【所属章节】:
本知识点属于《公司战略与风险管理》科目第六章风险管理框架下的内部控制第一节内部控制与风险管理的关系的内容。
【知识点】:企业内部控制理论的演变与发展
(一)内部牵制阶段
第一阶段,起步阶段,即内部牵制阶段。最初的内部控制定义就是内部牵制,它基本是以査错防弊为目的,以岗位分离和账目核对为手段,以钱、账、物等会计事项为主要控制对象。其核心主要关注于会计领域。
(二)内部控制制度阶段
第二阶段,进化阶段,即内部控制制度阶段。20世纪50年代至70年代,内部控制的发展进入到内部控制制度阶段。内部控制制度有两类,即内部会计控制制度和内部管理控制制度。内部控制的目标除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定管理方针。
(三)内部控制结构阶段
第三阶段,提高阶段,即内部控制结构阶段。20世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。在该阶段正式将内部控制环境纳入内部控制范畴,同时不再区分内部会计控制和内部管理控制。内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,内部控制由三个要素组成:内部控制环境、会计制度和控制程序。
(四)内部控制整合框架阶段
第四阶段,演进阶段,即内部控制整合框架阶段。1992年9月,美国反虚假财务报告委员会的发起组织委员会(COSO)发布了一份报告《内部控制——整合框架》(1994年进行了增补),即COSO内部控制整合框架。该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”
内部控制的三项目标包括:取得经营的效率和效果;确保财务报告的可靠性;遵循适用的法律法规。
内部控制的五大要素包括:控制环境、风险评估、控制活动、信息与沟通、监督。这些要素从管理当局运营的业务中衍生出来,并整合在管理过程当中。
(五)全面风险管理阶段
第五阶段,提升阶段,即全面风险管理阶段。2004年9月,COSO发布了《企业风险管理——整合框架》。
企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”风险管理整合框架文本中指出风险管理框架将内部控制框架涵盖在其中。
风险管理整合框架有3个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维风险管理要素有8个,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。第三个维度是企业的层级,包括主体层次、各分部、各业务单元及下属各子公司。
风险管理整合框架三个维度的关系是:风险管理的8个要素都是为企业的4个目标服务的;企业各个层级都要坚持同样的4个目标;每个层次都必须从以上8个方面进行风险管理。
与COSO内部控制整合框架相比,风险管理整合框架具有下列6个方面的主要特点:
(1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分。
(2)拓展了所需实现目标的内容。
首先,在实现目标方面增加了统驭经营、财务报告和遵循法律法规的最高层次——战略目标。
其次,将财务报告扩展为企业编制的所有报告,包括出于内部管理目的而编制的报告和其他外部报告,如监管申报材料和其他报送给外部利益相关者的报告。
最后,引入风险偏好和风险容忍度的概念。
(3)引入风险组合观,使企业在考虑实现企业目标的过程中关注风险之外,还有必要从企业角度和业务单元两个角度以“组合”的方式考虑复合风险。
(4)更加强调风险评估在风险管理中的基础地位,将COSO报告的风险评估扩展为一个由4要素组成的过程——目标设定、事项识别、风险评估和风险应对,并相应地在岗位设置上做出具体安排,如设置首席风险官。
(5)扩展了控制环境的内涵,强调风险管理概念和董事会的独立性。
(6)扩展了信息与沟通要素,企业不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响。