首页资料文库正文

框架调查报告十篇

时间：2023-03-24 00:47:35

框架调查报告

框架调查报告篇1

社会调查报告是调查报告的一种，目的是调查了解社会经济发展的情况或某一现象，以引起公众和有关部门的重视，尽快得到及时妥善的处理、解决。社会调查报告调查的主要对象是公众关心的社会经济与发展问题，它注重真实、具体、典型的事例与数据，注重分析事情产生的背景、成因，意义或危害性，也可适当提出一些解决问题的合理建议。

二、社会调查报告的内容

本次社会调查报告内容必须结合专业内容进行选题、调查，同时也为毕业论文的撰写作前期的调查与收集工作。

三、社会调查的方法

1、普遍调查 2、重点调查3、典型调查 4、抽样调查

四、社会调查报告的基本结构

（一）标题：写明调查对象的名称及内容，如《关于下岗工人再就业问题调查》、《关于重庆市社治安问题的调查》。

（二）导语：此为社会调查的开头部分，也称前言、导言。此部分需写明社会调查的意图、性质、时间、地点、对象，以及调查的范围和采用的调查方法。

（三）主体：这是社会调查报告的核心部分，也称正文

1、情况部分：介绍调查所得到的基本情况，应注重具体事实、统计数据、文字应简明、准确，条理分明，也可兼用数字、表格、图示说明。

2、分析部分：重点分析所调查事情或现象的产生背景、原因、实质，条分析缕，有事这有依据，抓住问题的实质、规律，揭示出其重要意义或危害性，给人印象深刻，提醒世人或领导注意。

3、建议部分：在有力的分析下，根据实际情况，提出解决问题的建议，为有关部门恰当处理提供参考。

（四）结语：总结全文、深化主体、警策世人，也可在建议部分结束

五、社会调查报告的结构方式

（一）纵式结构：按照事情发生、发展的先后顺序安排材料，如果是针对某一件事情，通常可采用这种结构方式，如《某某贩卖毒品的犯罪调查》、《某某公司不正当广告炒作的调查》。

（二）横式结构：根据材料的内容、特点、性质的不同，进行分类处理，如果是针对某类社会现象，通常采用此种结构方式，如《关于中、小学实行强行补课的调查》、《关于独生子女问题的调查》，社会调查报告一般立足于某类社会现象，故这是常见的一种结构方法。

（三）纵横式结构：将上述两种方法结合起来，但应确定以某一种结构方式为主，另一种为辅。

六、社会调查报告的写作要求

（一）写作前目的明确，认真选择调查对象，认真选择调查对象，认真制定调查计划，计划内容包括：

1、确定调查对象（范围、程度），选择公众关心、有调查价值、自己也有能力驾驭的社会现象。

2、确定调查目的、调查项目、调查方法。

3、准备调查需用的工具（如照相机、笔记本、电脑等）、经费，安排好调查日程。

（二）认真进行调查，搜集有关资料，注意材料的准确性、典型性。

（三）整理分析调查到手的材料，进行分类、鉴别、筛选，去粗存精，去伪存真。

（四）撰写社会调查报告

1、确立自己的观点、看法，但必须在尊重事实的基础上进行理性判断。

2、实事求是，不夸张、不隐瞒实情，如实将调查到的情况写出来，注意突出重点，不必面面俱到。

框架调查报告篇2

1.标题

调查报告的标题有单标题和双标题两类。所谓单标题，就是一个标题。其中又有公文式标题和文章式标题两种。公文标题为“事由文种”构成，如《浙江省农村中学语文教学情况的调查报告》。文章式标题，如《××市的校办企业》；其二是标明作者通过调查所得到的观点的标题，如《调整教育政策，增加教育投入》。所谓双标题，就是两个标题，即一个正题、一个副题。如《为了造福子孙后代--××县封山育林调查报告》。

2.导语

导语又称引言。它是调查报告的前言，简洁明了地介绍有关调查的情况，或提出全文的引子，为正文写作做好铺垫。常见的导语有： ①简介式导语。对调查的课题、对象、时间、地点、方式、经过等作简明的介绍； ②概括式导语。对调查报告的内容（包括课题、对象、调查内容、调查结果和分析的结论等）作概括的说明； ③交代式导语。即对课题产生的由来作简明的介绍和说明。

3.正文

正文是调查报告的主体。它对调查得来的事实和有关材料进行叙述，对所做出的分析、综合进行议论，对调查研究的结果和结论进行说明。正文的结构有不同的框架。 ①根据逻辑关系安排材料的框架有：纵式结构、横式结构、纵横式结构。这三种结构，以纵横式结构常为人们采用。 ②按照内容表达的层次组成的框架有：“情况--成果--问题--建议”式结构，多用于反映基本情况的调查报告；“成果--具体做法--经验&rd

quo;式结构,多用于介绍经验的调查报告；“问题--原因--意见或建议”式结构，多用于揭露问题的调查报告；“事件过程--事件性质结论--处理意见”式结构，多用于揭示案件是非的调查报告。4.结尾

结尾的内容大多是调查者对问题的看法和建议，这是分析问题和解决问题的必然结果。调查报告的结尾方式主要有补充式、深化式、建议式、激发式等。5.落款

调查报告的落款要写明调查者单位名称和个人姓名，以及完稿时间。如果标题下面已注明调查者，则落款时可省略。

（二）社会实践调查报告的写作程序

一般来说，社会实践调查报告写作要经过以下五个程序：

1.确定主题

主题是调查报告的灵魂，对调查报告写作的成败具有决定性的意义。因此，确定主题要注意：

报告的主题应与调查主题一致；

框架调查报告篇3

一、法国兴业行交易丑闻概况

据参考消息2008年1月26、30和31日报道，法国兴业银行从去年开始，31岁的电脑高手期货交易员热罗姆。凯维埃尔预计股市将出现上涨并投入超过个人授权许可的巨额资金进行交易。由于全球主要股市大幅下跌，导致在欧洲期货市场上的投资失误，造成了巨额损失。损失出现后，他通过修改银行电脑系统数据，编造交易掩盖其投资失误；他利用在监控交易的安全控制部门工作时获得的知识来逃避监管。他知道何时进行安全检查，实际上他就是他自己的监管者。维埃尔因违反信托合同、滥用计算机和造假已接受正式调查。凯维埃尔对调查人员说，他的一系列交易活动是从2005年他判断市场要走跌时开始的。这样一位资历较浅的人能掌握这么巨额的资金，其内部控制系统令人质疑，也引发了人们对兴业银行管理层信誉问题的新关注。在金融监管已经不断加强的今天，兴业银行的内部稽核制度何在？管理层的监管何在？风险控制何在？内部控制制度何在？

这不禁令人深思：为何欺诈再次发生，且愈演愈烈？自英国巴林银行非法交易案以来，金融监管已经加强，但在3年前，我国的中航油集团新加坡子公司在原油期货交易中亏损了5.5亿美元。现今法国的兴业银行的损失约70亿美元。事实上，期货交易本质上就是瞬息万变、极具风险性的。在加强法律监管的同时，如何加强内部控制系统的监督，化解或降低风险带来的损失？如何加强软控制？即用新的眼光重新认识内部控制已经成为各国政府和社会有关机构关注的内部控制研究的新课题。下面对去年法国和美国内部控制研究的状况及差异进行对比，分析法国兴业银行的内部控制存在的问题，探讨提高内部控制质量的新视野、新举措。

二、2007年法国与美国内部控制建设的主要成果及对比

（一）美国国际会计师联合会“基于风险观的内部控制”①

美国国际会计师联合会（ifac）②的专业会计师（paib）委员会于2007年8月了“基于风险观的内部控制”访谈文章。采访了10位高层资深的专业会计人员，主题包括：各类组织的风险的性质；如何建立一个关注驱动业绩和帮助战略目标实施的内部控制系统；提供有助于各个组织思考改善其内部控制方法的成功故事。其核心内容主要包括：

1.基于风险观是内部控制系统建设的关键所在

认为风险是阻碍我们实现战略目标的一切事情。风险管理和内部控制是同一枚硬币的两个方面。参加访谈的资深专业会计人员大多认为：强有力的内部控制系统对一个企业经营管理至关重要，是构成一个经营整体必不可少的一部分。内部控制帮助管理当局设计、实施和保持控制，内部审计则确保管理当局的指挥棒到位，保证所有状况都是适当的。内部审计必须得到董事会、审计委员会和高管当局的支持。内部审计经理要帮助管理当局理解所面临的各种风险，既有战略上的也有政治上的，要设法消除各种可预见的风险，并迅速及时地做出反应。cfo是内部控制效率的监管人。内部控制是一种责任，建立正确的政策和程序并确保持续地进行适当地监督，将有助于降低日常管理费用并巩固和增强已构筑的竞争优势。

2.观念的转变：对内部控制的谨慎依赖转变为主动的风险管理文化。

参加访谈的人员表明：尽管每个组织各不相同，但是风险管理本质上的东西已超越了不同的经营类型和风格的各类组织。企业风险管理之所以是成功的，是因为它真正增加了管理当局的风险意识，加深经理人员对风险的理解。但具体风险管理的方法和范围并不要求整齐划一，不是命令或指示，而是由每个经营公司自己做出选择。但最重要的问题是保持效果的同时要保持效率，使二者之间保持一个健康的紧张度。

现在内部控制必须由过去为了企业自身的缘故对内部控制谨慎的依赖转变为以企业风险管理和内部控制制度为目的、我们“能做”什么的一种文化。对于我们面临挑战和打算承担的各种风险进行适当的风险评估，能使我们做出明智的决策，有助于合理分配企业资源，实现可能的最好的效果。

