【关键词】风险导向;内部控制评估
一、内部控制评估的涵义
根据COSO框架的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标:遵守有关法律法规和组织内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效地使用资源;提高经营效率和效果;实现企业战略。
内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的,是指为保障内部控制系统的有效性,由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况,发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员(如事务所)进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制,共同构成公司内部控制评估体系。
二、内部控制评估的目标、对象与原则
(一)内部控制评估的目标
内部控制评估的目标应从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此,内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。
(二)内部控制评估的对象
内部控制评价的对象是内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。
从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。
(三)内部控制评估的原则
企业实施内部控制评估至少应当遵循以下原则:
1.全面性原则。评估工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评估工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。
3.客观性原则。评估工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、风险导向内部控制评估的程序
(一)确定风险领域,制定内控评估计划
内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等,结合企业管理目标,进行充分的调查,可采用问卷调查、座谈会等方式,初步确定企业所面临的风险,对重要性做出初步判断编制整体审计计划。
风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前,审计人员应对企业的风险进行识别、分析并分类,对组织目标实现有重要影响的风险事项进行重点评估。
(二)对确定的风险事项进行评估
评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据,确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下,在开展内控评估时,可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点,进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点,应及时对内控实施细则进行补充和完善,以确保及时防范重大内控风险,使内控评估成为一种积极、主动的全过程动态防范风险机制,为管理层进行风险管理提供有用信息,为公司治理提出建议和整改措施。
可以采取以下审计程序:(1)研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息,确定是否存在可能影响组织的风险,是否存在监督、评价、管理这些风险的控制程序;(2)检查公司政策、董事会和审计委员会会议记录,确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度;(3)检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告;(4)与被审单位管理层及相关人员交流,了解被审单位存在的风险及采取的风险控制、管理措施;(5)独立评价被审单位风险管理程序的有效性,评估风险管理结果报告的充分性和及时性;(6)评估管理层风险分析是否全面、正确,风险管理措施是否适当,并提出改善建议,说明风险管理实务中存在薄弱环节的问题。
(三)得到评估结论,出具评估报告
内部控制人员在评估结束后,实施必要的审计程序后,以经过核实的证据为依据,形成评估结论与建议,出具评估报告。评估报告中一般包括单位内部控制工作组织安排,评估期间及范围,评估方法,所发现问题的表现、面临的风险、成因、影响、改进建议等,以及单位内控控制设计及执行是否有效的结论。
四、风险导向内部控制评估应注意的问题
(一)以风险管理理念为基准
进行内控评估时,应该以风险管理理念为基准。风险管理是企业经营管理的关键所在,内控评估的重点应该是确认风险及测试管理风险的方法,分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这是内控评估的焦点。
(二)应选取科学合理的标准
制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价,其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。结合内部控制评估的目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架的要素来设定控制标准。
(三)关注内部控制的经营与战略目标
内控评估目标包括合规目标、资产目标、报告目标、经营目标和战略目标五个方面,而在具体执行中,企业评估侧重点一般关注于合规目标、资产目标和报告目标,至于经营目标和战略目标受到的关注程度较少。从企业经营管理的角度,显然,经营与战略目标是最重要的。
在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评估,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(四)完善内部控制评估的考核监督机制
我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,使内部控制制度流于形式;同时发现的内控缺陷难以有效整改落实,大大降低了内控评估的风险防范作用。因此,建立健全内控评估的考核评价机制,对于强化内控执行、防范相关风险起着非常更重要的作用。对具体风险点与控制点流程中所有关键环节的内容建立目标和量化评价考核标准,细化内控考核细则;开展分类别内控评估工作质量评比,兑现考核奖惩,强化内控执行。同时,为保证内控缺陷的整改落实,可将内控执行情况、缺陷报告情况及整改情况与部门或个人的绩效考核挂钩,建立激励与约束机制。
参考文献:
[1]财政部.企业内部控制基本规范[S].2009.
