项目风险控制报告篇1
关键词:控制 创新 风险 影响
内部控制的经历了一个从低级到高级、从局部到整体的过程。内部控制是受董事会、管理层和其他员工的影响,旨在取得经营的效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。内部控制不仅对企业本身的经营效率和效果的提高有着直接的作用,而且也影响到企业内部审计人员的工作范围和注册师审计范围及审计责任。1992年CoSo报告将内部控制的要素从三要素重新划分为五要素,使人们对内部控制的认识实现了一次性的飞跃。2004年反虚假财务报告委员会针对诸多企业发生的管理层舞弊事件,并结合《萨班斯—奥克斯利法案》的相关要求提出企业内部控制应当与企业风险管理相结合,同时提出了企业风险管理的基本要素。可以说,这个报告的提出使人们对内部控制的认识上升到前所未有的高度。使人们对内部控制的认识从局部转为整体、从微观转为宏观、从具体转为战略、从重视与会计相关的内部控制转为以风险管理为核心的高度。本文试图解析内部控制的这些变化以及对注册会计师审计工作的影响。
一、内部控制的创新主要体现在以下几个方面
1.内容的丰富。1992年CoSo报告(committeeofsponsoringorganization)将内部控制划分为控制环境、风险评估、控制活动、信息与沟通、监控等五个要素,而2004年CoSo报告将企业风险管理框架的基本要素确定为内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八大要素。较之以往相比,内部控制的内容得到了极大的丰富。对与内部控制的相关要素的划分更加清晰,使企业对风险的控制能够落到实处,从而增强了控制的可操作性。风险管理的外延要比内部控制广阔得多。该报告强调内部控制框架的建立应与企业风险管理相结合,内部控制应该作为企业风险管理的有机组成部分,新的报告不再使用内部控制框架概念,而是使用风险管理框架的概念。内容的丰富必然会促使认识的深化,必然会促使企业管理层在建立和实施内部控制时考虑的更周全,更具战略性和前瞻性。
2.目标的拓展。1992年的CoSo报告将内部控制定义为“内部控制是一个受到董事会、经理层和其他人员的影响,旨在取得:经营效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。”从该定义中可以看出内部控制能实现三个目标。这三个目标没有触及到企业战略,是战术层次的目标。在2004年的CoSo报告《企业风险管理—总体框架》即eRm框架在对内部控制的定义中细化和拓展了相关目标。eRm框架(enterpriseriskmanagement)指出:内部控制是一个过程、被人影响、于战略制定、贯穿于企业各个层级、旨在识别影响组织的事件并在组织的风险偏好范围内管理风险、合理保证、为了实现各种目标。由于在1992年的报告中没有明确提出内部控制对资产的安全和完整目标,实际上,对很多企业特别是中小企业而言,内部控制制度设立和执行的主要目标可能就是保护资产的安全和完整。而在2004年的报告中明确提出了“保护资产”或“保护资源”的概念。并在内部控制的定义中明确指出内部控制可以实现各类目标,各类目标不仅包括以前所提到的三个目标,而且还应当实现企业的战略目标。战略目标是企业最高层次的目标,是指导和制约战术目标的,企业所有的活动应该围绕着战略目标的实现而进行,内部控制的建立和实施也不例外,如果企业在战略制定方面出现了真空,企业的战术就会迷失方向,企业的损失会更大,巴林银行的倒闭和中航油巨亏事件就是很好的例证,它们并不是没有完善的内部控制,而是在战略制定之时出现了权力真空。因此新的CoSo报告提出了一个新的目标———战略目标,不仅强调企业内部控制应当与企业本身的战略制定和实施紧密地联系在一起,而且强调了内部控制就是首先针对企业战略的。
3.风险认识的深化。尽管在1992年CoSo报告中也将风险评估纳入到内部控制一体化框架作为其要素之一,但是对风险的认识还很有限,认识的程度还仅仅限于风险识别和风险。风险识别包括对外部因素如技术发展、竞争、变化以及内部因素如员工素质、公司活动性质、信息处理系统的特点进行检查;风险分析涉及到估计风险的重大程度,评估风险发生的可能性。在CoSo新的报告中,对风险的分析更透彻。新的报告增加了三个风险管理要素:目标设定、事项识别和风险反应。企业竞争日趋激烈,不仅要面临国内市场的竞争,还要面临国际市场的竞争;不仅要面临产品市场的竞争,还要面临经理人市场的竞争,企业的风险比以往任何时候都大,如何规避这些风险是企业的头等大事,说企业管理应当以风险管理也丝毫不为过。风险实际上指明了内部控制存在和必要的理由,如果企业没有这些风险也就不需要内部控制。对企业风险认识的肤浅必然会使内部控制的建立和实施误入歧途。因此新的报告在第二个要素中明确提出了风险管理应进行目标设定,目标的设定指明了内部控制的实施方向,使内部控制的设立更具针对性,和企业的战略更加吻合,以更好地实现企业的战略目标,使内部控制产生应有的效果。接着该报告就深入阐述了事项识别。企业的风险在各个管理级次和各个部门都有可能出现,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业关键是要识别和控制存在潜在负面影响的事项。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行度量。并在风险度量中提出了风险偏好和风险容忍度的概念。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。新的报告对风险的考虑更加全面和透彻,有利于管理层内部控制制度的建立和实施,使企业能够站在更高的层次、更宽阔的视野来认识内部控制,使人们对风险的认识从单纯的风险分析和风险识别扩大到目标设定—事项识别—风险计量—风险反应—风险评估,可以将风险管理落到实处。
4.关注整体比关注控制细节更有效。新的报告名称之所以改为《风险管理—总体框架》,就是强调整体的效果而非注重微观细节上的控制。风险本身是一个系统,其形成原因和构成要素很多也很复杂,如果面面俱到、事无巨细地都进行涉及是不可能的也是不值得的,因为风险的管理是有成本的,也要遵循成本—效益原则。我国企业特别是国有企业在具体项目上的控制制度应有尽有,他们往往忽视了企业的重大风险,导致企业出现重大损失。要强调整体上的效果就必须遵循抓大放小的原则,因此,eRm框架强调董事会与管理层应该将精力放在可能产生重大风险环节上,而不是所有细小环节上。只有当企业总体而言出现偏离风险容忍度的重大风险时,管理层才需要采取一定的控制活动。
5.扩大了控制环境的内涵。在2004年新的报告eRm框架中将首要要素改为内部环境,而在内部控制结构观念和1992年的CoSo报告中均是以控制环境的名称出现的,这一变更并不是简单的名称变更,而是范围的变更、理念的变更。体现了风险管理范围的扩大。在传统的控制环境要素中认为控制环境包括:经营、组织结构等方面的,eRm框架中强调了内部控制环境包含了一个组织的气氛,形成一个组织和人员识别与看待风险的基础。它确立了企业的风险文化,既要认可预期发生的事项,也要认可未预期发生的事项,因而丰富了控制环境的内涵。
二、对注册师审计工作的
1.扩大了注册会计师的审计范围,加大了注册会计师的审计责任。随着人们对内部控制认识的逐步深入,内部控制的外延在不断扩大,比如注册会计师在评估风险时必须考虑内部环境,内部环境所涉及的范围就比内部控制结构中的控制环境所涉及到的内容广阔得多。根据最新的注册会计师审计准则的要求,注册会计师在确定进一步审计程序的性质、时间和范围时仍然要以控制测试的结论为基础,所以注册会计师在进行控制测试时要想取得充分、适当的证据,除了关心和收集财务领域的证据之外,还必须关注与之相关的非财务领域,这些非财务领域的资料或状况与所证实的认定的关联程度究竟有多大,需要注册会计师进行的专业判断,这样无形中就会加大注册会计师的责任。另外,《萨班斯法案》第103款要求,注册会计师在审计报告中描述对内部控制结构和程序进行测试的范围,并在审计报告中或者单独出具一份报告陈述有关内部控制情况。如果是在审计报告中陈述内部控制情况,无疑会加大注册会计师的审计范围,加大了注册会计师的审计成本和相应的责任。随着我国《独立审计准则—审计风险》的出台,注册会计师在评估审计风险时不能只考虑与会计相关的内部控制,而应当考虑与实现“四大目标”相关风险的所有方面,从这个意义上来说,注册会计师的审计领域比以往更大,审计风险要素中的检查风险随之增大。
2.促使审计业务流程的转变。随着人们对内部控制认识的深化,审计业务流程也发生了根本性的转变。每一个阶段的审计业务流程和该阶段对内部控制的认识是分不开的。传统的审计业务流程是以强调微观的内部控制制度作为基础的,这从传统的审计风险模型就可以看出:审计风险=固有风险×控制风险×检查风险。注册会计师在执行会计报表审计业务时,先要单独评估固有风险和控制风险,进而确定检查风险的可接受水平。该模型没有将审计风险作为一个整体进行评价。为此,国际审计准则以及独立审计准则都强调摒弃原来的审计业务流程,遵循全新的审计风险模型以设计相应的审计程序。审计风险=重大错报风险×检查风险。这里的重大错报风险是指财务报表在审计前存在重大错报的可能性,模型的转变是人们对内部控制认识深化的结果,实际上是要求审计人员在评价有关被审计单位的风险时应当将其作为一个整体。
:
项目风险控制报告篇2
高质量的信息披露是资本市场健康有序发展的重要条件,对保护投资人利益,强化上市公司监管等有重要意义。近年来,财务丑闻频发,其中不乏有国际知名的大公司,如美国安然公司、英国霍林格集团、德国基尔希影视传媒集团、加拿大北电网络公司、意大利帕玛拉特公司、印度软件巨头萨蒂扬公司及中国银广夏公司等。公司报告舞弊严重损害了投资者利益,阻碍了资本市场的健康发展,引起了投资者、监管层、学术界等的广泛关注。近年来,国内外学者对影响信息披露质量的影响因素以及如何改进信息披露质量进行了深入探索。本文基于财务报告供应链视角研究企业财务报告风险及其控制,是一种新思路。
