第三章风险管理框架下的内部控制
 引导案例
引导案例A公司审计委员会的作用
A公司是一家全球性的电信公司，其股票即将上市交易。目前，董事会正在考虑如何在充分解决客户投诉方面加强内控；并且鉴于竞争对手公司最近因滥用会计准则而倒闭，该董事会还考虑要加强对正确编制会计记录的控制。
为了解决上述问题，无论是从法律角度还是从运营角度考虑，公司都有必要在上市后成立审计委员会。审计委员会的主要职能之一是监督内审部门。作为内审工作的监督机构，在该委员会应当核查内审时是否充分考虑了为防止问题出现及时取得客户投诉的支持性证据而设计的程序。而且，审计委员会应负责指定和撤换公司的外聘审计师，确保外聘审计师的独立性和客观性，并以适当方式复核他们的工作。审计委员会应每年至少与内外部审计师会面一次，并探讨包括任何可疑的舞弊行为或会计问题在内的事项。在掌握了关于内控系统的重大审计发现及事项后，审计委员会应及时向董事会报告。资料来源: 闫蕾. 上市公司审计委员会相关问题探讨——以A公司为例\[J\].财会通讯，2013，(8). 导言随着社会经济的持续发展，企业内部控制也在不断发展变化，并日益受到广泛的关注与重视。本章从风险管理的角度对企业内部控制的发展进行探讨，立足于对风险管理和内部控制内涵的理解，在阐述现有内部控制理论基础之上，详细讲解内部控制规范体系，分析风险管理、内部控制与公司治理三者之间关系，以风险管理为导向进行内部控制，为内部控制相关目标的实现提供更多的保障。
第一节内部控制与风险管理的关系
研究内部控制与风险管理的关系，要从内部控制理论的演变与发展开始。一、 企业内部控制理论的演变与发展
内部控制(也称为“内控”)是一个古老而又充满活力的话题，也是企业法人治理结构的精髓所在，内部控制经历了一个不断发展、逐渐完善的历史进程。见图31。
企业风险管理（第2版）[3]第三章风险管理框架下的内部控制图31内部控制理论演讲的历史阶段
(一) 内部牵制阶段
第一阶段，起步阶段，即内部牵制阶段。最初的内部控制定义就是内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手段，以钱、财、物等会计事项为主要控制对象。内部控制作为一个专用名词和完整概念，直到20世纪30年代才被人们提出、认识和接受，但其核心主要关注于会计领域。
(二) 内部控制制度阶段
 第二阶段，进化阶段，即内部控制制度阶段。20世纪50年代至70年代，内部控制的发展进入内部控制制度阶段。在这一阶段，内部控制开始区分为内部会计控制和内部管理控制两方面，主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外，还包括增进会计信息的可靠性、提高经营效率和遵循既定管理方针。
 1972年，美国注册会计师协会审计程序委员会《第54号审计程序公告》对内部会计控制进行了重新定义，认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录，并对下列事项提供合理的保证: 交易经过合理的授权进行；公司对交易进行了必要的记录，以确保财务报表的编制与公认会计原则保持一致；资产的使用和处置经过管理层的适当授权；在合理期间内，对现存资产与资产的会计记录之间的任何差异采取恰当的行动。
(三) 内部控制结构阶段
第三阶段，提高阶段，即内部控制结构阶段。20世纪80年代至90年代，内部控制的发展进入内部控制结构阶段。这一阶段开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内容控制结构之中，并且不再区分内部会计控制和内部管理控制。控制环境反映着组织的各个利益关系主体(管理当局、所有者和其他利益关系主体)对内部控制的态度、看法和行为；会计制度规定各项经济业务的确认、分析、归类、记录和报告方法，旨在明确各项资产、负债的经营管理责任；控制程序是管理当局所确定的方针和程序，以保证达到一定的目标。1988年4月，美国注册会计师协会发布《审计准则公告第55号(SAS No.55)》，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构一词取代原有的“内部控制”一词。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。其重点表现在: 一是正式将内部控制环境纳入内部控制范畴；二是不再区分内部会计控制和内部管理控制。
(四) 内部控制整合框架阶段
第四阶段，演进阶段，即内部控制整合框架阶段。1992年9月，美国反虚假财务报告委员会的发起组织委员会(COSO)发布了一份报告《内部控制: 整合框架》(IC)，提出了内部控制的三项目标和五大要素(如图32所示)，标志着内部控制进入了一个新的发展阶段。
图32COSO内部控制整体框架
