内部控制的风险评估要素

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇内部控制的风险评估要素范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

内部控制的风险评估要素范文第1篇

第一，针对企业内部审计来说，其从属于企业内部控制体系，可以看做其他控制活动的二次管理和控制。当前的企业内部控制来说，已经经过了长时间的转变，也经历过了比较多的发展阶段。而企业内部审计来说，也可以看做内部控制的一部分，相对而言，其实际上是一种比较独立的控制方法和模式，可以实现对别的控制和管理要素的深入控制，实际作用是比较大的。第二，内部控制作为管理制度的重要组成部分，是企业管理的重要手段，是衡量企业管理的重要标志。同时，内部控制也是审计人员用以确定审计程序的重要依据，对内部控制的重视与信赖，加速了现代审计方法的变革，缩小了审计范围，节约了审计时间和审计费用，完善了审计的职能。因此，内部控制的健全与否，决定着企业的经营目标是否实现，决定着经营风险的大小,同时还可以保证企业资产的安全与完整，防止错误与舞弊的发生，减少财务报表层次以及各交易、账户余额和列报认定层次的重大错报风险，提高审计的重要性水平。

二、内部控制在企业审计实务中的应用

(一)控制环境要素的应用

在企业内部控制和管理过程中，控制环境要素是必不可少的，也是最基础的要素，控制环境要素含有治理结构、人力政策，还含有权责合理分配，文化资源等以及管理当局的观念和管理风格等等。如果从审计角度的来看，审计人员必须从根本上落实好审前调查工作，不仅要对企业的部门设置情况进行调查，还要对相应的人力政策等进行调查，要在掌握多方面环境要素的基础上，完善内部审计方案。

(二)风险评估要素应用

风险评估是指企业及时识别，系统分析经营活动中与内部控制目标相关的风险，合理确定风险应对政策。风险对于一个企业来说，包含有内部风险和外部风险。在审计过程中，被审计单位的风险评估是非常重要的。在审计准备阶段，利用风险评估结果，可以确定将要实施实质性测试的性质，范围，时间和重点，为编制审计方案提供科学依据；审计实施阶段，审计人员可以进一步了解内部控制的实际执行情况和有效程度，对控制风险水平再次评估，如与准备阶段评估有出入则可以对审计方案作出调整。

(三)控制活动要素应用

在进行风险评估之后，就要制定相应有效的风险控制方案，采取相应有效的风险控制对策，要把风险控制到合理范围内。具体来说，不仅要加大对职务分离情况的控制力度，还要加大业务授权、实物和独立检查的控制力度等。在审计过程中，审计人员要应用多样化的审计方法，全方位掌握被审计单位的控制活动开展情况。另外，被审计单位的业务目标、控制目标和控制点越明确，审计人员的工作效率就会越高。

(四)内部监督要素应用

在企业内部审计和控制当中，加大监督力度是十分有效的，只有从根本上完善企业内部监督检查制度，及时掌握和监测企业内部控制情况，及时发现内部控制中存在的问题，才能及时采取有效措施进行解决。在审计过程中，内部审计人员要在结合控制评估结果的基础上，明确内部控制的不足之处，还要严格根基企业内部控制规定进行措施应用，大力应用内部奖惩制度和方法。

三、结语

内部控制的风险评估要素范文第2篇

在市场经济条件下，每个企业都面临着来自外部和内部的风险。企业内部控制就是通过对风险的控制以实现其目标的，风险评估是企业内部控制的重要内容之一。内部控制中的风险评估的概念有广义和狭义之分。广义的风险评估包括目标设定、风险识别、风险分析、风险应对等；狭义的风险评估仅仅是指风险分析，即通过采用定性分析和定量分析，按照企业风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

一、《内部控制框架》中的风险评估

美国COSO委员会《内部控制框架》所使用的风险评估概念属于广义风险评估，《内部控制框架》将其作为内部控制的关键构成要素。

（一）设定目标

根据《内部控制框架》，风险评估首先要设定目标。设定目标是风险评估的前提条件。风险是与目标伴随的，首先必须有目标，管理层才能对实现目标的风险进行识别。根据《内部控制框架》，目标设定不属于内部控制的构成要素，但它是内部控制的前提条件，为此《内部控制框架》专门对目标设定进行了论述。目标包括企业层面的目标和业务层面的目标。管理层通过目标设定来明确业绩衡量标准，目标具体分为经营目标、财务报告目标和合规目标。经营目标是管理层基于企业所处特定经营环境所设定的业绩衡量标准；财务报告目标在于对外公布的财务报告的可靠性；合规性目标则要求企业的经营活动遵循适用的法律法规。这些目标是相互补充和相互关联的。

（二）风险识别

1.风险识别必须与目标联系，无论目标是明确的还是隐含的，企业的风险识别应当考虑到目标实现面临的各种可能出现的风险。2.风险识别是一个持续性、反复的过程。3.进行风险识别时应当关注企业各个层面的风险，包括企业层面的风险和业务层面的风险。对主体层面的风险进行识别时，既要关注外部风险，也要关注内部风险。来自外部的风险主要有技术进步引起的风险、客户需求变化风险、市场竞争风险、法律法规变动风险、自然灾害风险以及经济环境变化风险等;来自内部的风险包括信息系统故障风险、员工素质能力等方面的风险、管理层变动风险以及董事会或审计委员会不作为的风险等。对业务层面的风险进行识别时，应当将该层面的风险评估集中于主要业务流程和主要职能上，如销售、生产、营销、研究开发等。应当识别对企业有重大影响的较为明显的风险。

