内部控制的风险评估(6篇)
内部控制的风险评估篇1
一、基层人民银行风险管理现状
当前人民银行对风险进行识别,主要是由各部门依据自身业务特点,按照是否可能产生资金、财产损失,由于失密、泄密造成重大危害,影响央行政策目标实现和工作效率下降等各个方面,界定风险的种类、起因和性质。根据《中国人民银行分支行内部控制指引》中有关内容,当前人民银行的基本风险主要有以下几种:
(一)资金安全风险隐患
一是在处理核算业务中,由于个别岗位人员风险意识淡薄,对个人上机操作密码缺乏保密措施,甚至有的岗位人员为便于其他人员为自己临时业务操作,将个人上机密码告知部门内其他人员,在自己脱岗时,由其代办业务,导致业务处理一手清现象。二是在涉及资金核算业务岗位的人员配置方面,不相融岗位相互兼岗现象仍有发生。三是个人印章保管不严格,不能做到人走进柜落锁。四是在办理大宗物品采购过程中,存在提前支付货款、付款人与原签订合同的供货人不一致等现象,甚至出现付款时忘记扣回预付款现象。五是资金支出中存在越权现象。六是办理国库退库业务时对退库资料审核不严格,甚至发生预算退库收款单位与预算收入缴入单位不一致现象。以上问题均易导致资金风险的产生。
(二)法律风险隐患
一是办理行政许可过程中未能对申请资料进行认真审核,形成一些过期无效材料存在于提交的申请材料之中。二是行政许可未按照规定程序办理,收到申请时未向申请单位开具“行政许可申请受理通知书”,办结后未及时开具“行政许可决定书”或“不予行政许可决定书”等有效文书。三是行政执法检查工作底稿不规范,有的缺少检查人员签字,事实确认书上被检查单位未签字,或签字人不符合规定要求越权签字,还有的处罚决定书要素不全,决定书未明确被处罚人的权利,有的处罚决定依据不准确或不清楚。四是经济合同不规范,合同要素不全,标的物质量等未作明确规定。以上问题均易导致法律风险的产生。
(三)操作风险隐患
一是大宗物品采购不规范。仍有部分单位未将应纳入大宗物品采购管理的事项纳入大宗物品采购管理。二是在业务操作中漏签字、签章,导致发生问题后责任认定难。三是安全教育、监督不到位。有的单位驾驶员连续发生轻微交通事故,单位未引起重视。以上问题均易导致操作风险的产生。
(四)声誉风险隐患
在对外宣传或开展调研中,部分人民银行员工未对拟定的稿件充分论证,也未将其交宣传管理部门审核,擅自多家媒体投稿,导致一些失真、错误信息外传,易造成声誉风险。
二、基层人民银行风险管理工作面临的难题
(一)风险管理文化尚未真正建立
目前,部分基层央行工作人员仍把风险管理简单地理解为各种规章制度的制定、装订、汇总,认为建立健全了规章制度,就是建立了风险管理机制,没有真正认识到风险识别、分析、评估等与风险防范之间的关系,没有积极主动地对常规业务和管理活动定期进行风险分析,缺乏对非常规性业务和管理活动及突发性事件及时进行分析的风险管理意识。
(二)风险评估标准不够统一
《中国人民银行分支机构内部控制指引》虽然指出了风险评估是指识别和分析相关风险并确定应对策略,但没有明确具体统一的评估标准,不同的评估对象有不同的标准,相同的对象也有不同的标准,有的以内部控制五个要素作为评价标准,也有的以内控的有效性、全面性、及时性和合理性为标准。缺乏统一的风险评价标准,就不能对风险做出准确的评估。
(三)风险评估信息交流不够充分
主要表现在风险评估双方信息不对称:一是尽管各业务部门的风险管理信息日益增多,但报送的风险信息资料单一,仅限于各业务部门的内控制度汇编等资料,不能动态反映风险管理现状。二是风险管理信息传递的时效性较差,存在信息滞后现象。三是渠道不够畅通,平时交流很少,仅仅依靠评估前期准备阶段收集信息资料或进行临时流。
(四)员工综合素质与风险管理要求仍有差距
一是知识结构不合理。目前,无论是人民银行内审人员还是业务部门人员,多数只具备会计财务、货币信贷、调查统计、外汇管理等专业知识,缺乏风险管理知识方面的专门培训。二是专业知识更新慢,对新业务风险识别分析不到位,在实际工作中经常套用老文件、老办法来处理新问题、新情况,缺乏对新风险点的了解和掌控能力。
(五)风险评估长效机制有待强化
风险评估工作应该是一个连续的循环往复的过程。而有的单位和职能部门将风险评估工作作为阶段性工作来抓,时紧时松,时断时续,对于已经识别的风险点未及时防控,对于隐匿的新风险点未能认真排查;在风险应对评价方面未能结合实际情况进行再分析、再评价,已经制定的风险应对措施未能随着人员、流程、系统和外部环境的变化而更新,使风险控制方案所起的作用逐渐弱化。
三、强化基层人民银行风险管理的路径
(一)成立专业风险评估小组
