内部审计与内部控制的区别范文

时间:2023-12-18 17:47:41

导语:如何才能写好一篇内部审计与内部控制的区别,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

内部审计与内部控制的区别

篇1

【关键词】企业管理;内部审计内部控制

一、内部审计与内部控制的概念及特征

根据《中华人民共和国审计法》相关规定,内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为,以促进加强经济管理和实现经济目标。内部审计具有服务的内向性、工作的相对独立性、审计工作程序的相对简单、审查范围的广泛性、审计实施的及时性等特征。内部控制的概念与特征为,内部控制是企业管理结构和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。这是企业为实现自身的战略目标的活动,是建立现代企业制度一种基本要求,是企业推动各项工作的基础,也是企业提高管理水平和防范风险的一种有效机制。内部控制具有全局性、常规性、潜在性、关联性等特征。

二、内部审计与内部控制的关系

(1)内部审计与内部控制既有联系,又有区别。内部审计与内部控制的联系主要表现在两者的工作对象与目的相同,而两者的区别则主要表现在各自的工作方法上。内部审计的目的在于协助管理层调查、评估内部控制制度、适时提供改进建议,以求内部控制制度得以持续实施,而内部控制的基本目的在于促进组织的有效运营。在工作方法上,内部审计主要是内审人员审核和评价会计记录、财务状况,以及各种经营与控制系统,用以确定企业的政策是否得到贯彻,建立的标准是否得到遵循,资源的利用是否节约而有效,单位的目标是否实现,并对企业管理工作提出建议。而内部控制则是由企业董事会、经理阶层和其他员工实施的,通过控制环境、风险评估、控制活动、信息和交流、监督等五个方面来开展工作。(2)内部审计与内部控制既相互作用,又是独立存在。在实际操作中,内部审计和内部控制密不可分,没有健全的内部控制制度作基础,就不能开展内部审计;没有健全、良好和运转正常的内部控制,不仅加重了内部审计工作量,而且会加大了内部审计的风险,从而制约了内部审计的发展。反之,没有内部审计对对内部控制客观公正的审计、有效的评审和根据审计结果提出的改进建议,内部控制也只能原地踏步。但是,内部审计不能代替内部控制,内部控制的内容涵盖了控制环境、会计制度和控制程序三个方面,比内部审计的范围要大;同样内部控制也不能代替内部审计。

三、正确处理内部审计和内部控制的关系,推动企业良性发展

(1)充分发挥审计的评估作用,正确评估内部控制的风险。内部控制活动首要活动从全局对风险进行人事、防范和控制进行评估,但由于组织内部各部门利益的出发点不一致,很难做到对全局的把握,而内部审计相对独立的特点,能客观地、从全局的角度考虑风险。因此,充分发挥内审的独立性优势,对企业风险进行全面、恰当的评估,并针对风险提出改进措施。(2)实施好内部审计,有效监督内部控制的运行。在实践中,企业根据自身实际需要,制定了内部控制的规章制度与程序,但由于缺少强有力的监督力量,使违反政策、制度与程序得不到明确的惩罚,导致制度失去权威,不能发挥应有的作用。内部审计履行监督职能,其直接目标是确保内部控制的有效运行,以使内部控制的目标能够实现。(3)正确实施内部审计,全面评价内部控制。在实际工作中,内部审计人员对内部控制主要是内部控制设计的正确性和执行的有效性。内部审计主要是在制定阶段和实施阶段对控制系统作出评价,通过对正在制订和已经实施的内部控制制度进行评价,提出合理化改进建议,达到参与组织内部控制建设的目的。(4)延伸内部审计,全过程参与内部控制。企业的经营活动是一个环环相扣的连续过程,缺少了任何一个环节,都不会全面反映的经营活动,因此,建立良好的内部控制体系,必须涵盖整个生产经营过程,包括事前内部控制、事中的内部控制和事后的内部控制。而作为内控工具的内部审计,也应该能相应地将工作范围延伸到这三个阶段上,才能对内部控制的建设中发挥应有的作用。

总之,企业的内部审计与企业内部控制,是企业内部发展的内部监督体系的一体两面的重要组成部分,二者既不能割裂,也不能单独存在,内部控制是内部审计的基础,内部审计是内部控制的前提,二者相互促进,相互影响,共同推动企业的发展。

参 考 文 献

[1]李存根.现代企业风险管理审计[M].中国财政经济出版社,2005

[2]张超.论内部审计与公司治理的改善[J].现代商贸企业.2009(4)

[3]熊汉兰.浅论企业内部控制[J].企业导报.2009(2)

篇2

行政事业单位内控与企业内控不尽相同

《企业内部控制基本规范》后,许多行政事业单位把内部控制纳入内部管理的范畴,在各方面已有自身的管理制度,并发挥了作用,但其并不完善,也不成系统,甚至还存在一些漏洞。虽然很多理念一致,但行政事业单位内控与企业内控不尽相同,还有很多自身的实际因素需要考虑。诸如,行政事业单位依靠财政拨款,收支平衡,内控不以经济业务活动为主要内容,不带经营色彩,财会工作并不讲求效益化,缺乏内部压力;行政事业单位内控相对于企业内控来说相对简单,应着重抓好关键控制点,特别是着重做好管人管物管工程;为便于理解和贯彻,获得更多支持,行政事业单位内控规范要与企业内控规范体系的架构有所不同,行政事业单位内控不一定由财务部门牵头,有些单位的内控宜由上级主管财务部门牵头。总的来说,行政事业单位针对具体业务事项已有很多管控制度和工作流程,但这些目前散落在各个具体制度和流程中,未形成规范体系,应利用《规范》的颁布实施之机,根据自身职能部门的特点,设计出一套符合本单位实际,科学、有效的内部控制制度,以促进自身的管理发展。

完善《规范》的措施和建议

与现行的事业单位内控制度相比,结合行政事业单位内控的特点,《规范》在某些方面还需要修改、完善。《规范》第四条提出单位内部控制的目标,这一条款反映了对单位主要经济业务活动的控制,却没有反映对各类单位行政、业务管理活动的控制,建议予以增补。《规范》第六条提出单位内部控制的要素,但只提及监督未涉及审计。事实上,审计与监督有着明显的区别:审计具有对象的间接性、方法的综合性、职能作用的防护性和执业者的专门性,监督具有对象的直接性、方法的专门性、职能作用的管理性和执行者的群众性。因此,既然有区别,就不能以监督取代审计,或以审计取代监督,而应使两者并行不悖地发挥其应有的作用。因此,建议将“内部监督”修改为“内部审计监督”。

