風險導向型內(nèi)部控制研究

1、風險導向型內(nèi)部控制研究 在現(xiàn)代經(jīng)濟領(lǐng)域中，風險無處不在，它既包含了導致失敗的根源，同時又蘊藏著成功的種子。而企業(yè)內(nèi)部控制系統(tǒng)就是對威脅其目的實現(xiàn)的風險進行管理。但企業(yè)的內(nèi)部控制能否發(fā)揮作用，還必須考慮企業(yè)面臨的風險因素與管理風險可獲得的收益的對比?，F(xiàn)在企業(yè)內(nèi)部審計除了關(guān)注傳統(tǒng)的內(nèi)部控制之外，更關(guān)注有效的風險管理機制和健全的公司治理結(jié)構(gòu)，使得企業(yè)內(nèi)部控制也逐漸從內(nèi)部財務(wù)控制的狹窄范圍中跳出來，進入到為企業(yè)創(chuàng)造價值的領(lǐng)域中來。這預(yù)示著風險導向型內(nèi)部控制時代已經(jīng)來臨。論文百事通? ? 一、企業(yè)目標、風險與內(nèi)部控制的關(guān)系? ? 風險是不能實現(xiàn)目標的可能性。有目標才有風險，沒有目標也就無所謂有風險。因此

2、，目標的設(shè)定是風險評估的先決條件。管理階層必須先制定目標，然后才能夠辨別達不成該目標的風險，并采取必要的管理風險的行動。目標的設(shè)定雖然不是內(nèi)部控制的一個組成要素，但卻是內(nèi)部控制的先決條件，是管理過程中的重要部分。? ? 風險與收益是成正比的，作為企業(yè)而言，我們應(yīng)當首先關(guān)注風險，其次才是收益。經(jīng)營者對待風險的策略應(yīng)該是適當?shù)亟邮茱L險，善于駕馭風險，控制風險，才能保證企業(yè)的經(jīng)營成功，并可能利用風險為企業(yè)創(chuàng)造價值。風險控制的目的不是為了限制企業(yè)的各種經(jīng)營活動，而是確保他們受到正確的引導，以減少不必要的損失?？刂骑L險是要付出相應(yīng)的成本代價的，如進行預(yù)防的支出以及為加強控制而增加的人工費用等。企業(yè)內(nèi)部控

3、制應(yīng)當盡量評價企業(yè)面臨的風險，并對相應(yīng)的風險進行控制和管理，對控制風險付出的代價與管理風險可獲得的收益進行對比，以達到在風險管理上最優(yōu)效果的投資成本，做到風險導向型管理。? ? 二、風險導向內(nèi)部審計是內(nèi)部審計的發(fā)展方向? ? 內(nèi)部審計既是內(nèi)部控制的一個組成部分，又是內(nèi)部控制的一種特殊形式。內(nèi)部審計職能就是通過對企業(yè)內(nèi)部控制系統(tǒng)的評價和檢查，發(fā)現(xiàn)企業(yè)內(nèi)部控制缺陷和漏洞，分析經(jīng)營管理過程中的偏差和失誤，評價組織控制，以確保揭露組織潛在的風險，改善經(jīng)營管理，提高經(jīng)濟效益，使企業(yè)逐步形成一個有效的自我防范機制。內(nèi)部控制可劃分為控制環(huán)境；風險評估；控制活動；信息與溝通及監(jiān)控等五個要素。它是通過管理控制方

