内部控制风险分类篇1
关键词:基层人民银行;内部控制;审计模式;评价方法
中图分类号:F830.31文献标识码:B文章编号:1007-4392(2008)01-0057-03
近几年,人民银行总行和天津分行分别制定了《中国人民银行分支机构内部控制指引》、《中国人民银行天津分行内部控制指引》、《中国人民银行天津分行内部控制评价办法》。《中国人民银行分支机构内部控制指引》(以下简称《指引》)将内部控制定性为:人民银行各分支机构通过制定和执行一系列具体的制度、程序和方法,对相关风险进行识别、分析和应对的机制和动态过程。指引的出台,标志着人民银行分支机构内部控制理论发展到一个崭新的阶段,为构建分支机构内部控制框架提供了一套完整的标准,保障本单位依法、正确、有效履行职责。
一、基层人民银行现行内部控制审计模式
人民银行分支机构目前推行的内部控制审计模式是依照《中国人民银行分支机构内部控制指引》制定的全面型内控审计模式。
(一)审计模式主要内容
审计内容分为内部控制组织、内部控制环境、内部控制制度、内部控制措施和内部控制监督五个部分,将上述五个部分归纳为两大类,即宏观类和微观类,宏观主要体现管理、环境、监督等职能。具体由内部控制组织、内部控制环境、内部控制制度、内部控制监督四个部分组成。微观主要体现业务操作职能。包括:重大事项决策、风险点控制、领导层履行检查职责、授权、不相容职务分离、重要事项报告、应急方案制定等。内容基本涵盖了基层人民银行所有业务领域。
(二)审计方法
审计方法采取现场审计的方式。主要有:一是进点会谈。二是问卷调查。三是被审计单位汇报。四是依据现场审计表逐一进行审计,对内部控制的充分性、合规性和有效性做出“是”与“否”两种判断。五是检查有效项数与检查总项数之比得出被审计单位控制有效率。六是依据内审工作程序形成审计结论、处理决定、整改意见及审计报告等。
(三)审计评价
根据综合考评的分值对审计单位进行评价。具体划分为a、B、C、D四个等级,a级(85分以上)表示被评价机构内部控制健全,能够较好执行内部控制措施。B级(70分以上)表示被评价机构内部控制基本健全,某些控制措施存在缺欠。C级(60分以上)表示被评价机构内部控制薄弱,存在一定风险隐患。D级(59分以下)表示被评价机构内部控制缺失,存在较大风险隐患。
二、现行内部控制审计模式及评价方法存在的缺陷
(一)现行内部控制审计评价指标不完整
现行内部控制审计评价指标体系未涵盖内部控制环境、风险评估、内部控制的信息及其沟通、内部控制监督四方面内容。在内部控制审计过程中,上述四方面无具体的评价标准和依据,审计人员难以做出客观、公正的评价。例如,在对中支内部控制环境的评价中,涉及职工教育、培训内容时,对应的形式多样,有的采取集体学习,有的分层次进行。学习内容、次数不同,学习效果不尽相同。评价时,既无量的评价指标,也无质的评价指标,无法对学习的效果进行综合评价。
(二)评价结果缺乏一致性
内部控制活动的优劣应与其它四项内容有着内在的必然的正向联系。即内部控制活动有效,则内部控制环境优良,风险识别及分析科学,信息沟通渠道顺畅,内部控制监控有效。然而,目前的评价体系无法体现五项内容的一致性。例如,在锡盟辖区的内部控制审计中发现,个别支行的内控得分高于辖区平均分,内控有效率却低于平均有效率。内部控制评价得分与内部控制有效率不一致。
(三)评价指标未划分风险级次
人民银行总行《指引》要求“分支机构进行风险分析时应充分考虑外部和内部因素,可采用定性或定量的方法进行风险分析,将风险区分为高、中、低等不同的风险等级”。但现行审计模式未将风险划分不同的风险等级进行评价,而是以指标控制有效项数与指标总项数之比的有效控制率为评价标准,不能明确反映存在问题风险程度。即使是风险程度不同,只要是控制有效项数相同,有效率就相同。
(四)缺乏对行政管理职能的审计、评价
现行审计模式侧重对业务管理内容的审计,对行政管理内容缺少足够的关注。内部控制审计工作不应只停留在查错纠弊的业务审计上,还应对领导层的行政管理职能进行审计。
(五)评价指标的分析方法单一
现行审计评价指标分析只有定性分析,缺乏必要的定量分析。评价指标体系通过“是”、“否”的简单方法对风险控制进行定性,不能充分说明风险控制的程度。例如,评价审批业务中,审计期内,有些审批符合制度要求,有些审批不符合要求。这样,在一个审计周期内,无唯一的评判结果,不能客观进行评价。
三、建议实行“风险型”审计模式评价机构风险状况
(一)风险型审计模式目标
一是确保国家法律法规和内部规章制度的贯彻执行;二是堵塞漏洞、消除隐患,及时防止并发现、纠正错误,保护人民银行资金、财产、人员的安全;三是规范人民银行内部各部门、各岗位行为,使各项工作及内部管理规范化、标准化,提高工作效率。
(二)风险型审计模式坚持的原则
一是权威性原则。内部控制须符合国家法律法规、上级行规章制度,以此约束单位所有人员,任何人不得拥有超越内部控制的特权。二是全面性原则。内部控制须涵盖单位内部各项工作及相关岗位,并针对人、财、物管理中的关键控制点,落实到决策、执行、监督、反馈等各个环节。三是制约性原则。内部控制须保证人民银行内部各部门、各岗位的合理设置及其职责权限的合理划分,坚持不相容职务相互分离,确保不同机构和岗位之间权责明确、相互制约、相互监督。四是效益性原则。内部控制须遵循成本效益、效率优先的原则,围绕提高工作效率和确保内控目标实现,以合理的控制成本,达到最佳的控制效果。五是适用性原则。内部控制须符合单位的实际情况,并随着业务的变化、人员的调整和管理要求的提高,不断修订和完善。
(三)内控审计评价内容
1.领导班子审计评价。重点审计评价:认真履行领导班子职责情况,传导货币政策,落实宏观调控措施情况,重大事项决策方面坚持民主集中制原则情况,选拔任用干部情况,领导班子团结情况,金融风险处置情况,案件防范责任制落实情况,党风廉政建设和廉洁自律情况,依法行政情况。
2.办公室审计评价。重点审计评价:内部管理制度建设和机关管理事项,要害岗位人员考核事项,密级文件管理事项,档案管理事项,计算机安全管理事项,行政许可实施事项,印章管理事项,财产管理事项。
3.国库会计评价内容。重点审计评价:执行国库会计制度情况,国库重大事项审批情况,国库业务核算情况,中央银行会计核算系统运行及管理情况,组织指导人民币反洗钱工作情况,支付结算管理情况,印章和重要空白凭证管理情况,账户管理情况,财务管理情况。
4.货币金银审计评价。重点审计评价:岗位设置是否符合监督制约原则,查库制度执行情况,《发行库管理子系统》运行情况,发行基金调拨情况,库务管理情况,现金管理情况,反假人民币管理情况,人民币流通管理情况。
5.安全保卫审计评价。重点审计评价:保卫工作制度建设及落实情况,持枪人员管理情况,保卫应急预案演练情况,守库值勤情况,管库人员监督制约情况,电视监控报警系统运行情况,枪弹管理情况,消防安全管理情况,技防设施管理情况。
6.金融管理评价。重点审计评价:货币政策传导情况,系统性金融风险监测、预警情况,农村信用社专项票据发行、兑付审查、考核情况,再贷款管理情况,风险处置情况。
7.调查统计审计评价。重点审计评价:金融统计监测管理信息系统运行情况,金融统计监督检查情况,金融统计资料管理情况,征信管理情况。
8.纪检、内审、事后监督评价。重点审计评价:党风廉政建设情况,执法监察情况,纠风和行业作风建设情况,案件防范和检查情况,工作管理情况,履行职责审计情况,离任审计情况,内控审计情况,审计操作程序执行情况,审计结论定性情况,审计责任落实情况。
9.人事工作评价。重点审计评价:人事档案管理情况,养老统筹管理情况,干部任免、后备干部、专业技术人员管理情况。
10.宣传群工评价。重点审计评价:党费管理情况,工会经费管理情况,评优评先情况。
(四)风险控制点分类
风险型审计模式首先要对各个部门、每项业务、每个控制环节的风险进行分析,内部控制的风险点就是内控审计的重点,因此分析风险级次、采取相应措施才能有效控制风险,针对现行模式高风险问题失控与低风险问题失控在有效率上无法准确反映风险程度的情况下,按基层人民银行业务内容可能发生风险的程度,将控制内容划分为一类风险控制点、二类风险控制点和三类风险控制点。一类风险点包括领导班子、办公室、国库会计、货币金银、保卫、金融管理六大类,二类风险点包括调查统计、人事、纪检内审事后监督三大类。三类风险点包括党宣群工一大类。
(五)评价风险等级
采取计算分值的定量分析方法确定内部控制风险等级。根据对各类风险控制点的现场审计结果及风险状况,对被审计机构做出风险等级划分,分为低等级风险、中等级风险和高等级风险三个等级风险。
