内部审计应急预案范文

时间:2024-03-15 17:41:10

导语:如何才能写好一篇内部审计应急预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

内部审计应急预案

篇1

【关键词】企业内部控制基本规范 中小企业 内部控制

一、中小企业内部控制现状

(一)控制环境较差

有些中小企业在有限公司阶段虽然制定了企业章程,但是却未建立完善公司治理结构,未制定相关议事规则,决策、执行、监督等方面的职责权限不明确,未形成科学有效的职责分工和制衡机制。

有些中小企业在有限公司阶段未设立董事会,只设立一名执行董事;未设立监事会,只设立一名监事;相关的《董事会议事规则》、《监事会议事规则》、《关联交易管理办法》、《对外投资管理办法》等也未制定;公司的决策、执行、监督等基本都由公司董事长兼总经理负责,未形成科学有效的职责分工和制衡机制。

有些中小企业在有限公司阶段也未成立专门的审计部门,公司审计工作尚无规范的、系统的制度及流程,部分内部审计工作由财务部来承担。

(二)风险评估缺乏

有些中小企业在有限公司阶段未制定专门的风险识别与评估体系。由于公司规模较小,公司管理层能够及时发现并积极防范日常经营过程中的风险,公司并未设立专门的部门来处理应急性的突发事件,实际经营中对于主要风险的把握是通过总经理对于业务的掌控来完成。但从公司长期发展的角度来看,突发性的重大风险防御机制尚需建立和完善。

(三)控制活动不健全

有些中小企业在有限公司阶段未建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。因为有些中小企业在以前未发生过重大风险及突发事件,所以也未建立相应的机制,但重大风险预警机制和突发事件应急处理机制对一个健全的企业内部控制是必不可少的。

(四)信息与沟通不畅

有些中小企业在有限公司阶段的重大决策及大部分一般决策都是由老板一个人决定的,相应的信息沟通与反馈得不到有效的处理,同时员工对信息与沟通也没有较强的意识,导致有些中小企业的信息与沟通不畅。

(五)内部监督薄弱

有些中小企业在有限公司阶段未建立内部控制监督制度,没有设立专门的内部审计机构或者其他经授权的监督机构,未设立监事会,只有一名监事也不能形成有效的监督。

二、完善中小企业内部控制的建议

(一)控制环境

根据《企业内部控制基本规范》的要求,企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。

本人建议设立董事会、监事会,并确定总经理、副总经理、财务负责人、董事会秘书等高级管理人员,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。制定《董事会议事规则》、《监事会议事规则》、《关联交易管理办法》、《对外投资管理办法》等规则办法。设立内部审计机构,对监督检查中发现的内部控制缺陷,按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,直接向董事会、监事会报告。

(二)风险评估

根据《企业内部控制基本规范》的要求,企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。

本人建议中小企业组织相关人员全面系统持续地收集相关政策,准确识别外部风险,同时公司的核心技术掌握在几个核心技术人员手中,我们建议制定相应激励政策,以求这些核心技术人员与公司同在。

(三)控制活动

根据《企业内部控制基本规范》的要求,企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。

本人建议建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。

(四)信息与沟通

根据《企业内部控制基本规范》的要求,企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。

本人建议每周组织开一次例会,由董事、监事、高管及一般员工或者各派相应代表出席,实时总结公司过去一周的工作情况,展望部署下一周的工作,倾听一般员工的想法,同时董监高的意见与建议也要实时转达至一般员工。

(五)内部监督

根据《企业内部控制基本规范》的要求,企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。

篇2

对风险实施有效的控制可以减少经济损失,提高工程质量。工程项目风险管理有利于减少风险发生的频率和不确定性。在风险管理中,我们应用管理科学技术,通过排除法把非风险源予以清除。水利工程建筑项目风险管理是管理的一个过程,利用风险管理理论,在水利工程建设中,采用定性与定量相结合的方式,可采取依靠观察、调研、实地勘测等,参考水利工程建设的风险发生概率及因由,结合项目建设全过程,建立健全工程风险管理预警系统,形成一个前后连贯的管理过程。水利工程建设项目风险管理利于节约成本,减少损失。风险管理的关键在于程序化,水利工程项目全面风险管理是用系统的、涉及各个方面,通过应急机制减少项目进行过程中的不确定性,在实践中需要按照科学的流程予以落实依靠科技,提高素质是风险应急预案,按照科学的程序予以评估,当然利于工作效率的提高,成本的节约。

水利工程建筑项目一风险防控的问题

在水利工程建设项目中,社会公益要求与经济人利益诉求之间产生强大落差,水利行业在政策引导方面风险管理意识差,执行部门缺乏风险管理意识,对于水利工程的风险度以及工程进度等工作的核定过多依赖评级结果,对企业盈利和发展的战略规划性差。从业人员很少具有危机、风险方面的专业背景,水利工程公益对象概念界定的模糊,忧患意识、危机意识相对于私有企业小得多,风险防范的责任就会严重流失。由于水利工程公益性补偿制度的存在,水利工程出现风险的概率加大。机构设置时没有遵照完整统一的原则。信息屏蔽时有发生,这一切都会导致风险发生,从委托理论而论,链条长,企业在生产经营过程中存在的问题和偏差,对人缺乏有力的约束机制,内部审计缺乏独立性,财权和人事权都难以超然于现有利益集团,所以独立性难以实现。各种资源没有充分整合、共享利用,在公益型水利建设项目的建设与管理中,缺少信息共享政策法规,共享机制还未建立,工程进度和合同履行情况,不利于资金控制,单向的共享愿望形成事实上的信息壁垒,自然会产生投资风险。通过概略统计得出的不精确的收支数据,政府投资项目超概算数量超概算幅度愈来愈大,弱电、消防工程在初设阶段基本未委托设计和概算编制,有关管理部门针对超概算的情况难以制定制度设计,概算制度成了一种僵化的制度安排。水利工程的风险涉及到方方面面,目前在水利工程领域主要有四种。其中.合同风险常常位于合同款项和合同管理;.承包商风险对工程管理提出了更高的要求;.市场诚信风险,是为了避免达到不支付或少支付工程款的目的;.投资风险,指不可确定性因素的干扰从而导致资金到位困难。

水利工程项目风险防控机制建议

篇3

【关键词】内部控制;风险管理;公司治理;战略管理

受美国2002年出台的萨班斯――奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。

本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。

一、内部控制、风险管理的理论发展及其关系

(一)内部控制理论的发展

20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。

2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。

我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。

(二)风险管理理论的发展

企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。

我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。

(三)内控体系建设与全面风险管理工作的联系和作用

全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:

1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。

2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。

至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。

二、宝钢在内控体系建设领域的实践

宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。

内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。

在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。

三、宝钢在风险管理领域的实践

宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:

(一)以法人治理为基础,建设风险管理的组织体系

完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。

同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。

(二)与管控模式相结合,制定风险管理策略和流程

宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。

因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。

(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警

在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。

四、整合的风险管理框架设想

通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图1所示:

(一)风险管理系统应与公司治理系统进行整合

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。

(二)风险管理系统应与公司战略管理系统相整合

风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:

将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。

企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。

总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。

【主要参考文献】

[1] 张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).

[2] 吴轶伦.内部控制自我评价[J]. 上海财经大学学报,2004,(4).

[3] 吴轶伦.内部审计职能的发展与风险管理模式的建设[J]. 冶金财会,2006,(3).