关键词:风险管理内部控制风险防范
中图分类号:F270文献标识码:A
文章编号:1004-4914(2012)09-265-03
随着社会主义市场经济建设的不断深入、全球经济一体化进程的加快,国内市场和国际市场融为一体,企业所面临的风险与机遇也是越来越多。企业在新的竞争条件下要想立于不败之地,实现自身经营目标,建立现代企业制度,必须注重于内部控制与风险管理的研究。
一、风险管理与内部控制概述
(一)风险管理的涵义、要素及目标
企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。企业风险管理一般由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境。企业的内部环境是其它所有风险管理要素的基础,为其它要素提供规则和结构,也为风险管理的其它组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定。每个企业都面临着来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件是制定目标,风险评估就是分析和辨认实现所定目标可能发生的风险。
3.事件辨别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。
4.风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。
5.风险反应。风险反应是企业风险管理的整体重要组成部分。企业对每一个重要的风险及其对应的回报进行平衡和评价,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少的形式。
6.控制活动。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。
8.监督。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
内部控制是社会经济发展到一定阶段的产物,其内容随着企业对外满足社会需要,对内强化管理而不断丰富和发展。内部控制经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段。内部控制是一个机构内董事会、管理层和其它各方进行的旨在加强风险管理、促进实现既定目标的行为,是一个组织的内部活动,它是通过组织制度、组织机构和组织指令或程序来完成的。
一个完善的企业内部控制系统应该包括五类要素:
1.控制环境。控制环境提供企业纪律与框架,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的原则和道德价值观;评定员工的能力;管理哲学和经营风格;组织结构;责任的分配与授权;人力资源政策及实务;其成员参与管理的程度以及公司内部的董事会和审计委员会等。
2.风险评估。每个企业都面临着来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件是制定目标,风险评估就是分析和辨认实现所定目标可能发生的风险。
3.控制活动。企业管理阶层辨识风险,然后应针对这种风险发出必要的指令。控制活动是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括:高层经理人员对企业绩效进行分析;直接部门管理;对信息处理的控制;实体控制;绩效指标的比较和分工。
关键词:内部控制;五要素;逻辑关系
一、引言
COSO报告将风险评估、控制活动、信息与沟通、控制环境和监督要素放在了同等地位,从单个要素看,每一个要素都是边界分明,各有其内涵,但是它们作为一个有机联系的整体,任何一个要素都不能脱离整体发挥作用。在已有的对企业内部控制进行评价的文章中,大多都是在忽视要素之间逻辑关系的情况下,单独对各个要素进行分析,这样的分析具有针对性却缺乏对要素间相互作用机理的理解,使得组织的内部控制仍然是一个黑箱,难以发现问题的根源。倘若能够建立一个清晰的内部控制要素之间的逻辑关系,根据内部控制各要素之间的传导链条对问题进行分析,那么在改进组织内部控制时就更能抓住主要矛盾,找出症结,有的放矢。
二、内部控制要素构成及其逻辑关系
(一)内部控制要素的构成
1992年,美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会(简称COSO委员会)提出的《内部控制――整合框架》报告(简称COSO报告)被理论界与实务界广泛接受。该报告将内部控制划分为五种要素,即控制环境、风险评估、控制活动、信息与沟通、监督。本文以COSO报告(1992)为基础,分析内部控制五要素间的逻辑关系。