《规范》第七条指出“单位领导班子对单位内部控制的建立健全和有效实施负责”。这一条款拟明确内部控制的责任,但规定过于简单和笼统。首先,内部控制的建立与实施责任不仅在于单位领导,若论“负责”,除“单位领导班子”外,是否还应包含单位内部有关职能部门的领导?如财务主管或会计主管等。其次,一个单位内部控制的设计与运行受制于成本与效益原则,它不可能是完美无缺的,不能(也不可能)消除任何的可能性,而是要建立防止投入的成本与的累计额之间呈合理水平的机制。再次,内部控制可能将单位的内控风险降到合理水平,但并不能消除风险,只能为单位实现其目标提供合理保证而非绝对保证。事实上,即使是设计完善的内部控制也有可能因为各种原因而削弱或失效,单位负责人如何对无过失情况下所出现的问题负责?最后,对单位负责人应如何负责、负何责任也不够明确。建议对责任问题要再予考虑并加以明确,以便操作。

建议增加三种控制措施。《规范》第十四条指出了内部控制的七种措施,但这些措施仍不够完整,建议加上人员素质控制、文件记录控制和内部审计控制。因为,人是一切工作成败的关键因素,内部控制工作也同样,内控制度的制订和贯彻落实都离不开人,尤其需要有较高素质的专业人员;文件记录控制是有关内部控制的基础性控制;内部审计则是对内部控制进行的再控制。三者对内部控制的有效实施是必不可少的,建议予以增补。修改“内部授权审批控制”为“授权批准与集体决策制度相结合”。《规范》第十四条“内部授权审批控制”提出“建立重大事项集体决策和会签制度。相关人员应当在授权范围内行使职权、办理业务”,但缺乏对越权行为的惩罚制度。同时,授权批准要与集体决策相结合,每一种权利都要接受纵向制约(即单位内部上下级之间),同时也要受到横向制约(即单位领导班子成员之间)。建议在上述方面予以增补。增加“内部审计控制”。对于行政事业单位而言,内部审计是内部控制系统的重要组成部分。对此,不仅要转变观念,还要对内部审计职能进行改造。内部审计不应只是独立的问题发现者,而应成为推动改革的使者。要提高内部审计机构层次,强化其权威性和独立性,使其制度化和规范化。强化内部审计的作用,不仅要提高内审机构的地位,保持其与被审计部门的独立性,还要设置专职人员,确保内部审计人员独立行使职权。加强跟踪落实审计决定、审计意见,真正做到通过内部审计加强内部控制,提高单位各项管理水平。从某种程度上来说,这是行政事业单位加强内控的当务之急。因此,建议第十四条添加“内部审计控制”条款。

关于不相容岗位分离,《规范》多处章节提及,但似乎重要性不突出,力度不够。由于行政事业单位编制有限、人员紧张,岗位安排不尽合理,许多单位存在一人多岗、不相容岗位兼职现象,管理漏洞较多。事实上,近年来行政事业单位发生的多起财务案件,如2004年国家自然科学基金委员会财务局会计卞中涉嫌贪污挪用二亿余元人民币公款案,就是典型的没有执行不相容岗位分离的结果。建议《规范》将不相容岗位单独成章,明确不相容的各个工作岗位名称及各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。《规范》第十四条要求贯彻不相容岗位分离控制的原则,合理设置内部机构,科学划分职责权限,形成相互制衡机制,但此款没有涉及公司法人治理结构问题。目前,国家正在推进事业单位改革,部分承担市场职能的事业单位要走向市场,这就必然要推进公司法人治理结构。要使内部控制在这些事业单位中得到有效实施,应强调完善法人治理结构,所以建议在本条中要予以明确。《规范》在考虑不相容岗位分离控制问题时,在相关控制点还要注意直系亲属回避问题。

篇3

关键词:内部审计;组织模式;内部控制

一、内部审计与外部审计异同

长久以来,许多人认为内部审计就是指企业内部审计,并将其与国家审计、注册会计师审计并称为根据审计主体划分的3种不同审计类型。事实上,内部审计并非企业专利,它起源于古代官厅,目前也在非营利机构大有发展。正确理解内部审计,应将其看作是与外部审计相对的综合性概念。它泛指设立在组织内部的审计机构开展的审计活动,包括企业内部审计和非企业组织内部审计。任何组织和机构都可以根据需要建立内部审计机构。国家审计和注册会计师审计是根据审计主体划分的审计类型,内部审计和外部审计是根据审计机构与组织之间是否存在隶属关系划分的审计类型,它们的划分标准不同,外延难免相互交叉,因此不能将它们混为一谈。

内部审计与外部审计是一组相对概念,它们常常共存并相互转化。以集团公司为例,集团公司是一个内部审计与外部审计并存的典型。我们习惯将隶属于集团公司的审计机构开展的审计活动称之为是内部审计,但从被审计单位角度看这些审计活动又都来源于单位外部,也可以将其称之为外部审计。同一个审计部门开展的审计活动有时可能是内部审计,有时可能是外部审计;同一项审计活动也可能站在这个角度看是内部审计,换一个角度看就变成外部审计了。那么究竟什么是内部审计?

有人认为内部审计产生的动因在于外部审计无法满足所有者监督管理者履行受托经济责任的需求;也有人认为外部审计产生的动因在于内部审计作为所有者监督管理者履行受托经济责任的重要手段独立性不够。这个问题说到底其实是关于内部审计和外部审计两者谁先产生的问题。之所以提出这两种观点,目的在于:无论这两种观点哪种是正确的,它都说明一个重要事实,即内部审计与外部审计各有所长,它们都在各自的领域发挥着重要作用,二者互为补充,不能相互替代。事实上,内部审计和外部审计最初的划分就是以审计机构与组织之间是否存在隶属关系为标准的。如果审计机构设置在组织内部,与组织之间存在隶属关系,那么该机构开展的审计活动就是内部审计;反之,则为外部审计。但是随着社会经济的发展,一方面组织规模不断扩大,结构越来越复杂;另一方面内部审计外包现象的出现打破了内部审计与外部审计的传统差别,这些都使得原有的划分标准不足以再将二者区分开来。这同时也说明审计机构与组织之间是否存在隶属关系虽然是划分内部审计和外部审计的重要标准,但不是唯一标准。我们不能仅以审计机构与组织之间的关系为标准来对内部审计和外部审计进行简单地划分。它们之间还存在着其他更为深刻的差别。