3.要勇于面对内部控制系统存在的问题

内部控制的过程作为一个整体的过程，不只需要专业管理人员，也需要相关业务的风险管理人员与之配套，否则风险就会产生，而且不易引起人们的注意。如进行产品开发时，需要引进的不只是产品开发的人，而且也需要风险管理的人与之相配合。

内部控制系统面对的最大的挑战总是来自于职业雇员与技术雇员这些人。他们对其专注的业务、技术领域有一个强烈而长期的认同，而对于管理控制他们很快就变得厌倦。当这种情况出现时，他们就会毫不犹豫地绕过控制系统。工程师是这样，财务人员也是这样。出于他们自身的考虑，让他们重视这个系统是很困难的，但从他们工作的环境看，他们不得不把这个系统看作是有用的。这确实是一个难题。

4.内部控制系统对企业成功的影响

成功是把系统产生的可能性进行转换。风险管理和控制环境不是一种约束，而是一个可操作的概念。最终决定控制环境的成功是人的格调。如果花时间和金钱能确保招聘的新人是最合适的人力资源，那么控制系统的成本将会戏剧性地降低。

5. 从失败中学习经验和教训

缺乏适当的责任是系统失败的原因之一；另外，员工的变动可能对企业造成伤害，所以控制系统保护的不应只是物质资产，还要保护人力资产。员工的质量是非常重要的。投资于人并对其设立较高的期望和责任，会产生意想不到的效果，得到期望的“投资回报”。

（二）美国coso内部控制监督指南讨论稿

美国coso③于2007年9月17日了“内部控制系统监督指南”

（guidance on monitoring internal control systems，下面简称指南）的讨论稿，该指南更加充分地开发了coso的“内部控制——整体框架”的监督要素，适合各类组织改善其内部控制系统的质量。coso认为，各组织在按照coso的内部控制——整体框架适当地设计监督要素，发挥内部控制系统的功能时，通常未能充分利用监督要素或对此使用不当。该讨论稿旨在改进对有效的监督模块的理解，进一步阐明建立正确监督的原则，其目的是帮助各组织开发监督程序，更好地促进内部控制系统运行的效率和效果。该指南并不是如何监督的详细说明书，而是旨在帮助各类组织采取内部控制框架时应具有整体的监督观，确认对效果有关键影响的各个要素，通过监督识别具体的控制弱点

并对其减缓或消除。有效的内部控制系统的最终的目标是在管理影响组织目标的各种风险时，适当地追求机遇。监督是一种运用成本效益的方法为内部控制系统持续有效提供及时的信息。其主要内容如下。

⒈ 监督及其基本原理

监督是由适当的人员对控制的设计和运行所进行的恰当的、适时的评估，以及采取必要的行动。内部控制系统有助于各组织实现其目的和目标；使管理当局能够应对内部和外部环境的变化，提高效率，降低风险的损失，保证财务报告的可靠性以及法律法规的遵循④，但这有个前提：即当内部控制有效时，管理当局和董事会就能对实现一个组织的目的和目标起到合理的保证作用；反之，无论是管理当局还是董事会都不能对组织的目的和目标起到合理的保证作用。因而各个组织需要拥有一个随着时间的推移，适时地评估其内部控制系统的机制，这个机制就是监督⑤。

监督活动和控制活动既有区别又有联系。控制活动是有助于保证管理当局的指令得以贯彻的各种方针和程序，它有助于确保针对企业实现目标的各种风险采取行动。控制活动以各种功能、在整个组织上下、各个层面存在，它们包括诸如各种各样的审批、授权、核查、核对、对经营业绩的复核、资产的安全以及职责的分工等。有些监督活动也能起到控制活动的作用，反之亦然。一项活动或过程如果只是在适时地发现和更正各种错误的范围内，则属于控制活动。例如，审核一项例外报告。如果只是出于识别和更正那些与错误有关的例外，则属于控制活动；反之，如果对同样事项审核是出于进一步查明造成这些错误的可能的控制弱点的根本原因，并帮助改进控制活动，以防止其后的控制失败，则属于监督活动。

coso在2006年小的公众公司财务报告内部控制指引⑥中提出了的20个基本原则，其中关于监督作了如下描述：

（1）持续的监督和（或）单独的评估使管理当局能够确定是否内部控制的各个要素随着时间的过去仍能持续地发挥功能。⑦其中持续的监督是指在正常的经营过程中，服务于监督内部控制效果的有关各种活动，包括正常的管理和监督活动；对比、调节以及其他日常活动。单独评估则尝试通过评估某一个特定时期或时点的控制，对控制运行的可靠性做出推断。单独评估能充分利用持续的监督中运用的所有的技术，不过单独评估运用的不多，而且经常用于控制运行中紧急的抽样调查。

（2）应该能够识别内部控制的各种弱点，并以一种适时的方式向能采取更正行动的各方负责人进行交流，必要的要报告给管理当局和董事会。

2. 高层对监督要有正确的基调

如果监督导致的对控制弱点的识别和更正在影响组织的目标实现之前就已采取，说明监督是有效的。有效的监督有助于保证和促进良好的内部控制的运行。无效的监督终将导致内部控制系统的崩溃。

各类组织要在高层建立正确的监督基调，表达整个组织对监督人、对内部控制重要性以及有关监督作用的期望。

3.影响监督的效率和效果的主要因素

（1）建立一个对实施监督有效的控制环境。具体包括：管理高层强调监督的重要性；有效的组织结构作为保证，任命具有适当的技术和威信的人执行监督作用。

（2）对监督程序进行优先排序。主要根据在管理和缓和风险方面控制的重要性来进行，从而抓住主要矛盾；并且应具有将监督资源在基本的风险层面恰当地进行分配的能力。

（3）建立交流结构，对监督的各种结果（包括控制的各种弱点），以适当和适时的方式向恰当的人报告，采取必要的更正行动。

4.监督者应具备的条件

监督者影响监督的效果。监督人决定监督什么、如何监督，以及对通过评估监督的信息得出关于控制效果的结论负责。无论企业规模大小，监督人为了设计和实施适当的监督程序，必须具有适当的技术、知识以及对控制所要减缓的风险的专业的理解。

5.监督结果交流的重要性

有效的监督与收集和分析适当的信息有关，有说服力的信息（persuasive information）帮助得出内部控制效果的结论。对已发现的控制的弱点要报告给负责控制运行的人，并且至少要向高一级的层次报告，从而使得适当的人能够对问题的严重性进行评估。适当地评估控制弱点的严重性，并及时的报告给可能进行更正的恰当层面，有助于保护组织并保持实现组织目标的能力。

（三）法国内部控制报告框架的主要内容

法国于2007年1月由法国金融监督管理局内部控制指引框架，一是为了统一各公司内部控制报告的披露内容，使之便于投资者理解；二是为上市公司提供一套比较实用的管理工具；三是为了应对coso报告。具体框架包括四个部分内容：

1.简介。对内部控制框架的主要内容等进行介绍。在这部分指出该框架主要是提出内部控制的一般原则，而不是要求强制执行的规定，更不是替代相关法律的规定；该框架主要是为了提高各上市公司董事会主席内部控制报告的可比性，以方便投资者阅读。

2.内部控制系统的构成。一般由五个部分组成：

（1）权责分明的组织架构系统；

（2）内部信息系统；

（3）风险确认与分析系统；

（4）恰当地控制运营过程及减少相关风险的活动；

（5）对内部控制程序的持续监督检查系统。

为了保证所有控制系统对实现公司目标是相关和恰当的，需要对所有内部控制系统进行监督和检查。一般而言，由管理部门实施这一检查，主要包括对所有已记录事故的分析，对控制活动执行效果以及内部审计人员的工作等进行监督检查。

3. 财务报告内部控制程序应用指南。这部分内容是整个内部控制指引框架的重点。它适用除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制，内容涉及到内部控制的所有控制要点。与财务信息的编制和处理相关的内部控制程序（即财务报告内部控制，以下称为“财务报告内部控制”），主要包括会计信息生成程序、财务报表的编制和与内部有关单位的沟通。财务报告内部控制的目的是保证：（1）财务信息遵守了适用的准则；（2）高级管理人员或管理委员会对财务信息的生成能够正确地给予指导；（3）公司的资产得到保护；（4）尽可能发现欺诈和财务报告问题；（5）所收到的信息以及用于内部控制的信息是可靠的；（6）财务报表及其他提供给市场的信息是可靠的。

4.附录。包括有关财务报告的内部控制的问卷调查以及内部控制指引框架工作

组介绍等。

法国内部控制指引框架的特点如下：一是该框架是以财务报告内部控制程序为主，虽然内部控制指引框架不仅限于财务报告内部控制程序，并且框架控制范围与对外披露财务报表的范围相配套。二是内部控制报告由董事会主席签发，但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。

（四）法国内部控制框架与美国coso框架、sox法案的比较。

基于上面的介绍，不难看出法国和美国的框架有共性的地方，但差异也较明显，总的来看，美国的模式由1992年整体框架，经过2006年的财务报告内部控制指引的补充以及2007年内部控制监督指南的深化，加之2002年sox法案的强硬规则以及随后不断的修改和调整，已经成为一种理想的和有效的模式，而法国的模式在有效性上会有所不及。二者的差别主要表现在：

1.适用范围不同。coso的内部控制整体框架适用于各种类型和规模的组织，而法国的财务报告内部控制程序应用指南则适用于除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制。法国兴业银行的交易丑闻无疑值得反思。

