风险自评报告范文

时间:2023-04-12 05:05:17

导语:如何才能写好一篇风险自评报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

风险自评报告

篇1

(一)动员部署阶段工作情况(30分,自评分28分)

1、建立健全组织领导机构。局党组召开会议专题研究部署了廉政风险防控工作;成立了领导小组并有一名领导班子成员分管;设立了廉政风险防控工作办公室并有专人办公;制定了县商务局廉政风险防控工作方案,自评分10分。

2、党组主要领导履行第一责任人职责、分管领导具体负责、纪检监察机关发挥组织协调作用。局党组书记、局长亲自研究、动员部署此项工作;分管领导定期协调解决工作中的问题;对基层单位及部门开展了两次以上的监督检查,自评分10分

3、宣传发动工作贯穿始终,营造良好舆论氛围。局党组及时召开了动员会;在整个工作过程中遇到问题及时召开推进会,共召开推进会两次;组织全体工作人员开展了专题业务培训;在本单位的“商务之窗网站”设立了专题网页,自评分8分

(二)重点推进阶段工作情况(50分)

1、清权确权(20分,自评分20分))

(1)按照有关法律法规及“三定方案”,对涉及商务部门权力的事项进行了全面清理。自评分8分。

(2)详细编制了内部及外部职权目录。自评分4分。

(3)根据职权目录认真绘制了内部及外部权力运行流程图。自评分4分。

(4)以印发文件、制作展板方式并在政府信息公开网上公开公示了本单位职权目录和权力运行流程图。自评分4分。

2、排查风险点,确定风险等级(15分,自评分15分)

(1)排查风险点。风险排查按照单位、部门和岗位三个层面进行;党政正职、领导班子成员、中层以下干部全部进行了风险排查,无人员遗漏;风险排查紧紧围绕“三重一大”进行排查。全局共排查领导岗位3个,其他岗位3个,内设机构3个,自评分10分。

(2)风险等级评估。逐一评估风险点、确定风险等级,共排查出高、中、低风险点52个,制定防控措施49条。自评分5分。

3、制定防控措施和处置纠正问题(15分,自评分15分)

(1)制定防控措施。针对排查出的风险点“一对一”制定防控措施;防控措施有针对性和可操作性;建立了廉政风险点目录并以展板形式进行了公开公示。自评分10分。

(2)处置纠正廉政风险防控工作中发现的问题。对廉政风险防控工作中发现的问题,及时处置,切实整改到位。自评分5分。

(三)检查考核阶段工作情况(20分,自评分20分)

篇2

关键词:内部控制;自评报告;信息披露;监管体制

中图分类号:F83 文献标识码:A 文章编号:16723198(2012)18009003

近年来,人们对上市公司的数据真实性,可靠性、风险性产生很大疑问。上市银行属于高风险企业,通过风险取得报酬。上市银行所承担的风险,以及银行内部自身对风险的识别、衡量、监控对上市银行的经营和安全至关重要。上市银行披露内控信息有利于提高财务报告、年报以及企业自身的真实性和可靠性,也有利于银行外部的信息使用者了解银行的内控状况,通过内控的有效性评价上市银行的质量,并且做出相关决策。

1 关于我国上市银行内控自评报告内容的研究综述

1.1 披露载体的研究

韩晓杰、段洪波、梁静(2011)认为在我国主要存在四种形式的披露载体:董事会报告、监事会报告、年报正文及附件、会计市事务所的审核报告。从七家上市银行38份年报披露的内控信息情况看,信息披露主体有公司董事会、监事会、管理当局和注册会计师,披露的载体主要是董事会报告、监事会报告、年报正文及附件和会计师事务所的审核报告。

许莉,朱睿,王芳(2010)指出我国上市银行内控的披露载体众多,不统一,缺乏可比性。他们从11家上市银行的2008 年年报中发现,不同银行的内控信息在年报的不同位置披露,缺乏规范性,有的银行甚至在董事会报告、监事会报告、公司治理报告中同时披露内控信息。

1.2 披露主体的研究

李伟和施家芳(2007)以表格的形式分析了各个银行的披露主体。主要主体就是董事会、监事会和管理当局,不同主题披露的侧重不同,董事会报告中披露内控主要情况,监事会报告中披露内控制度的“三性”,如华夏银行、浦发银行、民生银行和招商银行。

韩晓杰,段洪波,梁静(2011)认为所有上市银行的年度报告中都在对内部控制的基本构架进行描述,但是对内部控制的责任主体却没有明确指出,一旦发生损失,承担直接责任方存在缺失。

1.3 自评报告披露量的现状

我国上市银行在2003年以前大多采用多形式大量披露策略,而在2003年及以后年度则渐渐采用固定形式少量披露策略。

倪慧萍(2006)提出不同银行信息披露量差异较大。纵向看,同一家银行不同年度的披露量差异大,如深圳发展银行、民生银行以及招商银行3家银行3年内控信息披露量都是“先多后降”之后持续减少;2002年3家均提供管理当局、事务所披露的内控说明和内控审核(或评审)报告;2003年和2004年则没有披露事务所审核(或评价) 报告而只披露事务所内控审查结果。横向看,不同银行之间披露差异更大。从韩晓杰、段洪波、梁静(2011)抽取的样本来看,中国银行和工商银行信息披露量较多较全面,深圳发展银行和招商银行信息披露量相对较少。主要采取的是形式固定少量披露的模式。

1.4 内控自评报告的规范制度

许莉、朱睿、王芳(2010)认为我国证监会的各项政策规定都在强调上市银行要充分披露在报告期内的业务、风险和内控情况。比如2000年11月14日的《公开发行证券公司信息披露编报规则》和2000年12月21日的《商业银行年度报告内容与格式特别规定》。2006年上海证券交易所提出上市公司在年报中要进行内部控制评价,2007年深圳交易所也提出该项政策。2008年财政部等五部委制定了有中国版“萨班斯法案”之称的《企业内部控制基本规范》,于2010 年1月1日起实施。目的在于加强和规范企业内部控制,提高企业风险防范能力,促进企业可持续发展。这些法律法规,规范制度从不同层面完善了我国上市银行内部控制制度。

1.5 实质性漏洞的披露现状

实质性漏洞是指如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷构成实质性漏洞,而那些严重程度低于实质性漏洞的一项或若干项缺陷,仅仅是重要到值得负责监管公司财务报告人的注意,那么该缺陷为重大缺陷。

瞿旭、李明、杨丹 叶建明(2009)提到由于我国目前在理论和实践中对于“实质性漏洞”概念的缺失,使得我国上市银行尽管面临严格的监管,但相关内控体系中的“漏洞”信息却不为市场和监管机构所知。

瞿旭、应旭婧、王娟(2011)阐明上市银行内部控制实质性漏洞披露是衡量高质量上市公司的主要标准,银行业掌握着国家的金融命脉,在维护国家的金融安全与稳定、促进经济的持续、稳健发展等方面起着重要作用。正是如此,上市银行内部控制实质性漏洞信息披露是传递出上市银行拥有良好内部控制体系的信号,也是作为资本市场健康运行的重要指标。

2 关于我国上市银行内控自评存在问题的研究综述

2.1 法律规范不完备

篇3

关键词:内控 经营管理 绩效

一、内部控制评价概念

内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。通过内部控制评价工作,充分揭示内部控制的设计缺陷和运行缺陷,管理层及时获悉缺陷情况和整改进度,相关部门跟踪落实缺陷整改,实现内部控制闭环管理,与风险管理工作形成合力,共同推动持续改进。

