一、国外贷援款项目审计风险的概念及其后果
1、国外贷援款项目审计风险的概念
国家审计风险是指国家审计机关及审计人员由于受到某些不确定因素的影响,在履行审计监督法定职责的过程中,未能充分发现和揭示问题,因而发表了与客观事实不相符合的审计意见或做出不恰当的审计结论和决定,导致审计主体必须承担审计责任而遭受损失或不利的可能性。社会审计风险是指会计报表存在重大错误或漏报,而注册会计师审计后发表不恰当审计意见的可能性。我们通常把国外贷援款项目审计称之为公证审计,但学术界实际上并没有这种概念,因此也就没有对其审计风险给出明确统一的定义。国外贷援款项目审计既包含对项目财务报表的公证审计,又包含对项目经济活动的真实性、合法性、效益性等方面的审计;审计报告内容、形式与社会公证审计报告内容、形式基本相同,但又比社会公证审计报告多出一部分关键内容,即审计发现问题及建议,该内容体现了国家审计的特色。笔者认为国外贷援款项目审计就其审计内容以及审计报告的构成部分来看,既是国家审计,又是公证审计,兼具二者审计的特点。因此,我们可以这样定义或者理解国外贷援款项目审计风险的概念:既体现在由于受不确定因素的影响,导致审计人员未能充分发现问题、揭示问题方面,也体现在会计报表存在重大错误或漏报,而审计人员审计后发表了不恰当审计意见方面。从这个概念看,其审计风险范围更广,包含内容更多,风险也就更大,产生的后果也会更加严重。
2、国外贷援款项目审计风险所产生的后果
(1)影响中国审计机关及中国国家形象和声誉。在国外贷援款项目审计初期,世界银行等国际金融组织对由中国国家审计机关负责实施国外贷援款项目的审计工作是不信任的,甚至是排斥的。这种不信任的态度其实是完全可以理解的,毕竟,从世界银行等国际金融组织的角度来考虑,他们会认为这种审计是缺乏独立性、客观性和公证性的。事实上,我国审计机关在1999年以前对国外贷援款项目审计问题也没有完全做到内外合一。但自1999年以后,我国审计机关领导高瞻远瞩,坚持采取“内外合一、如实披露”的原则后,审计监督的力度进一步加大,审计工作质量不断得到提高,审计报告得到世界银行等国际金融组织的普遍认可和赞誉,中国审计机关的权威性也得到认可和提高,一些国际机构主动和中国审计机关接触,要求对其所支持项目进行审计。这种成绩是来之不易的,是相关领导和审计工作者辛勤努力的结果。但如果国外贷援款项目一旦发生审计风险,导致审计失败,必将对中国审计机关和审计人员的声誉造成沉重打击,甚至影响到中国政府的国际形象,世界银行等国际金融组织将会对我们所出具的报告表示怀疑和不信任。
(2)审计人员将面临审计责任追究。国家相关审计规定中对审计人员应承担责任的情形做出了明确规定,一些地方审计机关也制定了相应的审计责任追究办法,如山西省审计厅制定的《审计责任追究暂行办法(试行)》中对各级审计人员未尽到相应职责制定了不同的处罚措施。一旦发生审计风险,那么或多或少是因为审计人员未完全按照审计准则和审计程序的要求开展审计工作,或者是审计人员自身业务素质不高,导致未能充分发现和揭示问题或发表了不恰当审计意见,审计人员将很难逃脱相应的责任,难免会受到相应的处理处罚。一旦受到处理处罚,将对审计人员整个职业生涯产生重大不利影响,毕竟审计是以专业权威为根本的。
二、国外贷援款项目审计风险存在原因
1、审计项目的复杂性。首先,国外贷援款项目涉及到农业、环保、医疗卫生、水利、节能融资、铁路、机场、电力和林业等众多领域,审计这些领域需要较强的专业、技术知识。然而,这些审计项目主要是由各审计机关的外资审计部门负责审计,外资审计人员知识结构相对审计项目行业众多而言比较单一,当然审计人员的知识也不可能涵盖所有领域,一个主审往往负责较多不同行业项目的审计,这对审计风险的控制来说是非常不利的。其次,国外贷援款项目审计是一种比较综合性的审计,不仅仅是财务收支方面的审计,更多的还包含整个项目执行情况的审计。项目的整个执行情况所涵盖的内容非常之多,如项目的立项是否符合规定,项目单位内控是否健全,项目执行过程中的招投标是否规范,项目执行单位职责履行情况以及项目是否达到预定目标,是否发挥预定效益等。这种多环节、内容复杂的审计很难做到面面俱到,客观上容易产生审计“盲点”,形成审计风险。
2、公证审计方式的特殊性。由于受审计时间和审计资源等因素的限制,国外贷援款项目公证审计往往采取抽查的方式进行审计。这种抽查体现在两方面:一方面是当涉及到的财务收支资金量较大的时候,公证审计往往根据审计方案中确定的重要性水平和对审计风险的评估采取抽查一定比例的方式进行审计;另一方面,国外贷援款项目审计往往涉及到全国众多的项目执行单位,在每年的审计中只能覆盖一部分。如中国结核病控制项目涉及到全国16个省的1400多个县,在每年的审计中只能抽取一定比例的项目执行单位进行审计。虽然是以抽查方式进行的审计,但是我们在发表审计意见的时候却是对项目的整个会计报表及项目执行情况发表审计意见,这必然就会存在潜在的审计风险。
3、审计任务集中。国外贷援款项目审计大部分要求在6月30日之前出具中英文审计报告,项目单位一般3月份左右才能结账并编制完相应会计报表,审计人员进行现场审计的时间一般都在3月底4月初,审计时间加出具中英文报告时间也就不到三个月。而且,国外贷援款项目实施地点往往都比较分散,点多面广,审计人员不得不在路途上耗费相当多的宝贵时间。而且大部分审计机关外资审计人员相对缺乏,因此在审计中还不得不大量借用会计师事务所人员,相当一部分项目所借用会计师事务所人员的数量都超过审计机关自身外资审计人员数量。然而,会计师事务所审计人员对国外贷援款项目审计业务相对陌生,其审计方式、审计思维都有一定局限性,其发现问题的能力也严重不足。过多依靠事务所人员进行审计,必然会影响到项目审计质量,留下审计风险。
4、世界银行等国际金融组织对项目的管理方式导致审计风险容易暴露。审计风险如果没有最终暴露出来,从某种意义上说其就不构成风险威胁。审计风险一是随着时间的推移自然被暴露出来,二是被举报或有关人员检查发现后暴露出来。世界银行等国际金融组织一般都对国外贷援款项目的审计报告进行相应的检查评估,有的项目还聘请相应的专家组对所提交的审计报告进行认真检查,甚至进行再核实。另外,世界银行等国际金融组织也会有相应的财务专家和采购专家等对项目情况进行定期的检查,检查中完全可能发现审计人员没有发现的问题。世界银行这种管理方式决定了国外贷援款项目审计面临的审计风险更大、更容易暴露。
