 　　2.內部控制矩陣法 　　內部控制矩陣法是審計人員根據企業經營目標、險與控制之間的聯繫，為確保審計建議能針對重要的風險而建立的一張工作表。如表1. 　　該表包含了下列資訊：明確企業的經營目標，審計人員對被審計事項的初步瞭解，根據初步瞭解的情況識別風險因素，衡量風險的重要程度，採取適當的控制措施，控制措施是否會影響其他目標的實現，審計人員的評價和結論。 　　內部審計人員通常在測試的最後階段來做這個矩陣，其優點是清楚地反映出對每一目標的測試和評價，有助於關注重要風險。 　　3.利用網路資訊開展動態評估 　　收集風險資料是企業中常用的風險評估法。內部審計人員通過收集有助於資料，建立資料庫，利用一定的指標來估計風險。內部審計人員應根據企業機構和人員的設置情況，對日常資料的收集和分析工作進行分工。特別是大型綜合企業，指定專人進行對口分工收集資料，以保證內部審計人員在熟悉本企業及下屬公司經營情況下，進行風險評估。資料庫應包括企業的外部資訊和內部資訊。對於外部資訊，內部審計人員可以利用社會上公開的資訊資源，如利用有關統計資料，瞭解和掌握本行業的發展情況，或通過資訊網路瞭解國家政策、本行業或相關行業市場變化情況。對 於內部資訊的收集可通過調查問卷、閱讀企業的檔及合同、計畫、投資可行性分析報告等有關資料獲得，或通過財務網路或定期報送的報表，查看各分支機搆的財務狀況。一般來說，員工對影響其發展的風險有較詳細的瞭解，調查問卷就是要他們加入到風險評估和管理過程中。 　　資料庫法的優點是把企業面臨的風險進行量化，發揮預警的作用，以便及早發現企業存在的問題，及時進行處理。內部審計人員通過訪問資料庫，瞭解哪里存在風險，風險的嚴重程度，並將風險按重要程度進行排序。例如，我們以應收帳款的回收期作為一個風險因素，通過詢問資料庫就可以查出所有存在應收帳款超期的部門，並按超過的期限進行排列。又如，一家餐廳希望獲得銷售酒類的高利潤，酒類銷售額需維持在總收入的40%，因此，當酒類銷售額降到總收入的25%～35%時，管理階層即警覺到顧客對酒類的需求態度已經改變，而立刻設計新的功能表，增加食物的銷똊q，以維持總的銷售收入不變。由此可見，預警制度並非完全針對防弊，而是為及早發現經營中存在的問題，並採取有效的控制措施。這種方法的弱點是在為風險管理者提供大量資料的同時，也可能使其難以發現重點。 　　「參考文獻」 　　[1]陳漢文。證券市場與會計監督[M].北京：中國財政經濟出版社，2001.525. 　　[2]劉力雲。審計風險與控制[M].北京：中國審計出版社，1999.153. 　　[3] David B.Crawford.Levels of Control[J].Internal Auditor.2000（10）：42-45. 　　[4] David Mcnamee，Georges Selim.The Nest Step in Risk Management[J].Internal Auditor.1999，（6）：36-38. 　　[5]廣東省紡織進出口（集團）公司課題組：風險基礎內部審計：機遇與挑戰[J].中國內部審計，2001，（3）：8 　　[6]（英）基特。塞德格洛夫。商務風險管理完全手冊[M].（羅岩平譯）瀋陽：瀋陽出版社，2000.14-17. 　　[7] William E.Chadwick.Best Practices Millennium[J].Internal Auditor.1999（2）：36-39. --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.64.151.62