2.强制性不同。法国内部控制框架不是要求强制执行的规定，更不是替代相关法律的规定；而sox是在美国上市的大公司必须遵循的法规。从法国兴业银行的交易丑闻中难以看出其内部控制的作用。

3.对财务信息的内部控制程度的要求不同。法国内部控制指引框架对财务信息的内部控制程度的要求不如sox法案要求深入和详细。这尽管可以相对减少内部控制系统的启动和执行成本，但一旦发生巨额亏损，影响将不堪设想。

4.内部控制的监督人和组织安排不同。法国内部控制框架需要对所有内部控制系统进行监督和检查。一般而言，由管理部门实施这一检查。这与coso内部控制监督指南不同。它对于在高管层面以下进行的控制的监督，可由管理当局的人员或由他们任命的人员进行监督。然而对于直接由高管进行的控制，以及设计用于防止或检查高管越权的控制则不能由高管直接监督或直接报告，在这种情况下，监督应该由董事会（通常通过审计委员会或内部审计）进行。事实上，在两权分离的现实面前，证明董事会对管理当局的监督是必要的。

5.内部控制报告责任人不同。法国内部控制框架指引的规定是内部控制报告由董事会主席签发，但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。显然这容易造成责任不明。sox法案的404节要求经理人员对保持“适当的财务报告内部控制和程序”负责，公司高管要证实财务报告的可靠性，要求公司的审计师对之进行鉴证。企业必须建立独立的审计委员会。显然这规定的重要性不言而喻。因为大多数公司丑闻与管理当局的参与或默许有关。法国兴业银行的欺诈丑闻中管理当局应该负何种责任值得深思。

三、提高内部控制系统的质量必须关注监督和软控制

无论何种内部控制的框架，都是为了化解风险，抓住机遇，更好地实现内部控制的效果，否则内部控制就失去了存在的意义。

1.加强监督作用要寻找最适宜作监督工作的人。发挥监督作用就要求任命有胜任能力（competence）和不受个人感情影响（objective or objectivity）的客观性的人。能力指的是一个监督人对控制和有关的过程的知识，包括控制应该如何运行？构成控制弱点的是什么？客观性既与用于监督所产生的信息有关，又与监督人的品性有关。对具有客观性的人所提供的信息和（或）履行监督程序，无需担心有个人的倾向，他们也不会为了个人的利益或自保而操纵信息。同时配备恰当的组织结构，明确监督的责任。

框架调查报告篇4

关键词：控制　创新　风险　影响

内部控制的发展经历了一个从低级到高级、从局部到整体的过程。内部控制是受企业董事会、管理层和其他员工的影响，旨在取得经营的效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。内部控制不仅对企业本身的经营效率和效果的提高有着直接的作用，而且也影响到企业内部审计人员的工作范围和注册会计师审计范围及审计责任。1992年coso报告将内部控制的要素从三要素重新划分为五要素，使人们对内部控制的认识实现了一次历史性的飞跃。2004年反虚假财务报告委员会针对诸多企业发生的管理层舞弊事件，并结合《萨班斯—奥克斯利法案》的相关要求提出企业内部控制应当与企业风险管理相结合，同时提出了企业风险管理的基本要素。可以说，这个报告的提出使人们对内部控制的认识上升到前所未有的高度。使人们对内部控制的认识从局部转为整体、从微观转为宏观、从具体转为战略、从重视与会计相关的内部控制转为以风险管理为核心的高度。本文试图解析内部控制的这些变化以及对注册会计师审计工作的影响。

一、内部控制的创新主要体现在以下几个方面

1.内容的丰富。1992年coso报告（committeeofsponsoringorganization）将内部控制划分为控制环境、风险评估、控制活动、信息与沟通、监控等五个要素，而2004年coso报告将企业风险管理框架的基本要素确定为内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等要素。较之以往相比，内部控制的内容得到了极大的丰富。对与内部控制的相关要素的划分更加清晰，使企业对风险的控制能够落到实处，从而增强了控制的可操作性。风险管理的外延要比内部控制广阔得多。该报告强调内部控制框架的建立应与企业风险管理相结合，内部控制应该作为企业风险管理的有机组成部分，新的报告不再使用内部控制框架概念，而是使用风险管理框架的概念。内容的丰富必然会促使认识的深化，必然会促使企业管理层在建立和实施内部控制时考虑的更周全，更具战略性和前瞻性。

2.目标的拓展。1992年的coso报告将内部控制定义为“内部控制是一个受到董事会、经理层和其他人员的影响，旨在取得：经营效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。”从该定义中可以看出内部控制能实现三个目标。这三个目标没有触及到企业战略，是战术层次的目标。在2004年的coso报告《企业风险管理—总体框架》即erm框架在对内部控制的定义中细化和拓展了相关目标。erm框架（enterpriseriskmanagement）指出：内部控制是一个过程、被人影响、应用于战略制定、贯穿于企业各个层级、旨在识别影响组织的事件并在组织的风险偏好范围内管理风险、合理保证、为了实现各种目标。由于在1992年的报告中没有明确提出内部控制对资产的安全和完整目标，实际上，对很多企业特别是中小企业而言，内部控制制度设立和执行的主要目标可能就是保护资产的安全和完整。而在2004年的报告中明确提出了“保护资产”或“保护资源”的概念。并在内部控制的定义中明确指出内部控制可以实现各类目标，各类目标不仅包括以前所提到的三个目标，而且还应当实现企业的战略目标。战略目标是企业最高层次的目标，是指导和制约战术目标的，企业所有的活动应该围绕着战略目标的实现而进行，内部控制的建立和实施也不例外，如果企业在战略制定方面出现了真空，企业的战术就会迷失方向，企业的损失会更大，巴林银行的倒闭和中航油巨亏事件就是很好的例证，它们并不是没有完善的内部控制，而是在战略制定之时出现了权力真空。因此新的coso报告提出了一个新的目标———战略目标，不仅强调企业内部控制应当与企业本身的战略制定和实施紧密地联系在一起，而且强调了内部控制就是首先针对企业战略的。

3.风险认识的深化。尽管在1992年coso报告中也将风险评估纳入到内部控制一体化框架作为其要素之一，但是对风险的认识还很有限，认识的程度还仅仅限于风险识别和风险分析。风险识别包括对外部因素如技术发展、竞争、经济变化以及内部因素如员工素质、公司活动性质、信息处理系统的特点进行检查；风险分析涉及到估计风险的重大程度，评估风险发生的可能性。在coso新的报告中，对风险的分析更透彻。新的报告增加了三个风险管理要素：目标设定、事项识别和风险反应。现代企业竞争日趋激烈，不仅要面临国内市场的竞争，还要面临国际市场的竞争；不仅要面临产品市场的竞争，还要面临经理人市场的竞争，企业的风险比以往任何时候都大，如何规避这些风险是企业的头等大事，说企业管理应当以风险管理也丝毫不为过。风险实际上指明了内部控制存在和必要的理由，如果企业没有这些风险也就不需要内部控制。对企业风险问题认识的肤浅必然会使内部控制的建立和实施误入歧途。因此新的报告在第二个要素中明确提出了风险管理应进行目标设定，目标的设定指明了内部控制的实施方向，使内部控制的设立更具针对性，和企业的战略更加吻合，以更好地实现企业的战略目标，使内部控制产生应有的效果。接着该报告就深入阐述了事项识别。企业的风险在各个管理级次和各个部门都有可能出现，企业风险管理框架深入探讨了潜在事项的概念，认为潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇，而存在潜在负面影响的事项则称为风险。企业关键是要识别和控制存在潜在负面影响的事项。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的发生趋势进行度量。并在风险度量中提出了风险偏好和风险容忍度的概念。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。新的报告对风险的考虑更加全面和透彻，有利于管理层内部控制制度的建立和实施，使企业能够站在更高的层次、更宽阔的视野来认识内部控制，使人们对风险的认识从单纯的风险分析和风险识别扩大到目标设定—事项识别—风险计量—风险反应—风险评估，可以将风险管理落到实处。

4.关注整体比关注控制细节更有效。新的报告名称之所以改为《企业风险管理—总体框架》，就是强调整体的效果而非注重微观细节上的控制。风险本身是一个系统，其形成原因和构成要素很多也很复杂，如果面面俱到、事无巨细地都进行涉及是不可能的也是不值得的，因为风险的管理是有成本的，也要遵循成本—效益原则。目前我国企业特别是国有企业在具体项目上的控制制度应有尽有，他们往往忽视了企业的重大风险，导致企业出现重大损失。要强调整体上的效果就必须遵循抓大放小的原则，因此，erm框架强调董事会与管理层应该将精力放在可能产生重大风险环节上，而不是所有细小环节上。只有当企业总体而言出现偏离风险容忍度的重大风险时，管理层才需要采取一定的控制活动。

5.扩大了控制环境的内涵。在2004年新的报告erm框架中将首要要素改为内部环境，而在内部控制结构观念和1992年的coso报告中均是以控制环境的名称出现的，这一变更并不是简单的名称变更，而是范围的变更、理念的变更。体现了风险管理范围的扩大。在传统的控制环境要素中认为控制环境包括：经营哲学、组织结构等方面的内容，erm框架中强调了内部控制环境包含了一个组织的气氛，形成一个组织和人员识别与看待风险的基础。它确立了企业的风险文化，既要认可预期发生的事项，也要认可未预期发生的事项，因而丰富了控制环境的内涵。

