風險自評報告范文

時間:2023-04-12 05:05:17

導語:如何才能寫好一篇風險自評報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

風險自評報告

篇1

(一)動員部署階段工作情況(30分,自評分28分)

1、建立健全組織領導機構。局黨組召開會議專題研究部署了廉政風險防控工作;成立了領導小組并有一名領導班子成員分管;設立了廉政風險防控工作辦公室并有專人辦公;制定了縣商務局廉政風險防控工作方案,自評分10分。

2、黨組主要領導履行第一責任人職責、分管領導具體負責、紀檢監察機關發揮組織協調作用。局黨組書記、局長親自研究、動員部署此項工作;分管領導定期協調解決工作中的問題;對基層單位及部門開展了兩次以上的監督檢查,自評分10分

3、宣傳發動工作貫穿始終,營造良好輿論氛圍。局黨組及時召開了動員會;在整個工作過程中遇到問題及時召開推進會,共召開推進會兩次;組織全體工作人員開展了專題業務培訓;在本單位的“商務之窗網站”設立了專題網頁,自評分8分

(二)重點推進階段工作情況(50分)

1、清權確權(20分,自評分20分))

(1)按照有關法律法規及“三定方案”,對涉及商務部門權力的事項進行了全面清理。自評分8分。

(2)詳細編制了內部及外部職權目錄。自評分4分。

(3)根據職權目錄認真繪制了內部及外部權力運行流程圖。自評分4分。

(4)以印發文件、制作展板方式并在政府信息公開網上公開公示了本單位職權目錄和權力運行流程圖。自評分4分。

2、排查風險點,確定風險等級(15分,自評分15分)

(1)排查風險點。風險排查按照單位、部門和崗位三個層面進行;黨政正職、領導班子成員、中層以下干部全部進行了風險排查,無人員遺漏;風險排查緊緊圍繞“三重一大”進行排查。全局共排查領導崗位3個,其他崗位3個,內設機構3個,自評分10分。

(2)風險等級評估。逐一評估風險點、確定風險等級,共排查出高、中、低風險點52個,制定防控措施49條。自評分5分。

3、制定防控措施和處置糾正問題(15分,自評分15分)

(1)制定防控措施。針對排查出的風險點“一對一”制定防控措施;防控措施有針對性和可操作性;建立了廉政風險點目錄并以展板形式進行了公開公示。自評分10分。

(2)處置糾正廉政風險防控工作中發現的問題。對廉政風險防控工作中發現的問題,及時處置,切實整改到位。自評分5分。

(三)檢查考核階段工作情況(20分,自評分20分)

篇2

關鍵詞:內部控制;自評報告;信息披露;監管體制

中圖分類號:F83 文獻標識碼:A 文章編號:16723198(2012)18009003

近年來,人們對上市公司的數據真實性,可靠性、風險性產生很大疑問。上市銀行屬于高風險企業,通過風險取得報酬。上市銀行所承擔的風險,以及銀行內部自身對風險的識別、衡量、監控對上市銀行的經營和安全至關重要。上市銀行披露內控信息有利于提高財務報告、年報以及企業自身的真實性和可靠性,也有利于銀行外部的信息使用者了解銀行的內控狀況,通過內控的有效性評價上市銀行的質量,并且做出相關決策。

1 關于我國上市銀行內控自評報告內容的研究綜述

1.1 披露載體的研究

韓曉杰、段洪波、梁靜(2011)認為在我國主要存在四種形式的披露載體:董事會報告、監事會報告、年報正文及附件、會計市事務所的審核報告。從七家上市銀行38份年報披露的內控信息情況看,信息披露主體有公司董事會、監事會、管理當局和注冊會計師,披露的載體主要是董事會報告、監事會報告、年報正文及附件和會計師事務所的審核報告。

許莉,朱睿,王芳(2010)指出我國上市銀行內控的披露載體眾多,不統一,缺乏可比性。他們從11家上市銀行的2008 年年報中發現,不同銀行的內控信息在年報的不同位置披露,缺乏規范性,有的銀行甚至在董事會報告、監事會報告、公司治理報告中同時披露內控信息。

1.2 披露主體的研究

李偉和施家芳(2007)以表格的形式分析了各個銀行的披露主體。主要主體就是董事會、監事會和管理當局,不同主題披露的側重不同,董事會報告中披露內控主要情況,監事會報告中披露內控制度的“三性”,如華夏銀行、浦發銀行、民生銀行和招商銀行。

韓曉杰,段洪波,梁靜(2011)認為所有上市銀行的年度報告中都在對內部控制的基本構架進行描述,但是對內部控制的責任主體卻沒有明確指出,一旦發生損失,承擔直接責任方存在缺失。

1.3 自評報告披露量的現狀

我國上市銀行在2003年以前大多采用多形式大量披露策略,而在2003年及以后年度則漸漸采用固定形式少量披露策略。

倪慧萍(2006)提出不同銀行信息披露量差異較大。縱向看,同一家銀行不同年度的披露量差異大,如深圳發展銀行、民生銀行以及招商銀行3家銀行3年內控信息披露量都是“先多后降”之后持續減少;2002年3家均提供管理當局、事務所披露的內控說明和內控審核(或評審)報告;2003年和2004年則沒有披露事務所審核(或評價) 報告而只披露事務所內控審查結果。橫向看,不同銀行之間披露差異更大。從韓曉杰、段洪波、梁靜(2011)抽取的樣本來看,中國銀行和工商銀行信息披露量較多較全面,深圳發展銀行和招商銀行信息披露量相對較少。主要采取的是形式固定少量披露的模式。

1.4 內控自評報告的規范制度

許莉、朱睿、王芳(2010)認為我國證監會的各項政策規定都在強調上市銀行要充分披露在報告期內的業務、風險和內控情況。比如2000年11月14日的《公開發行證券公司信息披露編報規則》和2000年12月21日的《商業銀行年度報告內容與格式特別規定》。2006年上海證券交易所提出上市公司在年報中要進行內部控制評價,2007年深圳交易所也提出該項政策。2008年財政部等五部委制定了有中國版“薩班斯法案”之稱的《企業內部控制基本規范》,于2010 年1月1日起實施。目的在于加強和規范企業內部控制,提高企業風險防范能力,促進企業可持續發展。這些法律法規,規范制度從不同層面完善了我國上市銀行內部控制制度。

1.5 實質性漏洞的披露現狀

實質性漏洞是指如果一項或若干項缺陷有能致使年度或中期財務報表存在重大錯報而不能有效預防或及時察覺的合理可能時,該缺陷構成實質性漏洞,而那些嚴重程度低于實質性漏洞的一項或若干項缺陷,僅僅是重要到值得負責監管公司財務報告人的注意,那么該缺陷為重大缺陷。

瞿旭、李明、楊丹 葉建明(2009)提到由于我國目前在理論和實踐中對于“實質性漏洞”概念的缺失,使得我國上市銀行盡管面臨嚴格的監管,但相關內控體系中的“漏洞”信息卻不為市場和監管機構所知。

瞿旭、應旭婧、王娟(2011)闡明上市銀行內部控制實質性漏洞披露是衡量高質量上市公司的主要標準,銀行業掌握著國家的金融命脈,在維護國家的金融安全與穩定、促進經濟的持續、穩健發展等方面起著重要作用。正是如此,上市銀行內部控制實質性漏洞信息披露是傳遞出上市銀行擁有良好內部控制體系的信號,也是作為資本市場健康運行的重要指標。

2 關于我國上市銀行內控自評存在問題的研究綜述

2.1 法律規范不完備

篇3

關鍵詞:內控 經營管理 績效

一、內部控制評價概念

內部控制評價是指企業董事會或類似權力機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。通過內部控制評價工作,充分揭示內部控制的設計缺陷和運行缺陷,管理層及時獲悉缺陷情況和整改進度,相關部門跟蹤落實缺陷整改,實現內部控制閉環管理,與風險管理工作形成合力,共同推動持續改進。

二、主要做法

供電公司以重大風險防控作為內控評價重點,全面整合風險評估與內控評價工作,通過業務部門“三參與”(參與風險評估、參與內控評價、參與缺陷認定),強化缺陷整改分析,常態化稽核監控等措施,深度推進內控評價工作,促進各項管理的進一步規范化、系統化,實現內控評價閉環管理。