二、文献综述
人们根据供应链的定义结合财务报告的特点,将财务报告产生的过程形象地称为财务报告供应链。国际会计师联合会(iFaC)专门设立了财务报告供应链项目,该项目组认为,财务报告供应链包含财务报告编制、审批、审计、分析及使用各阶段涉及到的人员。Samuela.Dipiazza(2002)也持有基本相同的观点,即公司报告供应链是财务报告信息的生产、编制、沟通和使用中所涉及到的各个集团。方红星(2006)提出了“参与者+功能定位”型的财务报告供应链,涵盖了财务报告生成和提供的全过程、过程的参与者及其功能定位、所经过的环节及其承启关系等。normanLyle(2008)指出财务报告供应链是关于参与财务报告的准备、编制、批准、审计、分析和使用的人员和一系列过程。Jamesetal.(2004)研究了与财务报告相关的内部控制目标、编制程序和主要风险及其控制。CoSo委员会(2004)提出的风险管理整合框架为风险的识别、分析和控制提供了系统的思路和方法。杨小舟(2007)认为财务报告风险是指企业财务报告未达到相应的质量要求,不能实现财务报告目标的可能性,并通过治理层面和管理层面两方面,阐述了财务报告风险及其控制手段。p.w.Buys.(2008)认为利用电子化的可扩展商业报告语言(extensibleBusinessReportingLanguage,XBRL)能够提高财务报告供应链的运行效率,能够有效地控制财务报告风险。曾月明等(2009)借鉴戴明循环“计划-执行-检查-处理(plan-Do-Check/Study-act)”的质量持续改进模型,从财务报告供应链视角研究了财务报告质量和认为财务报告供应链过程和pDCa循环不仅在程序设计上是一致的,在理念上也是吻合的。
综上所述,国内外对风险管理及财务报告供应链等有较多的研究,但大多基于单一因素研究财务报告风险,缺少将两者结合进来系统研究财务报告全过程风险控制的文献。本文将内部控制、风险管理与财务报告供应链结合起来,系统研究财务报告供应链全过程的风险及其控制,为提高信息披露质量提供一种新思路。
三、财务报告供应链的主要环节及其风险控制目标
基于供应链视角,企业财务报告生成过程可分为编制、审核、审计、和使用分析五个环节,如图1所示。
财务报告编制环节涉及制定编制方案、确定重大交易或事项的会计处理、清产核资、核实债权债务、对账与结账、编制个别财务报表、编制合并财务报表等。编制环节是财务报告生成的基础,编制环节存在的风险控制效果直接影响到财务报告信息是否真实可靠。这一环节的风险控制目标是确保企业有明确的财务报告编制程序,清晰的权责分工和合理人员配备,遵循会计准则和内部制度编制财务报告。
财务报告审核环节是指财务报告在对外提供前,财会部门负责人以及企业负责人需通过审核程序保证财务报告的准确、真实、完整以及合法合规。这一环节的风险控制目标是确保企业财务报告按规范的流程得到审核,以保证对外提供的财务报告的真实性、完整性和合规性。
财务报告审计环节是企业在财务报告对外前,聘请有相应资格的会计师事务所对财务报告进行审计;会计师事务所在接受政府和市场的监管下,按照会计规范和审计规范审计财务报告。该环节的控制目标是保证被审计的财务报告具有可信赖性,使财务报告使用者可以依据被审计的财务报告做出正确有用的经济决策。
财务报告环节是指企业将财务报告与审计报告一同向投资者、债权人、政府监管部门等报送,对其自身的财务信息进行披露,已达到为财务信息使用者提供决策依据的目的。本环节的风险控制目标是让财务报告使用者能够更加快捷、有效地利用财务报告及其相关资源。
财务报告使用分析环节是指利用资产负债表、利润表和现金流量表等财务报表,对企业的财务状况、经营成果以及现金流量进行系统的分析和评价。财务报告使用分析的总体目标是:评价企业的经营业绩、财务状况和现金流量,揭示财务活动中存在的矛盾和问题,为改善经营管理提供方向和线索;分析企业的预算是否合理完成,评估管理层的经营情况并就改善经营成果提出财务建议;对企业的未来风险报酬做出预测,为财务信息使用者做出正确的经济决策提供必要的依据。
四、财务报告编制环节的主要风险分析
本文仅以财务报告供应链的基础环节——编制环节为例,研究其主要风险点、关键控制点及其控制措施。财务报告编制流程通常涉及制定财务报告编制方案、确定重大事项的会计处理、清产核资、核实债权债务、对账和结账、编制个别财务报表、编制合并财务报表等。
(一)制定财务报告编制方案的主要风险与管控措施企业应在编制财务报告前拟定财务报告编制方案,明确财务报告的编制依据、编制方法和程序、职责分工和编报时间安排等相关内容。这一阶段的主要风险点、关键控制点、控制目标及相应的控制活动描述如表1所示。
(二)确定重大事项会计处理中的主要风险与管控措施企业在编制财务报告前,应关注对当期报告有重大影响的重大事项及其会计处理,这些重大事项可能有债务重组、兼收并购、非货币性资产交换、公允价值计量、资产减值等。这一阶段的主要风险点、关键控制点、控制目标及相应的控制活动描述如表2所示。
(三)清查资产核实债务的主要风险和管控措施在编制财务报告前,企业应组织财会及有关部门进行资产清查和债权债务的核实工作。这一阶段的主要风险点、关键控制点、控制目标及相应的控制活动描述如表3所示。
(四)对账与结账的主要风险与管控措施在编制年度财务报告前,企业应在日常信息核对无误的基础上完成对账、调账、差错更正等业务,然后实施关账操作。这一阶段的主要风险点、关键控制点、控制目标及相应的控制活动描述如表4所示。
(五)编制个别财务报告主要风险与管控措施企业应按会计准则规定的财务报告格式和内容,根据真实、完整、无误的会计账簿记录和其他有关资料编制财务报告,做到内容完整、数据真实、计算无误,不得漏报或随意进行取舍。这一阶段的主要风险点、关键控制点、控制目标及相应的控制活动描述如表5所示。
(六)编制合并财务报表集团公司在编制合并财务报表前,应及时取得纳入合并范围内的各分公司、子公司和内部独立核算单位的财务报表,并按规定程序进行形式和内容的审核,若发现问题应退回原单位重编。这一阶段的主要风险点、关键控制点、控制目标及相应的控制活动描述如表6所示。
五、结论
合理保证企业财务报告及相关信息的真实完整是企业的重要责任,报告风险是企业面临的主要风险之一。公司财务报告信息失真严重损害投资者的利益,阻碍资本市场的健康发展,因此,加强财务报告风险控制意义重大。本文基于财务报告供应链视角专题研究了财务报告风险控制,并以财务报告编制环节为例,详细分析了财务报告编制环节的主要风险点、关键控制点、控制目标和控制措施等。笔者认为,在财务报告风险控制活动中,应高度关注相关人员的业务胜任能力和关键人员的道德素质,明确权责配置和人员分工,坚持不相容职务分离,明确规范财务报告编制、审计、审批、和利用的制度和流程,系统梳理财务报告供应链各环节的主要风险点,设置关键控制点,明确并细化控制目标,并有针对性地实施相应的风险控制措施。基于风险导向,系统分析财务报告供应链各环节的主要风险点,并采取行之有效的控制活动,能够显著提高财务报告质量,提高财务报告对经济活动的预测作用和决策有用性,使经济活动更加有序地进行。
参考文献:
[1]财政部会计司:《财政部会计司解读〈企业内部控制应用指引第14号——财务报告〉》,财政部会计司2010年。
[2]财政部会计司编写组:《企业会计准则讲解2010》,人民出版社2010年出版。
[3]丁友刚、胡兴国:《内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进》,《会计研究》2007年第12期。
[4]方红星:《公司财务报告供应链的价值研究》,《财经问题研究》2006年第4期。
[5]曾明月、蒋叶:《财务报告供应链和pDCa循环的研究》,《财会研究》2009年第9期。
[6]朱丽华:《财务报告编制环节内部控制》,《经济视角》2011年第7期。
[7]高妍:《财务报告供应链参与主体关系对财务报告质量的影响研究——以企业与投资者关系为例》,东华大学2010年硕士学位论文。
项目风险控制报告篇3
为加快推进“科技兴安”战略,切实提高化工生产过程本质安全水平,有效控制化工企业事故的发生,逐步实现化工生产过程安全自动化控制,确保我市危险化学品安全生产形势根本好转,根据《中华人民共和国安全生产法》、《浙江省安全生产条例》等法律法规和浙江省人民政府批转省安委会《关于进一步加强危险化学品安全生产工作的指导意见》【浙政发(2009)27号】要求,结合我市实际,就推行化工生产过程自动化安全控制系统提出以下实施意见:
一、充分认识自动化安全控制系统在化工生产过程中的重要作用
化工生产过程大多涉及高温高压、易燃易爆和有毒有害,一些化工反应工艺过程复杂且蕴含着巨大的能量,一旦生产过程出现异常且控制不当,将会给人身和财产安全造成严重后果。安全科技是安全生产的重要基础和技术保障,自动化安全控制系统能对化工生产装置和设备可能发生的危险或措施不当行为致使继续恶化的状态进行及时响应和保护,使生产装置和设备进入一个预定义的安全停车工况,从而使风险降低到可以接受的最低程度,保障人员、设备和生产装置的安全。这类安全控制系统以其可靠适用的设备和先进的控制技术已被发达国家石油和化工企业普遍采用,为此,在化工相关行业中推行自动化安全控制系统对有效控制事故的发生,对我市危险化学品安全生产形势根本好转具有十分重要的战略意义。
二、推行自动化安全控制系统的总体要求和主要目标
(一)总体要求
