内部控制与风险管理综述_唐来全.docx

《内部控制与风险管理综述_唐来全.docx》由会员分享，可在线阅读，更多相关《内部控制与风险管理综述_唐来全.docx（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部控制与风险管理综述 山 东 轻 工 业 学 院 唐 来 全 、内部控制与风险管理的起源 不论在中国还是在世界其他国家，内部控制思想都有悠久 的历史，早期着眼于账簿资料相互核对的内部牵制是内部控制 思想的萌芽阶段。内部牵制是按照 “ 两个或两个以上的人或部 门无意识犯同样错误的可能性很小，两个或两个以上的人或部 门有意识合伙舞弊的可能性也大大低于单独一个人或 -个部门 舞弊的可能性 ” 的主观设想建立起来的。历史上，内部控制被认 为是减少欺诈、盗窃和错误的一种制度安排。显然，内部控制是 因错误与舞弊风险管理的需要而产生的。1936年 ,美国注册会计 师协会 （ AICPA)颁布的独立公共会计

2、师对财务报表的审査 中首次定义了内部控制制度。 关于风险管理的起源，陈忠阳认为，原始社会人类为了躲避 风雨雷电带来的灾害和猛兽的攻击而群聚在洞穴中就是最早的 风险管理行为之一 ； Laura F. Spira等指出，风险及其管理思想的 发展可以追溯到古代人们认识的超越人类活动的自然事件所带 来的风险。传统的风险管理关注可保风险的管理 ,现代公同风险 管理起源于保险业 ,20世纪 70年代之前，各种组织主要是通过 保 险来管理不确定性，以应对各种灾难。 风险管理 ” 一词最早 出现在 20世纪 60年代早期，当时使用 “ 风险管理 ” 一词是为了 将风险评估、管理与简单的购买保险区分幵来。 从内

3、部控制与风险管理的起源看，两者都是基于风险的存 在而产生。没有风险，就没有控制，因为控制只为管理风险而存 在，没有风险，风险管理将失去管理的对象，自然就会失去存在 的意义，但是，引致内部控制与风险管理产生的风险并不相同： 引致内部控制产生的风险是社会风险，而引致风险管理产生的 风险是自然风险 二、 内部控轉与风险管理的涵义 何谓内部控制？美国 COSO认为，内部控制趋一个由组织的 董事会、管理当局及其他员工实施的，为实现经营的效率和效 果、财务报告的可靠性、法律法规的遵循性三类 H标而提供合理 保证的过程，英国 Turnbull报告和 “ 银行组织内部控制系统框架 (FICSB0)” 也采用了

4、 C0S0的内部控制观点 3而 C丨 CAL (丨 995 ) 认为， “ 控制 ” 一词比传统的内部控制具有更为广泛的含义，控 制是一个组织中诸要素的集合体，包括资源、制度、过程、文化、 结构和任务，这些要素结合在一起，支持该组织实现其目标（包 含经营的效果和效率，内部和对外报告的可靠 性，适用的法律、 法规及内部政策的遵循性，使命、愿景和战略目标）。按照施控 主体分，控制可分为内部控制和外部控制 ,CICA的 “ 控制 ” 是一 个组织中支持该组织实现其目标诸要素的集合体，实质上就是 “ 内部控制 ” ，或者说 ,是用 “ 控制 ” 一词表达了 “ 内部控制 ” 的 概念。 CICA发展了

5、 C0S0的内部控制观点，增加了目标设定、战 略计划、对机会的管理等实质上 ,CICA的 “ 控制 ” 就是对风险 和机会的管理，对可能带来有利或不利结果的事项的管理， “ 控 制 ” 一词变成了 组织风险管理 ” 的同义词，比 COSO的 “ 内部 控制 ” 外延更广，既是一份内部控制框架，又是一份组织风险管 理框架 ,这标志着内部控制概念的发展步入组织风险管理阶段。 2004年， C0S0发布了组织风险管理综合框架（适用于各类 组织和活动，翻译成组织风险管理框架更适当 ）， 企业可以 借助新框架来满足内部控制和综合风险管理的需要。新框架也 是内部控制与风险管理融合发展的产物。 关于风险及其

