事业单位内部控制风险评估篇1
关键词:全额拨款事业单位;内部控制;风险评估
全额拨款事业单位具有公益性,在经营过程中还存在一定风险。财政部门出台了《行政事业单位内部控制规范》为全额拨款事业单位的内部控制体系建设提供了一定的指导,但是却没有对风险评估的方法明确规定。全额拨款事业单位建立完善内部控制体系,能够帮助单位改善建设水平,提高对公众的服务能力。对此,对全额拨款事业单位内控风险评估体系研究,具有一定的理论意义与实践意义。
一、全额拨款事业单位主要风险点
全额拨款事业单位的风险点在于:第一,预算业务。预算业务是未来一定时期内经营、资本、财务各方面的收支与现金流的总体规划。单位在预算编制环节可能编制不充分,编制质量不符合要求,预算编制和业务部门计划不相符。在预算审批过程中可能因为业务部门财权与事权不匹配,影响财政资金使用的效率。在预算执行的过程中,部分单位资金收支随意性较大,没有严格按照审批手续执行预算,预算脱离目标。第二,收支业务。收支业务是全额拨款事业单位的核心业务,在收支业务中,主要风险是岗位设置不合理,相关责任不明确,导致舞弊现象。
二、全额拨款事业单位内控风险评估现状
(一)缺乏风险评估意识部分全额拨款事业单位的管理者缺乏风险评估意识,单位的成员普遍认为单位的经费来源于财政拨款,在资金的使用和管理方面都会受到预算的约束,因此在管理活动中忽视风险。同时员工认为,单位的风险和自身关系不大,在工作中容易懈怠,缺乏对风险的了解。因此对于全额拨款事业单位而言,管理者和员工都需要提高对风险评估的认识,打破传统的思维定式,将风险评估工作作为常态化的工作,通过对各类风险的判断,在风险来临时从容应对各类风险。
(二)内控风险管理制度不健全单位的制度建设是开展各类内部控制活动的核心,许多全额拨款事业单位的管理者认为,只要加强财务制度的建设,就可以有效应对各类风险。虽然财务制度是内部控制制度的重要部分,但是内部控制活动涉及单位的全体成员,而不仅仅是财务部门的工作,需要单位的所有部门和人员都参与到内部控制过程中,只有加强单位整体的风险评估意识,才能使风险评估活动能够对单位的各项活动进行全方位的监控。同时单位管理者要高度重视风险评估体系的建设,加强对风险评估机制的监督与管理,避免风险评估制度形同虚设而无法发挥其应有的作用。
(三)风险评估方法落后对于事业单位而言,对各项风险的评估都需要一定的方法和技术,如果脱离了方法和技术的支撑,那么风险评估工作也难以有效开展。对于全额拨款事业单位而言,风险评估工作经验还不足,风险评估体系没有建立,对各类风险评估的方法较为随意,加上全额拨款事业单位不重视信息化建设,员工的专业素质不高,因此评估方法也较为落后。
(四)缺乏可借鉴的经验虽然我国制定的行政事业单位内部控制规范,为全额拨款事业单位的风险评估指明了方向,但是全额拨款事业单位开展风险评估的案例不足,单位在工作过程中也缺乏可借鉴的经验,这也导致部分单位难以开展风险评估工作。
三、全额拨款事业单位内控风险评估体系构建
(一)目标设定全额拨款事业单位的风险评估目标要和单位财务管理的目标相一致,满足单位自身的业务流程特点和内部控制管理制度,将单位的各项活动风险降到最低。风险评估体系是否有效在于是否制定出一套可识别和评估的管理操作流程。对此风险评估体系的建立目标要包括以下几个方面:第一,法治观念。内控的首要目标是党风廉政建设,要求单位的各项活动都必须合法合规,不得逾越法律的底线。第二,防范各类经济活动潜在的风险,加强内部控制的管理有效性。通过内部控制把控各类经济业务活动。第三,加强对单位负责人和职工的风险防范意识培养。要求全体员工都参与到内部控制建设的工作中,从而使内控真正约束每个职工。第四,提高财务信息的质量,确保财务信息能够准确反映单位经济业务的实质。第五,提高单位的事前防控能力,在事前就对风险进行判断与预测,防患于未然。
(二)风险识别全额拨款事业单位在对风险识别的过程中,要根据单位的自身特点和影响单位的各类风险要素进行识别。全额拨款事业单位涉及的领域较多,且工作内容丰富,可能面临多种多样的风险,在风险识别过程中要重点判断以下因素:第一,单位各岗位的人员是否有专业胜任能力,是否具有足够的职业道德与思想觉悟。第二,单位的管理制度和各项业务流程是否能够有效的管控各类可能存在的风险。第三,单位的财务状况是否健康,单位的收支情况是否合理。
(三)风险分析全额拨款事业单位在识别了自身的风险之后,要对风险发生的可能性以及风险发生的影响程度进行分析,根据风险的严重程度进行排序。要对重要风险特别关注,避免重要风险给单位带来的各类损失。风险分析的方法主要有以下几种:第一,概率分析。概率分析是以风险发生的概率进行计算,对周期性发生的事项可以从历史信息中计算出概率,通过方差、期望、概率的方法,判断风险发生的可能性。第二,敏感性分析。敏感性分析通过输入参数的数值来分析输出的结果,敏感性分析可以用来补充概率的方法,帮助单位判断自身的风险承受能力。第三,行业标杆比较法。行业标杆比较是将与单位相似的指标结果进行比较,并针对与单位相似的案例进行分析,发现差距优化单位自身的管理制度。在风险分析完毕之后,根据风险分析的结果判定风险等级。
(四)风险应对风险应对是在对风险进行识别和分析之后,制定相应的应对措施。通常有以下几种应对方式:第一,风险规避。风险规避是以拒绝承担风险为手段来规避可能发生的风险。对于全额拨款事业单位而言,不可能完全对各类风险都实现规避,因为其承担着社会服务的职能,完全规避风险代表其不作为,因此只能对于风险谨慎行动避免丧失公信力。第二,降低风险。降低风险是全额拨款事业单位通过一定的方法降低风险发生的概率。根据风险管理的目的,在风险发生之前采取一定的措施减少或消除可能导致风险发生的因素。在风险发生之后,要采取一定的措施减少损失发生的范围和影响程度。第三,风险转移。风险转移是全额拨款事业单位通过合同或非合同的方式将风险转移给其他单位或个人。第四,风险承受。风险承受是全额拨款事业单位承受风险所带来的各类损失,是主动或被动的承受可控范围内的风险。
(五)风险控制在风险评估之后,单位要采取相应的方法对各类风险进行管控。对于全额拨款事业单位而言,内部控制的方法一般包括以下几个方面:第一,不相容的职务相分离。不相容的职务相分离要求明确划分不同岗位的权限,形成岗位之间相互制约、相互监督的机制。单位要明确不同岗位的权利。随着单位的发展,及时对岗位职责与权力进行更新,通过完善组织体系,加强授权审批控制,全面梳理关键控制点,并实施相互监督的措施,以此降低舞弊发生的可能性。第二,内部授权审批控制。全额拨款事业单位的内部授权审批控制要求相关工作人员在授权范围内行使职权并办理业务,权力不应过于集中,要体现分权与授权,避免权力过于集中。目前我国行政事业单位行使集中决策审批制度,对于人事任命、大额资金支付等重大事项和决策不得单独进行或擅自改变集体意见。第三,加强预算控制。事业单位的预算管理在单位管理中占有至关重要的作用,通过预算对各项支出进行控制,从而完善单位的资金管控。首先要加强预算编制环节,通过零基预算和增量预算相结合的方式,对于变动不大的项目采用增量预算的方式提高编制效率,对于灵活的项目通过零基预算方式降低编制随意性。其次在预算执行过程中实行动态监督的方式管控,实时分析预算差异,提高资金收支的严肃性。对于需要调整的预算事项,需要通过严格的审批后才可调整,避免预算脱离目标。
(六)风险评价全额拨款事业单位内控风险评价的内容包括以下两个方面:第一,内控风险设计的有效性。要评价内部控制的风险程序是否设计恰当,是否能够有效控制各类可能存在的风险;是否能够有效保障国家财产的安全与完整;是否规范了单位的内部会计信息与会计处理行为,提高了会计信息的质量;内控风险体系是否涵盖了单位的重要业务与重大事项以及重大风险点;是否对所有的成员都具有约束力。第二,内控风险执行的有效性。内控风险执行的有效性是要判断相关风险点是否按照控制目标运行;实施风险控制的人员是否有相应的职业胜任能力;单位是否根据自身业务的变化及外部环境的变化动态调整内控体系。
事业单位内部控制风险评估篇2