（三）风险分析，即狭义的风险评估

企业在对企业层面的风险和业务层面的风险识别后，则需要进行风险分析。风险分析的方法多种多样。风险分析的过程通常包括估计风险的严重性、评估风险发生的可能性、评估应采取的措施等三个步骤。应当注意的是，作为内部控制一部分的风险评估，与作为管理过程应对措施而采取的计划、方案及其他措施存在着区别。

（四）建立识别环境变化的机制

风险评估本质上是一个识别变化并采取必要措施的过程。随着经济、行业和监管等外部环境的变化，企业的经营活动也将发生相应的调整，企业应当建立一套正式或非正式的程序，对可能影响企业目标实现的风险进行识别。管理层应当特别关注以下对环境影响的因素，这些因素包括已变化的经营环境、管理层人员更换及员工大规模更换、使用新的或调整后的信息系统、经营业务快速增长、采用新技术、开拓新的经营领域、进行公司重组等。企业应当建立一定的机制，对发生变化的外部环境进行识别。

二、《企业风险管理框架》中的风险评估

美国COSO委员会2004年的《企业风险管理框架》中将风险管理的要素划分为内部环境、目标设定、事项识别、风险评估、风险应对、信息与沟通和监控等八要素。根据《企业风险管理框架》，风险评估就是要对识别的风险进行分析，以形成确定如何对其进行管理的依据。这实际就是《内部控制框架》中的风险分析，属于狭义上的风险评估概念。《内部控制框架》中的风险评估实际上包括事项识别、风险评估、风险应对三项内容，而目标设定则作为内部控制的前提条件，不属于内部控制要素的范围。

风险总是与特定目标的实现相联系。如不出国旅游，则不会涉及到飞机失事的风险。根据《企业风险管理框架》，实施风险管理首先就涉及到设定目标。目标设定是事项识别、风险评估和风险应对的前提。《企业风险管理框架》正是出于风险管理的需要将目标设定作为风险管理的构成要素之一。《企业风险管理框架》中的目标包括战略目标和相关目标，战略目标是最高层次的目标，而相关目标则是建立在战略目标基础上的企业层面等的目标，企业层面的目标与更为具体的目标相关联,贯穿于整个企业，并具体为各项业务和各项职能的次级目标。《企业风险管理框架》要求设定的目标应当是可计量的，并要求企业各个层次人员根据各自所影响的范围了解企业设定的目标。设定的目标分为经营目标、报告目标、合规目标等三项。作为风险管理的一部分，企业在选择目标时要确保其目标与企业的风险容量相协调。风险容量是企业管理当局在董事会的监督下确定的，反映着企业的风险管理理念，并影响企业的文化和经营风格，是制定战略目标的风向标。战略目标应当选择与其风险容量一致的目标，并使风险反映于战略目标之中。

《企业风险管理框架》中的事项识别要求管理当局对源于内部或外部的影响战略实施或目标实现的事故或事件进行识别，对企业目标实现将带来负面影响的确定为风险，并对其进行评估和应对；将存在正面影响的确定为机会，将其反馈到战略或目标的制定过程之中。在对事项进行识别时，必须考虑企业整体范围内可能带来风险和机会的所有内部和外部因素。外部因素需要考虑的通常包括经济因素、自然环境因素、政治因素、社会因素、技术因素等；而内部因素需要考虑的通常包括人员、流程、技术等因素。

《企业风险管理框架》中的风险评估（即风险分析）要求进行风险评估时，既要考虑预期事项也要考虑非预期事项，对可能对企业存在重大影响的非预期的潜在事项和预期事项的风险进行评估；既要考虑固有风险，也要考虑剩余风险。固有风险是指管理当局未采取任何措施的情况下企业所面临的风险；而剩余风险则是在管理当局进行风险应对之后所残余的风险。确定相应的风险应对后，则集中考虑剩余风险的管理。

《企业风险管理框架》中的风险应对要求企业管理当局评估风险的可能性和影响，并在成本效益比较的基础上，选择能够使剩余风险处于期望的风险容限范围之内的应对策略。风险应对策略包括风险回避、风险降低、风险分担和风险承受。管理当局应当在企业范围内识别风险并确定企业总体剩余风险处于企业风险容量之内。

三、我国《企业内部控制基本规范》中的风险评估

我国《企业内部控制基本规范》中的风险评估使用的是广义上的风险评估概念，包括目标设定、风险识别、风险分析和风险应对。《基本规范》要求企业应当根据设定的控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时进行风险评估。根据《基本规范》。风险评估的具体过程包括：

（一）控制目标的设定

设定控制目标是进行内部控制，特别是风险评估的前提。企业应当根据自身的实际情况，按照本身的发展规划合理确定战略目标。设定的目标应当尽可能量化，并细化为各业务活动和各职能部门的具体目标。内部控制目标的设定要切实可行，与内部控制发展的不同阶段相适应，设定不同要求的内部控制目标，并随着内部控制的发展，逐步提升内部控制目标。

（二）风险识别

《基本规范》要求企业进行风险评估时，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度即风险容量，是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

企业在识别内部风险时，应当关注和考虑的因素包括：1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；2.组织机构、经营方式、资产管理、业务流程等管理因素；3.研究开发、技术投入、信息技术运用等自主创新因素；4.财务状况、经营成果、现金流量等财务因素；5.营运安全、员工健康、环境保护等安全环保因素；6.其他有关内部风险因素。上述因素的现状往往是风险存在的基础，上述因素的变动则往往会诱发新风险的产生。