对自动化安全控制系统总体要求为,一要具有很高的可靠性和灵敏度,当生产装置出现紧急情况时,安全控制系统能在允许的时间内作出响应,及时发出保护联锁信号,对现场设备及装置区域进行安全保护;二是根据不同装置工艺安全等级的保护需要,选择相应安全等级的安全控制系统;三是不管是独立设置还是混合设置的安全控制系统,其安全联锁保护功能模块在生产过程中始终处于静态,不需要人工动态操作。
(二)主要目标
到2010年末,全市已建或新建、改建和扩建化工生产项目涉及硝化、氯化、氟化、磺化、加氢、重氮化、过氧化以及聚合、裂解等且有高温高压、放热或深冷等工艺过程的;对其它装置或项目工艺过程,采用道化学公司火灾、爆炸危险指数评价法(第七版)评价,经现有的安全措施补偿后,其危险等级仍在很大及以上(火灾爆炸指数≥128)的;对不适用道化学法评价的项目可采用危险度评价法,其危险等级在高度及以上(危险度分值≥16)的,要根据安全风险程度等级选择安装不同类型的安全控制系统。
到2013年末,其他项目或装置特别是涉及易燃易爆介质、剧毒、高毒和极度危害介质,或构成重大危险源的生产储存设施,其危险等级为中等程度及以上(火灾爆炸指数≥97),或其危险度评价法危险等级为中度及以上(危险度分值≥11)的,均要安装相应的自动化安全控制系统。对项目工艺(装置)确实安全、稳定等特殊情况不需要安装的,须经设计单位或安全评价机构出具不需要安装的技术报告。
涉及上述情况的新建、改建、扩建项目,必须同时设计、安装相应的自动化安全控制系统。
三、加快化工生产自动化安全控制系统推行步伐的工作措施
(一)新建、改建、扩建化工建设项目,其设立评价报告应对建设项目工艺及装置进行安全风险等级评价划分,对符合化工生产自动化安全控制系统安装要求的,项目建设单位在委托安全设施设计时应同时进行生产过程自动化安全控制系统的设计。
设计单位在编制《危险化学品建设项目安全设施设计专篇》时,要根据建设项目设立评价报告对项目工艺及装置的安全风险分析、风险级别和安装自动化安全控制系统的技术建议,设计中要充分体现重要参数的测量、报警、自动联锁保护及事故状态下的紧急停车等自动化安全控制措施。
(二)进入施工和试生产阶段的新建、改建、扩建化工建设项目,建设单位要委托相关技术机构在《项目设立安全评价报告》和《安全设施设计专篇》中补充有关自动化安全控制系统方面的专项评价报告和专项设计专篇,并在本《意见》规定的期限内作出安装自动化安全控制系统的承诺。
(三)对已建成项目工艺及装置的企业应对对照本《意见》,对安装装置、工艺和依据安评机构按照道化学火灾爆炸危险指数评价法或危险度评价法得出的结果进行自评自报,并须经安评机构和设计单位确认,报当地安全生产监管部门。符合安装要求的,当地安全生产监管部门要按照本《意见》要求督促企业限期完成安装。
(四)2009年12月底后危险化学品安全生产许可证到期的企业,符合化工生产自动化安全控制系统安装要求的,换发许可证前必须安装自动化安全控制系统。
(五)本《意见》下发之日起,生产装置发生化学品爆炸、火灾、泄漏,致使人员伤亡事故的化工企业,且符合化工生产自动化安全控制系统安装要求的,必须安装自动化安全控制系统。
(六)在本《意见》规定的期限内符合安装自动化安全控制系统要求的而未安装的所有化工企业,规定期满后,视为安全设施配置不符合安全生产要求。
(七)自动化安全控制系统安装完成后,安装业务技术机构要向建设单位提交自动化安全控制系统安装技术报告书,内容主要为:设计和安装期限、该企业的生产工艺、安全工艺控制参数及控制点、安全控制工作原理、采用的逻辑控制单元、检测变送单元等、能达到何种生产安全控制要求、安全质量保证责任范围以及系统日常维护要求等。为便于对自动化安全控制系统推行工作的管理,报告书同时报送当地安全监管部门。
(八)2009年后受理的危险化学品安全行政许可申请,其安全评价报告必须有专题内容对其项目工艺及装置开展自动化安全控制系统安装方面的评价。
1.新改扩危险化学品建设项目设立评价报告,要对项目工艺及装置的安全风险进行分析,采用道化学火灾爆炸危险指数评价法或危险度评价法评估其风险级别,按照本《意见》提出是否需要安装自动化安全控制系统的技术建议。
2.新改扩危险化学品建设项目竣工验收评价报告,要对建设项目是否按建设项目设立评价和安全设施设计专篇的要求安装自动化安全控制系统作出评价。内容包括:安全工艺控制参数及控制点、安全控制工作原理、采用的逻辑控制单元、检测变送单元等;其设计、安装单位名称及资质,并分析评价控制系统在试生产期间的调试、运行情况等。
项目风险控制报告篇4
关键词:企业内部控制审计风险管理内控建设
随着现代企业制度的建立完善和内部控制建设进程的加快,有的企业由于自身和受到环境的局限,传统的经济责任审计、报表审计已经不能满足管理层对内部控制审计的要求。为了促进企业建立、实施和评价内部控制,将内部控制的监督、评价作为重要工作内容,衡量企业内部控制建设是否健全和抵御风险能力程度,寻找内部控制薄弱环节,不断强化内控建设措施,从而有效防范和化解企业各种经营风险和财务风险,确保企业健康发展。
1、目前我国企业内部控制审计存在的问题及原因分析
当前国内一些企业对内部控制的重要性认识不足,甚至有怀疑和抵触的情绪。由于内部控制固有的局限性和疏于对内部控制制度建设,使得内部控制环节薄弱,各部门之间缺少沟通和交流,信息沟通不及时,协调性差,经济业务随意性大。为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,财政部与中国证监会等五部委联合了《企业内部控制基本规范》,对开展内部控制有效性监督与评价具有重要意义。一般企业在审计内容、方式、重点、机构设置、规范管理方面没有起到内部控制管理作用,不能满足现代企业建立健全内部控制制度的要求。存在以下方面问题:
(一)机构设置不合理
有些中小企业还没有独立的内部控制审计部门,内部控制审计机构设置只是企业自身出于加强内部管理的目的而设的,设立缺乏科学性,有的与财务部门合并,其独立性不高。在这种环境下,致使内审机构和人员受到很多方面利益因素制约,不能客观、真实、独立的开展工作,不能保证内审业务工作的自主性和权威性,企业内部工作职责划分不清,甚至监督力度弱化。对内部控制审计机构的目的作用不明确、审计目的随意,甚至有些形同虚设。内审控制机构的设置应高于其他职能部门,内审控制部门应对董事会负责,在业务上接受监事会的指导。
(二)内部控制审计人员职业道德意识不强
一般企业内控审计机构在人员的构成上缺乏精通企业各相关业务综合人才。当前的内控审计正由财务领域向经营、管理领域拓展,如果在工作方法上仍使用传统的方式,较少使用计算机辅助审计软件,很难提高审计效率和质量。在内控审计过程中,有的内控审计人员职业道德意识不强,没有持客观、谨慎的态度,进行审计评价,对查出来的问题不坚持原则,不及时汇报,随意性大。
(三)工作程序上不规范,缺乏对内部控制审计报告的复核控制
一些内部控制审计人员往往将精力投入到财务数据的真实性、合法性的查证及生产经营的监督上,审计的对象主要是会计报表、帐本、凭证及其相关资料。其主要职能是查错防弊,在实际工作中,往往忽视对内部控制审计报告的复核,没有对审计报告作出分析,评价,只是将工作集中在财务领域而未深入到管理和经营领域。对重要的内控审计工作报告没有结论,没有实现复核控制。审计前不下达审计通知,不编制审计计划,审计后不与被审计对象沟通,审计归档不规范,无法体现审计的全过程和审计结果。
(四)审计方法不合适,内控审计控制标准不明确,对审计缺乏有效的过程控制
现行的内审规范体系建设偏重内审准则、法律、职业道德规范的建设,对内审质量控制标准的建设不够重视,致使内审质量标准不明确,其控制无章可循。一般企业的内部控制审计都是事后审计,只将内部控制评价作为审计的一种手段而不是独立的审计内容,审计人员在实施审计时,未按照内部控制审计准则的有关要求实施必要的审计程序,无法对企业内部控制进行全过程、全方位的监督和评价,审计信息反馈滞后,审计领导不能及时准确地把握现场审计动态。
2、内部控制审计的内容
2.1审查与评价控制环境
控制环境的好坏直接影响着企业各项控制措施的实施效果,一个有效的控制环境要求明确各组织的责任和权限。要把握好企业内部控制环境,重点审查经营活动的复杂程度,管理层的态度,法人治理结构的健全性和有效性。内部控制审计在进行内部环境评价时关注机构设置是否合理;权责分配是否明晰;企业文化是否促进员工勤勉尽责;人力资源政策和激励约束机制是否科学合理等。人是内部控制中最重要的因素,有能力有责任感的有助于内部控制目标的实现。
2.2审查与评价控制活动
控制活动是企业根据风险评估结果,对内部控制起着关键作用,采用相应的控制措施,将风险控制在可承受度之内。审查控制活动建立的实用性和执行的有效性。授权、审批程序,对财产的记录、盘点资料、报表等定期或不定期的进行重点抽查。审查相关手续、记录是否完整,账务处理是否及时正确评价企业财产保护措施实施情况。审查控制活动对风险的识别和规避,将风险控制在可承受度之内。
2.3审查与评价信息与沟通
信息与沟通是实施内部控制的重要条件,采集的信息与企业内部或外部之间进行及时传递和有效沟通,为企业经营目标的实现服务。作为企业,对收集的各种内部和外部信息要及时筛选和整合,要建立与其经营活动相适应的信息系统,完善信息传递机制,保证管理信息系统的安全可靠。重点审查相关财务信息和信息处理的及时性、信息系统的安全性以及技术效果。
2.4审查与评价风险管理
有些企业缺乏风险管理意识,应当建立了风险意识,但风险管理职能未能落实,内部控制制度不健全不完善,缺乏评估风险和转移风险等手段,使得已制定的内部控制制度在执行上不善或执行中出现偏差而造成错弊。企业应针对特定的风险制定和建立风险管理机制,明确风险责任,重点审查被审单位抗风险的能力,重要管理岗位和资金流通环节,被审单位抗风险的能力,对可能出现的风险做好防范。