内部审计与外部审计在本质上都是确保委托关系恰当履行的重要制度安排。所不同的是,外部审计侧重于从组织外部审查整个组织履行受托经济责任的结果,目的是验证整个组织的受托经济责任是否已得到恰当履行,并就验证结果发表审计意见。外部审计其主要职能是监督和鉴证,它的落脚点是审计结论或审计意见,表现为一种鉴证型审计。其优点在于独立性和整体性更强,审计意见更权威;缺点在于成本较高,及时性不足;内部审计侧重于审查受托经济责任的履行过程,审计对象不是组织整体,而是组织内部的某一个部门、某一种制度或某一项具体的经济业务或活动(如采购业务、投资活动等),目的在于查找组织内部各部门履行受托经济责任过程中存在的漏洞和不足,提供相应的改进建议,促进受托经济责任得到更加恰当地履行,增加组织价值,主要职能为确认和咨询,落脚点是审计建议,体现为一种管理型和建设型审计。其优点在于更详细、更及时、更具有建设性,缺点在于整体性和全面性不足。

二、内部审计组织模式选择

目前国内外现存的内部审计组织模式主要有董事会领导模式、监事会领导模式、总经理领导模式和财务总监或财会部门领导模式。有学者认为,内部审计服务的权力阶层越高,独立性越高,越能更好地开展审计工作。笔者不同意此观点。除了财务总监或财务部门领导模式难以保证内部审计的独立性应予淘汰之外,其他模式各有所长。组织在选择内部审计模式时,应重点考虑自身的需求。如果所有者需要内部审计为所有者服务,用以监督管理者受托经济责任的履行状况,那么内部审计机构自然应置于董事会或监事会领导之下为所有者服务;如果所有者和管理者都认为内部审计为管理者服务更重要、更有利于增加组织价值,那么就应将内部审计置于管理者领导之下。总之,虽然审计起源于委托关系,但这并不意味着审计只能为所有者服务。内部审计的组织模式和地位与其承担的职责相匹配,是建立良好的内部审计组织模式的最重要的原则,审计机构配置的过高或者过低都会影响内部审计职能、作用的发挥。

事实上,如果我们认真分析一个组织委托关系的构成状况,就会发现管理者领导模式将是促进组织价值快速增加的最佳选择。任何一个组织的委托关系一般都由所有者与管理者的委托关系(债权人与管理者之间也有委托关系,但由于债权人对组织内部审计模式的选择并不起决定性作用,因此在文中未予讨论。)、管理者上层与管理者下层的委托关系以及管理者与一般员工的委托关系等几部分组成。在这几部分当中,管理者是十分重要的环节。以前我们过于强调所有者与管理者之间的利益冲突,忽视了两者之间也有共同利益。所有者的最大利益是实现财产的保值增值,但他们实现自身利益最大化的愿望能否实现还取决于管理者管理组织的状况。管理者在本质上也希望实现组织价值最大化,因为管理者自身的价值在很大程度上是由组织的价值来体现的。所有者需要监督管理者是否恰当地履行受托经济责任是一方面,但相比之下,所有者也会认为如何帮助管理者管好组织、增加组织价值更为重要。在外部审计足以满足所有者监督管理者履行受托经济责任状况的条件下,将内部审计机构置于管理者领导之下用于帮助管理者更好地管理组织、增加组织价值无疑是一个明智之举。

三、内部审计与内部控制异同

内部审计与内部控制的关系问题一直是理论界争执的问题。一般可归纳为以下两种论点:一种论点认为,内部审计与内部控制是并存的,不存在谁包括谁的问题;另一种观点认为内部审计本身就是内部控制的一个组成部分,二者是包含与被包含的关系。笔者认为,内部审计与内部控制两者相互渗透、相互促进、相互需要,内部审计是内部控制的重要组成部分,是内部控制的再控制。

首先,1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,对内部控制进行了权威性解释:“内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。它是由管理当局根据总体目标而建立的,目的在于帮助企业的经营活动合法化,具有经济性、效率性和效果性,保证管理决策的贯彻,维护资产和资源的安全,保证会计记录的准确和完整,并提供及时的、可靠的财务和管理信息”。该解释将内部审计作为内部控制的一个重要组成部分。1992年COSO委员会《内部控制――整体框架》一书认为内部控制中的“监督”因素也包括内部审计。

其次,从内部控制的层次看,根据《总声明》一般认为内部控制由两个层次构成:第一个层次的控制是指具体的操作层次的内部控制,这又分为两级控制,第一级是建立在具体操作人员水平的内部控制,防止操作风险的发生,第二级是指建立在管理人员水平的内部控制,旨在对操作人员形成监督,保证第一级内部控制的有效性。第二个层次的控制是指独立于具体操作和管理之外的内部审计。

篇4

【关键词】内部控制;风险管理;现状及建议

电网企业作为国家基础建设的核心组成部分,其健康发展不仅关系到国家经济命脉,更与普通百姓的生活息息相关。随着对农村电网企业进行统一管理的深入,农电企业上划后势必对现有供电企业造成巨大的冲击,无论是企业规模、人员数量,还是服务客户范围、电网覆盖区域,都将达到历史上的最大值。如何从内部控制入手,实现新上划企业与现有企业平稳有效的融合,防范外部环境与内部环境造成的风险,是当前电网企业发展面临的重大问题

一、内部控制与风险管理

1.内部控制与风险管理的含义

企业内部控制是指以企业管理制度为指导,通过对企业进行监管来防范企业风险,最终实现企业经济效益目标的一种控制监督手段。在企业内部控制的过程中,主要从内部环境即企业内部管控的机构设置、企业内部审计、企业文化等方面来进行分层管理和专业化的管控 。

企业风险管理是一个对企业风险和机会共同管理的过程,它是企业从战略制定到日常经营过程中对待风险的一系列态度与措施,目的是确定可能影响企业的潜在事项,并进行管理,为企业目标的实现提供合理的保证。

2.内部控制与风险管理的关系

内部控制与风险管理具有一定的联系。内部控制的出发点和目的都是为了识别风险、评估风险进而达到控制风险,而风险管理有助于提高企业内部控制效率。内部控制与风险管理是一个企业正常运营的重要组成部分,内部控制为企业运营效率的提高提供保障,因此,内部控制是企业风险管理的关键环节。而风险管理作为内部控制的内容也是完善内部控制制度的重要动力,对完善内控制度有推动作用。

内部控制与风险管理也存在一定的区别。一方面,风险管理的外延要比内部控制的外延更广,风险管理可以是内部控制的细化和延伸,提高内部控制可以实现风险管理的优化。另一方面,风险管理是贯穿于企业整个经营过程中的,需要同时关注财务信息和非财务信息,同时紧密与企业战略相结合,在企业管理体系中,要将风险管理与内部控制相结合。