企业识别外部风险，应当关注和考虑的因素包括：1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；2.法律法规、监管要求等法律因素；3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；4.技术进步、工艺改进等科学技术因素；5.自然灾害、环境状况等自然环境因素；6.其他有关外部风险因素。上述因素实际上是企业经营活动所处的外部环境，外部环境的变动必然会影响到企业的经营活动，有可能给企业带来新的风险，如一项新的技术被其他同行所采用，有可能导致企业所占有的市场份额发生变化而带来风险。再如政府颁布实施较过去更为严格的监管法律，由此可能导致本企业传统加工方法无法继续使用，从而导致风险的产生。

（三）风险分析

《基本规范》要求企业采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。鉴于风险分析的专业性和复杂性，要求企业进行风险分析时充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。风险分析的目的在于为企业风险应对提供依据。由于企业董事、经理和其他高级管理人员在企业经营活动中的特殊地位，其个人风险偏好对经营活动等具有重大影响，企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，并予以特别关注，避免因个人风险偏好给企业经营带来重大损失。

（四）风险应对

内部控制的风险评估要素范文第3篇

【关键词】 高速公路上市公司 内部控制 回归分析 因子分析

一、引言

随着经济的发展，高速公路行业发展迅速，在国民经济中发挥着越来越重要的作用。高速公路公司内部控制是否健全有效，将直接影响国有资产的保值增值和会计信息的质量。2008年5月22日，我国财政部、证监会、审计署、银监会、保监会联合正式的《企业内部控制基本规范》为我国高速公路公司建立健全内部控制体系提供了标准。目前，我国大多数上市公司已经按照该规范的要求对内部控制进行重新设计，但是，由于我国《企业内部控制基本规范》主要是借鉴了COSO内部控制基本框架和COSO的风险管理框架的内容，其是否适应于我国的现实情况还需要实践的检验，况且设计的有效性也并不必然意味着执行的有效性。因此，建立健全高速公路公司内部控制系统面临的首要问题就是评价其有效性。

二、理论分析与研究假设

1、内部控制研究范畴的界定

实证会计理论认为，公司往往在产业集中程度、企业行为的内部化或外部化及资本结构中的融资方式等等方面采用其认为最有效的组织形式来达到生存前景最大化的目的（Alchian，1950）。大多数实证会计理论在预测公司为了达到其目的所采取的行动时都是围绕瓦茨和齐默尔曼（Watts and Zimmerman，1990）所提出分红计划、债务契约和政治成本三大假设展开的，从机会主义观的角度看，公司经理人员选择政策是以他们关于报酬、债务契约和政治成本的预期个人效用最大化为基础的，因此，为了实现股东的目标，应该通过监督和激励对企业的管理者实施控制，也就是在企业内部建立有效的公司治理机制，这也正是委托理论的核心思想。根据契约经济学，公司可以看作是一个契约的集合，它的组织形式可以由它所涉及的一系列契约来描述。相对于市场而言，公司是一种不完备的契约，管理者为了取得低交易成本所带来的收益的同时弥补公司契约的不完备性，就需要在公司内部建立一个控制机制，以保证其下属管理人员及雇员按照其管理要求履行合约，保证管理目标的实现。对于我们所研究的高速公路公司来说，如果我们把公司治理的效率也纳入内部控制系统中，就不得不考察行业体制效率问题，这已超出本文研究范畴，因此，本文在进行研究设计时，仅在内部环境部分考虑公司治理因素，一方面是为了简化研究；另一方面也是为了与《企业内部控制基本规范》的设计相一致，以使研究结论对后续按照规范重新设计内部控制的高速公路公司有借鉴意义。

2、内部控制及其各控制要素的关系

内部环境是企业实施内部控制的基础，由反映最高管理当局、董事和企业所有者对控制以及控制对企业重要性的全面态度的各种行为、政策和程序组成，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境的好坏直接决定着内部控制能否实施和实施效果的好坏。目前我国的大多数企业尤其是上市公司都已经建立或正在建立内部控制体系。但是，没有一个有效的控制环境，其他要素不论质量如何，都不可能形成有效的内部控制。可见，内部环境对内部控制总体有效性产生影响。由此我们提出：H1：内部环境（Environment）与内部控制总体有效性存在相关关系。

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。加强风险管理，主动而系统地对企业经营过程中的风险事项进行识别、评估和应对，有利于加强企业的管理能力和应变能力，保证企业经营目标的实现和持续稳健的发展。风险管理不到位，控制活动就可能发生错位，发挥不了应有的作用，尤其对高速公路企业来说，不仅存在着自身的经营风险和财务风险，政策和市场风险也非常突出，不能正确地对其进行评估，势必影响内部控制的总体有效性，为此我们提出：H2：风险评估（Risk）效果越好，内部控制总体有效性程度就越高。

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。Geiger et al.（2004）对美国联邦政府机构内部控制缺陷的调查认为，控制活动是内部控制系统中最重要的要素。在我国，控制活动的重要性更为明显，2001年，财政部就颁布了《企业内部会计控制规范—基本规范》，该规范指出，内部会计控制方法包括资产保全控制、内部牵制控制、授权批准控制、预算控制、会计系统控制等等，而这些主要是属于控制活动的考察范围，应该说，控制活动在我国已有一定的实践基础，但是，由于控制活动的发生贯穿于整个公司，遍及各个管理层和各职能部门，其重要性不容忽视，如果公司不能对日常的内部控制执行进行持续地改进，内部控制的总体有效性将受到影响。基于此，我们提出：H3：控制活动（Activity）与内部控制总体有效性存在相关关系。

