內部環境及風險評估設計實務
內部環境設計概念在理論界并沒有權威說法。筆者認為,內部環境設計就是確定內部環境組成要素的過程。事實上,縱觀國內外文獻資料中關于內部環境是什么的表述,仍有因素、基礎、總稱、基調、支撐等多種觀點。筆者認為,內部環境作為內部控制的基礎,可作為影響風險因素的重要內容來設計,并不一定要把內部環境作為內部控制的一個獨立要素來考慮。
內部環境是企業實施內部控制的基礎或前提條件。內部環境對內部控制的建立和實施起著非常重要的作用,對實現控制目標具有重要意義。正如科索委員會(COSO)《內部控制—整合框架》認為的,控制環境對組織企業活動、確立目標和評估風險的方式有著廣泛的影響,同時它還會影響控制活動、信息與溝通系統和監控活動。
如果沒有相對完善的內部環境,不論其他要素質量如何,都不可能形成有效的內部控制。事實上,內部控制環境是所有控制方式與方法賴以存在與運行的環境,它的設計與運作,不僅對整體目標而且對整個內部控制其他組成要素都會產生重大影響。如果內部環境不好,一方面,企業很難建立完善的內部控制;另一方面,即使建立了健全的內部控制,也無法得到有效的執行。
內部環境要素設計
理論界與實務界對內部環境組成要素的認識不完全一致。內部環境的具體要素也因企業主體的不同而不同。一般而言,內部控制的內部環境從企業主體上可分為相互聯系和相互區別的治理層環境和管理層環境兩個層次。這種劃分比較適應內部控制的兩個層次:治理層對管理層(經營層)控制和管理層對生產經營過程控制。
企業主體的環境因素很多。如果把內部環境界定為內部控制的基礎,那企業主體實施內部控制的基礎到底是什么,至少應包括內部組織、政策制度、硬件和信息系統、思想意識和誠信與道德價值觀等具體要素。
組織是實施內部控制的保證。當然,這里的組織不是主體的組織機構,而是從事內部控制工作的相關組織與人員。政策制度,良好的制度對內部控制運行有基礎性作用,內部控制是主體制度的重要組成部分,但不是全部。硬件和信息系統,這是實施內部控制的物質條件和手段。思想意識和誠信與道德價值觀,這永遠是基礎的基礎。
當然,影響內部控制的環境還有外部環境。外部環境是指影響主體內部控制體系建立與作用發揮的主體外部相關因素,包括政治環境、社會環境、法律環境、經濟環境、經營環境、自然環境、國際環境、其他環境等。
雖然理論界還可以探討內部環境構成要素,但筆者認為,在我國企業內部控制實踐中,關于內部控制內部環境主要要素的認識應該統一到《企業內部控制基本規范》要求上來:即,內部環境一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等等。考慮到《企業內部控制應用指引》將治理結構、機構設置及權責分配合并為組織架構,增加了發展戰略、社會責任兩個應用指引,內部審計應用指引還未頒布的實際情況,企業內部環境要素也可以按照組織架構、發展戰略、人力資源、社會責任、企業文化等來設計。這里特別需要強調的是,內部環境組成要素可以有無數個,每個要素還可以無限地分割下去。但筆者認為,這不應作為內部控制構建和實施的重點,重點在于內部環境相關業務的具體控制。
內部環境的組成要素因企業主體不同而不同,同時,內部環境的要素也是不斷變化的。事實上,要設計出適合本企業的內部環境要素是件非常不容易的事。簡單做法是按照《企業內部控制基本規范》要求,把內部環境確定為治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。當然,內部環境內部控制設計的重點是參考已頒布的組織架構、發展戰略、人力資源、社會責任、企業文化應用指引,對與內部環境相關控制的設計。
筆者認為,國內外內控規范中內部環境要素組成,可簡單整理成右側表一所示的要素組成對比表。