二、对注册会计师审计工作的影响

1.扩大了注册会计师的审计范围，加大了注册会计师的审计责任。随着人们对内部控制认识的逐步深入，内部控制的外延在不断扩大，比如注册会计师在评估风险时必须考虑内部环境，内部环境所涉及的范围就比内部控制结构中的控制环境所涉及到的内容广阔得多。根据最新的注册会计师审计准则的要求，注册会计师在确定进一步审计程序的性质、时间和范围时仍然要以控制测试的结论为基础，所以注册会计师在进行控制测试时要想取得充分、适当的证据，除了关心和收集财务领域的证据之外，还必须关注与之相关的非财务领域，这些非财务领域的资料或状况与所证实的认定的关联程度究竟有多大，需要注册会计师进行科学的专业判断，这样无形中就会加大注册会计师的责任。另外，《萨班斯法案》第103款要求，注册会计师在审计报告中描述对内部控制结构和程序进行测试的范围，并在审计报告中或者单独出具一份报告陈述有关内部控制情况。如果是在审计报告中陈述内部控制情况，无疑会加大注册会计师的审计范围，加大了注册会计师的审计成本和相应的责任。随着我国《独立审计准则—审计风险》的出台，注册会计师在评估审计风险时不能只考虑与会计相关的内部控制，而应当考虑与实现“四大目标”相关风险的所有方面，从这个意义上来说，注册会计师的审计领域比以往更大，审计风险要素中的检查风险随之增大。

2.促使审计业务流程的转变。随着人们对内部控制认识的深化，审计业务流程也发生了根本性的转变。每一个阶段的审计业务流程和该阶段对内部控制的认识是分不开的。传统的审计业务流程是以强调微观的内部控制制度作为基础的，这从传统的审计风险模型就可以看出：审计风险=固有风险×控制风险×检查风险。注册会计师在执行会计报表审计业务时，先要单独评估固有风险和控制风险，进而确定检查风险的可接受水平。该模型没有将审计风险作为一个整体进行评价。为此，国际审计准则以及中国独立审计准则都强调摒弃原来的审计业务流程，遵循全新的审计风险模型以设计相应的审计程序。审计风险=重大错报风险×检查风险。这里的重大错报风险是指财务报表在审计前存在重大错报的可能性，模型的转变是人们对内部控制认识深化的结果，实际上是要求审计人员在评价有关被审计单位的风险时应当将其作为一个整体。

参考文献：

框架调查报告篇5

1.标题

调研报告的标题有单标题和双标题两类。所谓单标题，就是一个标题。如《××省农村中学语文教学情况的调查报告》、《××市的校办企业》；所谓双标题，就是两个标题，即

一个正题、一个副题。如《为了造福子孙后代---××县封山育林调查报告》。

2.摘要和关键词

对调研报告采取的方法、目标、主要内容、解决方法等进行简明扼要的概括叙述，字数

在200字左右。关键词一般为3-5个。

3.导语

导语又称引言。它是调研报告的前言，简洁明了地介绍有关调研的情况，或提出全文的

引子，为正文写作做好铺垫。常见的导语有：

①简介式导语。对调研的课题、对象、时间、地点、方式、经过等作简明的介绍； ②概括式导语。对调研报告的内容（包括课题、对象、调查内容、调研结果和分析的结

论等）作概括的说明；

③交代式导语。即对课题产生的由来作简明的介绍和说明。

4.正文

正文是调研报告的主体。它对调研得来的事实和有关材料进行叙述，对所做出的分析、综合进行议论，对调研的结果和结论进行说明。正文的结构有不同的框架。按照内容表达的层次组成的框架有：“情况--成果--问题--建议”式结构，多用于反映基本情况的调研报告；“成果--具体做法--经验”式结构，多用于介绍经验的调研报告；“问题--原因--意见或建议”式结构，多用于揭露问题的调研报告；“事件过程--事件性质结论--处理意见”式结构，多用于揭示案

件是非的调研报告。

5.结尾

结尾的内容大多是调研者对问题的看法和建议，这是分析问题和解决问题的必然结果。

调研报告的结尾方式主要有补充式、深化式、建议式、激发式等。

6.注释与参考文献

注释一律采取脚注，参考文献格式参见《学生实践调研报告格式规范》的要求。

7.落款

调研报告的落款要写明调研者单位名称和个人姓名，以及完稿时间。如果标题下面已注

明调研者，则落款时可省略。

8.附录

附录包含的内容有调查问卷、访谈提纲，或一些重要的访谈记录等。

二、调研报告的写作程序

一般来说，学生实践调研报告写作要经过以下五个程序：

1.确定主题

主题是调研报告的灵魂，对调研究报告写作的成败具有决定性的意义。因此，确定主题

要注意：

报告的主题应与调研主题一致；但如果调查包含的内容很多，涉及的范围和领域很广，在一份报告中难以容纳全部内容时，需要从中选择部分内容形成报告，并确立相应的报告主

题。

要根据调查和分析的结果，重新确定主题；

主题宜小，且宜集中；与标题协调一致，避免文题不符。

2.拟定提纲

主题明确后，首先应构思报告的整体框架，并将这种框架转变为具体的撰写提纲。提纲

式对研究的结果进行分解，并将分解后的每一部分进一步具体化。

调研报告的提纲有两种，一种是观点式提纲，即将调研者在调查研究中形成的观点按逻辑关系一一地列写出来。另一种是条目式提纲，即按层次意义表达上的章、节、目，逐一地

一条条地写成提纲。也可以将这两种提纲结合起来制作提纲。

3.取舍材料

对经过统计分析与理论分析所得到的系统的完整的"调查资料"，在组织调查报告时仍需精心选择。选择应以撰写提纲的范围和要求为依据，以保证所选取的材料与报告的主题密切相关。同时还要坚持精炼、典型、全面的原则，做到既不漏掉一些重要的材料，又使使用的

材料具有最大的代表性和最强的说服力。材料的取舍要注意：

①选取与主题有关的材料；②注意材料点与面的结合；③在现有有用的材料中，要比较、

鉴别、精选材料。

4.起草调研报告

这是调研报告写作的行文阶段。要根据已经确定的主题、选好的材料和写作提纲，有条不紊地行文。写作过程中，要从实际需要出发选用语言，灵活地划分段落。

在行文时要注意：

①结构合理（标题、导语、正文、结尾、落款）；

②报告文字规范，具有审美性与可读性，如："制定优惠政策，引进急需人才"，"运用

竞争机制，盘活现有人才"，（文段落的条目观点）；

③通读易懂。注意对数字、图表、专业名词术语的使用，做到深入浅出，语言具有表现

力，准确、鲜明、生动、朴实。

框架调查报告篇6

关键词：内部控制评价系统

内部控制理论整合到风险管理框架中被公认为是其理论发展的最高成就。然而，一批执行由美国COSO的《内部控制整合框架》和《企业风险管理整合框架》的知名公司却在金融危机中纷纷破产或被收购，再次向世人表明，即使被外部审计鉴证为拥有“健全内部控制”的大公司，其内部控制运行的有效性并不一定能得到保证。究其原因：一是内部控制评价标准模型缺乏可操作性，不能有效指导企业内部控制实践；二是公司治理存在缺陷，内部控制形同虚设。因此，公司内部控制运行质量引发管理学界和企业界展开新一轮的内部控制评价研究，构建一个科学的企业内部控制评价系统是当前面临的非常重要与紧急的任务。

一、相关概念辨析

内部控制起源于管理和审计的需要，保证资产安全、防范会计信息失真以及确定审计范围是内部控制发展的主要动力和源泉。美国《内部控制整合框架》指出内部控制是一个过程，“内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的，为达到经营的效果和效率、财务报告的可靠性、法律法规的遵循性等目标提供合理保证的程序”。目前这个定义受到世界各国和各类组织的广泛认可。

内部控制评价是一个测试、评价、反馈、完善企业内部控制制度及体系的过程。内部控制评价系统包括评价主体、评价客体、评价目标、评价指标、评价标准、评价方法和评价报告。美国的内部控制评价研究一直走在世界前列，这一概念最早是由美国公证执业会计协会提出的，1929年该协会的《财务报表》一文中正式指出：“要对内部控制的有效性做出评价而抽查的范围将取决于检查内部控制系统的结果。”

1.美国公众公司会计监督委员会认为：内部控制评价是一个进行风险评估的过程，这个过程被企业当局和外部审计师所利用，以便评价企业会计信息系统的优劣。

2.我国最早的研究者认为内部控制评价是指由企业内部审计和外部监管部门对企业内部控制系统全面进行的审查测试与分析评价。其后的研究者认为内部控制评价是审计人员通过对被审计单位内部控制系统的审查、测试、评价，判断其可信程度，从而对内部控制系统做出鉴证意见的一种审计方法。

3.2010年财政部等五部委的《企业内部控制评价指引》指出：“内部控制评价是指企业董事会或类似的权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程”。可见，我国认为内部控制评价是一个对企业内部控制目标实现与否、内部控制设计和执行有效与否进行合理评价的过程。

由此，我国明确规定了评价主体（企业董事会或类似权力机构）、评价客体（内部控制的有效性）、评价目标（促进企业设计与运行有效的内部控制）和评价报告（报告的种类、格式和内容）。因此，内部控制的评价标准、指标及方法三部分应作为构建内部控制评价系统的重要内容。