[4] 方红星.内部控制审计组织效率[J].会计研究,2002,(7).

[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.

[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).

[7] 朱荣恩、贺欣.内部控制框架的新发展――企业风险管理框架 [J].审计研究, 2003,(6).

[8] 金或日方 ,李若山,徐明磊. COSO报告下的内部控制新发展 [J].会计研究,2005,(2).

[9] 严晖.风险导向内部审计整合框架研究 [M].中国财政经济出版社,2004.

[10] 宋夏云.现代风险导向审计模式的背景分析与理论创新 [J].中国审计,2005.

[11]胡春元.审计风险研究[M].东北财经大学出版社, 1997.

[12]吴轶伦.内部审计的风险管理模式[J].上海审计,2006,(1).

[13]郑石桥等.现代企业内部控制系统[M].立信会计出版社,2000.

[14]张国康等.内部控制制度[M].立信会计出版社,2003.

[15]课题组.现代企业内控制度:概念界定与设计思路[J].会计研究,2001,(11).

[16] Arthur A. Thompson.Jr and A.J.Strickland Ш,段盛华等译,战略管理.中国财政经济出版社,2005.

[17] Robert S. Kaplan and David P. Norton,刘俊勇等译.战略地图.广东经济出版社,2005.

[18] Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.

[19] Paul J. Sobel, Auditor's Risk Management Guide: Integrating Auditing and ERM, Aspen Publishers, Inc.

篇4

关键词:县级医疗机构;内部控制;对策

中图分类号:F323 文献标识码:A 文章编号:1001-828X(2014)011-0000-01

新农合制度自实施以来不断扩大保障范围和报销比例,已经让越来越多农民的从中受益,大大减轻了农民在求医治病方面的经济负担。县级医疗机构作为县域医疗卫生服务体系的龙头,管理层要加强内部控制意识,建立完善的内部控制体系,提高医疗机构的工作效率和综合管理能力。

一、新农合制度下县级医疗机构内部控制存在的问题

内部控制是县级医疗机构管理的关键环节,完善的内部控制对确保资金使用的安全性和有效性发挥着重要的作用,然而在内部控制的管理实践中出现了很多问题。

(一)内部控制环境薄弱,组织结构不合理

医疗机构管理层普遍缺少内部控制的意识,由于受到自身管理水平的限制,他们认为资金管理只要由财务部门按规定编制预算即可,从而忽视了对内部控制环境的建设。很多县级医疗机构的组织结构设置不够科学合理,各职能科室之间没有形成相互制约和相互限制的关系,岗位职责未能得到有效落实,使得内部管理缺乏系统性,资金管理出现漏洞。

(二)缺少有效的内部审计监督和评价体系

目前很多县级医疗机构并没有一套完善的内部控制监督和评价体系,管理层也没有专门设置监督岗位,使得监督和评价工作流于表面,并没有起到切实的作用。有些医疗机构没有审计部门,或者设置了审计部门但是人员配备不足,岗位职责划分不明确,本应该相互独立且不相容的岗位之间却出现由一人兼职的违规情况。内部审计监督机制不健全,审计工作不够深入,只停留在会计账面的审查,发现问题通常也只是事后处理,并没有涉及到日常内部控制的稽查和评价方面。

(三)风险评估不足,风险防范意识薄弱

在新农合制度下,县级医疗机构面临着更加激烈的市场竞争和变化莫测的市场环境,也将承担更多的经营风险,然而县级医疗机构的管理层仍然采用传统管理制度下的决策方法,没有进行风险评估,缺少风险评估意识和风险管理机制。比如在投资管理上由于缺少风险意识,管理层在没有对市场经营风险充分分析论证的情况下就盲目决策,大量采购医疗相关设备物资,设备购置后又没有及时对操作人员进行培训,不仅设备没有得到有效利用还占用了本就不充足的资金。

二、完善县级医疗机构内部控制的对策

(一)完善内部控制结构,营造良好的内部控制环境

内部控制是财务管理的关键性环节,是对其资金、成本、资源科学配备的主要方法。内部控制环境的营造与医疗机构的经济活动息息相关,而这取决于管理层的重视程度,只有对内部控制足够重视才能保证建立完善的内部控制结构和制定有效措施。首先医疗机构的管理者要明确自己在内部控制建设中的重要角色以及应承担的责任,不断加强学习,提高自身的管理水平,从根本上转变观念形成良好的内部控制的意识;其次在管理层中要配备专门的负责财务的人员,以便在今后的决策中可以从资金管理的角度提出可行性的建议,确保医疗机构经济运营的可持续发展;再次要对组织机构部门进行合理的调整,明确岗位职责和责任划分,完善内部控制结构;最后加强对财务人员的专业技能和内部控制相关知识的培训,并出台相应的激励奖励政策,既能激发员工的工作主动性又能加强对其行为的约束力,提高员工的综合素质和业务水平。

(二)加强内部审计监督力度,建立健全内部控制评价体系

只有不断加强内部审计的监督力度才能保证内部控制机制的有效落实。审计部门作为内部控制的核心部门应该发挥出对资金监管的作用,审计部门直接对最高层领导负责,与其它职能部门相比具有独立性和权威性,其它部门要积极予以配合,强化审计机构的监督职能。引进高素质的审计人才,加强对内审人员的培训,建立专业化的审计队伍,对医疗机构的各个方面进行全方位的控制,包括日常经营活动、关键部门和关键人员进行抽审,重点进行内部稽查、绩效评价审计和内控制度落实等情况的核查。

县级医疗机构要根据自身的规模大小、经营情况和组织结构特点在分析评价的基础上,形成创新性的、系统性的、符合自身发展现状的内部控制评价体系,从内部和外部两个方面进行综合而全面的测评,对医疗机构内部控制的有效性和科学性综合评价,并建立绩效考评机制,建立健全内部控制评价体系。

(三)加强医疗机构的风险评估,降低控制风险

医疗机构的风险包括资金风险、经营风险和医疗风险,可以说风险问题关系到整个医疗机构的生死存亡。因此医疗机构要加强风险意识,提高自身的风险控制能力,才能在新农合制度下得以长远的发展。县级医疗机构首先要确定风险因素,结合自身的实际运营情况和发展目标对可能遇到的风险进行分析汇总;其次制定科学的风险预估策略,降低可能存在的隐形的风险几率,或者采取行之有效的手段将风险转移,尽量将可能出现的风险控制在前期或者是中期;尤其对涉及资金量较大的重点项目容易出现资金安全问题,更应该加强内部审计的监督力度,降低控制风险;最后对已经确定的风险实行24小时不间断的监控,制定风险应急预案,将风险产生的经济损失降到最低。总之,一定要加强风险防范意识,完善风险评估体系,重视风险管理在内部控制管理中的作用。

三、结束语

在新农合制度下,县级医疗机构要满足市场化的发展趋势必须提高内部控制的意识,内部控制对确保医疗机构经营合法化、资产安全化、财务信息精准化中发挥着重要的作用,能够全面提高医疗机构的会计信息质量和工作服务效率,全面提高医疗机构的综合管理水平。保证新农合制度的健康可持续发展。

参考文献:

[1]徐琪疆.医院内部控制改进对策[J].财会通讯,2010(26).

[2]高永总.强化医院内部控制初探[J].中国内部审计,2011(2).