4、法和內(nèi)部審計的職能來實現(xiàn)的?？梢姡瑑?nèi)部審計職能作為內(nèi)部控制的一個要素，是管理當局用來監(jiān)督相關(guān)控制程序的手段，即是內(nèi)部控制的再控制。這說明了以風險為導向的審計方法成為內(nèi)部審計方法發(fā)展的必然趨勢。? ? 內(nèi)部審計領(lǐng)域運用風險導向?qū)徲嫹椒?，從過去內(nèi)部審計被定位為“監(jiān)督者”或“內(nèi)部警察”的角色，到現(xiàn)在內(nèi)部審計師的主要作用是“保證和建議”。改變了過去那種內(nèi)部審計人員以檢查歷史業(yè)務(wù)記錄和內(nèi)部控制系統(tǒng)的歷史運營情況提出建設(shè)和意見的方式，變?yōu)楦雨P(guān)注企業(yè)面臨的風險和企業(yè)未來的發(fā)展及企業(yè)為降低風險所進行的一項管理活動。以采購為例進行分析，過去內(nèi)審人員只關(guān)心采購的物品是否企業(yè)所需，價格和付款是否合理，帳目是否正確

5、，而現(xiàn)在內(nèi)審人員要做的是采取必要措施控制企業(yè)戰(zhàn)略風險。如由多個供應(yīng)商提供原材料，以減少原材料供應(yīng)中斷的風險。超過內(nèi)部控制的某些薄弱環(huán)節(jié)，這是風險導向?qū)徲嫹脚c其他審計方法法的本質(zhì)區(qū)別。因此，要求內(nèi)部審計人員在風險環(huán)節(jié)中觀察業(yè)務(wù)過程，提出控制風險的建議，從而為企業(yè)增加更多的價值。內(nèi)部審計有二種辦法。一種是傳統(tǒng)的系統(tǒng)導向?qū)徲?，以實質(zhì)性測試為主。這種審計總是以其內(nèi)部控制為中心，并在審計報告中不斷提出增加控制點越來越多，業(yè)務(wù)過程越來越復雜。同時，也產(chǎn)生了不能為企業(yè)增加價值的員工。另一種是風險導向?qū)徲?，它以偵察性為先導，以證實性為補充的戰(zhàn)略為企業(yè)當前及未來需要做準備，是企業(yè)現(xiàn)行經(jīng)營活動與戰(zhàn)略之間的“橋梁”

6、。? ? 三、風險導向型內(nèi)部控制制度的設(shè)計? ? 要設(shè)計有效的內(nèi)部控制制度的前提是對預(yù)先設(shè)定的目標進行風險評價。管理階層在設(shè)計內(nèi)控制度時，要密切關(guān)注并處理企業(yè)所面臨的風險，要對有關(guān)業(yè)務(wù)的風險加以分類、辨認，認識關(guān)鍵的風險控制點，有針對性地對該項業(yè)務(wù)設(shè)計其內(nèi)部控制制度，并要采用一定的技術(shù)方法宋分析風險發(fā)生后的實際情況與目標的差異，進而提出改進風險管理的措施，使風險控制更臻完善。把風險管理問題放在內(nèi)部控制制度中的首位。在內(nèi)部控制制度設(shè)計時，要對各種風險做出評價，測定風險的大?。ㄆ髽I(yè)可能遭受損失資金金額的大小或發(fā)生損失可能的大?。?。對于風險重大的部門或業(yè)務(wù)，要加大控制的力度，要采取有效的控制措施來加

7、以防范。? ? 企業(yè)的風險環(huán)境一般較難確定，特別是外部環(huán)境變化多端，較難實現(xiàn)全面地預(yù)防和規(guī)避。所以企業(yè)在制定戰(zhàn)略目標并考慮控制措施時，要考慮相關(guān)風險項 目是公司的強項還是弱項，是企業(yè)機遇還是威脅。這就要求在設(shè)計內(nèi)部控制制度時，對企業(yè)內(nèi)部控制環(huán)境的優(yōu)勢與劣勢以及對外部控制環(huán)境的壓力與機會系統(tǒng)地進行分析，從中考慮研究創(chuàng)新、化險為夷的策略和機遇，為實現(xiàn)既定的控制目標做好思想準備和物質(zhì)準備。內(nèi)部控制的風險評價，是企業(yè)風險管理的一個組成部分，它以辨認風險為前提，隨之是風險評估的分析，進而擬定風險管理的策略以求實現(xiàn)企業(yè)的既定目的。為此，在設(shè)計內(nèi)部控制制度時應(yīng)樹立風險控制的理念，并要認識到風險和機遇是并存的

