5.监督。监督是由实时评价内部控制执行质量的程序组成的,这一程序包括持续监督、独立评价,或者是二者的综合。独立评价的范围和频率取决于所评估的风险程度,内部控制系统需要被监督,监督能够确保内部控制的有效运行。控制的监督要素包括经理人员日常的监督,审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行。
COSO将内部控制要素以一个金字塔结构提出,其中控制环境作为金字塔的最底部,风险评估和控制活动位于上一层次,信息和沟通接近顶部,监督处于最顶端。内部控制各要素之间的关系如图1—1所示:
控制环境是整个控制系统的基础,没有它,其他要素就成了空中楼阁。任何一个组织(企业或公司)的控制环境都要受其组织结构、组织文化以及信息与沟通系统的影响,反过来它又影响着业务流程、员工控制意识、具体控制活动及其监督活动的效率和效果
监督(持续进行中) 信息与沟通 控制活动 风险评估 (组成结构) 控制环境(基础) 图1—1 内部控制五要素的关系
图1—1表明:五大要素中,控制环境是基础,是其余要素发挥作用的前提条件。如果没有一个有效的控制环境,其余四个要素无论其质量如何,都不可能形成有效的内部控制。风险评估、控制活动、信息与沟通是整个控制框架的组成要素,监督则是对另四个要素所进行的持续不间断的检验和再控制。
内部控制理论——COSO报告的出台,引起了世界会计学界的广泛研究兴趣,加深了各界对内部控制认识的重要性,基本上统一了业界的认识,这对人们进行企业内部控制的研究极具时代意义。
COSO报告对我国的会计理论和会计实务方面都具有重大的启示和借鉴意义。在理论方面的启示,首先体现在我国各级会计人员必须加深对内部控制的认识,内部会计控制是内部控制的核心组成部分,必须转变原有过时的内部会计控制观念和思想,以便更好地促进企业内部控制管理,使内部会计控制思想得到企业各个阶层的自觉遵守,“软控制”在企业中得到生根发芽,这是企业管理中最为推崇和有效的控制方法。在实务方面的启示,我国应吸收COSO报告的研究成果,对我国企业的内部会计的控制环境、控制过程和风险评估等进行重新审视并加以完善和提高,以便建立一套更适合我国企业的内部控制办法。
(五)企业风险管理整合框架阶段 背景:
安然事件——股东损失700亿美元 世通事件_110亿美元的会计舞弊案 萨班斯法案
企业风险管理架构在1992年COSO报告的基础上,结合《萨班斯-奥克斯法案》在财务报告方面的要求,进行了扩展研究。COSO对风险管理框架的定义是:“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理
风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理的保证”。 与1992年COSO报告提出的内部控制整体架构相比,企业风险管理架构增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。
1.5.1提出了一个新的观念——风险组合观
企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
1.5.2增加了一类目标——战略目标,并扩大了报告目标的范畴
内部控制架构将企业的目标分为经营、财务报告和合规性三类目标。企业风险管理架构也包含三个类似的目标,但是其中只有两个目标与内部控制架构中的定义相同,财务报告目标的界定则有所区别。内部控制架构中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理架构中报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括外部报告;包括企业内部管理者使用的报告,也包括向外部提供的报告;包括法定报告,也包括向其他利益相关者提供的非法定报告;既包括财务信息,也包括非财务信息。此外,企业风险管理架构比内部控制架构增加了一类新的目标—战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
1.5.3提出了两个新概念——“风险偏好”和“风险容忍度”
从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来。风险容忍度的概念是建立在风险偏好概念基础上的,是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
1.5.4增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所
扩大
企业风险管理架构新增了三个风险管理要素:“目标制定”、“事项识别”和“风险反应”。此外,风险管理架构更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。在控制环境要素上,企业风险管理架构将“控制环境”扩展为“内部环境”,更加直接、广泛地关注风险是如何影响企业的风险文化。在风险评估方面,企业风险管理架构建议从固有风险和残存风险的角度来看待风险;还要求注意相互关联的风险,确定一件单一的事项如何为企业带来多重的风险。在信息与沟通方面,企业风险管理架构扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。
总的来讲,新的架构强调在整个企业范围内识别和管理风险的重要性。COSO委员会强调风险管理框架必须和内部控制框架相一致,把内部控制目标和要素整合到企业全面风险管理过程中。因此,风险管理框架是对内部控制框架的扩展和延伸,它涵盖了内部控制,并且比内部控制更完整、有效。
相关推荐:
loading