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。每个公司都要识别和获取与管理该主体相关的涉及外部和内部事项和活动的广泛的信息，这些信息以保证员工能履行他们职责的形式和时机传递给员工。当公司面临根本性的变迁、高度创新和快速变动的竞争者或者重大的客户需求变化时，保持信息与需要的一致性尤为重要。沟通也一样，不管是内部沟通还是外部沟通，对于内部控制系统的有效运行都是不可或缺的，如果管理层能够就最新业绩、风险因素与董事会有效沟通，董事会就能有效地履行其职责，内部控制效果就会更好；如果有畅通的外部沟通渠道，客户和供应商能够提供有关产品设计与质量的重要信息，则公司就能够关注变化中的客户需求与偏好，也能提高内部控制总体有效性，基于这样的考虑，我们提出：H4：企业的信息与沟通（Information and Communication）系统越有效，内部控制总体有效性程度就越高。

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部监督是评价某一时期内部控制系统运行质量的过程，是董事会、高级管理层、业务部门对内部控制的监督和内部审计部门对内部控制系统的再监督活动的总称。有效的内部控制系统，不仅需要设计和执行的有效性，还需要一个持续有效的监督系统（KPMG，1999）。据此，我们提出：H5：企业对内部控制的监管（Monitoring）越有效，内部控制总体有效性程度就越高。

三、研究设计

1、模型的构建

为了研究我国高速公路上市公司内部控制有效性相关问题，本文设置原始模型如下：

PerfICi=a0+a1×Ei+a2×Ri+a3×Ai+a4×Ii+a5×Mi+？着i（1）

PerfICi=a0+a1×Ei+a2×Ri+a3×Ai+a4×Ii+a5×Mi+？姿1×LnTAi+

？姿2×Agei+？姿3×Loci+？着i （2）

其中，PerfICi为内部控制总体有效性，包括以我国《企业内部控制基本规范》计量的内部控制总体评价IC、内部控制自我评价报告披露情况SA和外部审计的审计意见类型EA三个组成部分。Ei、Ri、Ai、Ii、Mi分别表示我国《企业内部控制基本规范》中规范的内部控制五要素：内部环境、风险评估、控制活动、信息与沟通及内部监督。LnTAi为总资产的对数，表示公司规模。Loci为区域属性，是0—1变量，将东部地区设为1，将中部和西部地区设为0。Agei为公司成立的年限。

2、指标的选择

为了量化内部控制要素，课题组参照COSO委员会1992年的《内部控制—评价工具》，结合我国2008年的《企业内部控制基本规范》中各要素的具体内容设计了适用于对我国企业内部控制的有效性进行评估的评估手册，该手册对于内部控制的总体有效性以及五个要素分别设计相应的关注点，然后按照每个关注点所应考虑的具体内容对样本公司的相关部分进行评价。

对于内部控制的总体有效性的评估是从内部控制方法、内容设计及执行的有效性入手，为了更客观地评价内部控制的总体有效性，本文除了考虑按照内部控制有效性评估手册中有关总体评价IC的结论外，还引入了内部控制自我评价报告SA的披露情况（考虑：是否按规定披露内部控制自我评价报告；董事会对公司内部控制情况的总体评价；独立董事对公司内部控制自我评价的意见；监事会对公司内部控制自我评价的意见）和外部审计的审计意见类型EA（考虑企业财务会计年度报告的CPA审计意见和会计师事务所对企业内部控制专项审计意见两方面）两个因素，对于这三个因素，本文分别赋予0.5、0.3和0.2的权重，加权计算得到一个综合指标作为被解释变量PerfIC，作为反映企业内部控制总体有效性，即：

PerfICi=0.5×ICi+0.3×SAi+0.2×EAi

权重的赋予有一定的主观性，但相比单纯用ICi作为内部控制的总体有效性的衡量指标来说，将更加全面客观。

本文的五个解释变量按照内部控制有效性评估手册中相关关注点设计指标，其中，内部环境有E1-E6六个关注点，对应六个指标；风险评估有R1-R5五个关注点，对应五个指标；控制活动有A1-A9九个关注点，对应九个指标；信息与沟通有I1-I6六个关注点，对应六个指标；内部监督有M1-M3六个关注点，对应三个指标。

对我国企业内部控制的问卷调查发现，企业规模越大，内部控制越好（赵选民等，2004），也就是说，企业规模对内部控制的有效性评价有影响，本文以企业总资产的对数（LnTAi）作为公司规模的替代变量对其进行控制。再者，我国东中西各区域间经济发展不平衡，由于高速公路行业属于经济活动服务领域，高速公路公司的内部控制问题难免受到区位属性的影响，例如各个区位的行业管理体制不尽相同，对公司治理和内部控制都会产生较大的影响，本文引入虚拟变量，将19家高速公路上市企业按照国家统计局对东中西部划分的解释，设0—1变量，将东部地区设为1，将中部和西部地区设为0，来控制区域属性对高速公路上市公司内部控制产生的影响。由于东部地区经济社会发展水平相对于中部和西部地区来说较高，本文假设东部地区高速公路公司内部控制有效性要高于中部和西部地区。此外，在其他条件相同的情况下，企业成立时间的长短也会影响企业内部控制的完备性和有效性，高速公路公司成立时间越长，内部控制系统建设时间越长，内部控制系统较完善，有效性也就越高，为了剔除企业成立时间长短对研究结论的影响，本文引入控制变量Age来考察成立时间对内部控制系统有效性的影响。

四、数据来源与描述性统计

1、样本的选择

我国目前高速公路上市公司共19家，通过对这19家高速公路上市企业内部控制的研究，我们能够基本了解整个高速公路行业的内部控制有效性情况。本文以上述19家公司2008年和2009年度在其各自的官方网站、上海证券交易所、深圳证券交易等等公开的数据作为评价的资料，严格按照本文所设计的标准进行评打分。