3、开展内部控制审计的要求
《企业内部控制基本规范》及配套指引的,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,对其财务报告内部控制的有效性进行审计,做好审计报告。内部控制审计与财务报表审计可以整合起来进行,对企业控制设计和运行的有效性进行测试。在财务报表审计中,应了解企业的内部控制,并在需要时测试控制。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。在计划整合审计工作时,要考虑到影响审计工作的相关事项,企业组织结构、经营特点和资本结构等相关重要事项、内部控制缺陷、企业内部控制发生变化的程度、要性、风险等与确定内部控制重大缺陷相关的因素。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,在进行风险评估以及确定审计程序时,要考虑到企业的组织结构、业务流程或业务单元的复杂程度可能产生的重要影响。
企业的内部审计人员拥有更高的专业胜任能力和客观性,要多考虑利用这些人员。做好企业层面控制,即治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施等控制环境,良好的控制环境是实施有效内部控制的基础。并将审计测试工作逐步下移到业务层面控制。运用风险导向内部控制评价模式,根据企业的实际情况和既定目标,评价企业重大风险、发生可能性的风险评估,提出有效控制措施。对于审计过程中注意到的非财务报告内部控制缺陷,如果发现某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响,确定该项非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。
4、加强企业内部控制审计的途径
(1)改变传统的内部控制在制定阶段的方法,内部控制在制定阶段不能只由相关业务部门来完成,使内部控制在建立之时就交由内控审计进行评价。作为内控审计师,要将重点放在企业内部控制全局的高度上,统筹考虑并提出自己的建议。以“发现和评价”观点向“防范和解决方案”的内控审计活动转变。在审计前,要编制审计计划,在审计过程中,要运用观察、审核、分析等复核方法,获取充分可靠的证据,以及编著审计报告,减少内部审计的不规范性和盲目性。从增强企业整个内部控制系统的效能着手,提出有针对性的建议。
(2)企业的一切活动都无法游离于内部控制之外,在审计项目工作中,不仅通过内部控制评价,确定审计重点和审计风险更好指导审计工作,而且还要对每项业务涉及到的内部控制的健全性和执行情况进行有效评价。评价其关键控制和程序能否保证内控目标的实现,能否能抵御和控制企业面临的各种风险,对发现的控制薄弱环节和带有普遍性、倾向性的问题,要及时向管理层反映,对企业内部控制出现的薄弱环节,内控审计师要及时做出详细的评价步骤和报告,提出改进内部控制建议。管理层要关注报告,对报告中提出具有科学合理、行之有效的审计建议要采纳,要重视内部审计的制度化、规范化、程序化管理以及队伍建设,使企业的职能部门的管理职能进一步规范和完善。
(3)组织相关管理部门进行内部控制自评。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。内部控制自评综合控制了企业各方面,为企业提供了一个管理控制风险的工具,使企业对内部控制有了更全面的了解。管理人员在内控审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,提出报告。既熟悉本部门的控制过程,又明确本部门对企业内部控制的责任,促进其更好地履行职责。降低了审计成本,保证企业内部人员良好的分从而更有效地履行责任。
(4)对企业内部控制单独立项,专门评价。一些内部控制存在的问题只是在查账过程中发现,随着企业制度的不断完善和内部控制建设进程的加快,传统的经济责任审计、报表审计已经不能满足管理层对内控审计的要求。企业应将内部控制的监督、评价作为重要的工作内容,单独立项,专门评价。企业各部门、各环节要进行全面有序的综合评价和测试,根据测试对象的特征,可以选择检查、观察、查询及函证、监盘、计算和分析性复核等方法。其测试结果和编写的审计报告依据审计部门的评价意见。相关部门改进管理,完善制度,提出强化内控建设措施,防范和化解企业各种经营风险。
参考文献:
[1]庄蓉.中小企业的内部控制浅析[J].会计师2008年08期
[2]汤云为.内部控制评价刍议,新会计,2009年1期
[3]黄辉.对企业内部控制审计的探讨[J].审计与理财,2007(4).
项目风险控制报告篇5
一、风险导向审计概述
1.风险导向审计的定义。所谓风险导向审计,是指以被审单位的风险评估为基础,综合分析评审影响被审计单位经济活动的各因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。
2.风险导向审计的程序。
2.1调查了解有关情况,评估确认预期审计风险水平。内部审计人员运用各种方法对被审计单位情况进行调查了解,如召开座谈会,查阅有关年度档案资料,走访有关部门,进行实地考察等,以评估确认预期审计风险水平。内部审计人员应注重日常对被审单位基础资料的收集。
2.2对报表进行分析测试、评估固有风险,确定审计范围。审计人员根据报表各项目之间客观合理的内在联系运用分析性测试方法,分析各项目的的比率、趋势来调查导常变动和差异。利用初步调查及永久性档案提供的资料和自身经验,评估固有风险。将通过分析性测试出现异常变动和差异的报表项目,或固有风险评估较高的报表项目列入审计范围,作为审计重点,并编入审计计划。
2.3对审计范围内的会计报表项目分别进行控制风险评估。首先,调查了解有关项目的内部控制结构,分析控制环境,相应的控制程序及会计制度,评价内部控制的有效性。进行内部控制测试,根据测试结果评估控制风险。对内部控制的有效性难以进行测试,或按成本效益原则不拟对内部控制进行测试,应将控制风险证估为高水平。
2.4确定检查风险及重要性水平,并据以编制审计方案。
2.4.1根据以上步骤评估得出的量化的审计风险及审计范围内各项目的固有风险和控制风险,确定检查风险。通过检查风险=审计风险/(固有风险×控制风险),可以计算出审计范围内报表项目的检查风险。
2.4.2确定审计范围内报表项目余额的重要性水平。一般实务中,对会计报表总体重要性水平的量化可参考下列指标:①税前净利润的5%———10%;②总资产的0.5%———1%;③所有者权益的1%;④总收入的0.5%———1%。
2.4.3根据已确定的检查风险,确定所需审计数量,编制审计方案。检查风险与证据量成反比,所确定的检查风险越低,限制审计风险以达到期望水平所需的审计证据就越多;反之,检查风险越高,所需审计证据就越少。
2.5实质性审查。在风险导向审计中,通过风险评估,对固有风险和控制风险的测试,将查检风险控制在根据已确定的审计风险、固有风险有控制风险计算出的水平上,以确保审计风险固定在预期水平上。
2.6根据实质性审查结果,得出审计结论。将实质性审查检查出的有错报漏报项目错漏金额同该项目的重要性水平比较,若前者比后者大,则应确认为项目有重要错报、漏报。但同时应注意错漏的性质,若为故意舞弊,涉及合同义务的履行或影响收益变动趋势的,尽管其错漏金额可能未达到重要性水平,也应将其视为重要的错报漏报,在审计报告中加以反映。
二、风险导向审计在财务审计中的具体应用
会计报表审计是企业财务审计的起点和归宿。财务审计主要是对资产负债表、利润表和现金流量表及其所展示的经济业务进行审查。按照风险导向审计的程序要求,在财务审计不同阶段应采用不同的程序,对被审对象进行风险评估。
1.制订审计计划、编制审计方案阶段。在审计准备阶段应对被审计单位基本情况等进行调查分析,以评估确认预期审计风险水平,为制订审计计划和编制审计方案,确定审计范围和审计重点提供依据。重点对以下情况进行调查分析:(1)被审计单位的经营环境,包括所在行业及经济趋势等;(2)被审计单位财务状况及其发展趋势。若被审计单位财务处于困境,如无法清偿到期债务、面临诉讼失败赔款、资金周转不灵等,应评定较低的审计风险;(3)被审计单位以前年度接受审计的情况;(4)被审计单位管理者的履历、处事风格及其变动情况;(5)有关会计、管理人员的业务素质,工作能力。会计、管理人员业务素质高,工作能力强,则固有风险较低,反之则高。编制分析性测试表评估固有风险确定审计范围:(1)分析财务资料各项之间的关系和分析财务资料与非财务资料之间的联系。(2)经济业务的性质与复杂程度。凡涉及现金、存货等实物资产的经济业务的固有风险比不涉及的大;经济业务复杂程度高的固有风险大。(3)相关会计处理的复杂程度。在正常会计处理中易发生错漏的项目固有风险大。(4)项目余额的大小及其变动。余额大或其变化异常的项目固有风险大。(5)确定该项目金额时是否通过评价和判断。通过估价和判断得到的数据,如折旧、预提费用、待摊费用、材料发出成本等,比通过准确计算得到的确切数据的固有风险大。(6)以前年度审计发现问题和报表项目固有风险大。将财务报表分成:销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环和货币资金,分别编制内部控制测试表和风险、控制测试表,进行内部控制测试和控制风险评估。对通过上述分析测试确定审计范围的财务报表项目余额按总收入的0.1%进行重要性水平分配,确定检查风险,编制出审计方案。
项目风险控制报告篇6
关键词:风险导向;“四位一体”内控体系;企业内部管理;闭环管理;管理要求文献标识码:a
中图分类号:F830文章编号:1009-2374(2015)08-Doi:10.13535/ki.11-4406/n.2015.