二、电网企业内部控制与风险管理的现状

1.企业内部控制的风险意识较为淡薄

电网企业各级职能部门与人员风险意识比较淡薄,企业中多数人认为风险管理不需要花费过多的精力和时间去做, 只要公司的规章制度健全,员工不做出违背法律规范的事情是不可能存在风险的,其实不然。风险管理涵盖了企业的众多内容,除了建立制度,还需要具有识别、评估和控制风险的能力。同时,农网企业的职工在农电一体化进程中编制到现有供电企业正规化流程中,但上划人员无论从学历层次、管理意识等方面都与原有职工存在较大差距,这就使得合并的过程中企业在内部控制与管理实施方面存在巨大的漏洞。所以说企业和员工需要进一步认识风险管理和内部控制,避免出现主观臆断的现象。

2.内部控制与风险管理的监管制度不健全

在内部监督方面,电网企业的内部审计并没能真正履行其应有的职能,主要表现在:有的企业的内部审计带有浓厚的行政命令色彩;有的企业内部审计结果并不能客观反映真实情况,内部审计系统形同虚设。另外,在内审的职能上,多数企业的内部审计工作仅仅是审核会计账目,而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面,却未能充分发挥应有的作用。

三、基于内部控制与风险管理现状提出的建议

1.建立内部控制与风险管理的企业文化

企业生产经营的基础是以“人”展开,所有的内控制度也都是针对“人”设计和建立的,企业每一个员工既是控制的主体又是控制的客体, 既对其所负责的工作实施控制, 又受到他人的控制和监督。除了让职工自觉遵守企业的规章制度外,建立能使职工有高度认同感的企业文化,也是顺利实行内控制度的关键。通过塑造企业文化,影响企业成员的思维方法和行为方式,形成一种控制精神和控制观念,这将直接影响到控制的效率和效果。同时,提高员工的风险识别意识,加强员工及时发现风险、准确识别、合理评估风险的能力,使企业的风险暴露于微小之中,以达到内部控制的目的。

2.建立健全内部控制监督机构与机制

企业内部应明确内审部门在企业中的重要地位,协调好内审部门与其他部门之间的关系,从而使内审部门在企业经营生产中可以更好的行使监督职能,使内部控制制度不再流于形式。同时还要确保企业内部人员要配合内审部门的监督。企业内审人员应具有良好的风险管理知识素养,可以在监督过程中发现并确定所存在的风险类型,根据发现的风险类型制定相应的解决措施,在风险彻底解决后制定详细的书面报告并上交,减少风险对企业造成损失。企业应确保审计部门与人员的权威性以及独立性,这样才能确保审计人员可以通过独立的客观角度发展风险,也确保企业人员可以配合审计人员进行风险防范与解决,从而为企业经营和效益提供重要保障。

篇5

一、内部审计特征与内部控制的概述

1.内部审计特征的主要内容。内部审计的特征主要包括以下几点:(1)企业的内部审计主要是针对于企业的内部领导,具有一定的内向性;(2)内部审计具有一定的独立性,内部审计工作可以区别于其他的工作,独立的对企业的管理部门进行审查和评价;(3)内部审计工作的涉及范围很广,可以对企业内部的所有部门的经济运转情况进行审计;(4)内部审计工作还有一定的及时性,在审计过程中,一旦发现企业内部出现问题,就能够及时的与企业的各个部门进行沟通,采取相应的对策,及时解决出现的问题。

2.内部控制的主要内容。内部控制和内部审计存在着很多的共同之处,但是也存在着一些差异,内部控制相较于内部审计所涉及的内容更加全面。内部控制主要是指保护企业资产的安全性和相关的财务信息与资料,确保企业各项政策和方针都能够有效的实施和执行,从而实现企业的计划目标。同时,内部控制还应该保障企业的各种生产经营活动的正常运行,提高企业的生产效率、增加企业的生产效益,并且,企业内部能够自行经行调整、评价等。

二、内部审计和内部控制的关系

内部设计和内部控制之间具有相互依存的关系,也具有相辅相成的关系。内部审计的主要作用是用于企业的财务管理工作,保证企业财务信息的真实性,并对企业的内部控制具有一定的影响。如今,世界各国的企业管理制度都在不断的改革与创新,相关方面的专家和学者也对两者的关系进行深层次的分析和研究,并且认为对审计质量产生影响的因素是多样化的,但主要的影响因素还是审计部门的规模以及审计人员的专业水平和综合素质。此外,企业对内部审计的制度进行改革与创新,就是对内部控制的改革与创新。

三、内部审计和内部控制的产生

1.内部审计对内部控制的评价。内部审计是指审计人员在进行审计的过程中所制定的相应的方案。在内部审计的过程中,审计人员能及时发现内部控制的漏洞与缺陷,并根据相应的解决方法和措施,解决内部控制的漏洞和缺陷。内部控制的工作人员应根据审计工作人员提出建议进行改进,从而提高企业内部的管理水平。内部控制的评价在很多时候可以看作是对内部审计进行范围划分的一种办法,在企业的发展过程中具有重要的作用。此外,内部审计是一项涉及范围广、工作内容多、工作量极大的工作,它需要审计人员要有较高的专业水平和严格谨慎的工作态度,对审计的内容和经验进行总结,并形成系统的数据和报告。

2.政府对内部审计和内部控制的重视。从上个世纪九十年代初开始,我国就开始重视企业的内部审计与控制工作,并针对这项工作开展了研讨会。参加这次研讨会的各机构和部门都将企业的内部控制作为主要的研讨问题,也对企业内部审计的相关制度的改革进行深层次的研究。为了顺应社会的发展和企业的需求,我国政府开始重视建立相关的审计机构与部门,为企业在设立内部审计部门过程中提供一定的参考和依据,企业的管理人员也应该定期检查审计部门的相关工作,确保能够及早的发现问题、解决问题。

四、内部审计和内部控制的研究

1.内部审计机构的规模。内部控制的质量是一个企业内部审计人员专业能力和素质的体现,而内部控制的规模则是保证内部控制质量的基本条件。通常情况下,企业在建立内部审计部门时要有一定规模,审计部门规模的大小体现了企业对审计工作的重视程度,规模越大,企业的工作人员才会重视审计部门,审计部门才会有一定的竞争力,才能够监督其他部门的工作,使企业内部的各个职能部门充分发挥各自的职能。此外,审计工作规模的大小对于内部控制的质量也有一定的影响,审计工作的规模越大,越能够及时发现内部控制过程中所存在的问题和缺陷。因此,审计部门规模越大的企业越能够对内部控制进行很好的监督,从而提高内部控制质量。并且在一定的程度上,内部审计部门规模的大小与内部控制质量的好坏具有一定的正比关系。