篇5

1医疗机构内部审计工作的现状及存在的问题

首先,医院对内审工作重视度不够,难以有效发挥的内审职能。其次,内审资源投入不足,尤其体现在人力资源上,缺乏具有丰富经验的复合型审计人才,公立医疗机构事业单位的性质,又给内审人员的补给带来了天然的屏障,导致高素质内审人员欠缺,也不能充分调动内审人员积极性。再次,很多医院的内审难以完全履职,或和财务等部门存在职能混淆、交叉、留白等情况,内审作用难以得到充分发挥。最后,内部审计多处于事后监督阶段,往往在问题发生之后,才想到让内审部门参与,没有发挥审计的有效监督和控制,不能“防患于未然”。可见医疗机构内审工作开展情况与国家和卫计委要求尚有一定差距。

2信息化对医院内部审计工作的启示

2010年,刘家义审计长在全国审计工作会议上明确指出:“中国审计的出路关键在于信息化,信息化的关键在于数字化。”国务院《关于加强审计工作的意见》(国发[2014]48号)第十九条提出了“加快推进审计信息化”建设的总体要求,主要包含实现信息共享、提高审计信息化技术运用、创新电子审计技术、推进计算机信息系统安全性审计等四层意思。可见,信息化是未来内部审计工作开展的方向,也是审计工作的一项革命,在审计对象、审计工具、审计线索、审计介质与审计结果等方面跟传统的审计工作有很大的不同,在信息化形势下,给医院内部审计工作带来了一定的挑战,也给目前状况下内审工作的发展带来了契机。如何在信息化形势下,有效开展医疗机构内部审计工作,履行医疗机构内部审计职能,是一个迫切需要解决的问题,笔者拟对此谈几点看法。

2.1构建信息化环境下的内部控制机制

在信息化环境下,和传统的审计相比,审计的对象、线索、方法、流程、介质等都发生了改变,以往的内控制度和审计准则已经不能完全适用,应针对信息化的特点和存在的风险,建立一套符合信息化环境的新的内控体系,以指导信息化条件下的审计工作,主要包括以下几个方面:第一,内审人员参与医院信息系统建设,提出审计需求,业务系统和审计系统对接,审计享有查询权;第二,针对信息化环境下的控制特点,制定内部控制制度和信息系统管理制度,确保在信息化条件下,业务操作职权分离、系统节点有效控制、业务流程得以优化;第三,针对计算机操作流程,制订完整而明确的操作控制审计方案、信息系统审计方案,开展信息化审计;第四,在信息化环境下,注重操作安全、数据安全和信息保密,制定电子签退、电子签名控制制度,制定系统档案资料管理制度,确保资料双份备份,异地存放,采取必要的防磁、防火、防潮措施;第五,制定信息系统突发事件应急预案,并安排专人对信息系统定期不定期进行巡检。

2.2利用信息手段,创建医院风险“免疫”系统

2009年,刘家义审计长提出审计监督制度“是维护国家经济安全的重要工具,是保障国家经济社会健康运行的‘免疫系统’”,据此要求,审计应发挥预防和实时监控功能,在信息化环境下,这两个功能得到更有效的发挥。“免疫”功能的发挥要求审计人员透过经济现象看到隐藏在背后的深层次问题,提前预见存在的问题和不足,并给予纠正和预警。一方面要求审计关注点上升到医院战略层面、管理层面,对医院建设发展中的重大经济事项、重大业务活动、重大资金运作予以重点关注;另一方面要求审计关口前移,审计人员需要介入经济事项的始终,从源头控制,防患于未然,例如:在采购业务中,审计部门依次对申购、招投标文件、比选过程、合同签订、合同执行与付款等环节进行审计把关,确保医院资金使用合理合法合规,提高资金使用效益;在基本建设项目中,建立全程跟踪审计机制,通过对工程项目设计招标的事前介入、施工过程的事中追踪,建设资金的动态管理、事后的确认和评价,实现审计全程监督,提高建设资金使用效益,预防腐败现象发生。在信息化环境下,审计可以做到有效预防、信息共享、实时监控,例如:建立设备、后勤、财务、审计等各部门联动机制,要求经济业务记录留痕,建立授权互访式的信息平台,授予内审部门数据查询与访问权,实现部门间资源共享和经济业务的电子化查询,审计部门采取抽查核对、趋势分析、分析性复核等审计手段对医院的经济业务实施监控,尤其在收支审计、采购支出审计、耗材管控与合同管控几方面运用最为明显,一方面实现了审计实时监控,另一方面重构医院业务流程,实现资源整合,降本增效。

2.3开展信息系统审计,形成医院信息安全高效发展态势

目前,医疗机构信息化态势发展明显,在财务收费、挂号诊疗、检查检验、后台支撑、内部管理等方面基本形成以计算机网络为中心的业务处理系统,数据集中、业务集成、部门联动和处理自动化程度大大提高,打破了原有的条块分割,重构了业务流程,由纸质平台向电子平台转变,带来了极大的便利,然而审计风险和信息系统风险交错,给审计工作带来了很大的挑战。在信息系统存在缺漏的情况下,对医院产生的影响和后果将是难以估量的,之前北京肿瘤医院等发生的舞弊事件,就和信息系统的缺漏有关。只有在安全可靠、高效运转的信息系统下,医院的业务才得以有序开展,由此,评估信息系统的合法性、安全性、可靠性与高效性显得至关重要,要求将信息系统本身的设计、操作、执行、安全与保密纳入审计范围,按照每一条业务链和信息链,条分缕析,逐一对信息系统的安全性、可靠性、稳定性进行审计。通过符合性测试、程序测试等手段,填补系统缺漏、删减冗余、使系统节点之间环环紧扣又相互分离、相互制衡,构建安全高效、良性发展的医院信息体系。

2.4利用信息技术,构建医院审计风险预警体系

经济活动可以划分为事项风险、操作风险、管理风险、控制风险4个层次,内部审计的目的就是针对每一层次,利用信息手段,抓关键控制点并设置控制标准,关键控制点即为审计关注点,控制标准即为风险阙值,从而构建医院风险预警体系。首先,可以利用计算机网络,建立业务流程的风险预警系统,建立风险数据库,运用计算机技术进行分析性测试,提高分析的速度和准确性;其次,在大数据环境下,利用大数据的优势,运用计算机技术进行统计抽样,避免人工抽样审计的不足,逐步从抽样样本向全样本迈进;再次,内部审计要使用信息挖掘技术,充分发挥数据挖掘功能,利用数据之间的相关性,从原有数据因果关系逐步向相关关系转变,在信息化程度较高的情况下,打破不同业务模块中所天然存在的无形隔离和障碍,通过使用对数据的系统检查及相关分析等方法,使数据的整合不受部门、业务种类、潜在风险与数据媒介的限制,从而全面监察业务进展并了解风险变化趋势,抓住数据里面所隐含的各类风险及其风险关联,提出具有前瞻性和战略性的审计预警及解决方案,实现内部审计的“免疫”功能。

2.5利用电子审计技术,推动医院信息化建设

医院信息化建设是一项长期而艰巨的任务,应建立先进科学的信息管理系统,在内部审计领域进行拓展和引进新的技术、方法。编制和开发审计软件并制定计算机审计程序,通过信息化管理,在较短的时间内便捷准确地获取所需要的信息资料,提高效率和节约资源,保证审计质量,规避审计风险。由于基建审计在医院内部审计工作中占据重要位置,同时基建审计具有历时长、数据量大、数据种类多与专业性强等特点,给内部审计的有效开展带来很大难度。随着建筑信息建模技术和建筑虚拟化的快速发展,以及优质工程造价软件和管理软件的涌现,基建资料的虚拟化、电子化及大数据存储为审计方法提供了新的思路,对真正有效开展基建审计工作有很大助益。

作者:王娟 单位:四川大学华西第二医院

参考文献:

[1]王立姝,夏鲁婧.医疗单位审计信息化的应用[J].中国内部审计,2012(1).