二、主要做法

供电公司以重大风险防控作为内控评价重点,全面整合风险评估与内控评价工作,通过业务部门“三参与”(参与风险评估、参与内控评价、参与缺陷认定),强化缺陷整改分析,常态化稽核监控等措施,深度推进内控评价工作,促进各项管理的进一步规范化、系统化,实现内控评价闭环管理。

(一)充分梳理风险,内控评价有的放矢

1、梳理风险信息

依据内控评价相关要求,辨识与电力交易结算、核算等经营类业务相关的风险,梳理出本单位可能存在的业务风险,编制形成公司规范统一的风险信息库。

2、识别重大风险

召开风险评估推进会,由风险评估与自评价工作组召集各业务部门参与风险识别。各业务部门通过总结重大风险防范措施执行情况,认真分析内外部因素,并依照梳理形成的本单位风险信息库,识别确定各专业的重大风险。

(二)加强专业协同,全面推进内控评价

1、准备阶段――细化方案,优化分工

内控自评价工作组细化评价工作方案,明确评价工作的时间安排、评价工作的目的、范围及涉及部门,详细列示评价工作前期准备材料清单,按专业组建若干个工作小组,确定各小组所需借调的专业人员,通知各业务部门积极主动参与现场内控自评价工作。根据风险评估阶段确定的重大风险,重点对电网基建、招投标采购、资金支付及费用报销等业务领域进行检查评价。

2、评价测试阶段――专业协作,全程监督

工作小组进驻现场按照各自分工开展评价工作:

(1)询问相关业务人员岗位工作流程,并与岗位职责文件相比较,以发现实际流程是否与相关制度要求相符;观察业务人员的流程操作,判断实际流程是否与手册记录的流程相符。评价控制程序是否被有效且一贯执行。

(2)对线下流程进行穿行测试,并在穿行测试的基础上,进行控制测试,采用随机抽样方法,按照样本发生频率选取适当数量样本,对控制点是否依照内部控制手册和控制矩阵的规定持续有效的执行情况进行检查;收集流程中关键控制点的纸质文档材料,检查纸质文档是否完整清晰,是否经过相关有权限人员审核批准。

(3)对线上(IT)流程进行穿行测试,并在穿行测试的基础上,进行控制测试,具体方法同线下流程抽样测试;收集线上流程中关键控制点的电子文档材料和电脑截屏,检查电子文档是否完整清晰,是否经过相关有权限人员审核批准。

3、汇总分析阶段――系统辅助,记录差异

工作小组记录评价工作中发现的所有差异以及新风险、新流程、新控制点未及时在内控流程文档中进行更新的情况,并在风控信息系统中填写评价工作底稿,上报内控自评价工作组。

(三)注重缺陷分析,促进管理优化提升

1、业务部门参与缺陷认定

自评价工作组汇总各工作小组的评价记录,组织相关业务部门召开内控缺陷认定及整改会议。对于发现的差异,与被检查部门讨论沟通,根据内部控制缺陷的评定标准,判断出缺陷的类型,同时判断缺陷属于设计缺陷还是执行缺陷,提出内部控制缺陷的整改意见。

2、深度分析内控缺陷,细化内控流程矩阵

公司内控办在自评价基础上,充分利用内控评价成果,深度总结分析内控缺陷成因,细化内控流程矩阵,进一步完善公司内部控制体系。

三、主要成效

(一)进一步深化公司风险意识和内控理念

内控评价开展以来,公司按照国网下发的风险信息库梳理了139个地市公司层级可能存在的风险信息,编制形成适合地市层级公司规范的风险信息库。发现流程差异23个,认定内控缺陷10个,已全部按要求整改到位。

(二)进一步提升公司业务精益化管理水平

通过实施横向到边、纵向到底的全面、系统的内控评价,发现自身在公司整体和各个领域中存在的制度设计及制度执行缺陷,调整和完善业务间管理界面、信息标准、管控要求,有效打通了管理壁垒。促进内控标准、流程标准和岗位标准落地,将控制责任细化到岗位,规范了工作程序、审批手续,有效控制各项经营活动顺利开展,防止出现偏差,及时纠正失误。促进公司各项管理的进一步规范化、系统化,各项业务有规可依。

(三)进一步降低公司经营管控类业务风险

在内控流程标准实施过程,通过内控评价检查等监督手段,明确了内控流程的风险点和关键控制点,配套制定风险防范措施和有效性评价程序,严控风险环节,推动业务合规,推动业务标准信息有效流转,实现内部控制对欺诈、舞弊和非法行为的事前防止、事中发现和事后纠正,充分体现了源头控制和主动控制的理念,不断推进内部控制与日常管理的有机融合,推动公司从事后监督向过程监督转变,有效防范了经营管控类业务风险。

参考文献:

[1]梁雯.内控视角下事业单位预算绩效管理体系探究[J].行政事业资产与财务.2016(01)

篇4

风险存在于企业内控的各个环节,存在于企业生产经营全过程。企业内部控制与风险管理好坏已成为其管理水平高低的重要评判标准。我公司是国内民用建筑设计企业中最早采用ISO9001质量管理体系管理设计产品质量的企业之一。近年来,公司又大力推进企业内控与风险管理体系建设,不断强化内控与风险管理工作,已取得明显成效。本文结合我公司内控与风险管理体系建设中的一些做法,对建筑设计企业如何有效构建内控与风险管理体系课题进行探讨。

1健全内部控制管理机构

建立健全内部控制管理机构是做好企业内控与风险管理工作的保证。根据公司章程规定及企业内控与风险管理工作的需要,公司内控管理机构包括内控与风险管理决策机构、实施机构和评价机构。内控与风险管理决策机构为公司董事会。内控与风险管理实施机构包括董事会审计与风险委员会、审监部、公司各职能部门及下属单位。审监部是公司内控与风险管理归口管理部门。

2完善内部控制制度

建立健全严谨规范的各项内部控制制度是做好企业内控与风险管理的基础。企业经营管理中出现风险的环节,往往是该环节无相关制度进行规范与防范,或者有制度但制度内容不严谨,或者有严谨规范的内部控制制度但未得到有效执行。为规范公司内控管理,近年来公司制定(或修订)各类内控管理制度90多项,内容涉及公司治理、战略管理、经营管理、业务管理、财务管理、投资管理、人事管理、信息管理、企业文化建设等等,并将各类内控管理制度整理印制成《制度汇编》,发放给员工作为管理工具书。一系列内控管理制度的制定和实施使公司从法人治理到经营管理,从宏观战略管理到微观业务管理,从对内业务管理到对外信息管理等,都有了制度规范。

3编制内控业务流程

内控业务流程包括人力资源管理、资金管理、采购管理、资产管理、租赁管理、研发管理、财务报告管理、合同管理、全面预算管理、内部信息传递管理、内部审计管理等。企业内控业务流程编制主要按以下程序进行。

3.1梳理内部控制现状

对内控现状进行梳理主要包括3个环节:首先,梳理确定公司内控业务主要业务流程。我公司经过梳理,确定14个主要业务流程,包括:合同管理、人力资源管理、资金管理、采购管理、资产管理、设计与咨询管理、房屋租赁管理、研究与开发、业务分包、财务报告管理、全面预算、内部信息传递、信息系统、内部审计。其次,对各业务流程按管理活动环节进行流程分解。为便于管理控制,流程分解的环节不宜过长,一般分解到2级或3级,见表1。最后,确定流程环节的工作内容、责任部门(或岗位)、流程生成的工作记录及文档资料。以合同管理为例,表2为“合同订立”流程环节的工作内容、责任部门(或岗位)及流程文档。