(一)充分梳理風險,內控評價有的放矢

1、梳理風險信息

依據內控評價相關要求,辨識與電力交易結算、核算等經營類業務相關的風險,梳理出本單位可能存在的業務風險,編制形成公司規范統一的風險信息庫。

2、識別重大風險

召開風險評估推進會,由風險評估與自評價工作組召集各業務部門參與風險識別。各業務部門通過總結重大風險防范措施執行情況,認真分析內外部因素,并依照梳理形成的本單位風險信息庫,識別確定各專業的重大風險。

(二)加強專業協同,全面推進內控評價

1、準備階段――細化方案,優化分工

內控自評價工作組細化評價工作方案,明確評價工作的時間安排、評價工作的目的、范圍及涉及部門,詳細列示評價工作前期準備材料清單,按專業組建若干個工作小組,確定各小組所需借調的專業人員,通知各業務部門積極主動參與現場內控自評價工作。根據風險評估階段確定的重大風險,重點對電網基建、招投標采購、資金支付及費用報銷等業務領域進行檢查評價。

2、評價測試階段――專業協作,全程監督

工作小組進駐現場按照各自分工開展評價工作:

(1)詢問相關業務人員崗位工作流程,并與崗位職責文件相比較,以發現實際流程是否與相關制度要求相符;觀察業務人員的流程操作,判斷實際流程是否與手冊記錄的流程相符。評價控制程序是否被有效且一貫執行。

(2)對線下流程進行穿行測試,并在穿行測試的基礎上,進行控制測試,采用隨機抽樣方法,按照樣本發生頻率選取適當數量樣本,對控制點是否依照內部控制手冊和控制矩陣的規定持續有效的執行情況進行檢查;收集流程中關鍵控制點的紙質文檔材料,檢查紙質文檔是否完整清晰,是否經過相關有權限人員審核批準。

(3)對線上(IT)流程進行穿行測試,并在穿行測試的基礎上,進行控制測試,具體方法同線下流程抽樣測試;收集線上流程中關鍵控制點的電子文檔材料和電腦截屏,檢查電子文檔是否完整清晰,是否經過相關有權限人員審核批準。

3、匯總分析階段――系統輔助,記錄差異

工作小組記錄評價工作中發現的所有差異以及新風險、新流程、新控制點未及時在內控流程文檔中進行更新的情況,并在風控信息系統中填寫評價工作底稿,上報內控自評價工作組。

(三)注重缺陷分析,促進管理優化提升

1、業務部門參與缺陷認定

自評價工作組匯總各工作小組的評價記錄,組織相關業務部門召開內控缺陷認定及整改會議。對于發現的差異,與被檢查部門討論溝通,根據內部控制缺陷的評定標準,判斷出缺陷的類型,同時判斷缺陷屬于設計缺陷還是執行缺陷,提出內部控制缺陷的整改意見。

2、深度分析內控缺陷,細化內控流程矩陣

公司內控辦在自評價基礎上,充分利用內控評價成果,深度總結分析內控缺陷成因,細化內控流程矩陣,進一步完善公司內部控制體系。

三、主要成效

(一)進一步深化公司風險意識和內控理念

內控評價開展以來,公司按照國網下發的風險信息庫梳理了139個地市公司層級可能存在的風險信息,編制形成適合地市層級公司規范的風險信息庫。發現流程差異23個,認定內控缺陷10個,已全部按要求整改到位。

(二)進一步提升公司業務精益化管理水平

通過實施橫向到邊、縱向到底的全面、系統的內控評價,發現自身在公司整體和各個領域中存在的制度設計及制度執行缺陷,調整和完善業務間管理界面、信息標準、管控要求,有效打通了管理壁壘。促進內控標準、流程標準和崗位標準落地,將控制責任細化到崗位,規范了工作程序、審批手續,有效控制各項經營活動順利開展,防止出現偏差,及時糾正失誤。促進公司各項管理的進一步規范化、系統化,各項業務有規可依。

(三)進一步降低公司經營管控類業務風險

在內控流程標準實施過程,通過內控評價檢查等監督手段,明確了內控流程的風險點和關鍵控制點,配套制定風險防范措施和有效性評價程序,嚴控風險環節,推動業務合規,推動業務標準信息有效流轉,實現內部控制對欺詐、舞弊和非法行為的事前防止、事中發現和事后糾正,充分體現了源頭控制和主動控制的理念,不斷推進內部控制與日常管理的有機融合,推動公司從事后監督向過程監督轉變,有效防范了經營管控類業務風險。

參考文獻:

[1]梁雯.內控視角下事業單位預算績效管理體系探究[J].行政事業資產與財務.2016(01)

篇4

風險存在于企業內控的各個環節,存在于企業生產經營全過程。企業內部控制與風險管理好壞已成為其管理水平高低的重要評判標準。我公司是國內民用建筑設計企業中最早采用ISO9001質量管理體系管理設計產品質量的企業之一。近年來,公司又大力推進企業內控與風險管理體系建設,不斷強化內控與風險管理工作,已取得明顯成效。本文結合我公司內控與風險管理體系建設中的一些做法,對建筑設計企業如何有效構建內控與風險管理體系課題進行探討。

1健全內部控制管理機構

建立健全內部控制管理機構是做好企業內控與風險管理工作的保證。根據公司章程規定及企業內控與風險管理工作的需要,公司內控管理機構包括內控與風險管理決策機構、實施機構和評價機構。內控與風險管理決策機構為公司董事會。內控與風險管理實施機構包括董事會審計與風險委員會、審監部、公司各職能部門及下屬單位。審監部是公司內控與風險管理歸口管理部門。

2完善內部控制制度

建立健全嚴謹規范的各項內部控制制度是做好企業內控與風險管理的基礎。企業經營管理中出現風險的環節,往往是該環節無相關制度進行規范與防范,或者有制度但制度內容不嚴謹,或者有嚴謹規范的內部控制制度但未得到有效執行。為規范公司內控管理,近年來公司制定(或修訂)各類內控管理制度90多項,內容涉及公司治理、戰略管理、經營管理、業務管理、財務管理、投資管理、人事管理、信息管理、企業文化建設等等,并將各類內控管理制度整理印制成《制度匯編》,發放給員工作為管理工具書。一系列內控管理制度的制定和實施使公司從法人治理到經營管理,從宏觀戰略管理到微觀業務管理,從對內業務管理到對外信息管理等,都有了制度規范。

3編制內控業務流程

內控業務流程包括人力資源管理、資金管理、采購管理、資產管理、租賃管理、研發管理、財務報告管理、合同管理、全面預算管理、內部信息傳遞管理、內部審計管理等。企業內控業務流程編制主要按以下程序進行。

3.1梳理內部控制現狀

對內控現狀進行梳理主要包括3個環節:首先,梳理確定公司內控業務主要業務流程。我公司經過梳理,確定14個主要業務流程,包括:合同管理、人力資源管理、資金管理、采購管理、資產管理、設計與咨詢管理、房屋租賃管理、研究與開發、業務分包、財務報告管理、全面預算、內部信息傳遞、信息系統、內部審計。其次,對各業務流程按管理活動環節進行流程分解。為便于管理控制,流程分解的環節不宜過長,一般分解到2級或3級,見表1。最后,確定流程環節的工作內容、責任部門(或崗位)、流程生成的工作記錄及文檔資料。以合同管理為例,表2為“合同訂立”流程環節的工作內容、責任部門(或崗位)及流程文檔。

3.2編制風險控制矩陣

風險控制矩陣就是以表格化形式將企業內控相關流轉環節可能出現的重大風險點及其應對措施列示出來。編制風險控制矩陣有利于相關流轉環節責任人簡潔直觀地了解面臨的重點風險點,熟悉如何防范和控制重大風險,了解該環節風險管理的制度依據。以合同管理為例,表3為“合同訂立”流程環節的風險控制矩陣。