关键字:事业单位内部控制
一、事业单位内部控制体系构建与完善的重要性
(一)避免资源浪费
根据事业单位实际的运营资源需求,通过事业单位内部控制体系的各项管理控制措施,对各项资源进行优化配置,协调各级机构、部门之间的通力合作,使得事业单位在人力、物力、财力等资源的利用上达到最优,从而避免了事业单位资源的浪费。
(二)提高工作效率
事业单位内部控制体系是提高工作效率的关键。近年来,我国社会主义建设迅猛发展,各级事业单位的工作任务也变得日益多元化。不再是单纯的维系社会秩序安定、保障人民生活和谐,又增添了许多社会职责,比如环保、医疗等。尤其是人员、资金以及业务规模也在不断的扩展和扩大。通过事业单位的内部控制体系合理的分配人力、物力、财力,使得人尽其责,做到人力、物力、财力的最大化利用,发挥最大的服务价值,可以大大的提高事业单位的工作效率。
(三)建立法制社会的需求
我国的事业单位种类很多,有些是国家机构的分支机构,其社会职能不仅仅局限在事业职能上,部分事业单位还具有行政执法权力。因此这部分事业单位活动的开展一定要有相关的法律章程予以规范约束。科学合理的事业单位内部控制体系,对于保证事业单位依法运行管理来说是一种有效的手段,同时也是实现事业单位工作人员自我管理、管理工作规范化与效率化的关键,也我国建立法治社会,完善法律制度的需求。
二、事业单位内部控制体系构建与完善的现状
随着改革开放以及市场经济地快速发展,我国的事业单位对其自身的内部控制体系进行了不同程度的构建与完善,使得事业单位内部控制体系取得了不同程度的发展,但是依然存在不少问题,主要有以下几方面。
(一)内部控制环境
内部控制环境是指实施内部控制管理工作所处的环境,通常包括管理内容划分、管理机构设置以及管理责任分配等,也包括现行人力资源政策、内部审计方式以及事业单位文化建设等方面的内容。对于事业单位内部控制体系的构建与完善来说,内部控制环境就好比肥沃的土壤,而内部控制体系就是土壤中的种子,种子要茁壮成长,必须要有良好的内部控制环境。但实践中并非如此,许多事业单位对内部控制环境依然认识不足、法制观念与风险意识不强甚至是一片空白。
(二)风险评估
所谓风险评估,是指对对事业单位内部控制目标实现过程中的各种风险进行预测和识别,以制定相应的应对策略,从而降低事业单位因风险的发生造成的损失。风险评估的顺利进行依赖于专业的评估人才,和应对风险意识的提高。而现在我国的各级事业单位内部控制体系中普遍缺乏专业的风险评估人才,应对风险意识也普遍不高。
(三)控制活动
控制活动主要是指在风险评估基础上所采取的相应措施,通过合理的措施将风险控制在可承受的范围之内。目前,控制活动以发生在事业单位的各层级之间较多,比如授权、批准、验证以及业绩评价和资产安全等,各层级间的协调运作成了风险控制的主要对象。由于专业风险评估人才以及风险意识的低下,使得各个事业单位内部控制体系的控制活动缺乏有力措施,没有取得明显的效果。
三、事业单位内部控制体系构建与完善对策
综合以上对当前我国事业单位内部控制体系构建与完善重要性,以及存在问题的分析,我们应当从以下及方面加强变革,以促进我国事业单位内部控制体系构建与完善。
(一)提高意识
通过组建培训班或者举行会议烟台的方式,对管理层和全体工作人员进行思想意识的培养,使其对内部控制体系构建与完善从思想上予以重视,纠正错误观念,调动事业单位工作人员的积极性,为内部控制体系的构建与完善工作顺利实施营造优越环境。
(二)构建和完善内部控制体系
1、科学的内部控制流程
内部控制体系是一个复杂的系统工程,必须要要科学流程规范才能有效运作。首先是业务部门收集项目资料;然后是风险评估部门根据业务部门的项目资料,进行风险评估,并制定出预防风险的控制活动措施;再有审计以及预算部门根据预防风险控制活动措施,进行资源的配置;最后是监督管理部门的实施。
2、加强各部门协作
由于内部控制体系飞是一个系统工程,需要多部门的联合参与,因此加强各部门的协作就成了保证其顺利实施的重要基础条件。各个事业单位应当通过定期定时举办一些部门间的联谊会,或者联合项目的研讨,加强各部门之间的协作默契度。
(三)专业的风险评估人才
专业的风险评估人才是作出准确风险预测的基础,因此各个事业单位要加强专业风险评估人才的培养,打造高素质的风险评估团队。
事业单位内部控制体系构建与完善是一个系统工程,涉及内容较多,因此我们不能贪快。要综合分析工作中面临的问题,制定完善的措施,大胆的尝试,最后我们会成功的。
参考文献:
[1]事业单位内部控制存在的主要问题、成因分析及建议[J].北京工商大学学报(社会科学版),2009,24(5):69-77
[2]宗文龙,魏紫,于长春等.我国事业单位内部控制现状与改革建议――基于问卷调查的分析[J].审计研究,2012,(5):106-112
事业单位内部控制风险评估篇3
关键词:注册会计师 风险评估 风险管理 内部控制
一、引言
2010年美国公众公司会计监督委员会(publicCompanyaccountingoversightBoard,pCaoB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在pCaoB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且pCaoB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。pCaoB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。pCaoB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。
二、风险评估、企业风险管理与审计风险
(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。
(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。
(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了
解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。
三、注册会计师风险评估与企业风险管理关系
(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,CoSo了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。
(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。
(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。
四、企业风险管理及风险评估路径
(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调整风险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。
(二)风险评估报告与信息系统风险管理 注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注
事业单位内部控制风险评估篇4
中国商业银行信息科技风险管理评估还处在研究发展阶段,为了使中国商业银行对信息科技的使用状况进行评估,使商业银行更全面、更科学地掌握自身信息科技风险情况,评估其在防控各种信息科技风险方面的总体效果,从而对商业银行的信息科技风险表现形态和内在风险控制能力进行的科学、审慎的评估与判断,制定相应的管理措施,达到防范信息科技风险的目的。本文在借鉴美国金融业统一的技术风险评估体系URSit(UniformRatingSys-teminformationtechnology)①和国际公认的信息系统安全与技术管理和控制标准CoBit(ControlobjectivesforinformationandRelatedtechnolo-gy)②的经验、方法和成果基础之上,结合中国商业银行风险评估的特点,特别是商业银行信息科技风险关注点,构造了适合中国商业银行信息科技风险的评估模型、指标体系。