2.内部审计人员的素质。审计工作是与企业内部各部门的的经营活动都具有密切的关系,而审计工作完成的质量则与审计人员的专业水平和综合能力有关。在企业进行审计的过程中,应将审计负责人的专业水平和综合能力作为主要的工作力量,所以,应要求审计人员要有较高的专业水平和综合能力,下面我们就审计人员素质的要求进行分析。

2.1企业的审计人员要有丰富的经验和较强的阅历。同一份审计工作,具有丰富的经验和较强的阅历的审计人员能够凭借以往的工作经验对所出现的问题采取恰当的应对措施和应对办法。而工作经验相对较少的审计人员,在工作过程中,则会受到各方因素的影响和限制,取不到良好的效果。

2.2企业的审计人员要有较高的专业水平。审计人员专业水平的高低对审计工作会造成一定的影响,专业水平较高的工作人员应拥有广泛和扎实的审计知识、金融知识以及相关的财务知识,在对企业进行审计时,应对涉及到的相关内容都有一定的了解,利于审计工作的全方位进行。审计职称是国家对审计工作人员专业素质的认可,是审计人员能力的体现,拥有职称的审计人员肯定要高于没有职称的审计人员。

2.3审计人员要有一定的学历。审计人员学历的高低对企业的审计工作具有一定的影响,学历的高低能体现出人受教育程度的高低。通常情况下,学历越高的人受教育程度越高,专业水平越高,综合能力越强,并且受教育程度越高的人在知识的储备上也更加具有系统性。所以,审计人员具有较高的专业水平和综合能力,有利于审计工作的进行,还能够提高内部控制质量,对审计过程中所发现的问题能够及时的采取相应的措施进行解决。

篇6

【关键词】内部控制;审计;误区;应对措施

一、内部控制审计的概念以及在我国的实际开展情况

内部控制审计是评价企业、单位内部控制是否有效的一种现代审计方法,是对内部控制的再控制,包括评价内部控制设计与运行缺陷、分析原因、提出应对措施等,主要从评价内部控制的合法性、完整性、有效性几方面开展。

财政部、证监会、审计署、银监会、保监会五部委2008年联合的《企业内部控制基本规范》是其重要依据。2010年五部委联合了配套指引,该指引同时规定了执行的时间表,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。但是2012年财政部办公厅、证监会办公厅再次了推迟的时间表,2012年需要内控审计的上市公司缩小到了中央和地方国有控股上市公司,2014年才最终扩大到所有主板上市公司。

二、内部控制审计中存在的误区及应对措施

(一)未准确应用风险导向审计理念,教条化的使用准则、生搬硬套

风险评估程序是内部控制审计的核心所在,也是审计过程中不可缺少的一个步骤,即注册会计师应对内部控制的有效性等重要事项进行风险评估,据以确定相应审计程序的性质、时间和范围。然而,实务中往往存在这样的现象,即按照内部控制运用指引分模块按矩阵对企业内部业务流程逐个测试,但是首先应用指引是以制造业为例的,对其他诸如服务业、建筑业却是不完全适用的;其次,指引中只是指出了18项流程中的关键控制点,一般企业会有数百项流程且各有其独特之处。因此,18项应用指引只是在进行内部控制审计时的指导和参考,注册会计师应当在了解企业行业特点、自身经营特点的基础上,首先,对企业的业务流程进行梳理,评估重大错报风险;其次,对于已识别的风险,注册会计师应当评价其对财务报表和内部控制的影响程度;最后,注册会计师应当更多地关注内部控制审计的高风险领域,开展审计程序,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。

(二)重要组成部分的界定

审计准则“对集团审计的特殊考虑”里明确界定了重要组成部分,内部控制审计指引也援引了上述界定,其中重要组成部分分为两类,一类是具有财务重大性,第二类是具有特别风险的也就是因为特定性质和情况,可能导致集团财务报表产生重大错报风险的部分。除重要组成部分外,其余为一般组成部分,一般组成部分中,根据需要仅测试与重要账户、列报及其相关认定相关的流程控制;对不重要的组成部分,不实施内控测试。在实务中,我们注意到,有的注册会计师会对所有组成部分均进行控制测试;有的仅依据财务重大性确定重要组成部分,以上均存在误区。

那么,如何做到准确把握重要组成部分呢?这就要求审计人员在审计计划阶段先行考虑,可根据单体财务报表指标占集团财务报表的比重首先列出财务重大性组成部分;其次在考虑外部环境、内部环境的基础上,确定特定风险组成部分。如果某些组成部分单独或连同其他组成部分导致合并财务报表出现重大错报的可能性极小,注册会计师无需进一步考虑这些组成部分;对风险较低的组成部分,注册会计师可以首先评价、测试企业层面控制能否提供充分、适当的证据,如果能提供充分、适当的证据,注册会计师对这些组成部分可以仅测试企业层面控制;如果某项风险导致企业合并财务报表发生重大错报的可能性不是极小,注册会计师应当测试针对该项风险而实施的控制。

(三)混淆内部控制审计和财报审计内部控制测试

在整合审计中,财报审计的内部控制测试是在内部控制审计程序中一并进行的,但是两者的目的是不同的,故而要区别来看,内控审计是风险—财务报表应对—控制的识别过程;对财报审计来说,甚至可以直接实施实质性方案,而不进行控制测试,但是对于内控审计却并不可以。我们注意到,有的注册会计师在评估了财务报表层次、认定层次重大错报风险后,未再识别相关控制,而直接进行细节测试;还有的在识别了内控缺陷后,下一步的应对是实施范围更广的细节测试。对于这样的问题,关键在于要把握住两者不同的审计目标,内控审计是独立于财报审计的另一道防火墙,必须测试在列报层次识别的重大账户认定相关的内部控制,也只有对财报相关的内控合理性获得了合理保证,才可以结束。

(四)重应用层面控制测试,轻企业层面控制测试

在实务中我们注意到,有的注册会计师在应用层面控制测试中浓墨重彩,而对企业层面控制测试轻描淡写、一笔带过。这种做法主要是认为应用层面控制可以直接对应到具体账户和认定,抓住应用层面控制就是把握了审计重点。但是,我们要明了的是,企业层面内部控制是和所有应用层面控制都广泛相关的,缺陷往往都是重要、重大的,应重视企业层面的控制测试。