2、描述性统计

在进行分析之前，我们对各个控制要素的关注点进行了降维处理，运用因子分析的方法，提取各自的主成分，其中内部环境要素的主成分解释了原有关注点80.053%的信息量；风险评估要素的主成分解释了原有关注点74.925%的信息量；控制活动要素的主成分解释了原有关注点76.819%的信息量；信息与沟通要素的主成分解释了原有关注点71.205%的信息量；内部监督要素的主成分解释了原有关注点860252%的信息量。对于每个控制要素，本文以各主成分对应的方差贡献率为权数计算得到各自的综合指标，分别为E、R、A、I、M。

内部环境的均值（中位数）为7.4（7.4）；风险评估的均值（中位数）为5.696（6.051）；控制活动的均值（中位数）为6.0662（6.0141）；信息与沟通的均值（中位数）为5.2307（5.3463）；内部监督的均值（中位数）为5.9376（5.908）；可见，我国高速公路上市公司内部控制总体较好，但各个控制要素的相对评分都要偏低，其中内部环境的评分最好，最大值高达8.1843；控制活动则次之，最大值7.7893，最小值也有4.3844，与其均值（中位数）落差不大，较为集中，说明各个样本公司控制活动设计与执行情况比较接近，差异不明显。风险评估、信息与沟通和内部监督的设计与执行情况要相对差一些。LnTA的最大值和最小值与其均值（中位数）落差很小，说明我国高速公路上市公司在规模上比较均衡，而从Age的统计量来看，公司成立的年限则长短不一，相差较大。

五、实证结果与分析

1、相关性分析

从皮尔逊相关系数表我们可以看出，我国高速公路上市公司内部控制五要素之间在0.01的水平上显著相关，这说明五要素之间存在交叉重叠的地方；内部控制五要素与内部控制总体有效性也在0.01的水平上显著相关，说明内部控制总体有效性确实受到五要素的影响，初步验证了本文的假设。此外，公司的规模也与内部控制总体有效性和各控制要素在0.01的水平上显著相关，说明企业规模对内部控制的有效性确实产生影响；而公司成立年限和区位属性则与内部控制总体有效性和各控制要素不存在显著相关关系。

2、回归分析

对模型（1）和模型（2）进行回归分析，可以看到，模型（1）在0.01的水平上通过了F检验，模型（2）在0.05的水平上通过了F检验，截面数据Adj.R2水平都超过0.5，说明模型拟和效果比较理想，比较而言，模型（1）拟和效果比模型（2）的拟和效果更佳，说明增加控制变量并没有改进回归效果，相反，使得拟和度降低。模型（1）中，控制环境E在0.05的水平上显著，其他变量和截距均不显著。模型（2）中，控制环境E在0.1的水平上显著，其他变量和截距均不显著。这说明内部控制环境与内部控制总体有效性有显著的正相关关系，从而假设1得到验证。此外，在模型（1）和模型（2）中内部监督与内部控制总体有效性存在正相关关系，但t值不显著，不能拒绝假设5。在模型（2）中，公司规模、成立年限和区位属性三个控制变量与内部控制总体有效性均呈正相关，虽然t值不显著，但也在一定程度上验证了这三个控制变量所隐含的假设。

尽管模型（1）和模型（2）从整体上F检验显著，但都只有控制环境与内部控制总体有效性显著正相关，其他要素都不显著。这可能是因为模型中各变量存在多重共线性，从上面非参数检验中，我们也已看到，内部控制五要素之间存在交叉重叠的地方，为了使研究结论更合理，本文拟在前面两个原始模型的基础上构建如下模型：

PerfICi=a0+a1×（Comp1）i+a2×（Comp2）i+a3×（Comp3）i+

（3）

本文采用因子分析的方法进行降维，把五要素数据输入SPSS.13软件，KMO统计量为0.916，Bartlett 球形统计量远小于0，适合运用因子分析。按照累积贡献率超过95%的原则，系统提取了三个因子，其中因子1中内部环境、内部监督所占的比重较大；因子2中风险评估和内部监督所占比重较大；因子3中风险评估所占比重较大。另外，由于三个控制变量并不能明显地使模型得到优化，模型（3）中不再包含控制变量。

对模型（3）进行回归分析可以看到，与模型（1）和模型（2）相比，模型（3）的结果更具统计学的意义。该模型在0.01的水平上通过了F检验，截面数据Adj.R2水平为0.624，说明模型拟和效果很理想。3个因子中有2个与内部控制总体有效性显著正相关，其中，因子1在0.01的水平上与内部控制总体有效性显著正相关；因子3在0.1的水平上与内部控制总体有效性显著正相关。截距t值也在0.1的水平上显著。模型（1）和模型（2）的结果在模型（3）中得到了印证和强化，内部环境与内部控制总体有效性存在显著的正相关关系。此外，由于因子1中内部监督比重也较大，而因子3中风险评估所占比重最大，说明内部监督和风险评估与内部控制总体有效性存在显著的正相关关系，假设5和假设2得到验证。需要说明的是，对于风险评估来说，模型（3）的回归结论与模型（1）和模型（2）并不一致，这说明多重共线性还是对模型（1）和模型（2）造成一定的影响。

六、结论

本文研究表明，当前，我国高速公路上市公司内部控制总体有效性的主要决定要素是控制环境，其次是内部监督，第三个具有统计学意义的影响因素是风险评估。对于控制环境而言，一方面与我国当前所处的制度环境以及高速公路公司所受的行业管制现状不无关系，尽管内部控制的设计体系已臻于完善，但实际执行当中控制环境的重要性依然是最突出的，内部控制系统的构建任重道远；另一方面对于风险评估来说，它具有统计学意义可能有偶然的成分，实际上，从我们所取得的样本数据来看，目前我国高速公路上市公司，除了深高速、沪宁高速等少数公司外，绝大多数公司仍未建立起真正意义上的风险应对机制，如果内外风险因素不明显，样本公司的风险评估要素所存在的问题很难被暴露。