一、信息科技风险评估体系设计思想
URSit是美国联邦机构金融检查委员会(FederalFinancialinstitutionsexaminationCoun-cil,FFieC)制定的与骆驼(CameLS)评级体系相一致的美国金融业统一的技术风险评级体系[1]。1978年,FFieC首次推荐各金融机构采用URSit,它作为一套专门的技术风险监管工具被美国的金融机构以及it服务提供商广泛应用在技术风险检查中[2]。
随着信息技术的不断进步与发展,URSit也进行了多次相应的修改。1998年,FFieC在参考了CoBit基础之上,结合金融行业的特点,增加了衡量执行效果的判断标准,使URSit更科学,也更易于执行[3]。
中国商业银行信息科技风险评估体系在表达上与《商业银行信息科技风险管理指引》和《股份制商业银行风险评级体系》保持一致[4]153-167,首先确定若干评估度量域,每一个度量域包含若干度量类,在确定评估度量域时,借鉴银监会《商业银行信息科技风险管理指引》的九个方面:信息科技治理,信息科技风险管理,信息安全,系统开发、测试与维护,信息科技运行,业务连续性管理,外包管理,内部审计和外部审计,同时结合中国商业银行信息科技风险特征进行设置。
二、多级指标体系的构建
考虑到评级指标有多个类别和多个层次的特性,中国商业银行信息科技风险指标体系结构可以采用多级指标形式,即在每一父类指标下又包含若干个子类指标[5]。按照从属关系依次分为度量域、度量类、度量项等。如果一个指标下又包含多个指标,则该指标称为一个指标项,否则成为一个指标。信息科技风险评级指标体系以iSo27001标准所约定的信息安全管理体系的框架,采用域、类、指标划分的三层结构,从上到下分别包含9个域、46类和841项度量指标[6]。具体的商业银行信息科技风险评级指标体系结构如表1所示。
我们把综合评级中的九评级单项指标称为“一级指标”。综合评级的分值由九个“一级指标”分值加权汇总求得。从单项评级模型上看,每个单项评级指标(一级指标)的分值又由其下的多个指标(二级指标)分值加权汇总得出。“三级指标”分值加权汇总得出“二级指标”的分值。如果“三级指标”仍不能独立说明情况,还需要其他多个指标来辅助,那么就需要制定“四级指标”。单项评级模型中的指标级数可根据需要来确定。
三、评估模型的设计
中国商业银行信息科技风险评估模型是由单项评估模型和综合评估模型组成,各项指标归属于不同的信息科技域、相关主题和责任部门,通过对各单项指标评估数据的汇总,可以形成对商业银行信息科技风险的整体评估[7]。
单项评估模型为:
在进行信息科技风险单项评估时,根据按照已经设定好的单项指标评分标准进行评分,并赋予不同的指标相应的权重属性,最后进行加权求和得出单项评估分值。
评估信息科技风险管理工作成效,需要考虑控制措施定义、控制措施执行情况和工作记录情况三个方面,结合控制缺失造成风险的高低,最终进行综合评估。为此,我们假设单项指标的评分标准为0、1、2、3、4、5共六个级别。例如,单项评估中a域的“信息安全管理体系”,包含有n个度量类;ai表示为a域中第i个度量类的分值,它是一个0~5之间的值,此评估标准综合评估模型为:Risk=a×wa+B×wB+…+J×wJ其中,变量Risk表示为商业银行信息科技风险总量;变量a,B,…,X表示为商业银行信息科技风险中相关的度量域;变量wa,wB,…,wX表示a,B,…,X各度量域的综合评估权重值。
四、评估中应注意的问题
(一)权重的确定
指标权重的选取对最终的评级结果很重要,不同指标在技术风险监管中的重要程度不尽相同[8]。因此应该根据具体情况考虑给不同的指标赋予适当的权重,以表明其重要性。
指标权重的确定方法可分为主观赋权法和客观赋权法[9]。主观赋权法是根据人们主观上对各指标的重要程度理解来决定权重的方法,如Delphi方法;而客观赋权法就是根据各指标间的相关关系或各指标值的差异程度来确定权重,如主成分分析法、熵值法、相关系数法等。另外,还有层次分析法,它实际上是一种主客观相结合的赋权方法。笔者建议将多种赋权方法组合使用,即以Delphi法通过反复征求专家意见得到不同指标权重的初值;再通过层次分析法根据各指标权重的相对重要性构造判断矩阵,计算出各层次指标的组合权重;最后利用熵值法对得到的组合权重进行修正。
应该说明的是,随着中国对银行信息科技风险监管的加强和重视,不同指标的权重大小应随着银行信息科技风险的变化和监管的重点与难点的变化而适时做出调整。
(二)筛选形成信息科技风险评估控制表和信息科技风险评估表
对于信息科技风险评估控制表和信息科技风险评估表的筛选应按以下步骤进行:1.筛选工具。选用excel2003或excel2007作为筛选工具。excel2003可以满足一般的筛选功能,excel2007在进行多项条件(两项以上)筛选时更加方便。
2.分情况筛选。在确定信息科技风险评估对象所涉及单位、参与评估的人员岗位、一级控制域和二级控制域后,可按照以下步骤对信息科技风险评估控制矩阵进行筛选。
(1)根据评估对象所属控制域对“一级控制域”和“二级控制域”列进行筛选。假定评估对象所属的一级控制域为“信息安全”,二级控制域为“物理及环境的安全管理”,筛选时应选择一级控制域列为“信息安全”并且二级控制域列为“物理及环境的安全管理”的筛选条件,完成筛选。
(2)根据评估对象所涉及单位,对“适用单位”列进行筛选。
假定评估对象是所涉及的单位是数据中心(上海),筛选时应选择“适用单位”列包含“所有单位”或“数据中心(上海)”的筛选条件,完成筛选。选择多项条件时通过“自定义”设置选项。在弹出的自定义自动筛选方式窗口中,适用单位选择的设置。如果使用excel2007,可直接勾选多项条件。
(3)根据评估对象涉及的人员岗位,对“适用角色”列进行筛选。
假定评估对象是所涉及的人员岗位包括“项目经理”和“所有岗位”,筛选时应选择“适用角色”列包含“所有岗位”或“项目经理”的筛选条件,完成筛选。
3.形成信息科技风险评估控制表和信息科技
风险评估表。在完成上述筛选工作后,还需要按照以下步骤形成信息科技风险评估控制表和信息科技风险评估表。
(1)将从信息科技风险评估控制矩阵中筛选出来的行和表头全部都拷贝到一个新表中,形成信息科技风险评估控制表,作为单独文件保存。
(2)以信息科技风险评估控制表为基础,删除表中的“风险值”、“参考文件”、“参考文件章节”、“适用单位”、“适用角色”列的内容,形成信息科技风险评估表,作为单独文件保存。
(3)应按照模板要求调整信息科技风险评估控制表和信息科技风险评估表格式,包含模版中的基本要素,并且尽量美观,方便填写。
五、实证分析
对某行的运行管理领域开展信息科技风险评估,下面为应用此评估模型实证检验的结果(见表3)及分析。
1.变更管理。变更管理包括版本投产变更和运行变更管理两部分,共包括20个风险点,126个题目,存在差异项28个,占评估要点的22.22%。评估发现的差异项主要体现在变更申请、变更方案的制定等方面。
在变更要素的规范性方面,某行存在的差异主要包括变更申请时间不符合要求、变更回退方案不够详细、变更审批流程不规范等方面,要求加强变更管理,严格执行科技制度的有关规定。
2.操作管理。本次操作管理领域风险评估共包括14个风险点,29个题目,存在差异项13个,占评估要点的44.83%。评估发现的差异项主要体现在操作培训、操作准备、操作实施、操作记录方面的风险。
在操作实施方面,由于分行操作人员有限,目前无法对所有生产操作内容做到全部双人操作,部分操作只能做到事后检查复核,可能存在一定的操作风险。建议基于现状加强事后检查复核的力度,通过补偿控制措施降低操作风险。
