企业内部控制风险评估范例(12篇)
企业内部控制风险评估范文篇1
一、新准则的风险导向理念是内控测试和实质性程序两者的有机整合
新准则框架体系全面渗透着审计理念。
首先提出了新的审计风险模型:审计风险=重大错报风险×检查风险,这一理论观念的转变,改变了仅仅重视审计风险的三项传统内容,引入了“重大错报风险”的概念,并规定识别和评估重大错报风险是首要的必要审计程序,设计和实施审计测试前必须适当的评估重大错报风险,不能为评估重大错报风险就直接盲目实施实质性程序,从而真正的让控制测试和实质性测试相互的关联,让控制性测试的结果决定实质性测试的性质、范围、数量和时间。因而将审计风险的控制和审计效率、效果有机的结合起来了。
其次新准则改进了审计业务流程,增强了审计程序的实施效果。从定量方面理解了控制性测试和实质性测试后将审计流程变为:
1、了解被审计单位及其环境。
先从被审计单位整体层次上对其内部控制的基本情况进行了解。掌握企业的性质、财务状况、信息与沟通要素中的会计系统以及监督系统中的内部审计、企业管理的目标战略、未来发展的思路。随着经济发展的日益复杂化,还要重视了解企业所处的外部环境和对其经营状况的影响:然后进行综合分析,评估在那些重要领域可能存在重大错报、漏报风险,在明确审计目标的基础上,确定总体应对措施,设计和实施进一步审计程序。
2、按照风险评估所划分的各个重要领域进行内部控制调查。
必要时控制测试目的是为了测试内控在防止、发现和纠正重大错报方面的有效性。并据此重新评估重大错报风险。
3、针对整体风险评估和内控测试发现的缺陷和薄弱环节合理分配审计资源,进一步设计、设施实质性程序。实质性程序的目的是发现重大错报,降低检查风险和整体检查风险。
再次,新准则的风险导向理念克服了原审计风险的计量模型侧重指导认定层的测试工作,把在内控测试中对企业环境变化的评估风险与实质性程序有机结合起来了。实务中,有些人仅局限在被审计单位提供的审计资料上“就事论事”,由于观念的问题,而使内控测试和实质性程序之间严重脱节,从而对整体审计工作缺少内在逻辑联系,缺少总体风险评价的细化措施而影响审计效率和效果。尽管原准则要求对固有和控制风险综合评估,据以作为检查风险的评估基础,但实务中很容易割裂两者的内在联系,使其留于形式,而只依赖对控制风险所做的粗放性评估或直接假定控制风险为百分之百,大体确定检查风险,在据此规划实质性程序,这样就难以保证被审计财务报表不存在重大错报的风险。
二、从定量方面理解和探析内控测试评价结果对实质性程序的影响
新准则要求CPA将风险导向的理念贯穿于审计的全过程,但在实务中仅靠风险评估程序是不足以为发表审计以及提供充分适当的审计证据的。因此,要在具体的审计实务中在经过内控测试或风险评估后的基础上实施进一步实质性程序,获取足够的审计证据来支持审计意见,减低审计风险。随着审计理念的更新,我们在具体的审计方法上也应有不断的改进和提高,而CPA在实务中从定量的角度来探析"内控测试和实质性程序"间的内在联系和影响,以更好的获取重要的充分的审计证据,提高审计的效率和效果是很必要的。
1、在审计准备阶段内控测试和实质性程序间的联系和影响分析。
CPA按新理念改进后的业务流程,在准备阶段针对被审计单位整体控制环境、监督要素和风险评估的结果,将风险发生的可能性不仅从论定层上将该风险水平归结到相关账户中去,作为制定交易类别或账户余额实质性测试计划的依据,还从整体层面上以企业管理目标、经营计划和财务报告的相关内容联系起来,据以确定将要实施的实质性程序的性质、范围、时间和重点,为编制审计方案提供科学的依据。如:被审计单位的外部环境(市场占有率、宏观政策、行业地位等)处于激烈的动态变化中,企业的经营战略、企业领导人的素质等内在固有风险都可能引发企业粉饰或隐匿财务信息的审计风险,CPA将据此确定为实质性测试的重点领域。
2、在审计实施阶段内控测试和实质性程序间的联系和影响分析。
CPA以在准备阶段对被审计单位内外环境因素和控制制度进行了调查、分析和风险评估,确定了重点领域和审计方案,在实施阶段通过实施内部控制测试,可进一步了解被审计单位内部控制的实际执行情况和有效程度,并对控制风险水平进行再评估。如遇准备阶段对控制风险水平的初步评估有出入,则需要对原审计方案确定的审计程序和方法进行适当调整。但面对现代企业经济的发展,被审计单位规模的扩大,业务量的增大,加之审计资源的限制,CPA已不可能对被审计单位所有的交易事项进行详细审查,只能在测评内部控制的基础上,如果认为被审计单位内控制值得信赖,则使用抽样的方法开始实质性测试。这样不但可以在实务中减少审查业务和凭证账册的数量,还可以是审计抽样范围和规模的确定更具科学性,增加审计判断的准确性,合理控制审计风险,从而减少了审计工作量,节约了审计成本。此外,通过将内控测试中发现的控制弱点作为实质性程序的重点审计领域,既合理分配了有限审计资源,又可提高工作效率,保证审计工作质量。
如果被审计企业所处的内外环境复杂,例如财务状况不佳,企业所处的行业受市场经济的影响,或产品的技术含量被新的技术所淘汰,在这种情况下,CPA首先要注意到企业的内控制度的完善程度、执行的有效性,通过对公司内控制度的测试,对公司的固有风险进行分析,但是分析固有风险不能仅仅局限在公司提供的内部情况上,应扩大审计取证的范围,要具体考察企业的实际控制人的情况,结合产品交易价格的公允性情况来对企业的内部控制进行分析。再就是要结合企业历年来的经营状况进行综合性的趋势分析,全面了解和对企业固有风险影响因素的评价,把握住住需要重点实施的实质性检查程序的真正高风险领域,从而达到规避审计工作的整体风险。
三、新的审计准则下如何应对存在问题
在新的审计准则中提出了新的审计风险模型:审计风险=重大错报风险×检查风险转变的认识,改变了仅仅重视审计风险的三项内容,从而真正的让控制测试和实质性测试相互的关联,让控制性测试的结果决定实质性测试的范围、数量和时间,从而将审计风险的控制和审计效率结合起来。
1、改进了审计业务流程,增强了审计程序的实施效果。从定量方面理解了控制性测试和实质性测试后,将审计流程变为①了解被审计单位及其环境;②必要时控制测试目的是为了测试内控在防止、发现和纠正重大错报方面的有效性,并据此重新评估重大错报风险;③实质性程序目的是发现重大错报,降低检查风险。