3.3內控缺陷診斷與完善

內控缺陷是指公司內控的設計或運行無法合理保證內控目標的實現。一般可分為設計缺陷和運行缺陷。設計缺陷是指企業缺少為實現控制目標的必須控制,或現存的控制并不合理及未能滿足控制目標。運行缺陷是指設計合理及有效的內控,但在運作上沒有被正確地執行,包括不恰當的人員執行,未按設計的方式運行,如頻率不當等。內控缺陷診斷就是對流程管理的必需的控制制度是否制定,制度控制規定是否合理、是否滿足控制目標,控制制度是否得到正確有效地執行等環節進行檢查,并標識和記錄存在缺陷的控制點(或控制環節),以利于進行補充或糾正,從而完善內控程序。以“合同管理流程”內控缺陷診斷為例(見圖1),本次診斷發現3個缺陷,其中2個設計缺陷(即合同管理制度不完備、合同管理部門不明確),1個運行缺陷(即合同經辦部門進行談判時未形成“合同談判記錄”)。缺陷完善措施:1)制定《合同管理辦法》。2)明確“經營管理部”為合同管理部門。3)合同談判過程與成果要形成《合同談判記錄》,并由合同談判人員簽字確認。

3.4繪制流程圖

通過繪制流程圖可以將內控流程各環節直觀地描述出來,使內控執行者對控制流程、責任部門、流程涉及部門及領導、重大風險點、流程輸出文檔等控制信息一目了然。繪制流程圖可以有效預防和減少內控各流程環節的差錯,從而降低管理風險。以“合同管理流程”為例,圖2為“合同履行、變更與糾紛處理流程圖”(倒三角標識的是“重大風險點”代碼)。

4編制《內控管理手冊》

4.1編制《內控管理手冊》的必要性

內控與風險管理工作涉及的內容廣泛、流程環節復雜,編制《內控管理手冊》可以優化流程管控、為推進標準化管理提供依據,為公司開展內控工作提供可遵循的標準,同時有效滿足外部監管機構要求。《內控管理手冊》是內控與風險管理體系建設成果記載,有利于建立健全內控管理體系,為合規經營、資產安全和信息真實提供合理保證;可以固化形成內控工作機制,為公司管理規范化和決策科學化提供參照和支持;有利于規范加強內控評價工作,全面提升公司管理水平和風險管控能力。

4.2《內控管理手冊》主要內容

公司《內控管理手冊》主要包括5部分內容:1)總則。主要介紹《內控管理手冊》編制的目的、原則、依據、手冊執行與更新、適用范圍與生效。2)組織架構與職責。主要介紹內控管理組織架構體系建設及各職能部門(或崗位)的內控職責。3)內控基本架構。主要介紹公司內控環境、內控風險評估、控制活動、內控信息與溝通及內控監督。4)內控評價。主要介紹內控評價適用范圍、內控評價組織職責、內控自評價方法、內控評價程序及內控缺陷認定標準。5)業務流程文檔。主要包括公司主要內控管理環節的流程分解、流程描述、流程責任管理、流程制度適用及流程圖等。

4.3《內控管理手冊》的維護與更新

公司《內控管理手冊》內容不是一成不變的。隨著公司不斷壯大,外部經營環境和外部機構監管要求不斷調整變化,公司內部管控模式、組織架構、業務管控活動及工作流程也將不斷進行動態調整,公司內控經驗不斷累積,信息化水平提升等等。這些因素變化都要求公司內控與風險管理工作不斷地調整和完善。因此,公司應適時改進和完善《內控管理手冊》的具體內容。審監部作為《內控管理手冊》管理與維護的歸口部門,原則上根據年度內控實際情況,每年開展一次評估,并根據需要進行更新。更新資料主要來源于:公司決策層、管理層及各部門對內控的要求及建議、公司及下屬公司的管理實踐、年度內控評價結果。持續修訂、完善和更新后的《內控手冊》作為公司沉淀優秀管理經驗,創新標準化管理和實現管理樣板性目標的重要工具之一。《內控管理手冊》維護與更新工作步驟:1)進行內控自評價。2)發現設計缺陷和執行缺陷。3)修訂制度完善流程。4)更新內控管理手冊。

5組織內控評價

首先,公司職能部門和下屬單位進行內控自評價。各職能部門和下屬單位對各業務流程進行穿行測試,對業務流程的內控有效性進行評價并填寫《穿行測試底稿》。在穿行測試中發現業務流程存在運行缺陷,且屬于風險控制點的,評價人員則需對該風險控制措施進行擴充樣本測試并填寫《風險控制措施測試底稿》。其次,評價工作小組通過詢問、抽查樣本、重新測試等方法,檢查各部門自評價過程以及結果,對各部門自評價結果的真實性、客觀性作出獨立性評價結論;并對重大風險管控措施的內控有效性進行評價;整理匯總自評價過程以及日常經營活動中發現的公司內控缺陷,并明確缺陷整改責任部門、整改計劃等。最后,評價工作小組根據內控自評價的實際范圍、評價方法、評價程序以及評價結果等,編寫《內控評價報告》,并報董事會批準。

6重視內控環境建設

6.1進行全方位內控培訓

培訓內容包括全員參加的內控基本知識和針對各層級管理人員及內控人員的內控專題培訓。公司通過一系列的培訓和輔導,可以解決“為什么企業要進行內控體系建設”“哪些人員需要參加內控體系建設”“如何進行內控體系建設”問題,提高各層級管理人員和基礎員工對內控工作的認識,營造有利的內控工作開展的文化環境。

6.2建立內控工作溝通機制

為了保證內控工作的有效推進,公司建立了內控工作溝通機制,實現了內控工作信息的實時傳遞。首先,建立內控與風險管理例會制度。內控領導小組每季度組織召開內控工作例會,公司各職能部門及下屬單位在會上匯報內控與風險管理工作開展情況、存在的問題及解決方案、遇到的困難以及需要公司協助解決的事項,內控領導小組負責人對相關的具體問題提出意見和工作指導,會后審監部跟蹤所有問題和困難的落實情況。其次,公司建立內控體系的半年工作總結。每半年公司內控管理部門對內控開展情況進行工作總結,并通報給各職能部門和下屬單位負責人。第三,建立重大風險項目即時匯報機制。對于公司內控中發現的重大問題要求及時向內控領導小組和審監部進行匯報,以實時處理可能發生的重大風險。

6.3將內控管理工作納入績效考核

為有效發揮各職能部門和下屬單位管理者在內控管理工作中的推動作用和積極性,公司將各部門、各單位的年度內控評價結果納入其年度績效考核的指標中,并與部門和單位負責人年度績效薪酬掛鉤,從而激勵管理層切實關注和推動內控管理工作。

6.4聘請專業中介機構協助內控體系建設

篇5

內部控制從公元前3600年以前的美索不達米亞文明時期的內部牽制發展到2004年COSO企業風險管理整體框架階段,內部控制的控制環境、控制理念、控制方法都發生了質的飛躍。目前農業上市公司對內部控制的理解停留在各項工作制度和業務規章的匯總上,沒有將內部控制的本質理解為是一種制衡、監督和激勵的制度安排。有效的內部控制能夠制約經營者的機會主義行為,正確處理企業的組織機構和權責分配,從根本上杜絕舞弊的發生。獐子島的年度報告和融資融券對內部控制的說明和實際內部控制執行狀況比較,差距巨大,說明其內部控制只是為了應付監管機構及相關法律的要求,內部控制實際運行無效。

(二)戰略定位缺乏

戰略目標是企業最高層次的目標和內部控制的終極目標,是企業未來發展的總藍圖,是實現經營目標的行動指南。農業上市公司雖然在整個上市公司中占比較少,但它獨特的戰略地位和國家對它的扶持力度,說明農業上市公司戰略制定的重要性。從目前農業上市公司戰略目標的定位來看,主要關注的是合法合規目標和報告目標。由于缺乏十年甚至更長的戰略,所以企業的經營行為短視,導致經營風險的產生。獐子島雖然打造了同心多元化戰略、科技領先戰略、縱向一體化戰略、品牌戰略及五位一體的發展模式,但經營過程中盲目擴張,過分依賴短期債務,在重大突發事件面前顯得無能為力,這說明獐子島的戰略管理只是寫在紙上的一種管理,沒有站在公司戰略目標的高度去處理或應對危機,缺乏有效的戰略協調機制。