3.2编制风险控制矩阵

风险控制矩阵就是以表格化形式将企业内控相关流转环节可能出现的重大风险点及其应对措施列示出来。编制风险控制矩阵有利于相关流转环节责任人简洁直观地了解面临的重点风险点,熟悉如何防范和控制重大风险,了解该环节风险管理的制度依据。以合同管理为例,表3为“合同订立”流程环节的风险控制矩阵。

3.3内控缺陷诊断与完善

内控缺陷是指公司内控的设计或运行无法合理保证内控目标的实现。一般可分为设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标的必须控制,或现存的控制并不合理及未能满足控制目标。运行缺陷是指设计合理及有效的内控,但在运作上没有被正确地执行,包括不恰当的人员执行,未按设计的方式运行,如频率不当等。内控缺陷诊断就是对流程管理的必需的控制制度是否制定,制度控制规定是否合理、是否满足控制目标,控制制度是否得到正确有效地执行等环节进行检查,并标识和记录存在缺陷的控制点(或控制环节),以利于进行补充或纠正,从而完善内控程序。以“合同管理流程”内控缺陷诊断为例(见图1),本次诊断发现3个缺陷,其中2个设计缺陷(即合同管理制度不完备、合同管理部门不明确),1个运行缺陷(即合同经办部门进行谈判时未形成“合同谈判记录”)。缺陷完善措施:1)制定《合同管理办法》。2)明确“经营管理部”为合同管理部门。3)合同谈判过程与成果要形成《合同谈判记录》,并由合同谈判人员签字确认。

3.4绘制流程图

通过绘制流程图可以将内控流程各环节直观地描述出来,使内控执行者对控制流程、责任部门、流程涉及部门及领导、重大风险点、流程输出文档等控制信息一目了然。绘制流程图可以有效预防和减少内控各流程环节的差错,从而降低管理风险。以“合同管理流程”为例,图2为“合同履行、变更与纠纷处理流程图”(倒三角标识的是“重大风险点”代码)。

4编制《内控管理手册》

4.1编制《内控管理手册》的必要性

内控与风险管理工作涉及的内容广泛、流程环节复杂,编制《内控管理手册》可以优化流程管控、为推进标准化管理提供依据,为公司开展内控工作提供可遵循的标准,同时有效满足外部监管机构要求。《内控管理手册》是内控与风险管理体系建设成果记载,有利于建立健全内控管理体系,为合规经营、资产安全和信息真实提供合理保证;可以固化形成内控工作机制,为公司管理规范化和决策科学化提供参照和支持;有利于规范加强内控评价工作,全面提升公司管理水平和风险管控能力。

4.2《内控管理手册》主要内容

公司《内控管理手册》主要包括5部分内容:1)总则。主要介绍《内控管理手册》编制的目的、原则、依据、手册执行与更新、适用范围与生效。2)组织架构与职责。主要介绍内控管理组织架构体系建设及各职能部门(或岗位)的内控职责。3)内控基本架构。主要介绍公司内控环境、内控风险评估、控制活动、内控信息与沟通及内控监督。4)内控评价。主要介绍内控评价适用范围、内控评价组织职责、内控自评价方法、内控评价程序及内控缺陷认定标准。5)业务流程文档。主要包括公司主要内控管理环节的流程分解、流程描述、流程责任管理、流程制度适用及流程图等。

4.3《内控管理手册》的维护与更新

公司《内控管理手册》内容不是一成不变的。随着公司不断壮大,外部经营环境和外部机构监管要求不断调整变化,公司内部管控模式、组织架构、业务管控活动及工作流程也将不断进行动态调整,公司内控经验不断累积,信息化水平提升等等。这些因素变化都要求公司内控与风险管理工作不断地调整和完善。因此,公司应适时改进和完善《内控管理手册》的具体内容。审监部作为《内控管理手册》管理与维护的归口部门,原则上根据年度内控实际情况,每年开展一次评估,并根据需要进行更新。更新资料主要来源于:公司决策层、管理层及各部门对内控的要求及建议、公司及下属公司的管理实践、年度内控评价结果。持续修订、完善和更新后的《内控手册》作为公司沉淀优秀管理经验,创新标准化管理和实现管理样板性目标的重要工具之一。《内控管理手册》维护与更新工作步骤:1)进行内控自评价。2)发现设计缺陷和执行缺陷。3)修订制度完善流程。4)更新内控管理手册。

5组织内控评价

首先,公司职能部门和下属单位进行内控自评价。各职能部门和下属单位对各业务流程进行穿行测试,对业务流程的内控有效性进行评价并填写《穿行测试底稿》。在穿行测试中发现业务流程存在运行缺陷,且属于风险控制点的,评价人员则需对该风险控制措施进行扩充样本测试并填写《风险控制措施测试底稿》。其次,评价工作小组通过询问、抽查样本、重新测试等方法,检查各部门自评价过程以及结果,对各部门自评价结果的真实性、客观性作出独立性评价结论;并对重大风险管控措施的内控有效性进行评价;整理汇总自评价过程以及日常经营活动中发现的公司内控缺陷,并明确缺陷整改责任部门、整改计划等。最后,评价工作小组根据内控自评价的实际范围、评价方法、评价程序以及评价结果等,编写《内控评价报告》,并报董事会批准。

6重视内控环境建设

6.1进行全方位内控培训

培训内容包括全员参加的内控基本知识和针对各层级管理人员及内控人员的内控专题培训。公司通过一系列的培训和辅导,可以解决“为什么企业要进行内控体系建设”“哪些人员需要参加内控体系建设”“如何进行内控体系建设”问题,提高各层级管理人员和基础员工对内控工作的认识,营造有利的内控工作开展的文化环境。

6.2建立内控工作沟通机制

为了保证内控工作的有效推进,公司建立了内控工作沟通机制,实现了内控工作信息的实时传递。首先,建立内控与风险管理例会制度。内控领导小组每季度组织召开内控工作例会,公司各职能部门及下属单位在会上汇报内控与风险管理工作开展情况、存在的问题及解决方案、遇到的困难以及需要公司协助解决的事项,内控领导小组负责人对相关的具体问题提出意见和工作指导,会后审监部跟踪所有问题和困难的落实情况。其次,公司建立内控体系的半年工作总结。每半年公司内控管理部门对内控开展情况进行工作总结,并通报给各职能部门和下属单位负责人。第三,建立重大风险项目即时汇报机制。对于公司内控中发现的重大问题要求及时向内控领导小组和审监部进行汇报,以实时处理可能发生的重大风险。

6.3将内控管理工作纳入绩效考核

为有效发挥各职能部门和下属单位管理者在内控管理工作中的推动作用和积极性,公司将各部门、各单位的年度内控评价结果纳入其年度绩效考核的指标中,并与部门和单位负责人年度绩效薪酬挂钩,从而激励管理层切实关注和推动内控管理工作。