基层人民银行要成立由单位内具有丰富管理经验的人担任的专业风险评估小组,定期对整体风险状况进行仔细评估,筛选出高风险级以上风险点,进行风险监测和风险控制管理。评估组应组织日常风险识别、风险监测和风险分析,负责建立各业务条线的风险评估模型,收集整理风险评估资料,及时评估分析风险状况,为领导决策提供依据。行长和分管行领导要充分支持风险评估工作的开展,保证风险评估工作具备足够的人力、物力以及信息技术水平,及时了解风险评估工作的开展情况。相关职能部门在风险评估过程中要各司其职,既要明确分工,又要通力协作,积极发挥作用。
(二)优化风险评估流程
根据基层人民银行风险种类的划分,操作风险在整个风险体系中占有较大的比重。根据操作风险的特点和风险性质,风险评估程序应采用由表及里、自下而上、从已知到未知的方式,依据操作业务流程分析,从基础岗位做起,从已知的风险延伸到未知的风险,风险评估流程图如图1。
(三)建立风险评估模型
风险评估模型的建立应具有一定的准确性,对风险控制能够起实际指导作用。
1.风险水平计量。风险水平的计量一般包括两个方面:固有风险和控制风险效果。实际风险水平与固有风险成正比,与控制效果高低成反比。
实际风险水平是实施内部控制后存在于业务岗位的剩余风险,应该是管理者和决策者能够接受的风险水平。如果计算出的风险水平与设定的目标值有差距,就需要重新采取控制措施,然后再次进行风险评估,直至确认风险水平在可接受的范围内。
2.风险等级划分。对于固有风险可按风险程度划分为高风险、较高风险、中风险、较低风险和低风险五级,按照风险程度和风险级别赋予固有风险不同的分值,如高风险值为1-0.9,较高风险值为0.9-0.8,中风险值为0.8-0.7,较低风险为0.7-0.6,低风险为0.6以下;控制效果评价等级(控制评价值)划分为优良、满意、有待改进、较差和失效五种状况,根据内控评价结论划分为优良90-100,满意为80-90,有待改进为70-80,较差为60-70,失效为50-60。
3.风险评估方法。采取层次分析法和德尔菲法相结合的办法对风险进行识别和评估。运用层次分析法,结合业务流程分析,将复杂的风险问题分解为若干组成要素,按照支配关系和影响程序度分组形成有序的阶梯式层次结构,可以将风险因素进一步细分,便于识别对风险点起关键性、决定性作用的风险因素。运用德尔菲法充分收集专家意见,对风险评估结果进行不断的修正,以提高风险评价的准确性。具体方法和步骤是:(1)岗位人员:运用层次分析法和流程分析法,识别细分风险,对风险进行定性评价。(2)部门自我评估小组:采取定量分析方法,赋予评估分值。(3)风险评估部门:采取定性和定量综合评价方法,汇总整理风险。(4)专业风险评估小组:采取德尔菲法进行评估,确定最终风险结果,提交定性风险评估报告。
4.风险评估标准。人民银行总、分行在充分调查、认证、评估风险的基础上,确定具体业务领域的标准风险水平或安全指标,作为基层人民银行衡量和比较的标准。基层央行通过与安全指标和风险标准对比,确定自身所处的风险等级和风险层次,然后根据风险比较结果,确定是否需要采取控制措施以及控制到何种程度。
内部控制的风险评估篇2
【关键词】基层央行;风险评估;内部审计
随着市场经济体制的日益完善和人民银行职能的不断变化,基层人民银行以往很多被忽视的风险和问题日渐显露,如依法行政中的法律风险、声誉风险,资产的市场风险、流动性风险,内部管理中的操作风险等。基层央行可能要面临的风险是其内部审计选择审计项目以及确定审计重点领域的依据。本文从风险导向审计的角度,以人民银行海口中心支行开展风险量化评估的实践为例,介绍风险评估的理论模型、评估方法,提出基层央行开展风险导向审计的具体建议。
一、风险评估采用的理论模型
海口中心支行开展风险量化评估采用“剩余风险=固有风险-控制有效性”的剩余风险评估模型,既要考虑固有风险,又要考虑内部控制有效性。
(一)固有风险的评估
固有风险的评估采用风险矩阵法,根据“影响程度”和“可能性”之间的关联程度判定,如下图所示:
注:将风险事件的影响程度级别和发生可能性级别分别标注在风险矩阵的横轴和纵轴上,横轴和纵轴的交汇区域所对应的风险等级即为该风险事件的风险等级。绿色区域、黄色区域、橙色区域和红色区域分别对应的风险等级为1、2、3、4级。
风险影响程度的评级标准,按照风险可能引发的资金损失、声誉损失、业务连续性损失,将风险的影响
程度由低到高依次划分为1-4级。风险发生可能性的评级标准,按照风险事件实际发生的历史数据、业务的复杂程度以及变化情况,将风险发生的可能性由低到高依次划分为1-4级。
(二)控制有效性的评价
控制有效性评估,从“以往审计结果”和“内部控制变化情况”两个方面衡量。按照各类审计或检查中发现问题的严重程度、审计频率、问题整改和内部控制变化情况,对内部控制有效性进行评估。内部控制有效性越高,对应的风险级别越低。反之,风险级别越高。风险由低到高依次划分为1-4级。
(三)剩余L险的计算方法