6、管理的概念 ,CICA将风险定义为 “ 一个事件 或环境带来不利后果的可能性 ” ，将机会定义为 “ 一个事件或环 境带来有利结果的可能性 ” 。 C0S0认为，风险是对目标的实现产 生负 面影响的事项发生的可能性；机会是对目标的实现产生正 面影响的事项发生的可能性；组织风险管理是一个由组织的董 事会、管理当局及其他员工实施的识别影响该组织的潜在事件， 并在该组织的风险偏好范围内管理风险，为组织目标 （ 包括战 略、经营、报告、合规四类目标）的实现提供合理保证的过程，应 用于组织的战略制定，贯穿整个组织的所有层级和单位。加拿大 Privy Council Offife认为，风险是不利事件或不需

7、要事件发生的 可能性及该事件发生后果严重性的函数。澳大利亚股票交易所 和 Basel Committee on Banking Supervision 也是从 一 个事项的负面 影响来定义风险及其管理的。风险的负面影响（如投资损失 ） 尤 为突出，从一个事项的负面影响来定义风险反映了这一现实。但 是，若将风险过窄地限定为 “ 对目标的实现产生负面影响的事项 发生的可能性 ” 、风险管理只关注可能带来负面影响的事件，那 么将可能会导致不能充分利用机会。 风险概念在不断演化，其外延在不断扩大。英国 1RM、 AIRMIC和 ALARM三家主要的风险管理组织认为，越来越多的 人们认识到风险管理与风险

8、的正面及负面影响相关，因此， AIRMIC/IRM/ALARM风险管理准则 （ 2002 )就从风险的正面和 负面影响两个方面来看待风险，并采用了国际标准组织 （ ISO) 2002年发布的 ISO/IEC Guide 73中风险的定义 “ 风险是指一个事 件发生的可能性及其结果（包括有利或不利的结果）的结合 ” ，还 公 4此，理财版 2006年第 10期 指出，风险管理是一个过程，各种组织借助于这个过程有条理 地处理与其活动相联系的各种风险，目标是实现该组织的可持 续利益，这一过程贯穿于每一项活动中，并应用风险组 合管理 的方法。ANZ风险管理准则将风险定义为 “ 影响一个组织目标 实现的

9、事件发生的可能性 ” ，指出 “ 风险可能带来正面影响或 负面影响 ” ，并将 “ 风险管理 ” 定义为 “ 在管理风险的不利影响 时，旨在实现潜在收益的艺术、过程和系统 ，应用于潜在收益 和潜在损失的管理。AICPA/CICA( 2000)采用了 ANZ风险管 理准则中风险和风险管理的概念。国际内部审计师协会 （ I- IA )、南非 Kingll Report也是从一个事项可能带来的正面和负 面影响来定义风险及其管理的。AIRMIC/IRMMLARM和 ANZ 风险管理框架中的风险包含机会， COCO和 C0S0风险管理框 架中的风险不包含机会，但是其风险管理框架均包括对风险和 机会的管理

10、。 三、 内部控制与风险管理之间的关系 国外对内部控制与风险管理关系的认识，代表性的观点主 要有三种： 一种观点认为，风险管理包含内部控制。 C0S0 ( 2004 )明确 指出：组织风险管理包含内部控制；内部控制是组织风险管理不 可分割的一部分；内部控制是管理风险的一种方式，组织风险管 理比内部控制范围广得多。 Tumhull委员会 （ 2005 )认为，风险管 理对企业目标的实现具有重要 意义，公司的内部控制系统在风 险管理中扮演关键角色，内部控制应当被管理者看作是范围更 广的风险管理的必要组成部分。南非 King II Report ( 2002 )认为， 传统的内部控制系统不能管理许多

11、风险，例如政治风险、技术风 险和法律风险，风险管理将内部控制作为减轻和控制风险的一种 措施，是一个比内部控制更为复杂的过程。英国内部审计师协会 (1999 ) Campion,Anita ( 2000 ) ,Genit Sarens, Ignace De Beelde ( 2005 ), ASE( 2006 )也明确提出风险管理包含内部控制的观点。 另一种观点认为，内部控制包含风险管理。按照施控主体 分 ,控制可分为内部控制和外部控制。 COCO报告 （ CICA, 1995 ) 认为，“ 控制 ” 是一个组织中支持该组织实现其目标诸要素的集 合体，实质上就是 “ 内部控制 ” ，风险评估和风