三、国外贷援款项目审计风险的防范控制 1、 强化审计风险意识。由于国外贷援款项目审计是一项涉外的工作,不能有半点马虎,也不能出差错。但在实际工作中,有的领导和外资审计人员缺乏风险意识,同时由于审计机关考核机制等原因,国外贷援款项目审计在一些审计机关不受重视,审计人员工作积极性也不够高,有的项目投入时间和力量不够。如某审计机关在审计一个资金量非常大的世界银行贷款项目时,结果仅两三名审计人员花了一周时间就完成了审计;还有一些审计机关所提交的审计报告基本的数字都存在错误,报表勾稽关系不正确,一些内容甚至前后矛盾。这些都是缺乏风险意识的表现,外资审计人员和领导应该加强风险意识,做到不出审计风险问题;同时调整对外资审计处室、人员的考核机制,使其能积极认真的进行外资审计工作,有效降低审计风险。
2、规范审计程序。国外贷援款项目审计具有公证审计的一面,和社会审计有相似之处,即拥有自己一套较完善的审计程序《世界银行贷款项目审计操作指南》及各种国外贷援款项目审计相关规范,其中尤其是《世界银行贷款项目审计操作指南》对贷款审计从审前准备阶段开始到最终审计报告的出具等阶段应该履行的审计程序都做出了详细的规定。如果审计人员按照相应的审计程序及规定进行审计,则一定能有效地降低审计风险,同时也可以适当减轻审计人员责任,毕竟审计人员已经认真的履行了审计程序,尽职地开展了工作。当然审计人员还应该结合项目实际情况,灵活创造性地实施审计程序,如根据审计调查的情况,有重点地细化审计程序,以发现揭露问题为目标,而非机械照搬。
[关键词] 内部审计风险控制
内部审计风险是指反映被审计单位及其经济活动事项的会计资料存在严重的错报、漏报,或者内部控制存在严重的漏洞、缺陷,或者存在重大舞弊事项,内部审计人员经过审计未能发现,发表了不正确或不恰当审计意见的可能性。
一、内部审计风险的产生及其特点
现代审计是以“风险导向审计”为特征的。审计风险既是决定审计质量的关键因素,也是分配审计资源的先决条件。一般认为,广义的内部审计风险包括审计职业风险和审计工作风险。前者是指对内部审计职业界的发展产生不利影响的因素与环境总和;后者是内部审计主体对企业经营管理活动实施审计时,由于不确定因素影响或者由于审计人员能力所限,做出不恰当的审计判断或是对存在的错弊未予揭示,从而造成企业遭受损失的可能性。现代企业制度的显著特征是权责明确,这不仅体现在企业所有者与经营者之间,而且更多地体现在企业内部各职能部门和员工的多层次、多环节之间,从而形成分权管理、分级负责的管理体制和受托经济责任关系。内部审计以相对独立的第三者身份界乎其间,起着对受托经济责任履行情况监督与评价作用。这样,企业所有者对聘任经理,以及经理对所属各职能管理部门的经营行为监督和业绩评价,就由各级内部审计机构来完成。如果内部审计人员对接受的审计项目所采用的审计程序和方法不当,未能发现重大错弊或出具的审计结论失误,从而产生不良后果,这就是内部审计风险。因而,企业内部受托经济责任的存在,内部审计风险也就成为必然。
与外部审计相比,内部审计风险具有自身的特点。
1、内部审计的目的在于提高企业的经营效益具有与企业相一致的目标。作为企业组织的构成之一,内部审计的利益与企业整体利益紧密联系,因此内部审计风险与企业为达到经营目标所面临的风险具有一致性。
2、内部审计风险范围的扩大化。社会审计接受委托,其风险仅限于约定的审计项目。而内部审计根据管理的需要,凡属企业经营行为,都可以成为审计对象,一旦未能揭示其中的错弊,都会产生审计风险。
3、内部审计对审计项目不具有选择性。社会审计在接受委托之前,可以通过对被审计单位基本情况的了解,实施符合性测试程序,对审计风险作出评估,当预计的风险水平高于可接受的风险水平时,可以拒绝接受委托。而内部审计只有通过不断提高审计质量,改善内部管理,努力降低审计风险,而不能拒绝审计。
内部审计与外部审计相比,也有其自身的优势。由于内部审计根植于企业之中,对企业内部控制的薄弱环节了如指掌,最知道企业深层次的问题,他们在审计中能抓住重点,切准要害,因而针对性强。内部审计以其独有的信息在企业内开展审计工作,为企业管理高层服务,为决策捉供参考,为企业生产经营和发展服务,在这方面,外部审计是无法替代的。
二、内部审计风险的控制
1、加大对审计计划的控制。内部审计机构应当制定年度审计工作计划,并报送本单位负责人批准后执行。编制年度审计工作时,应注重计划的可行性,要留有余地,合理安排,对暂时无力承担的审计项目,在安排计划时要量力而行,防止出现审计风险。
2、加强对审计作业的控制。必须制定全面、科学、合理的审计工作方案,对被审计单位的情况进行了解,对其内部控制制度、经营管理、经济效益、财务管理及以往审计中发现的问题等情况进行分析,对审计风险进行评估。内部审计是根据领导批准的审计工作计划,无选择地按计划进行审计。为加强内部管理,特别是对下属公司的管理,往往将审计风险大的单位作为审计重点,以期通过审计促进其改进管理,提高管理水平。因此,内部审计人员在评估审计风险基础上,对产生审计风险可能性大的单位,在确定主审人选,投入审计力量,审计时间安排等方面要予以周密安排,最大限度地减少审计风险。
3、加强对审计取证的控制。审计过程中的大量工作是获取审计证据,用以证实或否定被审计单位经济活动的真实性、合法性和效益性,为形成审计意见提供依据。所以,高质量的审计证据可以避免或减轻审计风险责任。审计证据的收集可以从实物证据、书面证据、口头证据和环境证据等方面入手。审计证据的质量应注意其充分性和适当性。充分性要求审计人员形成的审计意见要有足够的审计证据来支持,但并非是数量越多越好。对于审计风险大的项目(如内控薄弱、业务复杂的项目)、重要的项目(如离任责任审计、预算执行审计)、审计过程中发现有重大违纪问题的项目等,需要的审计证据数量就应多些;一般审计项目,可以所需的最低数量为限。适当性要求审计证据应与审计意见相关联,能如实反映客观事实,注意分清真伪,排除伪证。
怎样写可行性研究报告