将一类风险控制点每大类总分确定为100分,共六大类,总分为600分;二类风险控制点每大类确定为50分,共三大类,总分为150分;第三类风险控制点每大类为50分,共一大类,总分为50分。
扣分标准:用每大类风险控制点总分除以每大类控制点得分计算,如某项控制无效将扣除本项得分。如国库会计股共有81个风险点,国库会计属一类控制点,用100分除以81,得出每项检查内容分值为1.23,如果一个风险点控制无效则扣除1.23分。
对检查发现的问题,以控制点为单位按扣分标准扣分。对部门评价,按其扣分比例确定其内控状况等级,对被审计机构总体评价,按得分情况确定其内控状况等级。
1.部门风险等级。将部门内控状况按扣分比例划分为低等级风险、中等级风险和高等级风险三个等级风险。扣分比例在5%(含5%)以下为低等级风险;扣分比例为25%以下(含25%)为中等级风险;扣分比例在25%以上风险级次为高级风险。
2.机构风险等级。将支行总体内控状况等级按得分情况划分为低等级风险、中等级风险和高等级风险三个等级风险。所有的控制点总分为800分(一类控制点总分600分,二类控制点总分150分,三类控制点50分)。得分在760分以上(含760分)为低等级风险;得分在680分以上(含680分)为中等级风险;得分在680分以下为高等级风险。
(六)划分责任类别,实行责任追究
风险型审计模式采取定性与定量结合的方法,监督部门根据检查或掌握的情况,按内部控制点与被监督部门关联人的责任进行定性归类,根据该控制点的等级和责任性质分为领导责任、部门责任、岗位责任和集体责任。
假定总分值为100分。
领导责任(10%):主管行长对所负责的部门工作承担领导责任。
部门责任(20%):部门责任人对所负责的部门工作承担领导责任。
岗位责任:岗位责任区分直接责任、间接责任。直接责任是指内部控制点经办人员应主要承担的责任,直接责任人员承担该内部控制点责任的40%;间接责任是指该内部控制点复核人员、事后监督人员应承担的责任,间接责任人员按责任人数共同分担余下的30%责任。
内部控制风险分类篇2
关键词:全额拨款事业单位;内部控制;风险评估
全额拨款事业单位具有公益性,在经营过程中还存在一定风险。财政部门出台了《行政事业单位内部控制规范》为全额拨款事业单位的内部控制体系建设提供了一定的指导,但是却没有对风险评估的方法明确规定。全额拨款事业单位建立完善内部控制体系,能够帮助单位改善建设水平,提高对公众的服务能力。对此,对全额拨款事业单位内控风险评估体系研究,具有一定的理论意义与实践意义。
一、全额拨款事业单位主要风险点
全额拨款事业单位的风险点在于:第一,预算业务。预算业务是未来一定时期内经营、资本、财务各方面的收支与现金流的总体规划。单位在预算编制环节可能编制不充分,编制质量不符合要求,预算编制和业务部门计划不相符。在预算审批过程中可能因为业务部门财权与事权不匹配,影响财政资金使用的效率。在预算执行的过程中,部分单位资金收支随意性较大,没有严格按照审批手续执行预算,预算脱离目标。第二,收支业务。收支业务是全额拨款事业单位的核心业务,在收支业务中,主要风险是岗位设置不合理,相关责任不明确,导致舞弊现象。
二、全额拨款事业单位内控风险评估现状
(一)缺乏风险评估意识部分全额拨款事业单位的管理者缺乏风险评估意识,单位的成员普遍认为单位的经费来源于财政拨款,在资金的使用和管理方面都会受到预算的约束,因此在管理活动中忽视风险。同时员工认为,单位的风险和自身关系不大,在工作中容易懈怠,缺乏对风险的了解。因此对于全额拨款事业单位而言,管理者和员工都需要提高对风险评估的认识,打破传统的思维定式,将风险评估工作作为常态化的工作,通过对各类风险的判断,在风险来临时从容应对各类风险。
(二)内控风险管理制度不健全单位的制度建设是开展各类内部控制活动的核心,许多全额拨款事业单位的管理者认为,只要加强财务制度的建设,就可以有效应对各类风险。虽然财务制度是内部控制制度的重要部分,但是内部控制活动涉及单位的全体成员,而不仅仅是财务部门的工作,需要单位的所有部门和人员都参与到内部控制过程中,只有加强单位整体的风险评估意识,才能使风险评估活动能够对单位的各项活动进行全方位的监控。同时单位管理者要高度重视风险评估体系的建设,加强对风险评估机制的监督与管理,避免风险评估制度形同虚设而无法发挥其应有的作用。
(三)风险评估方法落后对于事业单位而言,对各项风险的评估都需要一定的方法和技术,如果脱离了方法和技术的支撑,那么风险评估工作也难以有效开展。对于全额拨款事业单位而言,风险评估工作经验还不足,风险评估体系没有建立,对各类风险评估的方法较为随意,加上全额拨款事业单位不重视信息化建设,员工的专业素质不高,因此评估方法也较为落后。
(四)缺乏可借鉴的经验虽然我国制定的行政事业单位内部控制规范,为全额拨款事业单位的风险评估指明了方向,但是全额拨款事业单位开展风险评估的案例不足,单位在工作过程中也缺乏可借鉴的经验,这也导致部分单位难以开展风险评估工作。
三、全额拨款事业单位内控风险评估体系构建
(一)目标设定全额拨款事业单位的风险评估目标要和单位财务管理的目标相一致,满足单位自身的业务流程特点和内部控制管理制度,将单位的各项活动风险降到最低。风险评估体系是否有效在于是否制定出一套可识别和评估的管理操作流程。对此风险评估体系的建立目标要包括以下几个方面:第一,法治观念。内控的首要目标是党风廉政建设,要求单位的各项活动都必须合法合规,不得逾越法律的底线。第二,防范各类经济活动潜在的风险,加强内部控制的管理有效性。通过内部控制把控各类经济业务活动。第三,加强对单位负责人和职工的风险防范意识培养。要求全体员工都参与到内部控制建设的工作中,从而使内控真正约束每个职工。第四,提高财务信息的质量,确保财务信息能够准确反映单位经济业务的实质。第五,提高单位的事前防控能力,在事前就对风险进行判断与预测,防患于未然。
(二)风险识别全额拨款事业单位在对风险识别的过程中,要根据单位的自身特点和影响单位的各类风险要素进行识别。全额拨款事业单位涉及的领域较多,且工作内容丰富,可能面临多种多样的风险,在风险识别过程中要重点判断以下因素:第一,单位各岗位的人员是否有专业胜任能力,是否具有足够的职业道德与思想觉悟。第二,单位的管理制度和各项业务流程是否能够有效的管控各类可能存在的风险。第三,单位的财务状况是否健康,单位的收支情况是否合理。
(三)风险分析全额拨款事业单位在识别了自身的风险之后,要对风险发生的可能性以及风险发生的影响程度进行分析,根据风险的严重程度进行排序。要对重要风险特别关注,避免重要风险给单位带来的各类损失。风险分析的方法主要有以下几种:第一,概率分析。概率分析是以风险发生的概率进行计算,对周期性发生的事项可以从历史信息中计算出概率,通过方差、期望、概率的方法,判断风险发生的可能性。第二,敏感性分析。敏感性分析通过输入参数的数值来分析输出的结果,敏感性分析可以用来补充概率的方法,帮助单位判断自身的风险承受能力。第三,行业标杆比较法。行业标杆比较是将与单位相似的指标结果进行比较,并针对与单位相似的案例进行分析,发现差距优化单位自身的管理制度。在风险分析完毕之后,根据风险分析的结果判定风险等级。
(四)风险应对风险应对是在对风险进行识别和分析之后,制定相应的应对措施。通常有以下几种应对方式:第一,风险规避。风险规避是以拒绝承担风险为手段来规避可能发生的风险。对于全额拨款事业单位而言,不可能完全对各类风险都实现规避,因为其承担着社会服务的职能,完全规避风险代表其不作为,因此只能对于风险谨慎行动避免丧失公信力。第二,降低风险。降低风险是全额拨款事业单位通过一定的方法降低风险发生的概率。根据风险管理的目的,在风险发生之前采取一定的措施减少或消除可能导致风险发生的因素。在风险发生之后,要采取一定的措施减少损失发生的范围和影响程度。第三,风险转移。风险转移是全额拨款事业单位通过合同或非合同的方式将风险转移给其他单位或个人。第四,风险承受。风险承受是全额拨款事业单位承受风险所带来的各类损失,是主动或被动的承受可控范围内的风险。