(三)風險防范及應對能力較弱

從農業上市公司的現狀來看,風險主要源于外部環境(如經濟環境、自然災害、法律環境等)及內部因素(如公司治理缺陷、內部控制缺陷、經營風險等)的影響。對于外部環境風險,企業無法直接控制,但需要制定相應的應對措施;對于內部風險因素,企業可結合內部控制有效實施及落實加以防范。通常對于風險的識別是風險管理的第一步,其次要綜合運用多種風險分析方法對風險因素可能性和響應程度進行排序。獐子島從2006年起海底底播面積逐年增加,對根本不知曉的深海底播這種風險極高的事項沒有進行實驗、論證就直接實施,導致“黑天鵝”事件發生。同時占總資產比重畸高的消耗性生物資產存貨一直保持在50%左右,對這部分特殊性能的存貨,從種苗的采購、播種、后續監管上獐子島都缺乏應有的風險控制措施而任其在海里自由生長,直到死亡。

(四)內部控制環境不健全

雖然農業上市公司依據現代企業公司治理要求建立了治理結構,但公司董事長和經理兩職合二為一的現象時有發生,家族式管理模式阻礙了公司健康發展,一股獨大的現象導致了決策及經營高度集權,風險加大。獐子島“法人治理”實質上是典型的內部人控制。股東、治理層、經理層三位一體。獐子島從集體所有制企業成長為上市公司,“內部人”發揮了重要作用,功不可沒,但當企業發展到一定規模后,內部人控制顯然已無法滿足企業日益擴大所導致的戰略推進、經營風險的防范及企業監管的需要。雖然獐子島2006年上市時,符合深交所公司治理要求,表面制衡,實質很難形成公司持續長遠發展的核心競爭力。當內部人利益和公司利益一致時,公司可以發展,但當內部人利益和公司利益沖突時,內部人寧愿犧牲公司利益,而保全自己的利益,所以在公司戰略發展上采取了一種冒險激進的方式,遠遠偏離投資者所希望的穩健性公司發展戰略。在人力資源上,并不是把具備專業勝任能力和正直品格的人安排在合適的崗位上,而是任人唯親。副總經理吳厚記是董事長吳厚剛的兄弟,負責獐子島的材料采購工作,2012年因舉報受賄而離職,2014年獐子島蝦夷扇貝絕收事件,正是吳厚記團隊負責的采購事宜。

(五)內部控制評價體系不完善

內部控制評價貫穿于內部控制設計及運行的始終,合理的內部控制評價機制是確保內部控制有效實施的保障。    借鑒陳漢文和池國華的研究成果,2013年我國上市公司內部控制整體水平進一步提高,從內部控制五要素指數來看,風險評估是上市公司內部控制的薄弱環節。從行業內部控制整體狀況來看,受嚴厲監管的金融保險業居第一,2013年內部控制指數均值為63.91%;而農林牧漁業排名最后,2013年內部控制指數均值為42.89%。    

目前,農業上市公司內部控制信息披露方式主要有兩種,一種是在年報中披露,一種是單獨出具內部控制自我評價報告并與年報同時披露,對自身內部控制有效性的自評分均在50%以上,對內部控制有效性持樂觀態度,總體自評意見偏高,披露的內容空洞,缺乏實質性的內容。    

篇6

關鍵詞:信息安全;信息科技風險;管理體系

1信息安全建設現狀

現行制度方面,現行有效制度涵蓋軟件開發、軟硬件運維、應急管理、安全操作、外包管理、供應商管理等方面,覆蓋面較為全面,但是缺乏體系,沒有根據一個標準系統的制定出一整套操作性強、執行性強的制度體系。上報機制方面,目前采取信息處內部逐級上報機制,即發現問題上報至科長,科長根據重要等級不同決定上報給處長、主管主任、信息科技委員會。內部評審方面,現階段只針對現行制度對文檔的完整性和準確性進行事后自評,定期配合外部審計機構進行專項審計;監控平臺只對機房環境、硬件設備、網絡及系統軟件進行實時監控。信息科技風險評估方面,根據國家標準從信息資產、威脅、脆弱性的識別、風險值評估、風險項統計分析、總體評價和不可接受風險處理等7個方面,對整體信息化系統包含的硬件設備、軟件系統、數據信息和管理制度等內容進行了全面的評估,每半年上報一次信息科技風險報告,并制定相應的整改計劃。

2信息安全建設存在的問題

2.1管理制度建立不完善

目前,在信息科技風險的上報機制、自評機制和監控機制都存在著不同程度上有所缺失,例如尚未建立雙向上報機制;自評范圍不全面,缺少對數據資產、人員資產、軟件資產等的覆蓋;缺少殘余信息科技風險的控制緩釋措施及評價流程。同時,現有信息科技風險管理制度的完整性、可操作性需要進一步改進。

2.2信息安全意識不強

職工信息安全意識較為缺乏,沒能把信息安全意識變成一種習慣、一種常態化的意識真正融入到日常的工作生活中,沒能真正意識到加強信息安全的重要程度。

3信息安全建設工作思路

隨著互聯網+迅猛發展,加強信息安全建設日益重要,我認為應從加強安全審計、建立風險上報機制、強化信息安全管理、科技信息風險防范等四個方面不斷加強信息安全建設工作:

3.1分析差距,完善內審監控管理體系

按照信息安全管理體系ISO27001標準梳理現狀,認真分析研究,查找存在的差距,制定信息安全內控操作規程,針對軟件開發、軟件運維、硬件管理各項工作中具體內控操作流程制定信息安全審計依據。可聯合相關處室,定期組織信息安全內部審計,建立事前預警、事后考評的整套內審監控管理體系,對潛在的信息風險進行有效控制。

3.2安全防控,建立風險上報長效機制

依據CIA屬性對現有信息資產按照實物資產、人員資產、數據資產、軟件資產、服務資產進行分類賦值,識別信息資產面臨的威脅與弱點,推導出信息資產面臨的安全風險,提出相應的安全措施并制定整改計劃。另外,建立風險點上報機制,各個分管機構風險管理員負責收集存在的風險點隱患并及時上報信息處、風險處,由信息處匯總風險點,雙向上報給風險處及相關領導,針對風險點中提出的問題及時跟進,并協調相關處室進行有效處理。

3.3強化意識,緊抓信息安全管理

針對目前職工信息安全意識較為薄弱的現狀,一是借助官方網站、微博、月刊、簡報等宣傳載體,開展形式多樣的信息安全的宣傳教育活動,讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓,普及安全應用技術,強化全員的安全責任和意識。三是結合各部門信息安全工作實際,就一段時期內容易產生的安全問題組織不定期的安全技術人員專題講座,提高信息網絡安全管理人員的能力。

3.4抓好關鍵,確保信息安全工作無死角

篇7

論文摘要:內部控制信息的披露對于各方利益相關者都具有十分重要的意義。對于廣大的投資者而言,他們往往通過查閱上市公司的財務報表來了解其經營狀況,而經營業績優良與否、財務報告可靠與否都在很大程度上受到 企業 內部控制的影響。對于上市公司而言,完善的內部控制信息披露不僅可以提高企業的經營效率,改善企業的經營管理,而且可以向市場傳遞一個信號:公司的管理層對內部控制十分看重,并且可以保證其內部控制的有效性。

當前,我國 經濟 正處于一個高速 發展 的階段,資本市場瞬息變化,因此,加強對內部控制信息的披露就顯得尤為重要。按照coso報告,內部控制就是由企業董事會、經理階層和其他員工實施的,為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成提供合理保證的過程。

一、我國內部控制信息披露的規范

中國 注冊 會計 師協會在1996年頒布的《獨立審計準則第9號——內部控制與審計風險》第一次提出內部控制的概念,指明內部控制是指被審計單位為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序,內部控制包括控制環境、會計系統和控制程序。但是該內部控制定義范圍狹小,僅僅站在內部會計控制和注冊會計師對財務報表審計的角度出發。此后內部控制的定義一直處于不斷的發展和修正過程中。