可行性研究报告是从事一种经济活动(投资)之前,双方要从经济、技术、生产、供销直到社会各种环境、法律等各种因素进行具体调查、研究、分析,确定有利和不利的因素、项目是否可行,估计成功率大小、经济效益和社会效果程度,为决策者和主管机关审批的上报文件。
可行性研究是确定建设项目前具有决定性意义的工作,是在投资决策之前,对拟建项目进行全面技术经济分析的科学论证,在投资管理中,可行性研究是指对拟建项目有关的自然、社会、经济、技术等进行调研、分析比较以及预测建成后的社会经济效益。在此基础上,综合论证项目建设的必要性,财务的盈利性,经济上的合理性,技术上的先进性和适应性以及建设条件的可能性和可行性,从而为投资决策提供科学依据。 可行性研究报告分为政府审批核准用可行性研究报告和融资用可行性研究报告。审批核准用的可行性研究报告侧重关注项目的社会经济效益和影响;融资用报告侧重关注项目在经济上是否可行。具体概括为:政府立项审批,产业扶持,银行贷款,融资投资、投资建设、境外投资、上市融资、中外合作、股份合作、组建公司、征用土地、申请高新技术企业等各类可行性报告。
可行性研究报告框架基本
1
(一)基本情况:中外合资经营企业名称、法定地址、宗旨、经营范围和规模;合营各方名称、注册国家、法定地址和法定代表人姓名、职务、国籍;企业总投资、注册资本股本额(自有资金额、合营各方出资比例、出资方式、股本交纳期限);合营期限、合营方利润分配及亏损分担比例;项目建议书的审批文件;可行性研究报告的负责人名单;可行性研究报告的概况、结论、问题和建议。
2
(二)产品生产安排及其依据。要说明国内外市场需求情况和市场预测的情况,以及国内外目前已有的和在建的生产装备能力。
3
(三)物料供应安排(包括能源和交通运输)及其依据。
4
(四)项目地址选择及其依据。
5
(五)技术装备和工艺过程的选择及其依据(包括国内外设备分批交货的安排)。
6
(六)生产组织安排(包括职工总数、构成、来源和经营管理)及其依据。
7
(七)环境污染治理和劳动安全保护、卫生设施及其依据。
8
(八)建设方式、建设进度安排及其依据。
9
(九)资金筹措及其依据(包括厂房、设备入股计算的依据)。
10
(十)外汇收支安排及其依据。
11
(十一)综合分析(包括经济、技术、财务和法律方面的分析)。要采用动态法和风险法(或敏感度分析法)等方法分析项目效益和外汇收支等情况。
12
(十二)必要的附件。如合营各方的营业执照副本;法定代表人证明书;合营各方的资产、经营情况资料;上级主管部门的意见。
可行性研究报告的主要侧重点
各类投资项目可行性研究的内容及侧重点因行业特点而差异很大,但一般应包括以下内容:
(1)投资必要性。
主要根据市场调查及预测的结果,以及有关的产业政策等因素,论证项目投资建设的必要性。在投资必要性的论证上,一是要做好投资环境的分析,对构成投资环境的各种要素进行全面的分析论证,二是要做好市场研究,包括市场供求预测、竞争力分析、价格分析、市场细分、定位及营销策略论证。
(2)技术可行性。
主要从项目实施的技术角度,合理设计技术方案,并进行比选和评价。各行业不同项目技术可行性的研究内容及深度差别很大。对于工业项目,可行性研究的技术论证应达到能够比较明确地提出设备清单的深度;对于各种非工业项目,技术方案的论证也应达到目前工程方案初步设计的深度,以便与国际惯例接轨。
(3)财务可行性。
主要从项目及投资者的角度,设计合理财务方案,从企业理财的角度进行资本预算,评价项目的财务盈利能力,进行投资决策,并从融资主体(企业)的角度评价股东投资收益、现金流量计划及债务清偿能力。
(4)组织可行性。
制定合理的项目实施进度计划、设计合理的组织机构、选择经验丰富的管理人员、建立良好的协作关系、制定合适的培训计划等,保证项目顺利执行。
(5)经济可行性。
主要从资源配置的角度衡量项目的价值,评价项目在实现区域经济发展目标、有效配置经济资源、增加供应、创造就业、改善环境、提高人民生活等方面的效益。
(6)社会可行性。
主要分析项目对社会的影响,包括政治体制、方针政策、经济结构、法律道德、宗教民族、妇女儿童及社会稳定性等。
一是注重对方案的论证评估。从项目的设计、施工、技术、经济和环境等各方面入手,加强调查,做好预测、计算,并认真进行分析、论证,制定出多个投资方案。对净效益和利弊进行分析、计算和权衡。针对不同的投资方案,制定出相应的可行方案,从经济性和技术的可行性的角度进行对比、分析,坚持优中选优的原则,选出最佳方案。二是注重评审制度建设。根据需要选择专家组成评审组,严格评审前期论证,如果发现投资效益不高,就不能通过。如果发现方案中存在不合理的地方,就必须重新修改调整方案,直到达到最优为止。
2做好投资估算
投资估算是指根据资料,采用相关方法,对投资额进行估算的过程。这是做好可行性研究的重要工作,能够为项目决策提供重要依据。投资估算额是最高限额,是控制设计概算的依据,任何设计概算都不可突破这个限额。从我国投资估算来看,其方法多种多样,有从生产能力角度进行估算,或从比例、系数、指数、指标、分类等方面进行估算,这些方法所使用的范围、估算的精确度等有所差异,在实际操作中,要根据需要进行选择。一是采用准确度高达投资估算法。根据可行性研究对估算准确度要求很高的实际需要,就必须选用准确度搞的投资估算法,一般用指标和分类两种估算法。这两种方法在同一行业中,因为地区差异性,在定额、费用标准等方面有较大的差别,特别是不同地区材料品种和价格也有较大差异。二是改进估算编制法。为了提高估算的准确读,在采用指标估算时,可以用主要工程量代替单价指标,以此和地区综合单价相乘,就能得到单项工程量的投资,然后按照系数做出相应调整,就能估算出项目的投资数额。
3做好研究报告
可行性研究报告是确定是否投资的关键所在,是实现投资的决策性文件,是判断是否进行投资的重要依据。研究报告结论是对项目技术是否可行、竞争及获益能力的重要依据。研究报告中的工程地质、水文、气象等分析论证资料,既是对工程质量进行检验的依据,也是在工程寿命周期内进行事故责任追查的重要依据。在可行性研究报告中,厂址、工艺流程、设备选型等经过批准后,就是详图设计的重要依据。环境保护是研究报告的重要内容,必须与法律法规相符合,只有采用科学有效的污染处理措施,才能通过相关部门的审查从而获得许可。从变形研究可行性研究报告单位来看,必须具有相应的资质,必须满足规定的深度及广度。要以石油企业的发展目标和内外环境为基础,确保分析论证的全面性,对多个方案进行分析比较,确保经济评价的科学性。故此,在编制可行性研究报告时,必须托付举报资质等级的单位。作为政府相关部门,要负责做好监理制度的制定,拟定有效的实施措施。监理单位必须加强对可行性研究的全程监理,对于不符合要求的,必须重新整改到位后,再进行编制。
