企業內部控制創新發展范文
本站小編為你精心準備了企業內部控制創新發展參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
美國COSO委員會于1992年提出并于1994年修改的《內部控制——整體框架》中對內部控制的定義得到廣泛的認可并沿用至今,其對內部控制定義的描述如下:內部控制是由企業董事會、經理階層和其他員工實施的,為運營的效率效果、財務報告的可靠性、相關法律的遵循性等目標的達成而提供合理保證的過程。在此基礎上,自20世紀90年代以來,企業內部控制理論得到了較好的創新發展。
一、內部控制框架理論分析
COSO委員會的報告《內部控制——整體框架》提出,為了實現內部控制的有效性,需要五個方面的要素支持:控制環境,風險評估,控制活動,信息與溝通和監督。這五要素之間是不可分割相互聯系的有機整體。
1.內部控制環境(controlenvironment)。環境要素是推動企業發展的動力,是其他控制要素的基礎,決定著內部控制的規則與結構,決定了組織的氛圍,影響組織中人們的內控意識。它包括管理者的道德品行及經營管理理念、組織結構、董事會、人力資源資源政策與實務、企業文化等。
2.風險評估(riskappraisal)。風險評估指的是判別和分析企業在完成自身目標過程中的各種風險,從而為風險管理提供基礎。它包括風險辨識和風險分析,風險辨識的內容涉及到:科技的發展、顧客的需求或預期改變、競爭、新頒法律或行政命令,天然災害、經濟環境改變、資訊系統處理的中斷、所聘雇員的品質、訓練方法及激勵制度、經理人責任的改變、企業活動的性質、員工可接近資產的程度、董事會或監督委員會不夠堅定或無效等。
3.內部控制活動(controlactivity)。企業必須制定具體的控制政策及程序并加以實行,以幫助管理層確保在進行風險評估和處理基礎上其所采取的各種行動能使企業實現自身目標。內部控制活動就是指為保證目標得以實現而建立的各種政策和程序。控制活動貫穿于整個組織的各個層次和各部門,包括控制范圍設定、授權、協調、業績考核、資產安全保障以及職責劃分等。
4.信息與溝通(informationandcommunication)。信息與溝通是指以一定的形式和在一定的時間段內辨認、獲得的,為員工在執行、管理和控制作業過程中所需的信息,以及信息的交換和傳遞。要想建立一個健全有效的內部控制系統,擁有一套完善的信息傳遞與溝通系統是不可少的。若組織內部的信息渠道不暢,內部控制的效果就會大打折扣。
5.監督(monitoring)。監督是指評估內部控制運作質量的過程,包括持續性監控活動和個別評估。這里的持續性監控活動是指營業過程中例行監督,包括管理人員的日常管理和監督以及職員執行職務時采取的其他行動。內部控制作用的發揮,有賴于建立起健全有效的內控系統,更有賴于其能夠良好運行。為此,整個內部控制的過程必須得到恰當的監督,以便在必要時加以修正,這種監督活動的形式主要是審計監督。
二、COSO報告關于內部控制理論的創新與突破
與此前的內部控制理論相比,COSO報告中的內部控制整體框架理論有了新的變化,比如,內部控制理論結構有所改變,由原來的三分法變成五分法;提出了一個全新的風險評估的內容;稱謂有所變化,原來的會計制度變成信息與溝通,原先的控制程序稱為控制活動;要素間關系發生了變化,原來的結構并不強調其要素的聯系,而現在則明確指出了要素之間的相互關系。
除了這些名稱、結構上的變化,COSO報告關于內部控制框架的論述中在理論上的創新更多地體現在它包含了很多新的、有價值的觀點。體現在以下幾個方面:(1)強調內部控制應該是一個與企業的經營管理過程相結合的“動態過程”。(2)明確對“內部控制”的責任。(3)強調“人”的重要性。(4)強調“軟控制”的作用。(5)強調風險意識。(6)揉和了管理與控制。(7)明確內部控制只能做到“合理”保證。
三、內部控制理論的新發展——企業全面風險管理(ERM)
COSO委員會于2004年9月29日正式《企業風險管理綜合框架》(ERM-IF)并提出將以ERM取代內部控制綜合框架(IC-IF),標志著內部控制理論與實踐進入了整體框架的新階段。ERM框架從內部控制的控制環境、風險評估、控制活動、信息與溝通、監督等五要素進行深化和拓展,將原有的風險評估一個要素發展為目標設定、事項識別、風險評估和風險反應等四個要素,從而將內控五要素發展為風險管理框架的八個要素。
1.ERM框架的三個維度
ERM框架有三個維度,第一維是企業的目標;第二維是全面風險管理要素;第三維是企業的各個層級。第一維企業的目標有四個,即戰略目標、經營目標、報告目標和合規目標。第二維全面風險管理要素有8個,即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。第三個維度是企業的層級,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是:全面風險管理的8個要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上8個方面進行風險管理。該框架適合各種類型的企業或機構的風險管理。