8、，在風險中尋找轉(zhuǎn)化機會的契機。? ? 所以，企業(yè)各管理層次的人員，在制定內(nèi)部控制制度時應(yīng)以風險為導向，立足開拓創(chuàng)新，變風險為創(chuàng)業(yè)的機會。? ? 四、風險基礎(chǔ)法下內(nèi)部控制的評價模式? ? 傳統(tǒng)的內(nèi)部控制評價即是審計人員通過對被審計單位內(nèi)部制度的審查、測試、評價、確定其可信度，從而對內(nèi)部控制制度產(chǎn)生的結(jié)果做出鑒定意見。其實，審計報告中的建議也是管理當局早已知道的，缺乏新意。風險導向?qū)徲嫹ㄒ髢?nèi)部審計人員改變傳統(tǒng)的評價模式，把審計的起點放在關(guān)注企業(yè)發(fā)展戰(zhàn)略和識別企業(yè)業(yè)務(wù)流程的風險上，分析風險，并提出控制風險的建議和方法。? ? 1、內(nèi)部控制自我評價日益受到重視? ? 內(nèi)部控制自評是一種新興的審計技術(shù)

9、，它將運行和維持內(nèi)部控制的主要責任賦予企業(yè)管理層，同時使內(nèi)部審計與管理層一道承擔對內(nèi)部控制評價的責任。這使得以往由內(nèi)部審計對控制的適應(yīng)性及有效性進行獨立驗證發(fā)展到了全新階段，即通過設(shè)計，規(guī)劃和運行內(nèi)部控制自我評估程序，由企業(yè)整體對管理控制和治理負責。在對內(nèi)部控制進行自我評價時，應(yīng)特別注意的幾點：（1）自上次評價以來，重要風險的性質(zhì)的程度所發(fā)生的變化，以及公司對這些商業(yè)風險和外部環(huán)境變化所做出反映的能力。（2）管理層對內(nèi)部控制系統(tǒng)和風險持續(xù)監(jiān)督的范圍和質(zhì)量，以及內(nèi)部審計功能和其他保證方式的工作狀態(tài)如何。（3）就監(jiān)督的結(jié)果與董事會交流的程度和頻率，以便在公司內(nèi)建立起累計評估體系，對內(nèi)部控制狀況及風

10、險管理有效程度加以評估。（4）期間內(nèi)任一時間所確認的重大控制失敗或弱點，及其所導致或可能導致的不可遇見的結(jié)果或有事項的程度，以及對公司財務(wù)狀況和業(yè)績產(chǎn)生重大影響。（5）公司公開報告程序的有效性。一旦知道內(nèi)部控制中所存在的重大失敗或弱點，董事會就要了解這種失敗或弱點是如何產(chǎn)生的，并對內(nèi)部控制系統(tǒng)的有效性進行重新評估。? ? 對企業(yè)而言，內(nèi)部控制自評提供了一個管理控制風險的工具，保證內(nèi)部審計人員和管理人員共同對風險進行控制。同時，也降低了審計成本，使內(nèi)部審計達到更好的效果。對管理部門而言，內(nèi)部控制自評可以反映當前管理控制中存在在的問題，明確管理責任，保證企業(yè)內(nèi)部有優(yōu)良好的人員分工，使其更好地履行職