最终剩余风险量化分值采用风险因素加权平均法计算。计算公式为:剩余风险级别=(∑各类固有风险权重x风险级别+∑各项内部控制有效性权重×风险级别)+(∑各类固有风险权重+∑各项内部控制有效性权重)。具体运用风险评估表进行计算。
二、风险评估的实施过程
海口中心支行开展风险量化评估,主要采取以各职能部门初评和专家组复核确认的方式组织实施,灵活运用会议座谈、专家讨论、现场审计测试等方法,广泛收集整理数据,并对数据反复进行修正,最终以风险评估专家组审议的方式,从审计角度确定所有业务单元的风险值。
(一)前期准备阶段
一是制定《海口中心支行机关风险量化评估方案》,明确风险评估的目标、对象、范围、方法和程序等。二是要求各处室指定一名业务骨干作为评估员,负责本处室各业务活动风险评估的具体工作。
(二)组织开展初评
组织全行27个处室对132项业务活动进行风险初评。初评评按照《海口中心支行机关风险量化评估方案》要求开展,各处室撰写风险初评报告,提出审计需求,并针对高风险业务提出应对措施和建议。
(三)成立风险评估专家组对初评评结果进行复评和审议
内审部门组织成立了风险评估专家组,在各处室风险自评的基础上,对各项业务活动的风险事项进行再识别、再评估,审议确定各项业务活动的风险等级,最后由内审部门综合考虑专家组的意见,确定各业务单元的剩余风险评估值。
(四)风险评估的结果
通过初评和专家组复核审议,得出全行27个处室132项业务单元的剩余风险等级,并进行排序(如表2所示)。其中,高风险业务活动10项;偏高风险业务活动11项;中等风险业务活动56项;低风险业务活动55项(风险分值为3.0以上的为高风险,2.5-3.0的为偏高风险,2.0-2.5的为中等风险,2.0以下的为低风险)。
(五)审计策略
风险评估结果的运用,现阶段主要体现为以风险为基础的内部审计计划及审计方案的制定。根据剩余风险大小,对业务活动按风险排序划分风险等级,不同的风险等级制定不同的审计策略,优先把高风险业务作为审计项目规划的重点。根据风险评估的结果制定以下审计策略:一是重点关注类。剩余风险值在3.0以上(含3.0)的业务活动为审计重点关注类,如发行基金押运、财务收支、发行库内业务、第三方支付业务、外汇检查与处罚、国库退库业务、人民币清分、复点、销毁等高风险领域的业务活动,应在一年内开展审计。二是有效关注类。剩余风险值在2.5(含2.5)-3.0的业务活动为审计有效关注类,如集中采购、基建、发行库区管理、纪念币(钞)出入库、发行库设施与门禁管理、金融信息安全管理等偏高风险领域的业务活动,应在2年内开展审计。三是合理关注类。剩余风险值在2.0-2.5(含2.0)的业务活动为审计合理关注类,如企业征信系统建设、会计核算业务、支付系统管理、车辆管理等中等风险领域的业务活动,应在3年内开展审计。四是一般关注类。剩余风险值在2.0以下的业务活动为审计一般关注类,如党委宣传工作、老干部管理、金融研究工作等低风险领域的业务活动,建议3年至5年审计一次或根据需要开展审计。
三、几点体会
(一)开展风险导向审计,风险评估是基础
只有确定了各项业务单元的风险等级大小和排序,才能根据风险情况确定审计策略,提出内部审计年度计划,优先安排审计资源对高风险领域开展审计。
(二)风险事件识别是关键
风险事件是各项业务活动的风险点,内审部门在制定审计方案和实施现场审计时,应将风险评估过程中识别出来的风险事件作为审计、测试的重点,做到“审计关注风险,风险引导审计”。
内部控制的风险评估篇3
【关键词】风险导向;内部控制评估
一、内部控制评估的涵义
根据COSO框架的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标:遵守有关法律法规和组织内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效地使用资源;提高经营效率和效果;实现企业战略。
内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的,是指为保障内部控制系统的有效性,由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况,发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员(如事务所)进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制,共同构成公司内部控制评估体系。
二、内部控制评估的目标、对象与原则
(一)内部控制评估的目标
内部控制评估的目标应从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此,内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。