3.事件管理。本次事件管理领域风险评估共包括14个风险点,53个题目,存在差异项9个,占评估要点的16.98%。评估发现的差异项主要体现在生产故障事件报告、生产故障事件受理、生产故障事件解决、生产故障事件反馈方面的风险。某行在生产故障事件反馈环节对于一些业务部门提交的事件单,在事件解决后由于各种原因无法及时联系到业务部门人员,无法按照制度要求在一个工作日内关闭事件。
4.数据管理。本次数据管理领域风险评估共包括13个风险点,61个题目,存在差异项10个,占评估要点的16.39%。评估发现的差异项主要体现在数据存储介质和数据抽检管理、数据保密管理、数据变形策略等方面。其中数据变形策略在某行实际工作中尚未开展,主要原因是某行缺乏成熟的数据变形策略,目前暂未下发过某行数据变形工具,某行无法对数据实施变形。
事业单位内部控制风险评估篇5
关键词:行政事业单位;内部控制;建议与措施
一、行政事业单位内部控制概述
行政事业单位内部控制是指行政事业单位借助于相应的制度、规范,采取相应的手段,以此来确保行政事业单位内部活动的安全性等。我国行政事业单位内部控制的主要目的包括以下几个方面:保证行政事业单位经济活动符合相应的法律法规;确保行政事业单位资产的安全性;减少行政事业单位出现不良之风;确保行政事业单位良好的社会形象等。
二、我国行政事业单位内部控制的现存问题
(一)我国行政事业单位对内部控制重视程度普遍偏低
从目前行政事业单位的发展现状来看,我国行政事业单位对内部控制的认识程度都普遍偏低,对内部控制的重视程度也较低。因此导致不少的行政事业单位片面的认为不需要再设立单独的内部控制部门,只要监管有相应的监管机构的监督和管理就可以满足单位的发展需要了。对于那些已经建立起独立的内部控制部门的行政单位而言,虽然该内部控制部门在名义上是独立的,但是在实际工作过程中很有可能受到其他部门的制约和影响,从而使得独立的内部控制部门不能很好的发挥自身的工作效用,不能很好对行政事业单位的内部活动进行监督与控制,使得内部控制部门不能发挥其应有的作用。
(二)缺乏科学、完善、有效的内部控制制度
在那些已经建立起独立的内部控制部门行政事业单位里,另外一个制约我国行政事业单位内部控制部门发挥作用的主要原因就是很多行政事业单位缺乏行之有效的内部控制制度,使得行政事业单位内部控制部门在执行工作的时候没有相关的规章制度可以依据,如此就会导致内部控制部门的工作不能很好的得以实施。就目前来看,我国还有很大一部分行政事业单位还不会如何根据自身的发展特点来制定一套合适的内部控制制度,而只是简单的借鉴其他单位相应的制度和相关的经验,使得内部控制制度不能很好的满足于自身单位的发展要求,这在很大程度上也阻碍行政事业单位的发展。
(三)行政事业单位内部的监督机制尚未健全
近几年来,国内关于行政事业单位出现了越来越多的不正之风,这在很大程度上降低了我国政府在社会上(甚至是国际上)的良好形象。根据我国行政事业单位的发展状况来看,出现这些不良现象的原因主要是很多行政事业单位没有建立健全的内部监督与管理机制,从而无法确保单位内部控制的顺利实施。
三、影响行政事业单位内部控制有效性的因素分析
(一)内部控制环境方面的因素
内部控制环境是指对加强或者削弱特定政策、程序及其效率产生较为重大的影响的各种因素。控制环境的好坏对行政事业单位内部控制工作实行和贯彻起着极其重要的作用。通过对国内企业的内部控制环境进行分析,本文将内部控制环境分为以下几个部分:单位是否重视员工的胜任力;各个阶层参与管理的程度高低;高层管理人员和决策人员的经营理念与风格;单位的整体组织结构;权职的平衡工作等。
(二)风险评估因素
目前,内部控制在企业单位中的主要作用就是对企业或单位在经营活动中已经遇到的危险或可能面临的危险进行及时、有效的处理,使对单位可能面临的危险进行规避等。因此,从一定程度上来看,行政事业单位内部控制工作是否等够顺利的实行,其内部控制工作的质量高低在很大程度上取决于该单位风险评估能力的高低。建立健全的风险评估机制,对单位内部的活动进行准确、有效的风险评估,以减少单位可能面临的危险已经成为许多行政事业单位的工作难点。然而,在实际的工作活动中,我国仍有很大一部分行政事业单位对风险评估的认识程度不高,风险评估人员对风险评估的认识程度较且专业性也较低,因而许多时候都没有意识到风险的存在,或者是不能准确的把握关键点,而导致风险评估没有起到相应的作用。
(三)评价与监督因素
行政事业单位可以参照其他行业内部控制的发展情况,聘用符合要求的人员组成独立的监督小组,从而对单位各个部门的日常工作活动进行严格的监督和评价,确保单位内部控制能够得以顺利的实施,并且应及时向上级反映内部控制部门的工作质量和效果。此外,监督小组可以及时发现各部门在日常工作活动中存在的问题,并促使其改正,以达成各部门共同发展,从而促进单位整体发展的目标。
(四)信息系统和沟通因素
信息系统与沟通对行政事业单位内部控制也起着极大的作用,如:它对及时、准确的信息共享和反馈对内部控制的效率方面的作用。作为整个单位的重点建设工程,内部控制的建设与有效实施要求单位内部全员积极参与。因此,行政事业单位可以建立一个有效的信息系统和信息沟通渠道,以便更好的实现信息共享,确保所有员工能够获得足够多的准确信息,能够较好的连接到单位当前的状况。但是就当前的情况来看,我国行政事业单位信息系统和信息沟通渠道方面的建设仍然存在很多缺点,如:信息的可见度以及可信度较低、能够进行有效的信息沟通的渠道较少等。
四、行政事业单位内部控制强化路径
(一)提高重视程度
首先,行政事业单位的高层领导人以及管理层深刻的明白内部控制对于行政事业单位资金的管理、风险评估以及实现单位管理目标的重要性,提高高层管理者和领导人对内部控制的重视程度;其次,行政事业单位领导人或高层管理者应在单位内部大力宣传内部控制的重要性,以上级调动下级的形式,积极鼓励员工去学习相关的知识,以此来提高整个单位员工对内部控制的重视程度。
(二)建立健全的内部的控制体系
建立健全的行政事业单位内部控制体系:首先应该健全、完善单位内部的监督和审批机制,在涉及财务审批人员、审批程序等重要事项的决策时,都应该在单位内部进行集体讨论。其次,建立单位内部相互制衡制度,实现各部门权利和职责相互制衡,钱账、财务的管理各自分离等。最后,还应加强单位内部资金的安全控制,单位相关部门必须对单位的资金收支进行定期或不定期的审查,防止单位员工等现象的出现。
(三)提高内部控制工作员工的职业道德和专业素质
在行政事业单位建立了独立的内部控制部门后,单位的相关部门应该根据该部门的工作内容来对工作人员进行安排,避免出现权利和责任不清楚的现象。此外,单位在进行人员的招聘与配置的时候,应严格选取符合内部控制工作的应聘者;还应对内部控制部门的工作人员进行定期或者不定期的培训,然后进行相应的考核,积极鼓励员工间的良性竞争,促进工作人员的自我学习,以此来提高内部控制部门工作人员的专业素质,以提高工作的质量和效率。
(四)建立有效的风险评估机制,完善监督体系
首先,行政事业单位应该选择一些专业素质较强的人员来进行单位风险评估工作,以确保风险评估的质量;其次,风险评估部门应该根据行政事业单位的总体发展特点和发展趋势,来对单位的各个方面进行精确的风险评估工作;然后,风险评估部门在进行风险评估的时候应该充分考虑单位自身的发展情况和市场的运转情况,综合各方面因素,结合已有的风险评估经验,以提前做好风险规避计划。
五、结语
行政事业单位是行使政府职能的主要单位,对促进我国民生的发展起着极其重要的作用。强化行政事业单位内部控制,不仅是单位内部管理水平提升的客观要求,也使我国政治体制改革、廉政建设的必然趋势。行政事业单位应当从实际出发,紧密依靠规章制度精神,从制度、执行、监督、反馈等方面进行内部控制强化,将内部控制流程体系建设成完整的闭环;由领导做起,培养内部控制建设的精神土壤;强化队伍建设,将行政事业单位切实建设成运行高效、信息公开、权力公开的服务型组织,为社会主义建设提供支撑。
参考文献:
[1]施巧灵.关于行政事业单位内部控制的探讨[J].当代经济,2011(16).