[2]冯万进.加快审计信息化建设的方法[J].中国内部审计,2010(1).

篇6

(一)风险管理审计工作内容和现实状况

风险管理审计是由内部财务会计审计、管理会计审计发展而来的,主要是针对企业风险管理的问题,包括识别风险、评估风险、应对风险等实施的一系列内部审计评价工作,风险管理审计的主体是内审机构,客体是企业风险管理的制度和措施。风险管理审计是一种较为先进的管理手段,目前我国企业实施风险管理审计仅仅处于起步阶段,实施风险管理审计还不是很普遍,很多企业并没有要求内部审计机构执行风险管理审计的工作职能。但是,随着我国企业生存环境的不断变化,市场竞争的日益激烈,企业会越来越重视风险管理审计工作,并逐渐为企业的生产发展提供管理支持作用。

(二)风险管理审计对国有企业经营管理的帮助意义

我国的国有企业数量不少,规模也较大,涉及的行业也多,建立、经营的时间都比较长。因受到计划经济时代的影响,我国国有企业管理思想普遍较为落后,对市场经营风险的管理意识不强,风险识别、风险评估和风险应对等活动多半都组织在事后,并且对市场和经营风险的抵御能力有限,给国有企业带来了很多损失,也失去了很多市场拓展机会,极大地影响了国有企业的生存发展。随着我国市场经济的不断发展,政府逐渐放开了一些国有垄断行业的门槛限制,允许非国有资本参与垄断行业的投资经营,这给国有企业的生存带来了前所未有的挑战。因此,国有企业管理层必须要认清形势,积极与市场对接,规避市场和经营风险,搞好风险管理以及风险管理审计工作,促进企业的长久发展。

二、国有企业风险管理审计活动存在的问题

(一)国有企业风险管理意识不强,重视程度不高

国有企业设立受国家政策影响较大,会获得较多的财政补贴资金支持,承担生产经营和维护国民经济稳定的任务,一些企业还具有一定的公益作用。因此,国有企业本身风险意识内生力不足,企业管理层对风险管理的意识不强,尤其是处在一些垄断行业的企业,受到的市场竞争压力小,市场和经营风险不大,导致对风险的重视程度不够,风险管理的意识也不强,对风险管理审计部门即内部审计部门工作的重视程度有限,很多国有企业内部审计部门人员较少,专业性也较差,甚至被认为是企业中最悠闲的部门。这些内外环境因素都不利于风险管理审计工作的发展,发挥出其内部管理的作用。

(二)风险管理审计目标和范围不明确,影响审计工作开展

风险管理审计工作不同于财务会计审计,在审计范围、审计内容、审计目标等方面都有其特殊性,内部审计部门进行风险管理审计,多数都偏向财务会计审计方向,并未实现对风险管理活动的内部监督检查作用。审计工作中,审计人员花费较多的精力在财务报表合规方面与经营指标的完成情况调查,目的在于规避、降低会计核算风险。但是,管理会计核算风险仅仅是企业风险管理的一种,并不是全部风险管理内容。因此,需要内审人员明确风险管理审计的内容,调整工作方向,实现审计目标。

(三)内部审计部门人员工作思路和审计技能有待提高

适应国有企业内部审计内容的变化,发挥好风险管理审计作用,需要具有一定风险管理审计的思路,并且具有一定风险意识和特定审计技能的队伍。国有企业内审部门员工知识结构单一,审计技术还是以传统报表审计技术为基础,对企业风险管理问题的识别能力不强,还不具备敏锐的风险“嗅觉”能力。同时自觉提高审计能力,完善自身知识结构的动力不足,导致目前内部审计人员的能力还不能满足国有企业风险管理审计工作的需要。因此,加强风险管理审计工作,必须要从加强人才培养入手,提高企业的风险管理审计水平。

三、加强风险管理审计工作的对策和方案

(一)提高风险意识,加大对内部审计部门的建设

随着政企分离范围的扩大和国企改革的深入,国有企业将会参与到更激烈的市场竞争中,面临更多的风险。对于风险抵御能力较弱的国有企业,必须要从计划经济时代的管理理念影响中走出来,用风险管理的意识指导企业发展与经营。企业管理层要更新观念,重视对企业风险的评估和控制工作,在内部控制制度的设计中,制定风险管理审计活动的监督措施,提高企业各部门的内部风险管理意识,也有利于风险管理审计工作的开展。另外,重视内部审计部门的建设,强化风险管理审计职能,促进其内部风险评估与建议的作用。

(二)扩大风险管理审计范围,提高风险管理审计效果

一般来说,企业风险管理机构不仅包括财务会计部门,还包括生产经营部门、后期保障部门、安全保卫部门、管理部门等几个重要机构,企业风险管理审计要围绕这些部门面临的风险展开评估检查工作。例如,对生产经营部门要检查是否对产品的功能设计、生产技术、生产工艺等方面有改进制度机制,是否安排研发投入,成本效益是否合理等;对于后期保障部门要围绕设备和材料采购过程是否合规合法,在节约成本的同时是否能保证产品质量等;安全保卫部门风险管理目标相对较为明确,是否足额提取安措费,相关安全措施是否安排落实,危机应急预案安排的是否合理等;对于管理部门就是要围绕企业可能面临的法律问题,设计的应对措施是否有效,相关风险损失测算是否合理等。风险管理审计工作内容和范围较为宽泛,涉及的风险管理问题较多,内部审计人员在进行风险管理审计时,应该从风险管理成本、管理收益、发生风险之后的弥补成本、控制成本等成本收益角度评价和监督风险管理措施的实施,从经济利益角度提出可行的风险管理改进意见,帮助企业完善风险管理工作。

(三)加强对内部审计人员的技能培训,提高内部审计技术,满足风险管理审计要求

风险管理审计要求审计人员要具备更加专业的知识、先进的审计技术和敏锐的风险识别能力。国有企业管理层应该有计划地加强内部审计部门的人才培养,通过增加专业技能培训,对现任内审人员进行知识结构更新,丰富管理知识的应用途径。另外,在招聘内部审计机构员工时,多考虑招聘一些具有专业背景的复合型人才,特别是具有丰富风险管理经验的审计人员,从而改善国有企业内审人员的组成结构,保证风险管理审计工作的顺利进行。在审计思路方面,要培养国有企业内审人员的风险管理审计理念,逐渐了解和掌握风险管理审计的工作内容和范围,把握与传统内部审计工作的区别,有针对性地应用审计技术对企业风险问题进行审计评价,保证风险管理审计目标的实现。在审计技术方面要革新工作方法,在传统报表审计技术的基础上,创新性地利用网络和大数据的数据共享性,及时了解审计行业最新的审计技术,丰富评估风险管理机构固有风险和变动风险的技能,利用ERP等企业管理平台,设计和应用风险应对检查模块,提高审计的效率和效果,最终提高企业潜在的经济效益,降低风险损失。