物流公司成立于2012年7月5日,当年7~12月实现销售收入17亿元,2013年实现销售收入86亿元,2014年实现销售收入176亿元,每年均以200%的速度快速增长。随着业务的快速拓展,外部环境竞争的加剧,公司经营管理面临越来越多的风险,迫切需要打造以风险为导向的内控体系。由此,结合公司现有管理制度,提出了“四位一体”内控体系建设的思路。四位一体,就是以业务流程为基础,将岗位职责、风险评估、流程控制、业绩考核四方面的管理要素进行整合,通过信息化手段将成果固化,实现内控建设、内控评价过程和内控结果的闭环管理,最终达到“风险可控制、责任无盲区、考核全覆盖、管控痕迹化”的管理要求。
1以风险管理为导向
以风险管理为导向建立全员参与、全过程管理、全方位控制的内控体系。在风险识别的基础上,针对风险进行业务流程的梳理和优化,确立了涵盖公司主要业务的流程框架。同时,对每个流程均建立“四位一体”的风险控制标准,将业务流程与岗位职责、风险评估、流程控制、业绩考核紧密结合,确保业务全覆盖、岗位全覆盖。如,以资金管理部部长岗位说明书为例,按照工作内容划分为10项,分别赋予不同的权重,履行不同的部门职能,执行不同的考核指标和考核方式。
2以制度建设为基础
建立风险控制小组工作制度,负责公司资产、业务的风险管理和应对等工作。
风险控制小组坚持集体审议、充分论证、独立表决的审议决策原则。小组成员包括:总经理任风险控制小组组长;公司法律顾问任独立组员;财务部长、市场管理部负责人、合约部负责人任风险控制小组组员。风险控制小组主要职责:指导全公司风险管理体系建设;检查风险管理工作,建立、完善规章制度和操作流程;参加项目评审会,实时监督项目评审过程和业务进展情况;为投融资业务提供业务咨询,对投资项目和核心客户制定多元融资方案;组织召开各业务板块信息交流会,协调各板块业务工作,分析宏观经济形势,提出风险防范的指导性意见。风险控制小组业务审议原则:凡拟提交风险控制小组审议的项目必须经过业务主办部门的实地调研,并出具调查报告,合约部进行审查。各成员在项目陈述和集体讨论结束后,充分独立发表意见。
3以业务流程为纽带
通过业务流程整合内控体系,首先“理清楚”,然后“管起来”,并且要“持续优化”。“理清楚”要求梳理出一套承载内控体系要求的端到端“业务流程”,确保企业员工能够清晰、全面地了解应该如何做事,为“管起来”和“持续优化”打下坚实的基础。首先,基于业务流程的描述,针对内部控制的相关要素建立模型;其次,通过业务流程梳理,建立内控相关要素之间的关联。以应收账款管理作业流程为例,分别从工作要求、量化标准、时间标准、使用表单、负责岗位和稽核部门六个方面明确岗位在流程中的任务和要求,明确关键控制点,实现部
门间业务的顺利接续,从而体现业务流程的纽带作用。
3.1核定及审核垫资额度
3.1.1确定每个工程项目(市场客户)的垫资额度。
第一,工作要求:(1)工程客户垫资额度应在立项报告中经风险评估后审批确认,实际额度原则上不得超过合同约定金额;(2)追加(减)垫资额度应经风险控制小组审批;(3)垫资额度审批方式:在《立项报告》中经风险评估后确认最高垫资额度控制目标。需要追加额度的,由工程部提交《月度应收账款监察报告》交风险控制小组成员审批。
第二,量化标准:每个工程项目(市场客户)均应确定垫资额度。
第三,时间标准:收到申请即刻处理。
第四,使用表单:《立项报告》《月度应收账款监察报告》。
第五,负责岗位:业务员。
第六,稽核部门:战略发展部。
3.1.2业务员在提出需求申请时应确认是否存在超垫资额度发货的情况。
第一,工作要求:(1)业务员应在需求申请表上注明垫资额度及尚可发货金额,经审批后提交销售计划员,业务员及其上级对数据的准确性负责,销售计划员应复核该记录是否完整,对申请出货金额超过尚可发货金额情形的,销售计划员应将需求申请退回;(2)业务员未注明垫资额度及尚可发货金额,或者销售计划员未复核准确导致超额度发货的,应对销售计划员进行处罚,且销售计划员对出现呆账及坏账损失承担赔偿责任。
第二,量化标准:100%执行。
第三,时间标准:收到申请即刻处理。
第四,使用表单:《需求计划审批表》。
第五,负责岗位:业务员、销售计划员。
第六,稽核部门:战略发展部。
3.1.3每月业务部门和财务中心应对垫资额度进行检查,并将检查结果记录于监察报告。
第一,工作要求:凡未经风险控制小组审批导致超额度发货的,应对业务部门、计划部(负责审批需求申请)、财务中心相关责任人员进行处罚,出现呆账及坏账损失的,由责任人员及风险控制小组成员承担全部赔偿责任。
第二,量化标准:100%执行。
第三,时间标准:在每月应收账款复盘会议前完成。
第四,使用表单:《月度应收账款监察报告》。
第五,负责岗位:工程部部长、会计核算部部长。
第六,稽核部门:战略发展部。
3.2月度应收账款复盘
3.2.1每月业务部门对所有应收账款明细进行复盘,总结经验,制定下月回款及管制计划,提交《月度应收账款复盘报告》。
第一,工作要求:(1)严格按照复盘报告格式及要求进行复盘,客观真实反映实际情况,不得遗漏;(2)除金额很小的零星应收账款(尾款)外,均应针对每笔应收账款编制《月度应收账款复盘报告》。
第二,量化标准:100%执行。
第三,时间标准:每月5日前。
第四,使用表单:《月度应收账款复盘报告》。
第五,负责岗位:业务员、工程部长。
第六,稽核部门:战略发展部。
3.2.2财务中心每月对业务部门上月提交的《月度应收账款复盘报告》确定的回款及管制计划进行检查、分析,提交《月度应收账款监察报告》。
第一,工作要求:(1)严格按照复盘报告格式及要求进行复盘,客观真实反映实际情况,不得遗漏;(2)监察报告应重点关注应收账款总体发展趋势、管理水平、呆账管理、应收账款管制手段、绩效考核、复盘会议等情况,发现存在的问题并提出建议。
第二,量化标准,100%执行。
第三,时间标准:每月7日前。
第四,使用表单:《月度应收账款监察报告》。
第五,负责岗位:会计核算部部长。
第六,稽核部门:战略发展部。
3.2.3由总经办组织月度应收账款复盘会议,审核、讨论财务中心提交的《月度应收账款监察报告》和业务部门提交的《月度应收账款复盘报告》,形成决议执行。
第一,工作要求:复盘会议首先通报、讨论财务中心提交的监察报告,然后针对业务部门提交的月度应收账款复盘报告逐一审核、讨论、决议。复盘会议对应收账款的管制及回款工作安排、决议要具体落实到每一笔应收账款。
第二,量化标准:100%执行。
第三,时间标准:每月10日前。
第四,使用表单:《月度应收账款复盘报告》《月度应收账款监察报告》。
第五,负责岗位:总经理及参与高管、工程部长、业务员。
第六,稽核部门:战略发展部。
4以“五确认一兑现”为措施
在内控体系建设和运行过程中,以确认目标、确认问题、确认措施、确认效果、确认责任和最终兑现奖惩为具体措施,通过制度规定和绩效考核方式实行责任到人及高管责任捆绑原则,切实将战略目标层层分解到位、岗位责任逐级落实到位、考核激励逐项兑现到位。
如根据《应收账款管理制度》规定,高管及责任人员对应收账款的管理责任根据应收账款实际情况在每年度绩效考核中确认,对出现呆账、逾期账款、坏账等设定责任分担制度,责任承担方式分为扣款、罚款、赔偿损失等等。目前,公司薪酬模式为“基本工资+岗位工资+绩效工资”,实现“达成目标、挖掘问题、分配利益、激励人员”的目的。具体绩效考核指标:
职能部门业务部门绩效平均数权重60%,业务部门内部考核绩效数权重40%
各项考核指标及权重将随着公司经营目标的阶段性调整而适时调整。
5结语
项目风险控制报告篇7
中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的CoSo报告:即《企业风险管理——总体框架》(enterpriseRiskmanagement,简称eRm)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。
在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。
二、CoSo委员会新报告《企业风险管理——总体框架》解读
内部控制理论是随着企业内控实践经验的丰富而逐渐起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册师协会(aiCpa)、美国会计学会(aaa)、财务经理协会(Fei)、国际内部审计师协会(iia)和管理会计师协会(ima)五大学会共同组成的treadway委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份的企业风险管理(enterpriseRiskmanagement,eRm)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—oxleyact)的相关要求扩展得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面:
(一)企业风险管理对内部控制内涵的发展
1992年CoSo报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。
这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原CoSo报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(Gao)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯。鲍雪(CharlesBowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”(CraigJamesL,1993)但当时的CoSo主席罗伯特。L.梅(RobertL.may)则认为,保障资产的考虑更适合作为一种经营控制(StevenJRoot,2004)。由于美国审计总署的影响巨大(例如可能使银行等认为CoSo报告与其无关),如果CoSo报告不根据其要求进行修改的话,从一开始就可能面临被抛弃的命运。最后妥协的结果是,在1994年修订后的报告上,提出了“保障资产的内部控制”的概念,即“预防未经授权的获得、使用或处理资产,…”。可见,这一概念是非常勉强地运用在内部控制框架中。而新的eRm框架非常明确了对保护资产概念的运用。
新报告认为“保护资产”或者“保护资源”是一个广义的概念,资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此,广义的“保护资产”目标范围集中为特定的报告目标,使得保护资产适用于所有未经授权的获得、使用、处置资产。
又如,内部控制与管理活动有什么区别?在原报告中并不清晰。有些对错误纠正的管理行为,并不包括在原有CoSo报告的内部控制活动之中。而新的eRm框架已经将纠正错误的管理行为明确地列为控制活动之一。
eRm框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。对比原来的定义,eRm概念要细化的多。由于新Co.So报告提出了风险偏好、风险容忍度等概念,使得eRm的定义更加明确、具体。同时,eRm又涵盖了内部控制所有合理的内容。