2、引入“重大错报风险”概念,并规定识别和评估重大错报风险是首要的必要审计程序,设计和实施审计测试前必须适当地评估重大错报风险,不能未评估重大错报风险就直接盲目实施实质性程序。新的风险准则及模型为主并以评估重大错报风险为导向、最终将审计风险控制到可接受的低水平的最新风险导向审计理念,也是对有些会计公司曾实行的以评估客户经营风险为起点和重心的风险导向审计法的校正。CPA从多方面了解并评估重大错报风险,包括了解客户的目标和战略以及可能导致财务报表重大错报的相关而非全部经营风险。
3、重视审计企业的外部环境的变化。
随着经济发展的日益复杂化,审计的重点仍然局限在审计风险的三个部分,已经远远不能适应新的环境下的要求,在新的审计准则下,CPA被要求分析企业的外部环境,例如市场占有率、宏观政策、行业地位、控制方等,此外还有考虑企业的战略、企业领导人的素质、未来发展的思路等,将企业放在一个动态的环境下考虑,将避免静态化下出现的审计风险。
4、出现一些特殊情况的处理。
在审计实务中仅靠风险评估程序是不足以发表审计意见以及提供充分适当的审计证据的,因此要在具体的审计实务中,在经过内控测试或风险评估后的基础上,如何实施进一步实质性审计程序,获取足够的审计证据来支持审计意见,减低审计风险。
(1)如果符合性测试的工作量和成本费用大于实质性测试的情况下,就要放弃符合性测试,直接进行实质性测试,或者进行少量的穿行测试,通过简单的符合行测试,对企业存在的风险点进行提示,为实质性测试提供方向。
企业内部控制风险评估范文篇2
[关键字]合理规划内部控制绩效评价
内部控制绩效评价是企业发现内部控制设计的运行缺陷,抵抗风险能力的有效评估方式。企业管理层通过绩效评价提高企业内部控制建设中的主动性和约束性,将企业引入正规,加大监管力度。就投资者而言,企业绩效评估的内部控制状况是判断企业是否规范,评估投资风险的重要依据。企业内部控制的规范,在一定程度上可以指导企业的战略目标及未来前景。
一构建企业内部控制缋效评价体系的指导思想
目前,在我国企业内部构建绩效评价系统还处于起步阶段。根据发达国家构建绩效评价的先进经验,对我国现代化企业制度的完善有很好的借鉴作用。企业内部绩效评价的理论主要有两个模式:第一种模式是在保证财务报告的可靠性的同时,根据财务编报制定符合会计原则的控制程序,其设计的总体规划由高层管理者决定和执行。管理层通过内部审计系统对外部公开评价报告,并对管理当局的有效性评价发表见证意见。第二种模式是企业董事会构建的企业内部控制下的绩效评估体系。董事会成员对内部控制进行定期的绩效评价并作出相应报告。报告中必须指出内部控制系统存在的风险,并提出防范意见。董事会制度下的内部控制绩效评价不需要对内部控制的有效性进行说明。注册会计师只需对董事会的绩效评估系统进行审查,不需要出具有效性报告。
基于以上两种绩效评估系统,笔者根据我国企业内部控制的现状。借鉴两种模式的成功经验,提出了构建我国内部控制绩效系统的指导思想,即立足国内外市场环境,通过制定强制性规范,以全面内部控制评价为基础,明确风险意识,以董事会内部评价责任为主要考核方式,依据导向性、成本效益,要充分体现风险意识,制定具有前瞻性、科学性及公正性的内部控制绩效评估系统。
二构建企业内部控制绩效评价原则
1.以企业内部控制规范作为内部控制绩效体系的制定依据。我国企业内部控制规范是以企业董事会、监理会、经理层及全体员工为主题,以实现控制目标为目的的企业内部控制行为规范。它规定了企业内部控制的意义和内涵,是广泛意义上的内部控制。依据此原则,我国企业在制定内部控制绩效评价体系时首先要体现企业内部从高层管理到员工的参与过程控制,其次要提高标准合理的保证企业管理者的合法合规、财务报告数据真实可靠、企业内部的资产安全,促进企业实现既定的发展战略,确保评估系统的实用性、科学性和前瞻性。所以,企业在制定企业内部控制绩效评价系统时都应与企业内部控制规范相一致,将绩效评价涵盖所有环节及部门,充分体现公平性,而不仅仅是简单的财务内部控制。
2.通过强制规范制定绩效评价系统。借鉴国外内部控制绩效评价系统的制定。我们可以看出内部绩效评价规范具有一定的强制性。我国的经济环境正处于转轨时期,企业的投资环境不稳定,市场机制不够健全,企业内部控制环境不尽相同,抵御市场风险的体质参差不齐。所以,大部分企业实行内部控制绩效评估没有主动性,构建和运行评价上没有创新性。绩效评价系统指导规范的强制性是实行的可靠保障。强制性的规范可以保证系统体制的约束力,减少执行时的成本,且能够确保企业增强内部控制意识,有效的减少风险成本,提高企业的战略的实施价值。
3.构建风险意识下的企业内部绩效评价。企业的内部控制绩效评价根本目的是减少经营风险。内部控制的风险管理是绩效评价的重要内容,它包含在系统中,并贯穿始终。在制定企业内部控制绩效评价时要将风险意识应用到战略的高度,识别可能的潜在意识,使内部控制游刃有余的驾驭风险,为企业战略目标的实现提供。企业内部在构建时,要通过风险导向的内部绩效评价确定重点领域的关键问题,在提高控制评价的基础上,最大程度的结余内部控制度的评价成本。
4.构建具有科学性、前瞻性的内部控制评价体系。内部控制的绩效评价是企业行为的技术方法,在内容上具有科学性和前瞻性。企业在制定内部控制评价系统时要随市场的变化及自身的缺陷随时变化,实时更新,保持与时俱进的现实指导意义。企业内部控制评价系统的设计、执行控制及评价都是在一定的环境下完成的,从制定的准则上,定期对颁布的报告进行效果评估,及时补充或更换条款,一方面可以让公司管理层进行风险评估,另一方面防止过时的条款的阻碍。所以科学性和前瞻性在制定内部控制绩效评价系统中具有相当的指导意义。
三根据内部控制目标的实现评估内部控制有效性
企业内部控制风险评估范文篇3
[关键词]风险导向审计内部控制审计风险风险防范与控制
一、风险导向审计理念
随着市场经济的发展和企业环境的变化以及经济发展全球化,现代企业所面临的商业环境和市场竞争的不确定性越来越大,企业处于高风险的经营环境之中,风险已成为影响企业目标实现的重要因素。正是因为风险的存在,风险导向审计成为一种新的审计理念和方法已经成为必然,在理论和实务中体现了它的科学性和有效性。
二、风险导向审计的特点
(一)审计重心前移
风险导向审计最大的特点是将审计重心放在事前的风险评估上,从以审计测试为中心到以风险评估为中心,审计程序主要包括风险评估程序、分析性测试程序、审计测试程序(包括控制测试和实质性测试)。传统审计不能适应现代报表审计需要就在于其原有的风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足,现在大大加强了风险评估程序,真正体现了风险导向审计的理念。