12、险管理是控制的 关键要素。 CICA( 1998 )将风险定义为 “ 一个事件或环境带来不 利后果的可能性 ” ，阐明了风险管理与控制的关系： 当您在抓 住机会和管理风险时，您也正在实施控制。 ” 第三种观点认为，内部控制就是风险管理 。 Blackburn (1999 )认为 “ 风险管理与内部控制仅是人为的分离，而在现实 的商业行为中，它们是一体化的 ” 。 Laura F. Spira等 （ 2003 )分析 了内部控制是怎样变为风险管理的。 MatthewLeitch( 2004、 2006 ) 认为，理论上，风险管理系统与内部控制系统没有差异，这两个 概念外延变得越来越广，正在变为同

13、一事物。 四、 内部控制系统与风险管理系统的构成 从 Cadbury报告 （ 1992 )起，内部控制被明确界定为一个系 统。关于内部控制系统的组成， C0S0 ( 1994 )认为，内部控制包括 控制环境、风险评估、控制活动、信息与沟通、监控五个要素 ;CI- CA ( 1995 )认为，控制是资源、制度、过程、文化、结构和任务这些 要素组成的整体 ;Turnbull委员会 （ 2005 )指出，内部控制系统包 含政策、过程、任务、行为和其他要素，但是，没有给出内部控制 系统所有可能的要素 ； Basel Committed 1998 )指出，内部控制由 监督和控制文化、风险识别和评估、控制

14、活动与职责分离、信息 与沟通及监控与纠正缺陷五个相互联系的要素组成。上述组织 对内部控制系统组成的认识 各不相同，原因在于：对内部控制系 统进行不同的分解会得到不同的要素，而且系统要素的选择通 常带有很大的主观性。 关于风险管理系统的组成， C0S0 ( 2004 )认为，组织风险管 理由内部环境、目标设定、事项识別、风险评估、风险应对、控制 活动、信息与沟通及监控八个相互关联的要素构成； AIRM1C/ IRM/ALARM 2002风险管理准则认为，风险管理由风险评估 风 险报告与沟通、风险处理、监督与审查组成，其中，风险评估又分 为风险分析和风险评价，风险分析包括风险识别、风险描述和风 险

15、估算； ANZ风险管理准则 （ 2004 )认为，风险管理包括沟通与 咨询、风险管理环境建设、风险识别、风险分析、风险评估、风险 处理和风险监控； ICAEW( 2005 )认为，风险管理包括建立企业 框架、风险识别、风险计量、风险处理、风险报告和风险监控 ;iso (2002 )认为，风险管理是指风险识别、分析、评估、处理（控 制 ） 、监控、审查与沟通； AICPA/CICA(2000)指出，风险管理包 括风险管理环境建设，风险识别，风险分析与评估，风险管理战 略设计，整合与执行风险管理 ,i十量、监控与报告。不同的风险管理 框架描 述的风险管理系统不同，但是，风险管理一般都包含风险识 別

16、、风险评估、风险处理、信息沟通和对风险管理过程的监控等基 本步骤。 五、内部控制与风险管理的发展趋势 2世纪 90年代，绝大多数公司仍然只关注主要金融风险和 可保风险的管理，全面风险管理的思想还是一个相当新的事物。 近年来， “ 风险 ” 概念已成为公司治理的核心并与内部控制相联 系，许多组织以一种比过去更加综合的方式看待他们所面临的 全部风险，正超越内部控制从整个组织范围的视角管理风险 (C0S0,2 04 )，“ 综合风险管理 ” 和 “ 组织风险管理 ” 反映了一 个 组织管理所有风险的意图，开始为更多人所接受 。 The Joim F rum( 2003 )提出了风险管理的两大发展趋势

17、：一是更加强调 公司范围内的综合风险管理；二是运用风险数学模型汇总各种 风险，量化总风险。 内部控制与风险管理起源不同，但内部控制发展史表明，内 部控制的发展已进人组织风险管理阶段，内部控制与风险管理 融合发展的趋势已显露无疑。 企业现金内部控制的评价 湖 北 武 汉 市 黄 陂 区 粮 食 购 销 总 公 司 邹 翔 丁 国 乔 现金是企业流动性最强的资产，加强现金管理对于保护企 业资产安全完整、维护经济秩序具有重要的意义。在良好的现金 内部控制下，企业的现金收支记录及时、准确、完整，现金支出严 格按批准的用途使用，现金保管安全。一般而论， a好的现金内 部控制应做到以下几点： （ 1 )现

