内部控制的风险评估篇1
【关键词】风险评估;上市公司;风险控制
中图分类号:F832文献标识码:a文章编号:1004-5937(2014)19-0067-04
一、引言
在日益激烈的市场竞争中,企业的生产经营过程面临着各种各样的风险,因对风险认识不足、控制不当不断导致一些企业陷入困境甚至倒闭。如何识别、度量和应对风险就成为企业最难解决的问题。企业要识别出其所面临的风险,就必须进行风险评估。
以股票市场为主体的多层次资本市场体系,经过20多年的发展,已成为我国经济发展的重要动力。随着股票市场的发展,上市公司数量不断增加,目前已达到2500多家,其在经济中的领导地位也不容忽视。股票市场是高风险市场,为了加强上市公司的风险防范意识,规范上市公司的经营管理活动,2008年以来财政部等五部委联合了《企业内部控制基本规范》及其配套指引,作为上市公司建立内部控制体系的指导性文件框架。我国的内部控制体系是以风险评估为核心导向,其中包含风险识别、风险评估、风险防范和风险控制,并且风险评估是整个内控体系的关键。上市公司实施内部控制首先面临的问题就是风险评估,这也是上市公司实施内部控制工作的切入点和起点。
风险评估是上市公司对筛选出的主要风险组织公司的管理层、各职能部门负责人以及业务骨干进行风险识别、系统分析,确定相应的风险应对策略;也是上市公司实施内部控制工作、构建内部控制体系的关键和基础。这就要求上市公司在进行内部控制的风险评估时,既要识别、分析和关注阻碍实现内部控制目标的风险(纯粹风险),更要善于发现对实现内部控制目标具有促进作用的风险(机会风险),结合公司经营管理状况科学分析风险、制定切合公司经营管理实际的风险应对策略,达到分散、弱化以至化解风险的目标,实现上市公司整体价值的提升。
由于风险的不确定性以及风险评估过程复杂且不易操作,风险评估就成为上市公司内部控制实施成功与否的关键,如何进行风险评估就成为一个难点。本文结合上市公司实施内部控制的实践,对风险评估操作过程中的难点进行探讨,以期对上市公司的风险评估工作提供参考。
二、上市公司内部控制风险评估的操作解析
在实施、建立内部控制体系的工作实践中,上市公司的风险评估应重点围绕公司经营管理的主要环节进行,通常应将销售、采购、生产和财务等经营管理活动的主要环节作为开展风险评估工作的重点和总纲,在重点和总纲的统领下,抓住各个环节的关键控制点,即实施内部控制工作过程中的风险点。尤为重要的是,在初始风险评估时,对风险环节和关键控制点的把握宜粗不宜细。若开始时对风险环节和关键控制点要求的过细、过于完美,风险评估工作可能会陷于繁琐细微的事务性工作而难以进行下去,甚至导致上市公司风险评估工作的整体失败。因此,进行风险评估时,首先需要建立上市公司内部控制风险评估工作的总体框架,确立风险评估工作的整体思路;其次,充实和完善风险评估内容:一方面结合内部控制工作的深入不断补充、丰富,另一方面应随着上市公司业务发展和外部环境的变化定期、持续改进、完善,为实施内部控制、构建内部控制体系工作创造有利的条件。
由于上市公司所处行业不同、发展阶段及经营环境的差异,加之风险不易识别、量化,所以上市公司在进行内部控制风险评估时应特别注意与本公司经营管理活动的有机结合,切忌为了风险评估而进行评估的形式主义。具体进行风险评估时,主要从以下方面来进行:
(一)设定风险评估和风险控制目标的难点
进行风险评估前,上市公司应先设定风险评估和风险控制的目标,这是进行风险评估的必备条件,也是风险评估的标准。只有明确了风险评估和风险控制目标,才能有针对性、有标准的搜集、整理和取舍相关的风险信息和数据,才能对已显现的和潜在的风险进行识别、筛选、整理和归纳。
风险评估和风险控制的目标设定,主要根据证监会的监管要求来进行。依据《企业内部控制基本规范》及配套指引的要求,设定风险评估目标通常从公司经营战略、经营目标、报告目标、资产安全目标和经营合规目标等方面来考虑。首先,经营战略比较宏观,在风险评估中不宜定性操作和定量把握。由于大多数员工只是把经营战略作为公司发展的美好愿景和长远奋斗目标,只有公司的高层管理核心人员对其有比较深入的理解和领悟,因此,上市公司的经营战略在风险评估目标中所占比例通常不能太大。其次,经营目标和报告目标是公司日常经营管理活动的指导,最容易被公司经营管理层和广大员工理解和感知,也比较具体且易于量化和识别,因此,风险评估目标和风险控制目标多从这两方面来考虑和提炼。最后,上市公司只要依法经营,按照规章制度和流程去运作和管理,即可保证经营合规目标和资产安全目标的实现,因而对上市公司风险评估和控制目标的设定,就转化为对公司规章制度和运作流程风险控制目标和风险评估目标的设定,实务中更易把握和操作。
(二)收集风险信息的难点和途径
风险信息收集的主要是与上市公司相关的内外部风险信息。风险信息收集的质量关系到整个风险评估的结果。
从收集影响公司经营环境信息的实践来看,上市公司通常对这方面的信息比较困惑:一方面是公司经营外部环境信息的涵盖范围比较广,不易确定应由哪些部门牵头组织和具体实施,并且各部门在收集信息过程中很难把握相关信息对公司经营管理有无影响及影响大小,结果导致收集信息时无所适从,最终难以确定应该收集哪些信息。另一方面,由于日常经营活动多限于具体的事务性工作,上市公司很难准确把握和获得与经营管理活动相匹配的外部环境信息。在收集风险信息时,上市公司应注重外部经营环境与实际经营管理工作的结合、与内部控制关键点和风险点的结合,并在这些交集中寻找切入点和信息点。
上市公司收集影响经营的内部环境信息时,应主要考虑经营战略、经营目标、报告目标、资产安全目标和经营合规目标,并结合各部门的工作职责、制度和工作流程、业务流程,立足于日常的经营管理工作,考虑可能影响经营管理目标实现的内部信息和条件,来收集相关的内部风险信息。
(三)识别经营风险
风险识别是风险评估的重要环节,识别风险更多的是凭借识别者的判断能力、经验积累和识别方法。风险识别是把收集到的风险信息通过对公司高层管理人员、中层管理骨干和基层业务骨干的问卷调查、测试、访谈等方式,经过比较、归类、提炼、组合等方法,并充分考虑国家各部委对内部控制风险评估的具体要求来进行的。风险有多种表现形式,经营风险是风险识别的重点,主要包括核心风险、业务风险和工作风险。
核心风险的识别,主要应从公司的经营目标出发,围绕战略核心,从公司整体及其职能部门层面、经营管理现状层面等方面进行综合考虑,主要通过对公司高层管理人员的问卷调查、访谈等方式,整理出公司的核心风险,这是上市公司高层管理者最关注的风险。
业务风险的识别,主要应从销售、采购、生产、财务等主要业务环节的风险入手,通过对制度、流程的穿行测试及中层管理骨干和基层业务骨干的问卷调查、测试,识别出最主要的业务风险环节和关键控制点,然后再通过穿行测试来检验主要风险环节和关键控制点的收集和查找是否全面,并对测试过程中发现疏漏的风险点和控制点予以补充和完善。
工作风险的识别,主要是通过适用性测试来进行,在适用性测试过程中,识别出主要的风险环节和关键控制点,并予以补充和完善。
从上市公司识别经营风险的实践来看,主板上市公司至少应梳理出100种以上的风险,才可能比较全面的涵盖上市公司面临的风险。
(四)进行风险评估
风险评估是对上市公司经营管理活动中可能存在的各种风险进行分析和估量,其结果关系到风险应对策略的制定。由于风险的错综复杂,要比较客观和全面地反映和衡量上市公司的整体风险,需将各种风险评估方法综合使用。
具体来讲,风险评估主要通过多次循环问卷调查的形式开展,并且应经过至少两轮多次的循环验证,同时要求时间间隔在两周以上,最终使管理层对风险的认知和理解逐步趋于一致。在风险评估过程中,上市公司应根据自身的经营特点,考虑公司所处的发展阶段,采用定性与定量相结合的方法构建其风险评估体系。
1.确定风险评估的范围及参与主体
由于风险存在于上市公司经营管理活动的各个环节,因而,上市公司风险评估应涵盖其主要的生产经营管理活动,各主要职能部门和业务部门就成为参与主体,上市公司高层管理人员、职能部门负责人、主要业务部门负责人和业务骨干人员是主要参与者。
2.确定风险评估的评分标准
风险评估的评分标准是风险评估过程中定性与定量方法衔接的纽带和桥梁,也是风险评估的难点和重点。实务中,风险评估指标体系应结合上市公司的实际情况来设定。具体来讲,主要应结合公司的发展阶段、业务特点、风险发生频率及对公司经营管理活动的影响程度等来确定。
通常,把风险发生的可能性和影响程度划分为5个等级。表1和表2分别从定性、定量两方面描述了风险发生的可能性及影响程度,并把风险的定性标准定量化,从而实现了定性标准与定量标准的衔接和转换。从表中可以看出,风险的影响程度随着风险发生概率的逐级加大也越来越严重。
3.调查问卷的设计
问卷调查是比较常用和有效的风险评估方法之一。科学、合理的问卷设计关系到风险评估的准确度,调查问卷设计一般从风险发生的可能性和风险影响程度两个维度去考虑和设计,一般需要设计200―500个风险事项,力求全面客观地反映上市公司当前面临的主要风险。
4.问卷调查数据的整理
问卷调查结束后,需要对问卷调查的结果进行分类、汇总及处理。理论上,风险评估至少应进行两次问卷调查,要求参与问卷调查的人员基本不变,并且两次问卷调查的时间间隔至少在两周以上,然后再测算两次问卷调查统计结果的离散度。若离散度较低(通常以标准差小于1来认定),则取两次调查问卷的平均值作为问卷调查结果;若离散度较高(通常以标准差大于等于1来认定)时,则公司管理层应组织参与风险评估的人员进行探讨、沟通与交流,努力使大家对风险的认识趋于一致,然后再进行第三次问卷调查,并将这次问卷调查结果作为最终问卷调查结果。
需要注意的是,实务中,在统计问卷时,需将调查问卷分成高层领导、中层干部和基层骨干三个小组,分别进行统计汇总取各组的平均值。对于公司战略层面等较为宏观的风险,运用三组平均值时适当加大高层领导小组数据的权重;对于管理职能类、重要业务类风险,运用三组平均值时适当加大中层干部小组数据的权重;对于具体业务、操作类风险,运用三组平均值时适当加大基层骨干小组数据的权重。权重的调整幅度需要通过开会沟通、讨论,由参与风险评估的主要人员共同做出决定。