(五)风险控制在风险评估之后,单位要采取相应的方法对各类风险进行管控。对于全额拨款事业单位而言,内部控制的方法一般包括以下几个方面:第一,不相容的职务相分离。不相容的职务相分离要求明确划分不同岗位的权限,形成岗位之间相互制约、相互监督的机制。单位要明确不同岗位的权利。随着单位的发展,及时对岗位职责与权力进行更新,通过完善组织体系,加强授权审批控制,全面梳理关键控制点,并实施相互监督的措施,以此降低舞弊发生的可能性。第二,内部授权审批控制。全额拨款事业单位的内部授权审批控制要求相关工作人员在授权范围内行使职权并办理业务,权力不应过于集中,要体现分权与授权,避免权力过于集中。目前我国行政事业单位行使集中决策审批制度,对于人事任命、大额资金支付等重大事项和决策不得单独进行或擅自改变集体意见。第三,加强预算控制。事业单位的预算管理在单位管理中占有至关重要的作用,通过预算对各项支出进行控制,从而完善单位的资金管控。首先要加强预算编制环节,通过零基预算和增量预算相结合的方式,对于变动不大的项目采用增量预算的方式提高编制效率,对于灵活的项目通过零基预算方式降低编制随意性。其次在预算执行过程中实行动态监督的方式管控,实时分析预算差异,提高资金收支的严肃性。对于需要调整的预算事项,需要通过严格的审批后才可调整,避免预算脱离目标。
(六)风险评价全额拨款事业单位内控风险评价的内容包括以下两个方面:第一,内控风险设计的有效性。要评价内部控制的风险程序是否设计恰当,是否能够有效控制各类可能存在的风险;是否能够有效保障国家财产的安全与完整;是否规范了单位的内部会计信息与会计处理行为,提高了会计信息的质量;内控风险体系是否涵盖了单位的重要业务与重大事项以及重大风险点;是否对所有的成员都具有约束力。第二,内控风险执行的有效性。内控风险执行的有效性是要判断相关风险点是否按照控制目标运行;实施风险控制的人员是否有相应的职业胜任能力;单位是否根据自身业务的变化及外部环境的变化动态调整内控体系。
内部控制风险分类篇3
关键词:内部控制;风险管理;发展
中图分类号:F23文献标识码:a文章编号:1672-3198(2009)23-0195-02
1内部控制与风险管理的内在联系
1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键
随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。
1.2风险管理是对内部控制的自然发展
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。CoSo在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”CoCo在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。
1.3技术的发展推动内部控制走向风险管理
技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
2内部控制与风险管理的外在联系
2.1它们都能为企业目标的实现提供合理的保证
风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
2.2风险管理与内部控制的组成要素有五个方面是重合的
(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(riskappetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
2.3风险管理提出了风险组合与整体风险管理(integratedriskmanagement)的新观念
《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
3从内部控制走向风险管理
有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
参考文献
[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.
[2]周兆生.CoSo企业风险管理框架(中文版)[R].华融资产管理公司,2007.
[3]朱荣恩,贺欣.内部控制框架的新发展-企业风险管理框架[J].审计研究,2003,(6).
内部控制风险分类篇4
1.找准风险来源
工程施工企业应结合本行业、本企业的业务特点、企业内部管理特点,找准风险来源,而不能照搬教科书或其他企业的经验。工程施工项目存在合同总价高、施工周期长、受环境影响大、成本变化多等特点,这些特点使工程施工企业面临不同于其他企业的一些特点,因而有必要做到风险防控的个别化、差异化。
2.科学防控风险
工程施工项目风险防范应从科学防控的角度出发,在风险防控机制的建设上做到系统化、科学化、常态化。工程施工项目风险防范的目的是提高企业的科学管理水平,即风险防控只是手段,提高企业管理水平才是目的。
二、工程施工企业常见的各类风险
工程施工项目是一个有机系统,需要各方面、各部门、各阶段均做好风险控制工作,才能有效完善项目管理,减少甚至消灭潜在的风险。从笔者的管理经验来看,工程施工项目常见的各类风险主要有如下几种:第一,投标风险。投标过程中存在的风险主要是由于招标人处于强势地位,买方市场因素决定了投标人的权益难以得到切实保障,投标人的信赖利益极易遭受侵害。第二,合同风险。工程施工中的合同风险主要表现为受到外界政策、经济等因素的影响,合同双方的制约责任是否平等,材料价格是否闭口等。第三,资金风险。资金风险严格来说是合同风险的内容之一,但是资金风险会关系到施工方的现金流转,交易相对方一旦在资金拨付阶段违约则会对施工方造成利益损害。第四,廉政风险。工程施工中存在的廉政风险表现为暗箱操作、权力寻租、商业贿赂等,这些风险因素的存在不但会对施工质量产生难以弥补的损害,同时还会引发其他风险如法律风险、信誉风险等。第五,安全风险。工程施工需要做好安全保障,安全保障措施如果不到位,极易发生安全事故,会对项目施工造成妨碍以及产生损害赔偿责任等重大风险。第六,支付风险。施工企业内部的成本开支和现金报销是否符合既定的规章制度和流程,直接关系到资金安全,如果支付和报销制度管理不善,将会引发一系列内部风险。第七,管理风险。工程施工企业内部管理风险也应得到重视,相关管理环节如合同管理、印章管理等也是企业风险防控的重要方面。
三、工程施工项目风险控制的具体措施
工程施工中存在的各类风险可以进一步划分为外部风险和内部风险。所谓外部风险,是指工程施工企业在与合同相对人的商业交往过程中所产生的风险,这些风险包括投标风险、合同风险、资金风险等。外部风险的防控需要加强对商业交往过程中交易相对方资质、信誉、资金的审核和考查,同时需要预先采取风险防控预案,做好商业风险的防范;所谓内部风险,是指工程施工企业在内部管理、内部运作中产生的风险,包括廉政风险、安全风险、支付风险、管理风险等。内部风险的防控需要加强工程施工企业内部管理机制建设,消除制度隐患,做到防患于未然。笔者分别从外部风险防范和内部风险防范两个角度探讨工程施工中的风险控制:
1.外部风险控制
外部风险控制应找准风险来源,针对不同的风险种类、风险性质采取相应的防控措施:第一,就招标风险来说,投标人应严格审查招标人的主体资格,核实招标人建设工程预先审批手续是否完备,以防范投标过程中的法律风险。同时,还可以适当地对招标人的商业信誉及建设资金展开一些必要的调查;第二,就合同风险的防控来说,应在合同缔结过程中对每一个合同条文仔细审核,邀请法务部门在缔约阶段即提前介入。在合同解除、违约金等重要条款上应防范隐含的风险。合同履行过程中,工程施工企业应善于利用不安抗辩权、先履行抗辩权等积极主张权利;第三,就资金风险的防范来说,工程施工企业应要求对方严格按照合同约定履行支付义务,约定违约责任,并善于通过担保手段主张权利。
2.内部风险控制
内部风险的控制主要应立足以内部规章制度的建设,应建立起符合现代企业管理标准的内部规章制度,并善于结合工程施工企业的特点,防范本企业内部的各种风险。主要应采取的风险防范措施有:第一,针对廉政风险,应加强企业内部的廉政教育,促使企业内部工作人员遵守廉洁从业的各项规定。在重大事项上应强调集体决策,防范个人专断和暗箱操作;第二,在安全风险的防控上,应严格按照国家规定做好安全防范工作,并完备各类应急预案,防患于未然;第三,在支付风险的防控上,应加强内部计量支付和现金报销制度的管理,严格执行规章制度和审批流程,使每一笔资金流向都符合规定且有案可查;第四,在管理风险如合同管理、印章管理等方面,要注重合同、印章及各类资料的使用和保管,防范商业秘密泄露,防止印章的乱盖、盗盖。
四、小结
内部控制风险分类篇5
关键词:风险导向;企业;内部审计
前言