(二)企业风险管理对内部控制目标的发展
在1994年《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。eRm整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原CoSo报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
除此之外,新CoSo报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
(三)企业风险管理对内部控制要素的发展
1994年CoSo报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。eRm框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,eRm框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和eRm框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析(朱荣恩,贺欣,2003)。再如,由于原报告仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息,这就对管理层将巨量的信息处理和精炼成可控的信息(actionableinformation)提出了挑战。
原CoSo报告仅提出风险识别,但是并没有区分风险和机会。eRm框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内控五要素发展为风险管理八要素。
(四)相关角色和任务的变化
新老CoSo报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和eRm框架中,董事会都提供管理、指引和核查。虽然董事主要提供监督,但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素,也是企业风险管理重要因素。eRm框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。以前,当公司出现丑闻时,很多人问:“管理层怎么让这发生的”?现在,恐怕要问:“董事会怎么让这发生的”?(DanaRhermanson,2003)在新报告中,Ceo必需识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系(Georgematyjewiczetal,2004)。一旦设定了目标,管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。
在eRm框架中,内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革eRm.对于内审人员来说,最大的挑战是在eRm中扮演何种角色?很多内审人员可能被要求提供eRm的和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立eRm体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。(w.R.Kinveg,2003)内审人员职责的另一个变化是从原来对CFo和内审委员会负责,现在可能要对CFo、内审委员会和风险主管(riskofficer,CFo)负责。
在eRm框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。
三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件
中国航油(新加坡)股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。在此期间,新加坡公司总裁陈久霖擅自扩大业务范围,从2003开始从事石油衍生品期权交易,同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外,签订了合同。陈久霖买了“看跌”期权,赌注每桶38美元,没想到国际油价一路攀升——2004年10月以后,新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同,中航油需向交易对方(银行和机构)支付保证金,每桶油价每上涨1美元,中航油新加坡公司要向这些银行支付5000万美元的保证金,其结果导致中航油现金流量枯竭,实际损失和潜在损失总计约5.54亿美元。(许俊,2004)
事实上,陈久霖这种石油期权投机交易,其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业,在境外市场只能进行套期保值,不能进行投机业务。1999年6月2日国务院的《期货交易管理暂行条例》,也规定了国有企业的期货交易仅限于从事套期保值业务(且命令禁止场外交易),并要求期货交易总量应当与其同期现货交易量总量相适应。
然而,中航油从事以上交易时,一直未向中国航油集团公司报告,而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告。即便如此,中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为,中航油开始向上级公司提供假账,2004年6月,中航油就已经在石油期货交易上面临3580万美元的潜在亏损。但公司仍然一意孤行,继续追加了错误方向“做空”资金,但在财务账面上没有任何显示。由于陈久霖在场外进行交易,集团通过正常的财务报表没有发现陈久霖的秘密,新加坡当地的监督机构也没有发现其有违规现象,因此,才使得中航油事件从一个并不很大的失误开始,酿成为石破天惊的大案、要案。根据上述中航油事件,我们对比eRm框架,认为有如下几个方面非常值得关注:
(一)关注企业风险比关注企业细节控制更为重要
eRm框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,包括中航油公司在内,几乎所有的公司都有一大套管理制度。这些制度大到包括对外投资、小到包括差旅费报销等,应有尽有。因此,企业董事会与管理层认为,这些制度的贯彻与执行,就是内部控制的所有内容。其实,企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求目,如有些企业在差旅费报销的规定上,长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。所以,eRm框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,将风险管理作为内部控制的最主要内容,这是一个革命性的变化。事实上,中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业,说明该企业确实在细节方面的内部控制做得非常周到。但是,从事后暴露出的结果来看,恰恰是在经营风险管理上出了问题。所以,eRm框架要求董事会将主要精力放在风险管理上,而不是所有细节的控制上,是非常值得关注的变化。
(二)执行eRm框架比设计内部控制框架更为重要
应该说,任何一个公司都或多或少存在一定的内部控制,否则,公司是无法正常运行的。事实上,中航油公司本身也有一整套内部控制制度,为了追求制度的完美,他们还聘请了国际四大会计师事务所之一的安永会计师事务所制定了《风险管理手册》,在该手册中规定:损失超过500万美元,必须报告董事会,并立即采取止损措施等。然而,当陈久霖在处理期货头寸的过程中,这些规定的流程成为形式,设定的风险管理体系并没有发挥任何作用。由此可见,公司在设计内部控制时,是花了相当大的精力,而在如何保证实施制度方面,则缺乏应有的措施。这一点,eRm框架有明确指示。为了保证所设计的制度能够得到执行,在eRm框架中的第七与第八个要素中,再一次强调了通过控制活动的设置,建立独立的监督部门来保证框架实施的可行性。这二要素包括建立、实施某些程序,保证有效进行风险反应。控制活动在整个组织的各个层级和各种活动中都发生,包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等不同方法。而监督则指企业整个风险管理过程均应被监督,并且在必要时对所发现的偏离进行必要修正。或者通过正在实行的管理活动以及分别评价风险管理过程,双管齐下来监督其他要素的有效性。这些内容均是监督要素的核心。事实上,作为一个企业组织,最为忌讳的是,在开展业务过程中出现暗箱操作行为,这往往是发生舞弊的前奏。因此,将所有业务活动分离出授权、批准、执行、记录及监督,并将这些职能分别授于不同部分执行,形成一个相互牵制、相互制约的过程,是内部控制的精髓。从中航油事件来看,陈久霖作为一个管理人员,如果其有授权功能,按照控制活动原则,就不应有执行的功能。即使其有执行功能,按照控制活动原则,他就不应有检查与监督功能。
但是,在陈久霖越权从事石油衍生产品投机过程中,没有任何阻拦与障碍,而在事后还能一手摭天、隐瞒真实信息,足见该公司在职能分工方面,特别是控制活动与监督这两个要素存在严重。由于存在这些缺陷,所以就很难保证已有设计好的内部控制能够到执行。通常,在比较规范的海外公司中,为了保证内部控制的实施,一般来说,除了财务上必须既向公司总经理汇报,又应向董事会汇报外,还有一个不受总经理制约的内部审计委员会。通过这些机构的设置,以保证董事会不仅有知情权,还有干预权。使得公司的运作是以股东利益最大化为最终目的。所以,从中航油事件中我们得到这样一个教训,保证eRm框架的实施,比设计一个内部控制更为重要。
(三)注意eRm框架中的新要素:内部环境、目标设定及事件设别
对比传统的内部控制,新eRm有了四个要素方面的变化。这四个要素的变化,对重新认识中航油事件,可能有一定的借鉴意义。
1.将控制环境改变为内部环境
传统内部控制将第一要素定义为控制环境,而新eRm框架却将其改为内部环境,这一要素的变化体现了风险管理的范围更大了,应该关注的环境视野比过去更广了。在该新要素中,强调了内部环境包含了一个组织的气氛,形成一个组织的人员识别和看待风险的基础。内部环境主要包括:风险管理和风险偏好;员工诚实性和道德观以及企业经营环境。内部环境要素确立了企业的风险文化,它既要认可预期发生的事项,也要认可未预期发生的事项。这与传统控制环境要素中只关注与控制有关的事项相比,有了更丰富的内涵。从中航油公司的内部环境来看,确实存在非常严重的问题。陈久霖败走狮城,技术层面的原因非常简单。但是深入挖掘,企业的内部环境起了很大的作用。作为创业性的管理层为主导的企业,经常会发生“挟企业过去优秀业绩,以令股东”的管理氛围。这样的企业文化、对待风险控制的态度,往往以管理层好恶为宗旨。中航油管理层在期货交易中,根本没有意识到风险,而是相信自己的判断:油价冲高后必然会落。而在事情完全败露以后,陈久霖还认为:“只要再有一笔钱,就能挺过去,就能翻身。”Ceo如此看待风险,其独断专行之霸气,其企业内部环境之恶劣,可见一斑。而集团公司由于过于看重陈久霖过去为集团公司所做的贡献,因此,即使知道了陈久霖因场外期货交易发生了严重损失,不仅没有果断采取止损措施,减少亏损。反而通过出售部分股权,进一步融资再次进行投机,使中航油损失达到了天文数字。所以,极端的风险偏好、畸形的风险文化和畸形的管理结构体现了中航油极为恶劣的内部环境。因此,在考虑由创业性管理层建立起来的公司文化时,我们应该专门制定出一套符合国情的新企业文化,不然的话。类似于中航油事件的灾难还会发生。这是新的eRm给我们的启示。