風險評估設計實務
筆者認為,風險評估審計就是確定風險評估的一般內容、程序和方法的過程,其中的技術性難題就是要確定風險評價標準。由于風險評估要與具體業務相結合,離開具體業務的風險評估是沒有現實意義的。因此,筆者認為,不需要花很大精力設計一般意義上的風險評估內部控制目標、控制措施等方面的內容。
風險評估內容設計
簡單說,風險評估內容就是評估風險發生的可能性和影響。可能性表示一個給定事項將會發生的概率,影響則代表它的后果。一般來說,對識別出來的風險,從可能性和影響兩個方面進行評估后,就可以根據評估的結果采取應對措施。當然,不論怎么細分,貫穿始終的是要從可能性和影響兩個方面進行評估。
基于風險管理的內部控制,主要是對固有風險和剩余風險進行評估,也就是既考慮固有風險,也考慮剩余風險。固有風險是在沒有采取任何措施改變風險的可能性或影響的情況下,主體所面臨的風險。剩余風險是在風險應對之后所殘余的風險。對剩余風險的評估是指對主體風險控制或日常的管理活動中采取應對措施之后的風險進行的評估。
從嚴格意義上來說,風險評估主要是對剩余風險的評估。因為作為一個主體不可能無任何管理、無任何防范風險的措施,只是有些是無意識地進行的。僅對風險應對之后殘余風險進行評估,就要樹立一個風險評估持續性和重復性的互動過程,不能將風險評估與一次性風險活動聯系起來。無論是對固有風險的評估還是對剩余風險的評估,始終不變的是要從可能性和影響兩個方面來進行。
風險評估程序設計
風險評估程序,是對風險進行有效評估的基本過程。一般認為,風險評估活動其實是一個輸入轉化為輸出的過程,它的具體工作步驟如右側圖一所示。
從風險評估的相對狹義定義看,其實施步驟可分為風險計價、風險分析、風險評價等階段。
風險計價。風險計價,是對主體面臨的各種風險進行量化的過程,是給風險定價的專門方法和措施。簡單說,就是風險的量化過程。當然,風險的量化,不能像會計工具主要量化“過去”,而主要是量化“未來”,過去只能是依據。
風險分析。風險分析,是風險評估的重要步驟,目的是為風險評價提供依據。風險分析并非只是理論上的,通常對企業的成功很重要。當它涵蓋了所有重大業務過程中的風險識別時,最為有效。
風險評價。風險評價,是在風險識別、風險計價、風險分析的基礎上對風險發生的可能性、影響程度等進行綜合評價的過程,是風險評估的重要環節,企業采取風險控制措施的直接依據。
風險評估措施設計
風險評估控制措施的設計一定要和具體的企業實際相結合,與風險評估管理相融合,嵌入到風險評估流程當中。風險評估總體方面的控制措施是重要的,但更主要的是要針對關鍵控制點采取具體的控制措施。風險評估的控制方法一般可以通過控制圖來進行。
根據《企業內部控制基本規范》的要求,企業應當采用定性與定量相結合的方法,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關注重點和優先控制的風險。企業進行風險分析,應當充分吸收專業人員,組成風險分析團隊,按照嚴格規范的程序開展工作,確保風險分析結果的準確性。
依據我國上市公司風險評估的控制實際,中天恒管理咨詢公司提出的風險分析與評價方面的控制措施包括:一是公司各部門,在內控項目組的統一組織下,對識別出的公司層面風險進行分析。二是根據公司層面風險分析的結果,內控項目組對公司層面風險進行評價。三是內控項目組根據風險評價結果,對公司層面風險重要程度進行判定。四是內控項目組根據公司層面風險重要程度的判定情況,繪制風險圖譜。五是內控項目組組織各部門和所屬單位,圍繞內控建設和管理要求,對各業務流程識別的風險進行分析與評價,綜合各項風險的影響程度和發生可能性,確定業務層面風險的重要性,補充完善業務層面風險數據庫。