四、结束语

篇7

关键词:事业单位 内部控制 问题 对策

内部控制是一种以预防为主,防止错误和舞弊的发生,提高管理效果及效率的现代管理制度。内部控制也是事业单位管理制度的组成部分,是事业单位为履行职能、实现总体目标而建立的保障系统,它由内部控制环境、风险评估、内部控制活动、信息与沟通和内部控制监督等要素组成,并体现为与行政、管理、财务和会计系统融为一体的组织管理结构、政策、程序和措施等,是事业单位为履行职能、实现总体目标而应对风险的自我约束和规范的过程。

建立和健全事业单位内部控制制度,是加强财务管理的重要措施,是保障单位健康发展的重要举措。根据单位实际情况制定一套适合本单位发展的内部控制制度至关重要。

一、基层事业单位内部控制存在的不足

(一)事业单位内部控制观念不强

大多数基层事业单位负责人对建立健全本单位内部控制的重要性认识不到位,缺乏内部控制观念,内控意识淡薄,重业务和事业的发展,看淡内部管理,甚至缺乏对内部控制知识的基本了解。认为内部控制只是财务部门的事,与自己毫无关系。虽然也制定了本单位的内部控制制度,但忽略了其执行情况及执行效果,内部控制制度形同虚设。

(二)内部控制制度不完善

大多数事业单位也根据上级制定的内部控制制度,制定了本单位的内部控制制度,但只是限于照搬照抄,没有根据本单位的实际情况制定一套符合本单位发展的内部控制制度,操作性不强,不能满足本单位管理的需要。

(三)对内部控制的执行力度有待提高,内控的业务流程执行不畅

基层事业单位根据上级的要求和有关会议精神,制定了岗位廉政风险防控制责任书、财务内控制度汇编、资金资产管理业务流程图、资金资产管理领域廉政风险防控制报告等。由于基层事业单位人员编制有限、人员紧张、但管理任务重等原因,经常出现一人多岗现象,不相容职务难以分开,导致职责不明,难以保证内部牵制的实现。导致内控制制度形同虚设,没有得到很好地执行。

(四)缺少内部监督机构

大多数基层事业单位缺少必要的约束机制,没有设立内部审计机构,即使设立了内部审计机构,但也是在纪检监察的领导下,缺乏独立性。由于新形式下事业单位现代管理理念的建立,传统的财务收支审计已无法满足事业单位发展的需要,无法保障内部控制发挥其应有的作用。因此基层事业单位建立一个独立的内部监督机构势在必行。

(五)缺乏行之有效的内部控制考核及奖惩机制

由于基层事业单位人员在处理问题上一贯遵循习惯作法,对内部控制的认识存在诸多缺陷,特别是单位负责人对内部控制不够重视,缺乏足够的认识,没有认识到内部控制对基层事业单位健康发展的重要意义,没有认识到内部控制的顺利执行需要有行之有效的内部控制考核及奖惩机制做保障,因此对于建立行之有效的内部控制考核及奖惩机制无从谈起。

二、完善基层事业单位内部控制的措施

(一)提高事业单位内部控制的意识

按照《会计法》和《内部控制基础规范》的规定,单位负责人是单位财务与会计工作的第一责任主体。单位负责人在单位内部控制体系中居主导地位,要加强对单位负责人的培训力度,使他们在理解和掌握内部控制制度基本知识的基础上,以提高对单位内部控制度的建设。同时也要加强对全体职工的培训,使全体职工明确自己的职责,明白哪些是自己应该做的,哪些是自己不应该做的,从而提高全体人员的内控意识,从而为内部控制体系的建立和完善开辟一个良好的运行环境。

(二)建立和完善内部控制制度

事业单位内部控制工作的效果,需要有一套科学合理的内部制度体系来支持和保证。基层事业单位应成立一个内部控制管理领导小组,研究学习内部控制五要素,根据财政部财会[2012]21号文件《关于印发〈行政事业单位内部控制规范(试行)〉的通知》文件规定,结合本单位的实际情况制定符合本单位管理需要的内部控制制度。在制定内部控制制度时,应把握以下几个方面:

1、要加强对内部控制的运行环境的学习研究

完善事业单位内部环境主要是完善管理层结构设置及权责分配问题,并形成科学有效的职责分工和制衡机制。

2、要加强对事业单位关键控制点的风险评估

基层事业单位应该有风险防范意识,及时对事业单位管理活动中关键控制点进行风险评估,同时要制定防范风险的应急预案,避免风险事件的发生。

3、及时完善业务层面的控制点

对于业务层面的控制主要有不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制及绩效考评控制等。

不相容职务分离控制。基层事业单位在设计内部控制系统时,首先要确定哪些岗位和职务是不相容的,其次明确各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。

授权审批控制。基层事业单位在编制常规授权的权限指引,应规定授权的范围、权限、程序和责任;另外要严格控制特别授权的程序,特别是对重大的业务和事项,应当实行集体决策审批或者联签制度,任何人不得单独进行决策或擅自改变集体决策。

会计控制系统控制。基层事业单位在设置会计控制系统控制时要依法设置会计机构,配备会计从业人员,建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约。要特别注意会计和出纳不能由一人担任,支票和印鉴不能由一人保存,所有印鉴也不能由一人保管等。

财产保护控制。基层事业单位在进行财产保护控制时,应做到:妥善保管财产记录和实物。对重要的文件要有备份;定期盘点和账实核对;对货币资金、有价证券、贵重物品、存货等变现能力强的资产由专人保管。

预算控制。基层事业单位在进行预算控制环节时要把握:编制预算要符合单位的实际情况;预算执行要严格按预算批复,没有预算坚决不支付;预算执行过程要有监督;对预算差异要及时分析、并及时调整;对预算执行的结果要进行考核,对于业绩好的要进行奖励。

此外,还应建立重大风险预警机制和突发事件应急处理机制,明确重大风险的标准,制订应急预案。

4、加强基层事业单位的信息与沟通

事业单位应及时准确地收集、传递与内部控相关的信息, 通过建立良好的信息沟通制度,将内部控制相关信息在单位内部各管理层、各部门等有关人员之间进行沟通和反馈。重要信息要及时传给管理层。

(三)加强内部控制的执行力度,使内控的业务流程执行畅通

基层管理单位要使内部控制顺利进行,首先要加强学习,充分了解和认识内部控制对单位正常运行的重要性;其次开展关于对内部控制业务流程的知识竞赛,使全体职工熟练掌屋内部控制业务流程;再次要坚决执行内部控制的业务流程,不能因单位人员少而疏忽大意,对单位关键控制点的责任要明确到具体人,并与年终考核相挂钩。

(四)建立内部监督机构

基层事业单位要成立一个内部控制管理领导小组,认真学习内部控制的内容,定期不定期地对单位内部控制进行评测,对内部控制评测的结果进行分析,找出问题和不足,并及时对内部控制缺陷进行修订,保障内部控制的执行。同时内部控制管理领导小组也要对内外部的审计决定及审计意见的落实情况进行监督。

(五)建立科学合理的内部绩效考评体系

事业单位应充分运用内外部审计监督、内部控制领导小组、财务的监督力量,加大监督考核力度,并通过建立合适的考核方案和科学的考核体系、客观、公正地进行综全评价。将考核结果与部门人员的奖惩紧密联系起来,为干部业绩考评和任免提供可靠的参考依据,从而保证内控制度的科学性、合规性,激励与促进全体职工的积极性。