11、責。對內(nèi)部審計而言，內(nèi)部控制自評最重要的一點是讓管理部門了解到對內(nèi)部控制的責任，同時內(nèi)部控制自評還可以提高審計的效率和效果，減少審計人員的工作量，節(jié)省審計時間。? ? 2、內(nèi)部控制矩陣法? ? 內(nèi)部控制矩陣法是審計人員根據(jù)企業(yè)經(jīng)營目的、風險與控制之間的聯(lián)系，為確保審計建議能針對重要的風險而建立的一張工作表。該表包含了下列信息：明確企業(yè)經(jīng)營目標，審計人員對審計事項的初步了解，根據(jù)了解的情況識別風險因素，衡量風險的重要程度，采取適當?shù)目刂拼胧?，控制措施是否會影響其他目標的實現(xiàn)，審計人員的評價和結(jié)論。內(nèi)部審計人員通常在測試的最后階段來做這個矩陣，其優(yōu)點是清楚地反映出對每一目標的測試和評價，有助于關(guān)注

12、重要風險。 ? ? 3、利用網(wǎng)絡(luò)信息開展動態(tài)評估? ? 目前，企業(yè)內(nèi)審部門對審計技術(shù)、方法的研究還有欠缺，特別是風險分析和應(yīng)用信息技術(shù)審計方面，還存在較大差距。因此，應(yīng)加強信息系統(tǒng)和計算機審計技術(shù)的研究和普及工作。收集風險數(shù)據(jù)是企業(yè)中常用的風險評估法。內(nèi)部審計人員通過收集資料，有助于建立數(shù)據(jù)庫，利用一定的指標估計風險。數(shù)據(jù)庫法的優(yōu)點是把企業(yè)面臨的風險進行量化，發(fā)揮預(yù)警的作用，以便及早發(fā)現(xiàn)企業(yè)存在的問題，及時進行處理。企業(yè)管理人員通過訪問數(shù)據(jù)庫，了解哪里存在風險，風險的嚴重程度，并將風險按重要程度進行排序。例如，我們以應(yīng)收帳款的回收期作為一個風險因素，通過詢問數(shù)據(jù)庫就可以查出所有存在應(yīng)收帳款超期

13、的部門，并按超過的期限進行排列。企業(yè)管理者通過訪問數(shù)據(jù)庫就可以輕松知道各應(yīng)收帳款的回收期，并對超期的長短的項目進行相應(yīng)處理。由此可見，預(yù)警制度并非完全針對防弊，而是為及早發(fā)現(xiàn)經(jīng)營中存在的問題，并采取有效的控制措施目是公司的強項還是弱項，是企業(yè)機遇還是威脅。這就要求在設(shè)計內(nèi)部控制制度時，對企業(yè)內(nèi)部控制環(huán)境的優(yōu)勢與劣勢以及對外部控制環(huán)境的壓力與機會系統(tǒng)地進行分析，從中考慮研究創(chuàng)新、化險為夷的策略和機遇，為實現(xiàn)既定的控制目標做好思想準備和物質(zhì)準備。內(nèi)部控制的風險評價，是企業(yè)風險管理的一個組成部分，它以辨認風險為前提，隨之是風險評估的分析，進而擬定風險管理的策略以求實現(xiàn)企業(yè)的既定目的。為此，在設(shè)計內(nèi)部

14、控制制度時應(yīng)樹立風險控制的理念，并要認識到風險和機遇是并存的，在風險中尋找轉(zhuǎn)化機會的契機。? ? 所以，企業(yè)各管理層次的人員，在制定內(nèi)部控制制度時應(yīng)以風險為導向，立足開拓創(chuàng)新，變風險為創(chuàng)業(yè)的機會。? ? 四、風險基礎(chǔ)法下內(nèi)部控制的評價模式? ? 傳統(tǒng)的內(nèi)部控制評價即是審計人員通過對被審計單位內(nèi)部制度的審查、測試、評價、確定其可信度，從而對內(nèi)部控制制度產(chǎn)生的結(jié)果做出鑒定意見。其實，審計報告中的建議也是管理當局早已知道的，缺乏新意。風險導向?qū)徲嫹ㄒ髢?nèi)部審計人員改變傳統(tǒng)的評價模式，把審計的起點放在關(guān)注企業(yè)發(fā)展戰(zhàn)略和識別企業(yè)業(yè)務(wù)流程的風險上，分析風險，并提出控制風險的建議和方法。? ? 1、內(nèi)部控制