二、内部控制评价标准研究

对财务报告内部控制（ICFR）的评价，是美国内部控制评价法律规定的主要内容。SOX法案404条款（2002）要求上市公司管理层应基于适当、公认的评价框架对ICFR进行评价，并在年末公告两方面内容：其一是企业需要提交一份有关ICFR的评估报告；其二是管理层出具对这个报告负责的结论。PCAOB（美国公众公司会计监督委员会）公布了AS-2（审计准则第二号）（2004）：外部审计师对上市公司的财务报告及报告期间的内部控制同时审计；AS-5（2007）指明评估所用框架，即以COSO的内部控制整合框架为评价标准，并在美国得到普遍运用。

虽然美国提出了适当、公认的评价框架，但William J.Carney（2006）调查显示，以COSO框架为标准的SOX条款执行成本远超过2002年SEC的预计。Parveen P.Gupta（2007）经过调研发现1992年COSO框架没有提供公司管理层评价和报告内部控制急需的实施指南，只有24%的被调查者认为他们有能力应用该框架评价公司的财务报告内部控制。

王会杰（2001）把内部控制评价标准分为一般标准和具体标准，两者是基础和升华的关系。郭华平（2002）将其分为综合标准、基本标准和具体标准三个方面。原东平（2008）结合我国实际情况，认为评价标准包括一般与具体两个层次，其中，一般标准分为完整性、合理性和有效性标准，具体标准包括要素层次与作业层次。

李金路（2005）认为内部控制评价的标准是指内部控制制度整体运行应实现的目标，并结合对内部控制因素的分析对内部控制评价标准作出系统阐述。李小燕等（2008）提出公司财务控制制度的健全性、符合性两方面的定性评价标准，以及有效性的定量标准。邵继来（2009）认为企业内控制度评价标准含有制度建设、执行以及保障三个层次。董美霞（2010）指出要综合考虑风险和内部控制目标，对内部控制的所有基本要素确立评价标准。

张宜霞（2007）认为内部控制评价标准应满足相关性、没有偏见、一致性、可验证性和充分完整等严格条件，并提出设计内部控制评价体系的总体思路。这一观点在后来的《基本规范》和《评价指引》中得到了很好的体现。

我国《企业内部控制基本规范》虽然强制上市公司对内部控制评价情况进行报告，但并没有详细规定评价的具体内容、标准和方法；《企业内部控制评价指引》作为企业评价内部控制质量的原则性指导框架，不够具体，内部控制评价工作流于形式。因此，国内很多学者（李斌，2009；池国华，2011等）都认可将美国COSO框架提出的企业内部控制三大目标与五大要素作为作为评价标准。

三、内部控制评价指标体系研究

为避免内部控制评价活动流于形式，需要设计出一种实用且操作性强的内部控制评价指标体系。Kenneth A.Smith（1972）研究了内部控制的评价结果与审计样本量二者之间的关系，提出审计样本的选择对审计结果有正相关的联系。Lindale Grieg（1984）设计了数学模型来分析评价内部控制系统，通过建立数学模型将内部控制系统进行量化。Schwartz（2006）基于成本效益原则，按内部控制五要素为小型公司设计了一种整合的、基于业务流程的评价模型，帮助其识别风险、加强控制。Danny（2007）指出，实施AS准则要识别高风险领域和相关实体层面的控制，应该在控制优先的基础上评估风险：对关键和非关键控制进行再评价；评估单个的关键控制风险；根据AS准则对测试范围进行再评估。

COSO报告在评价内部控制有效性时，一般把评价指标设计成一系列问题，重点从企业战略目标同经营目标的协调、目标实现、风险控制、企业文化、员工能力、监督控制等方面设计问题，然后针对评价对象的实际情况，依据答案情况来评价内部控制的健全性和运行的有效性。

文胜泽（2007）从管理学和经济学角度论述了构建内部控制评价指标体系的基础理论，使得内部控制评价基础理论不再局限于审计和公司治理领域，对内部控制评价性质做了更深入的诠释。

朱荣恩（2004）引入美国财务报告内部控制评价体系，通过对中美两国内部发展体系的比较，建立了基于COSO框架的内部控制评价体系。傅元略（2002）和唐予华等（2003）利用COSO报告关于内部控制构成要素的理论，建立了内部控制评价指标体系，并且构建了内部控制综合评价模型（ZPM）。王素莲（2005）以COSO报告中的要素为对象，结合SOX法案404条款内容，尝试构建一套中国企业内部控制评价指标体系。蔡军和韩庆兰（2006）按照SOX法案404条款的要求，在COSO框架指导下，建立了五个内部控制体系步骤，以及如何对内部控制执行进行测试。

赵东方、张莉（2005）认为应构建防卫性、建设性和一般性三个层次的内部控制评价指标，采用内部审计评估和控制自我评估两种评价方式。王海林（2008）认为在内部控制评价中引入内部控制等级概念，并构建内部控制评价体系，以实现对内部控制完整性和有效性等做出全面评估。张先治，戴文涛（2011）构建了企业、注册会计师和监管部门三位一体的监管模式，结合我国内部控制评价的状况来构建企业内部控制评价指标。

王煜宇和温涛（2005）从内部控制环境、风险评估、内部会计控制、内部管理控制和监督控制五个方面构建了由35个指标组成的企业内部控制评价指标体系。韩传模，汪士果（2009）提出运用三维结构剖析企业内部控制系统，建立递阶层次指标体系，识别了企业主要的业务流程和关键控制措施。厦门大学内部控制指数课题组（2010）针对我国内部控制评价指引提出了35个二级评价指标，同时对相关企业进行实证调查，得出模糊评价模型的应用性和实用性，也为我国企业开展内部控制评价提供参考。

四、内部控制评价方法研究

Hamlen（1980）将内部控制设计和评估看成一个优化过程，用优化模型来描述内部过程。Baileyetal（1983）提出TICOM-II模型，将内部控制行为转化为计算机可接受的描述性语言，并自动与计算机内已有的审计标准进行比较，得出内部控制质量的高低。Nichols（1987）利用多元统计的两组判别分析方法来建立内部控制评价的预测模型；Purivs（1989）和William（2008）分别采用实验方法研究了问卷式、流程图式以及文字叙述式等三种内部控制评价方法的效果，并对各自准确性做了比较。Emby（1994）描述了评价公司内部控制中具体测试方法和过程。

Leary（2004）提出了内部控制评价模型（ICE），并与来自五家公司的94位审计师运用其各自公司的评价方法进行比较，证明该模型与现有的评价方法一样有效。Bierstaker，Janvrin&Lowe（2008）对会计公司的调查表明：审计人员偏好文字描述式，其次是问卷调查式。Chunyan Shao（2009）认为，根据内部财务控制的复杂性特点建立一种基于评价指数系统的模糊评价方法具有可操作性。Akresh（2010）认为，内部控制审计是审计财务报告的生成过程，而财务审计是审计内部控制过程的产出，这一过程分解为固有风险、控制设计和执行风险、控制运行效果风险。

林朝华，唐予华（2003）介绍了国际流行的内部控制评审最新理念――CSA，认为该方法为实现企业的目标提供了一定程度的合理保证。何恩良（2003）认为，内部控制评价定性评价受评价人员的主观影响，其主要评价内部控制制度的合法性、有效性、可操作性、经济性、先进性；定量评价更具有科学性，应首先建立定量评价标准，然后通过模型评价其健全性和有效性。王立勇（2004）运用可靠性理论及数学统计方法来构建内部控制系统评价定量分析的数学模型，根据企业的业务流程设计内部控制系统可靠的框架图。朱卫东等（2005）基于COSO报告框架构建了内部控制评价指标体系，并将BP神经网络技术应用于企业内部控制评价中。

陈汉文、张宜霞（2008）认为政府监管部门应当规范风险基础的评价方法，引导企业管理层和注册会计师应当实施风险基础的方法来评价和审计内部控制。

韩传模等（2009）利用模糊评价法和AHP，评价部分及整体控制的有效性，并且从定性局部的评价改变为定量综合的评价。文胜泽（2009）利用风险管理方法，建立了评价指标体系以及模糊综合评价模型。敖世友（2009）借鉴管理熵相关理论，计算公司内部控制制度的管理熵值，探讨如何评价内部控制有效程度。王海林（2009）借助过程控制手段构造IC-CMM模型，完成了对内部控制制度的运行过程与运行结果的双重综合评价。杨洁（2011）建立评价因素集、评价等级集和评价权重集，对评价指标进行量化打分，利用PDCA循环原理分析评价结论。应益华等（2011）将6σ五个步骤与内部控制评价活动有机结合，来发掘企业内部控制中的不足及原因，达到降低风险的目的。唐立新等（2012）通过调查企业内部控制水平资料，并和评价标准对比分析，利用百分制评价法，得出企业内部控制质量的评价结果。

五、研究述评及未来展望

内部控制评价无论对管理学界还是对企业界，都是一个相当重要的课题。通过对上述中外研究成果的文献回顾和综述，目前还存在着以下问题：

第一，内部控制评价标准：美国的COSO Framework执行成本较高，导致其不断受到质疑。《企业内部控制评价指引》在一定程度上解决了我国缺乏可供企业参考的评价标准的问题，但具体实施效果如何有待于学者们收集更多的实证数据进行检验，从而形成符合我国实际国情的动态评价标准体系。

第二，内部控制评价指标：以内部控制五要素为基础的指标体系得到许多学者的认同，但二级或三级指标内容有待于统一；以内部控制目标为基础的指标体系的构建，需要兼顾内部控制各要素；定性与定量综合的指标体系，往往权重难于合理分配，且定量指标的选取有待于统一。如何建立起一套科学合理的评价指标体系是一个有益的尝试与探索，可作为以后继续研究的方向。

第三，内部控制评价方法：国外学者多主张建立各种模型以增强评价的客观科学性，但内部控制评价模型由于操作成本过高等原因，导致评价方法的运用推广受到限制；国内学者倾向于模糊评价法和层次分析法（AHP）两种方法的综合运用，但存在受评价者的主观性影响，且对各指标一致性有严格要求等问题。因此，急需探索出一种可操作性强且能一定程度上保证客观评价的方法。

第四，关于内部控制评价体系方面：目前共存在四种类型的内部控制评价体系，分别是以财务报表审计为目的；以内部控制审计为目的；以完善内部控制为目的；以信息披露为目的，这四种评价的客体相同，可以共享不少方法和信息，但如何能对这四种内部控制评价进行有效整合以降低评价成本非常值得研究。

参考文献：

[1]张宜霞.企业内部控制论[M].大连：东北财经大学出版社，2008.