综上所述,我国基层事业单位内部控制工作还存在不足,基层事业单位必须要根据本单位的实际情况,建立健全一套科学、有效的内部控制制度,并保证其有效实施,同时要定期不定期地进行评测,与时俱进,对存在的缺陷要及时修正,以促进基层事业单位全面健康发展。

参考文献:

[1]刘亚平.构建行政事业单位内部控制体系的思考[J].财务研究,2010年第18期:72-74

[2]杨晓华.关于加强行政事业单位内部控制的思考[J].财会通讯.综合,2010年第9期(中):115-116

[3]穆冬枚,陈伟.关于行政事业单位内部控制的现状与思考[J].会计师,2009年第5期:82-82

[4]赵品春.深化行政事业单位内部控制的思考[J].交通财会,2012年第1期:71-76

篇8

    随着信息技术的不断发展,商业银行的业务过程基本实现了电子化、网络化,主要业务系统都已实现了集中,商业银行内部网络畅通已成为支撑各类业务系统正常、稳定运行的关键,一旦网络出现瘫痪将直接导致业务中断。银行IT风险已成为内审部门关注的重点,网络可用性审计已纳入商业银行内部审计领域,本文作者从IT系统可用性含义、影响网络可用性因素、审计关注重点等方面进行探讨。

    一、计算机系统可用性含义

    计算机系统可用性是系统可用时间的描述,一般用系统正常运行时间占全部时间(含失效时间)的百分比来衡量。与系统可用性近似的概念是系统可靠性,一般用平均无故障运行时间衡量。二者概念容易使人产生混淆,实际上二者有本质的区别。如甲系统每年因故障中断十次,每次恢复平均要30分钟,该系统可用性为(365×24×60-10×30)/(365×24×60)=99.94%,可靠性为(365×24×60-10×30)/10=52530分钟;乙系统每年因故障中断2次,每次需6小时恢复,该系统可用性为(365×24×60-2×6×60)/(365×24×60)=99.86%,可靠性为(365×24×

    60-2×6×60)/2=262440分钟。则甲系统可用性比乙系统高,但可靠性比乙系统差。

    可见可靠性高的系统其可用性不一定高,提高可靠性需要强调减少系统中断(故障)的次数;提高可用性,除了需要提高可靠性外,还需要考虑系统备份及故障恢复计划等,以减少从灾难中恢复的时间。

    二、影响网络可用性的因素

    影响网络可用性的因素很多,从网络设备自身的可靠性、设备运行环境、网络结构等内部因素到外部入侵、故障恢复计划等外部因素,均对网络可用性产生影响。具体包括:一是网络设备自身的可靠性,包括设备自身设计、设备制造工艺、设备自身冗余功能、设备使用时间长短等都会影响设备自身的可靠性,如随着网络设备使用年限的增加发生故障的概率也在增加,设备的可靠性就降低。二是网络结构,网络中重要设备和线路要有一定冗余,一旦某一线路或设备出现故障,网络会自动切换到备份线路或设备上,此外网络结构的设计也要考虑网络的可管理性,方便网络的监控管理及故障排查等。三是非授权访问,外部入侵、黑客的网络攻击以及网络管理人员的错误操作等都可能造成网络设备的配置文件被非法修改、发生网络瘫痪等事故;四是故障恢复计划,科学、合理、切实可行的故障恢复计划可以在网络出现故障时减少网络恢复时间,提高网络可用性。此外网络设备的运行环境,包括温度、湿度、尘埃、电源质量等都会影响网络的可靠性,如果设备运行环境不能满足设备的需要,势必增加设备发生故障的几率,降低网络的可靠性。

    三、网络可用性审计的关注重点

    (一)网络设备的可靠性方面

    无论多大的网络,网络设备是整个网络的基石和瓦砾,网络设备的可靠性决定整个网络系统的可靠性,进而影响整个网络的可用性。要提高网络的可用性首要提高网络设备的可靠性。审计需要重点关注:一是网络设备是否选择信誉好、品牌大的厂家设备,此类厂家的网络设备结构设计先进、产品制造工艺精细,设备的故障率低、可靠性高。二是关键网络设备自身配置是否满足冗余需要,针对目前高端的交换机、路由器、防火墙等一般都是模块化设计,在设备选配时应配置双引擎、双电源等模块,减少设备发生故障的概率。三是网络设备是否定期实施巡检,通过巡检能提前发现网络设备存在的风险隐患,及时更换使用时间长、故障率高的网络设备。

    (二)网络结构的设计方面

    网络的冗余设计可以有效增加网络的可用性,包括网络线路冗余和关键网络设备的冗余,当网络主线路或设备发生故障时系统能在秒级内自动切换到备用线路或设备上,保证网络能连续提供服务。

    1.网络线路是否存在冗余,包括线路冗余备份、容量的冗余。机房局域网的生产线路冗余度应达到100%,如应用服务器至少应安装2块网卡,并且分别接不同的交换机,交换机也采用2条网线分别连接到上层交换机上;广域网均应采用双线路设计,且是租用不同运营商(若当地只有一家运营商,应采用不同的通讯介质)实现线路的一主一备。主备线路间可利用线路负载均衡器,均衡主备线路流量,一旦一条线路出现问题可自动由另一条线路代替。带宽冗余设计应根据当前业务对带宽的需求、当地运营商提供线路的特点,以及为业务发展预留一定带宽等因素确定,避免因业务量激增导致线路阻塞。

    2.网络设备是否有冗余。网络设备的冗余应根据设备重要性程度不同分别采取不同的冗余方式。针对核心和主要网络设备应采取负载均衡或一主一备方式实现核心网络设备的双机热备,确保网络设备无单点故障,一旦主设备出现故障,网络自动切换到备份设备,确保网络畅通。对于其他网络设备可采取一对一(一台备机对应一台主机)或一对多(一台备机对应多台主机)的方式进行冷备,且定期对备份设备进行维护,保证备份设备一直处于可用状态,一旦在用设备出现故障,利用备份设备进行替换,能尽快恢复网络通讯。

    (三)网络安全管理方面

    网络时常受到非授权访问、病毒入侵及拒绝服务攻击等内外部威胁,为此需要加强网络安全管理,增强网络的强壮性,降低因非法访问、感染病毒等因素导致的网络中断事故。在此方面审计需要重点关注:

    1.网络设施的物理访问控制情况。是否利用门禁系统、监控系统或门锁等设施禁止非授权人员物理接触网络设备,是否做好物理访问的授权及记录工作。

    2.网络的逻辑访问控制情况。科学合理地布置网络安全设备及有效的安全策略可以有效防范外部入侵、病毒感染和非授权访问。一是是否在银行内部网络与外部网络连接处设立DMZ(非军事化区)区,并利用NAT/PAT(地址转换、端口转换)等技术,隐藏银行内部网络结构和网络地址,防护内部网络。二是是否在网络边界处部署防火墙,实现网络边界间信息出入的精确控制,检测病毒、蠕虫等安全威胁。三是是否部署IDS(入侵检测系统)掌握网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,从而提高整个网络的安全水平。四是是否部署了漏洞扫描系统,及时发现网络设备系统存在的漏洞,并进行自动更新,增强系统的强壮性。五是是否按照营业类、管理类、其他类等类型分 配内部网段,并科学、合理设置VLAN(虚拟局域网),对于跨网段或跨VLAN的网络访问利用ACL(访问控制列表)进行控制。