因此，当前，我国高速公路上市公司建立健全内部控制，需要着重做好以下几方面工作：第一，改善和健全控制环境，真正实现从“要我控制”到“我要控制”的转变。包括完善公司治理结构；适度变革组织结构，建立监事会领导下的内部审计机构；提高人员素质，塑造企业文化等等。第二，完善内部监督机制，使公司内部监督名副其实。主要是要明确内部审计机构和其他内部机构在内部监督中的职责权限；发挥监事会、独立董事在内部监督中的作用；规范内部监督的程序、方法和要求；此外，建议定期出具内部控制自我评价报告，可以起到自我监督的作用。

【参考文献】

[1] 财政部、审计署、证监会、银监会、保监会：企业内部控制基本规范[R].2008.

[2] Armen A.Alchian.Uncertainty，Evolution and Economic Theory[J].Journal of Political Economy，1950（6）.

[3] Watts，R.L.，Zimmerman.positive Accounting Theory：A Ten Year Perspective[J].The Accounting Review，1990，65（1）.

[4] Marshall A.Geiger，Steven M.Cooper，Edmund J.Boyle.Internal Control Components：Did COSO Get It Right？[J].The CPA Journal，2004，74（1）.

内部控制的风险评估要素范文第4篇

COSO报告第一次提出了内部控制框架理论，为内部控制主要构成的建立提出了总体性的思路。其基本要素包括以下五个方面：

1、控制环境。它是内部控制组成要素的基础，是所有控制方式与方法赖以存在与运行的环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用；也直接影响着企业内部控制的贯彻和执行，影响着企业经营目标及整体战略目标的实现。

2、风险评估。就是分析和辨认实现企业目标可能发生的风险概率，然后通过抑制风险来提高企业在实现目标中的效果。每个企业都面临着来自内部和外部的不同风险，对这些风险都必须加以评估，最终提高企业内部控制效率和效果。风险评估是决定应如何管理的基础。当今社会经济环境的风云变化，风险概率不断提高，其内部控制的执行也深受影响，对于内部控制的研究不可能脱离其赖以存在的环境及企业内外部风险因素，因而辨认并处理这些风险自然就十分必要。

3、控制活动。控制活动是确保管理阶层的指令得以实现的政策和程序，旨在帮助企业完成目标而避免风险所采取的必要行动。企业各阶层和各种职能部门均渗透有不同的控制活动，诸如核准、授权、调节、审核营业绩效、保障资产安全，以及职务分工，等等。由于企业性质、规模、组织方式等不同，其控制也有所不同，但控制活动通常包括两个要素：政策和程序。其中，政策规定应该做什么；程序则是保证政策产生效果的措施，政策是程序的基础，程序是政策的延伸。

4、信息与沟通。企业在其经营活动过程中需要大量的信息，以便指导预测、决策经营业务，并保证信息在企业内部运转通畅。企业信息系统能产生各种报告，包括与运营、财务及遵循法令有关的资料和信息，这些信息反映了企业业务运行状况，便于管理者采取控制措施。一个良好的信息系统有助于企业处理内部与外部发生的经济事项，并提高其内部控制的效率和效果。有效的沟通，包括组织内部上下沟通及横向沟通，也包括与外界沟通。单位所有员工必须自最高管理阶层开始，清楚须谨慎承担责任的各种信息；必须了解自己在内部控制制度中所扮演的角色，以及每个人的活动对他人工作的影响，企业必须有向上沟通重要信息的方法，也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。

5、监督。监督是一种随着时间的经过而评估内部控制制度执行质量的过程。企业内部控制是一个过程，这个过程需要通过纳入管理过程的大量制度及活动实现，即需要被监督。因此，要确保内部控制制度被切实地执行且保证执行的效果良好，内部控制能够随时适应新情况等，内部控制就必须被监督。监督方式有持续监督、个别评估及综合监督等。持续监督是指在运营过程中的监督，包括理性管理和监督活动，以及其职工为履行其职务所采取的行为。个别评估的范围及频率，应根据评估风险的大小及持续监督程序的有效性而定。持续监督和个别评估一起进行，称之为综合监督。各种监督中发现的内部控制的缺失必须向上级呈报，严重者则向最高管理阶层及董事会呈报。上述五要素相互关联与配合，形成一个整合系统。这个系统可对改变的环境做出动态反应。内部控制是因企业的基本业务需求才存在，与企业的经营活动交织在一起。只有当内部控制能纳入企业的基础建设之内，而且是企业机体的一部分时，才最为有效。也只有纳入运营活动的控制，才能帮助企业提高管理水平和管理质量，才能避免不必要的成本，能对改变的环境做出快速反应。

为了实现其目标，一个企业应当在培育一种积极的内部控制环境的基础上，识别、衡量和评估经营管理活动中所涉及的各种突出风险点，然后针对这些风险点设置各种控制机制，并不断地对上述整个过程的适当性和有效性进行监督与评审；内部管理信息系统则为这个过程提供了方便，这五个要素便形成了一个有机的、动态的系统。

二、ERM框架

2004年12月，国际著名的反虚假财务报告委员会（即Treadway鲜委员会）针对国际企业界频繁发生的高层管理人员舞弊现象，颁布了一个概念全新的COSO报告《企业风险管理――整体框架》（简称ERM）。此报告虽然保留了部分传统内部控制的某些概念，但不论在框架上，还是在要素方面，均有相当大的突破。ERM框架就是在1992年报告的基础上，结合《萨班斯――奥克斯法案》的相关要求扩展研究得到的。