5.绘制风险地图
为了比较直观地反映风险分类,根据数据统计汇总调整结果,从风险发生的可能性及影响程度两个维度绘制风险地图,如图1所示。处于黑色区域的为重大风险,处在白色区域的为重要风险,处在灰色区域的为一般风险。通过图1,可以直观地识别出重大风险、重要风险和一般风险。需要注意的是,风险的认定就高不就低,即处在重大风险和重要风险临界点上的风险,划为重大风险,处在重要风险和一般风险临界点上的风险,划为重要风险,充分体现风险评估中风险就高不就低的原则和理念。
风险往往是相互交织、相互转化的,上市公司不但要进行风险评估,还需要进行风险管理。通常,对重大风险应予以高度关注,还应制定出重大风险预案,确保风险被有效管理,当重大风险发生时,立即启动预案,应对风险,降低损失。对重要风险要加强监控,防止其进一步发展为重大风险。对一般风险要予以适度关注。
三、结语
风险评估是上市公司实施内部控制工作的起点和源头,只有扎实做好风险评估,才能为应对风险、防范和控制风险做好准备和铺垫,为顺利实施内部控制工作奠定基础。我国上市公司内部控制实施的时间还不长,由于风险本身的不确定性和复杂性、风险评估的不易操作等特点,上市公司的风险评估工作还存在许多不足,加之行业不同导致的风险差异,使得风险评估的方法和过程具有差异性,需要进一步探索,才能逐步完善。
【参考文献】
[1]能昌欣.论企业会计内部控制[J].金融经济,2010(10):187.
[2]企业内部控制配套指引解读与案例分析[m].立信会计出版社,2010:18-33.
内部控制的风险评估篇2
CoSo委员会《内部控制—整体框架》将风险评估列为内部控制要素之一,作为内部控制的重要组成部分,企业必须对所面临的风险进行识别,并采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。目前风险评估的方法总体来说分三大类:定性方法、定量方法、定性与定量相结合的方法。定性方法是对风险的影响和可能性以定性的方式进行描述,其评估结论受评估人员经验的影响,带有一定的主观性。定量方法具有精确性,可以弥补定性评估方法的不足,但是,定量方法的缺陷也是明显的,即对所有的重要因素进行量化是困难的,获得更多的数据需要更高的成本。由于风险的不确定性,因此,在风险评估中,定量与定性方法的结合是必要的,两者可以互补其不足。模糊综合评价法即是这样一种方法,该方法根据模糊数学的隶属度理论把定性评价转化为定量评价,即用模糊数学对受到多种因素制约的事物或对象做出一个总体的评价。本文考察了内部控制面临的风险,提出了企业在风险评估时可操作的方法。
二、企业内部控制风险评估指标体系设计
根据CoSo内部控制框架,风险评估的前提条件首先是设立目标。只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。其次,识别与上述目标相关的风险。再次,评估上述被识别风险的后果和可能性。最后,针对风险的结果,考虑适当的控制活动。依据CoSo内部控制框架和我国《企业内部控制基本规范》,确定内部控制风险评价指标体系,即两个一级指标、十个二级指标和三十一个三级指标。如表1所示。
三、企业内部控制风险模糊综合评价构建
第一,建立内部控制风险模糊综合评价模型。具体如下:
一是确定评价因素集。依据评价指标体系确定评价指标集,表示为:U={u1,u2,…,um},同时可以根据所建立的评价指标建立二级、三级等多层次的指标集。根据企业的评价指标体系可知,企业内部控制风险从两大方面、十个因素衡量,确定的因素集如下:一级因素集为U={u1,u2}={内部风险,外部风险}。二级因素集为U1={u11,u12,u13,u14,u15}={人力资源因素,管理因素,自主创新因素,财务因素,安全环保因素}。U2={u21,u22,u23,u24,u25}={经济因素,法律因素,社会因素,科技因素,自然环境因素}。三级因素集为U11={u111,u112,u113}={研究开发,技术投入,信息技术运用}。依此类推,可确定其他三级指标因素集。
确定方法有统计法、试探法、专家调查法、层次分析法等。
本文采用层次分析法确定权重,该方法是将半定性、半定量问题转化为定量计算的行之有效的方法。它将复杂的决策系统层次化,通过逐层比较多种关联因素的相对重要性给出定量表示,再利用数学方法确定全部因素相对重要性次序的权系数。
采用1~9标度方法,根据各层次的指标构造判断矩阵,利用aHp软件得出各层次的指标权重,并对判断矩阵的一致性进行检验,结果表明层次分析排序的结果有满意的一致性,即权数的分配是合理的。由aHp软件得出各层次权重集为:一级指标权重集a=(0.75,0.25)。二级指标权重集a1=(0.0577,0.2471,0.5072,0.1438,
0.0443)。a2=(0.2129,0.0656,0.5208,0.0939,0.1068)。三级指标权重集a11=(0.4667,0.4667,0.0667)。a12=(0.429,0.1283,0.0652,0.3775)。a13=(0.1429,0.8571)。a14=(0.126,0.4161,0.4579)。a15=(0.2,0.4,0.4)。
a21=(0.1622,0.1863,0.3518,0.1863,0.1134)。a22=(0.5,0.5)。a23=
(0.4127,0.2135,0.0473,0.2365,0.09)。a24=(0.3333,0.6667)。a25=(0.75,
0.25)
三是确定评语集并赋值。V={v1,v2,v3,v4,v5}={低,较低,中等,较高,高}={1,3,5,7,9}根据对评语的赋值将1~9等分成五级,对应相应评语,设计定量评价标准如表2。
四是确定模糊评价综合矩阵。请20位专家对某企业影响内部控制风险的第三层因素进行评价,根据专家评价结果汇总,如表3。
根据表3,进行单因素模糊评价,即是从一个因素出发进行评价,确定评价对象对评语集的隶属度,进而得到模糊关系矩阵:
R=r11,r12,…,r1mr21,r22,…,r2mrn1,rn2,…,rnm
矩阵R中第i行第j列元素rij,表示子因素层指标来看对第j级评语vj的隶属度。rij的值可由德尔菲法确定,整理专家评分表得到专家对末级指标的评语,根据表3可计算出各个因素的隶属度,其中R11=0.750.150.050.0500.550.350.10000.450.300.100.100.05,其他矩阵Rij依以此类推可以得到,i=1,2;j=1,2,3,4,5。
第二,企业内部控制风险的模糊综合评价。模糊评价法不仅可以对评价对象按综合分值进行评价和排序,还可以根据模糊评价的值按最大隶属度原则去评定对象的所属等级。
利用合适的算子将a与各被评事物的R进行合成,得到各被评事物的模糊综合评价结果向量B。即:
a?誘R=(a1,a2,…,ap)r11r12…r1mr21r22…r2m…………rp1rp2…rpm=(b1,b2,…,bm)=B
一是各层因素模糊综合评价。从评价指标体系最末层开始进行评价,依次对各层风险因素经行评价。
对第三层级因素做综合模糊评价,则有:
B11=a11?誘R11=(0.6067,0.2334,0.0700,0.0233,0)
B12=a12?誘R12=(0.0377,0.1452,0.3345,0.0621,0.0429)
B13=a13?誘R13=(0.0286,0.0929,0.0143,0.0071,0)
B14=a14?誘R14=(0,0.2126,0.4855,0.2040,0.0979)
B15=a15?誘R15=(0.0100,0.2500,0.2900,0.0500,0)
B21=a21?誘R21=(0.0162,0.2326,0.4495,0.2573,0.0443)
B22=a22?誘R22=(0,0.3750,0.1000,0.0250,0)
B23=a23?誘R23=(0.3600,0.4065,0.1802,0.0533,0)
B24=a24?誘R24=(0,0.0833,0.1833,0.0667,0)
B25=a25?誘R25=(0,1.1375,0.27921,0,0)
B11=(0.6500,0.2500,0.07750,0.0250,0)
B12=(0.0606,0.2333,0.5374,0.0998,0.0689)
B13=(0.2001,0.6501,0.1001,0.0497,0)
B14=(0,0.2126,0.4855,0.2040,0.0979)
B15=(0.0167,0.4167,0.4833,0.0833,0)
B21=(0.0162,0.2326,0.4495,0.2573,0.0443)
B22=(0,0.7500,0.2000,0.0500,0)
B23=(0.3600,0.4065,0.1802,0.0533,0)
B24=(0,0.2499,0.55,0.2001,0)
B25=(0,0.8029,0.1971,0,0)
对第二层级因素综合评价,根据第三层级评价的归一化处理结果,得出一级指标的评价矩阵R1=[B11,B12,B13,B14,B15]t和R2=[B21,B22,B23,B24,B25]t,并进行模糊评价:
B1=a1?誘R1=(0.1547,,04508,0.2791,0.0843,0.0311)
B2=a2?誘R2=(0.1909,0.4196,0.2754,0.1046,0.0094)
对上述结果进行归一化处理,得到
B1=(0.1547,0.4508,0.2791,0.0843,0.0311)
B2=(0.1909,0.4196,0.2754,0.1046,0.0094)
最后,对第一层级因素进行评价,根据第二层级评价的归一化处理结果,得出综合评价矩阵:R=[B1,B2]t,并进行模糊评价:
B=a?誘R=(0.1658,0.4430,0.2782,0.0894,0.0257)
对上述结果进行归一化处理,得到:B=(0.1655,0.4421,0.2776,
0.0892,0.0256)。
二是对综合评分值进行等级评定。为了对各层次因素进行比较,可用等级分数矩阵计算综合评价值w。等级分数矩阵是对每一级评语进行赋值组成,即:C=(13579)
可以得到企业风险综合评判值:w=B·Ct=3.7351
同理,可以得到第一层指标内部风险与外部风险综合评判值:
w1=B1·Ct=3.7726;w2=B2·Ct=3.6439。
企业风险综合评判值为3.7351,对照表2评价分级标准可知企业风险属于二级,处于“较低”风险水平,且被评为“低”、“较低”的比率约为59%。企业内部风险与外部风险综合评判值分别3.7726,3.6439都属于二级,都处于“较低”风险水平。
对影响内部风险和外部风险的因素进一步分析判断,可得到第二层指标综合评判值:w11=B11·Ct=1.9499。w12=B12·Ct=4.7664。w13=B13·Ct=2.9986。w14=B14·Ct=5.3744。w15=B15·Ct=4.2667。w21=B21
·Ct=5.1618。w22=B22·Ct=3.6000。w23=B23·Ct=2.8536。w24=B24·Ct=4.9004。w25=B25·Ct=3.3942。
由综合评判值得到各类风险因素的排序,内部风险按照财务因素、管理因素、安全环保因素、人力资源因素、自主创新因素依次降低,其中财务因素、管理因素、安全环保因素评估结果介于4.2与5.8之间,为“中等”属于三级风险,人力资源因素评估结果介于2.6与4.2之间,为“较低”属于二级风险,自主创新因素评估结果介于1~1.6之间为“低”属于一级风险;外部风险按照经济因素、科学技术因素、法律因素、自然环境因素、社会因素依次降低,其中经济因素、科学技术因素评估结果介于4.2与5.8之间,为“中等”属于三级风险,法律因素、自然环境因素、社会因素评估结果介于2.6与4.2之间,为“较低”属于二级风险。
四、结论
我国《企业内部控制基本规范》要求企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。实际工作中,对于内部控制风险的评估多是定性的描述,而且很难对各个风险要素的关系和重要程度进行判断。模糊综合评价法很好地解决了这个问题,将定性分析与定量分析相结合,不仅对企业总体风险进行了评估,而且还可以对各个层次的风险因素水平进行判断和排序。由此,企业可以根据对内部控制风险评估的排序确定关注重点和优先控制的风险,并根据风险评估的结果,建立持续的风险评估制度体系。
内部控制的风险评估篇3
【关键词】风险导向;内部控制评估
一、内部控制评估的涵义
根据CoSo框架的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标:遵守有关法律法规和组织内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效地使用资源;提高经营效率和效果;实现企业战略。
内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的,是指为保障内部控制系统的有效性,由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况,发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员(如事务所)进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制,共同构成公司内部控制评估体系。
二、内部控制评估的目标、对象与原则
(一)内部控制评估的目标
内部控制评估的目标应从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此,内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。
(二)内部控制评估的对象
内部控制评价的对象是内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。
从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。
(三)内部控制评估的原则
企业实施内部控制评估至少应当遵循以下原则:
1.全面性原则。评估工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评估工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。
3.客观性原则。评估工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、风险导向内部控制评估的程序
(一)确定风险领域,制定内控评估计划
内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等,结合企业管理目标,进行充分的调查,可采用问卷调查、座谈会等方式,初步确定企业所面临的风险,对重要性做出初步判断编制整体审计计划。
风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前,审计人员应对企业的风险进行识别、分析并分类,对组织目标实现有重要影响的风险事项进行重点评估。
(二)对确定的风险事项进行评估
评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据,确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下,在开展内控评估时,可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点,进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点,应及时对内控实施细则进行补充和完善,以确保及时防范重大内控风险,使内控评估成为一种积极、主动的全过程动态防范风险机制,为管理层进行风险管理提供有用信息,为公司治理提出建议和整改措施。
可以采取以下审计程序:(1)研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息,确定是否存在可能影响组织的风险,是否存在监督、评价、管理这些风险的控制程序;(2)检查公司政策、董事会和审计委员会会议记录,确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度;(3)检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告;(4)与被审单位管理层及相关人员交流,了解被审单位存在的风险及采取的风险控制、管理措施;(5)独立评价被审单位风险管理程序的有效性,评估风险管理结果报告的充分性和及时性;(6)评估管理层风险分析是否全面、正确,风险管理措施是否适当,并提出改善建议,说明风险管理实务中存在薄弱环节的问题。
(三)得到评估结论,出具评估报告
内部控制人员在评估结束后,实施必要的审计程序后,以经过核实的证据为依据,形成评估结论与建议,出具评估报告。评估报告中一般包括单位内部控制工作组织安排,评估期间及范围,评估方法,所发现问题的表现、面临的风险、成因、影响、改进建议等,以及单位内控控制设计及执行是否有效的结论。
四、风险导向内部控制评估应注意的问题
(一)以风险管理理念为基准
进行内控评估时,应该以风险管理理念为基准。风险管理是企业经营管理的关键所在,内控评估的重点应该是确认风险及测试管理风险的方法,分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这是内控评估的焦点。
(二)应选取科学合理的标准
制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价,其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。结合内部控制评估的目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架的要素来设定控制标准。
(三)关注内部控制的经营与战略目标
内控评估目标包括合规目标、资产目标、报告目标、经营目标和战略目标五个方面,而在具体执行中,企业评估侧重点一般关注于合规目标、资产目标和报告目标,至于经营目标和战略目标受到的关注程度较少。从企业经营管理的角度,显然,经营与战略目标是最重要的。
在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评估,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(四)完善内部控制评估的考核监督机制
我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,使内部控制制度流于形式;同时发现的内控缺陷难以有效整改落实,大大降低了内控评估的风险防范作用。因此,建立健全内控评估的考核评价机制,对于强化内控执行、防范相关风险起着非常更重要的作用。对具体风险点与控制点流程中所有关键环节的内容建立目标和量化评价考核标准,细化内控考核细则;开展分类别内控评估工作质量评比,兑现考核奖惩,强化内控执行。同时,为保证内控缺陷的整改落实,可将内控执行情况、缺陷报告情况及整改情况与部门或个人的绩效考核挂钩,建立激励与约束机制。
参考文献:
[1]财政部.企业内部控制基本规范[S].2009.