    3.网络设备自身的安全管理情况。网络设备的安全管理包括网络服务安全、用户权限管理和用户行为审计等措施。审计重点关注:一是是否关闭设备上确认有软件Bug(缺陷)的网络服务和可能对自身产生安全威胁的服务。二是是否分级设置用户登录权限,是否启用用户名、密码认证、配置强密码,并定期修改。三是是否只允许经授权的用户在设备上执行权限范围内的操作,且对操作有相应审计。四是是否对接入网络的计算机系统安装防病毒软件、桌面办公安全管理软件等,并做到及时升级。

    (四)网络故障恢复计划的管理方面

    银行网络时常受到网络线路丢包或中断、网络设备故障、外部攻击、非授权访问及病毒入侵等威胁,而这些因素都有可能导致网络出现故障。网络一旦发生故障,如何尽快恢复网络通讯,关注网络故障恢复计划的管理是可用性审计重要内容之一。

    1.是否制定了网络故障恢复计划。商业银行的信息技术管理部门应建立专门网络应急预案即网络故障恢复计划,或在业务系统应急预案中涵盖网络故障恢复程序。网络故障恢复计划应包括以下内容:一是应明确故障恢复组织的组成和职责。二是确定应急资源准备要求,包括网络备用设备及设备配置文件的管理。三是明确应急报告线路、应急响应、应急决策的流程,并预先制定各种故障情形下的故障诊断方法、步骤和恢复措施。四是明确外部供应商服务要求及管理等。

篇9

关键词:事业单位 内部控制 问题及对策

一、事业单位内部控制存在的问题

当前,事业单位内部控制还存在着诸多亟待解决的问题,这些问题主要表现在内部控制意识不高、内部控制制度欠缺、内部控制执行不畅和内部控制监督不力四个方面,其具体内容如下:

(一)内部控制意识不高

内部控制意识不高是事业单位内部控制存在的问题之一。就目前而言,事业单位的内部控制意识普遍不高,很多单位非内部控制的重要性认识不足,无法利用内部控制管理事业单位。事业单位的重心仍然放在业务和事业的发展上,对内部控制管理方面缺乏基本的了解,这都是由于事业单位内部控制意识不高造成的。

(二)内部控制制度欠缺

内部控制制度欠缺也在一定程度上制约着事业单位内部控制的发展。在事业单位中,很多事业单位内部控制制度没有结合单位的实际情况,其制定的内部控制制度仅限于照搬照抄,操作性不强,不能满足本单位管理的需要。另外,在内部控制制度的制定中,事业单位内部控制制度建设相对落后,也导致事业单位内部控制管理的效果不理想。

(三)内部控制执行不畅

在事业单位内部控制中,内部控制执行不畅也使得事业单位内部控制陷入瓶颈。由于基层事业单位人员编制有限、人员紧张、但管理任务重等原因,经常出现一人多岗现象,不相容职务难以分开,导致职责不明,难以保证内部牵制的实现。加之有些单位虽然也制定了本单位的内部控制制度,但忽略了其执行情况及执行效果,内部控制在执行过程中或多或少地遇到问题,也使得内部控制执行不畅。

(四)内部控制监督不力

内部控制监督不力,也是事业单位内部控制迫切需要解决的问题。具体说来,在事业单位内部控制监督方面,由于没有设立内部审计机构,即使设立了内部审计机构,但也是在纪检监察的领导下,缺乏独立性。在新形式下,事业单位现代管理理念的建立,对事业单位内部控制提出了新的要求,传统的财务收支审计已无法满足事业单位发展的需要,也就无法保障内部控制发挥其应有的作用。

二、解决事业单位内部控制问题的对策

内部控制是一种现代管理制度,事业单位加强内部控制势在必行。为进一步提高事业单位内部控制水平,针对上述事业单位内部控制存在的问题,解决事业单位内部控制问题的对策可以从以下几个方面入手,下文将逐一进行分析:

(一)提高内部控制意识

提高内部控制意识是加强事业单位内部控制管理的关键。在事业单位中,提高内部控制意识,应按照《会计法》和《内部控制基础规范》的规定,重视内部控制在事业单位中的作用。提高内部控制意识,可以通过定期或不定期地开展对事业单位负责人的培训工作,加强他们理解和掌握内部控制制度基本知识。与此同时,还要强化全体员工的内部控制意识,普及内部控制知识,使事业单位员工意识到内部控制的重要性,进而为事业单位内部控制创造良好的运行环境。

(二)完善内部控制制度

完善内部控制制度,也是加强事业单位内部控制的有效途径。事业单位完善内部控制制度,可以懂三个方面采取措施,一是加强对内部控制的运行环境的学习研究;二是加强对事业单位关键控制点的风险评估制度;三是及时完善业务层面的控制点。在事业单位中,只有完善事业单位内部控制的管理层制度,形成职责分明的内部控制环境,制定内部控制的应急预案,及时开展绩效考评控制等,才能逐步完善内部控制制度。

(三)加强内部控制执行

为解决事业单位内部控制的执行力问题,在加强内部控制执行方面,应做好以下三个方面的工作。基层管理单位要使内部控制顺利进行,首先,要加强学习,充分了解和认识内部控制对单位正常运行的重要性;其次,开展关于对内部控制业务流程的知识竞赛,使全体职工熟练掌握内部控制业务流程;再次,要坚决执行内部控制的业务流程,不能因单位人员少而疏忽大意,对单位关键控制点的责任要明确到具体人,并与年终考核相挂钩。

(四)建立内部监督机构

建立内部监督机构在事业单位内部控制中也必不可少。事业单位建立内部监督机构,要成立一个内部控制管理领导小组,认真学习内部控制的内容,定期不定期地对单位内部控制进行评测,对内部控制评测的结果进行分析,找出问题和不足,并及时对内部控制缺陷进行修订,保障内部控制的执行。另外,内部监督机构的设置还应注意内外部审计的制衡,因此,在事业单位内部控制监督机构的设置中,内部控制管理领导小组也要对内外部的审计决定及审计意见的落实情况进行监督。

三、结束语

总之,事业单位内部控制是一项综合的系统工程,具有长期性和复杂性。在进行事业单位内部控制的过程中,应根据本单位的实际情况,提高内部控制意识、完善内部控制制度、加强内部控制执行、建立内部监督机构,不断探索事业单位内部控制的有效途径,只有这样,才能不断提高事业单位内部控制水平,促进事业单位又好又快地发展。

参考文献:

[1]马庚.浅谈行政事业单位会计电算化下内部控制措施[J].财经界(学术版).2009(09)

