美日企業內部控制與風險管理制度的考察

天津財經大學會計系在職研究生

一、美國企業內部控制及風險管理的變遷

內部控制的原意是指企業為了達到預定的目標，正確和有效地從事經營活動，在企業內建立和運用的組織體系和程序。內部控制是企業的一項管理手段，注冊會計師對內部控制的關注是因為它能減少審計的實質性測試，提高財務報表的信賴性。根據美國“反會計舞弊委員會”（Tready Commssin）下設的COSO委員會1992年和1994年公布的報告書，內部控制的概念包括3個目的和5個構成要素。

三個目的是指：

1 提高經營活動的經濟效果和效率

2 提高企業經營活動的守法性

3 提高企業財務報表的可靠性（可信性）

五項構成要素分別是：控制環境 風險評估 控制活動 信息與溝通 監督

內部控制是企業實現透明化治理的一項重要手段，它也是企業為達到既定目標持續發展，減少損失不可缺少的必要程序。從外部審計（注冊會計師審計）的角度看，它也是防止財務報表造假的重要措施。因此，上世紀九十年代以后，COSO委員會的概念受到世界各國的重視，企業設立內部控制逐漸變成法定制度。但是，2001年底開始美國陸續爆發了安龍世通等大公司的會計舞弊案，震動了全世界的會計審計界。人們在深刻反思了事件的原委之后，重新認識到內部控制的重要。為了制止和防范企業高層管理人員的會計造假，2004年COSO委員會發表了“企業風險管理——綜合概念框架”。在這個新的概念框架中，原有的內部控制概念擴大了，在人們普遍接受認可的企業內部控制的基礎上，增加了風險防范意識，重新構建了對風險控制的新的組織體系。COSO委員會發表的新報告，為統一相關概念，有利于注冊會計師的審計判斷提供了方便。“企業風險管理——綜合概念框架”（簡稱ERM）認為增加風險管理意識可在原有控制目的的基礎上強化企業能力。具體作用如下：

1企業戰略 ERM可協助企業風險管理人員規劃企業整體策略時綜合考慮風險的承受能力，將風險的承受度與企業戰略的選擇連接在一起。

2企業成長 企業的成長發展與風險和利潤相聯系，并將企業的目標實現建在可承受風險的范圍之內。

3風險對應 ERM強化，提高對風險的對應，并提供一些方法，幫助企業回避，降低，分攤，接受，轉化風險。提高企業的應變能力。

4減少損失 ERM可幫助企業建立風險管理模式降低或減少風險造成的損失。

5整合管理 識別與企業整體目標相關的各種風險，強調風險間的相互關聯，提出整合方案來進行管理。

6把握機遇 不確定事項給企業帶來的不僅是損失，也可能是利益。通過對風險的管理把握各種機遇，增加企業的價值。

7資本合理化 ERM可使企業管理者更有效地分配資源，合理地運用資本。

風險管理的8項要素是：

1內部環境 企業的管理活動受企業文化，董事會及最高管理者的經營理念以及誠實性倫理道德的影響。上述所有內容構成了企業風險管理的內部環境。該環境是風險管理的基礎。

2目標設定 管理者在從事風險管理之前 的目標，例如經營目標，利潤目標 等

3事項識別 對現存和潛在的不確定事項的認識和甄別。

4風險評估 分析上述不確定的事項（即風險）并作出評價。

5風險對應 針對上述識別和評估后的風險，管理者要根據企業的承受度選擇一種或幾種對應方案，使風險的損失降到最低。

6控制活動 在選定對應方案之后，管理者要確定相應方法和程序保證對應方案的順利執行。

7信息溝通 將企業經營中發生的來自內部 外部的各種信息及時提供給管理者作為決策參考，并及時與內部相關人員進行溝通。

8監督 對企業風險管理的每一個階層 每一個部門和個人的執行情況進行檢查。

企業風險管理是一個過程，受企業董事會 管理層及其他個人的影響，在確定

企業整體目標之后，隨時識別其可能影響目標實行的潛在事項（即風險），在企業對其風險承受度之內控制風險，從而保證企業預訂目標的實現。風險管理是一個過程而不是目標終點，它受人的影響。因此，對企業經營者（最高統治者）的制衡是衡量該項控制系統優劣的的標志，對其評價應涉及企業中的治理層和管理層。風險管理是企業的內部管理，應落實到企業每個階層和單位，置入企業整體策略的規劃中，為管理層和董事會提供及時的信息，為企業各方面目標的達成提供保證。