(二)内部控制要素之间的逻辑关系
控制环境奠定了一个企业内部控制的整体基调。管理层的管理风格与经营哲学决定了企业在运营过程中对风险的偏好。保守的管理者在对风险识别时会更加地谨慎,而激进的管理者则倾向于为了获取更大的利益冒更高的风险。治理层包括股东会、董事会以及监事会,治理结构需要设计出治理层对管理层的权责安排、独立董事制度、内部审计制度等监督体系。也就是说,公司的治理结构直接影响了监督要素中监督机构的设置和监督活动的进行。对于一个企业来说,倘若没有严谨的内部控制制度和程序,但是他的员工都是正直且有工作胜任能力的,员工皆能各善其职,那么企业一样可以按部就班地运作,但如果一个企业拥有完整的内部控制制度,可是员工素质欠缺,品格不佳,那么再有效的控制活动也会沦为空谈,因为无论多么完美的内部控制都没有办法防止员工间的串通舞弊。内部控制环境中的组织架构和权责分配为信息在部门间的流转提供了一个基本架构和传递路径,与此同时充当“信使”角色的员工的职业道德与胜任能力很大程度上影响部门之间信息沟通的及时性和有效性。
将风险评估划分为风险识别和风险应对两个分要素。所谓风险识别,就是企业在经营过程中对可能遇到的内部和外部风险进行定性和定量的衡量,认识和明确各种风险因素可能带来的后果,主要任务是研究各流程中何处有风险,风险发生的可能性,引起风险事故的原因以及风险一旦发生造成的损失程度。当风险一旦发生,企业采取怎样的措施使得损失降到最低就是风险应对应该回答的问题。风险评估是控制程序设计的指南针,控制活动包括政策的制定、控制程序的设计和执行。控制程序的设计、政策的制定是根据风险识别的结果为依据的,它为控制活动的重点指明方向,提高内部控制的效率和效果。根据《内部控制系统监督检查指南》,企业应该基于风险评估的结果进行优先级排序、分配资源和采取相应的监督方式。企业往往会把目光聚焦在一些风险较大的环节或是项目上,例如,为了避免管理层的逆向选择和道德风险,企业往往会设立董事会和监事会;为了防范企业遇到的财务风险、运营风险等,设立独立的内审部门等等,这些举措说明风险评估给监督工作提供指引,提高监督机构设置的合理性,从而增强监督活动的效率和效果。
“内部监督是企业对内部控制建立与实施情况进行监控检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。”可以看出,监督是对内部控制活动的再控制,它位于金字塔模型的最顶端,监督是一个不断检查与反馈的过程,其职能不仅仅停留在督导员工贯彻执行控制制度的层面,更为关键的是建立与组织目标相适应的评价标准和考核机制,检查并纠正控制环境、风险评估、控制活动以及信息与沟通过程中的漏洞,将获取的信息反馈给组织,使得组织有机会及时提出修改意见,优化升级企业内部控制活动,从而达到促进内部控制的自我完善的目的。
信息是沟通的对象和内容,沟通是信息传递的手段。信息与沟通是其他四个要素相互联结的纽带,没有了这个要素,其余四个要素都会沦为信息的孤岛,信息沟通不畅使得整个体系没有办法有效运转。在风险评估方面,企业的各个层次、每个员工都需要运用信息来确认、评估和应对风险,以便更好地履行职责并实现公司目标。在控制活动方面,有效的沟通能够及时曝光企业中不合规的行为以及反映内部控制中存在的缺陷,可以让制度的制定者、程序的设计与执行者对内部控制活动及时调整,完善管理。在控制环境方面,员工的诚信、组织架构和人力资源制度等这些构成控制环境的分要素所反馈的信息是优化内部控制环境的前提。监督就是将内部控制过程中产生的信息进行处理并利用的过程,要提高监督的有效性和针对性就离不开信息的有效沟通。由此可见,一个企业能否有序地运转依赖于内部控制每一个环节的信息生产与沟通。
控制活动是内部控制的关键和核心,是其他四个要素意志的集中体现。从形式上看,内部控制活动是内部控制五要素之一,而从本质上看,它是内部控制的外在体现。内部控制框架是一个整体,控制活动在其中扮演着极为重要的角色,它规定具体的控制措施,在其他要素的共同作用下,使得内部控制的控制职能落到实处。
三、建议与总结
通过研究分析要素间的内在逻辑关系,证明了任何一个要素都可能影响其他任何一个要素。要构建健全有效的内部控制,不仅仅是要具备基本的控制要素,更要综合考虑要素之间的联系。同样,在分析组织内部控制失效时,往往不是哪一个要素的不足,而是多要素的同时作用导致,这个时候就需要解剖要素的逻辑黑箱,理清关系,找到影响内部控制效果的各个因素,深度优化组织的内部控制体系。(作者单位:南京审计大学)
参考文献:
[1]杨有红.论内部控制环境的主导与环境优化――基于内部控制系统构建与持续优化视角[J].会计研究,2013,05:67-72+96.