18、金收支与记账岗位分离。 （ 2 )现 金收人、支出要有合理、合法的凭据。 （ 3 )现金收人要及时准确 人账，并且支出要有核准手续。 （ 4)严格控制现金坐支，现金收 人应及时送存银行。 （ 5)按月盘点现金 ,做到账实相符 ， （ 6)加 强对现金收支业务的内部审计。审计人员在对企业进行审计时， 要充分了解与评价企业的现金 内部控制。 (一） 了解并初步评价企业的现金内部控制一般地， r解 企业现金内部控制时 ，审计 人员应当注意检査企业的现金内部 控制制度是否建立并严格执行，如现金的收支是否按规定的程 序和权限办理，是否存在与本单位经营无关的款项收支，是否存 在出租、出借锒行账户的情况，出

19、纳与会计的职责是否严格分 离，现金是否进行妥善保管、定期盘点与核对等审计人 M应在 了解企业的现金内部控制，并对其固有风险进行初步评价的基 础上，评价其现金内部控制是否存在、是否值得位赖 ，并 决定足 否有必要进行控制程序测试。 (二） 抽取并检查收款凭证 、如果现金收款内部控制不强， 则很可能会发生贪污、舞弊或挪用等行为。如在一个企业中，出 纳人员同时记应收账款明细账，就很可能发生现金循环使用的 情况 3为测试现金收款的内部控制，审计人员应按现金的收款凭 证分类，选取适当的样本量作如下检査 ：（ 1 )核对现金 UiLi账的 收人金额是否正确。（ 2)核对收款凭证与应收账款明细账的冇 关记录

20、是否相符。 （ 3 )核对实收金额与销货发票是否一致等。 (三） 抽取并检査付款凭证 u为测试现金付款内部控制，审 计人员应按照现金付款凭证分类，选取适当的样本 M作如下检 査 ： U )付款的授权批准手段是否符合规定。 （ 2 )现金 13记账的 付出金额是否正确。 （ 3)付款凭证与应付账款明细账的记录是 否一致。 （ 4)实付金额与购货发票是否相符等。 ( 四） 抽取一定期间的现金日记账与总账核对 。审计人员应 抽取一定期间的现金日记账，检査其有无计算错误，加总是否正 确无误，与总分类账是否一致。 (五） 检查外币现金的折算方法是否符合有关规定，是否与 上年度一致 。对有外币现金业务的企

21、业，审计人员应检查外币现 金日记账及 “ 财务费用 ” 、 “ 在建工程 ” 等账户的记录，确定企业 有关外 币现金的 增减变动是否按业务发生时的市场汇率或业务 发生肖期期初的市场汇率折合为记账本位币，选用方法是否前后 期保持一致 ;检查企业的外币现金余额是否按期末市场汇率折合 为丨己账本位币金额，有关汇兑损益的计算和记录是否正确。 (六） 进一步评价企业的现金内部控制 3审计人员对拟信赖 的现金内部控制在完成上述审计程序之后，即可对企业的现金 内部控制进行评价。评价时，审计人员应首先确定现金内部控制 可依赖的程度以及存在的薄弱环节和缺点，然后据以确定在现 金实质性测试中，对哪些环节可以适当减

22、少审计程序，哪些环节 应增加审计程序 ，作重点检査，以减少审计风险。 (七） 现金内部控制的实质性测试。 （ 1 )核对现金日记账与 总账的余额是否相符。 （ 2 盘点库存现金。 （ 3)抽查大额现金收 支。（ 4)检査现金收支的截止日期是否正确。 （ 5)检查外币现金 的拍片是否正确。 （ 6 )检查现金是否在资产负债表上恰当披露。 (八） 终评企业的现金内部控制 。审计人员在终结审计前， 应根据实质性测试的结果和其他审计证据，对企业内部现金控 制进行最终评价，并检查其是否与初步评价相一致。如果不一 致，应当考虑追回相应的审计程序。 参考文献： 注会全国统考辅导教材编委会：审计，中国财政经济出 版社 2006年版。 ( 编 辑 周 华 ） 參考文献： 1 陈汉文、黄京箐：审计学，辽宁人民出版社 2003年 版 : 2 陈忠阳：金融风险分析与管理研究，中国人民大学 出版社 2001年版 3 李凤鸣：内部控制学，北京大学出版社 2 2年版。 4美国注册会计师协会、加拿大特许会计师协会：新经 济中的风险管理，美国注册会计师协会网站 2000年。 5 国际内部审计师协会：内部审计在企止风险管理中的 角色，国际内部审计师协会网站 2004年。 ( 编辑周华）