内部控制的风险评估篇4
【关键词】资产评估行业协会;内部控制制度;评价指标体系
在市场经济健全的国家,行业协会、政府与企业被并称为“现代社会三大支柱”,它们在影响政府经济政策制定、开拓国际市场、改善工作环境和协调劳资关系等方面发挥着重要的作用。资产评估行业协会是专门对资产评估行业进行管理的行业管理机构,它是为了避免评估行业之间的不正当竞争,维护共同利益,进行自我协调、自我约束、自我管理,以自愿形式组成的非营利性社会团体,其主要职能是行业自律、协调和服务。资产评估行业协会内部控制是由协会理事会、常务理事会和其他工作人员实施的,为组织工作的效率性、财务报告的可靠性、相关法律的遵循性等目标的达成提供合理保证的过程。其构成要素应该来源于管理层组织协会工作的方式,并与管理的过程相结合。
一、我国资产评估行业协会内部控制现状
(一)我国资产评估行业协会对内部控制制度建设重视程度不够
长期以来,由于种种原因,我国资产评估行业协会对内部控制制度的作用普遍认识不足、重视不够,有的是未建立内部控制制度,没有成文的内部控制制度,或者是内部控制制度残缺不全、有关内容不够合理,比如较为重视协会与政府和评估机构的沟通,但忽视了内部控制结构的整体协调,从而导致资产评估行业缺乏明确的控制程序和标准。同时,我国资产评估行业协会也往往忽视内部控制制度的宣传,忽视控制程序和标准的制定,以及相关文化的形成,使得评估行业协会的工作人员缺乏对内部控制的了解。
(二)我国资产评估行业协会对内部控制的实施流于形式
现实中还存在另一种情况,即评估行业协会制定了内部控制制度,而且也较为全面,但仅仅停留在纸上而不执行、不落实,未能发挥有效作用来制约违章行为的发生,将已订立的协会内部控制制度“印在纸上、挂在墙上”,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,遇到具体问题多强调灵活性,使内部控制制度流于形式,从而失去了应有的刚性和严肃性。
(三)我国资产评估协会仍然受政府相关部门的影响
由于我国行业协会还没有完全与政府相脱离,或多或少的受政府相关部门的影响,资产评估行业协会也不例外,从而造成我国行业协会治理结构不完善导致协会内部控制体制不顺,比如协会内部出现多头领导问题,使内部控制执行不力;加上资产评估行业协会自身对内部控制不重视,缺乏内部控制理念,造成我国资产评估行业协会内部组织工作实施不顺畅。
二、资产评估行业协会内部控制制度建设的必要性
针对我国资产评估行业协会目前存在的诸多问题,建立和完善有效的内部控制制度就非常必要和紧迫。
(一)建立完善的内部控制制度是资产评估行业协会健康发展的需要
随着资产评估行业体制改革的深入,资产评估行业协会自逐步扩大,建立资产评估行业协会内部控制制度是随着本协会对内加强管理和对外满足社会需要而逐渐产生并发展起来的自我检查、自我调整和自我制约的系统,是资产评估行业健康发展的必然要求。内控制度可以合理保证协会有效进行组织工作管理,提供可靠的财务报告和其他信息,保护本协会财产的安全完整,保证有关政策、法律法规的贯彻执行,实现本协会的整体目标。因此要使协会内部各项活动健康和有序的进行,就需要建立完善的内部控制制度。
(二)建立完善的资产评估行业协会内部控制制度是资产评估行业协会防范管理风险的制度保障
风险导向型内部控制是现代内部控制的主要特征。由于我国评估协会或多或少的会受到政府有关部门的影响,其抗风险意识并没有提高到应有的高度或根本没有形成风险意识,更缺乏有效的风险管理与风险预警机制。由于近年来资产评估行业协会在我国经济体制中发挥着越来越重要的作用,其所处的内外环境也日益复杂多变,风险程度需要进行全面评估并据此进行适当的风险控制。资产评估行业协会的风险主要体现在制定资产评估行业的准入制度,审批资产评估机构、资产评估人员的执业资格以及内部管理机制的僵化和财务风险上。资产评估行业协会应针对风险控制点,建立有效的风险控制系统,通过风险预警、风险识别、风险评估、风险分析、风险报告等风险导向型内部控制制度,可以规避和防范资产评估行业协会的管理风险。
(三)建立完善的内部控制制度有助于维护社会公众利益
资产评估行业协会内部控制的完善程度决定了评估行业的发展状况,决定了能否在我国的评估行业中建立一个公正、公平的竞争机制。这个机制可以最大限度地调动评估机构的积极性,进一步提高其职业质量,规范评估操作程序,减少不必要的纠纷和诉讼,加强评估机构的抗风险意识。同时,完善的内部控制制度可以及时发现并高效传递和诚信有关的信息,有效地调动社会公众的积极性,形成对资产评估行业的外在有效约束机制,对于维护整个行业诚信建设无疑具有很强的现实意义,从而可以有效的维护社会公众利益。
(四)对资产评估行业协会内部控制的研究,有利于提升政府的治理水平
资产评估行业协会作为政府和评估机构的桥梁,必须开展好“双向服务”。评估行业协会可以通过加强其内部控制制度,快速高效地把行业的情况、评估机构的愿望反映给政府,为政府提供决策参考。
三、资产评估行业协会内部控制制度的构成要件
(一)控制环境建设
提高管理层对内部控制重要性的认识,建立并实施完善内部控制制度是资产评估行业协会管理层的主要职责之一。资产评估行业协会的核心是人及其环境,资产评估行业协会内部控制失效,经营风险、财务风险的产生,其责任主要是行为主体,只有领导层高度重视,才能结合本协会的实际情况,制定出一套行之有效的内部控制制度,并认真贯彻执行。通过健全、有效的内控制度制度,加强对资产评估行业协会管理者的内部监督,建立重大决策集体审批制度,以杜绝个别领导权力过大或集体循私舞弊行为。承担内部控制监督职责的资产评估行业协会财务人员,要加强职业道德修养,增强工作责任心和使命感,使内控制度能够更好地、更全面地贯彻落实。
(二)内部控制内容体系建设
内部控制制度包括内部会计控制和内部管理控制。内部会计控制固然重要,但内部控制理论和实践与管理控制也是分不开的。资产评估行业协会内部控制内容体系应以内部会计控制与内部管理控制为基本点,同时资产评估行业协会的环境、协会文化等控制环境因素与风险因素都应纳入资产评估行业协会内部控制的范围予以考虑。如果没有管理控制,会计控制既失去了基础,也失去了目标。而如果不考虑控制环境因素与风险因素,内控制度就会失去现实的履行基础和保障。
(三)内部控制评价指标体系构建
资产评估行业协会内部控制评价主要是对内部控制设计的完整性、合理性及有效性进行评价。如果说合理和完整的内控制度的设计及有效执行是保证监管部门或资产评估行业协会自身订立的内控目标得以实现的必要条件,那么这一条件客观上需要有一套指标体系来对内控制度的设计有效性和执行有效性作出评价。一是正确界定内部控制的目标,即考核资产评估行业协会所制定和执行的内控制度能否达到可靠性、合法合规性、经营效率和效果;二是以风险管理理念为基准评价内控制度,即在构建内控评价体系的过程中,应该以风险管理理念为基准,内控评价的重点应该是确认风险及测试管理风险的方法,在风险导向的内控评价中,分析、确认、揭示关键性的经营风险与财务风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这才是评估协会内控评价的焦点;三是内控评价体系应选取科学合理的标准,缺乏科学合理的评价标准而进行的内部控制评价,其结果不可能真实反映协会内部控制的健全和有效。
(四)充分发挥内部审计功能
内部审计是资产评估行业协会强化内部控制制度的最重要环节,在现行的资产评估行业协会体制下,有了科学管理的框架,要让管理得到强化,得到有效实施和不断完善,就需要内部审计的支撑。内部审计要对内部控制制度的建立和实施进行恰当的监督与检查,对内部控制系统的运行效果和质量进行审计测试与评价,及时反馈制度执行结果的信息并提出意见、措施和建议,使内部审计逐步由注重查错防弊的监督型向风险防范、增加价值、促进服务的管理型转变。
(五)强化外部监督与约束
强化外部监督与约束机制,充分发挥财政、审计等政府部门在建立完善资产评估行业协会内部控制方面的作用。尤其在资产评估行业协会管理者内部控制观念普遍淡薄的情况下,依靠政府的强制性与权威性,加强对资产评估行业协会内部控制的检查与监督,加大执法力度,增强威慑力,按照有关法律法规规范资产评估行业协会内部控制制度并使之有效实施,以形成有效的监督合力。同时鼓励与支持广播电视、报刊等新闻媒体对违法违纪行为曝光,以充分发挥舆论监督的作用。
为了加快培育和发展资产评估行业协会,使其更好的服务于评估机构,发挥其中介作用,完善的内部控制制度就成为必要条件之一。只有通过加强制度建设,实施有效监督,才能从源头上预防和治理腐败。内部控制制度是社会经济发展到一定阶段的产物,是现代企业管理的重要手段,同时也是行业协会加强其组织管理的重要手段,对于防范舞弊,减少损失具有积极的意义。
【参考文献】
[1]李若山,徐明磊.CoSo报告下的内部控制新发展.会计研究,2005,(2).
[2]李珍刚.当代中国政府与非营利组织互动关系研究.北京:中国社会科学出版社,2004.