4做好风险防范
因为石油企业的投资项目具有较大的风险,故此必须尽可能地考虑到各个环节可能遇到的风险,从而制定出预防性的应对处理措施,这样就能够最大程度地降低损失,将风险系数控制在最低。一是严格根据石油企业特点论证多种风险。根据石油投资项目的特殊性,要从多方面、多角度、多层面地考虑到投资风险,如从勘探、投资环境、工程建设、市场及不可抗击的风险等。二是在进行经济评价过程中,从对财务评价影响的角度,对可能存在的多种风险因素进行风险及不确定性分析,将其中最为敏感的因素找出来,从中找到项目所面临的市场风险,将风险等级进行揭示,这样就可以采取相应的风险防范和降低风险的策略。要综合利用多种数学方法,如决策树、敏感性、概率分析等方法,做好定量处理,以此确保决策的准确与科学。三是采用合理的综合评价方式。应构建投资风险综合评价体系,并构建好权重体系,量化分析风险因素,加强对投资风险的评价与判断。在做好可行性分析与判断的基础上,写好综合评价报告,这样就可以为科学决策提供可靠的依据。三是必须统筹考虑好当前利益与长远发展的关系。在进行投资风险分析,既要考虑到当前利益,又要考虑长远发展的需要,从而确保项目选择的科学性、合理性,并综合考虑项目规模、标准、地点、周边环境等多种因素的影响,从经济性和技术性的综合角度,对多个方面进行比较分析,从而最大可能地增强可行性研究的科学性和准确性。
5结论
内部控制与风险管理是紧密联系的。如何正确认识这两者间的关系,无论对学术研究还是企业的经营管理实践,都具有现实意义。本文在梳理内部控制理论演进历史的基础上,分析了企业风险管理框架对内部控制框架的继承和发展,明确指出内部控制和风险管理已日益融合,风险导向已成为内部控制的发展方向。
一、内部控制理论的演进历史
内部控制的思想和实践历史悠久,其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段,内部控制都被赋予不同的内涵。
(一)内部牵制阶段。一般认为,20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入,数人之耳目通焉”等,均反映了内部牵制的基本原理,即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想,这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。
(二)内部控制制度阶段。20世纪40年代到20世纪70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限,使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化,从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。
1958年,出于审计人员测试与财务报表有关的内部控制的需要,审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。
(三)内部控制结构阶段。20世纪70年代以后,内部控制的理论研究又有了新的发展,研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制,而且后者对前者其实有很大影响,无法在审计时完全忽略。于是,1988年5月AICPA了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,以“内部控制结构”的概念取代了“内部控制制度”。该公告认为:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并指出内部控制结构包括三个组成要素:控制环境,会计制度和控制程序。从而,内部控制从“制度二分法”步入“结构分析法”阶段,这是内部控制发展史上的一次重要改变。
(四)内部控制整体框架阶段。1992年9月,由美国注册会计师协会、美国会计学会(AAA)、国际内部审计师协会(IIA)、财务经理协会(FEI)以及管理会计师协会(IMA)共同组成的COSO委员会了指导内部控制实践的纲领性文件COSO研究报告:《内部控制——整体框架》(IC-IF),并于1994年作了修改。该报告重新定义了内部控制:“内部控制是受董事会、管理当局和其他职员影响,为企业经营活动的效率和效果、财务报告的可靠性,相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多有价值的新观点,阐述了内部控制的各个组成部分,客观地指出了内部控制的局限性,而且明确了不同人员在内部控制中的角色和责任。
二、企业风险管理框架
自COSO报告以来,内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对该框架提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合(朱荣恩、贺欣,2003)。因此2004年9月,COSO委员会在1992年的COSO报告的基础上,结合《萨班斯——奥克斯利法案》在报告方面的要求,颁布了《企业风险管理整体框架》的报告(ERM)。该报告把企业风险管理定义为:“企业风险管理是一个受企业的董事会、管理当局和其他职员影响,应用于战略制定并贯穿于整个企业,用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险,为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。企业风险管理的信息流程如下图所示:
图在文尾!