内部控制的三项目标包括: 取得经营的效率和有效性；确保财务报告的可靠性；遵循适用的法律法规。内部控制的五大要素包括: 控制环境(包括员工的正直、道德价值观和能力，管理当局的理念和经营风格，管理当局确立权威性和责任、组织和开发员工的方法等)、风险评估(为了达成组织目标而对相关的风险所进行的辨别与分析)、控制活动(为了确保实现管理当局的目标而采取的政策和程序，包括审批、授权、验证、确认、经营业绩的复核、资产的安全性等)、信息与沟通(为了保证员工履行职责而必须识别、获取的信息及其沟通)、监督(对内部控制实施质量的评价，主要包括经营过程中的持续监控，即日常管理和监督、员工履行职责的行为等，也包括个别评价，或者是两者的结合)。这些要素从管理当局运营的业务中衍生出来，并整合在管理过程当中。
(五) 全面风险管理阶段
第五阶段，提升阶段，即全面风险管理阶段。2004年，美国反虚假财务报告委员会下属发起组织委员会，通过全面检讨修订1992年的COSO报告，发布了新的《企业风险管理——整合框架》(ERM)。风险管理整合框架认为，全面风险管理是一个过程。
这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，图33企业风险管理框架
用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。该框架有3个维度(见图33)，第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目标有4个，即战略目标、经营目标、报告目标和合规目标。第二维风险管理要素有8个，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。第三个维度是企业的层次，包括主体层次、各分部、各业务单元及下属各子公司。ERM三个维度的关系是，风险管理的8个要素都是为企业的4个目标服务的；企业各个层级都要坚持同样的4个目标；每个层次都必须从以上8个方面进行风险管理。
与COSO内部控制整合框架相比，ERM整合框架具有下列6个方面的主要特征。
(1) 内部控制涵盖在企业风险管理活动之中，是其不可分割的组成部分。
(2) 拓展了所需实现目标的内容。
首先，在实现目标方面增加了统驭经营、财务报告和遵循法律法规的最高层次—战略目标。
其次，将财务报告扩展为企业编制的所有报告，包括出于内部管理目的而编制的报告和其他外部报告，如监管申报材料和其他报送给外部利益相关者的报告。
最后，引入风险偏好和风险容忍度的概念。要实现对风险的有效管理，必须在有限的成本和可能的损失之间权衡，这自然提出了风险偏好和风险容忍度的概念。风险偏好是企业在追求价值增值过程中愿意接受的广泛意义的风险的程度，即可接受的风险的种类和风险的数量；风险容忍度是指在企业目标实现过程中对风险数量和金额的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定风险容忍度的过程中，管理层应当考虑相关目标的相对重要性，使其与风险偏好相互协调。
(3) 引入风险组合观，使企业在分别考虑实现企业目标的过程中关注风险之外，还有必要从企业角度和业务单元两个角度以“组合”的方式考虑复合风险。
(4) 更加强调风险评估在风险管理中的基础地位，将COSO报告的风险评估扩展为一个由4要素组成的过程——目标设定、事项识别、风险评估和风险应对，并相应地在岗位设置上做出具体安排，如设置首席风险官。
(5) 扩展了控制环境的内涵，强调风险管理概念和董事会的独立性。
(6) 扩展了信息与沟通要素，企业不仅要关注历史信息，还要关注现在和未来可能影响目标实现的各种事项的影响。
可以说，从内部控制历史发展的线索来看，内部控制最初是基于管理的某种需求，此后，在企业管理的发展和外部审计活动的不断推动下，内部控制的理论和实务得到进一步的深化和丰富。内部控制理论的每一个阶段性成果，无不与企业组织形式的变化和利益相关者的价值目标相一致，每当企业组织形式和利益相关者发生变化时，内部控制都会面临挑战，随着社会经济环境的变化，内部控制也必然会获得新的发展。同时，还应该看到，内部控制目前的发展已经完全不再囿于审计领域，从一个较长的发展时期来看，内部控制正在逐步突破审计行业或者专业的限制，开始向企业管理和公司治理进一步拓展和回归。
二、 内部控制与风险管理的关系
企业风险管理与内部控制二者的区别和联系一直是理论和实务界争论的热点话题，且至今仍未达成共识。目前理论界对内部控制与风险管理的关系有三种不同的观点。
(一) 内部控制包含风险管理
第一种观点认为，内部控制包含风险管理。按照施控的主体来分，控制可分为内部控制和外部控制。加拿大COCO报告(1995)认为: “控制”是一个组织中支持该组织实现其目标诸要素的集合体，实质上就是“内部控制”，风险评估和风险管理是控制的关键要素。同时，该报告将风险定义为“一个事件或环境带来不利后果的可能性”，阐明了风险管理和内部控制的关系: “当你在把握机会和管理风险时，你也正在实施控制。”
(二) 风险管理包含内部控制
第二种观点认为，风险管理包含内部控制。英国Turnbull委员会(2005)认为，风险管理对企业目标的实现具有重要意义。企业的内部控制在风险管理中扮演关键角色，内部控制应当被管理者看作范围更广的风险管理的必要组成部分。南非King Ⅱ Report(2002)认为，传统的内部控制系统不能管理很多风险，如政治风险、技术风险和法律风险，风险管理将内部控制作为减轻和控制风险的一种措施，是一个比内部控制更加复杂的过程。持这类观点的人一般认为风险管理的内涵比内部控制更宽阔，内部控制是风险管理的必要环节。