【论文关键词】风险评估
1.公司目标
风险评估的前提是设立目标.设定目标是公司管理过程的重要组织部分,而非内部控制的要素,但它却是内部控制得以实施的先决条件。建立起目标体系,就能把各种力量、各类资源统一协调,按照目标的要求发挥作用,促使寿险公司切实的凝结为一个整体。只有先确立目标,公司才能针对目标确定风险并采取必要的行动来管理风险。目标设定是寿险公司对风险进行识别、评估和制定相关风险对策的基础。
2.风险识别与评估
公司面临的风险是指发生对公司目标的实现可能产生影响的不确定性,并可以通过一系列防范措施予以规避和减小的损失的可能性。风险的识别需要比较客观的进行,而且为了避免忽略相关的风险事件,识别风险的过程最好与评估风险的过程区分开来。
相对于寿险公司的经营管理来说,风险因素既存在于公司内部,也产生于公司外部。对于寿险公司,有可能引起风险发生的内部因素是:
(1)管理层对实现公司目标的理念意识和紧迫感。
(2)员工的胜任能力,以及完成工作的恰当性和完整性。
(3)公司资产的规模、流动性或业务总量。
(4)公司的财务状况。
(5)信息系统电算化的程度。
(6)公司经营活动的地理分布。
(7)内部控制系统的恰当性和有效性等。
外部风险是指外部环境中对公司目标的实现产生影响的不确定性事件,有可能引起风险发生的外部因素是:
(1)国家法律、法规及政策的变化:如新的法律和法规可能要求经营政策和策略的改变。
(2)经济环境的变化:经济形势的变化可能对有关融资、资本支出和扩张的决策产生影响。
(3)科技的快速发展:技术发展会影响研发的性质和时机,或带来采购的变化。
(4)行业竞争及市场变化:竞争和不断变化的客户需求会改变公司营销、产品开发、业务流程和客户服务等活动。
(5)自然灾害:自然灾害可能导致经营或信息系统的改变以及强调对或有损失制定应急计划的需要。
识别公司层面和操作层面风险后,公司需要进行风险评估。进行风险评估,必须保证风险评估人员具备相应知识和业务能力,并已经对公司的各项政策和程序有了比较深入的了解。在此基础上,风险评估才可以顺利进行。总体来说,风险评估的方法有两种,一是定量方法评估,二是定性方法评估。
风险评估是全面、准确、及时地了解和把握寿险公司风险的内控基本要素,是识别及分析那些可能影响企业达到企业目标或事件的手段,是决定如何构建有效内控体系的基础。目前,我国寿险公司在风险评估意识、方法、技术等方面还比较落后。主要表现为:一是风险评估的方法技术落后,人才缺乏。由于管理层长期以来不重视风险管理和高技术人才的缺乏,我国寿险公司的风险评估主要依靠定性的、人为控制的直接管理方法,如委托理财审查等方式,而未使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低。
3.风险处理
在评估了风险的重要性和发生概率之后,管理层需要考虑如何管理风险。这涉及基于对风险假设的判断,以及对降低风险水平所需成本的合理分析。降低重大的或可能发生的风险的措施包括管理层每日做出的无数决策,从确定其他供货源或扩大产品线到获取更具相关性的经营报告或改进培训计划等。合理恰当的措施会实实在在消除风险或抵销其影响。根据风险评估结果做出的风险应对措施主要包括以下几个方面:风险回避、风险控制、风险承担、风险转移。评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内、采取的风险应对措施是否适合本组织的经营、管理特点、成本效益的考虑。
目前,我国寿险公司普遍存在对风险管理的模糊认识、困惑甚至误解,进而出现风险管理导向错误的现象。因此,一是要要强化经营风险既有损失的可能,也有盈利的可能的认识,注重风险和收益的平衡关系;二是建立广泛适应的风险决策标准;三是针对各种风险确定风险应对措施的程序和方法。对降低风险水平所需成本进行合理分析,充分考虑现有程序对于控制已识别风险是否合适,以及完善流程以应对不断变化中的风险等。
4.风险监控
制定了风险处理计划后,并非一劳永逸,在公司的运行过程中风险还可能会增大或者衰退。因此,在公司的经营管理过程中,需要时刻监督风险的发展与变化情况,并确定随着某些风险的消失而带来的新的风险。风险监控就是要跟踪识别的风险,识别剩余风险和新出现的风险,修改风险管理计划,保证风险计划的实施,并评估消减风险的效果。风险监控是与控制活动密切结合在一起的,要使公司的风险监控发挥积极作用,就必须在控制活动的各个环节确立不同的控制方式:预防性监控、检查性监控、纠正性监控、指导性监控。除了以上一般的风险监控形式外,还有针对某个环节不足或者缺陷而采取的补偿性监控,为加强计算机管理而实施的计算机监控等等。这些风险监控形式,合理保证了公司风险监控的效率和效果,有助于公司管理风险。
要解决好风险识别、评估、处理与监控之间的关系,离不开公司内部每一位员工的共同努力。要使风险监控在整个风险评估流程中发挥重要作用,一是必须建立良好的风险管理组织架构;二是对影响已识别风险或事件因素进行定期核查。
