评价企业风险管理方案和评估环境控制

1 评价企业风险管理方案

评估师通常要识别和评估正在被评估的活动潜在影响的风险。尽管在风险识别和评估方面存在大量的信息，但是对于这种评估并不存在通用的流程，即使有，也几乎没有被普遍公认的原则。许多评估师依赖现有的评估方案，将更多相关的普遍风险与正在被评估的活动合并在一起。例如，现有工资表的评估方案己经合并了许多普通工资表的风险。

认识到企业风险管理方面广泛指导的必要性，美国反虚假财务报告委员会的发起组织委员会 (COSO)开创了一个项目，建立一个概念健全的框架来提供风险的原则、共同的术语和实际执行的指南。尽管这个框架是为所有企业开发的，但是它更适用于评估师用于评价特定活动的企业风险。

国际内部控制协会评估方案的框架使用COSO 的企业风险管理框架的八个要素。这八个要素是内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。

2  评估环境控制

环境控制确立了实现日常工作的环境。评估师很早就认识到，如果环境控制是薄弱的，应用控制可依赖的程度就很低。例如，信贷部门制订客户可以赊购的最高限额，但是如果营销人员知道管理层将不会实施这些控制措施，那么，对客户赊购的控制措施将不起作用。

环境控制不应当被评定为只是针对正在被评估的每一项活动。在许多组织中，一旦实施对环境控制的检查，在较高的层次上它是针对所有活动。然而，评估师必须认识到，在确定每一业务层面所需的测试量时，必须评估环境控制的适当性对正在被评估的每一项活动的影响。环境控制较薄弱，评估师则需要在现场作业期间实施更多的测试。

COSO 内部控制框架得到美国证券交易委员会认可，适用于制订和评估环境控制。因此，国际内部控制协会的评估方案框架将COSO环境控制的目标结合到每一个评估方案中。

使用COSO 内部控制框架对于以下两方面是极有价值的：

首先，它为评估师提供了具体的指导，确定必须是强有力环境控制的类型，以便减少现场测试的范围。

其次，它有助于评估师回答某一特定活动的问题，即“为这项活动设计的内部控制系统遵从了COSO 内部控制框架吗？”