我國最早涉及內部控制信息披露的規范主要散見于證監會的各項公開發行證券的公司信息披露內容與格式準則,具體要求體現在招股說明書、增發申請材料及年度報告中。主要有:(1)中國證監會2000年底頒布的《公開發行證券的公司信息披露編報規則》第7號、第8號, 規定商業銀行和證券公司在其年報中出具對內部控制的有效性、完整性和合理性的自評報告,并委托所聘請的會計師事務所對其內部控制制度,尤其是風險管理系統的完整性、合理性及有效性進行評價, 提出改進建議,并出具評價報告。(2)中國證監會2001年3月頒布的《公開發行證券的公司信息披露內容與格式準則第1號——招股說明書》,規定發行人應披露公司管理層對內部控制制度完整性、合理性及有效性的自我評估意見。注冊會計師指出以上“三性”存在重大缺陷的,應披露并說明改進措施。2001年4月頒布的《公開發行證券的公司信息披露內容與格式準則第11號——上市公司發行新股招股說明書》,要求發行人應披露管理層對內部控制制度的完整性、合理性及有效性的自我評估意見,同時應披露注冊會計師關于發行人內部控制評價報告的結論性意見。(3)證監會2001年制定、2004年修訂的《公開發行證券的公司信息披露內容與格式準則第2號——年度報告》,規定年度報告中,監事會應對“公司決策程序是否合法,是否建立完善的內部控制制度,公司董事、經理執行公司職務時有無違反 法律 、法規、公司章程或損害公司利益的行為”發表獨立意見。(4)證監會2006年5月《首次公開發行股票并上市管理辦法》,規定“發行人的內部控制在所有重大方面是有效的,并由注冊會計師出具無保留結論的內部控制鑒證報告”。這是我國首次對上市公司內部控制提出具體的要求。

2006年,為加強上市公司內部控制,促進上市公司規范運作和健康發展,保護投資者合法權益,上交所、深交所分別于2006年6月、9月頒布,分別于當年7月、次年7月實施的《上市公司內部控制指引》,兩個證交所都明確規定在其交易所上市的公司都應提供內部控制報告自評報告。該指引是我國第一次出臺的指導上市公司建立健全內控制度的文件。

二、我國內控信息披露規范的缺陷與不足

(一)內部控制概念界定混亂

無論是處于同一層次的上海證券交易所(以下簡稱上交所)和深圳證券交易所(以下簡稱深交所),還是處于不同層次的證監會和證交所,關于內部控制都有不同的定義。上交所從公司長遠戰略的角度出發,規定內部控制為了保證公司戰略目標的實現,而對公司戰略制定和經營活動中存在的風險予以管理的相關制度安排。深交所對內部控制的定義則參照了coso委員會對內部控制的規定,認為內部控制需滿足以下幾個目標:(1)遵守國家法律、法規、規章及其他相關規定;(2)提高公司經營的效益及效率;(3)保障公司資產的安全;(4)確保公司信息披露的真實、準確、完整和公平。證監會對內部控制的定義則一直沒有完整的標準,在其頒布的《公開發行證券的公司信息披露內容和格式準則》中也沒有詳細規定。關于內部控制概念的不同,很大程度上是因為還沒有一套完整、系統的法規對其予以正式化、標準化,而且現行的各個法規相互之間也缺少銜接。

(二)缺乏對內部控制監督主體的統一規定

證監會并沒有明確指明監督主體,而只是指出由監事會對本公司是否建立完善的內部控制發表獨立意見。深交所規定,由公司內部審計部門負責監督內部控制制度的執行情況,并將檢查監督情況形成內部審計報告報送董事會和列席監事。而上交所則將內部控制的監督權賦予專門職能部門,并規定該專門職能部門在年度和半年度結束后向董事會提交內部控制檢查監督報告。那么根據這一規定,該專門職能部門可以是審計部門,也可以由各個公司根據本公司的特點和組織結構設置。經過比較,我們可以發現,監督主體不同,那么每個監督主體所參照的標準、所執行的程序及最后所形成的結論都不同,這勢必會影響到投資者對上市公司內控報告的比較分析。

(三)對cpa審計的規定各不相同

證監會只對特殊行業以及具有特殊目的的上市公司的內部控制是否需cpa審計提出了硬性規定,主要表現在:要求商業銀行、保險公司、證券公司應委托會計師事務所對其內部控制制度及風險管理系統的完整性、合理性和有效性進行評價,提出改進建議,并提出內部控制評價報告。發行新股的上市公司需要在其再融資的申報材料中披露注冊會計師關于發行人內部控制評價報告的結論性意見。深交所則要求其所有主板上市公司(不含中小企業板上市公司)的cpa在對公司進行年度審計時,應參照有關主管部門的規定,就公司財務報告內部控制情況出具評價意見。而上交所沒有要求cpa對公司財務報告內部控制情況做出評價意見,僅僅要求會計師事務所參照有關主管部門的規定,出具對內部控制自我評估報告的核實評價意見。并且,在這兩所證券交易所的規定中都沒有明確指明cpa在審計過程中應參照的標準,而僅僅以一句“參照有關主管部門”簡單帶過。注冊會計師的執業標準的不完備使內部控制審核意見從內容到格式各不相同,內部控制信息披露質量缺乏有效保證,使得信息使用者感到無所適從。

(四)對內控信息披露的自評主體界定模糊

證監會對于一般上市公司要求監事會在其監事會報告中披露對公司是否建立了完善的內部控制制度發表獨立意見。對于具有融資目的的公司,證監會要求的責任主體是發行人,要求發行人對公司內部控制制度的完整性、有效性和合理性發表評估意見。而在對商業銀行、證券公司和保險公司的規定中,沒有明確指明責任主體,只是要求上市公司對本公司的內部控制制度做出說明。深交所和上交所的內部控制指引中,都明確規定了內控信息自評的主體是董事會。

(五)對內部控制的評價缺乏統一標準

現行的規范制度中,證監會和證交所都沒有提出對內部控制完整性、有效性和合理性的具體評價標準,只有由審計準則委員會的獨立審計準則第9號《 企業 內部控制與審計風險》和新修訂的《 會計 法》提到了內部控制相關內容,但立足點和出發點分別是從報表審計的角度和企業會計控制角度進行規范。由于缺乏對內部控制的完整性、合理性及有效性進行判別的可操作性的標準,使得cpa審計陷入難題中,而且其出具的審計意見報告也缺乏可比性。

三、改進我國現行內部控制信息披露規范的建議

(一)宏觀上,理順我國現行內控信息法規的層次關系,建立一個自上而下、由抽象到具體的內部控制信息披露的規范體系

該規范體系的第一層次應是由國家立法機關在《公司法》、《證券法》和《會計法》中以 法律 的形式規范內部控制的定義,并明確各企業應建立健全的內部控制體系。第二層次是由財政部聯合證監會、保監會、銀監會和審計署制定一套以規范企業信息披露為主要目標的企業內部控制標準體系。該標準體系的建立將為各個行業的內部控制評價提供一個具體的、可操作的標準,并且也為cpa審計上市公司的內部控制自我評價報告提供了可 參考 的標準。財政部于2006年7月聯合證監會、國資委、審計署、銀監會、保監會等部門成立了企業內部控制標準委員會,我們相信該委員會將在其推出的《企業內部控制基本規范》中做到這一點。第三層次是證監會規定各上市公司應對“狹義內部控制報告”即財務信息內部控制報告進行強制性披露,而對“狹義內部控制報告”之外的經營和遵循法律內部控制報告采用自愿性披露。對于強制性披露的財務信息內部控制報告應明確披露內容和披露格式。第四層次是證券交易所對本所上市交易的公司提供具體的規則指引。2006年,上交所和深交所分別推出了適應本所特色的《內部控制指引》,但是兩所的指引存在一些不協調、不融洽的地方,因此本文建議可以在上述3個層次制定的規范內稍做改動,達到各個法規實務操作的銜接。