现代风险导向审计模式在企业内部审计领域得到了日渐广泛的应用。现代风险导向审计模式,是指在企业审计过程中,内审员将企业潜在的风险作为导向,并对风险进行科学分析和准确评估,将其结果作为依据,对审计重点进行确定,在此基础上对企业风险以及内部控制等进行评价,并提出行之有效的解决方案,促进企业良好实现管理目标,并增强自身的综合效益。
一、现代风险导向审计模式下的企业内部审计流程
基于现代风险导向审计模式的企业内部审计,主要包括如下流程:
1.审计准备
企业在实施内部审计前,企业设置的内审部门要对审计工作的具体目标进行确定,并根据实际情况科学调整。在审计准备过程中,内审部门不仅要对审计工作具体目标进行确定,还要对企业风险进行有效识别;对审计工作的详细计划进行编制;对审计重点进行确定。在该阶段,内审员要充分考虑如下因素:企业发展目标、企业战略经营潜在的风险、企业具体性质、企业会计政策、企业内部控制以及企业财务业绩等[1]。
2.审计实施
在审计实施过程中,企业内审要将识别的企业风险作为依据,科学评价内部控制管理各项制度,并对管控外风险进行确定。企业内部控制通常无法对管控外风险进行有效的预防控制。对此,内部审计要通过有针对性地策略,诸如风险转移、风险回避、风险承担以及风险降低等对此类风险进行专门审计和有效应对[2]。
3.审计终结
在该阶段,内部审计工作人员要对企业潜在的各类风险实施科学评估,并对所收集的相关审计证据进行系统整理和科学评价,及时发现内部审计中存在的问题,并提出具有较强针对性的审计建议,还要对审计报告进行出具[3]。另外,要针对企业存在的各类风险,提出行之有效的应对策略。
4.后续审计
企业内部审计部门在对审计报告进行出具后,仍需开展后续审计。内审员要对审计报告中的各类问题及相关建设进行有效跟进,对各类风险进行恰当处理,并执行科学合理的应对措施,并开展最终效果评价。内审员在开展内部审计的过程中,要高度重视企业潜在的风险,对于较小风险,可实施简单讨论。
二、现代风险导向审计模式下企业内部审计存在的问题
1.缺乏良好的风险意识
多数企业在实际发展过程中,片面注重对经济效益的最大化追求,相对忽视了企业潜在的各类风险,缺乏良好的风险意识。多数企业未能深刻认识到日常经营管理中存在各类分别风险,忽视内部审计和风险管控。
2.缺乏完善的风险管控机制
当前,多数企业基于风险导向模式实施内部审计,并加强了风险管控。但从总体上来看,多数企业尚未形成系统完善的风险管控机制。这就导致内部审计工作人员在实施内部审计过程中,即使发现企业存在的风险,也难以通过有效措施对之进行及时预警和有效管控,难以提出针对性较强的解决方案。另外,企业对于各类风险缺乏科学的衡量标准和有效的处理路径,会在一定程度上对内部审计工作的开展造成不良影响。
3.缺乏完善的内部控制制度
企业必须加强内部控制,才能确保管理层指令得到有效执行。企业内部控制与风险管理二者具有相互依存的关系:内部控制涉及的要素涵盖风险管理内容,加强内部控制,有利于强化企业风险管理,实现对企业风险的有效降低。然而,当前多数企业缺乏完善的内部控制制度。
4.缺乏风险评估量化指标
企业想通过实施内部审计,实现对各类风险的有效控制,必须对风险评估的具体标准进行明确制定。当前,我国多数企业普遍面临多样化的风险,但缺乏风险评估量化指标。多数企业缺乏对风险评估量化指标进行构建的意识,在制定风险评估量化指标的过程中缺乏科学依据。这就导致企业内部审计各项工作缺乏科学指导,会对审计工作质量造成不良影响,难以取得良好的审计效果。
5.缺乏良好的信息数据库
企业在实际运营中,需基于良好的信息数据库,才能正确评价各类风险。这就要求企业加强对风险信息数据的长期收集和系统整理,并构建完善的信息数据库。然而,多数企业在实际运营过程中,缺乏对信息收集的高度重视,未能构建良好的信息数据库。部分企业虽然对信息数据库进行了设置,但缺乏对风险信息数据库的科学管理,且数据缺乏及时更新,难以为内部审计工作的良好开展提供有价值的依据。
三、强化现代风险导向审计模式下的企业内部审计的策略
1.增强风险意识
企业要增强自身的风险意识,深刻认识到经营管理过程中潜在的各类风险,并针对风险预防构建有效机制。同时,企业要明确内部审计工作人员在风险管控中占据的重要地位。另外,企业要强化风险审计的氛围,对内部审计环境进行良好创设,有效增强自身承受和应对风险的能力。
2.构建系统完善的风险管控机制
企业要构建系统完善的风险管控机制,并实时基于自身的实际情况,对风险管控各项机制进行科学调整和有效完善。完成对风险管控机制的构建后,要对风险应对的全过程进行跟踪,并及时发现和有效改正存在于风险管控中的问题。同时,企业要制定切实可行的规章制度,明确内部审计的详细计划和具体程序,并明确风险审计涉及的各类方法。另外,企业要构建系统完善的责任追究机制,对风险管控执行的实际情况进行严格考核,并对相关人员的失职行为进行惩罚,确保风险管控措施的有效落实和严格执行,促进各部门加强协作配合,切实履行自身职责,并从整体上促进企业业绩实现大幅度提升[4]。
3.构建系统完善的内部控制机制
企业要构建系统完善的内部控制机制,要对内部控制工作进行科学设计、有效评价、合理运行和适当改进,对自身的内部控制环境进行强化,加强管理人员肩负的内部控制责任。同时,要对企业潜在的各类风险进行实时关注。另外,要对内部控制各项工作实施有效监督和科学评价。
4.构建风险评估量化指标
企业要对风险评估量化指标进行科学构建,根据大小、程度对风险进行量化,帮助企业制定科学的风险防范计划,并有重点地实施风险防范的各项工作。企业要对风险导向审计涉及的理论知识进行灵活应用,并对企业存在的风险类型进行科学分析,深入探究风险原因,并明确风险隐患,据此采取有针对性的措施实现对各类风险的有效抵御。企业对相关指标进行设置时,审计人员要深入研究风险类型、风险发生概率以及风险漏报概率以及错报概率,并详细核实分析结果,从根本上实现有效的风险评估[5]。
5.构建风险信息采集数据库
企业要对先进的信息技术进行充分利用,据此构建良好的风险信息采集数据库,在内部审计实践中,加强对各类现代财务方法,诸如电子化账簿、凭证以及报表的推广应用,通过会计电算化有效采集风险信息[6]。另外,审计部门要收集相关审计资料以及信息数据,借助计算机对之进行系统整理,确保信息数据库实现及时的数据更新,为内部审计工作的良好开展提供信息依据。
内部控制风险分类篇6
摘要随着社会经济的持续发展,企业内部控制环境也在不断发展变化,内部控制日益受到企业的广泛关注与重视。基于风险管理视角的内部控制对企业内部控制相关目标的实现提供了更多的保障,文章着重介绍了两者之间的融合。
关键词风险管理内部控制融合
引言:在当前的环境下,竞争越来越激烈,企业面对的环境也越来越复杂,一个细小的失误,就可能会导致企业的破产。在这种情况下,企业要想获得成功,达到利益相关者的期望,加强内部控制是必然的选择。近年来,国际大公司暴露的会计丑闻――安然、世通公司的破产,我国中航油、中信泰富的巨亏等等,都显示出许多公司内部控制存在着严重的问题,特别是对风险管理的不重视。由于内部控制的失效,使得一些显而易见的高风险没有得到控制,最终使企业遭受严重损失,甚至走向了破产。随着内部控制理论与实务的发展,人们对内部控制的研究日益深入,出现了全面风险管理,内部控制与风险管理趋于融合。
一、内部控制与风险管理的内涵
1.内部控制与风险管理的定义
1992年,美国特德威“treadway委员会”下属的几个委员会共同组成的CoSo委员会出版了专题报告《内部控制――整体框架》。文中对内部控制的定义:指受董事会、管理层和其他人员影响的,为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。CoSo报告对内部控制系统的组成提出了五个方面:控制环境(Controlenvironment)、风险评估(Riskassessment)、控制活动(Controlactivities)、信息与沟(informationandCommunications)、自我评估和内部监督(Contr01.Self-assessmentandmonitoring)。
企业的风险管理是一个过程,它的定义是指:由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,它通过对各种风险的识别、衡量和控制,以最低的成本处理风险提高企业的经济效益,从而为企业目标的实现提供合理的保证。根据CoSo委员会2004年的《企业风险管理框架》(简称eRm框架),全面风险管理有八个组成要素:控制环境、目标确定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2.内部控制与风险管理的异同点