6.4聘请专业中介机构协助内控体系建设

篇5

内部控制从公元前3600年以前的美索不达米亚文明时期的内部牵制发展到2004年COSO企业风险管理整体框架阶段,内部控制的控制环境、控制理念、控制方法都发生了质的飞跃。目前农业上市公司对内部控制的理解停留在各项工作制度和业务规章的汇总上,没有将内部控制的本质理解为是一种制衡、监督和激励的制度安排。有效的内部控制能够制约经营者的机会主义行为,正确处理企业的组织机构和权责分配,从根本上杜绝舞弊的发生。獐子岛的年度报告和融资融券对内部控制的说明和实际内部控制执行状况比较,差距巨大,说明其内部控制只是为了应付监管机构及相关法律的要求,内部控制实际运行无效。

(二)战略定位缺乏

战略目标是企业最高层次的目标和内部控制的终极目标,是企业未来发展的总蓝图,是实现经营目标的行动指南。农业上市公司虽然在整个上市公司中占比较少,但它独特的战略地位和国家对它的扶持力度,说明农业上市公司战略制定的重要性。从目前农业上市公司战略目标的定位来看,主要关注的是合法合规目标和报告目标。由于缺乏十年甚至更长的战略,所以企业的经营行为短视,导致经营风险的产生。獐子岛虽然打造了同心多元化战略、科技领先战略、纵向一体化战略、品牌战略及五位一体的发展模式,但经营过程中盲目扩张,过分依赖短期债务,在重大突发事件面前显得无能为力,这说明獐子岛的战略管理只是写在纸上的一种管理,没有站在公司战略目标的高度去处理或应对危机,缺乏有效的战略协调机制。

(三)风险防范及应对能力较弱

从农业上市公司的现状来看,风险主要源于外部环境(如经济环境、自然灾害、法律环境等)及内部因素(如公司治理缺陷、内部控制缺陷、经营风险等)的影响。对于外部环境风险,企业无法直接控制,但需要制定相应的应对措施;对于内部风险因素,企业可结合内部控制有效实施及落实加以防范。通常对于风险的识别是风险管理的第一步,其次要综合运用多种风险分析方法对风险因素可能性和响应程度进行排序。獐子岛从2006年起海底底播面积逐年增加,对根本不知晓的深海底播这种风险极高的事项没有进行实验、论证就直接实施,导致“黑天鹅”事件发生。同时占总资产比重畸高的消耗性生物资产存货一直保持在50%左右,对这部分特殊性能的存货,从种苗的采购、播种、后续监管上獐子岛都缺乏应有的风险控制措施而任其在海里自由生长,直到死亡。

(四)内部控制环境不健全

虽然农业上市公司依据现代企业公司治理要求建立了治理结构,但公司董事长和经理两职合二为一的现象时有发生,家族式管理模式阻碍了公司健康发展,一股独大的现象导致了决策及经营高度集权,风险加大。獐子岛“法人治理”实质上是典型的内部人控制。股东、治理层、经理层三位一体。獐子岛从集体所有制企业成长为上市公司,“内部人”发挥了重要作用,功不可没,但当企业发展到一定规模后,内部人控制显然已无法满足企业日益扩大所导致的战略推进、经营风险的防范及企业监管的需要。虽然獐子岛2006年上市时,符合深交所公司治理要求,表面制衡,实质很难形成公司持续长远发展的核心竞争力。当内部人利益和公司利益一致时,公司可以发展,但当内部人利益和公司利益冲突时,内部人宁愿牺牲公司利益,而保全自己的利益,所以在公司战略发展上采取了一种冒险激进的方式,远远偏离投资者所希望的稳健性公司发展战略。在人力资源上,并不是把具备专业胜任能力和正直品格的人安排在合适的岗位上,而是任人唯亲。副总经理吴厚记是董事长吴厚刚的兄弟,负责獐子岛的材料采购工作,2012年因举报受贿而离职,2014年獐子岛虾夷扇贝绝收事件,正是吴厚记团队负责的采购事宜。

(五)内部控制评价体系不完善

内部控制评价贯穿于内部控制设计及运行的始终,合理的内部控制评价机制是确保内部控制有效实施的保障。    借鉴陈汉文和池国华的研究成果,2013年我国上市公司内部控制整体水平进一步提高,从内部控制五要素指数来看,风险评估是上市公司内部控制的薄弱环节。从行业内部控制整体状况来看,受严厉监管的金融保险业居第一,2013年内部控制指数均值为63.91%;而农林牧渔业排名最后,2013年内部控制指数均值为42.89%。    

目前,农业上市公司内部控制信息披露方式主要有两种,一种是在年报中披露,一种是单独出具内部控制自我评价报告并与年报同时披露,对自身内部控制有效性的自评分均在50%以上,对内部控制有效性持乐观态度,总体自评意见偏高,披露的内容空洞,缺乏实质性的内容。    

篇6

关键词:信息安全;信息科技风险;管理体系

1信息安全建设现状

现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。

2信息安全建设存在的问题

2.1管理制度建立不完善

目前,在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。

2.2信息安全意识不强

职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。

3信息安全建设工作思路

随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:

3.1分析差距,完善内审监控管理体系

按照信息安全管理体系ISO27001标准梳理现状,认真分析研究,查找存在的差距,制定信息安全内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室,定期组织信息安全内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。

3.2安全防控,建立风险上报长效机制

依据CIA属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的安全风险,提出相应的安全措施并制定整改计划。另外,建立风险点上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。

3.3强化意识,紧抓信息安全管理

针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。

3.4抓好关键,确保信息安全工作无死角

篇7

论文摘要:内部控制信息的披露对于各方利益相关者都具有十分重要的意义。对于广大的投资者而言,他们往往通过查阅上市公司的财务报表来了解其经营状况,而经营业绩优良与否、财务报告可靠与否都在很大程度上受到 企业 内部控制的影响。对于上市公司而言,完善的内部控制信息披露不仅可以提高企业的经营效率,改善企业的经营管理,而且可以向市场传递一个信号:公司的管理层对内部控制十分看重,并且可以保证其内部控制的有效性。

当前,我国 经济 正处于一个高速 发展 的阶段,资本市场瞬息变化,因此,加强对内部控制信息的披露就显得尤为重要。按照coso报告,内部控制就是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成提供合理保证的过程。

一、我国内部控制信息披露的规范

中国 注册 会计 师协会在1996年颁布的《独立审计准则第9号——内部控制与审计风险》第一次提出内部控制的概念,指明内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序,内部控制包括控制环境、会计系统和控制程序。但是该内部控制定义范围狭小,仅仅站在内部会计控制和注册会计师对财务报表审计的角度出发。此后内部控制的定义一直处于不断的发展和修正过程中。

我国最早涉及内部控制信息披露的规范主要散见于证监会的各项公开发行证券的公司信息披露内容与格式准则,具体要求体现在招股说明书、增发申请材料及年度报告中。主要有:(1)中国证监会2000年底颁布的《公开发行证券的公司信息披露编报规则》第7号、第8号, 规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告,并委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性及有效性进行评价, 提出改进建议,并出具评价报告。(2)中国证监会2001年3月颁布的《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》,规定发行人应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评估意见。注册会计师指出以上“三性”存在重大缺陷的,应披露并说明改进措施。2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号——上市公司发行新股招股说明书》,要求发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见,同时应披露注册会计师关于发行人内部控制评价报告的结论性意见。(3)证监会2001年制定、2004年修订的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告》,规定年度报告中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反 法律 、法规、公司章程或损害公司利益的行为”发表独立意见。(4)证监会2006年5月《首次公开发行股票并上市管理办法》,规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具无保留结论的内部控制鉴证报告”。这是我国首次对上市公司内部控制提出具体的要求。