(二)微觀上,針對我國現行內控信息披露規范的不足加以改進,使之滿足各個層次信息使用者的需求

1.明確內部控制概念

根據內部控制的范圍,可將內部控制劃分為“廣義的內部控制”和“狹義的內部控制”。狹義的內部控制與公司財務報告質量和會計信息質量相關,而廣義的內部控制則包括對財務信息質量、經營效率、遵循法規和其他風險管理的控制。由于內部控制的外延已經擴大到了公司整體的控制,投資者不僅僅滿足于得到有關企業財務報告可靠的信息,還希望了解企業整體控制環境和實際運作情況。但考慮到成本效益原則以及cpa內部控制審計標準的不完善,在此,我們可以要求上市公司必須披露財務信息內部控制報告即狹義內部控制自評報告,與此同時,鼓勵上市公司自愿披露廣義內部控制自評報告。待時機成熟之時,可以要求上市公司強制披露廣義內部控制自評報告。

2.明確內部控制監督主體

實務中上市公司內部控制監督一般是由內部審計部門執行,但是內部審計部門往往是從財務報告是否可靠的角度出發,無法涵蓋我們廣義內部控制概念。因此建議可以采用上交所的做法,在公司內部成立專門的內控監督職能部門,該職能部門人員的認定可以由董事會予以指定,并且范圍應該擴大,不僅僅局限于內部審計部門。

3.明確對cpa審計的要求

為了保證內部控制信息披露的真實性,應當要求注冊會計師對由董事會所出具的內控信息自評報告加以驗證并出具審核或鑒證報告,該鑒證或審核報告應與內控信息自評報告一同對外公布。而且在內部控制審核中,cpa的執業標準并不完備,這使內部控制審核意見從內容到格式各不相同。因此,應由審計準則委員會聯合各個行業制定一套切實可行的執業標準。

4.明確內部控制的責任主體

監管部門應當修訂內部控制信息披露規范,增加明確主體責任的相關條款或對主體責任的描述具體化。現行《公司法》中規定,董事會可以決定公司內部管理機構的設置、制定公司的基本管理制度,所以我們建議公司內部控制的建設應當由董事會負責,并由董事會對外披露內部控制自評報告。

5.明確內部控制信息披露的內容和格式

監管部門應當對披露內部控制信息的內容與格式做出統一規定,以減少上市公司在內部控制信息披露上存在的選擇性和隨意性。同時,投資者可以對上市公司的內部控制信息進行比較分析,也有利于降低投資者獲取信息的成本。證監會可以明確規定財務信息內部控制報告的固定格式,其基本內容至少應該包括:(1)表明管理層對財務信息內部控制的責任;(2)評估內部控制的標準;(3)內部控制系統中任何重要薄弱環節及其處理情況。

參考 文獻 :

[1] 李明輝、何海、馬夕奎.我國上市公司內部控制信息披露狀況的分析.審計研究[j].2003,(01).

[2] 陳合.如何完善上市公司內部控制信息披露[j].財會月刊,2005,(19).

篇8

關鍵詞:風險導向;內部審計;風險管理

中圖分類號:E232.6 文獻標識碼:A 文章編號:

進入21世紀,多樣化和多變性的環境使企業的經營管理經歷實質性的變革,現代企業所面臨的商業環境和市場競爭不確定性越來越大,一方面變化周期縮短,商業環境和市場競爭的變化速度超過了以往任何時代;另一方面商業環境和市場競爭變化越來越徹底,企業明天的生存與發展環境可能與今天的幾乎沒有任何必然的聯系,現代企業處于高風險的經營環境之中。傳統的內部審計都只是片面地關注企業經營過程中的某一個方面,沒有與企業目標發生直接的聯系,沒有關注企業經營過程中面臨的風險,以至于達不到企業提高經營管理水平、加強管理控制的要求。為了彌補傳統內部審計的不足,風險導向內部審計應運而生。

一、風險導向內部審計概述

(一)風險導向內部審計的含義

風險導向內部審計是指內審人員在審計過程自始至終都以企業風險分析評估為導向,根據量化的分析水平排定審計項目優先次序,依據風險確定審計范圍與重點,對企業的風險管理、內部控制和治理程序進行評價,進而提出建設性意見和建議,協助企業管理風險,實現企業價值增值的獨立、客觀的簽證和咨詢活動。這里的風險應該是我們通常說的廣義的風險既包括正面的風險,即機會;也包括負面風險,即狹義風險。

(二)風險導向內部審計的目標

蔡春教授在其專著《審計理論結構研究》中指出:“審計的本質目標就是確保受托經濟責任(Accountability)的全面有效履行。按照各種審計類別所列示的審計目標都是這一本質目標的具體化。”現代的內部審計的重點已逐漸轉向事先發掘問題、改善經營管理、促進經濟效率。為此,內部審計向他們提供與被審計活動有關的分析、評價、建議、咨詢和信息。不論內部審計對內部控制進行評估與改善,還是對公司治理程序進行評估與改善都應該是以風險評估與改善作為首要目標。

首先,內部審計充分利用在內部控制領域的專家地位,聯系組織的目標評估與分析內部控制中的風險,直接報告給管理者,在需要時通過審計委員會報告給董事會;其次,內部審計幫助董事會在進行戰略決策、重大人事的任免和重大的投資和財務計劃的制訂方面識別和評估風險,以確保組織重大決策的正確實施;最后,內部審計要利用自己對組織內部的全面了解和對風險的直觀認識,為專業的風險管理部門提供咨詢與保證活動,參與企業的整合風險管理。總之,風險導向內部審計不是在簡單的內部控制領域消極地查錯防弊,而必須以組織的整體風險評估作為自己的首要工作目的。

(三)風險導向內部審計的職能

傳統的內部審計職能僅限于監督管理公司的規章制度,而隨著社會經濟水平的不斷上升和企業管理水平的不斷提高,內部審計的職能有了很大的發展空間,已不再是簡單的監督,而是為企業提供“確證和咨詢服務”,這兩項職能都是緊密結合內部審計的增值目標發展而來的。內部審計協會ⅡA對內部審計的職能作了明確規定:“內部審計是一項獨立的、客觀的確證和咨詢活動,其目的在于為組織增加價值并提高組織的工作效率。它采取系統化和規范化的方法,對風險管理、內部控制和公司治理過程進行評估和改善,從而幫助組織實現其目標。”它強調重點關注公司經營管理過程中的管理風險,關注管理者的管理行為可能存在的風險,關注企業在治理過程中的經營風險和決策風險,并對這些風險實施評價,根據評價結果向管理層提出建議。

二、風險導向內部審計實施中存在的問題

由于我國的風險導向內部審計還處于起步階段,理論與實務操作還不成熟,在實踐中產生了很多問題:

(一)我國的內部控制模式陳舊

COSO將內部控制定義為:內部控制是一個過程,受機構的董事會、管理層以及其他人員的影響,設計內部控制是為以下類別的目標的實現提供合理的保證:運營的效果和效率、財務報告的可靠性、資產的安全、以及遵守適用的法律和法規。對內部控制評價的過程就是內部審計的過程,一個企業內部控制的好壞,與審計風險的高低直接相關,所以內部控制始終都是內部審計關注的重點。隨著風險導向內部審計的嘗試和發展,內部控制受到了極大挑戰。傳統的內部控制體系已經不能適應快速發展的外部環境和風險導向內部審計的要求。傳統的內部控制模式將單獨的生產經營活動作為一個主體,進行事后控制,忽視了事前與事中的反饋,不能滿足需求,新的模式急待發展。

(二)我國的風險管理體系還不完善

企業往往只是依照法律規定的要求進行內部審計,并非出于企業主動,很多企業的風險管理活動采取的是“亡羊補牢”式的風險應對措施,對風險的鑒別能力相對薄弱,應對風險的能力也很差,沒有建立超前意識,也沒有合理的風險管理體系。企業缺乏對風險管理的認識,沒有認識到風險管理的重要性,從而制約了風險導向內部審計的發展。不完善的風險管理體系也限制了風險導向內部審計作用的發揮,也使審計的作用不能長久。

(三)審計人員能力不足

我國審計人員專業單一,知識結構不合理,不了解企業的經營狀況,相關行業,不具備運用數理統計方法的能力,而只對企業內部風險,賬務錯報比較關注,審計效率低下,知識面較窄,缺乏全局觀念,且難以實現對企業風險的管理、控制和治理過程而進行全面綜合的評價。不能協助管理當局制定合理的計劃,對于外部環境估計不足,做出錯誤判斷。

