风险基础内部控制评价体系构建
时间:2022-09-12 08:20:23
摘 要:从内部控制评价发展的趋势来看,内部控制评价基本上都趋向于采用风险基础评价方法,而我国对内部控制风险基础评价方法应用不足。因此,将以评估影响内部控制目标实现的风险因素为起点,构建与组织目标相匹配的内部控制评价体系,评价影响目标实现的“风险与应对”有效性,分析研究内部控制缺陷,提出改进意见,以促进内部控制,合理保证组织目标的实现。
关键字:风险导向;内部控制;有效性;评价
中图分类号:F272 文献标志码:A 文章编号:1673-291X(2016)26-0108-03
引言
巴塞尔银行监管委员会(Basle Committee on Banking Supervision)在对20世纪90年代以来的系列银行破产案例作了深入调查之后得出结论,认为著名商业银行发生资金风险案件的原因,除了内部控制失效外,很难再找到其他因素了。如2008年兴业银行的期货交易欺诈案,一位从事普通股指期货对冲的交易员,闯过5道操作权限划分严密的银行审核系统关卡,获取使用巨额资金的权限,虚构交易一年多而没有被发现,使得法国兴业银行的内部控制成为众矢之的。无独有偶,我国近几年金融机构风险案件也多发、频发。如2016年1月农行爆发的39.15亿元巨额票据案,按规定应保存在银行保险柜的汇票被农行员工与票据中介内外勾结,提前取出套取资金非法流入股市;但由于股市下跌,巨额资金缺口导致票据到期无法兑付,而保险柜中的票据被换成了报纸,并且票据进出未建立台账。因此,在风险控制流程严密、监控系统发达、工作权限级别森严的金融机构出现风险案件频发,使我们禁不住对自己的内部控制体系是否有效产生疑虑。所以,在风险空前险恶的当今,评价组织应对风险的内部控制是否有效是至关重要的。笔者将以评估影响内部控制目标实现的风险因素为起点,构建与组织目标相匹配的内部控制评价体系,对影响组织目标实现的“风险与应对”的有效性进行评价,研究分析内部控制缺陷,提出改进意见,以合理保证组织目标的实现。
一、内部控制评价发展状况
目前,内部控制评价主要采取详细评价法和风险基础评价法两种方法。详细评价法以控制目标是否实现以及实现程度为出发点,对内部控制的完整性、合理性及有效性发表意见。即以内部控制框架为标准,对内部控制架构成要素是否存在进行判定,评价内部控制设计的有效性;根据内部控制现有业务流程和操作制度,测试控制是否按照规定的程序得到了执行,评价内部控制运行的有效性。这种方法的特点是从控制到风险,即从内部控制到相关目标实现的风险,忽视了内部控制本身的缺陷以及风险的不确性等因素,比较适合于内部控制的建立和保持。风险基础评价法以影响组织目标实现的风险为基础,首先,对影响组织相关目标实现的风险进行识别和确定;其次,判定应对目标风险所必需的控制是否存在、合理,即评价控制目标风险的应对措施设计的有效性;再次,对应对风险的控制措施运行的有效性进行评估,评价现有的控制措施是否得到了有效的运行;最后,研究分析控制措施的缺陷,判断内部控制是否存在实质性漏洞。这种方法的特点是从风险到控制,即从内部控制相关目标实现的风险到内部控制,充分体现了以风险为基础的理念。
从目前的现状以及未来国际发展趋势来看,内部控制评价基本上都趋向于采用风险基础评价方法。从2007年开始,美国证券交易委员会的管理层报告内部控制指南(SEC,2007)和公共公司会计监督委员会的内部控制审计准则(PCAOB,2007)就采用了风险基础评价方法。这一方法在英国、加拿大、日本等国的上市公司的内部控制年度评价也得到应用。我国2010年颁布的《企业内部控制评价指引》要求企业围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等五要素对内部控制设计与运行情况进行自我评估,属于详细评价法,但目前对风险基础评价法应用不足。
二、风险基础内部控制评价体系设计
由于风险管理已成为组织治理和管理的关键所在,所以对作为风险管理重要组成部分的内部控制进行评价时,应该充分体现风险管理理念。风险基础评价法就是以评估控制目标实现的风险为起点,关注重大风险,仅评价充分应对风险的控制,根据风险发生的可能性和对目标的影响程度确定评价的重点业务单元、重要业务领域或业务流程环节等范围获取证据,判断内部控制有效与否也是以风险为基础,根据内部控制是否合理保证了可能发现或防止了重要风险得出评价结论,将风险管理理念贯穿始终。故结合风险管理理念和内部控制风险基础评价法,构建以风险为基础的内部控制评价程序图(图1)。
图1 风险基础内部控制评价程序图
(一)设定相关目标