(二)更加注重外部审计证据
审计重心向风险评估转移导致风险评估程序显得至关重要,风险评估准确与否将直接影响到审计效果和审计效率。风险评估在一定程度上带有一定的主观性,但必要的是审计证据是必不可少的,尤其是更加客观、真实的外部证据。所以,审计人员在搜集审计证据时不应只采用内部证据,而应更努力地获得相关的外部审计证据来对风险进行评估。
(三)在各个阶段都利用审计风险模型作出决策
在风险导向审计中,审计人员在各个审计阶段,都分别以审计风险模型为主,分析评价各自的期望审计风险、固有风险、控制风险和检查风险,并在此基础上作出各项决策,从而能够全面控制审计风险。
(四)风险导向评估贯穿于审计工作的全过程
风险导向审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。
三、风险导向审计的实施方法:
风险导向内部审计在实施环节必须选择适当的审计方法。传统内部审计在开展审计业务时往往从直接测试内部控制人手,而风险导向内部审计应关注各项风险因素是否得到适当管理,同时在实施审计时,通过舞弊评估、有针对性的调查、运用适当的检测和证实风险的技术与方法来降低企业风险
四、内部控制审计目标
内部控制的目标是确保单位经营活动的效率性和效果性、资产的安全性、经济信息和财务报告的可靠性。其主要作用:一是有助于管理层实现经营方针和目标;二是保护单位各项资产的安全和完整,防止资产流失;三是保证业务经营信息和财务会计资料的真实性和完整性。除此之外,保证单位内财务活动的合法性也是内部控制的目标。
五、风险导向审计与内部控制评审的结合的必然性
2006年2月15日财政部颁布了“中国注册会计师执业准则”,全面引入了风险导向审计的理念。标志着现代风险导向审计在我国进入实施阶段。
2008年金融危机爆发,企业面临的风险和不确定性与日俱增,就我国的不少企业而言,至少存在着经济下滑风险、盲目投资风险、现金流风险、做假账风险、政策来回忽悠变动的风险等等。
1、内部控制与风险管理已趋于融合。
在风险理念的作用下,企业内部控制已扩展为企业风险管理框架,内部控制与风险管理已趋于融合。因此,可以说对风险管理的促进作用,是建立在企业内部控制的同时得到改善和促进基础之上的,两者是互相促进的。可见,内部控制是内部审计的基础,也是风险导向内部审计进入公司治理、风险管理的基础。
2、风险因素在内部控制评审中的体现
企业的内部控制通过识别和管理风险为战略目标的实现提供合理保证,风险因素体现在内部控制各个要素之中:
(1)内部环境,是其他所有风险管理要素的基础,是风险的源泉;(2)目标制定,是管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实,是风险容量的确定;(3)事项识别,是对风险的甄别;(4)风险评估,是对风险的度量;(5)风险反应可以分为规避风险、减少风险、共担风险和接受风险四类,是应对风险的策略;(6)控制活动,是帮助保证风险反应方案得到正确执行的相关政策和程序,是对风险的控制;(7)信息和沟通,是风险控制的保障;(8)监控,是指评估风险管理要素的内容和运行以及一段时期执行质量的一个过程。
3、风险导向审计与内部控制评审结合的特点
(1)目标:内部控制评审的主要目标已经从查错防弊,保护资产安全,逐渐转向事先发掘问题、改善经营管理、促进经济效益。风险导向审计与内部控制评审的有效结合,具有特别重要的意义,不仅是企业内部控制的主要目标,而且应是企业内部控制的核心要素和轴心工作。
(2)对象:风险导向内部审计是以风险管理、控制和公司治理为审计对象的。由于受托责任范围的扩大,内审对象的范围也随着内审的发展而逐渐扩大:从最初的会计、财务事项到进一步涉及各种经营活动业务的效益审计、预算管理审计和内部控制等审计对象
(3)审计方法:风险导向内部审计基本方法包括审计风险评估、分析性测试、控制测试、业务实质性测试、余额细节测试等。对于有证据表明风险较低的领域,应依赖内部控制或分析性复核;对被认为风险较高的领域,实施大量的实质性测试和余额细节测试,使审计手段与审计目标更好地结合在一起,提高审计的科学性、针对性和绩效性。
六、风险导向内部审计模式下应对内部审计变化的相应对策
如上所述在风险导向内部审计模式下,审计工作重心和审计关口都发生了变化。面对这些变化,内部审计应该积极地采取相应的对策,争取在变化中求得更大的发展。
(一)努力提高内部审计人员的胜任能力
内部审计过程的变化要求内部审计人员要熟悉企业的目标、战略和计划,了解经营管理的各项职能,具有评估风险的能力,只有这样才能为企业的董事会和高级管理层提供他们所需的服务。因此,内部审计人员必须具有广博的知识和多元化的技能。
(二)推广计算机审计
随着会计电算化的日益普及,审计手段由传统的手工审计逐步走向计算机审计。计算机审计可以使审计人员及时地审查企业的各种信息,对内部财务信息系统及会计工作实施有效监控与评价,对企业资金、各种资产进行密切跟踪,从而有利于评估风险以及实现事前、事中、事后审计。
七、结语
内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂,企业不可避免地会遇到各种风险,因此企业应建立风险管理机制,以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出,不论是1992年的《内部控制――整体框架》,还是2004年的《企业风险管理――整体框架》,均把风险管理作为主要的内部控制要素,强调识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。可见,内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
参考文献
[1]陈毓圭.关于风险导向审计方法由来与发展的认识.会计研究.2004.
[2]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社.2004.(12)
[3]郭化林.候日敬.金惠新.企业内部审计现状的调查与分析[J].河北职业技术师范学院学报.2002(1)
[4]企业内部控制基本规范.