事业单位内部控制风险评估篇6
【关键词】传统风险导向审计现代风险导向审计风险评估策略审计风险
ComparingonthetacticsofRiskassessmentoftraditionalRisk-basedauditandmodernRisk-basedaudit
abstract:traditionalRisk-basedauditandmodernRisk-basedauditarethetwophasesthatRisk-basedaudithasevolved.tacticsofriskassessmentoftraditionalRisk-basedauditandmodernRisk-basedauditdifferfromeachotherwhiletheystillhavesomesimilarities.thispaperdoestheCompariononthetacticsofRiskassessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.
Keywords:traditionalRisk-basedauditmodernRisk-basedaudit
tacticsofRiskassessmentauditrisk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是aiCpa在1983年了第47号《审计准则公告》(SaSno.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的Bmp审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(iaaSB)了国际审计准则第315号(iSa315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(aiCpa)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了pSet分析和popteR分析方法;在流程分析时运用到了价值链分析(VCa))和波士顿矩阵(BCG)以及Swot分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1.风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2.风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3.风险评估程序不同:相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。4.风险评估具体方法重点不一样:两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1]王泽霞.论风险导向审计创新[J].会计,2004(12):49-54
[2]谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3]aiCpa:professionalStandardsasofJune1,1992,aU.31
[4]谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6]郑朝晖.战略系统审计:财务数据之合理预期[J/oL].会计视野,2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true
[7]王义华.Bmp审计模式介绍[J].中国注册会计师,2005(06):69-70
[8]ernst&YoungGlobalauditplanningtoolkit2004[m],2004:65-67
[9]马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13
事业单位内部控制风险评估篇7
鉴于案例企业内部控制方面存在的一系列问题,为了进一步提高内部控制的水平,我们需要结合贸易批发企业发展的特点和要求,从以下几方面做好内部控制的措施:
(一)内部控制环境的营造为了有效的内部控制,我们需要营造良好的内部控制环境,首先是内部控制意识的增强。在制定内部控制规定的时候,明确相关人员的责任,让整个企业员工都了解内部控制的要求,以提高内部控制的氛围水平。其次是企业组织机构的完善,明确部门和岗位的职责范围,并健全执行系统和监督系统,其中最为重要的是建设董事会,将总裁和总经理职位分离,避免职权交叉,制衡董事会、股东会、总经理之间的权力,合理划分部门之间的职责,做到各司其职。再次是企业文化的培养,以便引导和激励职工履行责任,共同实现企业的目标,企业的领导者需带头建立权责分明的企业环境,并建立风险管理理念,打造层次分明的风险文化,让每个职工都能够正确对待风险。最后是人力资源政策的建立,在招聘、待遇、业绩、升迁等方面,都设置合理的政策程序,建立尊重、重用、培养人才的人力资源政策,采用物质激励和精神激励的措施激发职工的主动性、积极性和创造性,使得员工在企业获得归属感和责任感。
(二)风险评估能力的强化首先是制定合理的风险评估目标,以激发企业发展动力和员工凝聚力为目的,注重发挥董事会的作用,而董事会在风险评估偏好方面,需要结合企业的战略目标,并将目标层层分解,同时制定各个目标实现的风险评估管理措施。其次是通盘考虑风险的影响,贸易批发企业在发展的同时,需要考虑风险的影响因素,包括财务风险、采购风险、生产风险、销售风险等,企业可以内部访谈或者调查的方式,收集齐全的资料,尤其是中高层管理者和企业职工,皆为访谈或者调查的重点对象,除此之外,市场资料、竞争对手资料、银行资料、政策资料等,都是内部控制风险识别的重要参考佐证。再次是风险评估机制的建立,针对影响企业目标实现的潜在风险事项,贸易批发企业从内控角度评估风险,每个管理负责人要采用复合式评估的方法,对各自部门的风险进行评估,特别是新计划执行之前,需要全面评估风险的不确定因素,以便为内部控制提供科学依据。最后是风险应对能力的提高,贸易批发企业在考虑各方面情况的基础上,在识别出可能面临的风险之后,采用定性和定量评估的方式,找出所有影响内部控制的风险因素,进而制定风险防控的应对措施。
(三)内部控制活动的科学化首先是货币资金内部控制设计的健全,企业应该严格落实“收支两条线”,在得到会计主管签字批准之后,将超出限额现金送存银行,确保资金的完整安全,同时以单独列表的方式,标明不能够及时送存银行现金的金额和理由,以便银行核对。至于出纳以外的财务人员,负责银行对账单的索取、银行对账单的核对,并定期盘点库存现金,然后编制现金盘点报告单,最大限度减少资金管理舞弊情况的发生。除此之外,企业还需要严格实行资金支出的授权批准,以明确资金的使用权限,譬如案例企业总裁和财务总监的货币资金支出限额分别为5万元和3万元。其次是国外冷冻食品进口与付款内部控制设计的健全,目的是减少国外冷冻食品进口业务舞弊现象和提供经营活动的效益保障,贸易批发企业一个方面需要建立进口采购与付款的岗位责任制,其中包括请购、审批、询价、拟定合同、审核合同、验证、付款申请等分工,而不能仅有一个部门或者单个人员负责付款与付款整个过程,譬如在询价的时候,指定专门的询价人员,对能够提供所需国外冷冻食品的供应商进行统一询价,全面了解冷冻食品进口的质量、价格、交货期、交货方式、付款方式等,询价之后,将结果报给销售部门和财务部门,确定国外进口冷冻食品采购的数量和价格是否合理,最后由主管人员确定供应商。另一方面是定期核对应付账款、应付票据、预付账款等。再次是销售与收款内部控制设计的健全,严禁销售人员接触现金,由财务人员办理承兑汇票和现金收款业务,同时健全销售合同审批制度,强化财务内部审核,严格把关国外冷冻食品进口质量,可设立质量保障中心和客服中心,确保产品符合客户的需求。
二、结束语
事业单位内部控制风险评估篇8
关键词:风险导向审计;审计模式;适用性分析
随着国内外重大审计失败事件的不断发生,风险导向审计作为一种重要的审计理念和方法,受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿,要求注册会计师在审计中使用现代风险导向审计方法,实施风险评估程序,降低审计风险,提高审计质量。如果审计风险准则一旦正式生效,将使我国的审计风险准则与国际接轨,并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此,对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。
一、风险导向审计概述
随着社会经济的发展变化,审计方法适应审计环境的变化经历了三个发展阶段:一是审计发展的早期,由于企业组织结构简单、业务性质单一,注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为,审计方式是详细审计。审计的重心在资产负债表,是对会计凭证和账簿的详细审计,旨在发现和防止错误与舞弊,这种审计方法就是账项基础审计方法(accountingnumber-basedauditapproach)。二是从1950年代起,以内部控制测试为基础的抽样审计在西方国家得到广泛应用,这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节,注册会计师通常将其涉及交易和账户余额作为审计的重点,甚至进行详细审计;对于可以信赖的内部控制环节,通常将其涉及的交易和账户余额进行抽样审计,以提高审计效率和降低审计费用。从方法论的角度,这种审计方法被称作制度基础审计方法(system-basedauditapproach)。三是1970年代以后,由于制度基础审计方法显露缺陷,一种新的、以风险防范为基础的风险导向审计模式逐渐兴起,从方法论的角度,注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法(risk-orientedauditapproach)。