企业风险管理的信息流程
该流程并不代表风险管理的组织流程,但可以从信息流的角度透视企业的风险管理流程。企业风险管理的信息流程描述如下:由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好;董事会与经理层设定包括战略目标及其他相关目标在内的目标体系,在设定目标时,要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会;确定了目标,企业就要考虑其所面临的内部因素和外部因素,并识别相关可能带来潜在不利影响的事项(风险);在风险评估部分评价风险损失额和风险发生概率,同时考虑剩余风险;采用组合风险观和其他具体的应对措施来应对风险;在控制活动环节继续落实有助于风险反应的政策和措施,并报告结果。然后,从控制活动环节返回到事项识别环节,重复事项识别、风险评估、风险反应、控制活动这个流程;监控则对上述所有环节的效率和效果进行监督和控制。
企业风险管理整体框架与内部控制整体框架相比,有以下几种变化:第一,目标的拓展。由IC-IF的三个目标——经营、财务报告和遵循性,扩大到ERM的四个目标——战略、经营、报告和遵循性,两者中只有经营和遵循性这两个目标的定义相同。IC-IF中的财务报告目标只与公开披露的财务报告的可靠性相关,而ERM中的报告目标的范围有很大的扩展,包括企业所有对内和对外的报告,报告目标的范围从仅仅关注财务信息扩展到同时关注非财务信息。此外,ERM还增加了战略目标,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现在企业战略制定阶段就考虑一系列备选方案的风险因素,从而使ERM的应用深入到了战略制定层次。第二,要素的增加。ERM增加了目标设定,事项识别和风险反应这三个与风险密切相关的要素,遵循了“目标——风险——控制”的逻辑顺序,充分体现了对风险的关注。第三,对原有要素内容的充实和丰富。在内部环境要素中,ERM更直接关注企业的风险文化与风险偏好。在风险评估要素中,倾向于更准确地进行风险评估,采用定性或定量的方法对事项发生的后果和可能性进行估计,并将风险与相关的目标联系起来。在信息与沟通要素中,考虑了来自历史、现在和将来潜在的事项和沟通方式,并要求与企业信息系统整合。此外,ERM还明确了控制活动的目的,指出控制是有助于确保管理层的风险反应措施得以执行的政策和程序。第四,提出了风险组合观的概念,全面贯彻了风险理念。ERM要求管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险保持在风险偏好的范围内。因为对企业内部各个部门而言,其风险可能落在该部门的风险容忍度范围内,但从企业总体来看,总风险则有可能超过企业总体的风险偏好范围。
三、内部控制与风险管理日益融合
实行内部控制和风险管理都是为了维护投资者利益,实现企业目标。内部控制的起源较风险管理要早。最初的内部控制是随着生产的大规模化和资本社会化产生的,是互相牵制的思想,通常采取账目核对的方法,以确保财产安全和账目正确。风险管理则是在新技术和市场条件下出现的,风险管理是内部控制概念的自然延伸。关于这点,可以从企业风险管理框架的变化中得到证明。框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,几乎所有的公司都有一大套管理制度,这些制度大到包括对外投资,小到包括差旅费报销等,应有尽有。因此,董事会与管理层往往认为,这些制度的贯彻与执行就是内部控制的所有内容。其实,企业的管理资源是有限的,控制也是需要成本的,如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求末。如有些企业在差旅费报销的规定上长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。所以,框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上而不是放在所有细小环节上,将风险管理作为内部控制的最主要内容,这是一个革命性的变化。
四、结语
内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂,企业不可避免地会遇到各种风险,因此企业应建立风险管理机制,以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出,不论是1992年的《内部控制——整体框架》,还是2004年的《企业风险管理——整体框架》,均把风险管理作为主要的内部控制要素,强调识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。可见,内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
参考文献:
[1]《内部控制问题研究》课题组:《基于公司治理结构的内部控制有关问题研究》,《会计论坛》2005年第2期。
[2]金彧昉、李若山、徐明磊:《COSO报告下的内部控制新发展——从中航油事件看企业风险管理》,《会计研究》2005年第2期。
[3]陈关亭:《我国企业内部控制缺陷的评析与建议》,《财务与会计》(理论版)2006年第4期。
关键词:风险管理;FMEA;风险识别;风险分析;医疗器械企业 文献标识码:A
中图分类号:R197 文章编号:1009-2374(2015)29-0064-02 DOI:10、13535/ki、11-4406/n、2015、29、032
1 概述
随着科技发展,现代医疗器械越来越数字化、智能化,对于质量提出了更高要求。但风险是客观存在的,并且是不可能被消除的。对于医疗企业来说,实际生产中,避免产生质量问题的最有效措施便是预防。因此,风险规划管理和预测监控在医疗器械生产企业中对产品质量的保障起到极其重要的作用。科学地建立医疗器械质量控制管理体系,降低医疗器械开发和生产风险,避免和减少诊断差错和医疗事故的发生具有重要的意义。
而体外诊断医疗器械作为医疗器械的分支,不同国家和地区在医疗器械方面更有不同的法律制度,对于产品质量提出多种多样的要求。医疗器械的整个产品生命周期可以说是充满了风险。国际标准中,质量管理体系必须符合《医疗器械质量管理体系要求》(ISO 13485:2003),其中关于风险管理的要求是:组织应在产品实现全过程中,建立风险管理的形成文件的要求,应保持风险管理引起的记录。在产品的整个生命周期都有风险管理文件支持:在研发阶段有成品的可行性分析报告,每一个组成部件也有各自的风险分析报告。而量产之后的任何变更也都必须有风险规划和监控,避免更改造成失败的后果。医疗企业的风险管理一般遵循《医疗器械风险管理对医疗器械的应用标准》(ISO/IEC 14971:2012)来控制风险。ISO 14971要求企业在已经将一种医疗器械的所有单个风险降低到合理可接受程度后,必须建立全部风险等级。这种全部风险等级必须反映单个风险的累积效应。风险管理认为在产品开发周期中做出的风险估计必须是有可靠依据的猜测。根据工作经验不断更新初步风险分析,并且根据这些更新资料采取适当措施,控制或降低风险是十分必要的。
