内部环境及风险评估设计实务
内部环境设计概念在理论界并没有权威说法。笔者认为,内部环境设计就是确定内部环境组成要素的过程。事实上,纵观国内外文献资料中关于内部环境是什么的表述,仍有因素、基础、总称、基调、支撑等多种观点。笔者认为,内部环境作为内部控制的基础,可作为影响风险因素的重要内容来设计,并不一定要把内部环境作为内部控制的一个独立要素来考虑。
内部环境是企业实施内部控制的基础或前提条件。内部环境对内部控制的建立和实施起着非常重要的作用,对实现控制目标具有重要意义。正如科索委员会(COSO)《内部控制—整合框架》认为的,控制环境对组织企业活动、确立目标和评估风险的方式有着广泛的影响,同时它还会影响控制活动、信息与沟通系统和监控活动。
如果没有相对完善的内部环境,不论其他要素质量如何,都不可能形成有效的内部控制。事实上,内部控制环境是所有控制方式与方法赖以存在与运行的环境,它的设计与运作,不仅对整体目标而且对整个内部控制其他组成要素都会产生重大影响。如果内部环境不好,一方面,企业很难建立完善的内部控制;另一方面,即使建立了健全的内部控制,也无法得到有效的执行。
内部环境要素设计
理论界与实务界对内部环境组成要素的认识不完全一致。内部环境的具体要素也因企业主体的不同而不同。一般而言,内部控制的内部环境从企业主体上可分为相互联系和相互区别的治理层环境和管理层环境两个层次。这种划分比较适应内部控制的两个层次:治理层对管理层(经营层)控制和管理层对生产经营过程控制。
企业主体的环境因素很多。如果把内部环境界定为内部控制的基础,那企业主体实施内部控制的基础到底是什么,至少应包括内部组织、政策制度、硬件和信息系统、思想意识和诚信与道德价值观等具体要素。
组织是实施内部控制的保证。当然,这里的组织不是主体的组织机构,而是从事内部控制工作的相关组织与人员。政策制度,良好的制度对内部控制运行有基础性作用,内部控制是主体制度的重要组成部分,但不是全部。硬件和信息系统,这是实施内部控制的物质条件和手段。思想意识和诚信与道德价值观,这永远是基础的基础。
当然,影响内部控制的环境还有外部环境。外部环境是指影响主体内部控制体系建立与作用发挥的主体外部相关因素,包括政治环境、社会环境、法律环境、经济环境、经营环境、自然环境、国际环境、其他环境等。
虽然理论界还可以探讨内部环境构成要素,但笔者认为,在我国企业内部控制实践中,关于内部控制内部环境主要要素的认识应该统一到《企业内部控制基本规范》要求上来:即,内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等等。考虑到《企业内部控制应用指引》将治理结构、机构设置及权责分配合并为组织架构,增加了发展战略、社会责任两个应用指引,内部审计应用指引还未颁布的实际情况,企业内部环境要素也可以按照组织架构、发展战略、人力资源、社会责任、企业文化等来设计。这里特别需要强调的是,内部环境组成要素可以有无数个,每个要素还可以无限地分割下去。但笔者认为,这不应作为内部控制构建和实施的重点,重点在于内部环境相关业务的具体控制。
内部环境的组成要素因企业主体不同而不同,同时,内部环境的要素也是不断变化的。事实上,要设计出适合本企业的内部环境要素是件非常不容易的事。简单做法是按照《企业内部控制基本规范》要求,把内部环境确定为治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。当然,内部环境内部控制设计的重点是参考已颁布的组织架构、发展战略、人力资源、社会责任、企业文化应用指引,对与内部环境相关控制的设计。
笔者认为,国内外内控规范中内部环境要素组成,可简单整理成右侧表一所示的要素组成对比表。
风险评估设计实务
笔者认为,风险评估审计就是确定风险评估的一般内容、程序和方法的过程,其中的技术性难题就是要确定风险评价标准。由于风险评估要与具体业务相结合,离开具体业务的风险评估是没有现实意义的。因此,笔者认为,不需要花很大精力设计一般意义上的风险评估内部控制目标、控制措施等方面的内容。
风险评估内容设计
简单说,风险评估内容就是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的概率,影响则代表它的后果。一般来说,对识别出来的风险,从可能性和影响两个方面进行评估后,就可以根据评估的结果采取应对措施。当然,不论怎么细分,贯穿始终的是要从可能性和影响两个方面进行评估。
基于风险管理的内部控制,主要是对固有风险和剩余风险进行评估,也就是既考虑固有风险,也考虑剩余风险。固有风险是在没有采取任何措施改变风险的可能性或影响的情况下,主体所面临的风险。剩余风险是在风险应对之后所残余的风险。对剩余风险的评估是指对主体风险控制或日常的管理活动中采取应对措施之后的风险进行的评估。
从严格意义上来说,风险评估主要是对剩余风险的评估。因为作为一个主体不可能无任何管理、无任何防范风险的措施,只是有些是无意识地进行的。仅对风险应对之后残余风险进行评估,就要树立一个风险评估持续性和重复性的互动过程,不能将风险评估与一次性风险活动联系起来。无论是对固有风险的评估还是对剩余风险的评估,始终不变的是要从可能性和影响两个方面来进行。
风险评估程序设计
风险评估程序,是对风险进行有效评估的基本过程。一般认为,风险评估活动其实是一个输入转化为输出的过程,它的具体工作步骤如右侧图一所示。
从风险评估的相对狭义定义看,其实施步骤可分为风险计价、风险分析、风险评价等阶段。
风险计价。风险计价,是对主体面临的各种风险进行量化的过程,是给风险定价的专门方法和措施。简单说,就是风险的量化过程。当然,风险的量化,不能像会计工具主要量化“过去”,而主要是量化“未来”,过去只能是依据。
风险分析。风险分析,是风险评估的重要步骤,目的是为风险评价提供依据。风险分析并非只是理论上的,通常对企业的成功很重要。当它涵盖了所有重大业务过程中的风险识别时,最为有效。
风险评价。风险评价,是在风险识别、风险计价、风险分析的基础上对风险发生的可能性、影响程度等进行综合评价的过程,是风险评估的重要环节,企业采取风险控制措施的直接依据。
风险评估措施设计
风险评估控制措施的设计一定要和具体的企业实际相结合,与风险评估管理相融合,嵌入到风险评估流程当中。风险评估总体方面的控制措施是重要的,但更主要的是要针对关键控制点采取具体的控制措施。风险评估的控制方法一般可以通过控制图来进行。
根据《企业内部控制基本规范》的要求,企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
依据我国上市公司风险评估的控制实际,中天恒管理咨询公司提出的风险分析与评价方面的控制措施包括:一是公司各部门,在内控项目组的统一组织下,对识别出的公司层面风险进行分析。二是根据公司层面风险分析的结果,内控项目组对公司层面风险进行评价。三是内控项目组根据风险评价结果,对公司层面风险重要程度进行判定。四是内控项目组根据公司层面风险重要程度的判定情况,绘制风险图谱。五是内控项目组组织各部门和所属单位,围绕内控建设和管理要求,对各业务流程识别的风险进行分析与评价,综合各项风险的影响程度和发生可能性,确定业务层面风险的重要性,补充完善业务层面风险数据库。