15、自我評價日益受到重視? ? 內(nèi)部控制自評是一種新興的審計技術(shù)，它將運行和維持內(nèi)部控制的主要責任賦予企業(yè)管理層，同時使內(nèi)部審計與管理層一道承擔對內(nèi)部控制評價的責任。這使得以往由內(nèi)部審計對控制的適應(yīng)性及有效性進行獨立驗證發(fā)展到了全新階段，即通過設(shè)計，規(guī)劃和運行內(nèi)部控制自我評估程序，由企業(yè)整體對管理控制和治理負責。在對內(nèi)部控制進行自我評價時，應(yīng)特別注意的幾點：（1）自上次評價以來，重要風險的性質(zhì)的程度所發(fā)生的變化，以及公司對這些商業(yè)風險和外部環(huán)境變化所做出反映的能力。（2）管理層對內(nèi)部控制系統(tǒng)和風險持續(xù)監(jiān)督的范圍和質(zhì)量，以及內(nèi)部審計功能和其他保證方式的工作狀態(tài)如何。（3）就監(jiān)督的結(jié)果與董事會交流的程

16、度和頻率，以便在公司內(nèi)建立起累計評估體系，對內(nèi)部控制狀況及風險管理有效程度加以評估。（4）期間內(nèi)任一時間所確認的重大控制失敗或弱點，及其所導致或可能導致的不可遇見的結(jié)果或有事項的程度，以及對公司財務(wù)狀況和業(yè)績產(chǎn)生重大影響。（5）公司公開報告程序的有效性。一旦知道內(nèi)部控制中所存在的重大失敗或弱點，董事會就要了解這種失敗或弱點是如何產(chǎn)生的，并對內(nèi)部控制系統(tǒng)的有效性進行重新評估。? ? 對企業(yè)而言，內(nèi)部控制自評提供了一個管理控制風險的工具，保證內(nèi)部審計人員和管理人員共同對風險進行控制。同時，也降低了審計成本，使內(nèi)部審計達到更好的效果。對管理部門而言，內(nèi)部控制自評可以反映當前管理控制中存在在的問題，明

17、確管理責任，保證企業(yè)內(nèi)部有優(yōu)良好的人員分工，使其更好地履行職責。對內(nèi)部審計而言，內(nèi)部控制自評最重要的一點是讓管理部門了解到對內(nèi)部控制的責任，同時內(nèi)部控制自評還可以提高審計的效率和效果，減少審計人員的工作量，節(jié)省審計時間。? ? 2、內(nèi)部控制矩陣法? ? 內(nèi)部控制矩陣法是審計人員根據(jù)企業(yè)經(jīng)營目的、風險與控制之間的聯(lián)系，為確保審計建議能針對重要的風險而建立的一張工作表。該表包含了下列信息：明確企業(yè)經(jīng)營目標，審計人員對審計事項的初步了解，根據(jù)了解的情況識別風險因素，衡量風險的重要程度，采取適當?shù)目刂拼胧?，控制措施是否會影響其他目標的實現(xiàn)，審計人員的評價和結(jié)論。內(nèi)部審計人員通常在測試的最后階段來做這個矩陣，其優(yōu)點是清楚地反映出對每一目標的測試和評價，有助于關(guān)注重要風險。 ? ? 3、利用網(wǎng)絡(luò)信息開展動態(tài)評估? ? 目前，企業(yè)內(nèi)審部門對審計技術(shù)、方法的研究還有欠缺，特別是風險分析和應(yīng)用信息技術(shù)審計方面，還存在較大差距。因此，應(yīng)加強信息系統(tǒng)和計算機審計技術(shù)的研究和普及工作。收集風險數(shù)據(jù)是企業(yè)中常用的風險評估法。內(nèi)部審計