2006年,为加强上市公司内部控制,促进上市公司规范运作和健康发展,保护投资者合法权益,上交所、深交所分别于2006年6月、9月颁布,分别于当年7月、次年7月实施的《上市公司内部控制指引》,两个证交所都明确规定在其交易所上市的公司都应提供内部控制报告自评报告。该指引是我国第一次出台的指导上市公司建立健全内控制度的文件。

二、我国内控信息披露规范的缺陷与不足

(一)内部控制概念界定混乱

无论是处于同一层次的上海证券交易所(以下简称上交所)和深圳证券交易所(以下简称深交所),还是处于不同层次的证监会和证交所,关于内部控制都有不同的定义。上交所从公司长远战略的角度出发,规定内部控制为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。深交所对内部控制的定义则参照了coso委员会对内部控制的规定,认为内部控制需满足以下几个目标:(1)遵守国家法律、法规、规章及其他相关规定;(2)提高公司经营的效益及效率;(3)保障公司资产的安全;(4)确保公司信息披露的真实、准确、完整和公平。证监会对内部控制的定义则一直没有完整的标准,在其颁布的《公开发行证券的公司信息披露内容和格式准则》中也没有详细规定。关于内部控制概念的不同,很大程度上是因为还没有一套完整、系统的法规对其予以正式化、标准化,而且现行的各个法规相互之间也缺少衔接。

(二)缺乏对内部控制监督主体的统一规定

证监会并没有明确指明监督主体,而只是指出由监事会对本公司是否建立完善的内部控制发表独立意见。深交所规定,由公司内部审计部门负责监督内部控制制度的执行情况,并将检查监督情况形成内部审计报告报送董事会和列席监事。而上交所则将内部控制的监督权赋予专门职能部门,并规定该专门职能部门在年度和半年度结束后向董事会提交内部控制检查监督报告。那么根据这一规定,该专门职能部门可以是审计部门,也可以由各个公司根据本公司的特点和组织结构设置。经过比较,我们可以发现,监督主体不同,那么每个监督主体所参照的标准、所执行的程序及最后所形成的结论都不同,这势必会影响到投资者对上市公司内控报告的比较分析。

(三)对cpa审计的规定各不相同

证监会只对特殊行业以及具有特殊目的的上市公司的内部控制是否需cpa审计提出了硬性规定,主要表现在:要求商业银行、保险公司、证券公司应委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并提出内部控制评价报告。发行新股的上市公司需要在其再融资的申报材料中披露注册会计师关于发行人内部控制评价报告的结论性意见。深交所则要求其所有主板上市公司(不含中小企业板上市公司)的cpa在对公司进行年度审计时,应参照有关主管部门的规定,就公司财务报告内部控制情况出具评价意见。而上交所没有要求cpa对公司财务报告内部控制情况做出评价意见,仅仅要求会计师事务所参照有关主管部门的规定,出具对内部控制自我评估报告的核实评价意见。并且,在这两所证券交易所的规定中都没有明确指明cpa在审计过程中应参照的标准,而仅仅以一句“参照有关主管部门”简单带过。注册会计师的执业标准的不完备使内部控制审核意见从内容到格式各不相同,内部控制信息披露质量缺乏有效保证,使得信息使用者感到无所适从。

(四)对内控信息披露的自评主体界定模糊

证监会对于一般上市公司要求监事会在其监事会报告中披露对公司是否建立了完善的内部控制制度发表独立意见。对于具有融资目的的公司,证监会要求的责任主体是发行人,要求发行人对公司内部控制制度的完整性、有效性和合理性发表评估意见。而在对商业银行、证券公司和保险公司的规定中,没有明确指明责任主体,只是要求上市公司对本公司的内部控制制度做出说明。深交所和上交所的内部控制指引中,都明确规定了内控信息自评的主体是董事会。

(五)对内部控制的评价缺乏统一标准

现行的规范制度中,证监会和证交所都没有提出对内部控制完整性、有效性和合理性的具体评价标准,只有由审计准则委员会的独立审计准则第9号《 企业 内部控制与审计风险》和新修订的《 会计 法》提到了内部控制相关内容,但立足点和出发点分别是从报表审计的角度和企业会计控制角度进行规范。由于缺乏对内部控制的完整性、合理性及有效性进行判别的可操作性的标准,使得cpa审计陷入难题中,而且其出具的审计意见报告也缺乏可比性。

三、改进我国现行内部控制信息披露规范的建议

(一)宏观上,理顺我国现行内控信息法规的层次关系,建立一个自上而下、由抽象到具体的内部控制信息披露的规范体系

该规范体系的第一层次应是由国家立法机关在《公司法》、《证券法》和《会计法》中以 法律 的形式规范内部控制的定义,并明确各企业应建立健全的内部控制体系。第二层次是由财政部联合证监会、保监会、银监会和审计署制定一套以规范企业信息披露为主要目标的企业内部控制标准体系。该标准体系的建立将为各个行业的内部控制评价提供一个具体的、可操作的标准,并且也为cpa审计上市公司的内部控制自我评价报告提供了可 参考 的标准。财政部于2006年7月联合证监会、国资委、审计署、银监会、保监会等部门成立了企业内部控制标准委员会,我们相信该委员会将在其推出的《企业内部控制基本规范》中做到这一点。第三层次是证监会规定各上市公司应对“狭义内部控制报告”即财务信息内部控制报告进行强制性披露,而对“狭义内部控制报告”之外的经营和遵循法律内部控制报告采用自愿性披露。对于强制性披露的财务信息内部控制报告应明确披露内容和披露格式。第四层次是证券交易所对本所上市交易的公司提供具体的规则指引。2006年,上交所和深交所分别推出了适应本所特色的《内部控制指引》,但是两所的指引存在一些不协调、不融洽的地方,因此本文建议可以在上述3个层次制定的规范内稍做改动,达到各个法规实务操作的衔接。

(二)微观上,针对我国现行内控信息披露规范的不足加以改进,使之满足各个层次信息使用者的需求

1.明确内部控制概念

根据内部控制的范围,可将内部控制划分为“广义的内部控制”和“狭义的内部控制”。狭义的内部控制与公司财务报告质量和会计信息质量相关,而广义的内部控制则包括对财务信息质量、经营效率、遵循法规和其他风险管理的控制。由于内部控制的外延已经扩大到了公司整体的控制,投资者不仅仅满足于得到有关企业财务报告可靠的信息,还希望了解企业整体控制环境和实际运作情况。但考虑到成本效益原则以及cpa内部控制审计标准的不完善,在此,我们可以要求上市公司必须披露财务信息内部控制报告即狭义内部控制自评报告,与此同时,鼓励上市公司自愿披露广义内部控制自评报告。待时机成熟之时,可以要求上市公司强制披露广义内部控制自评报告。

2.明确内部控制监督主体

实务中上市公司内部控制监督一般是由内部审计部门执行,但是内部审计部门往往是从财务报告是否可靠的角度出发,无法涵盖我们广义内部控制概念。因此建议可以采用上交所的做法,在公司内部成立专门的内控监督职能部门,该职能部门人员的认定可以由董事会予以指定,并且范围应该扩大,不仅仅局限于内部审计部门。

3.明确对cpa审计的要求

为了保证内部控制信息披露的真实性,应当要求注册会计师对由董事会所出具的内控信息自评报告加以验证并出具审核或鉴证报告,该鉴证或审核报告应与内控信息自评报告一同对外公布。而且在内部控制审核中,cpa的执业标准并不完备,这使内部控制审核意见从内容到格式各不相同。因此,应由审计准则委员会联合各个行业制定一套切实可行的执业标准。