(二)内部控制评估的对象
内部控制评价的对象是内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。
从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。
(三)内部控制评估的原则
企业实施内部控制评估至少应当遵循以下原则:
1.全面性原则。评估工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评估工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。
3.客观性原则。评估工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、风险导向内部控制评估的程序
(一)确定风险领域,制定内控评估计划
内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等,结合企业管理目标,进行充分的调查,可采用问卷调查、座谈会等方式,初步确定企业所面临的风险,对重要性做出初步判断编制整体审计计划。
风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前,审计人员应对企业的风险进行识别、分析并分类,对组织目标实现有重要影响的风险事项进行重点评估。
(二)对确定的风险事项进行评估
评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据,确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下,在开展内控评估时,可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点,进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点,应及时对内控实施细则进行补充和完善,以确保及时防范重大内控风险,使内控评估成为一种积极、主动的全过程动态防范风险机制,为管理层进行风险管理提供有用信息,为公司治理提出建议和整改措施。
可以采取以下审计程序:(1)研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息,确定是否存在可能影响组织的风险,是否存在监督、评价、管理这些风险的控制程序;(2)检查公司政策、董事会和审计委员会会议记录,确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度;(3)检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告;(4)与被审单位管理层及相关人员交流,了解被审单位存在的风险及采取的风险控制、管理措施;(5)独立评价被审单位风险管理程序的有效性,评估风险管理结果报告的充分性和及时性;(6)评估管理层风险分析是否全面、正确,风险管理措施是否适当,并提出改善建议,说明风险管理实务中存在薄弱环节的问题。
(三)得到评估结论,出具评估报告
内部控制人员在评估结束后,实施必要的审计程序后,以经过核实的证据为依据,形成评估结论与建议,出具评估报告。评估报告中一般包括单位内部控制工作组织安排,评估期间及范围,评估方法,所发现问题的表现、面临的风险、成因、影响、改进建议等,以及单位内控控制设计及执行是否有效的结论。
四、风险导向内部控制评估应注意的问题
(一)以风险管理理念为基准
进行内控评估时,应该以风险管理理念为基准。风险管理是企业经营管理的关键所在,内控评估的重点应该是确认风险及测试管理风险的方法,分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这是内控评估的焦点。
(二)应选取科学合理的标准
制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价,其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。结合内部控制评估的目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架的要素来设定控制标准。
(三)关注内部控制的经营与战略目标
内控评估目标包括合规目标、资产目标、报告目标、经营目标和战略目标五个方面,而在具体执行中,企业评估侧重点一般关注于合规目标、资产目标和报告目标,至于经营目标和战略目标受到的关注程度较少。从企业经营管理的角度,显然,经营与战略目标是最重要的。