企业内部控制风险评估范文
(一)对云服务提供商依赖性强企业在采用云服务(包括共有云、私有云和混合云)之后,云服务提供商会针对云技术使用者采用专用工具编写软件,并在特定的解决方案架构上运行,数据存储的结构等也与专用服务软件或架构等相适应,而企业经营管理过程中使用的其他相关软件中数据的存储结构等不一定与云技术中软件的数据存储结构一致,当企业需要将云端获取的数据与其他数据相结合进行加工时,必然使云解决方案中的软硬件及数据结构不便与其他软件等兼容。此外,云服务使用企业选定了云服务提供商之后,由于云服务提供商掌控着企业所需的软硬件及相关资源,并且云技术使用企业建立的组织机构与相关业务流程等也是在云解决方案的基础上进行的,企业更换云服务提供商的成本会非常高。因此,云技术使用者一旦选定了云技术服务,便对云服务提供商产生了一定的依赖性,这种依赖性越强,云服务使用者更换云服务提供商的可能性就越低,成本与风险就越高。
(二)企业对于云技术系统中的数据等资源缺乏主控能力一方面,多租户云环境的本质决定了云数据存储会存在“地点盲区”,即如果云服务使用企业的数据是存放在私有云之外的云端,那么企业无法获取数据的现存地点或者是曾经存放的地点。另一方面,企业在采用云技术服务时,数据都是存储在不受企业自身直接控制的外部硬件上,而硬件都是云服务提供商控制的。因此无论云服务使用者采用哪种具体的云解决方案,他们可能都无法获取或检查系统的网络运行和安全事件日志。这些都使得企业对于云技术系统中的数据等资源缺乏主控能力,存在不同程度的风险。
(三)云技术系统中的数据安全性面临极大挑战在云计算技术环境下,虽然企业可以随时凭借密码等方式查询相关数据,但是却无法直接有效地确认数据有没有被损坏、删除或修改,或者有没有被云服务提供商从一个服务器迁移到另一个服务器上。此外,在共有云与混合云的部署方式下,为了满足多租户应用操作的需求,各租户的敏感信息一般都是以明文的形式储存在云端,非完全可信的云服务提供商可能会监守自盗,租户的敏感数据面临极大的泄露风险。同时,当存储于同一云端的多用户数据中的其中任何一个用户的敏感数据成为黑客攻击对象时,云服务使用企业的数据极有可能会面临连带的泄露风险。
二、基于云计算的风险导向审计模式下的审计风险辨析
风险导向审计的基本思路是以审计风险的分析评估为基础制定审计程序,确定会计资料的审点和抽样规模,以验证财务报表是否真实公允。其最大的特点便是审计所面临的风险是注册会计师决策编制审计程序的依据,注册会计师通过对审计风险的量化和控制确定审计证据的充分性和适当性。因此,审计风险分析是风险导向审计实施的重要前提和保证。
(一)传统风险导向审计模式下的审计风险辨析在风险导向审计的理念下,审计风险主要来源于几个方面。首先,审计风险会受到企业的固有风险因素的影响,即被审计单位经营过程中所固有的风险,比如管理人员的品行和能力、企业所处社会经济环境等导致的风险。其次,审计风险受到内部控制风险因素的影响,即账户余额或各类交易存在错误,但内部控制未能控制或发现而存在的风险。第三,审计风险受到注册会计师实施审计程序而仍未能发现账户余额或各类交易存在错报风险的影响。
(二)基于云计算的风险导向审计模式下的审计风险辨析如上所述,接受云技术服务的企业所面临的风险产生了巨大的变化,审计对象相关风险的变化必将影响到注册会计师的审计风险。因此,作为审计人员应该能够识别云计算给企业带来的风险演化为审计风险的可能性,辨识不确定性因素以及隐藏其中的风险,在评估风险时采取针对性的措施。1.在评估审计风险时,应扩大固有风险评估的范围在云计算的商业应用中,除了部分的私有云之外,其他绝大多数云解决方案都使得企业对云解决方案中涉及的软硬件以及数据缺乏直接的管控。因此,在评估审计风险的固有风险时,除了要针对传统的固有风险的影响因素进行评估之外,必须要将云技术服务引发的风险作为评估的固有风险之一。首先,对企业所采用的云服务交付模式进行风险评估。一般来讲,企业采用的云服务模式不同,其自身的控制权就不同,从而企业的固有风险也不同,它们之间的关系如图1所示。在基于私有云的IaaS模式下,企业自身保留的控制程度相对较高,其固有风险相对较小。反之,在基于公共云的SaaS模式下,企业自身的控制程度较低,从而其固有风险较高。因此,注册会计师在对企业的固有风险进行评估时,需要对企业采用的云服务交付模式进行风险评估,确定固有风险。其次,增加对签约云服务提供商以及共同租户的风险评估。一是要对签约云服务提供商可能引发的对企业的连带风险进行评估,包括签约云服务提供商对云技术的掌控程度、其控制环境的稳定性、对数据存储控制的安全性和合规性等方面。二是要对处于同一云计算技术系统中的其他租户隐含的可能会关联本企业的风险进行评估,包括其他租户云技术使用的稳定性、敏感数据被攻击的可能性等。第三,对采用云技术服务的企业管理人员及相关人员的云技术相关知识与能力进行风险评估。企业管理人员及相关人员在整个云计算技术的营运过程中起着关键性的主导作用,如果企业管理人员及相关实施人员对云技术毫无所知或者对云技术的使用非常抵触,那么云技术使用企业的固有风险必然随之增加。因此,在评估采用云技术服务企业的固有风险时,应增加对管理人员评估的内容,采取问卷调查法、座谈法等对管理人员及相关实施人员对采用云计算技术的态度以及对云技术相关知识的掌握,尤其是云技术产生的风险及对风险的识别与控制能力进行详细了解,确定其人员方面的固有风险。2.对被审计单位基于云计算环境的内部控制风险进行评估笔者认为,云技术的使用会影响到注册会计师在对被审计单位内部控制风险的评估,包括内部控制环境、风险评估、控制活动、信息沟通和监督五个方面。(1)云技术的使用使得企业的内部控制环境发生了变化。传统的内部控制环境风险评估一般包括对员工职业道德和胜任能力、董事会及监事会的参与、管理理念与经营作风、组织机构、权力和责任的规定等方面的评估,企业采用云技术之后,注册会计师评估被审计单位的内部控制环境时需要增加对云技术应用引起的内部控制环境新变化可能带来的风险进行评估。一是应增加对员工在云技术应用与风险控制方面的胜任能力的风险评估;二是增加对云技术应用引起的组织机构变化方面的风险评估,比如企业不需要单独的IT部门与相关的运行软硬件,数据计算与存储的软硬件以及数据集中在云端由云服务提供商进行维护、管理;三是权力和责任的规定方面应增加对企业与云服务提供商之间在云服务协议中规定的各种权力和责任可能引起的风险进行评估。(2)注册会计师应针对云计算环境下企业对内部控制的风险评估进行再评估。风险评估即确定什么地方可能出错,会有什么影响。通常认为风险来自经营环境的变化、采用新的信息系统、新技术的应用等。云计算技术的应用带来了企业经营环境的重大变化,并且对企业的组织机构设置、业务流程、人员的权责分工等多个方面都产生了深刻的影响。因此,注册会计师应合理评估企业在采用云计算新技术后有无合理针对云计算技术带来的变化进行有效的内部控制,并基于云技术风险对这些内部控制措施的全面性、有效性等进行风险评估。(3)在控制活动方面,应增加对企业针对云技术应用引起的风险所采取的措施和行动方面的风险评估。包括针对云技术应用加强人员对于云技术知识的培训与风险识别能力的培训;针对云技术应用的新模式重组业务流程以控制云技术应用流程中可能存在的风险;对于存储在云端的数据有合理有效的保密、安全措施;与云服务提供商之间责权明确,能有效控制云服务提供商对本企业数据计算与存储的安全。(4)加强对企业人员与云技术服务提供商之间的信息沟通的风险评估。在云计算环境下,企业所处的信息化环境有别于传统的信息化环境,即企业的软硬件以及数据都存储在云系统中,由云技术服务提供商管理,因此,企业人员能够及时与云技术服务提供商进行有效的信息沟通,并将获取的信息及时与企业内部其他部门和人员进行沟通将是影响云技术应用企业内部控制风险的一个重要因素,从而注册会计师能否正确评估被审计单位在云技术服务过程中的信息沟通风险成为影响审计风险评估的重要因素。