内部控制的风险评估篇5
关键词:控制自我评估;内部审计;公司治理
控制自我评估(controlselfassess,简称csa)是经理层及其员工对他们设计的、旨在实现其目标和控制相关风险的控制系统进行评估的过程。作为风险和控制专家的内审人员积极促进了控制自我评估的开展。但这带来了新的疑惑:经理和员工参与控制评估,是否会逐渐削弱或取代内审人员在控制评估中的地位?另一方面,公司治理已成为全球关注的热点问题。广义的公司治理,是通过一套正式或非正式的、内部的或外部的制度或机制来协调公司与所有者、利害相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方面的利益。控制自我评估如何能为公司治理作出贡献,为审计师和管理层所共同关注。本文试图立足公司治理,探讨控制自我评估与内部审计和公司治理的内在联系。
一、控制自我评估的概念及内部审计的作用
控制自我评估在海湾加拿大能源有限责任公司实施(20世纪80年代中后期)仅仅10年以后,它的基本概念即被广泛采用。控制自我评估包括计划,预备工作,单独的研讨会,系列的联席会议,报告和行动方案的实施等一系列过程。概念的核心部分包括下述成分:(1)前期计划和前期审计工作。(2)组织人们在同一时间或同一地点开会,包括有利于交流和活动的座位安排(u字形会议桌)和会议设施,参加人员是直接涉及检查的具体问题的管理人员和其它职员,他们对这些问题最了解,对于适当的控制程序的实施具有重要作用。(3)结构化的议事日程以使参加人员检查风险和控制,通常这些议事日程都要拟定良好的框架或模型以便确保参加者发现所有的问题。(4)可以有选择地聘用一位书记员对各阶段的现场工作进行记录,以及处理电子投票的技术问题,以使参加者可以不记名地发表自己的感想。(5)报告和实施行动计划。
这一核心概念在界定了控制自我评估的基本规律的同时,还强调内部控制系统既不是内部审计工作的责任,也不仅仅是高级管理层应关心的问题,相反,应该把它看成是所有雇员共同的责任。控制自我评估体现了应该最先询问那些参与了风险评估过程以及执行了整个控制过程的人。它所包含的不断改善与现代的全面质量管理概念非常匹配,与整体协作的概念及群体学习的模式也有相通之处,因而在今天的商业社会中存在着巨大的潜能。
控制自我评估是在进行内部审计的过程中发展起来的,并且今天它仍受内部审计部门的领导。但是,随着时间的推移,控制自我评估是否可能演化成由管理部门或职能单位负责的活动呢?对内部审计在控制自我评估中的作用问题一直存在着不同意见。本文认为,控制自我评估是对传统的内部审计形式的一种补充和发展,是广义的内部审计理论中的一种技术方法,同时又采用了完全不同的手段。控制自我评估可以对一些模糊的东西进行计量,可以对软控制进行评价,这是传统的审计方法所难以做到的,而coso的研究表明,那些不太定型的部分正是这么多控制失败的关键。
国际内部审计师协会(iia)1999年将内部审计定义为企业内部一项独立客观的咨询活动,它以增强价值、促进单位经营为基本指导思想,通过系统化、规范化的方法评价和提高单位风险、管理控制和管理过程的效果,帮助其完成目标。在此定义指导下的内部审计,已突破了以往“内部警察”的形象,拓宽了职能范围,在公司治理和企业管理中提升了自身地位。控制自我评估就是这种转变的体现,它的产生和发展源自内部审计重要的推进作用。内部审计人员担负起控制自我评估过程中极其重要的组织和协调工作,以高质量的小组协调推动技术推进控制自我评估的进展和成效。
二、控制自我评估对公司治理的影响分析
1.控制自我评估使管理层能够进行有效的控制。管理层负责建立和维持有效的控制系统。这意味着管理层必须检查系统的设计是否合理,应用是否有效。为了实现这一目标,管理层及其员工需要足够的工具、方法和时间对控制系统进行检查。由于这些要素的稀缺性,这项工作常常无法完成,或者交由其他人,如内审人员承担。而控制自我评估可帮助经理及其员工完成这项工作,并通过自我评估增强了自我控制。
2.控制自我评估是使对控制系统的连续检查和改进得以进行的简单而有用的方法。换句话说,一旦学会和应用控制自我评估方法,就可用控制自我评估的思维思考,即使没有专门场所,也能考虑和实施对新情况的控制。当职能经理用控制自我评估检查其控制系统时,如果经营“在控制中”,他们获得对控制系统的信心;如果不是,他们也能了解情况并采取有效的措施。在组织中使用控制自我评估也给ceo和董事会提供了保证,以使他们能把信心建立在可靠的信息的基础上,而不只是依靠感觉和希望。
3.控制自我评估聚焦于管理层有效控制的责任。它提供鼓励内部审计发挥作用的论坛,用公开、开放的讨论代替了一对一的会见和文件搜索。作为风险和控制的专家,内审人员评价与风险有关的控制系统,为组织提供“在控制中”的保证。内审人员在确定改进无效控制系统的必要性和方式时,需要管理层的协助,控制自我评估就是这样的一种理想方法,把获得协助当作改进控制系统和绩效的基础。在以公开和坦诚为主要规则的讨论中,控制自我评估使内部审计和职能管理联系更加紧密。除了改进控制系统之外,控制自我评估还增进了对组织风险和控制的理解。这样,经理和员工在发展和评价控制系统时就变得更自主,也能更有效地实现他们的目标。
4.控制自我评估可以评价和改进软控制。以前,人们认为控制就是行政控制,以授权和职责分工为主要内容。新的控制架构和模型中一个最主要的发展是认识到软控制的基础作用。软控制是控制中人文的方面,包括领导,团队,文化,价值,交流,责任,预期,弹性和能力。现在用责任代替授权,用信任和监督代替职责分工。由于创造了公开、开放的讨论气氛,控制自我评估可以评价软控制,小组自身在此过程中也变成控制系统一个明显的软性组成部分。通过控制自我评估也可以改进软控制。要求不断改进的控制自我评估作为控制系统的驱动力,使评估小组得到提高,变得更加理解风险和控制,增强了对风险的敏感性和预测能力,而这种预测和适应性可使所需的控制数量更少而效果更佳。
5.控制自我评估是为ceo和董事会提供组织“在控制中”的普遍保证的主要方式。控制自我评估表格是关于目标、风险和控制的集中记录。但在对组织风险进行全面描述和总体评价时,控制自我评估可以减少不必要或不高效的控制。另外,由于可以按照控制系统有效性的提高程度对经理人员进行排序,控制自我评估可以有效地实现对人员的评估。
三、控制自我评估、内部审计与公司治理的相互关系
内部审计在iia的质量保证检查手册中被定位为一种公司治理内的内部保证程序。也可以将内部审计描述为“一种通过它组织可获得关于动态变化环境中的风险暴露已得到恰当管理的保证的过程”。这意味着,内部审计不是仅仅提供保证——不能提供保证的地方,内审人员致力于改进。甚至这样也不够,为了加强控制系统的效果,内审人员逐步理解组织的动态环境、风险和控制。这提高了人们预期动态环境的变化,识别将出现的风险,以及在如何控制这些风险方面变得更具适应性和更加灵活的能力。
当推动控制自我评估的进程时,内部审计人员对组织状况的理解得到最佳发展。推动不仅仅是指引导评估过程,还包括促进参与者借以对风险和控制进行自我评估的学习过程。因此,内部审计通过控制自我评估与风险管理相联系,成为公司治理的一部分。内部审计就是通过控制自我评估管理风险的那部分公司治理程序。
另外,由于可以与董事会保持沟通,提供组织“在控制中”的保证,而内部审计的超然独立地位和专业背景又增强了这些信息的质量和可靠程度,内部审计对董事会的公司治理活动也很重要。一般而言,内部审计站在第三者的立场对现状进行公正、完整、客观的描述。而控制自我评估的结果是参与者自己的语言,内部审计收集这些信息以推动控制自我评估的进展,因此可以说控制自我评估又增加了一种沟通的方式,即向董事会传达控制实施者自己的体会和感想。而且,正是在控制自我评估过程中,绩效目标得到讨论和接受,工作小组承担了有效控制和风险管理的责任。控制自我评估产生了数量更少而效果更好的控制,因而有助于公司治理。
四、结论
控制自我评估是一个职能经理借以检查和提高他们所负责的控制系统有效性的理想程序。这样经理层能更好地对作为目标起点的机遇和可能对目标产生负影响的威胁这两类风险进行管理,有把握地相信他们所负责的职能“在控制中”。控制自我评估能够深化组织对其风险和控制的理解,改善其实现目标的能力。它通过在控制系统中建立人力结构,增强人员能力来达到目标。而人员的敏感性、预测能力和适应性是组织管理其所面对的机遇和威胁的能力中最重要的因素。从这个意义上讲,控制自我评估对公司治理具有重大贡献。
内部审计是公司治理的一个基本组成部分,提供关于风险和控制的保证,有助于改进风险管理和控制系统,拓展对组织情况、风险和控制的理解。这直接增强了控制系统中人的方面,使人们能够对风险更加敏感,能够预期需要加以控制的条件和情况。当内审人员在控制自我评估过程中推进职能小组的学习时,对组织情况、风险和控制的知识就得到了发展和深化。因此,掌握和发展控制自我评估技术,内部审计才能更好地在公司治理中发挥独特作用。
参考文献:
1.王戈编译.控制自我评估简介.审计研究资料.1997,(11).