二、日本的內部控制和風險管理

“內部控制和風險管理是從不同的背景和不同的方向產生和發展起來的。當今，在企業面臨各種風險的對應，從企業價值的維持和發展的角度去看，兩者的目的有很多共同之處。現在，當企業所處的市場環境變得更嚴酷時，將兩者的機能結合起來是非常必要的。”（日本 經濟產業省 風險管理 內部控制研究會“新風險時代的內部控制”）2004年10月以后，日本也發生了一系列上市公司財務報表舞弊事件。其中有知名的大企業西武鐵道。金融廳為此對4543家上市公司進行了檢查，發現652家公司有不真實的情況。檢查后的調整事項總數為1330件。鑒于上述事件的影響2005年1月28日召開的日本企業會計審議會議決定設立“內部控制部會”。該部會于7月13日發表了“涉及財務報表的內部控制的評價準則和公認會計士審計準則”的公開草案，在廣泛征求社會意見 的基礎上，于2005年12月公布了該準則。日本的內部控制準則中的內部控制概念，是將COSO委員會發布的內部控制概念和企業風險管理概念兩方的內容綜合起來，結合日本本國的情況所建立的新內部控制概念框架。其內容包括四項目的和六項要素。四項目的分別是：

1經營業務的有效性及效率。建立內部控制制度就是為了提高企業經營的經濟效益和效率。

2財務報表的可信性。內部控制制度可確保對財務報表有重大影響的信息真實可靠，增加人們對財務報表的信賴。

3經營活動的守法性。為達到預定目標企業的各項活動應嚴格按照法律、法規、制度、政策及規則執行。

4資產的保全。為了保護與企業有關的各方面的利益，要特別注意對企業資產的保全。內部控制制度可使企業資產的取得、使用按正當的授權和處理程序進行，防止資產的流失。

內部控制的基本要素分別是：

（1）控制環境，控制環境是內部控制的基礎，它由企業的組織文化，企業管理者的經營理念決定，并受企業全體員工意識形態的影響。

（2）風險的評價和對應，隨時對企業可能發生的不確定事項（風險）進行預測，評估并采取應對措施。但是，風險的評價和應對受企業目標的選擇以及風險的識別，分析，評估的影響，它是企業經營者管理和控制風險的全部過程。

（3）控制活動，確保全部業務按企業管理者的命令和指示行動的手續。

（4）信息和溝通，經營中發生的信息要及時地在組織內部相關部門和人員中傳遞。

（5）監督活動，對內部控制活動的運行進行監視，隨時評價其有效性，發現問題及時解決，保證內控活動正常運行的過程。

（6）IT技術（情報技術）的應用，為了使內部控制活動有效和高效率地運行，應選擇相應的情報技術手段與之配合。

浸透了風險管理思想的內部控制是日本式內部控制的特點。它是從企業整體目標的角度出發，在識別、分析、評價風險的基礎上構建內部控制制度。它不僅優化了企業日常的經營活動，而且將企業面臨的所有不確定事項轉化為可通過策略及運作優勢達到企業經營目標。

三、美日內部控制及風險管理概念的比較

（一）COSO內部控制概念，時間：1992和1994，目的：1提高企業經營活動的經濟效果和效率2 提高企業財務報表的可信性3 提高企業經營活動的守法性構 成 要 素：1 控制環境2 風險評估3 控制活動4 信息與溝通5 監控

（二）ERM 的概念，時間：2004，作用：1 企業戰略2 企業成長3 風險應對4 降低損失5 整合管理6 把握機遇7 資本運用的合理化。構成要素：1 內部環境2 目標設定3 事項識別4 風險評估5 風險應對6 控制活動7 信息與溝通8 監督

（三）日本內部控制的概念時間：2005，目的：1 經營活動的有效性及效率2 財務報表的可信性3 經營活動的守法性4 資產的保全。構成要素：1 控制環境2 風險的評估和應對

3 控制活動4 信息和溝通5 監督活動6 IT技術

四、結語

內部控制只是企業的一項管理活動，現在受到審計界的關注，是因其對防止財務報表錯報，提高財務信息的信賴性有著重要的作用。風險管理是企業應對不確定因素的干擾，保證既定目標實現的重要手段。企業的風險與注冊會計師審計的風險并不一致，但是，在提高財務報表信賴性方面，內部控制的目的與注冊會計師審計的目的卻是一樣的。所以，在防止財務報表錯報方面的風險控制，企業和注冊會計師是有共識的。研究風險控制為中心的內部控制制度是受到企業與審計界共同關注的焦點。