对企业层面控制的有效执行可以在以下几方面对整个内控审计产生深远的影响。首先,某些企业层面控制,例如某些与控制环境相关的控制,对重大错报是否能够被及时防止或发现有重要影响,虽然这种影响是间接的,但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。其次,某些企业层面控制能够监督其他控制的有效性,管理层设计这些控制即是为了识别其他控制可能出现的失效情况,虽然这些控制本身并不能精确到足以及时防止或发现相关认定的重大错报,但是当这些控制运行有效时,注册会计师可以减少原本拟对其他控制的有效性进行的测试。最后,某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报,而如果一项企业层面控制足以应对评估的重大错报风险,注册会计师可能不必测试与该风险相关的其他控制。

(五)不利用或过度利用内部审计工作

首先,在整合审计中,应当最大限度的利用他人的工作,准则的这一规定主要是基于审计效率的考虑。内部审计和外部审计在很多方面是有结合点的,所以有选择的利用可以大大的加快审计工作进度,精简审计成本。但是,有的注册会计师认为利用内部审计工作会有损审计独立性,这是非常片面的,内部审计人员并不是内部控制最终的责任方,也不是内部控制的唯一履行者,内部审计与注册会计师审计同属于第三方审计,故有选择的利用内部审计工作是完全可以甚至是必要的。其次,还有一种倾向也是要注意的,就是过度利用内部审计工作,如完全按照内审对内控评价的流程来设计内部控制审计计划。对内部审计的利用一般都是在工作的基础环节,在关键环节如识别关键账户、关键控制测试以及进行审计结论的时候,是不可以利用他人的工作来代替自己的专业判断的。最后要注意的,利用的基础是一定要先行评价,在评价内部审计独立性和客观性的基础上合理利用,从而达到有效提高审计效率的目的。

(六)未准确界定内控缺陷

实务中,当发现内控缺陷时,我们注意到,很多的判断都是认定为一般缺陷,但该缺陷是否与财务报告相关,以及是如何评价的,却未见描述。事实上,评价内控缺陷,需要定性和定量结合考虑,在确定一项缺陷或多项缺陷的组合是否导致不能防止或发现并纠正财务报表错报时,通常,注册会计师需要进行合理的定性判断,不需要进行定量评估;在下一步评价缺陷严重程度时,需要运用设定的重要性水平,并且在考虑补偿性控制、职业谨慎性、被审计单位财务主管负责人对缺陷与报告真实准确无相关性的声明后,进行定量判断。

(七)不重视信息技术审计

在信息技术迅猛发展的环境下,较多公司已经运用了ERP系统、财务系统、OA办公系统的信息化管理。但是我们注意到,有些注册会计师仍然像对待其他审计对象一样,根据内控频率决定样本量,然后进行测试,然而此时,由于自动化控制本身的特点,其存在的缺陷通过实施常规审计程序是无法发现的。如信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等,其中任何一个环节都可能嵌入错误的固化程序,但是观察、检查、重新执行、有的注册会计师采用的调查问卷方式等审计程序对发现这些控制缺陷都是失效的。在信息技术审计环境下,对于注册会计师来说,最重要的是判断是否需要实施信息系统审计以及识别信息技术应用控制并采取具体的测试工作,如有需要可以在考虑信息系统的复杂性及公司对信息系统依赖度的基础上,邀请信息技术审计专家加入项目组。

当前,全球经济环境日益复杂多变、市场竞争日趋激烈,众多企业为了在市场上占有一席之地迅速拓展业务,随之,企业面临的经营风险、财务风险繁多,内部控制的有效实施对企业健康发展来说至关重要。注册会计师应当充分认识内部控制审计制度重要意义,将内部控制审计业务做好做实做到位,保障企业内部控制持续性地有效运行,帮助企业改善经营管理、提交经济效益。

参 考 文 献

[1]解建森,阿不力米提·阿布拉.我国内部控制审计存在的问题及改善措施[J].山东纺织经济.2012(10)

篇7

[关键词]企业内部管理

一、内部控制审计的涵义

所谓内部控制,是指被审计单位为了维护资产的安全、完整,保证会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。

内部控制审计是运用文字描述,调查表及流程图等手段与方法对内部控制系统实施健全性评价,检查和评价企业内部控制系统是否健全,内部控制制度是否被遵循及内部控制机制运行是否有效。

企业内部控制审计是公司运作管理的重要组成部分,是确保企业健康发展的重要管理环节。企业内部控制审计是公司高层决策者监控公司工作、校正决策与规范管理,提升公司价值必不可少的手段,它是最高层管理者耳目的延伸,也是经营风险管理的报警器。。

二、内部控制审计的形式

进行内部控制审计有两种形式,一是专项内部控制审计,二是辅助财务报表审计的内部控制评价。两种方式既有联系又有区别。两者的理论范围、基本程序和方法都基本相通,两者的结论也可以互相利用。但两者有区别:

(1)目的不同。前者的目的是对该单位的内部控制的合理性和有效性发表意见;后者的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,在根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。

(2)范围不同。前者的范围是企业所有的内部控制制度的设计和执行情况;后者的范围是与财务报表有关的内部控制,范围要小。

(3)对评价准确程度的要求不同。前者对内部控制的有效性直接发表意见,因而要求评价结论有较高程度的保证水平;后者评价意见仅仅作为实质性测试的依据,评价精度比前者要低。

随着内部控制重要性的提高,实践中人们已经越来越多将其作为独立的专项审计目标单独开展,尤其对于公司,专项内部审计已经成为其加强对下属子公司和分部门监督和管理的有效工具。

三、企业开展内部控制审计的重要性

1、是贯彻法律、法规的要求。

2000年7月实施的《会计法》明确各单位应当建立、健全本单位内部会计监督制度,第一次对内部控制提出了法律要求。财政部于2001年颁布的《内部会计控制规范》等一系列规范,要求企业从会计信息、资金管理、对外投资、资产处置等方面建立起一套内部控制机制、2006年新修订的《审计法》要求企业建立起内部控制制度。2008年6月,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》,并于2009年7月1日起在上市公司范围内施行,同时鼓励非上市公司的大中型企业执行。这一规范的实施将为我国企业防范经营风险构筑一道坚实的“防火墙”,同时,成为建立健全企业内部控制制度的契机。这需要企业的内部审计机构肩负起监督的职责,检查和评价内部控制的建设情况和执行情况。