[2]郑卓如，郑石桥.内部控制评估：文献综述和未来研究方向[J].会计之友，2013（3）.

[3]陈俊，王曙光.企业内部控制体系的建设――基于对COSO和COCO内部控制体系的整合型探析[J].审计与经济研究，2008（3）.

[4]张黎焱.上市公司内部控制评价研究[D].财政部财政科学研究所，2010.

[5]王双，赵毅.内部控制评价系统研究述评――评价标准、指标、方法[J].会计之友，2013（23）.

[6]董美霞.全面内部控制评价体系述评――兼议《企业内部控制基本规范》及相关征求意见稿[J].财会通讯，2008（12）.

[7]池国华.中国上市公司内部控制指数的功能定位与系统构建[J].管理世界，2011（6）.

[8]邵继来.浅析企业内部控制评价标准[J].中国内部审计，2009（11）.

[9]董美霞.我国企业内部控制评价研究[D].东北财经大学，2009.

[10]张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2011（1）.

框架调查报告篇7

关键词：审计质量；框架；评价指标

一、引言

审计质量衡量的是会计师事务所的审计工作效果。在当前审计理论及实务中，由于缺乏系统完善的审计质量评价框架，直接导致投资者、社会公众等利益相关者难以准确评价事务所的审计质量。在会计师事务所质量控制系统的建立完善过程中缺乏相应的理论指导，监管机构对于会计师事务所质量控制系统的考核评价也缺乏相应的理论依据。审计质量框架研究有助于投资者和监管机构更为准确综合地评价会计师事务所的审计质量，对会计师事务所质量控制系统的建立和完善有着重要的理论意义，同时有助于监管机构提高审计质量监管的有效性和合理性。

纵观世界，国际上主要的准则制定机构和监管者正在积极开展审计质量框架的研究，英国财务报告理事会（FRC）在2008 年2 月了《审计质量框架》；美国审计职业咨询委员会（Advisory Committee on theAuditing Profession）在2008 年10 月的最终报告建议PCAOB 开展审计质量评价指标的相关研究；证监会国际组织（IOSCO）2009 年9 月了有关会计师事务所信息披露的征求意见稿，其中专设一节讨论了审计质量评价指标的披露问题；国际审计与鉴证准则委员会（IAASB）在2014 年2 月了《审计质量框架》；PCAOB 在2013 年5 月了《审计质量评价指标》，其中讨论了审计质量定义及框架等。研究制定审计质量框架已成为理论界和实务界重要的国际趋势。

我国审计准则和相关指南中针对会计师事务所的质量控制做出了部分概括性的规定，但尚未构建系统的审计质量框架及评价体系。事务所内部无法针对审计质量做出详细完善的执行体系，监管机构在实际管理中缺乏具体量化的评价指标，投资者等利益相关者也难以确定事务所的审计质量是否符合相关要求，导致会计师事务所质量控制方面存在局限性和难以解决的问题。随师着经济全球化和经济社会的不断发展，我国注册会计师行业面临着更大的挑战，我们必须将准则的国际趋同成果转换为会计师事务所审计质量的提升，不断建立完善审计质量框架和评价指标体系，实现行业的长期稳步发展，更好地发挥事务所第三方鉴证的作用，更好地服务于利益相关者。

二、审计质量框架研究的实务进展

（一）IAASB 审计质量框架研究进展

由于审计质量难以定义和量化，IAASB 研究了描述审计质量因素的国际框架，概述项目组、事务所、国家层面的投入、过程、产出因素，并论证利益相关者之间恰当沟通的重要性以及不同环境因素的重要性。2007 年12 月，IFAC 中的TAC 阐述了高层基调与审计质量的关系，解释了“高层基调”的内涵及其对事务所的重要性；2011 年8 月，IAASB 一个可行的审计质量框架，初步汇总审计质量框架的元素，并论述管理层、审计委员会、机构投资者和公共部门利益相关者对审计质量的看法；2013 年5 月，IAASB 在新的《审计质量框架》意见稿中详细描述影响审计质量的五个主要因素：投入、过程、产出、财务报告供应链中的重要沟通、情境因素，并提出可进一步研究的领域；2014 年2 月，IAASB 《审计质量框架：创造审计质量环境的关键因素》，建立正式的审计质量框架。

IAASB 认为虽然国家法律和会计准则提供“公允表达”的标准，但财务报告过程的许多方面以及财务报表的审计涉及判断。除了潜在的财务报表方面职业判断的性质，有许多因素使描述和评估审计质量具有挑战性，包括：在已审财务报表中存在或没有重要的虚假陈述只能片面了解审计质量；审计各不相同，哪些应该被视为充分适当的审计证据来支持审计意见在某种程度上也是需要判断的；利益相关者之间对审计质量的观点不同；执行的审计工作和审计结果的透明度是有限的，所以审计质量难以定义。

（二）英国审计质量框架研究进展

2006 年5 月颁布的欧盟第八号指令的第四十条规定，公共实体的审计人员在网站上年度透明度报告，其中至少包括以下信息：1.法律结构和所有制；2.与网络事务所的联系及其结构安排；3.治理结构；4.内部质量管理体系和领导层对其功能有效性的声明；5.最后的质量保证复核日期；6.以前会计年度期间审计的公众利益实体的列表；7.独立性的通常做法及内部审查独立性遵守情况的确认；8.遵循的有关审计人员继续教育的政策；9.财务信息，如总审计费用占总收入的比例，以及收取费用的其他保证服务，税务服务和其他非审计服务；10.合伙人薪酬的基础。2009 年9 月，IOSCO 技术委员会公布了“审计上市公司的事务所的透明度”、“审计人员沟通”、“事务所非专业的所有权结构”三个主题相关的咨询文稿，探讨增强事务所治理、AQIs（Audit Quality Indicators）和已审财务报告的透明度是否可以保持和提高审计质量及审计服务的可用性和传递性，考虑增强透明度所带来的好处和可能的不利，同时也审视增强透明度的方法及减轻透明度提高所带来的任何潜在局限性的方式。

2008 年2 月FRC 在《审计质量框架》中指出没有单一公认的审计质量定义，并且审计质量是一个动态的概念，因素和审计质量指标可能随时间改变。因此，FRC 确定5 个主要因素连同相应的指标，认为这是实现高质量审计的关键：会计事务所的文化、合伙人及员工的技能和个人素质；审计程序的有效性；审计报告的可靠性和实用性；审计人员控制外的因素（如公司治理、审计委员会有效性、报告的最后期限等等）。此外，英国财务报告理事会还发现了可以削弱上述因素的可能威胁。

（三）美国审计质量框架研究进展

ACAP 于2008 年10 月6 日的一份报告就提高审计质量在人力资本、公司结构、财务状况、专注和竞争方面提出31 个建议，并考虑与会计师事务所的选择及更换有关的包括产出和投入方面指标的信息；2008 年10 月SAG 成员讨论了美国财政部ACAP 关于研究评估审计质量与效果的关键指标的可行性报告，认为审计质量的定义将是有用的，但不是必需的，且不应该成为评价审计质量的障碍，此外对相关指标、规范的与自由的披露模式优点、相关后果及成本因素也进行了讨论；2011 年3 月IAG 认为，由于审计委员会成员获取关于事务所的全球网络分所及其如何管理审计工作与审计质量的信息是困难的，所以事务所不应投资者可以用来和另一事务所的审计质量相比较的任何审计质量关键指标。但是，IAG 建议事务所编制向PCAOB 备案的被执行高管认可并公开的年度报告，包括ACAP 报告推荐的各项条款如法律、网络结构、治理描述、财务信息等，特别的是PCAOB 确定的关键质量控制因素，也应该包括会计师事务所按照公认会计原则（GAAP）编制的年度财务报表。2013 年5 月，PCAOB 在《常设咨询委员会有关审计质量的讨论》中建立的审计质量框架包括三个部分：审计投入、过程和结果，同时也承认外部压力如快速变化的环境、增长和利润方面的压力会影响审计质量。

（四）IAASB、英国、美国审计质量框架的异同

IAASB、英国、美国的审计质量框架主要基于投入、过程、产出三个部分构建，也认可其他外部因素的影响，并认为审计质量是一个动态的概念，动因和审计质量指标可能随时间改变。但具体到审计质量的定义、投入—过程—产出的内容以及审计质量框架的使用者，三种审计质量框架又存在很大差异。在IAASB下，审计质量包含创造环境使审计质量一致进行的可能性最大化的关键元素。英国FRC 没有针对审计质量进行明确定义。在美国PCAOB 下，审计质量要求操作完全符合PCAOB 准则和SEC 需求，满足发行人的投资者及市场对独立、怀疑、可靠的财务报表审计的需求，从而帮助发行人的审计委员会获得及时有效的信息供给。与IAASB、PCAOB 的审计质量框架相比，FRC 审计质量框架不仅讨论对审计质量有促进作用的因素，也提醒事务所、监管者等考虑对审计质量产生负面影响的情况。PCAOB 并没有论述审计质量框架中的外部因素，而IAASB 从相互沟通和情境因素两个方面进行了详尽阐述。并且，IAASB 的投入、过程又从项目组层面、事务所层面、国家层面三个角度展开。