(四)風險管理方法與審計方法落后

風險導向內部審計處于起步階段,理論指導很不成熟。內部審計的方法和技術較為落后,全面風險管理和審計抽樣技術沒有充分的應用到實踐中來。內部審計部門一般按照管理層的授意選擇審計項目,具有很大的盲目性。審計工作也多以手工查賬為主,審計抽樣具有很大的隨意性,有時甚至主觀臆斷。并且,內部審計多數是對事后經濟事項的審計,沒有做到事前和事中審計。另外,雖然大多數企業實現了會計電算化,但是利用專門的審計軟件開展計算機輔助審計的卻較少。這些情況都使企業對未來估計不足,不能恰當地預測風險、識別風險、評估風險和應對風險,進而影響企業目標的順利實現。

三、風險導向內部審計的發展建議

篇9

關鍵詞:企業;內部控制;審計

一、企業內部控制審計的意義

1.企業內部控制審計的理論意義

內部控制審計制度作為現代企業管理制度的一項重要內容,其產生具有一定的社會必然性,是經濟發展的產物,適應了社會和企事業單位自身發展的需要,既可以對內強化企業管理過程,又可以對外承擔一定的社會責任。對內部控制進行審計,有利于全面了解企業的內部控制的有效性,便于直接了解企業的經營狀況。當前我國內部控制制度在管理方法和措施上還存在著一定的缺陷和不足,完善內部控制制度體系建設成為企業面臨的又一難題。內部控制審計是對內部控制制度有效性進行審計,可以被稱為內部控制的控制,是對內部控制的再次審計,將有利于從制度上約束企業的內部控制, 也將進一步完善我國企業內部控制制度體系。

2.企業內部控制審計的實踐意義

企業內部控制審計是內部監督和控制的關鍵環節,可以協助組織辨別及評估重大風險的披露,有利于改善風險管理,防范企業風險,減少漏洞,也將有利于企業內部控制體系的進一步完善,并最終提高企業或組織的內部管理水平。內部審計有利于評價和改進組織的風險管理、控制和治理體系,但要完成該使命,內部審計人員則需要充分了解企業或組織的內部控制制度。注冊會計師在對企業進行審計時,往往要根據企業的內部控制體制來確定審計的范圍、審計的重點以及審計中所需要采用的方法,具體在于觀察企業內部控制體制是否健全和內部控制的有效性程度。而內部控制制度系統的健全和有效程度是確定審計范圍、重點和所用方法的重要依據。因此,在審計中對內部控制有效性進行檢查和評價顯得越來越重要,即內部控制審計愈發重要。如果某企業的內部控制較好,則該企業所提供的資料就會比較可信,審計人員也就不需要進行全面而詳細的檢查了,可以把精力放到如何提高組織的效益上;如果企業的內部控制不完善或者沒有很好地得到執行,則審計人員需要進行詳細和全面的檢查,這不僅浪費大量的人力、物力和時間,而且不能夠將精力集中于提高組織的效益上。因此,在日益競爭激烈的知識經濟時代,加強內部控制審計對于企業愈發重要。

二、當前企業內部控制審計的現狀

1.內部控制審計目標不是很明確

內部控制審計目標決定著審計的范圍、審計程序的選擇與運用、審計意見的表達、審計質量的衡量和審計責任的界定。為了確保審計質量,防范審計風險,避免注冊會計師承擔過高的審計責任,審計準則應當明確內部控制審計的目標。但遺憾的是,目前相關審計準則尚未對內部控制審計的目標做出明確規定。筆者認為內部控制審計應當對被審計單位內部控制自我評估報告的真實性和合法性發表審計意見,為內部控制自評報告的真實性和合法性提供合理保證。為了讓注冊會計師能夠提供合理保證,審計準則應當明確審計范圍和應當實施的審計程序。

2.內部控制審計程序不明確

為了確保內部控制審計能夠為內部控制自我評估報告的真實性和合法性提供合理保證,相關審計準則必須明確內部控制審計應當實施的審計程序,否則內部控制審計質量就無法保證。但是,由于內部控制審計實施時間不長,加之與財務報告相關的內部控制的概念尚未得到清晰的厘定,盡管國外內部控制審計已有一些實踐經驗,并從中總結出了一些行之有效的審計程序。但是這些審計程序依然是不系統的。國外的實踐表明,從公司層面控制入手自上而下地進行審查,是比較切實有效的內部控制審計方式。據此筆者認為,系統有效的內部控制審計程序至少應當包括兩個層次:企業總體層次的內部控制審計程序和業務類型或業務單元層次的內部控制審計程序。企業總體層次的內部控制審計程序是從企業內部控制整體框架五要素入手系統設計的,可以有效測試內部環境完善性的審計程序、風險評估有效性的審計程序、控制活動有效性的審計程序,信息與溝通有效性的審計程序和監督檢查有效性的審計程序。業務類型或業務單元層次的內部控制審計程序,是從影響企業財務報告公允真實性的各類業務或業務單元入手系統設計的,可以有效測試各類業務或業務單元相關內部控制有效性的審計程序。在審計過程中,注冊會計師應當先實施企業層次的內部控制測試程序,再根據企業層次內部控制測試的結果及各類業務或業務單元對財務報表公允真實性的影響程度,實施業務層次的內部控制測試。

3.關于內部控制審計成本的控制問題

成本問題始終是影響內部控制審計實施的重要問題。我國要切實有效地推行內部控制審計,在制定的審計準則中也必須有防止審計成本過高的對策,在實施審計中也必須有控制審計成本過高的對策。解決審計成本過高的直接對策是降低成本,比如在審計準則中,可以規定某些成本過高而重要性一般的審計程序(如注冊會計師對管理層自評內部控制程序恰當性的審查和評價)注冊會計師可以選擇使用或不予強制要求,規定內部控制審計應當與財務報表審計整合進行等等。在實施審計中,可以實施能同時滿足實質性測試和內部控制測試兩個目標的審計程序,最大限度地利用檔案資料和他人工作結果等等。解決審計成本過高的間接對策是通過突出重點提高成本投入的效益,比如在審計準則中,將內部控制審計的范圍限制在與財務報告相關的內部控制范圍內,并詳細規定必須審計的重要內容、要達到的重要目標和要實施的重要程序,要求在審計中重點關注重大錯報領域、舞弊控制測試、重大缺陷報告等。在審計實施中,注意從公司層面控制入手,開展自上而下的審計工作,以風險為導向,選擇控制測試的性質、時間和范圍,盡可能選擇那些能夠同時達到多個審計目標的綜合性審計程序,充分挖掘審計證據的作用等等。

三、加強企業內部控制審計的途徑

1.專門評價企業內部控制單獨立項

企業把內部控制的監督、評價作為重要的工作內容,專門評價,單獨立項。一些內部控制存在的問題只是在查賬過程中發現,企業可以選擇檢查、監盤、觀察、計算、查詢及函證和分析性復核等方法全面有序的測試各部門、各環節。并依據審計部門的評價意見測試結果和編寫的審計報告。相關部門改進管理,完善制度,防范和化解企業各種經營風險,提出強化內控建設措施。

2.進行內部控制自評

可以在業務流程層面上或者是企業層面上實施企業對控制有效性的內部監督和自我評價,包括:與外部人士的溝通、對運行報告的復核和核對、將信息系統記錄數據與實物資產進行核對、以及對其他未參與控制執行人員的監控活動等。內部控制自評為企業提供了一個管理控制風險的工具,綜合控制了企業各方面,使企業對內部控制有了更全面的了解。在內控審計人員的幫助下,管理人員評估本部門內部控制的有效性和恰當性,并提出報告。既明確本部門對企業內部控制的責任,又熟悉本部門的控制過程。保證企業內部人員良好而更有效地履行責任,降低了審計成本。

3.改變傳統的內部控制在制定階段的方法

內部控制在在建立之時就交由內控審計進行評價,不能只由相關業務部門來完成。作為內控審計師,要統籌考慮并提出自己的建議,將重點放在企業內部控制全局的高度上。由內控審計活動的“發現和評價”觀點向“防范和解決方案”的觀點轉變。 在審計前要編制審計計劃,在審計過程中,要編著審計報告,為減少內部審計的不規范性和盲目性,要運用觀察、審核、分析等復核方法,以獲取充分可靠的證據。提出有針對性的建議,增強企業整個內部控制系統的效能。

四、結束語

如今,隨著內部控制審計在企業管理中所發揮的作用越來越顯得重要,企業對內部管理也在不斷地提高重視程度。我們在審計實務中,應充分運用先進、科學的審計手段,以理論為指導,使內部控制審計工作向更為完善和健全的程序方面發展。

參考文獻:

[1]石 漢:會計內部控制的完善與規范[J].審計理論與實踐,2009(1).