回顾审计方法的发展历程,风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”,把指导思想建立在“合理的职业怀疑假设”的基础上,不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价,而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉,将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观),将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较,主要有以下区别:
(一)审计模式不同
制度基础审计模式以内部控制为核心,对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量,而对固有风险的评估常流于形式;风险导向审计模式不仅通过内部控制评估控制风险,还结合其他风险因素尤其是固有风险综合考虑,通过对企业环境、发展战略、公司治理结构等方面的评估,发现其潜在的经营风险及财务风险,并评估财务报表发生重大错报的风险,以便使审计风险降至可接受水平。
(二)审计基础不同
制度基础审计以内部控制制度为基础,根据被审单位内部控制制度的健全性及符合性评审结果,确定实质性测试的范围和重点;风险导向审计则以风险评估为基础,对影响被审单位经济活动的多种内外因素进行评估,确定审计范围、重点和方法,其不仅重视与内部控制系统直接相关的因素,而且重视各种环境因素。
(三)审计方法不同
两种审计模式都采用抽样技术,但风险导向审计是通过建立审计风险模型将风险量化。因此,相对于制度基础审计来说,风险导向审计的抽样技术是更完全意义上的审计抽样,更注重利用分析性测试方法,从而可以有效降低审计风险。
二、风险导向审计的两种模式
风险导向审计自产生以来经历了两个阶段,理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式;而将1990年代后期开始,在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的,以“审计风险=重大错报风险×检查风险”的模型为基础,以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。
传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同,后者是对前者的改进,其主要区别如下:
(一)审计起点不同
传统风险导向审计运用的审计风险模型中,固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序,由于固有风险难以评估,审计的起点往往为企业的内部控制(如果没有必要测试内部控制,审计的起点则为会计报表项目)。
现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序,其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效,则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估,这将有利于充分识别和评估会计报表重大错报的风险,因此,主要针对风险设计、实施控制测试和实质性测试程序。此外,注册会计师容易全面掌握企业可能存在的重大风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(二)风险评估识别以分析性复核程序为中心
现代风险导向审计注重运用分析性复核程序,以识别可能存在的重大错报风险;而传统风险导向审计对于信息的再加工程度不够,其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序,为了适应分析性程序功能扩大的要求,分析性程序开始走向多样化:在数据分析上不但要对财务数据进行分析,也要对非财务数据进行分析;在分析工具上借鉴现代管理方法,把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中,使风险因素不再惟一,变一元风险评估为多元风险评估,使得出的风险评估结果更加可靠。
(三)风险评估方式由直接评估转变为间接评估
传统风险导向审计的风险评估是一种直接的方式,即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手,间接地对审计风险进行评估,因为经营风险越高,审计风险也越大,也就是管理舞弊的可能性越大;并且从经营风险中能更有效地发现财务报表潜在的重大错报,因为财务报表是经营的反映,如果经营风险未能在报表中得到体现,则财务报表很可能失真。此外,会计政策、会计估计的合理性评估也只有从经营风险入手,才能进行正确的评估。
(四)审计程序实施具有个性化
传统风险导向审计模式审计程序是标准化形式,对不同的被审计单位都使用标准相同的审计程序,其缺陷是没有足够贯彻风险导向审计思想,使注册会计师无法突破客户预先设置或防范的措施,难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合,针对不同客户以及客户不同的风险领域实施个性化的审计程序。
(五)审计证据的内涵扩大
在现代风险导向审计方式下,审计重心向风险评估转移,审计证据也由内部向外部转移。因此,注册会计师必须充分了解企业整体经营环境,由此评估客户的经营及审计风险,同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下,注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据,还包括了解企业及其环境获取的证据。
(六)扩充了内部控制要素
传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,发现、纠正错误与防止舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素,即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。
(七)对注册会计师的专业知识提出了更高要求
现代风险导向审计对注册会计师的专业素质提出更高要求,其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估,风险评估的各种分析方法要求掌握现代管理知识和行业知识(包括市场、研发、生产等方面),这对注册会计师提出了更高的要求。注册会计师应该是复合性人才,不但要掌握一般常用分析工具,还要接受现代管理知识和行业专业知识训练。
三、现代风险导向审计模式在我国的适用性分析
基于上述分析,现代风险导向审计模式是审计发展的一种必然趋势。2003年10月,国际审计与鉴证准则委员会(iaaSB)通过了新的审计风险准则;中注协也在2004年10日了修订后的审计风险准则征求意见稿,不仅将使我国的审计风险准则与国际接轨,同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效,将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变,会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。
然而,目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题:
(一)会计师事务所审计成本与效益问题
实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段,注册会计师关注的范围扩大,程度加深,导致工作时间和审计成本的增加,在市场竞争激烈的情况下,成本的增加往往不可能过渡到收费的同步增加。此外,还需要一定的投入来培训注册会计师,使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿,就会使一部分中小会计师事务所在竞争中无法生存。
(二)信息系统的建设问题
现代风险导向审计的重要特征是审计重心前移,注册会计师必须首先执行风险评估程序,充分了解客户整体经营环境,然后针对风险不同的客户、客户不同的风险领域,设计个性化的审计程序。因此,会计师事务所必须建立强大的信息系统,以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解,客户的相关信息不够充分,信息系统的建设还达不到现代风险导向审计的要求,导致风险评估不准确。因此,风险导向审计的运用仅限于老客户,对新客户还是将大量时间用于实质性测试。