综上所述，目前对审计质量框架及评价指标的研究是把审计服务看作一种产品，围绕投入、过程、产出等因素及其评价指标而展开，其描述的框架规定了有利于审计质量、反映利益相关者不同观点的驱动因素，以提高对审计质量的关键要素的认识、鼓励主要利益相关者探索提高审计质量的途径以及促进关键利益相关者之间关于该话题的对话。虽然各个研究成果并未对审计质量的定义达成共识，在具体实施中仍需要进一步探索研究，如审计透明度报告、全球性的事务所治理指引、增加审计报告的信息价值和改善审计价值的观念。但是PCAOB 和IAASB 的有关成果为我国会计师事务所审计质量框架及评价指标的研究提供了新方向。

三、审计质量框架研究对我国的借鉴意义

（一）我国审计质量评价的现状

我国会计师事务所审计质量评价并没有统一的方法，一般采用单个审计质量替代指标或多个审计质量替代指标组合进行评价。以中国注册会计师协会现行《会计师事务所综合评价方法》为例，现行综合评价体系主要是从会计师事务所方面进行评价，收入的权重占有重要部分，潜在的激励后果导致事务所一味扩大规模、增加收入。并且，我国目前缺乏与高质量审计配套的健全的法律保障体系与激励体系，执业透明度较低，奖惩监管体系的相对滞后无疑为将来的管理和发展埋下隐患。同时，现行评价方法并不能真实反映事务所审计质量现有的水平、影响因素、所处环境的变化。此外，我国证券市场仍处于规模有限的半强式有效市场，中部与西部地区事务所的发展相对于东部地区而言市场化程度比较落后并呈现出恶性竞争景象，比如低价揽客与购买审计意见，这样的环境不利于推动审计行业做强做大和又好又快的发展。所以，按照我国现行会计师事务所的评价方法，不能充分适应我国经济发展的特殊情况，没有兼顾影响审计质量的情境因素如文化差异等。

（二）审计质量框架研究借鉴

第一，审计质量框架一般包括投入、过程和产出三要素。审计是一种特殊的产品和服务，借鉴产品的生产流程，国际上一般从投入、过程、产出三个部分建立审计质量框架，便于实现对审计质量的事前预测、事中控制、事后检查。虽然各会计组织审计质量框架的投入、过程、产出中具体要素存在差异，但是基本思路没有改变。同时，各会计组织认为一些外部因素也应包括在审计质量框架中，比如快速变化的审计环境、利益相关者之间的相互交流。此外，针对审计质量概念未达成共识的现状，审计质量框架一般将采用的审计质量定义予以解释，方便使用者理解该审计质量框架的目标和适用范围。例如，PCAOB 审计质量概念中的需求范围是美国上市公司审计中目前要求的结果，可能无法满足所有的投资者、债权人对审计服务的广义需求。

第二，审计质量框架建立应遵循国际性与国家性相结合、平衡各方利益等原则。随着经济全球化，国际资本市场逐步扩大，审计市场国际化成为不可逆转的大趋势。毋庸置疑，各国的社会经济结构和发展水平、法律环境、利益分配制度以及文化传统等存在差异。因此，构建审计质量框架在总体上向国际化协调时，还应在具体问题上保持国家特色。此外，审计质量框架涉及会计师事务所、审计师、公司、投资者等多个利益主体，利益多元化决定了利益冲突的常态化，建立审计质量框架必须遵循平衡各方利益原则，使利益冲突的各方能保持一个动态平衡。比如可能影响财务报告及注册会计师与管理层之间相互交流有效性的文化差异更深层面是在商业交易中保密的程度。管理层缺乏开放和透明度可能会使审计人员更难以获得对公司的必要了解以正确识别和评估财务报告中重大错报的风险，这会对充分适当的审计证据的收集及信息披露完整性、准确性的评估产生影响。

第三，审计质量框架制定应有目标导向，遵循研究引申—检验—的流程。PCAOB 是基于以前的研究和现有标准设计审计质量框架，包括五个部分：高层基调、审计投入、过程和结果、外在压力，但在每一具体部分PCAOB 更深层次地定义审计质量的基本要素。审计质量框架的建立首先根据目标和预期使用者确定参与者以获取可能的审计质量框架元素，然后进行审计质量框架元素的筛选工作。在进行审计质量框架元素的筛选工作时，必须确定一定的标准对可能的指标进行可行性分析，对可行性高的元素进一步地检验。对通过检验的元素再进行分类：无保留的和有质疑的。继续就有质疑的审计质量框架元素寻求建议，然后建立模型实证检验已选的审计质量框架中元素，在公众评论和分析基础上得出审计质量框架意见稿。

四、结论

随着商业环境、审计范围认知、财务报告准则、监管和技术的变化，审计执行的环境在不断地演进，审计质量框架并不是固定不变的。针对审计质量框架缺失及评价体系混乱的不利后果，我国应根据国际审计质量框架研究的思路和成果，结合我国会计师事务所发展中的实际问题，尽快制定审计质量框架以利于监管者对会计师事务所的监管、审计委员会对审计有效性的评估、利益相关者对会计师事务所提高审计质量的政策和措施的评价，以提高审计质量实现“做强做大”的战略。

参考文献：

[1]PCAOB, Standing Advisory Group Meeting, Intro: AuditQuality Indicators (May 15, 2013), pcaobus.org/News/Events/Pages/05152013_SAG.aspx.

框架调查报告篇8

关键词：企业风险管理；內部控制；內部审计

一、企业风险管理框架的提出

2004年，美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上，提出了企业风险管理(EnterpriseRiskManagement，ERM)的概念，使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理，企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用．旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为，ERM为公司董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的信息，并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。

1．内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构，也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好，决定了公司对可能出现的预料之外的事件的态度，管理当局和董事会必须明确战略及其执行过程中的风险和回报。

2．目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项，而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。

3．事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上，企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件，事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识，尽可能地了解企业当前或将来的环境和经营情况。

4．风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险，前者是一定的负面影响事件发生的可能性；后者是假设事件发生，对经营、财务报告以及战略产生影响的可能结果，潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况，采用定性、定量以及相结合的方法，若可以获取充足的数据，一般采用定量的评估方法；若潜在的可能性及影响结果都较小，或者无法获得数据，则一般采取定性的评估方法。

5．风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡，结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险，后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。

6．控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序，为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。

7．信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息，与财务信息一样，风险信息必须以一定的形式和框架进行交流，使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告，报告使用趋势指标、业绩矩阵及运营或财务成果的形式，这些报告能够引导出及时的决策。在公司层次，必须对各种数据和信息流进行加工，形成关于公司风险组合轮廓的统一观点，以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息；平行式是部门之间的信息交流和传递；自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分，应鼓励员工就其意识到的重要风险与管理层进行交流，管理当局应当重视员工的意见。

8．监督(Monitor)。与内部控制一样，企业应通过持续的监督和独立的评价活动，监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象，包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础，或者以日常监督中发现的意外为起点，由于在独立调查、风险评估和报告方面具备能力、技巧和经验，内部审计师是提供独立评价的合适人选。

二、企业风险管理与内部控制的融合

自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来，该内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上，结合《SOX法案》在报告方面的要求，进行扩展研究得到的。通过比较，我们可以发现，企业风险管理的定义采用了1992年内部控制框架定义的模式，认为企业风险管理与内部控制同样是一个程序，它不是静态的，而是处于不断的调整和变化之中，以适应组织环境的变化。

企业风险管理除包括内部控制的三个目标之外，还增加了战略目标，并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标，但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

另外，企业风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件辨别和风险反应三个要素，由于对象不同，风险管理更加针对组织面临的“风险”，增加这三个要素，拓展了概念的深度和广度。因此，风险管理框架建立在内部控制框架的基础上，内部控制框架则是企业风险管理必不可少的一部分。

内部控制与风险管理的融合很早就引发了人们的关注，经过长期的争论和实践，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。COSO企业风险管理概念的提出，将风险管理与内部控制的融合大大地向前推动了一步，这种融合必将极大地推进内部控制和内部审计的发展。

三、风险管理对内部审计的影响

内部控制向风险管理领域扩展，对内部审计的发展产生了深远影响，这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同，尚未形成统一的最佳做法，国际内部审计师协会目前还没有标准的风险基础审计定义，IIA的职业问题委员会认为，风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应，与其他形式的审计不同，这种审计的出发点是风险，而非控制，其目的在于为风险管理提供独立保证，并在必要时加以引导和改进，审计业务的范围和优先次序应由组织所面临的风险所决定。

风险基础内部审计的特征可以总结为以下几点：

第一，风险基础内部审计不仅关注风险管理，同时也是风险管理的重要组成部分。公司针对风险管理功能，设立一个分部，配置一位风险经理，内部审计人员建立风险评估模式，内部审计工作成为企业风险管理的一个组成部分，整个审计工作根植于以未来为导向的风险分析。