风险导向审计模式是将风险理念引入审计的模式。风险理念是指事件发生的结果是否与预期一致,受内外部环境的影响。不稳定的内外部环境因素是造成风险演变为现实损失的原因。这里,不稳定的环境因素就是风险因素。控制风险因素成为确保事件实际结果与预期结果相符的方式和手段。它的核心观点是只要能将风险因素的概率控制在一定范围内,事件的结果就会符合预期。所以,风险导向审计是控制审计过程风险因素的模式。
实务中,审计过程的风险及相互关系用下面公式表示,即“审计风险=重大错报风险×检查风险”,其中,重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思,它涉及多个科目和账户余额,对财务报表真实、准确、完整影响广泛。那么,财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出,该风险是一个时间段下的结果,是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源,正是企业期间运作的过程。所以,经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成,经营活动风险(也就是经营风险)过大就会引起相应财务报表层面风险的产生。也就是说,经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源,就有必要继续分析风险影响因素。所以,本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。
二、指标选取的理论探讨
经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性,是企业必须要关注的风险。经营风险形成的原因很多,总体分为三个方面:一是战略失误,二是内部控制薄弱,三是经营活动低效率。从内部控制角度讲,企业的构成分成两个方面:一是企业占有的资源,二是内部控制。这样,企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此,企业运作下所有有形和无形的产物就与内部控制存在联系,而且这种联系具有广泛性和普遍性。因此,在内部控制被纳入指标评估后,要区分其与战略、经营活动的关系。
当内部控制与知识资源结合时,就会生成战略。战略是企业经营总的方向和规划,是企业的知识资源和内部控制结合的产物,具有资源和内控的双重属性。战略具备内控属性,任何战略都是内部控制下的战略;但是,战略又具有资源属性,简单将其划入内部控制而不单独讨论是不恰当的。再者,战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的,是第一位的;错误不当的目标只会使企业离成功越来越远,经营风险增大;目标实现步骤是否合理和可操作有助于企业循序渐进的发展,避免冒进式决策给企业带来的风险。因此,从上述两方面讲将战略放到与内部控制同等地位,讨论其对经营风险的影响是必要的。
经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估,具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度,以及有助于在发现计划外的风险后,重新追溯检查战略和内部控制风险评估的内容,使风险评估更加全面。因此,要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。
在上述讨论中,明确了风险评估活动下,战略、内部控制和经营活动的关系和相同地位。由于三者间的联系,必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动,对选择恰当的理论作指导,并进一步讨论意义重大。
(一)内部控制内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日的《企业内部控制基本规范》将内部控制分成了五个部分,即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体,但仍具有层次性。
由图1可以看出,内部控制分为三部分内容,即控制环境、控制主体部分(风险评估、控制活动和信息与沟通)、内部监督。其中,控制环境是基础,位于内部控制最低端;中间部分,包括风险评估、控制活动和信息与沟通,是主体和核心内容。内部监督是内部控制自我调节和完善部分,位于最顶端。从内容上讲,基础、主体、调节部分有鲜明的区分;从排列位置上讲,底部、中部、顶端是其功能性的体现,下面分别进行阐述。