(1)相同点。第一,相同主体的动态管理过程。内部控制或风险管理,都是由“企业董事会、管理层以及其他人员共同实施的”,涉及企业各层次各项活动的一系列行动。这些行动普遍存在于企业管理的日常活动中,是一种全员参与的动态管理过程。第二,目标实现的合理保证。从理论上说,企业内部控制的目的是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,以保护公司的财产安全;而企业风险管理的作用则是识别、评估和管理风险,以减小经营风险与损失,创造并保持企业价值以维护投资者利益。所以,从本质上说两者是一致的,都是要维护投资者利益、保全企业资产,为企业目标的实现提供合理的保证。只不过两者的手段略有差异,内部控制是通过规章制度来规避风险,侧重于企业制度方面的控制;而风险管理是通过市场化的自由竞争或市场交易规避风险,侧重于交易层面的控制。第三,部分要素的相互重合。相比于内部控制的三类目标,风险管理又增加了一个战略目标,即与企业的远景或使命相关的高层次目标,使得风险管理介入了企业战略的制定过程。正因为风险管理与内部控制的目标是多数重合的,并且实现机制具有相似性,所以决定了其组成要素的重合性,即控制环境、风险评估、控制活动、信息与沟通、监督等五个方面的重合。
(2)不同点。从美国的CoSo报告来看,全面风险管理框架比起内部控制框架,无论是在内容上还是范围上都有所扩大和提高。第一,增加了目标设定、事件识别和风险对策三个要素,并且对原有要素的内涵进行了扩展。例如,信息和沟通要素,更强调企业信息收集处理的详细程度,应视企业风险管理的需要而定,并受企业风险偏好的约束。第二,提出了风险组合的新观念,要求从机构整体出发考察其风险承受能力。各部门之间风险的叠乘或抵消效应,使得企业的整体风险可能高于或低于各部门风险之和。因此,企业应当按照风险组合与整体管理的观点,统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。第三,引入了风险容量和风险承受度、风险对策等风险管理的概念与方法。在风险度量的基础上分析企业成长、风险与回报之间的关系,根据企业发展战略与风险偏好相一致的原则,进行经济资本分配及利用风险信息支持前台业务决策流程等,从而实现全面风险管理目标。
二、基于风险管理下内部控制产生的必要性
(1)内部控制将企业的目标分为财务报告的可靠性、经营的效率和效果和对现行法规的遵循。企业风险管理不仅包括这三个类似的目标,还包括战略目标。在实现企业其他三类目标的过程中,企业的战略目标也在一定程度上得到实现,这在一定程度上需要企业首先站在战略的高度,要对企业进行风险管理,需要立足于企业的全局,系统战略的去管理。内部控制的重点有损失控制,而内部风险管理的手段又规避、自担、分散、转嫁风险。由此看见,风险管理下的内部控制对于企业来说,更有适用性。
(2)全面风险管理一方面要求对企业内部进行风险的监督和控制,另一方面也要求对企业外部的市场、环境、法律等方面的存在的风险进行监督和控制,确定企业的风险容忍度和风险偏好,对企业经营战略的制定提供有意义的指导。所以,基于全面风险管理的视角,可使内部控制的目标更符合企业战略目标的要求,更有利于全面风险评估和控制,从而实现对经营目标的合理保障。
(3)维护投资者利益是内部控制与风险管理的共同目标,只是内部控制是通过规章制度规避风险,侧重于企业制度方面的控制;风险管理是通过市场化的自由竞争或市场交易规避风险,侧重于交易层面的控制。我们一般理解的内部控制仅仅限于保证资金安全和会计信息的真实可靠,也就是说限于财务部门,对于企业的整个经营过程却没有进行控制;于此相反,风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,银行授信管理、汇率风险管理、利率风险管理等,其贯穿于管理过程的各个方面。
综上所述,相对内部控制而言,风险管理的内涵更广泛,是对内部控制的拓展和细化,从而形成了一个更全面关注风险的更加强有力的概念。风险管理在风险度量的基础上,一方面有利于企业的发展战略与风险容量相一致,即增长、风险与回报相联系,从而帮助董事会和高级管理层实现企业风险管理的目标。另一方面,风险管理的风险涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险,区分了内部控制框架没有区分风险和机会,使企业内部控制的目标更明确。
三、内部控制与风险管理的融合
1.内部控制与风险管理的关系
关于内部控制与风险管理的关系,理论界普遍存在着:内部控制包含风险管理,风险管理包含内部控制,或内部控制与风险管理不断融合这三种观点。国际社会上,加拿大特许会计师协会(ClCa)控制委员会(1999)主要赞成第一种观点,认为“控制应该包括风险的识别与减轻”;美国的CoSo《企业风险管理框架》则明确指出,风险管理框架除包括内部控制全部的五个要素之外,还应涵盖目标设定、事项辨别和风险应对三个要素即风险管理包含内部控制;而英国的turnbull报告认为,风险管理和内部控制只是人为的分离,在现实商业行为中,两者是一体化的,是相互融合的。本文基本认同美国CoSo全面风险管理的观点,认为风险管理是在内部控制基础上发展和完善起来的,全面风险管理体系涵盖了内部控制体系,内部控制与风险管理正在逐步走向融合。一方面,内部控制与风险管理之间相互交叉,彼此之间存在重合的地方;而另一方面,随着企业文化的积淀,内部控制意识和风险管理意识不断强化,风险管理水平也逐步提高,两者的重合部分将越来越多,互补的效用也越来越明显。
2.风险管理视角下与内部控制的融合
(1)从风险管理的流程来看,风险管理由风险监测、风险识别、风险评估和风险反应等一系列环节组成,而企业的内部控制则与风险管理流程的各个环节密切相关。首先,对风险的监测,是企业风险管理的开端,也是内部控制设计的依据。根据风险监测的结果,可以明确风险产生的来源,进而加强对业务的内部控制。其次,对风险的识别和评估,决定了企业以后所要采用的风险管理策略,企业可以针对不同类型的风险,采取风险规避、风险转移、风险分担、风险接受等不同的应对措施。同时,风险的识别和评估也是建立企业内部控制的基础。企业风险较大的业务,也就是企业内部控制的重点环节,可以依据“风险―成本―收益”的原则,对不同的业务采取不同程度的控制措施。例如,工作轮换、专人保管、职务分离、授权审批等。从而规避经营管理活动中经常发生的错误和风险,解决企业所面临的内部控制风险。最后,风险反应,是风险管理的重要内容,也是内部控制事后控制的重要环节。对于企业经营活动中发生概率较大但影响程度较小的风险,可以通过企业自身的控制系统,依托以财务管理为中心的企业管理体系予以控制。而对于发生概率较小但控制成本较大的风险,则应通过加强内控管理、增强自身素质来尽力的规避风险。
(2)从风险管理的层次上讲,企业面临的风险一般可分为战略层面的风险,业务层面的风险以及操作层面的风险三类。同样道理,企业内部控制系统的层级和相应责任,也应该针对风险层级进行设计。企业内部的控制活动,一般包括组织控制、经营控制、人事控制、财务控制、定期检查、设施和设备的控制等。战略层面的风险,一般通过优化企业治理结构来进行控制,如组织结构设计、独立董事监事制度等;业务层面的风险则主要通过各部门的职能分工来控制;而通过对具体业务授权、批准、执行、记录及监督的设计,又可以防止舞弊和暗箱操作,应对操作层面的风险。这样,就形成了一个相互牵制、相互制约有层次的内部控制体系,来应对企业不同层次的风险。
四、展望
对企业来说,不管是现在还是将来,无风险的运行环境,只是一种假设条件,即使企业采用了风险管理的模式,也无法为企业创造出这样的运行环境。但是,企业的全面风险管理在一定程度上可以帮助企业减轻风险、转移风险、规避一定的风险,使企业可以相对稳定的运行下去,从而实现企业的目标。与内部控制相同,风险管理只能向管理当局和董事会提供有关主体目标实现的合理保证。目标的实现受到所有管理过程中固有局限的影响。如判断失误和人为过失,成本限制、管理当局凌驾等等。因此,企业风险管理在实施过程中必须考虑与决策、风险回应和控制活动相关的成本费用和利益以及人员决策的失误等。这样才能充分发挥企业风险管理框架的优点,保证企业内部控制的有效运行。
参考文献:
[1]中国注册会计师协会.公司战略与风险管理.中国财政经济出版社.2011.
[2]中国注册会计师协会.审计.中国财政经济出版社.2011.