(5)加强对企业云计算环境下内部控制监督措施的风险评估。采用云技术服务的企业由于其对云技术服务商的依赖以及云计算技术自身存在诸多潜在的不易发现的风险,企业对云计算环境下的内部控制措施的有效监督是内部控制实施的必要条件,是影响内部控制风险的重要因素。因此,注册会计师必须对企业云计算环境下内部控制监督措施的合理性、有效性进行风险评估。包括企业对基于云计算技术应用风险的内部控制有没有合理有效的监督措施,这些措施是否得到有效实施。3.对被审计单位在云计算环境下实施的审计程序进行风险评估审计程序是指注册会计师在审计工作中可能采用的,用以获取充分、适当的审计证据从而用以发表恰当的审计意见的程序,而云计算技术的应用使得传统的审计程序无法充分、适当地在云计算环境中获取审计证据。因此,在云计算环境下,注册会计师能否针对云技术实施有效的审计程序,以及从云技术服务提供商的云系统中获取充分、适当的审计证据是影响审计风险的新生因素。注册会计师必须针对云计算应用技术构建或是改进审计程序:一是基于云技术调整审计程序的具体实施步骤;二是针对云计算技术环境改进审计程序中的个别环节,比如内部控制测评、运用审计方法获取审计证据、实质性测试所需的审计技术与方法等。
三、结束语
企业内部控制风险评估范文
【关键词】企业发展内部控制财务会计
一、企业内部控制常见的问题
企业内部控制的合理与否,直接关系到财务会计信息质量的水平。而内部控制的环境、风险评估和监督,是导致会计信息失真的罪魁祸首,笔者根据实践的工作经验,对问题总结如下:
(一)内部控制环境的问题
首先是企业缺乏诚信道德价值观念,使得编制会计信息的时候,做出违反诚信道德的行为。其次是公司治理结构的不完善,没有良好的董事制度作为支撑,影响经营决策的效果和会计信息的质量,同时也难以有效监督企业的管理层。再次是企业的人力资源政策不科学,没有足够的财务人员,财务人员不精通会计准则,难以胜任内部控制工作的提出要求。
(二)内部控制风险评估的问题
企业的内部控制离不开科学有效的风险评估,只有将风险控制在一定的范围之内,才能够提高会计信息的质量。但由于企业风险管理意识淡薄,对于市场需求的分析过于乐观,而忽略了风险因素,给企业的运营发展埋下了祸根。另外,风险评估方法滞后,很多企业没有系统性的风险评估系统,对于风险的识别存在太多的随意性。企业内部控制风险评估的力度不足,使得企业的内部控制工作不能够有效开展,势必影响会计信息的质量。
(三)内部控制监督的问题
内部控制监督是减少财务信息编制随意性的有效措施。内部控制缺乏监督,管理者就有可能滥用会计政策进行估计,影响会计信息的真实性和可靠性。目前很多企业的内部控制监督缺乏力度,存在严重的内部人控制现象,譬如董事长和总经理兼任,也就是董事长行使总经理的职权,没有人对其有效的监督管理,对内部控制工作开展产生不利的影响。
二、企业内部控制工作的相关对策
(一)内部控制环境的建设
企业的内部控制环境,关系到内部控制制度的建设,同时影响到会计信息质量的高低,因此需要建设内部控制环境:
1.企业诚信道德价值观的强化
内部控制需要以诚信道德价值观作为其灵魂,以减少会计舞弊行为的出现。企业加强诚信道德价值观的建设,首先需要以企业高管作为切入口,以管理者对诚信道德建设的支持态度,以身作则地宣传诚信道德价值观;其次是建立企业的道德行为规范,并通过宣传,将道德规范的内容下达给每一个员工,要求所有人共同遵守;再次是建立会计行为的激励机制,鼓励员工共同遵守诚信道德规范,同时对于违反规范者,给予一定的处罚。
2.企业治理结构的完善
企业内部控制需要更多的治理层参与到财务报表编制工作中,以提高会计信息的质量。首先是独立董事选聘制度的建立,通过累计投票的方式,选取独立的董事,同时聘请专业的机构评价独立董事的声誉,以规范独立董事的行为。其次是减少企业内部人控制的行为,明确相关的职责和权限,同时监督经营者权利行使的行为。再次是对内部控制与治理结构的关联性进行强化,提高内部控制和治理结构的衔接能力,为内部控制的有效实行提供健全的治理环境。
3.人力资源政策的科学规划
人力资源是内部控制质量提高的基本条件之一,没有足够的内部控制人员,内部控制人员没有丰富的知识,将无法有效开展内部控制工作。人力资源政策的科学规划,一方面结合企业运营发展的要求,制定与发展战略匹配的人力资源计划,做好员工招聘、筛选、培训等工作,提高员工的综合素质,另一方面建立完善的薪酬体系,加强内部控制工作的考核,以及激励的手段,有效提高员工的积极性,提高员工在内部控制方面的凝聚力和向心力。
(二)内部控制的风险评估工作
企业内部控制的风险评估工作,主要是针对时刻变化的内部环境和外部环境所带来的风险,这些风险在很大程度上降低了企业会计信息的质量。因此,我们需要对企业内部控制工作所面临的风险进行有效评估。
1.风险管理部门的设立
企业的风险管理部门主要负责对内部控制工作风险的评估。风险管理部门在企业发展的高度上,识别、评估和控制企业各个部门、各种业务、各类产品的风险。设立风险管理部门,主要是为了提高风险评估工作的独立性,减少管理层对内部控制风险评估工作的干涉。
2.风险识别评估技术的引进
内部控制的风险评估,离不开先进的风险识别和评估技术。一方面,企业应该建立风险评估的模型,将各种可能存在和出现的风险罗列出来,然后针对各种风险进行全面的评估。另一方面,企业应该采用统计的方法,量化所识别的风险,尤其是随着企业规模的扩大,企业更要注重对新上市产品的风险评估,引进适合企业内部控制工作的风险识别、评估方法,提高企业风险识别的覆盖范围。
3.建立风险管理委员会
针对客户的资信问题和交易程序等事项进行审批,委员会要设置专门的风险管理岗位,委派专业的风险管理人员负责,严格控制授信的额度,以提高内部控制的质量。
(三)内部控制的监督
企业会计信息质量的提高,需要持续性地提高内部控制工作的水平,而内部控制工作的持续性开展,离不开内部控制有效的监督。通过内部控制监督,可以有效提高企业内部控制的自我调节能力,促使内部控制工作的有效进行,以获得高质量的会计信息。
1.内部控制工作的监督,需要重视审计委员会的作用。企业需要设置审计委员会,保证审计委员会正常履行职责,这样才能够提高内部控制监督的有效性。在设置审计委员会的时候,要确保委员会的规模和企业的规模、业务的复杂程度相匹配,并配置足够的管理人员。
2.对审计委员会在内部控制监督方面的工作职责进行细化,以制度的方式,提高内部控制制度的系统性和有效性,并纠正逾越内部控制工作的行为。审计委员会有权利质疑企业高层的权威,并评估舞弊的可能性。
3.提高内部审计人员的专业水平。我们可以在审计委员会之下再设置下级机构,专门负责提供信息给委员会,这样通过内部审计人员的信息传递,审计委员会就可以充分了解内部控制的情况。与此同时,我们需要加大对内部审计人员的培训力度,提高他们的知识水平和专业技能,同时要求他们掌握相关的法律知识、经济知识和财务知识,这样才能提高洞察内部控制风险的能力,并督促及时解决内部控制的问题。
三、结束语
综上所述,企业内部控制的合理与否,关系到财务会计相关数据的真实性、完整性和准确性。而内部控制存在的控制环境、风险评估和监督三方面的问题,对内部控制工作开展产生不利的影响。因此,我们需要针对内部控制环境、风险评估和监督三个方面的问题,一方面是完善企业的内部控制环境,强化企业诚信道德价值观、完善企业治理结构和科学规划人力资源计划,另一方面是提高企业内部控制风险评估工作的科学性,以及加强内部控制监督工作的开展,这样才能够持续有效地开展内部控制工作,提高会计信息的质量。
参考文献
[1]张健.浅谈企业内部控制存在的问题及对策[J].财经界,2009(06):150-151.