4.明确内部控制的责任主体

监管部门应当修订内部控制信息披露规范,增加明确主体责任的相关条款或对主体责任的描述具体化。现行《公司法》中规定,董事会可以决定公司内部管理机构的设置、制定公司的基本管理制度,所以我们建议公司内部控制的建设应当由董事会负责,并由董事会对外披露内部控制自评报告。

5.明确内部控制信息披露的内容和格式

监管部门应当对披露内部控制信息的内容与格式做出统一规定,以减少上市公司在内部控制信息披露上存在的选择性和随意性。同时,投资者可以对上市公司的内部控制信息进行比较分析,也有利于降低投资者获取信息的成本。证监会可以明确规定财务信息内部控制报告的固定格式,其基本内容至少应该包括:(1)表明管理层对财务信息内部控制的责任;(2)评估内部控制的标准;(3)内部控制系统中任何重要薄弱环节及其处理情况。

参考 文献 :

[1] 李明辉、何海、马夕奎.我国上市公司内部控制信息披露状况的分析.审计研究[j].2003,(01).

[2] 陈合.如何完善上市公司内部控制信息披露[j].财会月刊,2005,(19).

篇8

关键词:风险导向;内部审计;风险管理

中图分类号:E232.6 文献标识码:A 文章编号:

进入21世纪,多样化和多变性的环境使企业的经营管理经历实质性的变革,现代企业所面临的商业环境和市场竞争不确定性越来越大,一方面变化周期缩短,商业环境和市场竞争的变化速度超过了以往任何时代;另一方面商业环境和市场竞争变化越来越彻底,企业明天的生存与发展环境可能与今天的几乎没有任何必然的联系,现代企业处于高风险的经营环境之中。传统的内部审计都只是片面地关注企业经营过程中的某一个方面,没有与企业目标发生直接的联系,没有关注企业经营过程中面临的风险,以至于达不到企业提高经营管理水平、加强管理控制的要求。为了弥补传统内部审计的不足,风险导向内部审计应运而生。

一、风险导向内部审计概述

(一)风险导向内部审计的含义

风险导向内部审计是指内审人员在审计过程自始至终都以企业风险分析评估为导向,根据量化的分析水平排定审计项目优先次序,依据风险确定审计范围与重点,对企业的风险管理、内部控制和治理程序进行评价,进而提出建设性意见和建议,协助企业管理风险,实现企业价值增值的独立、客观的签证和咨询活动。这里的风险应该是我们通常说的广义的风险既包括正面的风险,即机会;也包括负面风险,即狭义风险。

(二)风险导向内部审计的目标

蔡春教授在其专著《审计理论结构研究》中指出:“审计的本质目标就是确保受托经济责任(Accountability)的全面有效履行。按照各种审计类别所列示的审计目标都是这一本质目标的具体化。”现代的内部审计的重点已逐渐转向事先发掘问题、改善经营管理、促进经济效率。为此,内部审计向他们提供与被审计活动有关的分析、评价、建议、咨询和信息。不论内部审计对内部控制进行评估与改善,还是对公司治理程序进行评估与改善都应该是以风险评估与改善作为首要目标。

首先,内部审计充分利用在内部控制领域的专家地位,联系组织的目标评估与分析内部控制中的风险,直接报告给管理者,在需要时通过审计委员会报告给董事会;其次,内部审计帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制订方面识别和评估风险,以确保组织重大决策的正确实施;最后,内部审计要利用自己对组织内部的全面了解和对风险的直观认识,为专业的风险管理部门提供咨询与保证活动,参与企业的整合风险管理。总之,风险导向内部审计不是在简单的内部控制领域消极地查错防弊,而必须以组织的整体风险评估作为自己的首要工作目的。

(三)风险导向内部审计的职能

传统的内部审计职能仅限于监督管理公司的规章制度,而随着社会经济水平的不断上升和企业管理水平的不断提高,内部审计的职能有了很大的发展空间,已不再是简单的监督,而是为企业提供“确证和咨询服务”,这两项职能都是紧密结合内部审计的增值目标发展而来的。内部审计协会ⅡA对内部审计的职能作了明确规定:“内部审计是一项独立的、客观的确证和咨询活动,其目的在于为组织增加价值并提高组织的工作效率。它采取系统化和规范化的方法,对风险管理、内部控制和公司治理过程进行评估和改善,从而帮助组织实现其目标。”它强调重点关注公司经营管理过程中的管理风险,关注管理者的管理行为可能存在的风险,关注企业在治理过程中的经营风险和决策风险,并对这些风险实施评价,根据评价结果向管理层提出建议。

二、风险导向内部审计实施中存在的问题

由于我国的风险导向内部审计还处于起步阶段,理论与实务操作还不成熟,在实践中产生了很多问题:

(一)我国的内部控制模式陈旧

COSO将内部控制定义为:内部控制是一个过程,受机构的董事会、管理层以及其他人员的影响,设计内部控制是为以下类别的目标的实现提供合理的保证:运营的效果和效率、财务报告的可靠性、资产的安全、以及遵守适用的法律和法规。对内部控制评价的过程就是内部审计的过程,一个企业内部控制的好坏,与审计风险的高低直接相关,所以内部控制始终都是内部审计关注的重点。随着风险导向内部审计的尝试和发展,内部控制受到了极大挑战。传统的内部控制体系已经不能适应快速发展的外部环境和风险导向内部审计的要求。传统的内部控制模式将单独的生产经营活动作为一个主体,进行事后控制,忽视了事前与事中的反馈,不能满足需求,新的模式急待发展。

(二)我国的风险管理体系还不完善

企业往往只是依照法律规定的要求进行内部审计,并非出于企业主动,很多企业的风险管理活动采取的是“亡羊补牢”式的风险应对措施,对风险的鉴别能力相对薄弱,应对风险的能力也很差,没有建立超前意识,也没有合理的风险管理体系。企业缺乏对风险管理的认识,没有认识到风险管理的重要性,从而制约了风险导向内部审计的发展。不完善的风险管理体系也限制了风险导向内部审计作用的发挥,也使审计的作用不能长久。

(三)审计人员能力不足

我国审计人员专业单一,知识结构不合理,不了解企业的经营状况,相关行业,不具备运用数理统计方法的能力,而只对企业内部风险,账务错报比较关注,审计效率低下,知识面较窄,缺乏全局观念,且难以实现对企业风险的管理、控制和治理过程而进行全面综合的评价。不能协助管理当局制定合理的计划,对于外部环境估计不足,做出错误判断。

(四)风险管理方法与审计方法落后

风险导向内部审计处于起步阶段,理论指导很不成熟。内部审计的方法和技术较为落后,全面风险管理和审计抽样技术没有充分的应用到实践中来。内部审计部门一般按照管理层的授意选择审计项目,具有很大的盲目性。审计工作也多以手工查账为主,审计抽样具有很大的随意性,有时甚至主观臆断。并且,内部审计多数是对事后经济事项的审计,没有做到事前和事中审计。另外,虽然大多数企业实现了会计电算化,但是利用专门的审计软件开展计算机辅助审计的却较少。这些情况都使企业对未来估计不足,不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响企业目标的顺利实现。