(三)审计从业人员素质问题
现代风险导向审计对审计从业人员的业务素质提出了新要求,不仅要具备丰富的审计理论和实践经验,还要具备必需的管理学知识和经济学知识,能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况,对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价,将审计视角扩展到内部控制以外,从较高层面上评估风险,而不是仅仅注重企业会计处理的细节。
(四)辅助审计软件的使用与完善问题
现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
如上所述,目前在我国全面推行现代风险导向审计模式还受到许多制约,尽管它有很多优越之处,但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的,而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师,基本上仍然在运用账项基础审计模式。但是,现代风险导向审计的实行是一种理念的改变,我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下,吸取风险导向审计模式的基本观点和做法,则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中,使其他审计模式忽略审计风险的缺陷得到弥补,将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。
参考文献:
〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究,2004,(2)。
〔2〕常勋,黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯,2004,(7)。
事业单位内部控制风险评估篇9
关键词:内部控制建设;事业单位;财务管理
1加强内部控制建设对事业单位财务管理的重要意义
内部控制是事业单位实行管理的重要手段,也是事业单位财务管理中十分重要的一个环节,加强内部控制建设可以促进事业单位财务方面资金的完整和安全,在建立内部控制制度的基础上可以完善财务管理方面的制度,并且还能保证事业单位财务有关信息的安全可靠。总之,对事业单位的财务管理具有重大的意义。
1.1促进事业单位各项资金完整安全
在制定内部控制制度以后,事业单位在财务管理方面就会形成各种规章制度,这种规章制度是以部门领导人为中心,对事业单位员工进行监督管理的机制。监督机制形成以后,就会对各种资金的来源、去向实施监控,保证了资金的完整性,方防止事业单位内部出现比如挪用公款、贪污等问题。另外,内部控制还能对事业单位的资金进行有效的整合,对资金的投资进行科学的分析,比如事业单位要对外进行某个项目的投资,为了降低资金的风险,可以通过内部控制系统对资金进行审核和合理的分析,从而确保资金在使用上是合理的,安全的,减少资金方面的浪费。
1.2促进事业单位财务管理制度的完善
内部控制制度的制定,意味着事业单位财务管理方面的制度更加健全。比如建立了内部监督机制,可以对事业单位各部门各职位的员工进行财务方面的监控,确保各职位的财务工作都是按照单位规定进行的,这样在很大程度上保证事业单位财务工作的合理高效。其次,内部控制可以使得各职位的分工得以明确。比如在以前事业单位各部门之间的联系并不紧密,有的甚至连职位分工都不明确化,员工在工作的时候,尤其是在处理财务相关内容的时候往往找不到该项目的财务负责人,财务方面一旦出现问题也找不到责任人。但是在内部控制建设完善以后,财务管理制度系统也得以健全,可以把职责落实到个人,财务分工也更加得精细化,一旦出现问题可以找到该责任人。
1.3保证事业单位财务信息的安全可靠
前面讲到,内部控制系统可以让事业单位的管理制度更加完善,尤其是在财务管理方面,能够让职能落实到各部门和个人。因为每个部门或者个人在职位上的分工更加精细化了,也就意味着财务方面的信息,比如会计信息就更加得真实具体,能够从每个职位上获得安全可靠的会计信息,防止因为财务工作人员个人的原因导致财务工作出现失误。
2事业单位财务管理上存在的问题
2.1没有形成财务管理的科学体系
事业单位的财务管理应该要有一套完备的科学体系,这个科学体系包括精细化的管理体系,精细化的各项业务流程。但是目前很多事业单位的管理模式是简单粗放的那种,首先是没有加强信息化的建设,比如没有通过信息技术的手段建立精细化的决策机制和考核机制,使得事业单位面临重大决策的时候往往因为无法获取多方面的信息而导致决策的不合理,这样做的直接后果就是造成单位资金、人力等方面的浪费;而没有精细化的考核机制使得单位员工在工作的时候积极性不高,责任心不强。其次是单位内部在审计人员和财务人员方面也没有形成科学的管理体系,审计人员或者财务人员的专业能力不够,也没有加强对其的培训指导,致使事业单位在财务管理方面会出现失误,从而影响单位的财务工作。
2.2事业单位内部设置不合理
事业内部单位设置的不合理主要表现在两个方面,一个是没有形成互相监督和制约的机制。这方面主要是因为事业单位内部在机构和人员设置上出现问题,各部门之间以及各个岗位之间的联系不紧密,又没有专门的内部控制人员,所以员工就不会产生被约束的感觉,员工和员工之间也就不会互相监督,就算出现了问题也无法及时地被发现。另一个还是审计人员方面设置的问题。审计人员是事业单位财务工作中非常重要的工作人员,其专业素质直接影响到单位在财务方面是否科学合理。可是目前部分事业单位的审计人员并没有得到重视,而且还是身兼多职,审计人员的工作重点发生了偏移或者说被混杂在了其他岗位中,这样做的后果就是无法及时地监测和控制单位在财务方面的风险。
2.3没有形成风险评估体系
事业单位的资金是由政府下拨的,但是这并不意味着就不需要对其进行风险评估,风险评估是降低资金风险,保证单位资金安全的有效渠道。目前部分事业单位在风险评估上存在三个方面的问题。第一个是事业单位对资金进行风险评估的认识不到位,认为事业单位的资金既然是政府拨的,就没有必要对这个方面的风险评估,而且也认为一般投资的项目也不会有风险。第二个是没有建立风险评估机制,没有机制的保障,事业单位在决策的时候可能会出现失误,影响到项目的投资。另外,也正是因为没有这方面的机制,使得就算对项目进行风险评估了,也会存在权利干预的问题,导致做出的风险评估没有科学性。
3加强事业单位的内部控制建设
3.1建立科学的财务管理体系
只有形成科学完备的财务管理体系,才能使得事业单位内部在决策控制上、监督考核上、计划安排上都有了规章可循,而且还能使这些内部控制都精细化,落实到各部分各岗位以及个人身上。首先,应该要根据事业单位自身的性质、特点等建立完善的人事管理制度,主要是为了把单位内部各个职位的职能都明确精细化,比如审计人员的职能就是对单位的各账目进行审计,财务人员的工作就是对进行会计信息的收集、整合和会计计算,而管理人员的工作就是对单位内部各部分各岗位进行监督管理。其次,是建立完善的预算审批和预算控制体制,把财务预算的范围扩大化,使外部财务预算和内部财务预算连接起来,加强对财务预算的控制管理,比如每一笔财务的进出都要做好详细的记录。
3.2加强内部机构和人员的设置
内部机构和人员的设置可以分成两个部分,首先是建立并完善内部控制队伍。这一点至关重要,因为要加强内部控制,就先要从内部控制人员建设上着手。内部控制人员在其专业能力和综合素质上一定要强,所以除了控制人员本身的优势以外,还要对其进行培训指导,不断地提高内部控制的能力。内部控制表现在对事业单位人员的监督管理上,也表现在对单位内部各项工作展开的监督控制。第二点是要加强事业单位的审计和监察力度。当然这方面的审计监察并不仅是事业单位内部审计人员的审计监察工作,还包括单位外部的审计部门的审计监察工作。在内部控制的基础上,事业单位应该配合审计部门对本单位进行审计监察,这样才能保证本单位财务管理的科学性。
3.3建立完备的风险评估体系
建立完备的风险评估体系,加强对事业单位资金的管控也是加强内部控制建设的重要内容。首先,事业单位需要在意识上重视对资金的分配和使用,事业单位应该按照规定严格地执行财务管理制度和会计核算制度,并且设立专项资金专账和项目管理辅助账,使得专项资金在使用过程中是合乎法律法规的,在使用的范围之内,符合使用的标准。其次,要设立风险评估机制,然后对所投资的项目进行风险评估。这方面需要事业单位的管理人员和财务人员以及专门的项目负责人一起根据项目的具体情况,在风险评估机制下,对风险进行评估,并在评估以后做出合理的决策。
4结语
加强事业单位的内部控制建设并不是一蹴而就的,完美的内部控制体系目前是不存在的,所以要建立评价和监督机制对单位的内部控制系统进行不断地评价监督,发现系统中存在的不合理之处,找出目前事业单位在财务管理上存在的弊端,然后可以着重加强监督与制约机制的建设,考核和评价机制的建设,在各人员分工明确的情况下,推动事业单位财务管理的发展。
参考文献
[1]周颖.行政事业单位内部控制若干问题研究[D].厦门:厦门大学,2014.
[2]汪海燕.事业单位内部控制与财务风险防范探讨[J].行政事业资产与财务,2013,(14).