(三) 内部控制与风险管理是一对既互相联系又互相差别的概念
 第三种观点认为，内部控制与风险管理是一对既互相联系又互相差别的概念。内部控制是为了达到某些目的而进行的一种动态的管理过程，这个过程是通过纳入管理大量制度及活动实现的。内部控制的目的一般包括提高经营效率，遵守国家有关法律法规和企业内部规章制度，保证信息的真实、可靠和资产安全、完整，从而实现企业目标。而风险管理则是围绕特定目标，通过各种手段对风险进行管理，为实现目标提供合理保证的过程和方法。风险管理一般要先收集风险信息，进行风险评估，选择风险管理策略，制定风险管理方案，并对风险管理进行持续的监督和改进，同时还要构建风险管理组织体系和风险管理信息系统，营造风险管理文化。
因而，持这类观点的人认为内部控制与风险管理既有联系，又各有侧重，不存在包含或被包含关系，也无法完全互相替代，二者具有明显的相同点与差别点。相同点是两者均是合理保证目标实现的过程。在实际操作中，内部控制的实施经常会运用风险管理方法，内部控制是基于风险的控制过程，是对风险进行评估和管理的必要过程。通过内部控制的实施，可将风险控制在可接受的范围内，确保企业的经营按照既定的目标前进。同时，风险管理的技术方法也常运用到内部控制的过程中。
差别主要体现在: 风险管理更偏向这一过程的前端，更偏向于对影响目标实现的因素的分析、评估与应对；相对于内部控制，风险管理是一个更为独立的过程。内部控制更加重视实施，嵌入企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，提高效率，从而合理保证目标的实现。
综上所述，不论什么观点，内部控制与风险管理在本质上是协调共存、密不可分，这已经成为人们的共识。
第二节我国内部控制规范体系〖*4/5〗一、 我国内部控制规范体系的建立与发展相对于发达国家内部控制的产生与进程而言，中国企业的内部控制起步较晚。中国企业内部控制是在企业经济活动的外在推动下，渐渐开始引起重视。中国企业内部控制体系从2001年出台的企业内部会计控制基本规范开始，历经数次修正与不断完善。
2006年7月，受国务院委托，财政部牵头，由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障。
企业内部控制标准委员会的职责和目标是总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过数年的努力，基本建立一套以防范和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系，并以监管部门为主导，各单位具体实施为基础，会计师事务所等中介机构咨询服务为支撑，政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。
(一) 《企业内部控制基本规范》
2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》(以下简称《基本规范》)。自2009年7月1日起适用于中华人民共和国境内设立的大中型企业(包括上市公司)执行。同时鼓励小企业和其他单位参照其内容建立与实施内部控制。
 《基本规范》要求企业建立内部控制体系时应符合以下目标: 合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。目标的设置在COSO风险管理框架的4目标基础上又增加了一项“资产安全”。
《基本规范》借鉴了以美国COSO内部控制整合报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素: (1)内部环境； (2)风险评估； (3)控制活动； (4)信息与沟通； (5)内部监督。
企业内部控制标准委员会在《企业内部控制基本规范起草说明》中说，《基本规范》在形式上借鉴了COSO内部控制整合报告5要素框架，同时在内容上体现了COSO风险管理8要素框架的实质。其8要素实质主要指在风险评估要素中细化表述了风险管理的流程: 风险识别、风险分析和风险应对策略，并且在风险应对策略中比照COSO风险管理框架说明了风险规避、风险降低、风险分担和风险承受4种应对策略。另外，在5要素之外间接表述了企业的目的。
(二) 《企业内部控制配套指引》
在颁布了《基本规范》之后，财政部、证监会、审计署、银监会及保监会于2010年4月26日联合发布了《企业内部控制配套指引》(以下简称《配套指引》)，其中包括18项《企业内部控制应用指引》(以下简称《应用指引》)、《企业内部控制评价指引》(以下简称《评价指引》)和《企业内部控制审计指引》(以下简称《审计指引》)。《配套指引》对《基本规范》进一步的细化，该指引的制定发布，标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标的基本建成。《配套指引》自2011年1月1日起按已定时间表在境内外不同类型的公司施行。同时，鼓励相关非上市大中型企业提前执行。
《应用指引》针对组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域或内控手段，提出了建议性的应用指导，为企业以及外部审核人，建立与评价内控体系提供了参照性标准。