三、风险导向内部审计的发展建议

篇9

关键词:企业;内部控制;审计

一、企业内部控制审计的意义

1.企业内部控制审计的理论意义

内部控制审计制度作为现代企业管理制度的一项重要内容,其产生具有一定的社会必然性,是经济发展的产物,适应了社会和企事业单位自身发展的需要,既可以对内强化企业管理过程,又可以对外承担一定的社会责任。对内部控制进行审计,有利于全面了解企业的内部控制的有效性,便于直接了解企业的经营状况。当前我国内部控制制度在管理方法和措施上还存在着一定的缺陷和不足,完善内部控制制度体系建设成为企业面临的又一难题。内部控制审计是对内部控制制度有效性进行审计,可以被称为内部控制的控制,是对内部控制的再次审计,将有利于从制度上约束企业的内部控制, 也将进一步完善我国企业内部控制制度体系。

2.企业内部控制审计的实践意义

企业内部控制审计是内部监督和控制的关键环节,可以协助组织辨别及评估重大风险的披露,有利于改善风险管理,防范企业风险,减少漏洞,也将有利于企业内部控制体系的进一步完善,并最终提高企业或组织的内部管理水平。内部审计有利于评价和改进组织的风险管理、控制和治理体系,但要完成该使命,内部审计人员则需要充分了解企业或组织的内部控制制度。注册会计师在对企业进行审计时,往往要根据企业的内部控制体制来确定审计的范围、审计的重点以及审计中所需要采用的方法,具体在于观察企业内部控制体制是否健全和内部控制的有效性程度。而内部控制制度系统的健全和有效程度是确定审计范围、重点和所用方法的重要依据。因此,在审计中对内部控制有效性进行检查和评价显得越来越重要,即内部控制审计愈发重要。如果某企业的内部控制较好,则该企业所提供的资料就会比较可信,审计人员也就不需要进行全面而详细的检查了,可以把精力放到如何提高组织的效益上;如果企业的内部控制不完善或者没有很好地得到执行,则审计人员需要进行详细和全面的检查,这不仅浪费大量的人力、物力和时间,而且不能够将精力集中于提高组织的效益上。因此,在日益竞争激烈的知识经济时代,加强内部控制审计对于企业愈发重要。

二、当前企业内部控制审计的现状

1.内部控制审计目标不是很明确

内部控制审计目标决定着审计的范围、审计程序的选择与运用、审计意见的表达、审计质量的衡量和审计责任的界定。为了确保审计质量,防范审计风险,避免注册会计师承担过高的审计责任,审计准则应当明确内部控制审计的目标。但遗憾的是,目前相关审计准则尚未对内部控制审计的目标做出明确规定。笔者认为内部控制审计应当对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。为了让注册会计师能够提供合理保证,审计准则应当明确审计范围和应当实施的审计程序。

2.内部控制审计程序不明确

为了确保内部控制审计能够为内部控制自我评估报告的真实性和合法性提供合理保证,相关审计准则必须明确内部控制审计应当实施的审计程序,否则内部控制审计质量就无法保证。但是,由于内部控制审计实施时间不长,加之与财务报告相关的内部控制的概念尚未得到清晰的厘定,尽管国外内部控制审计已有一些实践经验,并从中总结出了一些行之有效的审计程序。但是这些审计程序依然是不系统的。国外的实践表明,从公司层面控制入手自上而下地进行审查,是比较切实有效的内部控制审计方式。据此笔者认为,系统有效的内部控制审计程序至少应当包括两个层次:企业总体层次的内部控制审计程序和业务类型或业务单元层次的内部控制审计程序。企业总体层次的内部控制审计程序是从企业内部控制整体框架五要素入手系统设计的,可以有效测试内部环境完善性的审计程序、风险评估有效性的审计程序、控制活动有效性的审计程序,信息与沟通有效性的审计程序和监督检查有效性的审计程序。业务类型或业务单元层次的内部控制审计程序,是从影响企业财务报告公允真实性的各类业务或业务单元入手系统设计的,可以有效测试各类业务或业务单元相关内部控制有效性的审计程序。在审计过程中,注册会计师应当先实施企业层次的内部控制测试程序,再根据企业层次内部控制测试的结果及各类业务或业务单元对财务报表公允真实性的影响程度,实施业务层次的内部控制测试。

3.关于内部控制审计成本的控制问题

成本问题始终是影响内部控制审计实施的重要问题。我国要切实有效地推行内部控制审计,在制定的审计准则中也必须有防止审计成本过高的对策,在实施审计中也必须有控制审计成本过高的对策。解决审计成本过高的直接对策是降低成本,比如在审计准则中,可以规定某些成本过高而重要性一般的审计程序(如注册会计师对管理层自评内部控制程序恰当性的审查和评价)注册会计师可以选择使用或不予强制要求,规定内部控制审计应当与财务报表审计整合进行等等。在实施审计中,可以实施能同时满足实质性测试和内部控制测试两个目标的审计程序,最大限度地利用档案资料和他人工作结果等等。解决审计成本过高的间接对策是通过突出重点提高成本投入的效益,比如在审计准则中,将内部控制审计的范围限制在与财务报告相关的内部控制范围内,并详细规定必须审计的重要内容、要达到的重要目标和要实施的重要程序,要求在审计中重点关注重大错报领域、舞弊控制测试、重大缺陷报告等。在审计实施中,注意从公司层面控制入手,开展自上而下的审计工作,以风险为导向,选择控制测试的性质、时间和范围,尽可能选择那些能够同时达到多个审计目标的综合性审计程序,充分挖掘审计证据的作用等等。

三、加强企业内部控制审计的途径

1.专门评价企业内部控制单独立项

企业把内部控制的监督、评价作为重要的工作内容,专门评价,单独立项。一些内部控制存在的问题只是在查账过程中发现,企业可以选择检查、监盘、观察、计算、查询及函证和分析性复核等方法全面有序的测试各部门、各环节。并依据审计部门的评价意见测试结果和编写的审计报告。相关部门改进管理,完善制度,防范和化解企业各种经营风险,提出强化内控建设措施。

2.进行内部控制自评

可以在业务流程层面上或者是企业层面上实施企业对控制有效性的内部监督和自我评价,包括:与外部人士的沟通、对运行报告的复核和核对、将信息系统记录数据与实物资产进行核对、以及对其他未参与控制执行人员的监控活动等。内部控制自评为企业提供了一个管理控制风险的工具,综合控制了企业各方面,使企业对内部控制有了更全面的了解。在内控审计人员的帮助下,管理人员评估本部门内部控制的有效性和恰当性,并提出报告。既明确本部门对企业内部控制的责任,又熟悉本部门的控制过程。保证企业内部人员良好而更有效地履行责任,降低了审计成本。

3.改变传统的内部控制在制定阶段的方法

内部控制在在建立之时就交由内控审计进行评价,不能只由相关业务部门来完成。作为内控审计师,要统筹考虑并提出自己的建议,将重点放在企业内部控制全局的高度上。由内控审计活动的“发现和评价”观点向“防范和解决方案”的观点转变。 在审计前要编制审计计划,在审计过程中,要编著审计报告,为减少内部审计的不规范性和盲目性,要运用观察、审核、分析等复核方法,以获取充分可靠的证据。提出有针对性的建议,增强企业整个内部控制系统的效能。

四、结束语

如今,随着内部控制审计在企业管理中所发挥的作用越来越显得重要,企业对内部管理也在不断地提高重视程度。我们在审计实务中,应充分运用先进、科学的审计手段,以理论为指导,使内部控制审计工作向更为完善和健全的程序方面发展。

参考文献:

[1]石 汉:会计内部控制的完善与规范[J].审计理论与实践,2009(1).