篇10

一、風險導向內部審計模式下開展企業管理效益審計的內容

(一)對決策層的戰略管理進行審計。企業管理效益的好壞同企業重大決策是否正確有著至關重要的關系,對決策層的戰略管理審計是企業管理效益審計的重中之重。戰略管理審計是通過對企業經營環境的分析,了解企業競爭地位和企業價值鏈上整體成本結構;通過調整企業價值鏈上整體成本結構,以達到獲取整體成本優勢的目的。它是一種基于整體的審計,更注重企業長期和整體因素的評估。戰略管理效益審計著重于對組織目標實現有重大影響的領域進行風險評估,通常關注的風險有:政策、法律風險;資產流失;不能達到目的和目標等。

(二)對管理層的管理控制進行審計。管理層是把企業戰略決策和制度、計劃變為現實的紐帶和橋梁。企業經濟活動中的人、財、物等資源系統和信息系統主要是由管理層掌握的。管理控制主要是依托資金流、物流和人流實施管理控制的,因此管理控制審計著重對財務管理、運作管理和人力資源管理等方面進行評價,其審計的內容主要包括計劃預算、物流生產、營銷管理、績效評價等。管理控制審計主要是通過對內部控制系統的核查,即要評估內部控制本身有無缺陷,又要核查一個完整的內部控制系統是否得到有效貫徹。通過檢查內部控制系統,發現隱患,及時提醒相關部門的管理人員改進內控,防范或減少風險,提高企業經濟效益。

(三)對作業層的作業效益進行審計。企業經濟效益必須經過生產經營作業循環后才能產生,企業通過實施精細化管理,優化業務管理流程達到增加效益的目標主要是優化作業層次實現的。作業效益審計注重對特定作業任務效益與效率性進行審計, 顯示出具體性與短期性的特征。作業效益審計應當分別對人力資源管理作業、供應商以及生產相關作業、市場營銷與銷售作業等各個作業環節上可能發生的風險進行識別與評價。

二、運用風險導向內部審計開展管理效益審計的程序和方法

(一)開展管理效益審計的程序

1.初步了解被審計單位的基本情況。要了解企業經營品種、生產規模和生產能力等,對被審計單位有一個初步的認識;與被審計單位的各級干部、技術人員、職工進行交流,了解其業務流程和處理程序;全面了解被審計單位的管理情況,通過調閱以往的審計報告、審計方案等了解被審計單位目前的管理、財務及經營情況,以便更好地確定當前重大風險的審計范圍。

2.確立目標、鑒別風險。確立審計目標首先應與被審計單位內部管理者交流、研究,充分聽取他們的意見,依據管理者已經制定的內部控制程序、決策文件,初步確立審計重點,依據這些標準的相互關系和市場變化,更好地認識審計目標。在此基礎上全面識別風險,既要包括內部風險因素,又要包括外部風險因素;既要包括高層管理決策風險因素,又要包括中、基層執行風險因素。

3.開展風險分析,判斷特別風險。通過對所收集的大量風險信息,運用數量化方法,估計和預測風險發生的可能性和損失的嚴重程度,也就是通過對風險原因、風險性質和風險后果分析,確定風險發生的或然率和重大性。在分析風險時,審計人員運用職業判斷,確定識別的風險哪些是需要特別關注的重大風險。一般而言,或然率高、重大性高的風險當然是特別風險,但還要考慮風險的性質。

4.根據風險排列結果,確定總體應對措施。對于或然率高、重大性高的風險進行重點審計;對或然率低、重大性低的風險一般不予審計或作少量抽查;介于高或低之間的風險,具體問題具體對待;風險發生的可能性高,但風險發生后重大性低,可做少量抽查或不予檢查;風險發生的可能性低,但風險發生后重大性高,應引起足夠的注意,重點檢查。

5.審查被審計單位內控制度的有效性、適當性、協調性,進一步找出遺漏的控制和管理缺陷。用公司政策、會計準則、法律法規、先進的企業管理準則來判斷管理制度的恰當性。要針對審計過程中遇到的實際情況,在把握客觀、獨立、公正原則的基礎上,找出被遺漏的控制點。

6.評估控制系統。當審計過程中發現管理制度缺陷后,應及時判斷這些缺陷帶來的影響,把管理效益審計側重點放在事前預防、事中監督、事后跟蹤上,以便最大限度地預防和降低決策風險和經營失誤,使審計工作更有成效。

7.出具審計報告。審計人員要在全面整理分析審計工作底稿的基礎上,總結審計工作,向被審單位介紹審計情況、聽取被審單位意見后,確定審計意見的類型和措辭,撰寫審計報告。審計報告要重點分析風險對企業經濟效益的影響程度,提出防范經營風險、提高企業經營效益的措施和建議。

(二)開展管理效益審計的方法

內部控制是管理效益審計和風險導向審計的基礎,除了管理效益審計中常用的問卷調查法、流程圖法、觀察法、詢證法、分析性復核法、抽查法等審計方法外,風險導向內部審計的基本方法還有風險評估、內部控制自評、實施控制測試等。

1.風險評估是風險導向內部審計的重點,在評估風險時融合了企業風險與審計戰略,使內部審計所選擇的對象更加針對企業高風險的領域,從而提供更相關的、有價值的服務。風險評估首先要進行風險識別,它是指借助于各種分析方法,完整地辨識出風險的來源和所在。這些方法主要有政策分析法、制式表格法、財務分析法、流程圖分析法、實地檢視法等。

2.內部控制自評要求內部審計人員與被審計部門管理人員組成一個小組,在內部審計人員的幫助下,管理人員對本部門內部控制的恰當性和有效性進行評估,然后審計人員根據評估結果指 出因內部控制中存在的缺陷而給企業生產經營所帶來的風險,并提出審計建議,最后由管理者實施。

3.控制測試是對內部控制結構了解的基礎上,為了確定內部控制結構政策和程序是否有效執行而實施的審計方法,目的是通過對內部控制測試,取得適當的審計證據以支持較低控制風險估計水平。

三、風險導向內部審計模式下開展管理效益審計的注意事項

(一)注重審計時效。管理效益審計更加強調審計時效。審計結果的及時報送和有效利用,使得企業在風險真正發生之前就能夠有效阻止風險的發生或降低風險發生的損失。及時發現、迅速反映、在適合的范圍快速披露審計發現的風險管理、控制及治理方面等影響管理效益的問題,特別要抓住苗頭性、傾向性問題快速報告,是提升審計結果利用價值的有效方法。

(二)加強信息溝通。溝通應該貫穿整個審計過程。在審計實施前,審計人員應就被審計單位應提供的資料  []、人力和物力協助、各重要審計程序的執行日期等方面與被審計單位充分協調、溝通,避免可能產生的一些矛盾。在審計實施過程中,對審計發現的問題及所提出的建議,審計人員要與被審計單位或個人進行溝通,以免事后產生不必要的爭議。在審計報告發出前,審計人員不僅要征求被審計單位的意見,還必須考慮相關部門的意見。

(三)優化資源配置。風險導向內部審計下的管理效益審計,不僅要求審計人員關注被審計單位影響目標實現的內部管理和內部控制因素,還要分析與預測影響目標實現的外部環境和其他方面的風險因素,這就要求審計實施中必須恰當、有效地分配內部審計資源,選擇有經驗和相關技能的審計人員,合理安排審計時間,根據風險的重要性分配審計資源,使內部審計資源聚焦于重大風險領域,使得更多與風險管理相關的控制和活動得到關注,保證團隊的綜合素質和能力能夠最大限度地發揮作用。