事业单位内部控制风险评估篇10
关键词:内部控制建设;事业单位;财务管理
中图分类号:F83
文献标识码:a
doi:10.19311/ki.16723198.2017.14.053
1加强内部控制建设对事业单位财务管理的重要意义
内部控制是事业单位实行管理的重要手段,也是事业单位财务管理中十分重要的一个环节,加强内部控制建设可以促进事业单位财务方面资金的完整和安全,在建立内部控制制度的基础上可以完善财务管理方面的制度,并且还能保证事业单位财务有关信息的安全可靠。总之,对事业单位的财务管理具有重大的意义。
1.1促进事业单位各项资金完整安全
在制定内部控制制度以后,事业单位在财务管理方面就会形成各种规章制度,这种规章制度是以部门领导人为中心,对事业单位员工进行监督管理的机制。监督机制形成以后,就会对各种资金的来源、去向实施监控,保证了资金的完整性,方防止事业单位内部出现比如挪用公款、贪污等问题。另外,内部控制还能对事业单位的资金进行有效的整合,对资金的投资进行科学的分析,比如事业单位要对外进行某个项目的投资,为了降低资金的风险,可以通过内部控制系统对资金进行审核和合理的分析,从而确保资金在使用上是合理的,安全的,减少资金方面的浪费。
1.2促进事业单位财务管理制度的完善
内部控制制度的制定,意味着事业单位财务管理方面的制度更加健全。比如建立了内部监督机制,可以对事业单位各部门各职位的员工进行财务方面的监控,确保各职位的财务工作都是按照单位规定进行的,这样在很大程度上保证事业单位财务工作的合理高效。其次,内部控制可以使得各职位的分工得以明确。比如在以前事业单位各部门之间的联系并不紧密,有的甚至连职位分工都不明确化,员工在工作的时候,尤其是在处理财务相关内容的时候往往找不到该项目的财务负责人,财务方面一旦出现问题也找不到责任人。但是在内部控制建设完善以后,财务管理制度系统也得以健全,可以把职责落实到个人,财务分工也更加得精细化,一旦出现问题可以找到该责任人。
1.3保证事业单位财务信息的安全可靠
前面讲到,内部控制系统可以让事业单位的管理制度更加完善,尤其是在财务管理方面,能够让职能落实到各部门和个人。因为每个部门或者个人在职位上的分工更加精细化了,也就意味着财务方面的信息,比如会计信息就更加得真实具体,能够从每个职位上获得安全可靠的会计信息,防止因为财务工作人员个人的原因导致财务工作出现失误。
2事业单位财务管理上存在的问题
2.1没有形成财务管理的科学体系
事业单位的财务管理应该要有一套完备的科学体系,这个科学体系包括精细化的管理体系,精细化的各项业务流程。但是目前很多事业单位的管理模式是简单粗放的那种,首先是没有加强信息化的建设,比如没有通过信息技术的手段建立精细化的决策机制和考核机制,使得事业单位面临重大决策的时候往往因为无法获取多方面的信息而导致决策的不合理,这样做的直接后果就是造成单位资金、人力等方面的浪费;而没有精细化的考核机制使得单位员工在工作的时候积极性不高,责任心不强。其次是单位内部在审计人员和财务人员方面也没有形成科学的管理体系,审计人员或者财务人员的专业能力不够,也没有加强对其的培训指导,致使事业单位在财务管理方面会出现失误,从而影响单位的财务工作。
2.2事业单位内部设置不合理
事业内部单位设置的不合理主要表现在两个方面,一个是没有形成互相监督和制约的机制。这方面主要是因为事业单位内部在机构和人员设置上出现问题,各部门之间以及各个岗位之间的联系不紧密,又没有专门的内部控制人员,所以员工就不会产生被约束的感觉,员工和员工之间也就不会互相监督,就算出现了问题也无法及时地被发现。另一个还是审计人员方面设置的问题。审计人员是事业单位财务工作中非常重要的工作人员,其专业素质直接影响到单位在财务方面是否科学合理。可是目前部分事业单位的审计人员并没有得到重视,而且还是身兼多职,审计人员的工作重点发生了偏移或者说被混杂在了其他岗位中,这样做的后果就是无法及时地监测和控制单位在财务方面的风险。
2.3没有形成风险评估体系
事业单位的资金是由政府下拨的,但是这并不意味着就不需要对其进行风险评估,风险评估是降低资金风险,保证单位资金安全的有效渠道。目前部分事业单位在风险评估上存在三个方面的问题。第一个是事业单位对资金进行风险评估的认识不到位,认为事业单位的资金既然是政府拨的,就没有必要对这个方面的风险评估,而且也认为一般投资的项目也不会有风险。第二个是没有建立风险评估机制,没有机制的保障,事业单位在决策的时候可能会出现失误,影响到项目的投资。另外,也正是因为没有这方面的机制,使得就算对项目进行风险评估了,也会存在权利干预的问题,导致做出的风险评估没有科学性。
3加强事业单位的内部控制建设
3.1建立科学的财务管理体系
只有形成科学完备的财务管理体系,才能使得事业单位内部在决策控制上、监督考核上、计划安排上都有了规章可循,而且还能使这些内部控制都精细化,落实到各部分各岗位以及个人身上。首先,应该要根据事业单位自身的性质、特点等建立完善的人事管理制度,主要是为了把单位内部各个职位的职能都明确精细化,比如审计人员的职能就是对单位的各账目进行审计,财务人员的工作就是对进行会计信息的收集、整合和会计计算,而管理人员的工作就是对单位内部各部分各岗位进行监督管理。其次,是建立完善的预算审批和预算控制体制,把财务预算的范围扩大化,使外部财务预算和内部财务预算连接起来,加强对财务预算的控制管理,比如每一笔财务的进出都要做好详细的记录。
3.2加强内部机构和人员的设置
内部机构和人员的设置可以分成两个部分,首先是建立并完善内部控制队伍。这一点至关重要,因为要加强内部控制,就先要从内部控制人员建设上着手。内部控制人员在其专业能力和综合素质上一定要强,所以除了控制人员本身的优势以外,还要对其进行培训指导,不断地提高内部控制的能力。内部控制表现在对事业单位人员的监督管理上,也表现在对单位内部各项工作展开的监督控制。第二点是要加强事业单位的审计和监察力度。当然这方面的审计监察并不仅是事业单位内部审计人员的审计监察工作,还包括单位外部的审计部门的审计监察工作。在内部控制的基础上,事业单位应该配合审计部门对本单位进行审计监察,这样才能保证本单位财务管理的科学性。
3.3建立完备的风险评估体系
建立完备的风险评估体系,加强对事业单位资金的管控也是加强内部控制建设的重要内容。首先,事业单位需要在意识上重视对资金的分配和使用,事业单位应该按照规定严格地执行财务管理制度和会计核算制度,并且设立专项资金专账和项目管理辅助账,使得专项资金在使用过程中是合乎法律法规的,在使用的范围之内,符合使用的标准。其次,要设立风险评估机制,然后对所投资的项目进行风险评估。这方面需要事业单位的管理人员和财务人员以及专门的项目负责人一起根据项目的具体情况,在风险评估机制下,对风险进行评估,并在评估以后做出合理的决策。
4结语
加强事业单位的内部控制建设并不是一蹴而就的,完美的内部控制体系目前是不存在的,所以要建立评价和监督机制对单位的内部控制系统进行不断地评价监督,发现系统中存在的不合理之处,找出目前事业单位在财务管理上存在的弊端,然后可以着重加强监督与制约机制的建设,考核和评价机制的建设,在各人员分工明确的情况下,推动事业单位财务管理的发展。
参考文献
[1]周颖.行政事业单位内部控制若干问题研究[D].厦门:厦门大学,2014.