在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评估,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(四)完善内部控制评估的考核监督机制
我国许多企业根据有关规定制定了很多的内部控制条文,但多只注重制度的文字编写环节,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,使内部控制制度流于形式;同时发现的内控缺陷难以有效整改落实,大大降低了内控评估的风险防范作用。因此,建立健全内控评估的考核评价机制,对于强化内控执行、防范相关风险起着非常更重要的作用。对具体风险点与控制点流程中所有关键环节的内容建立目标和量化评价考核标准,细化内控考核细则;开展分类别内控评估工作质量评比,兑现考核奖惩,强化内控执行。同时,为保证内控缺陷的整改落实,可将内控执行情况、缺陷报告情况及整改情况与部门或个人的绩效考核挂钩,建立激励与约束机制。
参考文献:
[1]财政部.企业内部控制基本规范[S].2009.
内部控制的风险评估篇4
[关键词]高速地产;内部控制;构建
[中图分类号]F275[文献标识码]A[文章编号]1005-6432(2010)49-0149-01
1强化内部控制环境
一是加快现代化产权制度改革,完善规章制度,建立有效的内部控制制度。要加快产权制度改革,规范建立股东会与董事会、董事会与经理班子之间的委托关系,并积极探索采用新的监控方式,以增加决策的科学性和透明性;二是明确控制目标和控制主体。企业根据经营战略和经营目标,分层次地确立控制目标。根据企业的组织结构控制的主体分工基本是:董事会负责制定风险管理战略目标,风险所有权归高级管理层,剩余风险归执行管理层,风险的识别、评估、减轻和监督归运营层。
2完善风险评估体系,进行有效的风险控制
2.1集团公司对项目公司的风险评估
集团公司对项目公司的风险评估主要包括两个方面的内容:经营风险评估和财务风险评估。
2.2集团公司对项目公司的风险控制
为了对风险进行有效控制,企业集团公司及各项目公司需要对风险进行及时正确地识别、评估和处理。可供企业集团选择的风险处理策略主要有风险规避、风险转移、风险保留、风险搭配等。
3健全集团的控制活动
3.1资本控制
企业集团是以股权资本关系为主要联结纽带的企业联合体,内部控制的主体来自资本所有者或其人,而内部控制关系的维系是以资本关系为基础,内部控制的效率是由资本控制的效率决定的,资本控制是内部控制的核心。
3.2信息控制
随着集团规模的不断扩大,内部管理机构也不断膨胀,中间管理环节增多,管理链条的拉长造成生产要素的堆积。集团公司往往发现各项目公司之间的协调成本越来越高。
4建立有效的信息和沟通系统
4.1信息生成
针对财务信息和管理信息,集团公司应该制定较统一规范的信息生成程序,尽量周密地设定财务信息和管理信息的范围。使项目公司生成的各种信息更具实用性、合理性、可理解性。
4.2信息沟通
信息沟通的方式有政策手册、财务报告手册、备查簿,以及口头交流或管理示例等。信息沟通系统不仅要有向下的沟通渠道,还应有向上的、横向的以及对外界的沟通渠道。信息沟通不仅包括企业集团内部的信息沟通,还包括与企业集团外部,如客户、施工方、政府机构、所有者的信息沟通。
5强化内部审计和控制自我评估的监督作用
5.1集团公司对项目公司的内部审计
借鉴国外的经验,从理论上说,地产集团的内部审计在组织机构上可以构建几个层次的审计组织体系,以实现集团公司对项目公司的全方位监控。
内部控制的风险评估篇5
【关键词】资产评估行业协会;内部控制制度;评价指标体系
在市场经济健全的国家,行业协会、政府与企业被并称为“现代社会三大支柱”,它们在影响政府经济政策制定、开拓国际市场、改善工作环境和协调劳资关系等方面发挥着重要的作用。资产评估行业协会是专门对资产评估行业进行管理的行业管理机构,它是为了避免评估行业之间的不正当竞争,维护共同利益,进行自我协调、自我约束、自我管理,以自愿形式组成的非营利性社会团体,其主要职能是行业自律、协调和服务。资产评估行业协会内部控制是由协会理事会、常务理事会和其他工作人员实施的,为组织工作的效率性、财务报告的可靠性、相关法律的遵循性等目标的达成提供合理保证的过程。其构成要素应该来源于管理层组织协会工作的方式,并与管理的过程相结合。
一、我国资产评估行业协会内部控制现状
(一)我国资产评估行业协会对内部控制制度建设重视程度不够
长期以来,由于种种原因,我国资产评估行业协会对内部控制制度的作用普遍认识不足、重视不够,有的是未建立内部控制制度,没有成文的内部控制制度,或者是内部控制制度残缺不全、有关内容不够合理,比如较为重视协会与政府和评估机构的沟通,但忽视了内部控制结构的整体协调,从而导致资产评估行业缺乏明确的控制程序和标准。同时,我国资产评估行业协会也往往忽视内部控制制度的宣传,忽视控制程序和标准的制定,以及相关文化的形成,使得评估行业协会的工作人员缺乏对内部控制的了解。