[2]孟雪严.浅析企业内部控制中存在的问题及对策[J].中国集体经济,2010(10):63.
[3]任华.我国企业内部控制存在的问题及对策[J].山东纺织经济,2010(03):42-43.
企业内部控制风险评估范文篇6
关键词:内部控制问题完善策略
当前企业竞争环境不断恶化,经营风险快速攀升,这凸显了内部控制的重要作用,目前我国企业在内部控制方面普遍存在经验不足、能力不足的问题,内部控制的薄弱拖累了企业的经营管理水平以及风险控制能力,这给企业的健康发展带来了严重的隐患。在内部控制机制不完善给企业发展所带来的危害越来越严重的情况下,亟需企业在内部控制机制方面不断努力,力争实现内部控制机制的完善,从而为企业的健康发展提供良好的保障。
一、企业内部控制概述
(一)内部控制要素
内部控制包括五个方面的要素,即内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正,这五个要素相互影响,环环相扣,任何一方面的薄弱就会影响到内部控制效果。企业内部控制环境主要包括组织架构、权责设置、企业文化、人力资源等等,风险识别评估是指通过风险预警体系、风险识别手段对于企业潜在的经营风险进行分析评估。内部控制措施是指采取措施来进行风险应对,信息够沟通交流是指收集、传递与内部控制相关的信息,监督评价是指监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
(二)内部控制原则
内部控制具体原则主要包括以下几个:一是全面性原则,即内部控制需要企业内部每一个部门、每一个员工配合、参与;二是审慎性原则,即内部控制要做到防患于未然,主动进行各种潜在风险的识别以及分析,力争将各种风险消除在萌芽状态;三是动态性原则,内部控制需要进行不断的调整,确保内部控制的有效性。
(三)内部控制作用
内部控制的主要作用主要包括以下几个方面:首先内部控制可以有效的提升各种会计资料的准确性以及可靠性,通过内部控制可以减少会计资料失真的情况;其次可有效的防控企业经营风险,企业经营管理中客观存在各种风险,这些风险对于企业来说有着各种危害,通过内部控制可以有效地控制这些风险,减少企业经营风险危害;最后就是有力地贯彻企业的经营战略方针,通过内部控制纠偏,实现企业战略方针的顺利实现。
二、企业内部控制机制问题
当前企业内部控制机制存在的问题主要是集中体现在内部控制环境不理想,信息沟通反馈不完善以及风险评估应对不科学等几个方面。
(一)内部控制环境不理想
企业内部控制部环境是否理想直接影响内部控制效果,很多企业并没有根据内部控制机制完善的需要来进行内部控制环境的优化,具体来说主要就是内部治理加固不科学、权责分配不够制衡不够、企业文化建设落后、人力资源队伍薄弱等等,这些问题都导致了企业内部控制环境的不够理想。
(二)信息沟通反馈不完善
企业内部控制机制方面的又一问题是信息沟通反馈机制不完善,内部控制工作开展需要有一个完善的信息反馈沟通渠道,确保相关部门能够实施共享这些信息,提升内控决策的科学性。现实情况是很多企业信息沟通反馈不完善,存在诸如沟通反馈渠道不通畅、沟通反馈层次过多等一系列的问题,这导致了内部控制相关信息很难做到充分共享,从而严重影响到内部控制决策正确性。
(三)风险评估应对不科学
从风险评估以及应对来看,企业内部控制机制中,目前尚没有建立起来完善的风险预警机制,对于各种风险感知的敏感性比较差,在风险评估方面基本上就是以经验判断、主观分析为主,没有引入定量分析模型,结果风险大小评估往往失真。风险应对手段单一,风险应对过于被动,从而导致了风险发生概率大增,并给企业很多的危害和损失。
三、企业内部控制机制完善策略
企业内部控制机制完善是一项难度很大系统性工作,要做好这一工作,需要企业投入更多的人力物力,并统筹做好以下几个方面的重要工作。
(一)优化内部控制环境
企业内部控制环境的优化关键就是要科学进行企业治理架构的搭建,建立起来科学权责分配机制,注意企业文化建设,塑造与内部控制相匹配的企业文化内容,为内部控制开展提供良好的文化氛围,注重人力资源队伍建设,构建一支能力突出的内部控制人员队伍,从而为这一工作开展提供良好的人力资源支撑。
(二)完善信息沟通反馈
企业内部控制机制完善中,需要为信息的顺利流动提供良好的通道,保证信息在沟通反馈中减量不失真,确保内部控制相关信息能够在不同的部门实时共享,从而为内部控制决策提供详细且准确的信息,保证内部控制活动科学,进而充分发挥好内部控制的作用。
(三)科学进行风险评估应对
在风险识别以及评估方面,需要构建完善的风险预警体系,制定科学的风险预警指标,引入定量分析模型来对于企业风险进行准确的评估。在风险应对措施方面,更是要注意应对手段的创新,将风险分散、转嫁等手段引入到风险应对中去,有效的化解风险,减少风险带来的损失。
总之,企业内部控制的重要作用客观上要求企业要加强这一工作的开展,全面的推进内部控制水平的提升,从而全面发挥好内部控制在企业经营管理方面的重要作用,实现企业竞争实力的全面提升。
参考文献:
企业内部控制风险评估范文1篇7
【关键词】内部控制;风险管理;企业内部基本规范;国际内部控制协会
历史是螺旋式向上发展的。我们正处在内部控制和风险管理的理论与实务发生巨大变革的时代,今天的内部控制与过去的内部控制存在哪些继承与发展,内部控制与风险管理有哪些区别与融合,这是许多研究内部控制的专家学者和实务工作者正在思考和力图求证的一个重要问题。
国际内部控制协会(InternalControlInstitute,英文简称ICI)会长威廉E佩里先生(WillianE.Perry)在《国际注册内部控制师通用知识与技能指南》致辞中指出:“全球从事内部控制相关工作的大多数人都没有受过现代内部控制定义的适当教育或训练。值得注意的是,大多数的审计师,无论是独立审计师还是内部审计师,接受过的只是内部控制财务定义方面的培训”。下面从法规制度、职业标准和实务两个方面,通过比较来发现新旧内部控制区别和中外内部控制与风险管理理论与实务方面的一些差异。
一、内部控制的法规制度与职业标准比较
(一)国际(以美国为代表)内部控制部分法规制度及职业标准(表1)
(二)我国与内部控制相关的部分法规制度(表2)
(三)比较得出的结论
1.从法规制度的层次上看,国际与内部控制相关的立法层次较高,其中1977年的《反海外贿赂行为法》和2002年的《萨班斯―奥克斯利法案》是美国国会通过的法律;而我国与内部控制相关的法规层级大多是部门规章和行业主管部门的指引。