内部控制的风险评估篇6
一、基层人民银行风险管理现状
当前人民银行对风险进行识别,主要是由各部门依据自身业务特点,按照是否可能产生资金、财产损失,由于失密、泄密造成重大危害,影响央行政策目标实现和工作效率下降等各个方面,界定风险的种类、起因和性质。根据《中国人民银行分支行内部控制指引》中有关内容,当前人民银行的基本风险主要有以下几种:
(一)资金安全风险隐患
一是在处理核算业务中,由于个别岗位人员风险意识淡薄,对个人上机操作密码缺乏保密措施,甚至有的岗位人员为便于其他人员为自己临时业务操作,将个人上机密码告知部门内其他人员,在自己脱岗时,由其代办业务,导致业务处理一手清现象。二是在涉及资金核算业务岗位的人员配置方面,不相融岗位相互兼岗现象仍有发生。三是个人印章保管不严格,不能做到人走进柜落锁。四是在办理大宗物品采购过程中,存在提前支付货款、付款人与原签订合同的供货人不一致等现象,甚至出现付款时忘记扣回预付款现象。五是资金支出中存在越权现象。六是办理国库退库业务时对退库资料审核不严格,甚至发生预算退库收款单位与预算收入缴入单位不一致现象。以上问题均易导致资金风险的产生。
(二)法律风险隐患
一是办理行政许可过程中未能对申请资料进行认真审核,形成一些过期无效材料存在于提交的申请材料之中。二是行政许可未按照规定程序办理,收到申请时未向申请单位开具“行政许可申请受理通知书”,办结后未及时开具“行政许可决定书”或“不予行政许可决定书”等有效文书。三是行政执法检查工作底稿不规范,有的缺少检查人员签字,事实确认书上被检查单位未签字,或签字人不符合规定要求越权签字,还有的处罚决定书要素不全,决定书未明确被处罚人的权利,有的处罚决定依据不准确或不清楚。四是经济合同不规范,合同要素不全,标的物质量等未作明确规定。以上问题均易导致法律风险的产生。
(三)操作风险隐患
一是大宗物品采购不规范。仍有部分单位未将应纳入大宗物品采购管理的事项纳入大宗物品采购管理。二是在业务操作中漏签字、签章,导致发生问题后责任认定难。三是安全教育、监督不到位。有的单位驾驶员连续发生轻微交通事故,单位未引起重视。以上问题均易导致操作风险的产生。
(四)声誉风险隐患
在对外宣传或开展调研中,部分人民银行员工未对拟定的稿件充分论证,也未将其交宣传管理部门审核,擅自多家媒体投稿,导致一些失真、错误信息外传,易造成声誉风险。
二、基层人民银行风险管理工作面临的难题
(一)风险管理文化尚未真正建立
目前,部分基层央行工作人员仍把风险管理简单地理解为各种规章制度的制定、装订、汇总,认为建立健全了规章制度,就是建立了风险管理机制,没有真正认识到风险识别、分析、评估等与风险防范之间的关系,没有积极主动地对常规业务和管理活动定期进行风险分析,缺乏对非常规性业务和管理活动及突发性事件及时进行分析的风险管理意识。
(二)风险评估标准不够统一
《中国人民银行分支机构内部控制指引》虽然指出了风险评估是指识别和分析相关风险并确定应对策略,但没有明确具体统一的评估标准,不同的评估对象有不同的标准,相同的对象也有不同的标准,有的以内部控制五个要素作为评价标准,也有的以内控的有效性、全面性、及时性和合理性为标准。缺乏统一的风险评价标准,就不能对风险做出准确的评估。
(三)风险评估信息交流不够充分
主要表现在风险评估双方信息不对称:一是尽管各业务部门的风险管理信息日益增多,但报送的风险信息资料单一,仅限于各业务部门的内控制度汇编等资料,不能动态反映风险管理现状。二是风险管理信息传递的时效性较差,存在信息滞后现象。三是渠道不够畅通,平时交流很少,仅仅依靠评估前期准备阶段收集信息资料或进行临时流。
(四)员工综合素质与风险管理要求仍有差距
一是知识结构不合理。目前,无论是人民银行内审人员还是业务部门人员,多数只具备会计财务、货币信贷、调查统计、外汇管理等专业知识,缺乏风险管理知识方面的专门培训。二是专业知识更新慢,对新业务风险识别分析不到位,在实际工作中经常套用老文件、老办法来处理新问题、新情况,缺乏对新风险点的了解和掌控能力。
(五)风险评估长效机制有待强化
风险评估工作应该是一个连续的循环往复的过程。而有的单位和职能部门将风险评估工作作为阶段性工作来抓,时紧时松,时断时续,对于已经识别的风险点未及时防控,对于隐匿的新风险点未能认真排查;在风险应对评价方面未能结合实际情况进行再分析、再评价,已经制定的风险应对措施未能随着人员、流程、系统和外部环境的变化而更新,使风险控制方案所起的作用逐渐弱化。
三、强化基层人民银行风险管理的路径
(一)成立专业风险评估小组
基层人民银行要成立由单位内具有丰富管理经验的人担任的专业风险评估小组,定期对整体风险状况进行仔细评估,筛选出高风险级以上风险点,进行风险监测和风险控制管理。评估组应组织日常风险识别、风险监测和风险分析,负责建立各业务条线的风险评估模型,收集整理风险评估资料,及时评估分析风险状况,为领导决策提供依据。行长和分管行领导要充分支持风险评估工作的开展,保证风险评估工作具备足够的人力、物力以及信息技术水平,及时了解风险评估工作的开展情况。相关职能部门在风险评估过程中要各司其职,既要明确分工,又要通力协作,积极发挥作用。
(二)优化风险评估流程
根据基层人民银行风险种类的划分,操作风险在整个风险体系中占有较大的比重。根据操作风险的特点和风险性质,风险评估程序应采用由表及里、自下而上、从已知到未知的方式,依据操作业务流程分析,从基础岗位做起,从已知的风险延伸到未知的风险,风险评估流程图如图1。
(三)建立风险评估模型
风险评估模型的建立应具有一定的准确性,对风险控制能够起实际指导作用。
1.风险水平计量。风险水平的计量一般包括两个方面:固有风险和控制风险效果。实际风险水平与固有风险成正比,与控制效果高低成反比。
实际风险水平是实施内部控制后存在于业务岗位的剩余风险,应该是管理者和决策者能够接受的风险水平。如果计算出的风险水平与设定的目标值有差距,就需要重新采取控制措施,然后再次进行风险评估,直至确认风险水平在可接受的范围内。
2.风险等级划分。对于固有风险可按风险程度划分为高风险、较高风险、中风险、较低风险和低风险五级,按照风险程度和风险级别赋予固有风险不同的分值,如高风险值为1-0.9,较高风险值为0.9-0.8,中风险值为0.8-0.7,较低风险为0.7-0.6,低风险为0.6以下;控制效果评价等级(控制评价值)划分为优良、满意、有待改进、较差和失效五种状况,根据内控评价结论划分为优良90-100,满意为80-90,有待改进为70-80,较差为60-70,失效为50-60。
3.风险评估方法。采取层次分析法和德尔菲法相结合的办法对风险进行识别和评估。运用层次分析法,结合业务流程分析,将复杂的风险问题分解为若干组成要素,按照支配关系和影响程序度分组形成有序的阶梯式层次结构,可以将风险因素进一步细分,便于识别对风险点起关键性、决定性作用的风险因素。运用德尔菲法充分收集专家意见,对风险评估结果进行不断的修正,以提高风险评价的准确性。具体方法和步骤是:(1)岗位人员:运用层次分析法和流程分析法,识别细分风险,对风险进行定性评价。(2)部门自我评估小组:采取定量分析方法,赋予评估分值。(3)风险评估部门:采取定性和定量综合评价方法,汇总整理风险。(4)专业风险评估小组:采取德尔菲法进行评估,确定最终风险结果,提交定性风险评估报告。
4.风险评估标准。人民银行总、分行在充分调查、认证、评估风险的基础上,确定具体业务领域的标准风险水平或安全指标,作为基层人民银行衡量和比较的标准。基层央行通过与安全指标和风险标准对比,确定自身所处的风险等级和风险层次,然后根据风险比较结果,确定是否需要采取控制措施以及控制到何种程度。
内部控制的风险评估篇7
审计风险具有以下四个基本特征:一是审计风险的客观性。现代审计的一个显著特征,就是采用抽样审计的方法,即根据总体中的一部分样本的特性来推断总体的特性,而样本的特性与总体的特性或多或少有一点误差,这种误差可以控制,但一般难以消除。因此,风险总是存在于审计活动过程中,人们只能认识和控制审计风险,而不能完全消除审计风险。二是审计风险的普遍性。虽然审计风险通过最后的审计结论与预期的偏差表现出来,但这种偏差是由多方面的因素引起的,审计活动的每一个环节都可能导致风险因素的产生。因此,审计风险具有普遍性,它存在于审计过程的每一个环节,任何一个环节的审计失误,都会导致最后的审计结论与预期出现偏差,形成审计风险。三是审计风险的潜在性。审计责任的存在是形成审计风险的一个基本因素,如果审计人员在执业上不受任何约束,对自己的工作结果不承担任何责任,就不会形成审计风险,这就决定审计风险在一定时期里具有潜在性。在实际工作中,尽管审计人员可能发表了不恰当的审计意见,只要没有造成不良后果和损失,风险尚停留在潜在阶段,还不能称之为实在意义上的风险。因此,审计风险是一种可能的风险,它存在一个显化的过程,只有当审计人员被追究失误责任并承担风险损失时,才表现为实在性。四是审计风险的可控性。虽然审计风险是客观存在的,并且贯穿于所有审计项目和整个审计过程中的每一个环节,一旦发生将给审计组织和人员造成有形和无形的名誉及经济损失,但是这并不意味着审计人员在审计风险面前无能为力,它是可以被控制的。只要审计人员保持职业谨慎,运用职业判断,对审计风险进行评估,制定并实施合理的审计程序和方法,就可以将其降低至可接受的水平。
二、审计风险的构成要素及相互关系
审计风险是由固有风险、控制风险、检查风险三要素构成。固有风险是指在不考虑被审计单位相关的内部控制政策或程序的情况下,其会计报表上某项认定产生重大错报的可能性。它是独立于会计报表审计之外存在的,是注册会计师无法改变其实际水平的一种风险。控制风险是指被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性。同固有风险一样,审计人员只能评估其水平而不能影响或降低它的大小。检查风险是指注册会计师通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性。检查风险是审计风险要素中唯一可以通过注册会计师进行控制和管理的风险要素。审计风险的三要素之间的关系是:审计风险=固有风险×控制风险×检查风险。即:aR=iR×CR×DR。由于固有风险、控制风险是被审计单位客观存在的,审计人员只能评估其大小,不能改变其大小,因此要降低审计总体风险,只能通过降低检查风险实现。当审计风险一定的情况下:检查风险=审计风险固有风险×控制风险允许的最高检查风险与审计总体风险成正比,与固有风险和控制风险成反比。
三、审计风险的评估
审计风险是客观存在的,审计人员在进行审计时,必须对其大小进行评估,根据评估结果,确定应当实施的审计程序。