篇10

通过评估结果来看,目前银行业机构尚未将洗钱风险管理当做一项系统化、规范化的工作来做,在风险管理架构、风险评估、风险监测和应对各环节中存在不同程度的缺陷。

(一)风险管理架构状况总体上看,金融机构的风险管理架构尚处在合规管理状态下,制订各项反洗钱工作制度和操作规程的重点停留在规避违规风险上,而未能将工作思路转到如何识别、评估和监测客户和交易的洗钱风险上。主要表现为:1.金融机构反洗钱风险控制的政策目标存在偏差。多数金融机构风险控制目标集中在反洗钱工作合规性上,而未将识别和控制洗钱风险做为最终的政策目标。2.反洗钱制度更新频度与业务发展不匹配。除国有商业银行以外的银行机构,特别是地方法人机构,反洗钱内控制度或操作规程的更新与其业务发展严重脱节,个别金融机构的客户身份制度仍在执行2007年制定的版本,新业务新产品推出未能及时纳入洗钱风险控制与监测的范围。3.高管缺乏对洗钱风险的认知和对员工引导。通过调阅被评估单位的会议记录及书面批示内容来看,多数金融机构的高管对反洗钱风险控制的认知放在规避反洗钱违规风险上,对工作的指导方向与洗钱风险管理相差甚远。4.反洗钱资源配置缺乏合理规划。在抽样机构中,除工行、建行的分支机构的反洗钱工作做到了团队做、专业做外,其他金融机构反洗钱工作全部由指定的内设部门的人员来兼职反洗钱工作,且部门和岗位变动频繁,不利于本机构的反洗钱工作开展。5.反洗钱工作内容未完全融入机构的合规文化建设中。一是反洗钱内控制度和操作规程多数独立于业务条线的操作规程;二是抽样评估的机构中,尚有部分机构未将反洗钱履职行为纳入年度或其他定期的绩效考核范围;三是员工反洗钱业务培训工作未能以提高员工业务技能为出发点,从培训记录的内容来看多数为应对人民银行的现场检查;四是反洗钱宣传工作未能发挥主观能动性,结合机构业务情况自行设计和印制宣传材料,主动履行反洗钱宣传义务。

(二)风险识别与评估状况1.缺乏有利的风险识别与测量工具。一是从抽样结果看,金融机构尚未建立识别与测量客户风险敞口的统计工具;二是尚未建立识别产品风险敞口的统计工具;三是尚未建立识别高风险业务风险敞口的统计工具;四是尚未建立识别实际受益人的识别和统计工具。2.缺乏评估产品风险的机制。评估期间,所有评估机构尚未按照《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》(下称《指引》)的要求建立对产品风险的评估机制。3.缺乏有效的客户风险评估指标设计。从评估结果看,抽样机构的客户风险评估指标未能参照《指引》的要求,建立综合性的评估指标,对客户实施动态风险评估和管理。4.缺乏科学合理的风险评估流程。从评估结果看,抽样机构的风险评估工作目前正处于两个极端:一是有客户风险等级评估系统的全部依靠系统自动评估,缺乏人工审核;二是没有客户风险等级评估系统的,全部依靠人工主观判断,缺少系统客观指标的辅助,这两种情况均可能导致客户风险等级划分、调整、审核工作流于形式。

(三)风险监测状况1.缺少反洗钱和反恐怖融资黑名单实时监控功能。多数地方法人机构未能将反洗钱和反恐怖融资黑名单置入核心业务系统,无法设置业务触发点以及对反洗钱和反恐怖融资监控名单进行实时更新。2.缺乏有效的内部审计监督机制。从抽样评估的情况来看,除上级机构的反洗钱工作审计报告能反馈出反洗钱工作中存在的问题外,抽样机构对本级以及分支机构的内部审计监督基本流于形式,未能体现发现风险、控制风险的目的。3.缺乏对客户开展持续调查的工具。目前抽样机构全部缺少对客户开展持续调查的辅助工具,不但降低了工作效率,也影响了客户身份持续识别工作的效果。4.缺乏有效的异常交易监测模型。从目前状况来看,除工行建立了较为完善的反洗钱监测模型外,其余机构全部按照可疑交易客观标准设置可疑交易监测指标,需人工判断的指标无法量化并实现系统自动提取。5.缺乏综合的可疑交易监测系统。抽样机构中,除工行的可疑交易监测系统能基本满足可疑交易分析过程能达到“方便的提取客户基本信息及交易信息”综合开展甄别分析外,其他机构的可疑交易监测系统均独立于业务数据库之外,无法在技术手段上提供有效开展可疑交易甄别分析的便利条件。

(四)风险应对状况1.缺乏对高风险业务、客户的管控措施。多数机构未能建立对高风险业务和客户的管控措施,在高风险业务发生或高风险客户提交异常交易后缺少有效的控制手段,难以降低洗钱后果发生的概率。2.缺乏制度化的风险消化、提升风险对抗能力的工作流程。多数机构特别是地方性法人机构缺乏对典型案例进行追溯、审查、分析、追责等工作制度,便于查找自身风控漏洞,提出风险提示和采取相应改进措施的,或采取有效手段予以推行。3.缺乏应对洗钱案件的应急处置措施。抽样机构全部未建立洗钱风险应急预案,难以保证在涉及自身的案件发生后,能快速做出反应。4.缺乏反洗钱工作的内部沟通机制。多数的抽样机构未能建立定期的内部沟通机制,便于反洗钱部门定期或不定期与业务条线、下级机构就进一步完善反洗钱内控及风控措施进行回溯性审查、政策研究。5.缺乏与当地反洗钱监管部门的沟通机制。多数的抽样机构未能建立向当地人民银行报告重要反洗钱事项、敏感反洗钱工作信息的外部沟通机制。

二、优化风险管理工作建议

(一)及时转变观念,树立风险意识金融机构工作人员特别是金融机构的管理团队要尽快转变工作理念,树立洗钱风险意识,确立正确的反洗钱履职意识和工作目标,同时还要将洗钱风险管理融入本机构的合规文化建设这中,引导本机构的员工在合规基础上,着力于加大对洗钱风险的识别与管控的工作力度。

(二)加大成本投入,完善风险管理架构1.完善风险管理制度架构。尽快按照《指引》要求,落实风险管理框架下的各项工作制度和操作规程,提高客户、产品、业务之间综合开展风险评估的能力。2.优化反洗钱技术手段。在优化完善反洗钱工作技术性的辅助系统上加大成本投入,建立综合性的反洗钱分析监测系统,完善风险识别与测量工具,逐步提高对高风险业务、高风险客户的综合监测和分析能力,建立持续性的风险监测分析制度及配套的技术手段。3.合理配置反洗钱资源。反洗钱工作资源的配置要与客户、产品的市场拓展,对风险的接纳能力以及所拥有的技术手段相匹配,有条件的机构要推广反洗钱工作团队作、专业作,条件有限的情况下要按照风险高低程度合理配置工作资源,在保证质量的前提下提高工作效率。

(三)优化工作流程,提高风险识别监测能力1.提高员工培训的实效。员工的反洗钱意识、工作能力、制度执行力直接影响着反洗钱工作成效,员工培训要从这三个方面入手,提高培训工作实效。2.建立综合性风险识别与监测机制。客户、产品、业务的风险识别与监测是关联度较紧密的工作,在实际工作中要充分利用各种工作资源和工作信息,建立综合性的评估指标及评估机制,对客户实施动态风险评估和管理。3.建立科学合理的风险评估流程。建立起系统自动评估与人工审核相结合的风险评估流程,实现人机互补,提高风险评估质量和效率,从而建立对客户风险等级划分、调整、审核工作的动态化持续化的管理机制。4.建立科学的异常交易监测模型。参照人民银行的可疑交易监测模型,结合本机构业务开展情况、对风险接纳能力、客户群的分布特征,建立适合自身的异常监测模型,将风险监测工作落到实处。5.建立综合性的可疑交易监测系统。可疑交易监测系统要与业务数据库建立联系,使系统能达到“方便的提取客户基本信息及交易信息”综合开展甄别分析的要求,在技术手段上为可疑交易甄别分析提供有效的便利条件。