2.从法规制度的体系看,国际内部控制的法规制度和职业标准形成一个较为完整的体系,除国家立法外,监管机构如SEC、PCAOB的审计准则、实务提示。美国的行业社团组织,例如,COSO框架性指导文件,增强企业和独立审计师执行内部控制法规的可操作性。我国与企业内部控制相关的法规制度还未形成一个完整的体系,未能从根本上解决内部控制法规如何落地和有效实施的问题。
3.从内部控制与风险管理融合的角度看,COSO的两个框架实现了内部控制5要素与风险管理8要素的有机结合,通过强化内部控制环境,明确企业内部控制系统的层级制度和相应责任,增强企业全员应对风险的主体意识,促使管理层在充满风险的环境中更有效的运营。美国证券交易委员会的《关于管理层报告财务报告内部控制的指引》为企业管理层对财务报告内部控制实施自上而下、以风险为基础的评价提供一种方法。相比之下,我国国资委与财政部分别《中央企业全面风险管理指引》和《企业内部基本规范》,二者之间未进行有效整合。这种现象对企业增加了实施难度和系统设置的成本,不利于企业在设计内部控制系统的各项活动时,将内部控制与风险管理的具体要求有效地进行整合,因而也不利于内部控制系统有效地推行和持续监控。
4.从实务标准的可操作性看,美国行业主管机构和协会制定的实务标准时效性和可操作性较强,例如,在美国次贷危机的背景下,PCAOB了《金融工具公允价值计量审计和利用专家工作的相关问题》,提醒注册会计师注意美国公允价值会计审计准则中的有关规定。相比之下,我国企业内部控制建设缺乏操作性强的实务标准、指南和框架。例如,上证所和深交所在2006年分别了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,但由于缺乏具体评价指标体系,故披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见的上市公司数目远远低于深沪两市上市公司的总数。
二、内部控制与风险管理实务比较
与当年颁布《萨班斯―奥克斯利法案》在美国IT业、审计与咨询业引发的狂热和持久的法规遵从效应截然不同的是我国的上市公司、IT业、审计及咨询业对《企业内部控制基本规范》的反应比较冷静,大多在观望和等待具体规范的出台。为何同样的命题,换了一个环境,效果反差如此巨大?其主要原因是:这部《基本规范》的条款十分原则,缺乏可操作性。以下从内部控制的目标、业务流程活动控制、总体层面有效性评估、内部控制师职业队伍的建立四个方面进行比较,以便更好地了解中外内部控制与风险管理实务方面的差异。
(一)内部控制的目标
COSO《内部控制――整合框架》提出了运营、财务、合规三个方面的内部控制目标,COSO《企业风险管理――整合框架》在上述三类目标的基础上增加了战略目标。在遵从COSO两个框架的目标方面,目前国际内部控制实务涉及的企业运营活动的全过程,重点关注与公司治理密切相关的内部控制环境建设和加强风险管理,把控制环境作为内部控制的基础,以此解决以往的内部控制制度“控下不控上”的缺陷。国际内部控制协会的评估方案框架明确指出:“如果控制环境很薄弱,系统控制和交易处理控制可信赖的程度就很低,评估师则需要现场作业期间实施更多的测试”②。
我国内部控制目标在实施过程中仍局限于财务目标和合规目标,这体现了规避审计风险的需求和政府监管导向。一方面,我国《企业内部控制具体规范》的重点是引导企业加强以财务报告内部控制为主线的相关标准建设,主要强调硬性控制手段和措施。另一方面,自2008年开始,国资委选择部分中央企业开展编制企业风险报告,目的是希望通过定期的风险辨识、分析、评价等检测手段,对企业已经存在的各类风险,尤其是重大风险做到早发现、早化解。显然,在实施我国《企业内部控制具体规范》和《中央企业全面风险管理指引》过程中,由于忽视了运营目标和战略目标,企业很难将内部控制目标与企业的经营管理和战略发展相结合,因而也难以调动企业完善内部控制系统建设的积极性。
(二)业务流程活动控制
纵观我国《企业内部控制具体规范》,内部控制是按照一个一个业务环节确定关键控制点,设置相应的控制措施,内容涵盖固定资产、存货、货币资金、预算、合同、销售与收款、成本与费用、采购预付款、筹资、担保、对外投资、工程项目、对子公司的控制、计算机信息系统、人力资源政策、信息披露、财务报告编制、关联交易、资产减值、公允价值、企业合并与分立、衍生工具、中介机构聘用和3项有关评价标准、实施办法。这是控制在业务实施层面的细节体现,并且主要局限在财务会计控制的范畴。由于缺乏整体观,没有把内部控制视为业务流程活动管理的组成部分,因而难以形成一个整体的、动态的和可持续改进的内部控制系统。
COSO的内部控制框架包括了控制环境、风险评估、控制活动、信息和沟通、监控五个相互关联的组成部分。由于企业的内部控制系统因所处行业、经营性质、规模、文化和管理方式的不同而明显不同,COSO框架建立在用于理解业务活动和价值链分析的某个模式之上③,它没有为如何实现有效的内部控制提供解决方案或指明捷径。为了使企业在建立内部控制系统时,更好地梳理业务流程,国际内部控制协会在总结企业运营活动共性的基础上,以制造型企业的业务循环为例,将业务流程活动控制分为支出周期、收入周期、生产/转化周期、融资周期和对外财务报告周期这五个循环系统,其中生产/转化周期是唯一一个生产企业和非生产企业的循环,见图1国际内部控制协会评估方案框架④。
显而易见,如果将我国《企业内部控制具体规范》26项内容分门别类地归入这五个周期的循环系统,再加上一个流程管理周期⑤,企业内部控制系统业务层面的设计、流程描述、执行和评估都会更简便和清晰,并将随企业经营环境、具体业务和财务的流程变化及时进行更新。
(三)总体层面合规性评估
内部控制总体层面的合规性评估是向企业管理层提供关于本企业内部控制有效性声明的依据。《萨・奥法案》最严历、最复杂、最富有争议的部分当属404条款。根据《萨・奥法案》404条款的规定,公司管理层应当承担建立和维护一个针对财务报告职能行之有效的内部控制程序的责任,上市公司必须在年报中提供内部控制自评报告,而负责公司年度报表审计的会计师事务所应当就此出具内部控制评价报告。
在总体层面合规性方面,我国在美国上市公司的主要精力放在应对《萨・奥法案》404条款的合规要求方面,重点是对财务报告系统内部控制有效性进行评估。