由于组织在不同时期、发展阶段所面临的风险因素是不同的,内部控制需要规避的风险自然也是不一样的,组织应当动态设定不同发展时期内部控制的目标重心。在具体设定内部控制目标时,应当根据组织内部权责结构进行设计和划分层次,将组织各层级目标与各风险c相匹配,不仅要强调组织内部控制总体目标,而且还要明确各管理层级的内部控制子目标。相关各目标的设定是内部控制评价的出发点,因此,是否实现了其目标是内部控制评价的落脚点尤为重要。所以,内部控制评价应该从内部控制为相关目标实现提供合理保证水平的目标出发,对控制的设计和运行的有效性进行评价,判断内部控制所规定的目标是否实现。COSO委员会在《企业风险管理控制框架》将内部控制目标界定为四类:战略目标、经营目标、报告目标以及合规目标,满足了不同评价主体的需求。如监管部门在推动实施内部控制评价时,其目标可能更多关注于内部控制对于信息提供和披露方面所达到的报告目标和合规目标;而组织自身进行的内部控制评价时,其目标就不仅局限于报告目标和合规目标,而更多注重内部控制是否有助于组织战略目标的实现和实现企业经营的效果和效率,是否达到战略目标和经营目标实现的合理保证水平。
(二)评估相关目标实现的风险点
首先,识别和分析影响相关目标实现可能发生的风险,确定重要风险点。将重要风险点对应的控制点作为评价内部控制有效性的指标。其次,参考重要风险点发生的可能性、影响等因素确定对应控制点的权重值。权重赋值一般有层次分析法、专家评分法、专家模糊排序法、对数排序法和集值统计法等方法。由于同一指标对不同组织的影响程度不同,组织可以根据自身的特点和应对风险的能力、偏好等灵活确定,以保证指标权重的适用性和恰当性。设每个重要风险点对应的控制目标集P=(P1,P2,…,Pi,…,Pn ),相应的权重集为W=(W1,W2,…,Wi,…,Wn ),其中:P是该项业务内部控制评价的总目标,Pi代表子目标(即一级指标),Wi表示指标Pi在P中的比重, 。设子目标的因素集pi=(pi1,pi2,pi3,…,pij),相应的权重集为wi=(wi1,wi2,wi3,…,wij),i,j=(1,2,...,n),其中,wi表示pij在Pi中的比重, 。
(三)评价应对风险的内部控制
对上述确定的内部控制评价指标一一评价相对应的控制的有效性。首先,构造评语集。设V=(V1,V2,…,V i,…,Vn)是一个评价集合,表示指标因素由优到差的各级评语。通常评语设为“优”、“良”、“中”、“差”四个等级。本文设n=4,V=(V1,V2,V3,V4)分别表示评语为“优”、“良”、“中”、“差”,其中:V1~V4∈[0,1],各评语的值可参考0.9≤V1≤1,0.7≤V2
(四)评价结果
根据组织内部控制目标层次结构图,对每一个层级的各子目标的因素进行加总,然后将对各个子因素的评价综合成对主因素的评价。由于组织目标的实现除了受自身因素的影响外,还要受到众多外部因素的影响,并不总是处在组织的内部控制范围内,因此,有效的内部控制为组织目标的实现只能提供合理的保证,而不是绝对的保证。评价内部控制有效性的实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。设内部控制保证水平为Pi,变动范围应当是从0%―100%,根据组织接受风险的态度确定内部控制合理保证水平为P0,则[P0,1]为有效的内部控制区间,[0,P0]为无效的内部控制区间,如图2所示。
图2 内部控制有效性的变动范围
1.子目标评价结果:
Pi= pij wij
其中:pij=vivj,表示子目标集中每个因素的评价得分。
2.总目标评价结果:
P=
如果内部控制评价结果P∈[P0,1]区间,表示内部控制是有效的,说明内部控制为相关目标的实现提供的保证水平达到甚至超过了合理保证水平;反之,则表示内部控制是无效的,说明不能为相关目标的实现提供合理的保证水平。
结语
风险基础内部控制评价体系以影响组织相关目标实现的风险为起点,关注重要风险,仅对充分应对风险的控制进行评价,揭示内部控制实质性漏洞,促使组织有的放矢地建立健全内部控制体系,充分应对可能面临的风险,使内部控制更具动态性和适用性,提高评价的效率和成本效益。风险基础内部控制评价体系既适合对内部控制整体进行评价,也适合单项内部控制评价,同时可以根据组织的行业特点、风险偏好、风险承受能力等特定情况,来确定各评价指标和权重,具有更广泛的灵活性和适用性。
参考文献:
[1] 张先治,戴文涛.中国企业内部控制评价系y研究[J].审计研究,2011,(1):69-78.
[2] 郭庆平.人民银行内审工作转型与发展探索[M].北京:中国金融出版社,2011.
[3] 刘玉廷.全面提升企业经营管理水平的重要举措――《企业内部控制基本规范》解读[J].会计研究,2010,(5):3-16.
[4] 南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式[J].会计研究,2010,(6):51-61.
[5] 陈汉文,张宜霞.企业内部控制的有效性及其评价方法[J].审计研究,2008,(3):11-54.
[6] 杨爱群.风险导向内部审计在企业风险管理中的应用探讨[J].商场现代化,2007,(2):163-165.