2、是审计方法发展的要求。

随着社会生产力的发展、企业规模日益壮大、经营业务日趋繁复,传统的详细审查方法受到挑战,于是出现了抽样审查的方法,通过抽样结果来推断财务报表的可靠程度。但是,如果单凭审计人员主观或任意判断进行抽样,那么抽样的结果难免以偏概全,影响审计结论。内部控制是管理现代化的必然产物,它的产生和发展,促使审计工作从详细审计发展成为以测评内部控制为基础的抽样审计。制度基础审计就是以对内部控制的测评为基础,运用抽样方法得到审计结论的一种审计取证模式。它可以在提高审计效率的同时,确保审计结论达到所要求的质量水平。这种以内部控制为基础的审计方法在保证审计质量的前提下减少时间、节约成本,受到审计人员和企业的普遍欢迎。

3、是加强内部管理的需要。

随着经济的发展,市场竞争越来越激烈,企业面临着经营地点分散、控制跨度增加、控制权利层次增多等难题,商业欺诈、资金周转不力等经营风险与财务风险越来越大,管理任务更加艰巨,需要企业内部协调一致,加强监督和控制,防止工作差错和舞弊,提高经营效率,提高企业的竞争能力。因此企业无论在客观还是主观上都要建立起具有自我控制和自我调节功能的管理机制。

篇8

一、内部审计概述

内部审计的增值,即内部审计通过某些途径为组织增加价值。它和以前的内部审计并没有严格的区别,仍然承担着查错防弊与管理的角色。但是在这个阶段,审计理念发生了根本性的变化,审计人员不仅要善于发现问题,而且更要善于解决问题,并积极向管理当局推销自己的内部审计产品;在这个发展阶段,审计策略发生了重大改变,广泛采取“参与性”的审计策略,让被审计人员参与到内部审计中来,强调与被审计人员建立良好的伙伴关系;在这个发展阶段,审计目标与组织的目标相一致,帮助组织实现其目标就是内部审计的目标;在这个发展阶段,内部审计关注的焦点就是组织的风险、识别、防范,降低组织风险就是它的使命:在这个发展阶段,内部审计的目的就是为组织增加价值,为组织增加价值就是内部审计自身存在的价值,否则,内部审计难以赢得管理当局的支持和重视。

二、内部审计增值功效分析

内部审计新的定义将为企业提供增值服务作为内部审计的根本目标。大部分内部审计部门过去都倾向于防护,把审计重点放在检查是否遵循会计制度与业务程序、验证会计核算的准确性、保护资产安全和完整、发现欺诈舞弊行为等方面。

内部审计并非生产经营系统,强调的是管理制度建设、执行,以及风险防范,作为企业价值链上一项间接、辅助的活动,他怎样实现价值增值的功能呢?笔者认为,内部审计所创造的价值大致可以体现在两个方面:

(一)内部审计的直接价值体现。内部审计通过建立内部控制制度并严格监督其执行,帮助企业减少或者避免损失,当实施内部审计的成本小于可预见的损失时。企业的价值就相应地增加。现代内部审计全面转变审计观念,不增值的审计业务尽量少做,能增值的传统审计业务尽量提高工作效率,减少资源耗费和成本,重点在大力拓展高增值的审计业务。

(二)内部审计的间接价值体现。内部审计的间接价值,就是无论内部审计是否发现了问题,但是因为公司治理结构设计中有内部审计的存在,客观上会对企业内的经营管理者和其他职能部门产生潜在的威慑作用,因为他们知道内部审计部门是一个经常性存在的监督部门,日常工作就是检查监督其他部门、人员的业务活动(包括总经理和其他高层管理者)。由于要不断地接受内部审计的监督与检查,他们不得不维持良好的控制系统和工作秩序,并努力改善他们的工作绩效。另外,内部审计部门还可以通过信息沟通、协调管理、优化价值链等手段间接为企业增加价值。

三、内部审计实现价值增值的有效途径

内部审计为组织增加价值的途径有两条:一条是为组织提供增值服务,另一条则是减少组织损失。在提供增值服务上,主要是通过咨询服务为组织提供有价值的信息和建议。在减少组织损失上,主要是对组织的内部控制进行评价,以确保组织的控制对防止组织价值遭受损失的充分和有效性。

内部控制、风险管理、公司治理是新内部审计定义指出的内部审计活动的三大领域,鉴证和咨询是修订的内部审计实务准则指出的内部审计的两大功能。内部审计就是以实现企业目标为目标,以价值增值为目的,以风险管理为中心,在内部控制、风险管理、公司治理三大领域充分发挥其鉴证与咨询的两大功能。

(一)内部审计帮助组织完善内部控制,实现价值增值。从控制体系的层次看,内部审计是内部控制的组成部分,是企业内部监督的重要组成部分。内部控制是企业有效组织经营,进行管理及各项经济业务有序开展的必要保证。内部审计通过对内部控制进行测试,可以评价企业内部控制制度的健全性、遵循性和有效性,能针对内部控制中的薄弱环节及时提出相应改进建议,促使企业以合理的成本促进有效控制,达到改善企业内部经营状况的目的。内部控制是组织内部约束机制的主要内容,它对于维护组织的生存、提高组织的活力,防范组织的内部风险,增加组织的价值,具有重要意义。健全的内控系统是企业走向成功之路的保障,而内控的失措则会导致企业走向灭亡。

创建于1793年的巴林银行,由于经营灵活变通、富于创新,在国际金融领域获得了巨大的成功。然而,一个年龄只有28岁的尼克李森未经授权在新加坡国际货币交易所从事东京证券交易所日经225股票指数期货合约交易失败,致使巴林银行亏损6亿英镑,这远远超出了该行的资本总额(3.5亿英镑),导致了巴林银行的彻底倒闭。如果建立完善的内部控制系统,并严格执行,这样超越权限的交易是不会发生的,那么巴林银行也不会有破产的结果。

为了及时发现内部控制中出现的残缺和失效问题,内部审计人员必须时刻关注控制环境发生的变化,经常检查各项控制程序的有效性,不断从组织的实际出发,探索优化本组织内部控制的途径。对于控制环境,要重点关注高层管理人员经营理念、组织结构、授权方式、人事政策、国家政策法规、国家经济管理监督机关监督检查方式等方面的变化及其对内部控制的影响。