内部控制风险分类篇7
关键词:内部控制;实施;风险管理
1二者的主要区别方面
内部控制与风险管理主要在于目的、作用和发挥作用的环境差异。(1)风险管理是通过及时识别、评估、评价及防范风险,并控制不利影响的可接受程度,来实现目标;内部控制是企业内部风险管理的程序化规范,通过履行管理职能,通过事前参与、事中监督和事后评价达到目标。(2)风险管理是关注识别和控制风险可能影响的经营管理活动,对机会风险实施管理,促进实现经营目标和价值最大化;内部控制通过专业的过程管理规范和有效的控制活动,难以防范决策风险和经营者非理性风险。(3)风险管理,应紧密结合各项管理工作,统筹内外部环境,在企业管理和业务流程中嵌入风险管理观念;内部控制是在企业内外部环境下,根据公司法构建的法人治理结构和决策规则。风险管理以应有的风险防范意识实施经营管理;内部控制是经营管理中应遵守的流程规范。(4)风险管理是为实现企业最终目标任务,在经营管理过程实行风险管理的具体措施和方法,营造良好的风险管理氛围,构建全面风险管理体系,以及提供合理保证的过程、方法。内部控制的目的是保障企业经营管理合法合规、资产保值增值、财务信息真实可靠,经营效率和效果提升,促进实现企业发展规划和战略目标。
2二者相互联系方面
内部控制与风险管理的五个组成要素完全相同,即内部环境、风险评估、控制活动、信息沟通、内部审计,彼此密不可分。(1)防范风险是内部控制最明确、最主要的目标,离开这一目标,内部控制就失去存在意义,也很难有发挥作用的时空。(2)风险存在于企业生产经营的始终,涉及内、外部风险,如何识别、分析、评估风险,制定风险解决方案和采取应对措施,收集潜在风险信息是实施风险管理的前提;内部控制是构建控制体系、关注控制关键点,用业务流程直接描绘生产经营业务过程而形成的管理规范。内部控制嵌入式工作方法,方便收集潜在风险信息,可见内部控制是实行风险管理的主要手段。(3)风险管理是企业在经营管理过程中,通过对潜在各类风险因素识别、分析、评估,用最低投入换取最大的安全保障。有效识别、防范、控制风险是企业风险管理最终目标,也正是内部控制的最主要作用,毫无疑问,内部控制是实施风险管理最有效的重要工具。(4)内部控制和风险管理。实施内部控制和风险管理的主体、过程、目标都是相同的,都是必须企业全员全程参与。在实施企业管理风险的同时,也是在实施内部控制程序,模式过程完全协调一致。
3通过实施内部控制实现有效的风险管理
(1)营造有序的内部环境。打造具有风险防范意识的企业生态,在风险管理过程中,全员都要形成“风险无处不在、无时不在”的理念,把握工作岗位职责对企业经营风险的影响程度,作用、责任与其他岗位的连带关系,这是风险管理的主要构成,也是实行有效风险管控的重要前提。(2)强化风险意识和明确内控责任。风险管理的起点是风险识别,是有效实施风险管理的关键前提。识别潜在的各类风险并加以区分,查找风险产生的影响因素。在全面风险管理架构下,不断收集与各类风险和风险管理有关的内外部初始信息,发现潜在的各种风险,就是风险识别的重要目标。(3)不断优化和有效利用内控规范。企业内控规范是根据管理制度和操作流程,结合岗位职责制定的,岗位职责就是严格执行内控规范,正确处理工作内容,提高工作效率,保证完成目标任务。内部控制与风险管理是规范与理念的关系,仅有内部控制规范,而无风险管理理念,则内部控制就成为空中楼阁、无本之末。仅有风险管理理念,而无内部控制规范,则风险管理就丧失了最有效的工具,造成无的放矢。
参考文献
[1]朱荣恩.企业内部案例[m].复旦大学出版社,2006.
[2]高存忠.企业内部控制与风险管理[J].工业审计与会计,2011.
内部控制风险分类篇8
探讨商业银行的内部控制,首先应该认识银行风险。美联储前主席阿兰・格林斯潘在《美国银行家》杂志世纪版的开篇文章中说:“银行之所以能够为现代社会作出这么多的贡献,主要是因为它们愿意承担风险。”美联储副主席罗杰・富古森在2002年3月《回到管理银行风险的未来》的演讲中指出:“银行因为承担风险而生存和繁荣,而承担风险正是银行最重要的经济职能,是银行存在的原因。”显然,商业银行的经营活动与风险是分不开的。那么,商业银行的风险有什么特性呢?运用马克思主义认识论的原理来认识风险,我们可以看到:第一,风险作为客观存在是不以人们的意志为转移的;第二,风险是动态和变化的,银行风险会随着经营环境的变化及经营方式的不同而发生变化,现在没有风险不等于将来也没有风险,反之亦然;第三,风险是可以认识和化解的,我们在实践中通过不断分析和研究,是可以认知并掌握其规律的,同时,我们在认识其规律的基础上可以找到化解风险的办法;第四,风险是多种多样的,巴塞尔委员会在1997年的《有效银行监管的核心原则》中将商业银行面临的风险分为八类,即信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和声誉风险。
内部控制是商业银行治理结构的重要组成部分,健全而有效的内部控制能够帮助商业银行化解风险。对此,人民银行2002年9月颁布的《商业银行内部控制指引》如此定义:“内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。”银监会2004年12月的《商业银行内部控制评价试行办法》对内部控制体系的定义是:“商业银行内部控制体系是商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。”这两个关于定义虽然在文字表述上有所不同,但都说明内部控制的目的是为了控制风险。内部控制之所以能够防范和化解银行风险,就是因为银行家们在系统分析、研究和总结各类风险并在掌握其规律的基础上,针对风险而制定和实施了系统化的政策、程序和方案。
商业银行内部控制的特点
作为主观行为的内部控制必须建立在尊重客观规律的基础上。第一,建立有效的内部控制体系是商业银行经营管理的必然要求。风险与商业银行的经营活动是相伴而生的,它贯穿于商业银行的整个经营过程中,可以说风险无处不在,无时不有。从这个意义上说,商业银行必须建立起内部控制体系,使内部控制活动成为银行日常经营必不可少的一部分。第二,商业银行内部控制应该对经营活动进行合理的控制。内部控制是一种主观行为,它应该建立在尊重客观规律的基础之上,对风险的控制应该作到适当、适度、合理,使业务发展、正常经营和内部控制能有机地统一起来。控制不力或者控制缺失,必然会失去内部控制的意义,但控制过度也会影响甚至制约正常经营活动的开展。第三,内部控制是动态的过程,需要不断完善和改进。内部控制不是一套机械的制度规定,而是对经营管理活动进行监督和控制、发现新问题、解决新问题的持续动态过程。同时,银行经营管理环境的变化必然要求内部控制的重点、手段、方式等随之变化。
内部控制体系的内在联系
商业银行的内部控制是一个稳健、规范、有效的体系。1998年9月,巴塞尔银行监管委员会颁布了《银行内部控制基本原则》的报告,提出了十三条基本原则,为银行内部控制的建立提出了一个基本框架。我国的银行监管部门秉承巴塞尔委员会关于银行内部控制基本原则的理念,结合中国银行业的具体情况,制定了《商业银行内部控制指引》和《商业银行内部控制评价试行办法》。这两个文件成为目前我国商业银行建立内部控制的指导性文件,其明确了我国商业银行的内部控制由五个要素组成,包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。
内部控制环境是所有其他内部控制要素的基础。内部控制环境中的子要素有价值观、激励与诱导机制、精神指导、员工能力、管理理念与经营风格、组织结构、规章制度和人事政策等。商业银行要有积极的内部控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度。
风险识别与评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,是风险管理和决策的前提。风险识别与评估中的子要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。它是制定内部控制措施和发现风险点的前提。
内部控制措施是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的一系列政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。它是内部控制体系中的关键环节。