(一)固有风险的评估固有风险除受宏观经济环境和行业性质影响外,从被审单位内部看主要受两大因素影响:一是被审计单位管理人员和财务人员因素的影响;二是会计报表项目(具体交易事项)的性质影响。1.管理人员、财务人员对固有风险的影响(1)管理人员及财务人员诚信越高,固有风险越小,反之则越大;(2)管理人员及财务人员政策水平越高,业务能力越强,固有风险越小,反之则越大;(3)管理人员及财务人员越稳定,固有风险越小,管理及财务人员变动越频繁,固有风险就越大;(4)管理人员及财务人员受到的异常压力越大,固有风险就越大,反之则小;2.会计报表项目对固有风险的影响(1)报表项目越多,产生错误漏报的可能性就越大,其固有风险就大,反之就小;(2)经济业务越复杂,专业技术要求越高,固有风险就越大,反之则越小;(3)在核算中需要判断和估算的项目越多,固有风险就越大,反之越小;(4)容易遭受损失或被挪用的资产,其固有风险大,反之则小;(5)异常变动的项目固有风险大,反之则小。对固有风险可以根据以上影响因素进行定性分析,评估固有风险的大小。
(二)控制风险的评估控制风险的大小,主要受内部控制要素的影响,内部控制要素包括:1.控制环境控制环境是对企业控制的建立和实施有重大影响的因素。包括经营观念、方式和风格、组织结构、人事政策、管理开展方法、内部责任制等。2.会计系统会计系统是指公司为了汇总、分析、分类、记录、报告公司交易,并保持对相关资产、负债的受托责任而建立的方法和记录。有效的会计系统应满足以下几点:(1)确认并记录所有真实交易;(2)及时充分描述交易;(3)计量交易的价值;(4)确定交易的时间;(5)在会计报表适当表达交易和披露相关事项。3.控制程序控制程序是指对任何交易或事项的进行都要制定实施步骤和开展的办法。主要包括交易的授权、职责的划分、凭证与记录控制、资产接触与记录使用、独立稽核等内容。企业进行内部控制都要通过一系列内部控制制度来实现的。因此若评估控制风险,就必须评价内部控制制度,审计人员对内部控制制度研究和评价可分为三个步骤:(1)了解企业内部控制制度的情况,并做出相应的记录—掌握被审单位是否存在内部控制制度,存在哪些内部控制制度,可采用调查表法;(2)进行符合性测试—证实有关内部控制制度的设计和执行是否有效,审计人员可以选择某一内部控制制度,结合被审单位的实际抽查内部控制制度是否有效执行;(3)评价内部控制的强弱若无内部控制制度,或虽有内部控制制度,但未贯彻执行均为高控制风险,其控制风险应与评估的固有风险相等。
(三)检查风险的评估对固有风险和控制风险评估后,为了达到预计的风险,应当评估允许的最大检查风险为:当审计风险一定的条件下,并且控制风险和固有已经评估出来后,允许的检查风险。
四、如何降低审计风险
评估审计风险的目的是审计人员努力将审计总风险降低到一个可以接受的水平,以避免承担过大的审计责任,审计人员可通过以下方式降低审计风险:
(一)在评估固有风险和控制风险时,宁可高估绝不可低估;适当增加审计抽样,虽然增加点工作量,但可降低审计风险;
(二)提高审计人员素质,提高审计人员的分析和判断能力,增强审计人员责任心,按审计准则要求实施审计工作;
(三)实行审计项目责任制和风险基金制度。首先,审计人员要实行项目负责制,谁负责的项目谁承担风险;其次,实行风险基金制度,凡是有单位的审计人员都要向所在单位交纳一定的风险基金。这可使审计人员的经济利益与审计风险挂钩,使审计人员从主观上增强风险意识,努力降低风险;
(四)摆正并处理好收入与质量的关系。收入是审计人员生存和发展的前提条件,质量是审计业务的生命线。只有在保证质量的前提下,增加审计人员的收入,才能保证自己的审计工作长期生存和发展;
内部控制的风险评估篇8
风险导向审计模式是将风险理念引入审计的模式。风险理念是指事件发生的结果是否与预期一致,受内外部环境的影响。不稳定的内外部环境因素是造成风险演变为现实损失的原因。这里,不稳定的环境因素就是风险因素。控制风险因素成为确保事件实际结果与预期结果相符的方式和手段。它的核心观点是只要能将风险因素的概率控制在一定范围内,事件的结果就会符合预期。所以,风险导向审计是控制审计过程风险因素的模式。
实务中,审计过程的风险及相互关系用下面公式表示,即“审计风险=重大错报风险×检查风险”,其中,重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思,它涉及多个科目和账户余额,对财务报表真实、准确、完整影响广泛。那么,财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出,该风险是一个时间段下的结果,是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源,正是企业期间运作的过程。所以,经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成,经营活动风险(也就是经营风险)过大就会引起相应财务报表层面风险的产生。也就是说,经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源,就有必要继续分析风险影响因素。所以,本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。
二、指标选取的理论探讨
经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性,是企业必须要关注的风险。经营风险形成的原因很多,总体分为三个方面:一是战略失误,二是内部控制薄弱,三是经营活动低效率。从内部控制角度讲,企业的构成分成两个方面:一是企业占有的资源,二是内部控制。这样,企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此,企业运作下所有有形和无形的产物就与内部控制存在联系,而且这种联系具有广泛性和普遍性。因此,在内部控制被纳入指标评估后,要区分其与战略、经营活动的关系。
当内部控制与知识资源结合时,就会生成战略。战略是企业经营总的方向和规划,是企业的知识资源和内部控制结合的产物,具有资源和内控的双重属性。战略具备内控属性,任何战略都是内部控制下的战略;但是,战略又具有资源属性,简单将其划入内部控制而不单独讨论是不恰当的。再者,战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的,是第一位的;错误不当的目标只会使企业离成功越来越远,经营风险增大;目标实现步骤是否合理和可操作有助于企业循序渐进的发展,避免冒进式决策给企业带来的风险。因此,从上述两方面讲将战略放到与内部控制同等地位,讨论其对经营风险的影响是必要的。
经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估,具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度,以及有助于在发现计划外的风险后,重新追溯检查战略和内部控制风险评估的内容,使风险评估更加全面。因此,要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。
在上述讨论中,明确了风险评估活动下,战略、内部控制和经营活动的关系和相同地位。由于三者间的联系,必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动,对选择恰当的理论作指导,并进一步讨论意义重大。
(一)内部控制内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日的《企业内部控制基本规范》将内部控制分成了五个部分,即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体,但仍具有层次性。
由图1可以看出,内部控制分为三部分内容,即控制环境、控制主体部分(风险评估、控制活动和信息与沟通)、内部监督。其中,控制环境是基础,位于内部控制最低端;中间部分,包括风险评估、控制活动和信息与沟通,是主体和核心内容。内部监督是内部控制自我调节和完善部分,位于最顶端。从内容上讲,基础、主体、调节部分有鲜明的区分;从排列位置上讲,底部、中部、顶端是其功能性的体现,下面分别进行阐述。
控制环境作为内部控制框架体系的基础内容,其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件,保证控制活动的顺利实现;薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中,阻碍控制的有效进行,降低内部控制运作效果,形成自身风险。相应审计风险增大。因此,在对内部控制自身风险分析时,控制环境风险评估是重要内容,应被纳入风险评估指标体系中去。
控制主体部分,包括风险评估、控制活动和信息与沟通,是内部控制的主体和实质部分。其运行机理如图:
由图2可以发现,控制主体部分是一动态部分,在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在,从企业制度、运作过程、员工、记录中都可以进行多次观测,便于风险的发现。再者,企业制度具备稳定性,在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下,不确定性内容减少,风险降低;加上其便于被发现,使得控制主体部分的风险对审计风险影响几乎为零,所以,控制主体部分(风险评估、控制活动和信息与沟通)的自身风险因素不被纳入本文风险评估指标体系构建中去。
内部监督是指对控制活动与控制制度是否相符的监察和督导,其目的是保证各控制活动受控制制度的约束,以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此,如果当监督关系是下级对上级监督,或平级间监督,那么这种关系不成立,内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立(池国华2010)。这样,在内部控制体系中,治理层对管理层、管理层对执行层的制衡才是监督的真实体现,因此对内部监督的讨论,其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容,完善制衡关系与完善控制环境是一致的。
(二)战略这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下,根据企业的目标、目的制定实现这些目标、目的的方式。简而言之,企业战略是企业发展的长期性和全局性的谋划(丁宁、穆志强2005)。战略是企业的指导思想,为企业发展明确了方向;战略也是企业的规划,为企业发展制定了步骤。对于有持续经营意图的企业,正确的方向比经营能力更有意义;方向错误,经营能力越强,失败的概率就越大。同样,详细并且可操作性强的发展步骤,有助于企业发展的稳定性,增强了持续经营能力。由此可见,战略对企业经营成败的影响具有总体性和长远性特征,在影响企业经营的因素中处首要地位,其对审计风险的影响是重大的。因此,战略应被纳入到风险评估体系的构建中去。
企业的战略是否不利于企业近期发展,进而形成经营风险,试图通过从战略追溯至相对应经营活动和财务信息来验证,不具备可操作性。为证实两者的关系,有必要对战略形成过程进行分析,通过间接方式得出已有战略具体环节对企业经营风险的影响。
企业战略形成过程如图3:
企业远景与使命是与治理层的价值观和世界观直接联系的,是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨,因此,企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现,可以一并归至控制环境中。企业环境分析是企业战略形成的关键,因为企业战略的实质就是平衡内外部环境的策略,既关注近期,又考虑到了远期。所以,企业环境分析对企业战略形成的意义重大,它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分,是内部控制下的环境分析,带有浓重的控制色彩。另一方面内部控制有自身缺陷,无法100%达到运作预期,造成对一些环境分析的疏漏,企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此,将企业环境分析与内部控制同等看待,纳入到风险评估体系中去,在审计谨慎性原则下就显得十分必要。
最后,企业战略方向选择和具体战略的制定,其是在环境分析后进行的。环境分析发现了风险问题,战略方向选择与战略制定提出解决问题的对策。对策合理与否,与已纳入风险评价体系中控制环境的人力资源政策直接相关,不再重复纳入。
(三)经营活动由于影响经营风险的因素很多,仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样,对除内控和战略后剩余活动进行分析就显得很必要。再者,经营活动是内部控制下战略的延伸,对重大经营活动关注,发现其风险,并追溯至战略和内部控制加以验证,可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下,将经营活动纳入到风险评估体系构建中是必要的。
综上所述,被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。
三、指标选取
本文对三个方面(战略、经营活动和内部控制)具体内容细分,得出相应指标,如图4所示:
参考文献:
内部控制的风险评估篇9
[关键词]高速地产;内部控制;构建
[中图分类号]F275[文献标识码]a[文章编号]1005-6432(2010)49-0149-01
1强化内部控制环境
一是加快现代化产权制度改革,完善规章制度,建立有效的内部控制制度。要加快产权制度改革,规范建立股东会与董事会、董事会与经理班子之间的委托关系,并积极探索采用新的监控方式,以增加决策的科学性和透明性;二是明确控制目标和控制主体。企业根据经营战略和经营目标,分层次地确立控制目标。根据企业的组织结构控制的主体分工基本是:董事会负责制定风险管理战略目标,风险所有权归高级管理层,剩余风险归执行管理层,风险的识别、评估、减轻和监督归运营层。
2完善风险评估体系,进行有效的风险控制
2.1集团公司对项目公司的风险评估
集团公司对项目公司的风险评估主要包括两个方面的内容:经营风险评估和财务风险评估。
2.2集团公司对项目公司的风险控制
为了对风险进行有效控制,企业集团公司及各项目公司需要对风险进行及时正确地识别、评估和处理。可供企业集团选择的风险处理策略主要有风险规避、风险转移、风险保留、风险搭配等。
3健全集团的控制活动
3.1资本控制
企业集团是以股权资本关系为主要联结纽带的企业联合体,内部控制的主体来自资本所有者或其人,而内部控制关系的维系是以资本关系为基础,内部控制的效率是由资本控制的效率决定的,资本控制是内部控制的核心。
3.2信息控制
随着集团规模的不断扩大,内部管理机构也不断膨胀,中间管理环节增多,管理链条的拉长造成生产要素的堆积。集团公司往往发现各项目公司之间的协调成本越来越高。
4建立有效的信息和沟通系统
4.1信息生成
针对财务信息和管理信息,集团公司应该制定较统一规范的信息生成程序,尽量周密地设定财务信息和管理信息的范围。使项目公司生成的各种信息更具实用性、合理性、可理解性。
4.2信息沟通
信息沟通的方式有政策手册、财务报告手册、备查簿,以及口头交流或管理示例等。信息沟通系统不仅要有向下的沟通渠道,还应有向上的、横向的以及对外界的沟通渠道。信息沟通不仅包括企业集团内部的信息沟通,还包括与企业集团外部,如客户、施工方、政府机构、所有者的信息沟通。
5强化内部审计和控制自我评估的监督作用
5.1集团公司对项目公司的内部审计
借鉴国外的经验,从理论上说,地产集团的内部审计在组织机构上可以构建几个层次的审计组织体系,以实现集团公司对项目公司的全方位监控。
内部控制的风险评估篇10
随着金融体制改革的日益深化,建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代企业风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与企业风险管理的关系及内部审计如何参与企业风险管理进行了思考,并提出一些建议。
一、内部审计与企业风险管理的关系
风险是指发生对目标的实现可能产生的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,风险管理是现代企业管理的一项主要,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。
内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。
国际注册内审师协会对内部审计的描述是:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念已明确将风险管理作为内部审计的重要内容,现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。
在现代内部审计工作中,内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。
因此,作为现代企业管理的重要内容,内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。
二、内部审计在现代企业风险管理中的作用
在风险管理审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。
(一)内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。
对企业而言,对风险识别、防范和控制需要从全局考虑,而企业本身是多个部门的集合,各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学合理的建议,避免风险带来的损失。
所以无论是从全局工作还是实现总体目标的角度来看,内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴,对实现企业全面工作和总体目标将发挥及大的作用。
(二)内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。
从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,在现代企业公司治理构架中,内部审计往往隶属于董事会或审计委员会,直接向董事会负责,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。
(三)风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。
内部审计人员风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段中,审计通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助确定、评价并实施针对风险管理的和控制措施。
三、内部审计如何参与现代企业风险管理
内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。
(一)审查和评价企业风险识别的充分性和适当性。
风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性。
内部审计人员通过实施必要的审计程序,对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于国家法规及政策的变化、环境的变化、的快速、行业竞争、资源及市场变化、灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别,从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程,以风险敏感性为起点开展工作,有效识别风险,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险,并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损等。
(二)审查和评价企业风险评估的适当性和有效性。
风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,出风险值。
内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估,内部审计人员应当充分了解和掌握风险评估的方法,风险评估可以采用定性或定量的方法进行:定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验,以确定其是否恰当,对不恰当的评估予以更正。风险分析中,审计师不仅要关注风险的数量方面,还要关注风险的属性方面或其承载价值的后果。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,以评价风险评估方法的适当性和有效性,审查时重点考虑以下因素:已识别的风险的特征、相关数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。
(三)审查和评估风险应对措施的适当性和有效性。
风险应对是采取应对措施,将风险控制在组织可接受的范围内。完成了风险评估后,确定存在的风险以及它们发生的可能性,排列出风险的优先级,就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面:一是回避,是指采取措施避免进行可产生风险的活动;二是接受,是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;三是降低,是指采取适当措施将风险降低到组织可接受的范围内;四是分担,是指采取措施将风险转移给其他组织或保险机构。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查,对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。