(二)内部审计帮助组织改进风险管理,实现价值增值。与组织的其他部门相比,内部审计部门具有相对的独立性,它更能从组织的全局角度,更清醒地识别和评估风险,提出防范风险的有效建议;与外部审计相比,它更能从组织的利益和实际出发,更积极主动地识别和评估风险,提出防范风险的有效建议。内部审计还具有综合性,它要对组织所有经济业务进行审查、评价,因而它能对组织面临的风险进行全面的分析、评估。内部审计更具有经常性和及时性的特点,它能随时针对组织的实际需要和发生的问题开展审计工作,及时发现和处理问题,防范和化解组织面临的风险,帮助企业改进风险管理与控制体系,从而为企业增加价值。

内部审计还应当充分发挥自身的优势,大力开展审计调查,对组织中存在的带倾向、普遍性的问题,特别是组织所面临的财务和经营风险,进行经常性的调查、分析和评估、预测,弄清问题产生的原因或未来的发展方向,向组织的高层管理者提出解决或防范问题再次发生的建议,或随时接受他们的咨询,以帮助组织改善风险管理,增加组织的价值。

(三)内部审计帮助组织完善公司治理,实现价值增值。审计人员可以通过对企业的经营目标、决策程序、管理程序、投资过程及结果等进行监督评价,检查公司治理的过程是否科学、有效,结果是否达到预期的目标,还存在哪些不足的地方等等,以推进企业经营管理,帮助企业完成各项治理目标,保证出资人尽可能多的获得投资收益。

杜邦公司在长期的发展中始终把建立良好的道德文化作为公司首要任务,不仅制定了一系列评价标准,内部审计师还定期评价以下这些特征是否充分、有效:

1、有清晰易懂的道德规范和相关说明;

2、有影响力的领导经常宣传鼓励员工成为良好道德文化的执行者;

3、有支持并加强道德文化的具体措施;

4、有保护检举人的举报制度;

5、有要求雇员、供应商和顾客定期声明遵守组织道德规范的制度;

6、设有接受举报的机构,以保证检举得到评价;

7、有道德文化宣传教育机制,使员工成为良好道德文化的倡导者;

8、定期对雇员、供应商和顾客的道德状况进行调查;

9、定期检查组织道德文化可能受到的损害;

10、把背景调查和诚信测试作为招聘员工的一个内容。

内部审计师根据调查结果,对公司提出的改进意见,并对有可能助长败德行为的经营条件和环境提请管理层注意。良好的道德环境使该公司处于一个良性循环,在经济的发展浪潮中始终处于行业前茅。

篇9

关键词:内部控制风险管理风险导向

中图分类号:F270.7 文献标识码:A

文章编号:1004-4914(2010)09-020-02

在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―Oxley Act,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance 0n Monitoring InternalControl Syslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。

但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。

一、内部控制和风险管理基本理论

1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有 效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。

内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。

2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。

企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。

二、内部控制、风险管理之间的关系

内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。

理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。

1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。

2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;Matthew Leitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。

3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。

根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。

企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。

1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。

2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史

和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。

3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。

4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。

5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。

四、完善我国企业内部控制的措施

1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。

2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。

3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,真正做到防范风险;4.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。

4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。

风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。

5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统,企业内部的员工能够清楚地了解内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。

篇10

【关键词】风险管理 风险识别 风险沟通 风险控制

当前我国经济高速发展,产业结构调整工作也已步入攻坚阶段,国家连续出台减税、支持中小企业经营发展等相关政策,这一系列举措被中小企业充分利用,抓住有利时机,拓宽经营渠道,降低制造成本,提高企业经营效益。但是在世界经济变幻莫测的今天,如何做好经营风险控制,适应世界经济发展趋势,利用好国家出台的有利政策,是中小企业乃至大型国企所不能回避的问题。

近年来,企业风险管理已经普及到大中小企业,在各企业均建立有风险管理机构,设立专门风险管理人员、风险管理顾问等,风险管理机构与企业的计划、财务、审计等部门一样,已经成为企业中的一个重要职能部门,共同为实现企业的经营目标而努力。

企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,贯穿在企业的管理过程之中。一个成功的企业风险管理系统与公司政策、发展战略、资源管理、组织架构、操作程序及营运上各项关键参数所发展而成。

企业风险管理的内容包括企业风险识别、企业风险衡量和企业风险处理三个方面。

(1)企业风险识别是风险分析和管理中的一项基础性工作,其主要任务是明确企业风险的存在,并找到主要的风险因素,为后面的风险度量和风险决策奠定基础。

(2)在风险识别之后必须进行企业风险衡量,以便确定其对企业发展影响的严重性并采取相应的措施,它其实就是运用一定方法对风险发生的可能性或损失的范围与程度进行估计和衡量。

风险管理作为当前企业经营不能回避的问题,已经被广大企业接受和重视。它的存在让企业在市场经济发展的大潮中更具备竞争力,其重要性不言而喻。

对于我国企业而言,风险管理不仅仅是监管部门和独立审计行业外在要求,更应该体现为企业自身的需求。虽然在企业经营中,没有专门的风险管控学科,但实际上,它贯穿于企业生产经营管理的各个环节和全部内容之中,也可以说,企业风险管控就是企业生产经营管理的全过程和全部内容。

企业风险管理作为企业经营工作中的重要环节,加强对风险涉及面的掌控力度,对企业存在的经营风险进行客观评估预防,并针对风险评估的结果提出风险管理的对策,为降低企业经营风险,增加企业价值发挥重要作用。风险管理在企业经营工作中的作用表现在:

(1)帮助企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,从根本上提升企业风险管理水平。

(2)达到与企业整体经营战略相结合的风险最优化。把风险管理纳入企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。

(3)使所有利益相关人了解企业风险现状,保障各利益相关人共同利益最大化。通过加强企业风险管理工作,对董事会、风险管理委员会、审计委员会、经理层、风险管理职能部门、内部审计部门等机构在企业管理中的的职责作出进一步的划分和界定,将风险责任落实在公司各个层面,保证了风险管理的公允性和有效性,促使企业各利益相关人利益最大化。

(4)避免企业重大损失。通过对企业重大风险的量化评估和实时监控,风险管理帮助企业建立重大风险评估,重大事件应对,重大决策制定,重大信息报告和披露以及重大流程内部控制的机制,从根本上避免企业遭受重大损失。

(5)提升企业具体风险管理解决方案的效果。企业风险管理体系提出了企业建立风险管理的整体框架,在此框架下,企业可以根据自身管理的水平和阶段,针对具体风险,灵活地制定风险解决方案。通过体系框架下的风险策略、风险组织职能、风险信息系统、金融工具以及内控等多种管理手段,提高具体风险的管理效率和效果。

企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。企业应本着从实际出发,务求实效的原则,积极完善内部控制流程,尽快建立全面风险管理体系,制定开展全面风险管理的总体规划;可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。