2.目标设定及事件识别要素的创新
在传统内部控制定义中并没有这二个要素。但是,CoSo报告在调查许多大公司舞弊案中发现,许多内部控制的失败,往往是在一开始确立公司目标时就已经铸定了。与此同时,公司在经营过程中,对什么事件应采取什么对策并不清晰,特别是高风险事项,也采用一般程序来处理,这也是导致公司内部控制失败的主要成因之一。所以,在新的eRm框架中,特别设置了这二个新要素。对比中航油事件,我们觉得,确实有独特的意义。
一般来说,公司在认识到其业绩的潜在事项之前,必须有一定的目标。eRm使得管理人员能适当的设立目标,并且使选择的目标能支持、连接企业的使命,并与其风险偏好相一致。该要素适用于管理层在确立目标时考虑风险战略。目标设立形成了一个组织风险偏好——从高处展望管理层和董事会将接受多大的风险。从中航油的史来看,从1997年起,在经历了两年亏损和两年休眠期后,恢复运营之后的中航油先后进行了两次战略转型:第一次转型是从一家船务经纪公司重新定位为以航油采购为主的贸易公司,第二次转型是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业,成为以中国为依托的石油类跨国企业。2001年,在母公司支持下,中航油以中国航油垄断采购上的概念成功登陆新加坡资本市场。然而,中航油总裁陈久霖并不满足于单纯的油品现货贸易。在其推动下,中航油从上市伊始就开始涉足石油期货。在取得初步成功之后,中航油公司管理层在没有向董事会报告并取得批准的情况下,无视国家法规的禁止,擅自将企业战略目标移位于投机性期货交易,这种目标设立的随意性,以及对目标风险的藐视,最终将企业陷入惊涛骇浪之中。事实上,中航油集团最初在海外设立上市公司的初衷是非常明确的,就是为了取得一个价格相对平稳的国际油价。但是,这一目标最后却被陈久霖擅自改变为通过投机性场外交易来博击利差的主要手段。可见,目标的随意更改,导致了中航油最终受到毁灭性的打击。因此,在风险防范方面,目标设立起到非常大的作用。
其次,一个组织必须识别影响其目标实现的内、外部事项,区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险。可能有正面影响的事项代表了能抵消负面作用的机会,通过事项识别,能引导管理层战略或者目标始终能保持不被偏离。2002年中航油的年报显示其当年的投机交易盈利,2003年下半年,中航油进入石油期权交易市场,到年底也赚了钱。事实上,这正是事项识别中的机会与风险问题。
当我们看到该事项为公司赚取了大量利润的同时,应该清醒地认识到,该事项可能产生的巨大风险。从最后结果来看,中航油最终的巨亏也是因为期货交易。这里就涉及到企业应当如何正确区分机会和风险问题了。如果陈久霖能认清形势,在赚取巨额利润时,清醒地意识到可能产生的风险,或许中航油的会改写。因此,利用事项识别技巧(例如事项目录、流程、主要事项指针等)来区分机会和风险,显得十分重要。这也是新报告中符合要求的一个重要要素。
四、《企业风险管理——总体框架》对我国企业的借鉴意义
《企业风险管理——总体框架》对我国其他企业也有很多可供借鉴的地方。如近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件,或多或少都与企业风险管理缺失有关:2004年12月17日,内蒙古自治区检察院对内蒙古伊利实业股份公司董事长郑俊怀等5名高管人员的问题正式进行立案调查,其主要原因是郑俊怀等人在2000年和2001年间未经董事会同意,先后挪用1590万元和1400万元,分别给了呼和浩特华世商贸有限公司和启元有限责任公司用于经营。事后得知:华世商贸公司是伊利公司的第五大股东,它是由郑俊怀、杨桂琴等人以亲属名义注册的私人企业;而启元公司企业法人就是董事长郑俊怀。无独有偶,2004年11月30日,创维数码董事局主席黄宏生,无视公司外部股东利益,绕开现有的董事会,私自将上市公司款项打人自己创办的企业,因此涉嫌盗取公司资金4800多万元,被香港廉政公署拘捕。而老牌上市公司四川长虹则折戟国际市场——因其合作伙伴美国apex家电进口公司拖欠4.6亿美元巨款而遭受巨大坏账损失,也使得舆论评价四川长虹风光不再。在该案例中,虽然apeX公司是长虹在美国最大的合作伙伴,但是在确定信用政策时,长虹考虑坏账风险的策略是令人难以理解的。因为,长虹是在a:peX公司拖欠国内多家公司的巨额欠款情况下,还与其签订了巨额赊销合同,如果长虹有合理的内部控制制度,这些情况或许不会发生。
上述案例的发生,或是董事会功能缺失、或是有内部控制制度但在实际业务中没有得到应有执行、或是根本就没有制度。因此,认真eRm框架中的所有内容,并将其与企业经济业务紧密结合起来,我们认为对我国企业内部控制制度的重新调整,有一定借鉴意义,也为我们在当前环境下如何建立起一套适合中国国情的内部控制措施,提供了一个新的基础。例如,新框架要求,以后再发生类似高级管理人员舞弊问题时,不是问总经理在哪儿?而是要问董事会在哪儿?因此,发挥董事会在内部控制方面的作用是新框架中的一个重要内容。另外,企业风险管理要求高级管理人员将企业风险、而不是所有细节作为控制的主要对象,是新框架中又一主要变化。因此,我们应当关注CoSo报告中有关eRm的新发展,这对我们建立一个的企业制度是大有裨益的。
主要
储稀梁2004.CoSo内部控制整体框架:背景、内容、理论贡献与启示,金融,6.
刘明辉2004.加拿大规范企业内部控制的实践与特点。中国审计,6
许俊2004.探密中航油事件:监督缺位下的巨额国有资产流失。转引自news.china.com/zh_cn/finance/11009723/20041203/11994126.html.
朱荣恩、贺欣2003.内部控制框架的新发展——企业风险管理框架。审计,6.
anonymous. 1999. CoSoreleaseslandmarkstudyonfraudulentfinancialreporting.Financialexecutive. morristown:Vol.15,iss.3.
anonymous.Dec2004.enterpriseRiskmanagement:neweRmmodelisessentialtoFinancialReportingControls.ioma'sReportonFinancialanalysis,planning&Repotting.newYork:Vol.04,iss.12
Scott,october2004,CoSoeRmReleased,internalauditor
Benson,tony.1975.CHanGinGneeDSoFinDUStRY.accountancy.London:FeB.Vol.86,iss.978;p.66.
Christopheremandel.Dec15,2003.CoSogivesagoodstarttoimplementeRm.Businessinsurance.Chicago:。Vol.37,iss.50;p.12.
Craig,JamesL.1993,acallforleadership.CpaJournal,aBi/inFoRmGlobal;4thpg.6.
DanaRHermanson,nov/Dec2003.tHeimpLiCationSoFCoSoSpRopoSeDeRmFRamewoRK,internalauditing;aBi/inFoRmGlobal,p41-43.
Davidwood,ScottRandall.nov15,2004.implementingeRmrequiresintegratedapproach.oil&GasJournal.tulsa:。Vol.102,iss.43;p.28.
Denisemenglish;DianeKSchooley;maryFalien,mar/apr2004;19,2.tHepCaoB$inteRnaLContRoLpRaCtiCeS:aCoSo-BaSeDReView,internalauditing;;aBi/inFoRmGlobal,pg.37.
ellenmHeffes.may2002.CoSoStudiesenterpriseRisks,Financialexecutive.morristown:Vol.18,iss.3;p.16.
enterpriseRiskmanagement-integratedFramework,coso.org.
FrankCminter,Feb2002;83,8;DoyourememberCoSo?StrategicFinance;aBi/inFoRmGlobal,p.8~9.
Georgematyjewicz,JamesRDarcangelo. oct2004BeyondSarbanes-oxley. theinternalauditor. ahamonteSprings:Vol.61,iss.5;p.67-71.
Kelley,thomasp;Bowsher,Charlesa,Jul1994;theCoSoreport:anewaddendumresultsinGaoendorsement,Journalofaccountancy;aBi/inFoRmGlobal,pg.18.
Larrywhite.nov2004.managementaccountantsandenterpriseRiskmanagement.StrategicFinance.montvale:Vol.86,iss.5;p.6~7.
项目风险控制报告篇8
校(院)委会:
校(院)2019年度内部控制报告编报工作已基本完成,现将有关情况汇报如下:
一、2019年度内控报告编报工作基本情况和主要变化
我XX行政事业单位内控报告编报工作始于2016年,每年按照XX财政厅要求在4月底前报送上一年度的单位内控报表。今年由于受疫情影响,编报工作延后至7月份,并要求于8月30日前完成报送。XX财政厅于2020年7月1日了《关于做好2019年度行政事业单位内部控制报告编报工作的通知》(辽财会〔2020〕154号)(以下简称为《通知》),并于7月8日开展了线上编报工作培训。
(一)基本情况
单位内部控制编报内容主要包括内控领导小组和工作小组的组成和运行情况、内控体系建设情况及权利运行制衡机制建立情况;预算业务、收支业务、政府采购业务、国有资产业务、建设项目业务和合同业务的制度和流程图的建立和更新、工作完成情况和管控情况的相关数据;内控信息化建设情况等。其中明确要求内控考核评价结果应用于:完善内部管理、监督问责和领导干部选拔任用。
2019年度内控报告编报系统共含11张表格。11张表格填写完成后,系统将对单位内控情况进行评价,分为优、良、中、差四个等次,并自动生成本单位《2019年度行政事业单位内部控制报告》,提出单位内控工作中存在的问题,同时针对问题提出建议。