(二)我国资产评估行业协会对内部控制的实施流于形式
现实中还存在另一种情况,即评估行业协会制定了内部控制制度,而且也较为全面,但仅仅停留在纸上而不执行、不落实,未能发挥有效作用来制约违章行为的发生,将已订立的协会内部控制制度“印在纸上、挂在墙上”,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,遇到具体问题多强调灵活性,使内部控制制度流于形式,从而失去了应有的刚性和严肃性。
(三)我国资产评估协会仍然受政府相关部门的影响
由于我国行业协会还没有完全与政府相脱离,或多或少的受政府相关部门的影响,资产评估行业协会也不例外,从而造成我国行业协会治理结构不完善导致协会内部控制体制不顺,比如协会内部出现多头领导问题,使内部控制执行不力;加上资产评估行业协会自身对内部控制不重视,缺乏内部控制理念,造成我国资产评估行业协会内部组织工作实施不顺畅。
二、资产评估行业协会内部控制制度建设的必要性
针对我国资产评估行业协会目前存在的诸多问题,建立和完善有效的内部控制制度就非常必要和紧迫。
(一)建立完善的内部控制制度是资产评估行业协会健康发展的需要
随着资产评估行业体制改革的深入,资产评估行业协会自逐步扩大,建立资产评估行业协会内部控制制度是随着本协会对内加强管理和对外满足社会需要而逐渐产生并发展起来的自我检查、自我调整和自我制约的系统,是资产评估行业健康发展的必然要求。内控制度可以合理保证协会有效进行组织工作管理,提供可靠的财务报告和其他信息,保护本协会财产的安全完整,保证有关政策、法律法规的贯彻执行,实现本协会的整体目标。因此要使协会内部各项活动健康和有序的进行,就需要建立完善的内部控制制度。
(二)建立完善的资产评估行业协会内部控制制度是资产评估行业协会防范管理风险的制度保障
风险导向型内部控制是现代内部控制的主要特征。由于我国评估协会或多或少的会受到政府有关部门的影响,其抗风险意识并没有提高到应有的高度或根本没有形成风险意识,更缺乏有效的风险管理与风险预警机制。由于近年来资产评估行业协会在我国经济体制中发挥着越来越重要的作用,其所处的内外环境也日益复杂多变,风险程度需要进行全面评估并据此进行适当的风险控制。资产评估行业协会的风险主要体现在制定资产评估行业的准入制度,审批资产评估机构、资产评估人员的执业资格以及内部管理机制的僵化和财务风险上。资产评估行业协会应针对风险控制点,建立有效的风险控制系统,通过风险预警、风险识别、风险评估、风险分析、风险报告等风险导向型内部控制制度,可以规避和防范资产评估行业协会的管理风险。
(三)建立完善的内部控制制度有助于维护社会公众利益
资产评估行业协会内部控制的完善程度决定了评估行业的发展状况,决定了能否在我国的评估行业中建立一个公正、公平的竞争机制。这个机制可以最大限度地调动评估机构的积极性,进一步提高其职业质量,规范评估操作程序,减少不必要的纠纷和诉讼,加强评估机构的抗风险意识。同时,完善的内部控制制度可以及时发现并高效传递和诚信有关的信息,有效地调动社会公众的积极性,形成对资产评估行业的外在有效约束机制,对于维护整个行业诚信建设无疑具有很强的现实意义,从而可以有效的维护社会公众利益。
(四)对资产评估行业协会内部控制的研究,有利于提升政府的治理水平
资产评估行业协会作为政府和评估机构的桥梁,必须开展好“双向服务”。评估行业协会可以通过加强其内部控制制度,快速高效地把行业的情况、评估机构的愿望反映给政府,为政府提供决策参考。
三、资产评估行业协会内部控制制度的构成要件
(一)控制环境建设
提高管理层对内部控制重要性的认识,建立并实施完善内部控制制度是资产评估行业协会管理层的主要职责之一。资产评估行业协会的核心是人及其环境,资产评估行业协会内部控制失效,经营风险、财务风险的产生,其责任主要是行为主体,只有领导层高度重视,才能结合本协会的实际情况,制定出一套行之有效的内部控制制度,并认真贯彻执行。通过健全、有效的内控制度制度,加强对资产评估行业协会管理者的内部监督,建立重大决策集体审批制度,以杜绝个别领导权力过大或集体循私舞弊行为。承担内部控制监督职责的资产评估行业协会财务人员,要加强职业道德修养,增强工作责任心和使命感,使内控制度能够更好地、更全面地贯彻落实。
(二)内部控制内容体系建设
内部控制制度包括内部会计控制和内部管理控制。内部会计控制固然重要,但内部控制理论和实践与管理控制也是分不开的。资产评估行业协会内部控制内容体系应以内部会计控制与内部管理控制为基本点,同时资产评估行业协会的环境、协会文化等控制环境因素与风险因素都应纳入资产评估行业协会内部控制的范围予以考虑。如果没有管理控制,会计控制既失去了基础,也失去了目标。而如果不考虑控制环境因素与风险因素,内控制度就会失去现实的履行基础和保障。