2 案例介绍
医疗器械中,结构件是器械的支撑部分,关系着产品功能是否能精确实现,是生产中重要的一环。一般医疗器械生产企业选择外协生产,因此在变更时,不仅涉及到技术层面,更关系到物流及供应商等各方面。本案例中,为降低供应风险和成本,需要再开发备用供应商,下面以此项目为例说明风险管理过程中失效模式和影响分析的应用。
失效模式及影响分析(Failure Modes and Effects Analysis,FMEA)是一种根据经验和原有认识来进行可靠性分析的方法。它研究产品每个零件可能存在的失效模式并确定各个失效模式对产品其他组成部分和功能的影响,用以在实际设计、生产时预防风险,通过不断评估、验证及改进再验证,使产品不断改善,最终得到可靠的产品满足客户的要求。结构件更换风险管理的任务正是通过积极主动而系统地对项目风险进行全过程的识别、评估及监控,以达到将正面的计划最大化,将负面的影响最小化的目的,确保针对所有的风险都有确定的行动。
3 风险识别
第一,根据WBS识别每一项任务在人员、技术、管理、合同、物资、供应商、保障等方面是否存在进度、质量、成本等风险。
第二,参考以前类似新开发结构件的风险分析报告。但是由于产品不同,对于结构件的要求不同,有时并不能完全照搬,需要仔细分析、区别对待。
第三,头脑风暴法。可以召集项目相关人员不受拘束地提出任何可能风险。
通过以上分析,得出结构件更换的风险有如下五类:(1)技术风险(尺寸变化、性能变化、设计缺陷、工艺缺陷等);(2)进度管理风险(项目拖延等);(3)外部风险(供应商的技术能力和生产能力、法律法规的变更);(4)物流风险(库存和新产品的过渡方法、新产品的供货是否及时等);(5)成本管理风险(超支)。
4 风险分析
4、1 定性分析
先将风险清单中的风险根据其后果分为非常严重、严重、一般等程度,一般后果分为对客户的影响和对生产组装的影响。在评估过程中优先考虑对于用户的影响,如果对于两者的影响同时存在,以严重度高的等级为准。供应商制造能力和法规风险为非常严重风险;关键尺寸和物流风险为严重风险;其余为一般风险。
4、2 定量分析
有三个因素决定风险重要值:严重度、发生频率、检测度。
风险评估系数=严重度×发生频率×检测度
对定性分析的结果进行详细分类,再使用主观评分法,参考评分标准,对每一项风险的严重度、可检测度、发生频率进行打分。对于这些新引入的风险项均提出了相应的整改措施,将在开发中进行验证及整改。定量分析结果如下:
通过以上方法,得出了风险分析报告。风险分析评估表显示,由于供应商变更,总共有7项风险。有1项的风险评估系数≤50,这是广泛可接受的。有4项的风险评估系数为≥51以及≤100,这些风险项是合理可行的,将会采取相应的建议性措施。有2项的风险评估系数高于100。因此,明确了需要采取的应对措施,尺寸对性能的影响需要在验证中进行验证,确保尺寸符合接收标准,并且由质量部进行控制跟踪。而材料变更造成的重新注册也必须尽快解决,才能符合法规要求。在模具正式量产后再填写跟踪报告,确认RPN值均低于50,并整理风险分析报告,以备以后的项目进行借鉴。
所采取的措施有:(1)和供应商充分沟通,保证供应商熟悉公司质量标准。图纸需通过公司审核;(2)根据近期订单量通知供应商提前备库存;(3)原料检测部门检测零件外观和尺寸;(4)供应商提供尺寸报告,匹配性测试和功能测试需通过验证;(5)供应商提供尺寸报告,匹配性测试和功能测试需通过验证;(6)由项目负责人和财务监控;(7)新零件和原封样确认一致方可生产,否则需要供应商调整后重新送样通过,并保存在质量部。
5 结语
通过以上分析和应用,证明了在医疗器械研发类项目管理中应用失效模式及影响分析,确实在风险的评价和预防中取得良好效果。根据分析结果,明确下一步的措施,这使得项目流程更明确,有利于项目管理,值得推广。
参考文献
[1] 沈建明、项目风险管理[M]、北京:机械工业出版社,2010、
[2] 段书、医疗设备风险管理与质量控制[J]、医疗卫生装备,2014,35(2)、
[3] 戴云辉,韩之俊,朱海荣、故障模式及影响分析(FMEA)研究进展[J]、中国质量,2007,(10)、
一、审计风险的成因及存在的主要环节
(一)审计风险的主要成因
1、审计机构自身不当形成的。如审计人员素质、能力的差别造成同类审计业务结论不同;审计人员职业道德品质的高低决定审计行为的偏差,导致审计结论的偏差;审计人员在取证和选用证据上,都存在很多不确定因素,如果取证不充分,其结论也就不一定合理;审计操作不规范、审计程序脱节、主观臆断、凭经验办事,就增加了审计的失误率;审计选择不当,也将审计结论的是否正确等。
2、社会环境对审计风险的影响。这主要是内部控制制度不完善或执行不力,而审计人员又不能觉察所造成的风险。即使审计人员确认被审计单位的内部控制制度不合理或在关键环节上失控,其提出的修正建议是否能够真正适合被审计单位的经营活动,也会形成一种修正风险。如果社会及公众审计意识增强,企业便会重视内部控制制度的建设,严格核算,其审计风险就会降低。反之则升高。
3、经济环境对审计风险的影响。市场经济成份的多元化,被审计单位行为的不稳定性,如企业改组、兼并、重组等,使审计人员对企业的情况难以全面地反映和评价,获得正确结论的难度加大,从而增加了审计风险。
4、环境对审计风险形成的影响。法律是审计工作的依据,如果法律体系不完备或不衔接,审计人员就失去统一的判断标准,增加风险机会。我国先后颁布的《审计法》、《注册会计师法》等明确规定,对审计人员的失职行为和违章行为分别追究刑事责任、民事责任和行政责任。
5、审计方法对审计风险形成的影响。一是审计方法模式滞后,仍停留在账项基础审计和制度基础审计阶段,而国外已发展到风险导向审计阶段;二是无论采用判断抽样还是统计抽样,它都是根据审计人员的经验主观判断,极易遗漏重要的项目;三是审计操作不规范,如审计人员为了降低审计成本随意放弃一些自认为不必要的审计程序,审计方法的选用不,审计报告的编写不明确、不公允等。
(二)审计风险存在的主要环节
1、签订审计约定书环节的风险。签订审计约定书,是委托人与被委托机构之间明确权利义务关系的法律过程,约定书一旦确定,就对双方均具有约束力。作为审计方,必须按约定的、要求按时出具审计报告,否则就构成违约。一般情况下,除老客户外,会计师事务所对被审计单位内部财务制度和内控系统是否健全和有效并不了解,而这些方面的状况又恰恰是审计机构和注册会计师能否得出客观、真实审计结论,发表客观、真实审计意见的基础。在现实中存在这样一种情况,只要客户上门并满足给钱这个条件,审计机构就把风险抛之脑后,按委托方的要求草率地订下约定书。结果有的在接触对方的审计资料后,才发现工作量非常大,为了赶进度,不按规章的要求进行审计,有的对被审计单位财务记录和原始凭证虽根本没有可信度,但为了提供审计报告而凭经验和逻辑进行推理。这样的审计报告通常会存在审计风险。因此,可以说签订约定书环节是产生审计风险的源头。