《评价指标》为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供指引。该评价指引明确内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，企业应当确定评价的具体内容及对内部控制设计与运行情况进行全面评价。同时，指引中对内部控制评价的内容、程序、缺陷的认定、评价报告、工作底稿要求、评估基准等方面做出了规定。
《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。它明确注册会计师应对财务报告内部控制的有效性发表审计意见，内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。同时，就审计计划工作、审计实施、如何评价控制缺陷、审计期后事项、审计报告内容和方法以及审计工作底稿做出了规定。
二、 内部控制规范的框架体系
总结我国内部控制规范体系，包括基本规范、应用指引、评价和审计三个类别，依次是核心统领、应用指引和事后鉴定三种类型。见图34。
图34企业内部控制标准框架结构
如图34所示，企业内部控制规范是一个科学的体系，基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体。
(1) 《企业内部控制基本规范》规定内部控制的基本目标、基本要素、基本原则和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用。
(2) 内控体系的有效实施，还需要一些具有可操作性的具体应用规范。《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位。
(3) 《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻《基本规范》和《应用指引》效果的评价与检验。
本章以下各节将对这三个类别的内部控制规范展开具体阐述。
第三节内部控制基本规范〖*4/5〗一、 内部控制的目标《基本规范》将内部控制定义为: 由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。
《基本规范》将内部控制的目标归纳为五个方面: (1)合理保证企业经营管理合法合规； (2)合理保证企业资产安全； (3)合理保证企业财务报告及相关信息真实完整； (4)提高经营效率和效果； (5)促进企业实现发展战略。
该定义反映了以下基本概念: 内部控制是一个过程，它是实现目的的手段，而非目的本身；内部控制受人的影响，它不仅仅是政策手册和图表，而且涉及企业各层次的人员；内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证；内部控制是为了实现五类既相互独立又相互联系的目标。
二、 内部控制的原则
中国企业的内部控制建设面临着外部环境、文化理念、管理层经营哲学、各种竞争等多方面的环境变量与因素的影响，企业的内部控制体系也需将众多的因素与风险纳入控制范围予以考虑。在纷繁复杂的环境和因素影响下，企业构建并实施内部控制体系，应当遵循以下基本原则。
(一) 全面性原则
所谓全面性，就是强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。需要注意到: 内部控制是一种机制，是一个制度安排，包含了上至企业的文化、治理结构、员工守则等文化道德和公司治理层面，下到政策制度、操作流程、营运工具、内部审计、业绩考核等操作细节层面，并需要有强劲的管理子系统作支撑。所以，在构建内部控制体系时，应将该体系贯穿于决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，也应考虑各子体系之间各自的独立性和相互联系，使之成为一个有机体，协同合作，更充分地发挥内部控制体系的作用。
(二) 重要性原则
所谓重要性，就是指在全面控制的基础上，内部控制应当关注重要业务事项和高风险领域。这就要求企业在内部控制建设的过程中要仔细甄别，应当在全面控制的基础上，关注重要业务事项和高风险领域，并根据自己企业的需要挑选适合企业现状的要素、子系统和控制流程，以保证内部控制建设过程中的简洁。甄别出需要的要素、子系统和流程后，应该进一步识别出关键流程的控制关键，辨清关键控制点的关键流程，以清晰的政策、简洁的流程框定出关键的控制程序。
(三) 制衡性原则
所谓制衡性，就是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。内部控制规范的基本要求是在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制，同时兼顾运营效率。制衡作为一种机制是内部控制的重要构成部分，但是切忌一味地、片面地强调制衡，在权力分配和业务流程设置上过度制约，会影响企业的效率。
(四) 适应性原则
所谓适应性，就是强调内部控制应当与企业经营规模、业务范围、竞争状况和风险水