控制环境作为内部控制框架体系的基础内容,其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件,保证控制活动的顺利实现;薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中,阻碍控制的有效进行,降低内部控制运作效果,形成自身风险。相应审计风险增大。因此,在对内部控制自身风险分析时,控制环境风险评估是重要内容,应被纳入风险评估指标体系中去。
控制主体部分,包括风险评估、控制活动和信息与沟通,是内部控制的主体和实质部分。其运行机理如图:
由图2可以发现,控制主体部分是一动态部分,在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在,从企业制度、运作过程、员工、记录中都可以进行多次观测,便于风险的发现。再者,企业制度具备稳定性,在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下,不确定性内容减少,风险降低;加上其便于被发现,使得控制主体部分的风险对审计风险影响几乎为零,所以,控制主体部分(风险评估、控制活动和信息与沟通)的自身风险因素不被纳入本文风险评估指标体系构建中去。
内部监督是指对控制活动与控制制度是否相符的监察和督导,其目的是保证各控制活动受控制制度的约束,以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此,如果当监督关系是下级对上级监督,或平级间监督,那么这种关系不成立,内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立(池国华2010)。这样,在内部控制体系中,治理层对管理层、管理层对执行层的制衡才是监督的真实体现,因此对内部监督的讨论,其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容,完善制衡关系与完善控制环境是一致的。
(二)战略这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下,根据企业的目标、目的制定实现这些目标、目的的方式。简而言之,企业战略是企业发展的长期性和全局性的谋划(丁宁、穆志强2005)。战略是企业的指导思想,为企业发展明确了方向;战略也是企业的规划,为企业发展制定了步骤。对于有持续经营意图的企业,正确的方向比经营能力更有意义;方向错误,经营能力越强,失败的概率就越大。同样,详细并且可操作性强的发展步骤,有助于企业发展的稳定性,增强了持续经营能力。由此可见,战略对企业经营成败的影响具有总体性和长远性特征,在影响企业经营的因素中处首要地位,其对审计风险的影响是重大的。因此,战略应被纳入到风险评估体系的构建中去。
企业的战略是否不利于企业近期发展,进而形成经营风险,试图通过从战略追溯至相对应经营活动和财务信息来验证,不具备可操作性。为证实两者的关系,有必要对战略形成过程进行分析,通过间接方式得出已有战略具体环节对企业经营风险的影响。
企业战略形成过程如图3:
企业远景与使命是与治理层的价值观和世界观直接联系的,是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨,因此,企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现,可以一并归至控制环境中。企业环境分析是企业战略形成的关键,因为企业战略的实质就是平衡内外部环境的策略,既关注近期,又考虑到了远期。所以,企业环境分析对企业战略形成的意义重大,它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分,是内部控制下的环境分析,带有浓重的控制色彩。另一方面内部控制有自身缺陷,无法100%达到运作预期,造成对一些环境分析的疏漏,企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此,将企业环境分析与内部控制同等看待,纳入到风险评估体系中去,在审计谨慎性原则下就显得十分必要。
最后,企业战略方向选择和具体战略的制定,其是在环境分析后进行的。环境分析发现了风险问题,战略方向选择与战略制定提出解决问题的对策。对策合理与否,与已纳入风险评价体系中控制环境的人力资源政策直接相关,不再重复纳入。
(三)经营活动由于影响经营风险的因素很多,仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样,对除内控和战略后剩余活动进行分析就显得很必要。再者,经营活动是内部控制下战略的延伸,对重大经营活动关注,发现其风险,并追溯至战略和内部控制加以验证,可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下,将经营活动纳入到风险评估体系构建中是必要的。