(三)内部控制评价指标体系构建
资产评估行业协会内部控制评价主要是对内部控制设计的完整性、合理性及有效性进行评价。如果说合理和完整的内控制度的设计及有效执行是保证监管部门或资产评估行业协会自身订立的内控目标得以实现的必要条件,那么这一条件客观上需要有一套指标体系来对内控制度的设计有效性和执行有效性作出评价。一是正确界定内部控制的目标,即考核资产评估行业协会所制定和执行的内控制度能否达到可靠性、合法合规性、经营效率和效果;二是以风险管理理念为基准评价内控制度,即在构建内控评价体系的过程中,应该以风险管理理念为基准,内控评价的重点应该是确认风险及测试管理风险的方法,在风险导向的内控评价中,分析、确认、揭示关键性的经营风险与财务风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这才是评估协会内控评价的焦点;三是内控评价体系应选取科学合理的标准,缺乏科学合理的评价标准而进行的内部控制评价,其结果不可能真实反映协会内部控制的健全和有效。
(四)充分发挥内部审计功能
内部审计是资产评估行业协会强化内部控制制度的最重要环节,在现行的资产评估行业协会体制下,有了科学管理的框架,要让管理得到强化,得到有效实施和不断完善,就需要内部审计的支撑。内部审计要对内部控制制度的建立和实施进行恰当的监督与检查,对内部控制系统的运行效果和质量进行审计测试与评价,及时反馈制度执行结果的信息并提出意见、措施和建议,使内部审计逐步由注重查错防弊的监督型向风险防范、增加价值、促进服务的管理型转变。
(五)强化外部监督与约束
强化外部监督与约束机制,充分发挥财政、审计等政府部门在建立完善资产评估行业协会内部控制方面的作用。尤其在资产评估行业协会管理者内部控制观念普遍淡薄的情况下,依靠政府的强制性与权威性,加强对资产评估行业协会内部控制的检查与监督,加大执法力度,增强威慑力,按照有关法律法规规范资产评估行业协会内部控制制度并使之有效实施,以形成有效的监督合力。同时鼓励与支持广播电视、报刊等新闻媒体对违法违纪行为曝光,以充分发挥舆论监督的作用。
为了加快培育和发展资产评估行业协会,使其更好的服务于评估机构,发挥其中介作用,完善的内部控制制度就成为必要条件之一。只有通过加强制度建设,实施有效监督,才能从源头上预防和治理腐败。内部控制制度是社会经济发展到一定阶段的产物,是现代企业管理的重要手段,同时也是行业协会加强其组织管理的重要手段,对于防范舞弊,减少损失具有积极的意义。
【参考文献】
[1]李若山,徐明磊.COSO报告下的内部控制新发展.会计研究,2005,(2).
[2]李珍刚.当代中国政府与非营利组织互动关系研究.北京:中国社会科学出版社,2004.
内部控制的风险评估篇6
随着金融体制改革的日益深化,建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代企业风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与企业风险管理的关系及内部审计如何参与企业风险管理进行了思考,并提出一些建议。
一、内部审计与企业风险管理的关系
风险是指发生对目标的实现可能产生的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,风险管理是现代企业管理的一项主要,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。
内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。
国际注册内审师协会对内部审计的描述是:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念已明确将风险管理作为内部审计的重要内容,现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。
在现代内部审计工作中,内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。
因此,作为现代企业管理的重要内容,内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。
二、内部审计在现代企业风险管理中的作用
在风险管理审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。
(一)内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。