2、审计抽样的风险。注册会计师在审计过程中正确运用审计抽样方法不仅可以提高审计效率,同时也能保证审计质量、防范审计风险。因为注册会计师在审计过程中不可能面面俱到,对被审计单位的所有经济事项所涉及的财务收支都查实,而每一经济事项在财务会计上的反映真实与否,又关系到企业财务报表的客观性、合法性和真实性,这就有一个“公允”的。就是说,注册会计师要回答的仅是被审计单位的财务报表是否在所有重大方面公允反映了被审计单位的财务状况,而不是保证其绝对真实。虽然公允的要求减轻了注册会计师的责任和风险,但要达到公允的程度也并不容易,误差必须控制在可容忍的范围内。这就要求抽样要有可靠性,组成适量、有效的样本,以尽可能提高样本对总体的反映程度。否则,样本总体反映的情况差异超出可容忍的范围,就会使注册会计师对抽样结果产生信赖过度和误导错误,审计的公允性就会丧失,审计信息就有可能产生重大误导作用,形成审计风险。
3、审计取证环节的风险。审计证据是形成和支持审计意见的基础。错误、失真的审计证据必然得出错误的审计结论,不全面、不充足的审计证据必然会得出片面、不可靠的审计结论。
4、审计报告环节的风险。审计报告是审计的成果,也是追究审计责任和承担审计风险的具体依据。按照审计程序和正常逻辑思维,审计报告是依据审计约定书规定的内容和要求,依据审计抽样、取证所形成的工作底稿做出的,好像审计风险应存在于审计报告以前各环节。事实上,撰写审计报告本身不但存在风险,而且是防范风险的重要环节。因为审计风险是客观存在的,如果在审计报告中忽视风险的客观性,把查证结果的真实性进行绝对化肯定,并且忽视被审计单位的会计责任,一旦有误,就可能产生风险。如果审计报告对审计的时间和空间范围表述不清,也有可能使审计报告的使用者产生误解,形成风险。此外,审计报告对有关关联问题、或有事项等的表述以及对被审计单位财务状况的影响的表述是否准确、得当,也有可能产生风险。
二、审计风险的防范与控制
(一)从审计机构和人员方面看
要建立健全科学、规范、系统的审计工作制度,以确保审计工作质量;增强审计工作人员的素质和业务素质,提高审计人员的职业道德水平;强化业务培训,全面普及后续;严格遵守《注册会计师法》和《独立审计基本准则》及独立审计具体准则与独立审计实务公告,依法审计;严格按照《注册会计师职业道德准则》的要求执业,遵守独立、客观、公正的原则,认真履行自己的职责;做好审计计划,尤其是审计风险的工作;有效运用审计抽样方法,重视审计取证工作;谨慎选择被审计单位,并与被审计单位签订业务约定书;提取风险基金或购买责任保险;聘请熟悉注册会计师法律责任的律师。
(二)从审计程序的层面分析
1、受托阶段。要详细了解委托人的委托目的和业务内容,对可能产生的风险进行预测和分析,只有通过充分了解确认有承办能力,才能签约。明确双方的权利和义务,分清各自的职责范围,并对委托事项进行协商。要如实向委托人介绍社会审计的规定,以防以后发生误会。同时,审计机构还要注意防止委托方提供的假证据,在签约时要写明委托方对提供的资料的完整性和真实性负责等内容。
2、准备阶段。事务所要根据承办项目的要求和任务,以及被审计单位的行业特点和情况复杂与否,确定选派专业性强、能胜任的审计人员组成审计组。制定好审计项目、、目标、和任务等工作计划。
3、实施阶段。这一阶段的审计风险防范有三个重要环节:首先是审计取证,审计人员取得的证据必须充分、有力、合规合法、客观真实,具有可证性,收集的证据一定要经过审计人员、被审计单位的主管和有关人员共同签章才可生效。其次,应规范审计工作底稿,因为,审计工作底稿是审计人员在审计活动中制作的“原始凭证”。最后,审计人员应严格自律,自觉执行执业标准和职业道德规范。
4、报告阶段。提交报告前,应对审计工作底稿中有关重点、重要程序和对审计报告有直接的部分进行认真复核,确保准确无误。起草审计报告时,对审计报告中的审计结果及依据和审计评价及建议,要注意符合业务约定书约定的项目、内容和要求,做到事实清楚、客观公正。审计依据要准确,文字简练、措辞恰当、表达清楚。初稿形成后,送交委托方征求意见并限期给予书面反馈意见,要对委托方反馈意见的采纳情况予以说明,作为工作底稿归档。在发送报告的同时,要将各种相关资料整理归档。
(三)实施审计项目时
1、审计组及其审计人员在实施审计项目时,应当先对被审计单位的基本情况和内部控制进行问卷调查和进行符合性测试,对被审计单位固有风险和控制风险的高低做出评估,看其内控是否严密,并找出弱项,以作为实质性测试时的重点。
内部控制问卷调查可以由被审计单位管理部门自我评价,主要评价内部控制的健全性和有效性。内部控制问卷调查,只能对被审计单位的内部控制做出初步评价,要真正评价内部控制的质量,必须通过符合性测试。符合性测试主要是通过一定的审计方法,测试被审计单位业务活动的运行与相关内部控制的符合程度,找出弱项,确定实质性测试的重点。
2、在对被审计单位的内部控制进行问卷调查和符合性测试后,根据其评价以及对内部控制松弛部分和汇总的弱项,确定实质性测试的性质、时间和范围,并应当实施详尽的实质性测试程序,以便将检查风险以及总体审计风险降至可接受的水平。在实施审计项目时,具体应进行以下实质性测试:
(1)流动资产类实质性测试。包括货币资金、短期投资、应收票据、应收账款及坏账准备、预付货款、其他应收款、存货、待处理流动资产净损失等项目的测试。流动资产的特点是流动性强。有些项目收支频繁,余额经常变动,如货币资金、存货等,需要经过盘点才能确认它的余额;另有些项目,是与其他单位的往来结算,如银行存款、应收账款、其他应收款等,必须通过向对方单位询证才能确认。因此,盘存、函证是流动资产类实质性测试常用的方法。
(2)长期和固定资产类实质性测试。包括长期投资、固定资产和累计折旧、再建工程、无形资产和递延资产等项目的测试。长期和固定资产类项目的特点是使用期限较长,并在使用中保持原有形态,特别是固定资产、无形资产和递延资产的价值都是分期摊销的。因此,盘存、计价、是长期和固定资产类实质性测试常用的方法。
(3)负债类实质性测试。包括短期借款、应付票据、预收账款、其他应付款、未交款项、预提费用、长期借款等项目的测试。除预提费用外,都是往来结算项目,审计方法主要是函证或计算核实。
(4)所有者权益类实质性测试。包括股本、资本公积、未分配利润等项目的测试。审计方法主要是查证有关规定、计算核实。
(5)损益类实质性测试。包括产品销售收入、产品销售成本、销售费用、销售税金、其他业务利润、管理费用、财务费用、投资收益、营业外收入、营业外支出、本年利润、所得税等。审计方法主要是查证有关规定,计算核实。
(6)其他类实质性测试。其他类审计主要是在实质性测试阶段需要关注的其他问题,如关联交易、或有损失、期后事项、持续经营能力等。这些事项不是都能从凭证账册中发现的,有的需要被审计单位提供,有的需要通过与管理人员和有关人员交谈了解,或通过有关合同、章程联系起来才能知道。对这些资料的取得,都要通过审计工作底稿记录下来,在审计报告中作恰当的披露。
COSO报告第一次提出了内部控制框架理论,为内部控制主要构成的建立提出了总体性的思路。其基本要素包括以下五个方面:
1、控制环境。它是内部控制组成要素的基础,是所有控制方式与方法赖以存在与运行的环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用;也直接影响着企业内部控制的贯彻和执行,影响着企业经营目标及整体战略目标的实现。