信息交流与反馈存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的各类内部信息和外部信息。信息交流是否充分,渠道是否畅通,与其他各控制要素能否正常运行有着密切的联系。
监督评价与纠正是经营管理部门对内部控制的管理监督和内部审计对内控的再监督与再评价活动的总称。它作为纠错机制,对内部控制缺陷和风险的发现,政策和程序的调整起着积极的作用。
完善内部控制的几点建议
内部控制作为国外银行管理的机制,我们在引进来的同时,还有一个结合自身实际消化、吸收的过程。目前,我国商业银行的内部控制主要存在以下问题。
其一,尚未建立良好的内控文化和内控体系。商业银行尚未形成包括管理理念、经营风格、职业道德、组织结构、权责分配体系和人力资源管理等内容的内控文化,特别是基层机构还不能充分把握内部控制的理念。内部控制的全面性、系统性和有效性不够,尚未形成科学、健全的内部控制体系。
其二,控制行为较为分散,控制措施不到位。控制行为分散的主要表现是风险管理分散于各部门,衔接和制约不充分,集中与统一欠缺;已有的内控制度大多体现业务控制原则,流程管理和系统管理薄弱,各类规章制度数量庞大,但分散于各类文件中,缺乏系统性、关联性、整合性;控制措施不到位主要表现为反应式、应付式控制活动偏多,主动性、预见性控制活动较少;内部控制未覆盖包括新型业务在内的所有风险点;一些关键性控制结构和措施如激励约束机制不健全,有的制度粗略化、大致化、模糊化;有令不行、控制不严和屡查屡犯的现象时有发生。
其三,风险管理技术还不成熟。风险管理活动尚未覆盖可能面临的各类风险,量化程度相对滞后,特别是对新产品和新业务以及表外风险不能充分、及时地认定与评估,风险管理统计活动不能根据经营环境和经营状况的变化及时更新。
其四,信息交流不够充分。有些业务部门存在职责不够明晰、协调与制约机制不足的现象,影响了信息与政策传导的效率。信息数据不能很好地满足决策与经营的需要,计算机信息系统在数据的全面性、准确性、及时性以及风险控制上还需进行功能改进。
其五,内部监督的有效性还需提高。各类业务检查较多,但查后跟进与问题纠正机制未得到真正落实,对内控薄弱点的监督评价力度不够,未能从源头上遏制各种风险特别是案件和不良资产的发生。管理层对审计部门的内部控制评价成果的利用不足,对有关责任人的责任追究力度不够。
我们在认识到商业银行内部控制的作用及其机理的同时,要根据目前内部控制建设方面存在的主要问题,以科学发展观为指导,不断改进和完善内部控制,使之在商业银行的经营活动中发挥更加积极的作用。首先,要培育具有中国特色的内部控制文化,在商业银行内部营造良好内部控制氛围。内部控制文化包括员工风险观、风险控制意识和风险管理职业道德、风险控制技能等。内部控制不能仅仅依靠规章制度,它深受企业内外部环境的影响,尤其是企业各级管理层和员工的经营理念、管理风格、企业文化、内控意识等都直接影响着内部控制的效果。建立内部控制文化,不能照搬照抄,简单移植,而是要立足中国的国情,结合各商业银行的具体实际,创造性地建立起有中国特色的内部控制文化。现阶段来说,社会诚信度、员工的制度观念、思维方式和人际关系等都是建立内部控制文化应该考虑的因素。为此,要从各级管理层管理理念的重塑以及员工的思想教育入手,以基层行领导、信贷部门和会计部门管理人员、基层网点员工为重点教育对象,建立良好的基层营业机构内控环境和内控文化,使全体员工充分理解内部控制的意义,掌握内部控制的要点,以努力提高全体员工的内部控制意识和态度。
内部控制风险分类篇9
[关键词]风险预警制约监督
中图分类号:D922文献标识码:a文章编号:1009-914X(2015)43-0199-01
构建廉洁风险防控机制建设,是党中央根据党风廉洁建设和反腐败斗争作出的重要决策,其目的就是要通过建立科学管用的风险防控机制,监督和制约个人权力,有效化解廉洁风险,为推动科学发展营造风清气正环境。鄂庄煤矿积极探索廉洁风险防控预警机制的办法,通过找准廉洁风险点、落实防控措施、严格控制风险三个环节,全面实施了各级领导人员、重点岗位管理人员廉洁风险防控,形成了以廉洁风险的查找、防范、控制为主线,对权力的制约、监督、清理为核心,反腐倡廉制度建设、规范执行为主要内容,从源头有效防控廉洁风险的工作新机制,取得了积极成效。
一、关于廉洁风险防控机制的基本内涵及特性
廉洁风险防控机制,是运用现代管理理念,将风险防控理论和质量管理方法应用于反腐倡廉工作实践,以防控廉洁风险为核心内容,针对可能诱发腐败的各类风险,通过分析评估,查找风险点,建立前期预防、中期监控、后期处置的防线,形成对防控工作实施过程和质量管理的预防腐败工作机制。廉洁风险可分为思想道德风险、岗位职责风险、业务流程风险、制度机制风险、外部环境风险五种类型(简称“五类风险”)。廉洁风险防控机制建设从微观来说主要是指廉洁风险管理,可分为查找及评定风险等级、制定并实施注重预防、突出重点、管理过程、自我完善、立足内控并形成操作规程五个环节的特性:
(一)注重预防。引入风险管理机制,在明确和充分评估廉洁风险种类和级别的基础上,通过制定和实施有针对性的预防措施,建立预警和防范机制,做到弥补漏洞,降低风险,防患于未然,把保护干部和注重预防的工作落到实处。
(二)突出重点。紧密联系实际,通过查找评定廉洁风险和制定防范措施,把重大决策、重大项目安排和大额度资金审批及使用、重要人事任免等重点工作岗位和关键环节纳入重点监控管理范畴。
(三)管理过程。加强对管理事项从经办开始到完结全过程的管理,通过预防措施,及时发现潜在的廉洁风险和管理的薄弱环节,纠正问题,循环反复,达到规范行为的目的。
(四)自我完善。从最熟悉的日常工作环节入手,及早发现廉洁风险,选择确定最适用的防范措施,达到确保自己不出现“以岗谋私”、“”等腐败问题的效果。
(五)立足内控。一是立足流程(程序)控制。针对不同部门的权力事项和用权方式,优化运行程序,制定作业标准,明确具体权力事项的业务程序,做到下一道程序对上一道程序进行控制,每道程序或每个环节之间相互制衡。二是立足岗责控制。按照“谁主管谁负责”的要求,把党风廉洁建设责任制与内控机制紧密结合起来,把“一岗双责”制度贯穿到内控机制运行的全过程。三是立足层级控制。
二、建立廉洁风险预警机制的必要性
构建廉洁风险预警机制,就是运用现代管理理念,把风险管理理论和全面质量管理方法应用到党风廉洁建设和反腐倡廉工作中,鄂庄煤矿以排查防控廉洁风险为核心内容,针对可能诱发腐败的各类风险,对廉洁风险的各种信息实施动态监测和综合分析,及时预测廉洁风险的变化趋势并发出先兆预警,紧紧抓住“自查、防控、督查、评估”等关键环节,对在工作中可能或已经出现的廉洁风险苗头进行预先防范、警示以及采取应急措施,有效防止和及时处理岗位廉洁风险。2014年全矿副科级以上人员227名,通过个人自查,对个人存在的问题和不足形成了个人自查报告,自查报告共计227份,查找存在问题共计856条,制定了防范、防控措施856条,提前预防和提前化解权力运行中的各类廉洁风险,做到惩治于已然,防之于未然,促使权力运行更加规范,从政行为更加廉洁。
三、建立廉洁风险预警机制的主要措施
针对当前基层行反腐倡廉建设面临的新情况新问题,鄂庄煤矿从廉洁风险易发多发的重点部门、重点环节入手,通过探索建立与廉洁风险防范有关信息的收集、分析、评估和反馈制度,加强对廉洁风险点的排查和分析评估,加强对典型案件的深入剖析,实现分析、评估、预警和预防一体化,提高案件预防工作的整体水平,最大限度减少违纪违法案件的发生。
(一)加强了廉洁风险信息的收集和分析工作。鄂庄煤矿高度重视从反映、案件查处、干部考核和专项检查中获取的廉洁风险信息,全年信息员共计上报204条纪检信息,各级党政、单位部门负责人,共计座谈1623人,座谈了3240条信息,形成以案件风险排查和员工异常行为排查为主要内容的多渠道信息收集机制。
(二)突出了重点加强风险预警防控。围绕制约监督和规范权力运行,对重点人员、重要岗位和关键环节的风险评估工作,可针对重要部门、关键环节和重点岗位的特点,根据部门和岗位的职能特点,以及在行使职权过程中存在的风险和违纪问题发生的几率等,组织开展风险评估,借鉴现代风险管理的方法,认真细化和分析各类风险点的表现形式,制定有针对性的风险防控制度和措施。
(三)强化了对权力使用的监督制约。加强权力使用过程中可能存在的廉洁风险点的排查;借助区务公开、民主管理、群众评议等多种形式,提高权力使用的透明度;纪委人员每月5日前,开启党风廉政举报箱,建立了开箱登记薄做好了开箱记录和举报电话登记。通过纪检信息员、意见箱、举报电话等各种形式,有效防止和杜绝权力腐败,最大限度降低廉洁风险,有力促进企业健康、稳定发展。