第二，内部审计的方法不再是强调确认和测试控制的完整性，而是强调确认经营风险并测试这些风险是否得到有效管理，由交易事项和对政策的遵循，转变为对目标、战略和风险管理程序的关注，“控制是否适当且有效”虽然仍被关注，但已不是关键。

第三，内部审计的反应方式不再是反应式的、事后的、不连续的监控，从以交易为基础转变为以过程为基础，对组织战略计划的创新也由观察者转变为参与者。

框架调查报告篇9

关键词：企业风险管理；?炔靠刂疲?炔可蠹

一、企业风险管理框架的提出

2004年，美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上，提出了企业风险管理(Enterprise Risk Management，ERM)的概念，使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理，企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用．旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为，ERM为公司董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的信息，并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。

1．内部环境(Internal Environment)。企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构，也为ERM的其他组成因素提供了框架。其中特别是管理当局的风险偏好，决定了公司对可能出现的预料之外的事件的态度，管理当局和董事会必须明确战略及其执行过程中的风险和回报。

2．目标设定(Objective Setting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项，而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。

3．事件辨别(Event Identification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上，企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件，事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识，尽可能地了解企业当前或将来的环境和经营情况。

4．风险评估(Risk Assessment)。一般用可能性(概率)和影响结果两个维度度量风险，前者是一定的负面影响事件发生的可能性；后者是假设事件发生，对经营、财务报告以及战略产生影响的可能结果，潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况，采用定性、定量以及相结合的方法，若可以获取充足的数据，一般采用定量的评估方法；若潜在的可能性及影响结果都较小，或者无法获得数据，则一般采取定性的评估方法。

5．风险反应(Risk Response)。企业对每一个重要的风险及其对应的回报进行评价和平衡，结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险，后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。

6．控制活动(Control Activities)。控制活动是管理当局设计的政策和程序，为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。

7．信息和交流(Information and Communication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息，与财务信息一样，风险信息必须以一定的形式和框架进行交流，使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告，报告使用趋势指标、业绩矩阵及运营或财务成果的形式，这些报告能够引导出及时的决策。在公司层次，必须对各种数据和信息流进行加工，形成关于公司风险组合轮廓的统一观点，以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息；平行式是部门之间的信息交流和传递；自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分，应鼓励员工就其意识到的重要风险与管理层进行交流，管理当局应当重视员工的意见。

二、企业风险管理与内部控制的融合

三、风险管理对内部审计的影响

风险基础内部审计的特征可以总结为以下几点：

框架调查报告篇10

【关键词】内部审计;企业风险管理(ERM);保证;咨询

自美国 COSO 委员会于2004 年4月颁布《企业风险管理框架》(Enterprise Risk Management Framework,以下简称ERM框架)后,理论界对ERM的研究风起云涌,监管机构对于ERM的规范不断推出,实务界对ERM的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的ERM,90%的组织正在建立或者想建立ERM (James Roth,2006);《财富》世界500强企业截至2004年底有近40%实施了ERM,30%部分实施了ERM;我国2006年针对部分先进企业和ERM探索者的一项调查显示,7.89%的企业建立并实施了ERM,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,ERM受到了越来越多的重视,如何促使企业尽快建立ERM,保证企业顺利实施和完善已经建立的ERM,成为当务之急。

ERM的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着ERM的实施成效。内部审计作为组织治理结构四大支柱之一,在ERM建立和实施中发挥着重要作用。IIA(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在ERM中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发ERM框架;促进ERM的建立;经董事会批准制定ERM战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(Russell A.Jackson,2005)。

上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ERM脱节,或者重视ERM单一环节而忽视整体。为此,应设计一种能够将内部审计与ERM实现对接的方式,使内部审计能够在ERM循环中实现跟踪式全程审计,实现内部审计对于ERM的全程监督,为持续审计奠定基础,该种模式称为“ERM基础审计”。

ERM基础审计模式以COSO委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在ERM中能够开展的活动,将两者进行有机结合,形成了如图1所示的ERM基础审计模式(George Matyjewicz等,2004)。

图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调整风险管理过程和结果八个环节,形成了ERM的一个运行系统。在此基础上,由管理层提供对ERM过程的首要保证,进而由内部审计实施对ERM的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对ERM承担最终责任,形成了ERM的一个保障系统。该模式将ERM与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在ERM中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对ERM的全程审计。

1.建立和沟通目标。CEO负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。

2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。

3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。

董事会和高级管理层负责建立和管理ERM框架。审计人员不能参与设计ERM框架,但是需要依赖他们的判断,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。

4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。

5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。

6.选择实施风险反应。选择实施风险反应即在风险评估优先级排序的基础上,根据风险性质和风险偏好制定相应的防范措施,可采取的措施一般包括回避、接受、降低和分担。内部审计应该对风险应对措施的选择和执行提供保证,包括:审查采取的风险应对措施是否适合本组织的经营、管理特点;审查采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;审查风险应对措施的成本效益衡量是否合理。对于风险缺乏充分控制措施的情况,内部审计应提出改进措施和建议,协助完善风险反应方案。

7.建立控制。控制活动是使所选择的风险反应活动得到适当决定和实施的政策、程序、过程和监督机制等系列活动的总称。一旦选择了特定的风险反应方案,管理层需要据以实施相应的控制和其他风险反应活动,包括批准、授权、资产安全、职务分离、调整等。审计人员应获取对控制设计的全面理解(包括理解目标、潜在风险和控制活动之间的关系),审查其与组织风险政策的一致性;审查其对组织战略、经营、报告和遵循性目标的支持程度;审查其化解风险的有效性;审查其按设计功能运行的持续性。

8.风险信息沟通。风险信息沟通是指以一致的方式在整个组织中所有层次之间对风险信息进行可靠、及时、完整的传递和反馈,以实现对风险的识别、分析和反应。并非所有的风险都能够被避免,但早期的披露能够为采取适当的行动提供时间。内部审计的核心职能是向董事会、管理层、股东提供风险得到及时削减的保证。为此,内部审计需要审查风险信息的准确性;审查关键风险报告的及时性、相关性和完整性;审查风险信息在整个组织不同层次中传递的有效性;审查风险信息支持系统的安全性等。

9.监督和调整。组织需要对风险管理进行持续监控和不断调整,以保证风险管理过程的持续有效性。可以采用的监控和调整方式包括控制自我评估、定期检查和数据分析,各种方式或者融合在持续的管理活动中,或者采取个别评价的方式,或者通过两者的结合来完成。管理层执行对风险管理过程的监督和调整。内部审计通过调查问卷、控制自我评估、行动跟踪等方式,获取管理层实施监督的相关证明,审查管理层监督执行的一致性、持续性和有效性以及实施调整的适时性和必要性。

10.管理层保证。根据组织结构形式、资源保障程度、政府监管要求和风险管理的特点,风险管理的保证可以来自于不同方面,包括董事会、管理层、操作人员、内部审计、外部审计和独立专家等。其中,董事会对保证风险管理承担全部责任,但董事会往往将风险管理的责任委托给管理层,该种委托关系决定了管理层对风险管理承担直接、首要的责任,他们向董事会提供的风险保证居于首位。管理层必须向董事会保证,他们对于存在的风险和运行的控制实施了检查,所采取的措施能够足以降低那些阻碍公司目标实现的风险,其风险管理过程的运行是有效的。内部审计针对上述各个业务环节的审查结果可以对管理层保证情况做出基本判断,同时,还可以根据对管理层诚实性、业绩、胜任能力、素质和文化等方面的综合评价来制定相应的审计战略,对管理层的风险保证活动提供再保证。

11.内部审计保证和咨询。内部审计的保证和咨询具体体现在ERM各个运行程序中,如上所述。其中,内部审计在ERM中的核心作用是向董事会提供客观保证:保证风险管理过程和内部控制框架的设计和运行有效,保证关键风险的管理(包括控制和其他风险反应)有效,保证风险信息的分类和报告可靠、适当。

内部审计就ERM提供咨询的程度依赖于组织风险管理的成熟度。在组织尚未建立风险管理体系的情况下,内部审计就执行审计项目时发现的风险问题提请管理层和董事会注意,提出建立风险管理过程的相关建议;如果董事会提出要求,内部审计人员可以协助管理层完成组织风险管理的初步建立工作,甚至可以在董事会允许的情况下制定风险管理战略,指导风险识别和评估,协调实施风险管理措施,此时,内部审计直接参与了风险管理过程;在组织风险管理体系建立后,内部审计可以就管理层的风险决策提供建议、质疑或支持;随着组织风险管理体系的逐步成熟,内部审计可以接受委托提供专项的风险管理咨询服务,或者在提供保证服务的同时提供风险管理建议书,此时,内部审计咨询作用将逐步降低,更多地集中于其保证作用。

总之,内部审计在ERM中的功能不是独立运行、单独设置的,它融合在ERM过程中,与ERM的各个业务环节紧密结合,成为一个完整的统一体。如此,事前防范、事中监控性跟踪式内部审计的功效才能够得到充分发挥,内部审计价值增值的目标才能够得到切实体现。

【参考文献】

[1] James Roth. An Enterprise Risk Catalyst.Internal Auditor, Feb.2006,81-84.

[2] Russell A.Jackson.Role Play.Internal Auditor, April 2005,44-50.

[3] George Matyjewicz, James R D'Arcangelo. ERM-Based Auditing. Internal Auditing. Boston: Nov/Dec 2004.Vol.19, Iss. 6;4-13.

[4] Sean De Larosa. DCOM, CIA, CISA, CCSA. Moving Forword with ERM. Internal Auditor, June 2007, 50-54.