2、风险评估。就是分析和辨认实现企业目标可能发生的风险概率,然后通过抑制风险来提高企业在实现目标中的效果。每个企业都面临着来自内部和外部的不同风险,对这些风险都必须加以评估,最终提高企业内部控制效率和效果。风险评估是决定应如何管理的基础。当今社会经济环境的风云变化,风险概率不断提高,其内部控制的执行也深受影响,对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部风险因素,因而辨认并处理这些风险自然就十分必要。
3、控制活动。控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业完成目标而避免风险所采取的必要行动。企业各阶层和各种职能部门均渗透有不同的控制活动,诸如核准、授权、调节、审核营业绩效、保障资产安全,以及职务分工,等等。由于企业性质、规模、组织方式等不同,其控制也有所不同,但控制活动通常包括两个要素:政策和程序。其中,政策规定应该做什么;程序则是保证政策产生效果的措施,政策是程序的基础,程序是政策的延伸。
4、信息与沟通。企业在其经营活动过程中需要大量的信息,以便指导预测、决策经营业务,并保证信息在企业内部运转通畅。企业信息系统能产生各种报告,包括与运营、财务及遵循法令有关的资料和信息,这些信息反映了企业业务运行状况,便于管理者采取控制措施。一个良好的信息系统有助于企业处理内部与外部发生的经济事项,并提高其内部控制的效率和效果。有效的沟通,包括组织内部上下沟通及横向沟通,也包括与外界沟通。单位所有员工必须自最高管理阶层开始,清楚须谨慎承担责任的各种信息;必须了解自己在内部控制制度中所扮演的角色,以及每个人的活动对他人工作的影响,企业必须有向上沟通重要信息的方法,也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。
5、监督。监督是一种随着时间的经过而评估内部控制制度执行质量的过程。企业内部控制是一个过程,这个过程需要通过纳入管理过程的大量制度及活动实现,即需要被监督。因此,要确保内部控制制度被切实地执行且保证执行的效果良好,内部控制能够随时适应新情况等,内部控制就必须被监督。监督方式有持续监督、个别评估及综合监督等。持续监督是指在运营过程中的监督,包括理性管理和监督活动,以及其职工为履行其职务所采取的行为。个别评估的范围及频率,应根据评估风险的大小及持续监督程序的有效性而定。持续监督和个别评估一起进行,称之为综合监督。各种监督中发现的内部控制的缺失必须向上级呈报,严重者则向最高管理阶层及董事会呈报。上述五要素相互关联与配合,形成一个整合系统。这个系统可对改变的环境做出动态反应。内部控制是因企业的基本业务需求才存在,与企业的经营活动交织在一起。只有当内部控制能纳入企业的基础建设之内,而且是企业机体的一部分时,才最为有效。也只有纳入运营活动的控制,才能帮助企业提高管理水平和管理质量,才能避免不必要的成本,能对改变的环境做出快速反应。
为了实现其目标,一个企业应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点,然后针对这些风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督与评审;内部管理信息系统则为这个过程提供了方便,这五个要素便形成了一个有机的、动态的系统。
二、ERM框架
2004年12月,国际著名的反虚假财务报告委员会(即Treadway鲜委员会)针对国际企业界频繁发生的高层管理人员舞弊现象,颁布了一个概念全新的COSO报告《企业风险管理――整体框架》(简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上,还是在要素方面,均有相当大的突破。ERM框架就是在1992年报告的基础上,结合《萨班斯――奥克斯法案》的相关要求扩展研究得到的。
根据ERM框架,“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并在企业的风险偏好之内管理风险,从而合理确保企业取得既定的目标。”ERM框架有三个维度:第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。全面风险管理要素有八个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个纬度的关系是:全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层级都必须从以上八个方面进行风险管理,该框架适合各种类型企业或机构的风险管理。
三、ERM框架与内部控制框架的联系与比较
与传统内部控制内容相比,新框架有了较多的变化。比如,ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿于整个企业的所有层级和单位;(5)旨在识别影响组织的事件,并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。由于新COSO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。
在1994年《内部控制――整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标――战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。最后,1994年COSO报告《内部控制―整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,ERM框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和ERM框架都强调对风险的评估,但ERM框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析。原COSO报告仅提出风险识别,但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内部控制五要素发展为风险管理八要素。
从COSO的ERM框架和内部控制框架比较可以看出,全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除包括了内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素,因此全面风险管理涵盖了内部控制。
从二者的实质内容看,存在以下几项重要差异。一是内部控制仅是管理的一项职能,而全面风险管理属于风险范畴,贯穿于管理过程的各个方面。二是在全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试,、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。