(四)积极发挥警示教育重要作用。充分运用个案预防、系统预防和专项预防等方法,通过加强对已经查办的典型案件的剖析,深入查找案件发生的体制机制制度方面的深层次原因,举一反三,有针对性地提出加强预防的对策措施;全年共计播放廉洁警示教育片4场次,通过观看警示教育片的形式,利用典型案例在党员干部中开展警示剖析教育。
内部控制风险分类篇10
关键词:内部控制;内部控制评价体系
1内部控制评价体系建设背景
内部控制理论与实践历史源远流长,内部控制较为完善且得到理论界和实务界公认的代表理论当属CoSo于1992年的《内部控制整合框架》,而把内部控制真正提到法律高度的是美国国会和政府通过的《萨班斯法案》,不难发现美国人在经历了“惨痛教训”之后,对内部控制的重视不言而喻。在中国,国家层面2008年印发了《企业内部控制基本规范》,并于2010年印发了企业内部控制配套指引。
近年来,我们在审计中发现,由于内部控制缺失或失效而产生的问题非常之多,有些地方甚至存在重大控制缺陷,如无规范的审批控制制度,随意对外提供担保、出借资金产生损失;废旧物资源头控制缺失,回收率低,处置程序缺乏监督;不相容职务未分离,预算控制刚性较差;计划体系不完善,计划执行偏差大。
为解决此类问题,我们曾在2005年至2008年间建设了一套内部控制评价体系并进行广泛应用,效果非常显著。但自2008年公司上线Sap管理系统后,原先的内部控制环境及公司业务所依存的载体、业务流程、业务风险点均发生了变化,因此,我们于2011年启动了信息化环境下内部控制评价体系的建设研究。
2信息化环境下内部控制评价体系的内涵
信息化环境下的内部控制评价体系是一个对内部控制系统健全性和有效性进行科学、系统和综合评价的专用工具。该体系是基于CoSo内部控制整合框架理论、国家五部委的《内部控制基本规范》和配套指引而建设,体系结合了我公司的业务特点,充分研究了Sap系统的特征,剖析了主要业务在系统内、外的运行状况。该体系本质是一个评价工具,目前已经建成的是基于Sap系统环境下的内部控制评价体系,该体系五个部分的核心是控制活动评价,也是评价体系的主体,其评价包括两部分内容,一是控制分析,二是控制评价。体系的主要构成内容如图所示:
控制分析以剖析业务模块的流程、环节乃至风险点为主线,得出风险点的控制内容作为评价的基础。控制评价则以测试内容为目标,针对测试对象的不同类型,运用观察、询问、审查、重做等不同的测试方法进行内部控制测试,并对测试结果进行定性和定量打分,形成对风险点、流程、模块乃至系统、目标的整体内控评价,并最终形成内控系统自我评价、自我完善的循环。
3信息化环境下内部控制评价体系的具体做法
3.1控制分析
控制分析是制定标准体系的过程,既要分析业务的风险点所在,也要给评价者一个标准控制措施的参照物。控制措施的制定基本遵循从面到点的设计思想,层层分解,不断细化,即:模块到流程到环节到风险点的过程。
3.1.1模块选择
经过调研及参照《内部控制基本规范》及指引,我们选择Sap系统中的财务管理、物资管理、资产管理、项目管理四个模块作为评价对象,从范围上基本上可以履盖企业管理的重点领域和重点环节。
3.1.2环节分析
环节分析是将模块按照便于评价的需要和经营业务本身的特点进行细化的结果,根据各自的特征,各模块的分解方法不同、环节也不相同。
3.1.3流程描述
流程描述是将管理模块中的所有环节之间的关系及先后顺序等绘制在图上,流程描述的主要作用是让评价者通过看图可以对管理环节一目了然,便于在评价时做到准确定位。
3.1.4风险点确定
在公司管理制度基础上、结合《内部控制基本规范》及指引确定各模块风险点,确定风险点后我们对每一风险点的特征及控制措施又作了进一步说明。控制分析表如下:
[模块\&流程\&环节\&风险点\&控制措施\&目标关联\&控制属性\&控制载体\&财
务
模
块\&货
币
资
金\&岗位设置\&岗位分工\&建立岗位分工制度,制度规定岗位职责,岗位资格等\&合规\&线外\&岗位制度\&不相容职务\&是否在岗位设置时确保办理货币资金业务不相容岗位的相互分离(重点是钱账分离、审核支付记帐分离、银行帐户印鉴管理以及货币资金票据管理分离等),相关业务人员实现内部制约、监督机制\&营运\&线内\&票据及银行印鉴章保管制度\&定期轮岗\&建立轮岗制度,岗位定期轮换\&营运\&线外\&财务人员轮岗制度\&资金收入\&。。。\&。。。\&。。。\&。。。\&。。。\&资金支出\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&。。。\&]
3.2控制评价
运用本体系进行内控评价的程序如下图所示:
3.2.1明确评价类型
内部控制评价主要分为两大类:一类是审前内部控制评价,另一类是专题内控评价。
3.2.2制订评价方案
评价方案主要内容包括:明确评价目标及对象;选定评价人员及明确人员分工;确定评价业务模块;结合实际进行分值与权重设计。
3.2.3控制调查
该环节将通过问卷调查的方式对内部控制状况进行初步了解,这是后续确定评价重点的基础。控制调查借助调查问卷的形式开展,调查问卷针对被评价对象的关键业务流程、各业务模块内部控制现状、相关制度建立及执行情况、内控过程中存在哪些缺失或不足等内容进行编制。
3.2.4符合性测试
符合性测试阶段的关键是样本规模和样本范围的确定,样本可以是某一制度或文件,也可以是具体的基建项目等等。样本规模可以采用统计抽样的方法确定,也可以采用判断抽样,我们在实践中根据评价类型的不同而采用了不同的抽样方法,如属于审前调查时则采用判断抽样方法,对于独立评价时,我们采用统计抽样与判断抽样相结合的方法。当总体的差异性较大时,采用分层抽样,如财务类样本因其周期性较明显,抽样时可以按月份进行划分,将年初、年末作为重点实施抽样。
测试结果同时运用定量和定性评价方式,一般来说,定量评价可以用“符合率”指标反映,即抽取的样本量中符合规定的比率,定性评价则主要针对被评价单位制度建立健全及执行情况、重大经营决策事项或只有一个样本的情况进行。
3.2.5评分及评价
①风险点评分
对于定量部分,取满分与符合率的乘积作为测试得分;定性部分,根据设置的分数档次确定测试得分。风险点中有点分项内容的,则各分项内容得分之和便是该风险点的测试得分。
②模块的评分
评分中有两类权重,一是风险点权重,二是模块权重。在业务模块中需要设置风险点权重,风险点得分与权重乘积得到权重分,模块中各风险点的权重分之和便是模块的测试得分。
风险点权重确定的关键是模块中各风险点重要性程度。通常依据模块业务性质和失控风险概率来确定。在具体评价中,如果不存在对某个环节或者风险点的评价,可将该风险点的权重设置为0,同时调整其他风险点权重,使得整个业务模块的权重合计为1。
③综合评价
综合评价需要确定各模块权重比例,模块的权重取决于模块的重要性程度。以下是我们设置的综合权重表(表1):
为准确形象反应内部控制评价的结果,我们设定了如下的确控制评价区间(表2):
④目标评分
在计算风险点和模块评价得分的同时,计算与风险点相关联的控制目标得分,目标得分的计算不考虑任何权重,主要是由于一个风险点可能与多个控制目标相关联,因此我们只是通过计算目标得分后进行粗略计算,比较分析内部控制评价的结果对三大控制目标的影响程度,以便于给管理层提供内部控制改善的总体方向性的建议。
⑤评价结果及反馈
评价结果分两类,一是评价报告,评价报告描述评价过程、内部控制现状、控制薄弱及风险点。二是风险报表,风险报表重点对风险进行汇总列示,风险报表简明扼要,结果一目了然。
4信息化环境下内部控制评价体系的应用效果
信息化环境下内部控制评价体系于2012年建成后,在公司系统得到广泛应用,主要成交如下:
4.1节约审计资源、节约审计成本
在审计项目符合性测试中运用该评价模块,可以迅速确定重点,减少实质性测试的时间。经初步测算,至少可以节约实质性测试三分之一的时间。目前省公司大部分项目,所属单位的大部分项目在审前调查中都使用该体系进行了测试,效果明显。
4.2量化风险、降低风险
通过对控制环节的评估可以客观地评价各控制环节的风险大小,通过提供合理化建议可以不断完善内部控制,达到降低风险乃至消除风险,为企业健康经营保驾护航。
4.3提供建议、堵塞漏洞
在测试运用和使用有反馈统计,全省截止目前共提供建议和意见542条,完善内部控制重大缺陷和堵塞漏洞108个。