從內部牽製到風險智能管理框架

風險與內控

作者：王清剛　劉曉晨

【摘 要】 經過不斷發展和演進，內部控製先後經曆了內部牽製、內部控製製度、內部控製結構、內部控製整體框架和風險管理整合框架等階段。特別是2007年下半年金融危機爆發後，人們對內部控製和風險管理的認識得到進一步提升，兩者融合的趨勢日益明顯。在COSO風險管理整合框架的基礎上，德勤國際會計公司借助現代信息技術，提出風險智能管理框架的新思想，並嚐試在其客戶中推廣和應用，取得良好的實踐效果。文章在回顧內部控製發展曆程的同時，重點介紹德勤國際會計公司的風險智能管理框架，以期為企業實施內部控製和風險管理提供借鑒。

【關鍵詞】 內部控製； 風險管理； COSO報告； 風險智能管理框架

企業在生產經營活動中經常麵臨影響目標實現的各種不確定性因素（即風險），針對各種風險，需要實施內部控製，以確保企業目標的實現。內部控製和風險管理是非常重要的管理術語，是促進企業實現戰略目標和經營計劃，使之良好運行的必要因素。經過不斷發展，內部控製和風險管理經曆了由低級到高級的演進變化，兩者整合及智能化管理的趨勢日益明顯。

一、內部控製的產生與發展

內部控製源於早期的內部牽製，內部牽製是以提供有效的組織和經營，並防止錯誤和其他非法業務的發生，以不相容職務分離和賬目核對為基礎的製度設計，包括實物牽製、機械牽製、體製牽製、簿記牽製等。內部牽製的機理基於兩個設想：一是兩個或兩個以上的人或部門無意識地犯同樣錯誤的機會是很小的；二是兩個或兩個以上的人或部門有意識地合夥舞弊的可能性大大低於單獨一個人或部門舞弊的可能性。內部牽製是內部控製的萌芽階段。

1949年，美國注冊會計師協會（AICPA）審計程序委員會首次提出了內部控製製度，認為內部控製製度是企業所製定的旨在保護資產安全、保證會計信息可靠、提高企業經營效率，推動管理部門所製定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。後來，該程序委員會又將內部控製劃分為內部會計控製和內部管理控製兩類。會計控製由所有與保護資產安全、保證會計信息可靠性有關的組織計劃、方法和程序構成，包括授權與批準製度；記賬、編製財務報表、保管財物等職務的分離；財產的實物控製；內部審計等。管理控製由所有為提高經營效率、保證管理部門所製定的各項政策得到貫徹執行等有關的組織計劃、方法和程序構成。管理控製的方法和程序通常隻與財務記錄發生間接關係，如統計分析、經營報告、雇員培訓和質量控製等。獨立審計師應主要檢查會計控製。管理控製通常隻對財務記錄產生間接的影響，因此，審計人員可不對其作評價。

1988年，AICPA發布了《第55號審計準則公告：財務報表審計中對內部控製結構的考慮》，以“內部控製結構”取代了原有的“內部控製製度”。內部控製結構是指為合理保證企業特定目標的實現而建立的各種政策和程序，包括控製環境、會計係統和控製程序。控製環境是指對建立、加強或削弱特定政策和程序效率發生影響的各種因素，如管理者的思想和經營作風、企業組織結構、董事會及其所屬委員會（特別是審計委員會）發揮的職能等。會計係統規定各項交易及事項的分析、歸類、記錄和編報的方法等。控製程序是管理當局所製定的用以保證達到一定目標的措施和方法，如授權審批、不相容職務分離、內部稽核等。

二、從內部控製結構到內部控製框架

1992年之前，人們對內部控製存在著多種解釋。從審計視角看，內部控製是保證財務報告可靠性的手段和方法；從管理者視角看，內部控製是保證企業效率效果目標實現的管理控製；從股東和其他利益相關者的角度看，內部控製是為解決代理人的道德風險與逆向選擇問題而建立的一套監督和製衡製度，即公司治理（張先治等，2011）。為整合多種內部控製概念和解釋，1992年，美國“反虛假報告委員會”專門成立了COSO委員會。經過研究，COSO委員會發布了專題報告《內部控製：整體框架》，將內部控製定義為：由企業董事會、經理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。整體框架認為內部控製是由目標層麵、要素層麵和結構層麵構成的三維度整體框架。目標層麵包括財務報告目標、經營目標及合規性目標三個方麵；要素層麵包括控製環境、風險評估、控製活動、信息與溝通、監督五要素；結構層麵包括各業務單位和業務活動。

內部控製整體框架相比以前的發展而言，有以下進步：

1.強調內部控製是一個過程，是為實現組織目標而實施控製活動的過程，是一個多維度的整體框架，而不僅是文件化的流程和製度。