综上所述,被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。
三、指标选取
本文对三个方面(战略、经营活动和内部控制)具体内容细分,得出相应指标,如图4所示:
参考文献:
关键词:资产评估;风险;对策;防范
中图分类号:F123.7文献标识码:A文章编号:1006-8937(2016)32-0124-02
1资产评估的界定
一般认为,资产评估风险指相关单位或个人因对评估目标的价值做出了不恰当的分析估算而遭受的损失。根据该定义,资产评估主要包含两部分内容:外部风险和内部风险。
首先,外部风险,即外部因素的存在影响或阻碍资产评估师的正常评估过程而产生的风险。主要包括外部压力风险、市场风险、客户风险和制度风险等。
其次,内部风险即由于资产评估机构的内部因素所造成资产评估师对资产价值的错误或不当判断而引起的风险。
内部风险主要包括两种类型,一是由于资产评估师的专业能力与职业道德而产生的人员风险,例如道德风险与人员风险;二是由于评估机构自身缺乏良好内部控制和监督管理手段、机构评估经验不足、对项目整体的管理与组织不善而导致的组织风险。
2资产评估风险的分类及表现形式
2.1从控制性角度划分
从来源角度研究,资产评估风险主要包括不可控风险和可控风险。
2.1.1不可控风险
不可控风险主要指会导致评估结果出现较大偏差但又不能由资产评估机构所控制的风险。具体可由以下几种类型构成。
①资产评估机构面对的风险。在资产评估进入中国后,经过三十年的不断发展我国已逐步与国际资产评估接轨。但我国评估理论与实践发展较不均衡,因而出现因法律体系不完善而产生风险的可能。截止目前,指导资产评估行业最直接的是于1991年制定并的《国有资产管理办法》,没有规范行业的法律势必会造成法律的监督空位,不能从根本上规范资产评估人员的行为和评估业务的程序性。以四川评估作假案为例,其直接原因是中国资产评估法律的不完善,导致造假者有机可乘。其次,中国资产评估的主管部门不明确,目前存在执行标准不统一、多头管辖的现象。在执行具体评估业务时,相关机构为到达评估目的强行干预评估执行,极大地影响我国资产评估工作的独立性、客观性和公正性,最终造成评估结果的失实。
②评估人员面对的风险。首先,市场信息不完善而导致的风险。我国自改革开放依赖经济飞速发展,但数据信息的可靠性较低。自1996年中国使用上市指数后,数据才具有一定的可靠性,会计信息失真,市场信息很难找到,但资产评估的基本三种评估方法都基于市场信息,因而我国的市场特点极大程度的增加了资产评估师的评估风险。其次,资产评估在我国发展时间较短,尚处于探索阶段。资产评估协会在2007年已经中国资产评估体系,但相关准则对实际评估行为的规范力度较弱,资产评估人员在法律诉讼时,很难找到相关法律依据保护自身权益。
2.1.2可控风险
可控风险主要指可由评估机构和评估人员控制的风险,该种风险主要取决于资产评估机构内部控制和相关制度的建设是否完善和资产评估人员自身素质的程度。
①资产评估机构面对的可控风险。资产评估机构面对的可控风险指评估机构违反规章制度操作而导致的内部管理风险。例如资产评估机构在实际评估业务面前只重视自身经济效益而忽视相关法律及准则,为了盈利而对不合法资产展开评估;资产评估机构没有相关评估资治,却为了盈利而出具相关评估报告;同时,行业内部存在关联交易,给回扣现象屡禁不绝,一般机构的回扣比例约为40%至50%,更有甚者高达80%左右。
②评估人员面对的可控风险。评估人员面临的风险主要包含两个层面:职业道德风险和专业水平风险。首先,从职业道德风险角度出发,依据《职业道德准则-基本准则》规定,执业过程中资产评估师应恪守客观、独立、公平、公正的原则,对资产价值进行合理估价。然而在实际评估过程中,一些资产评估师无原则,无视市场信息,主观性差,过度依赖委托人提供的相关资料而忽视相关审查、评估程序,致使结果严重偏离资产的公允价值,对当事人造成经济损失。其次,《职业道德准则-基本准则》规定资产评估师应具备相关知识和经验。但在实际评估过程中,资产评估师在自己有限的知识和经验的情况下,不能随市场的变化而合理制定相关数据,导致评估结果存在错误的可能性。
2.2从来源角度划分
资产评估风险从来源角度划分可分为多种类型,主要包括管理风险、执业风险、立法风险和使用风险四类。
2.2.1管理风险
管理风险主要是指具体行政部门在执行资产评估的管理职能时面临的风险。我国资产评估管理风险多体现在:当前资产评估的主管部门不统一、执业标准不完善,在实际评估过程中会出现由于管理有欠完善而影响评估工作正常进行的现象。
2.2.2执业风险
执业风险主要指评估人员在实际评估过程中,因为不能达到专业评估标准而产生的风险。若执业不能达到专业标准,会使评估出现纰漏,从而导致不合理的评估结果出现,最终影响相关当事人的合法利益。资产评估机构和人员由于自身专业知识欠缺而产生的诉讼或仲裁费用以及因败诉而产生的经济赔偿,都属于资产评估的执业风险。