根据ERM框架，“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并在企业的风险偏好之内管理风险，从而合理确保企业取得既定的目标。”ERM框架有三个维度：第一维是企业的目标；第二维是全面风险管理要素；第三维是企业的各个层级。企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。全面风险管理要素有八个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个纬度的关系是：全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层级都必须从以上八个方面进行风险管理，该框架适合各种类型企业或机构的风险管理。

三、ERM框架与内部控制框架的联系与比较

与传统内部控制内容相比，新框架有了较多的变化。比如，ERM框架对内部控制的定义明确了以下内容：（1）是一个过程；（2）被人影响；（3）应用于战略制定；（4）贯穿于整个企业的所有层级和单位；（5）旨在识别影响组织的事件，并在组织的风险偏好范围内管理风险；（6）合理保证；（7）为了实现各类目标。由于新COSO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。同时，ERM又涵盖了内部控制所有合理的内容。

在1994年《内部控制――整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。除此之外，新COSO报告提出了一类新的目标――战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。最后，1994年COSO报告《内部控制―整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展，将其演变为八个要素。例如，ERM框架引入风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”。又如，虽然内部控制整体框架和ERM框架都强调对风险的评估，但ERM框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析。原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素，使得原有的内部控制五要素发展为风险管理八要素。

从COSO的ERM框架和内部控制框架比较可以看出，全面风险管理与内部控制既相互联系又有重要差异。从二者的框架结构看，全面风险管理除包括内部控制的三个目标之外，还增加了战略目标；全面风险管理的八个要素除包括了内部控制的全部五个要素之外，还增加了目标设定、事件识别和风险对策三个要素，因此全面风险管理涵盖了内部控制。

从二者的实质内容看，存在以下几项重要差异。一是内部控制仅是管理的一项职能，而全面风险管理属于风险范畴，贯穿于管理过程的各个方面。二是在全面风险管理框架中，由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），因此，该框架可以涵盖信用风险、.市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试，、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。

内部控制的风险评估要素范文第5篇

建立健全上市公司内部控制制度，既是公司提高经营管理水平和风险防范能力的要求，也是公司实现可持续发展的保证。因此，上市公司内部控制是否完善，已成为监管机构和投资者关注的焦点。运用系统论的原理，分析了上市公司内部控制存在的问题，提出了相应的解决对策。

关键词：

上市公司；内部控制；公司治理；对策

中图分类号：

F23

文献标识码：A

文章编号：1672-3198（2013）19-0130-02

1 系统论引入上市公司内部控制体系的必要性

所谓系统，是指由若干个相互依赖、相互作用的要素或子系统构成，具有特定功能的有机整体。系统论是研究一切系统的模式、原理和规律的科学，它将世界视为各个系统的集合体，认为世界的复杂性在于系统的复杂性，研究世界的任何部分就是研究相应的系统及其环境的关系。系统论的科学研究方法就是从整体观点出发，将研究对象置于系统中，分析整体与部分之间、部分与部分之间以及整体与外部环境之间的关系，以获得最优的处理问题方案。

内部控制是在内部牵制的基础上，由企业管理人员在经营管理实践中创造的自我监督和自行调整体系。它贯穿于经营活动的全部过程，包括内部环境、风险评估、控制活动、信息与沟通和内部监督等要素。在内部控制系统中，系统与各要素之间、各要素彼此之间以及系统与外部环境之间都不可避免地存在着联系和矛盾。因此，在构建上市公司内部控制体系过程中运用系统论的思想和方法，有助于公司管理层明确内部控制系统内外的相互影响因素，从而制定正确合理的内部控制方案，保证各项业务活动的有效进行，确保资产的安全、完整，实现经营管理目标。由此可见，将系统论的思想和研究方法引入到上市公司内部控制体系中来具有非常重要的理论意义和实践价值。

2 当前上市公司内部控制存在的主要问题

（1）内部控制未受重视。近年来，上交所和深交所《上市公司内部控制指引》、《企业内部控制基本规范》出台之后，很多上市公司展开了一系列的关于内部控制的建设与改革，可是这只是一种跟风行为，效果不是十分明显。由于内部控制成本较高，而其收益需要较长一段时间才能体现出来。因此，对于管理者而言，普遍认为内部控制并不能够对企业产生很大的经济价值，未看到其真正的意义所在。很多上市公司管理层内部控制意识淡薄，没有认识到其重要性，相关制度的建设只是为了应付检查，不能真正发挥内部控制的监督作用，致使内部控制形同虚设。

（2）内部控制环境薄弱。目前，我国上市公司内部控制环境薄弱，严重影响了内部控制的贯彻和执行，主要表现在以下三个方面：一是公司治理结构存在缺陷。我国的资本市场起步较晚，大多数上市公司是由国有企业改制而来，国家股和国有法人股所占比例大处于控股地位，而社会公众股所占比例小且分散。国有资产“一股独大”的现象，必然导致严重的“内部人控制”，形成大股东或控股股东操纵问题。大股东或控股股东凭靠股权优势控制股东大会，进而控制董事会和监事会。大股东或控股股东凌驾于内部控制之上，董事会难以独立，监事会有职无权，二者将形同虚设，难以实行相互制约的监控机制。二是组织机构不合理。我国多数上市公司的组织机构设计过于复杂，部门职责不明确，岗位分工不合理，不相容职务没有分离，工作流程混乱，办事效率低下。三是文化理念建设缺失。有关资料表明，相当部分的上市公司对企业文化建设的重视不足。如果缺乏以人为本的文化氛围，就可能使员工对内部控制的规定变现不满或无奈，也就难以调动员工的积极性和创造性，内部控制作用的发挥也会受到影响。