(二)2019年度编报内容的主要变化
1.编报软件由单机版改为网络版,优化填报方式,简化填报程序。
2.增加内控评价事项。要求单位填写是否自行或委托第三方对单位内控体系建立与实施情况进行检查,并出具评价报告的情况。
3.强调加强结果应用和事后监督指导。2019年行政事业单位内控报告编制完成后,XX财政厅将聘用专业团队抽取XX直和市县(区)各100家行政单位进行内控报告核查分析,并对核查结果进行通报,总结推广先进典型。
二、校(院)2019年度内控报表编报工作进展情况
XX财政厅《通知》下达后,财务审计部在财务内控工作领导小组和分管领导的指导下,向办公室、人力资源部和资产管理部等部门传达了文件精神,共同研究制定了工作实施方案,分别落实相关工作,明确按方案开展工作。各部门指定专人就相关工作与财务审计部沟通协调,并于7月22日前向财务审计部报送相关材料和数据。财务审计部根据各部门提供的数据和佐证材料进行了预填报,并将预填报过程中遇到的疑难事项与XX财政厅沟通。预填报完成后,系统自动生成内控报告,整体初步评价等次为“中”。
三、2019年度内控工作存在的问题
预填报之后,内控报告填报系统自动生成的校(院)《2019年度行政事业单位内部控制报告》(以下简称《内部控制报告》)指出,2019年我校的内控工作存在以下三个问题:
一是存在单位风险评估覆盖范围不全面的问题。由于2019年度我校未进行全面的内控风险评估,只开展了资产类清查评估工作,且我校(院)内部控制信息化尚未开展,因此风险评估覆盖范围不全面。
二是存在项目支出绩效目标设定比例不高的问题。由于教师课题费、基建项目等不需向XX财政厅报绩效目标,因此在2019年度决算报表中我校(院)预算编制范围内全部预算项目数为7个,而我校(院)实际完成绩效目标申报项目数为2个,分别为干部教育和教育教学,从而导致项目支出绩效目标设定比例不高(28.57%)。
三是存在内控信息化系统建设问题。
由于2019年度校(院)内部控制信息化建设尚处于探索、调研阶段,内控信息化系统尚未建立健全,因此存在以下两个问题:
1.未建立健全各业务管理内部控制信息系统;
2.内部控制信息系统未全部实现互联互通。
四、下一步工作计划和建议
我部根据内控报告评价结果对校(院)内控工作存在的问题进行分析,总结工作经验,结合校(院)工作实际,制定下一步工作计划和建议如下:
一是继续完善内控体系,夯实风险防控基础。建议结合校(院)制度建设年的工作成果和工作实际,对校(院)现有内控体系查缺补漏,进一步完善内控体系建设。同时根据《内部控制报告》的建议:“单位每年至少开展一次内部控制风险评估工作,且评估范围应全面覆盖单位和业务层面。”拟委托第三方对校(院)开展全面的内控风险评估工作,加强对内控建设工作的宣传,提高各部门对内部控制工作重要性的认识。
二是以信息化建设为契机,推动内控体系的建设与完善。内部控制信息化是内部控制制度实施与落地的重要途径,通过利用信息化手段来提升内部控制管理的集约化和科学化,从而提升内部控制管理水平,保证各项活动的合法合规和资金的安全可控,实现内部控制的程序化与常态化。
项目风险控制报告篇9
内部审计的本质是经济控制,是一种独立、客观的保证工作,同时具有监督职能、鉴证职能、评价职能、咨询服务职能和增加组织价值和改善组织运营的服务目的。体制的合理性是保证内部审计的独立性、发挥其服务效用、实现其服务目标的基本保障。纵观内部审计的发展和基于公司管理需求的不同,内部审计的管理体制不尽相同,在机构设置方面存在隶属于监事会、董事会、总经理、财务部等不同模式,并且在审计报告的汇报路径方面也各不相同,从而导致内部审计的产出和所发挥的作用也大相径庭。在我国企业内部审计中,审计机构设立在董事会下或总经理领导下,并将审计结果汇报董事会的管理模式和汇报路径,比较有利于发挥内部审计在公司治理中的作用,促进企业价值增值。因此,基于为企业增加价值的需求和审计目标,需要通过体制的转型来保证内部审计的独立性、信息传递的有效性和审计成果作用的充分发挥。
二、内部审计模式的转变
随着内部审计的发展,审计模式已经从对基于财务会计和经营活动的财务账目审计和制度审计等传统审计模式,转变为有利于增加审计增值机会的风险导向型审计。内部审计需要关注的风险主要有审计主体的风险和审计客体的风险,即审计风险和企业风险。审计风险包含重大错报风险和检查风险。企业风险是指能够导致企业无法实现其业务目标和战略计划的威胁、潜在因素或一系列事件,企业风险按风险来源划分,可分为外部风险和内部风险,从风险影响范围划分,可分为单一风险和系统性风险。而内部审计实施的风险导向型审计,则是建立在控制审计风险的基础上,对企业风险的识别和评估。审计模式的转变不仅是审计内容的转变,更是审计思维和理念的转变。风险导向型审计有别传统审计从操作层面出发关注控制的全流程审计,而通过评价内部控制来识别和评估风险水平,综合考虑风险影响程度、影响频率等因素确认审计范围和重点,并据此识别和确认重要的、系统性的风险。因此,实施建立在风险管理框架基础上,对风险管理的有效性和适当性进行确认和提供咨询的内部审计模式的转变,是增加审计增值机会,满足审计需求的可选择路径。
三、内部审计技术和方法的革新
企业因所处行业、规模大小、业务繁简以及管理需求不同,所实施的审计项目类型也各有不同。建立在以提供价值增值服务目的基础上的审计项目更需要审计供给方运用新的审计理念,通过不断创新审计技术和方法,最大限度的满足需求方对审计工作的更高要求。在以价值增值为目的的风险导向型审计模式下,审计需要根据公司经营策略和管理模式,综合考虑公司决策层和管理层关注重点以及风险承受能力,对内部控制流程进行梳理分析,制定合理有效的风险评估标准和评估办法,并利用风险矩阵、风险图等方式,形成能够有效帮助审计人员实施风险导向型审计的审计工具。集团化企业在开展基于风险导向的系统性内控审计、专项审计等审计项目时,需要从战略观、系统观的角度出发,揭示系统性、重大性问题,从而避免片面的、局部的审计发现。因此,在审计方法上可以尝试将单一揭示基层被审计单位问题,或仅对基层被审计单位发现问题进行简单汇总的自下而上的审计方法,转变为基于系统性、重大性风险导向的自上而下的审计方式,做到宏观着眼、微观入手在审计技术上则需要掌握计算机辅助审计、远程审计、跟踪审计等现代审计技术,充分运用收集整理、分析验证等基于计算机辅助审计技术的大数据审计方法等。通过审计技术和方法的革新,提高审计的工作效率和工作成效,实现审计的增值价值。
四、内部审计质量控制
需求者都希望获得优质的产品和服务,而审计需求方希望获得的便是优质的审计服务和审计成果。审计服务和成果的质量不仅仅是审计报告等结果性文书的质量控制,更涉及审计计划、审计方案、审计底稿、审计报告等贯穿于审前、审中、审后等多方面、各环节的全流程质量管理。一是审前准备阶段需综合考虑各方需求,根据决策层和管理层的经营管理需求、监管规定等内外部需求合理安排涉及内控审计、专项审计、经济责任审计等不同类型的审计项目计划;根据被审计对象的内部控制情况、风险评估等前期分析制定重点明确、具有针对性和可操作性的审计方案。二是审中实施阶段可通过后台技术支持和跟踪、审计底稿分层复核等控制措施对审计工作的实施进度、审计工作的完成质量进行监控和指导。三是审计报告阶段可通过小型业务会议讨论、重大项目审议等机制对不同类型、不同规模的审计项目报告进行审议,通过建立分层审核机制对审计报告的质量进行控制。
五、内部审计成果
利用审计工作获得审计需求方的高度认可、审计建议被有效采纳、审计成果得到充分利用是审计增值价值的主要体现。审计报告作为审计成果的主要载体,不同类型的报告因不同的审计目的发挥着各自的作用。如:内控审计报告结果有助于改善公司内部控制流程;专项审计报告结果为决策层和管理层制定重大经营决策提供详实、可靠的信息;经济责任审计报告结果为领导干部考评和提拔任用提供客观的评价依据等。此外,审计成果还可以通过审计专报、审计提示、审计警示等不同载体,及时、有效的向审计需求方传递有价值的审计信息。
项目风险控制报告篇10
关键词:商业银行;内部审计项目;质量控制
内部审计作为我国商业银行内部控制的第三道防线,其目的是为增加组织的价值和改进组织的经营。为使内部审计能充分发挥作用,必须对内部审计项目进行有效的质量控制。
一、我国商业银行内部审计项目质量控制的涵义
4.审计报告的质量控制
审计报告是审计监督活动的“产品”,是实施审计后,对审计项目做出审计意见的书面文件,是审计风险的最终载体,要想提高审计项目的质量,重视审计报告的撰写是非常必要的。审计报告应当客观、完整、清晰、及时、具有建设性,并体现重要性原则。审计报告质量控制的关键是复核审定和最终审定控制。审核重点包括五个方面:一是审计报告是否以审计底稿为基础,问题事实是否清楚,证据是否确凿。对审计底稿不能充分支持审计报告、但必须在报告中揭示的情况,责成审计组继续深入检查,将工作底稿补充完整。二是审计报告是否以法律法规为准绳,引用法规条文是否有效、准确。三是审计报告是否以实事求是,客观公正为原则,问题定性是否正确,评价是否到位。四是审计报告是否以帮、促为出发点,审计建议是否可行,对被审计单位目前或未来的经营管理活动是否具有指导意义。五是审计报告结构是否合理,报告的层次是否按问题的重要性排列,用词是否恰当,审计报告作为专业文书,应切忌用华丽辞藻或修饰的方法等。
5.审计项目后期及后续的质量控制
做好以下项目后期及后续的质量控制,对于提升以后项目的质量具有重要作用。
(1)认真开展项目总结。每一个审计项目结束后,项目组长要认真组织开展项目总结,提出本次项目开展中的不足并指明今后类似项目中应注意的事项。审计总结是内部审计部门的宝贵财富,对今后的审计工作有极强的借鉴和指导意义,有利于不断提高审计项目质量,降低审计风险,提高审计效率。
(2)后续审计质量控制。后续审计是内部审计人员用以确认管理层针对已报告的业务发现和建议所采取的行动是否适当、有效和及时的过程。为保证后续审计的质量得到控制,首先,应将后续审计的责任在内部审计部门的书面章程中得到明确。其次,在后续审计中,审计人员应重点关注审计发现问题的风险是否得到控制,加强审计人员对风险接受程度的准确判断,以规避审计风险,保证项目质量。
6.商业银行内部审计项目质量控制的其他配套措施
(1)建立审计项目督导的平行作业机制。审计项目督导工作的好坏直接关系到内审项目质量的高低。针对目前商业银行内部审计由于受人员、机构编制等因素的制约,审计项目的督导缺乏实质内容,仅仅是对审计方案和审计报告做象征性复核,在深度和广度上还不能达到项目质量控制得要求。因此,应建立审计项目督导的平行作业机制。明确审计项目的督导工作应贯穿于项目的始终,保证对项目各环节督导的质量控制。
(2)不断完善审计绩效考评机制,引导审计项目资源合理配置。绩效考评的目的本身是奖勤罚懒,但在商业银行内部审计部门实际运行的情况看,由于内部审计部门基本采用矩阵式组织方式,一个审计项目中的审计人员受本科室和项目组的双重领导,而这双重领导出于各自利益出发,可能会将不具备胜任能力的审计人员选入项目组,这势必影响审计项目的质量,加大审计风险。因此,内审部门应不断完善审计绩效考评机制,引导审计项目资源合理配置,保证审计项目的质量控制。
综上所述,商业银行内部审计只有不断提高项目质量的控制水平,才能真正实现内部审计质量的整体提升,从而有效发挥内部审计的作用。