2.全面風險管理與內部控制框架
從COSO的ERM框架和內部控制框架可以看出,全面風險管理與內部控制框架既相互聯系又有重要差異。
從二者的框架結構看,全面風險管理除包括內部控制的三個目標之外,還增加了戰略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定,事件識別和風險對策三個要素。因此,全面風險管理涵蓋了內部控制。
從二者的實質內容看,兩者存在以下兩項重要差異:第一,兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事后和過程的控制來實現其自身的目標;而全面風險管理則貫穿于管理過程的各個方面,控制的手段不僅體現在事中和事后的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多于內部控制。第二,兩者對風險的定義和對策不一致。全面風險管理框架中,由于把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),因此,該框架可以涵蓋信用風險、市場風險、操作風險、戰略風險、聲譽風險及業務風險等各種風險;內部控制框架沒有區分風險和機會。而且由于全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法。因此,該框架在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
四、企業內部控制理論發展的幾點啟示
從COSO報告所定義的內部控制可以看出,一個企業為了實現其既定目標,應當在培育一種積極的內部控制環境的基礎上,識別、衡量和評估經營管理活動中所涉及的各種突出風險點,針對風險點設置各種控制機制,并不斷地對上述整個過程的適當性和有效性進行監督和評審,內部管理信息系統為整個過程提供條件。從內部控制理論的創新發展的過程中我們可以從中得到以下幾點啟示:
1.內部控制的“責任”及“軟控制”的必要性。從內部控制的定義來看,對內部控制負有責任的不僅僅是管理人員、內部審計、董事會,企業的每一個員工對內部控制都負有責任。所有員工都應該主動遵守企業內部控制制度,團結一致,為實現企業的目標而維護內部控制。軟控制主要是指那些屬于精神層面的事物,如高級管理階層的管理風格、管理哲學、企業文化、內部控制意識等。
2.內部控制應與企業經營管理過程結合起來。內部控制是經營活動的一部分,與經營過程相結合,模糊了管理與控制的界限,內部控制監督企業經營過程的持續進行,使經營達到預期效果。
3.風險意識在內部控制中占據重要地位。良好的內部控制可以防范企業的風險,合理地保證內控目標的實現。現代社會是一個充滿劇烈競爭的社會,每一個企業都面臨著成功的挑戰和失敗的風險,對風險的管理是現代企業的主旋律之一。風險影響著每個企業生存和發展的能力,也影響其在產業中的競爭力及在市場上的聲譽和形象。COSO報告指出,所有的企業,不論其規模、結構、性質或產業是什么,其組織的不同層級都會遭遇風險,管理階層須密切注意各層級的風險,并采取必要的管理措施。
4.內部控制具有動態性。企業內部控制不是一項制度或一個機械的規定,而是對企業的整個經營管理過程進行監督與控制的過程,是不斷地與經營過程、管理過程相摩擦控制過程。企業經營管理環境的變化必然要求企業內部控制越來越趨于完善,內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程,是不斷修正和更新的動態過程。
5.內部控制需要有效的信息系統。一個良好的信息和溝通系統,可以使企業及時掌握營運狀況和組織中發生的各種情況,及時為企業員工提供履行職責所需的各種信息,使企業的經營和管理流暢進行。有效的管理信息系統可以及時地提供各方所需要的信息,提供企業各部門管理控制生產、考核工作成果以及提供企業高層決策人員制定經營方針、制定規劃、進行決策所需的會計和管理信息。企業的人員通過管理信息系統了解了企業目前的狀況,才能對可能發生的異常狀況及時做出反應,從而及時報告,以防止重大損失的發生。
6.內部控制目標的設定非常重要。內部控制目標的設定是管理過程的一個重要部分,雖然它不是內部控制的組成要素,但卻是內部控制的先決條件。制定目標的過程不是控制活動,但其對內部控制的意義重大,直接影響到內部控制是否有存在的必要。企業控制目標的確定,有利于不同的人從不同的視角關注企業內部控制的不同方面。而且,不論內部控制設計及執行有多么完善,內部控制都只能為管理階層及董事會提供達成企業目標的合理保證。