（3）缺乏风险管理机制。我国上市公司普遍存在着过于自信盲目乐观等问题，对风险的客观性认识不足，没有建立有效的风险管理机制，缺乏风险评估管理的方法和手段，造成管理层决策具有很大随意性。这种风险意识淡薄或风险管理不重视的行为，导致上市公司因为风险管理失误而引起经营不景气的案例比比皆是，如ST郑百文、长虹巨亏等。可见，我国上市公司的风险管理水平差强人意，风险管理能力有待提高。

（4）内部审计监督不力。在内部控制的监督过程中，内部审计既是控制活动的组成部分之一，又是对内部控制的再控制，扮演着非常重要的角色。但是，多数上市公司的内部审计未能履行其应有的职能，主要表现在以下三个方面：一是内部审计缺乏独立性。我国大部分上市公司的内部审计机构往往由管理层领导且与其他部门平行，这就使内部审计的地位虚脱，独立性和权威性较差；二是对内部审计的职能理解存在偏差，过分强调“差错纠弊”，未能发挥“防错防弊”职能；三是内部审计人员大多数来自财会部门，专业相对单一，缺少应有的知识和技能，很难发挥内部监督功效。

3 运用系统论原理的解决对策

（1）转变内部控制理念，提高对内部控制体系的重视程度。内部控制能否有效关键看管理者是否具有诚实、公正、廉洁的品质，是否具有正确的内部控制理念。因此，上市公司管理层应当高度重视内部控制工作，运用系统论原理有效建设以风险为导向的全方位内部控制体系。只有上市公司管理层重视内部控制，从思想上认识到它的作用，在实际行动中严格执行控制的政策、措施和程序，才会有利于充分发挥内部控制的功能。

（2）优化内部控制环境，提高经营管理效率。控制环境是内部控制体系的基础，它不但直接影响内部控制的建立，还直接决定内部控制实施的效果。因此，要加强和完善内部控制，必须优化控制环境。具体措施如下：一是改善公司治理结构。公司治理结构是公司体制建设的核心内容，是企业核心竞争力的最重要部分和保持竞争优势的决定因素之一。公司治理结构的改进是一个复杂的工程，不仅包括股权结构的完善，也包括股东大会、董事会、监事会等配套机制的完善。要改变股权结构，防止大股东操纵董事会；要建立公司治理的制衡机制，杜绝“内部人控制”现象；要强化监事会的权力，明确监事会失察的法律责任，确保监事会责权利的落实。二是建立科学合理的组织结构。公司在设置组织机构时，必须根据经营管理的需要，结合业务流程特点以及其他特殊情况，有效地进行职位设计。组织机构在设计时既要防止权力重叠，也要避免出现权力真空。各职能部门应分工明确，相互协作，相互牵制。三是塑造良好的企业文化。企业文化和内部控制制度是相辅相成，相互补充的。一方面，强有力的文化可以促进内部控制的执行和成功；另一方面，内部控制的有效可以促进文化的形成和提升。因此，上市公司必须建立严格的规章制度，以促进良好的适应市场经济发展的企业文化的形成与建立。要从为人的角度出发，控制好个人的行为，创造一个良好的人际关系环境空间，促进内部控制的有效运行，增强企业的向心力和凝聚力。

（3）建立健全风险管理机制，加强风险管理工作。市场竞争环境风云变幻，上市公司面临着来自内部和外部的不同风险，这些风险必须予以辨认并处理。一旦风险被辨明，就要采取有效的应对行动。对风险的控制已成为现阶段内部控制系统的重点，具体措施如下：一是建立内部风险咨询管理机构。现代内部控制的核心理念是对风险的控制，风险管理是一项系统工程，涉及一个企业各个层次的员工。有条件的上市公司可以成立一个风险咨询管理机构，组织实施企业风险的识别、评估，针对不同的风险运用不同的控制手段。风险管理不仅要贯彻在公司战略目标的制定过程中，而且要贯彻在公司日常的内部控制过程中。二是建立风险评估机制。健全的风险评估机制应包括风险评估标准、风险评估规范、风险评估方法。其中，风险评估标准是企业自行设置的风险指标值，根据风险高低的分界点和分值范围，确定风险的大小。风险评估规范是企业制定的用来约束和评价风险评估人员的规章制度。风险评估方法主要有定性分析法、定量分析法以及定性与定量相结合的综合分析法。三是建立风险预警系统。风险预警是通过分析企业内外部环境变化，对未来的风险进行预测并发出警戒信号的过程。风险预警系统主要包括预警分析的组织机制、信息收集—传递机制、风险分析机制和风险处理机制。风险预警系统以收集到的各种信息为依据，分析企业财务状况，及时发现企业经营活动中的或有风险并做出预警。

（4）加强内部审计，强化内部控制的监督。内部审计不仅是内部控制的组成部分，而且是监督内部控制其他环节的主要力量。内部审计的作用在于能够监督企业内部控制是否被实施，也能为内部控制的设计提供合理建议。因此，上市公司应充分利用内部审计人员熟悉财经法纪、精通财务管理的优势，对企业内部控制的健全性和有效性进行持续监督。上市公司可以在专项审计和期末集中审计的基础上，加强不定期审计，将某些违法违规行为消灭在萌芽状态，对企业的生产经营活动起到有效的监督，为高质量的信息提供制度保证。

参考文献

[1]张颖，郑洪涛.企业内部控制[M].北京：机械工业出版社，2009.

[2]徐玉德.企业内部控制设计与实务[M].北京：经济科学出版社，2009.