对企业而言,对风险识别、防范和控制需要从全局考虑,而企业本身是多个部门的集合,各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学合理的建议,避免风险带来的损失。
所以无论是从全局工作还是实现总体目标的角度来看,内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴,对实现企业全面工作和总体目标将发挥及大的作用。
(二)内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。
从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,在现代企业公司治理构架中,内部审计往往隶属于董事会或审计委员会,直接向董事会负责,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。
(三)风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。
内部审计人员风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段中,审计通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助确定、评价并实施针对风险管理的和控制措施。
三、内部审计如何参与现代企业风险管理
内部审计可以从风险识别、风险评估、风险应对三个阶段参与企业风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。
(一)审查和评价企业风险识别的充分性和适当性。
风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性。
内部审计人员通过实施必要的审计程序,对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于国家法规及政策的变化、环境的变化、的快速、行业竞争、资源及市场变化、灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别,从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程,以风险敏感性为起点开展工作,有效识别风险,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险,并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损等。
(二)审查和评价企业风险评估的适当性和有效性。
风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,出风险值。
内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估,内部审计人员应当充分了解和掌握风险评估的方法,风险评估可以采用定性或定量的方法进行:定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验,以确定其是否恰当,对不恰当的评估予以更正。风险分析中,审计师不仅要关注风险的数量方面,还要关注风险的属性方面或其承载价值的后果。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,以评价风险评估方法的适当性和有效性,审查时重点考虑以下因素:已识别的风险的特征、相关数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。
(三)审查和评估风险应对措施的适当性和有效性。
风险应对是采取应对措施,将风险控制在组织可接受的范围内。完成了风险评估后,确定存在的风险以及它们发生的可能性,排列出风险的优先级,就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面:一是回避,是指采取措施避免进行可产生风险的活动;二是接受,是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;三是降低,是指采取适当措施将风险降低到组织可接受的范围内;四是分担,是指采取措施将风险转移给其他组织或保险机构。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查,对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。