篇10

一、风险导向内部审计模式下开展企业管理效益审计的内容

(一)对决策层的战略管理进行审计。企业管理效益的好坏同企业重大决策是否正确有着至关重要的关系,对决策层的战略管理审计是企业管理效益审计的重中之重。战略管理审计是通过对企业经营环境的分析,了解企业竞争地位和企业价值链上整体成本结构;通过调整企业价值链上整体成本结构,以达到获取整体成本优势的目的。它是一种基于整体的审计,更注重企业长期和整体因素的评估。战略管理效益审计着重于对组织目标实现有重大影响的领域进行风险评估,通常关注的风险有:政策、法律风险;资产流失;不能达到目的和目标等。

(二)对管理层的管理控制进行审计。管理层是把企业战略决策和制度、计划变为现实的纽带和桥梁。企业经济活动中的人、财、物等资源系统和信息系统主要是由管理层掌握的。管理控制主要是依托资金流、物流和人流实施管理控制的,因此管理控制审计着重对财务管理、运作管理和人力资源管理等方面进行评价,其审计的内容主要包括计划预算、物流生产、营销管理、绩效评价等。管理控制审计主要是通过对内部控制系统的核查,即要评估内部控制本身有无缺陷,又要核查一个完整的内部控制系统是否得到有效贯彻。通过检查内部控制系统,发现隐患,及时提醒相关部门的管理人员改进内控,防范或减少风险,提高企业经济效益。

(三)对作业层的作业效益进行审计。企业经济效益必须经过生产经营作业循环后才能产生,企业通过实施精细化管理,优化业务管理流程达到增加效益的目标主要是优化作业层次实现的。作业效益审计注重对特定作业任务效益与效率性进行审计, 显示出具体性与短期性的特征。作业效益审计应当分别对人力资源管理作业、供应商以及生产相关作业、市场营销与销售作业等各个作业环节上可能发生的风险进行识别与评价。

二、运用风险导向内部审计开展管理效益审计的程序和方法

(一)开展管理效益审计的程序

1.初步了解被审计单位的基本情况。要了解企业经营品种、生产规模和生产能力等,对被审计单位有一个初步的认识;与被审计单位的各级干部、技术人员、职工进行交流,了解其业务流程和处理程序;全面了解被审计单位的管理情况,通过调阅以往的审计报告、审计方案等了解被审计单位目前的管理、财务及经营情况,以便更好地确定当前重大风险的审计范围。

2.确立目标、鉴别风险。确立审计目标首先应与被审计单位内部管理者交流、研究,充分听取他们的意见,依据管理者已经制定的内部控制程序、决策文件,初步确立审计重点,依据这些标准的相互关系和市场变化,更好地认识审计目标。在此基础上全面识别风险,既要包括内部风险因素,又要包括外部风险因素;既要包括高层管理决策风险因素,又要包括中、基层执行风险因素。

3.开展风险分析,判断特别风险。通过对所收集的大量风险信息,运用数量化方法,估计和预测风险发生的可能性和损失的严重程度,也就是通过对风险原因、风险性质和风险后果分析,确定风险发生的或然率和重大性。在分析风险时,审计人员运用职业判断,确定识别的风险哪些是需要特别关注的重大风险。一般而言,或然率高、重大性高的风险当然是特别风险,但还要考虑风险的性质。

4.根据风险排列结果,确定总体应对措施。对于或然率高、重大性高的风险进行重点审计;对或然率低、重大性低的风险一般不予审计或作少量抽查;介于高或低之间的风险,具体问题具体对待;风险发生的可能性高,但风险发生后重大性低,可做少量抽查或不予检查;风险发生的可能性低,但风险发生后重大性高,应引起足够的注意,重点检查。

5.审查被审计单位内控制度的有效性、适当性、协调性,进一步找出遗漏的控制和管理缺陷。用公司政策、会计准则、法律法规、先进的企业管理准则来判断管理制度的恰当性。要针对审计过程中遇到的实际情况,在把握客观、独立、公正原则的基础上,找出被遗漏的控制点。

6.评估控制系统。当审计过程中发现管理制度缺陷后,应及时判断这些缺陷带来的影响,把管理效益审计侧重点放在事前预防、事中监督、事后跟踪上,以便最大限度地预防和降低决策风险和经营失误,使审计工作更有成效。

7.出具审计报告。审计人员要在全面整理分析审计工作底稿的基础上,总结审计工作,向被审单位介绍审计情况、听取被审单位意见后,确定审计意见的类型和措辞,撰写审计报告。审计报告要重点分析风险对企业经济效益的影响程度,提出防范经营风险、提高企业经营效益的措施和建议。

(二)开展管理效益审计的方法

内部控制是管理效益审计和风险导向审计的基础,除了管理效益审计中常用的问卷调查法、流程图法、观察法、询证法、分析性复核法、抽查法等审计方法外,风险导向内部审计的基本方法还有风险评估、内部控制自评、实施控制测试等。

1.风险评估是风险导向内部审计的重点,在评估风险时融合了企业风险与审计战略,使内部审计所选择的对象更加针对企业高风险的领域,从而提供更相关的、有价值的服务。风险评估首先要进行风险识别,它是指借助于各种分析方法,完整地辨识出风险的来源和所在。这些方法主要有政策分析法、制式表格法、财务分析法、流程图分析法、实地检视法等。

2.内部控制自评要求内部审计人员与被审计部门管理人员组成一个小组,在内部审计人员的帮助下,管理人员对本部门内部控制的恰当性和有效性进行评估,然后审计人员根据评估结果指 出因内部控制中存在的缺陷而给企业生产经营所带来的风险,并提出审计建议,最后由管理者实施。

3.控制测试是对内部控制结构了解的基础上,为了确定内部控制结构政策和程序是否有效执行而实施的审计方法,目的是通过对内部控制测试,取得适当的审计证据以支持较低控制风险估计水平。

三、风险导向内部审计模式下开展管理效益审计的注意事项

(一)注重审计时效。管理效益审计更加强调审计时效。审计结果的及时报送和有效利用,使得企业在风险真正发生之前就能够有效阻止风险的发生或降低风险发生的损失。及时发现、迅速反映、在适合的范围快速披露审计发现的风险管理、控制及治理方面等影响管理效益的问题,特别要抓住苗头性、倾向性问题快速报告,是提升审计结果利用价值的有效方法。

(二)加强信息沟通。沟通应该贯穿整个审计过程。在审计实施前,审计人员应就被审计单位应提供的资料  []、人力和物力协助、各重要审计程序的执行日期等方面与被审计单位充分协调、沟通,避免可能产生的一些矛盾。在审计实施过程中,对审计发现的问题及所提出的建议,审计人员要与被审计单位或个人进行沟通,以免事后产生不必要的争议。在审计报告发出前,审计人员不仅要征求被审计单位的意见,还必须考虑相关部门的意见。

(三)优化资源配置。风险导向内部审计下的管理效益审计,不仅要求审计人员关注被审计单位影响目标实现的内部管理和内部控制因素,还要分析与预测影响目标实现的外部环境和其他方面的风险因素,这就要求审计实施中必须恰当、有效地分配内部审计资源,选择有经验和相关技能的审计人员,合理安排审计时间,根据风险的重要性分配审计资源,使内部审计资源聚焦于重大风险领域,使得更多与风险管理相关的控制和活动得到关注,保证团队的综合素质和能力能够最大限度地发挥作用。