相比之下,美国上市公司总体层面的合规性评估的内容和范围远远超过我国企业。国际内部控制协会在内部控制衡量与报告中,要求对遵从《萨・奥法案》遵从性的检查应从七个方面考虑内部控制系统对企业的影响⑥。这七个方面如下所示:
(1)改善公众对公司会计和财务报告的信任感;
(2)促使公司高级管理层对其行为更加负责;
(3)增强财务报告系统内部控制有效性;
(4)鼓励和支持自行检举者;
(5)保留必需的证据;
(6)增强董事会,尤其是审计委员会的监管职责;
(7)增强独立审计师的独立性。
(四)注册内部控制师职业队伍建设
企业内部控制渗透于整个组织的运营活动。内部控制系统建设涉及公司治理、风险管理、业务流程活动、信息系统流程、企业文化建设、监控等领域。目前,我国企业内部控制系统的设计主要有三种形式:外包给四大会计师事务所;企业自行设计;自行设计与外包相结合。由于第一种形式耗资巨大,导致合规性成本过高,因此,一些企业采用后两种形式开发设计内部控制系统。由于缺乏内部控制系统设计专业人才,目前内部控制系统的设计大多由内审人员牵头负责。这样做的缺陷是:内部控制系统的设计、执行和评估存在“运动员和裁判员角色分离”的原则,由内审人员设计和执行的内部控制框架,势必会遭遇其此后不能充当内部控制系统“评估员”,内部控制系统的维护和更新也超出其职责范围的尴尬局面。
2008年6月,COSO了附加指南:监控内部控制系统指南(GuidanceonMonitoringInternalControlSystems)。COSO在这一指南中指出,需要这样一个组织架构,既能考虑到管理层和董事会的监控作用,也必须使用具备适当能力、客观性和授权的“评估师”(evaluators)。评估师可以是经过专门训练的专业人士(例如,内部审计师),但他们应当独立于运营活动;或者是组织机构中作为日常工作职能各个领域的一部分人员,由他们负责监督流程,或某些控制措施的执行。评估师要求具备足够的专业技能,知识和权限,同时要对内部控制所管控的风险有足够的了解。
“那么,谁将成为未来内部控制系统的评估师?管理层如何才能确保建立和评估他们组织内部控制系统的适当性,并确认哪些个人能胜任工作?答案是聘用接受过内部控制专业组织良好教育、培训和‘认证’的职业人士”⑦国际内部控制协会是《萨・奥法案》出台后在美国成立的专门致力于内部控制和公司治理的教育组织和智囊机构。该协会的国际注册内部控制师资格认证项目建立了全球内部控制职业人士最初的资格标准和职业胜任能力持续改进的要求,并在全球逐步推广国际注册内部控制师资格认证项目和内部控制咨询与评估活动。
国际注册内部控制师(CertifiedInternalControlSpecialist,CICS/CertifiedInternalControlProfessional,CICP)与传统意义上的审计师、会计师、质量工程师、评估师的不同之处在于:前者的主要职责和工作范围包括:内部控制系统的开发、设计与执行;风险管理与风险评估、缺陷管理和内部控制系统的衡量与报告。而后者不涉及内部控制系统的开发、设计与执行和缺陷管理这些领域。审计师、会计师、质量工程师以及评估师的主要任务是识别与确认企业经营管理活动、业务流程、会计处理以及财务报告与适用的法律法规、企业章程和既定的绩效与财务标准是否有任何不一致的地方,或是否存在违法违规行为、质量体系建设和维护等。开发、设计和实施内部控制战略与方法成为国际注册内部控制师的主要职责。
三、结论
综上所述,对篇首提出的问题的回答是:过去的内部控制建设是企业内部的行为,企业内部控制制度是否建立,建立后是否真正执行,以及在内部控制的业务流程活动、总体框架结构及其有效性评估方面没有法律要求,也无须接受外部监管机构和独立审计师的检查监督。今天以风险控制为导向的内部控制系统从开发与设计、运行与维护、文档记录与监控,到对外披露的财务报告均应遵从法规要求和公认的COSO内部控制框架,企业要在其财务报告中披露内部控制自评报告,并接受独立审计师的检查监督。今天的内部控制已不再是企业的内部行为,而是受到政府监管机构的监管和投资大众普遍关注的透明度极高的公司治理行为,成为企业防范风险,实现既定目标的免疫系统。
企业内部控制风险评估范文篇8
【关键词】企业内部控制风险管理完善措施
随着全球经济一体化进程的不断加快,企业作为市场经济的主体,更是面临着愈加激烈的竞争。对于企业而言,在具体的经营过程当中,它面临着十分大的不确定性风险,那么,企业要想在这样复杂多变的市场环境中站稳脚跟,就必须对风险管理有足够的重视。
内部控制与风险管理之间的关系
内部控制与风险管理的定义。所谓的内部控制所指的就是企业的董事会、经理层以及全体职员所共同实施的,目的是要实现企业的经营目标,要保护企业资产的完整性,要保证企业会计信息资料的正确性,要保证企业经营活动的经济性、效率性以及效果性的一系列的自我调整、自我约束、自我评价以及自我控制的方法和措施。对于企业的内部控制来讲,它主要包含了五个彼此之间相互联系的要素,这五个要素分别是控制环境、风险评估、控制活动、信息与沟通以及监控。
风险管理的定义。企业的风险管理指的是一个受到企业董事会、管理当局以及其他职工影响的,并且可能会对企业产生影响的事项,它为企业目标的实现提供保障。
内部控制与风险管理之间的关系。企业内部控制与风险管理两者之间具有一致性,主要表现在三个方面:一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。具体来看,企业的内部控制是包含在企业的风险管理当中的,属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,它比内部控制更加细化,能够更好的解决企业经营活动当中所出现的各种各样的风险问题。内部控制所发挥的主要作用则是体现在会计控制以及审计活动方面。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉,且相互融合,最终相互统一。
企业内部控制与风险管理的现状
管理层缺乏内控意识,全员参与风险管理的观念没有形成。很多企业的管理人员在对内部控制的认识上存在很大的偏差,总是简单的认为企业内部控制就只是简单的企业内部的各种规章制度,把内部控制的作用理解成在日常工作中对员工的管理,没有认识到风险管理的重要性。一些企业的内部控制,可操作性不强,风险管理的水平更是低下,进而使得企业会出现重大意外事件的可能性增加。
另外,有些企业没有形成全员共同参与风险管理的观念,错误的把风险管理当作是管理层所需要做的事情,而和基层职工没有关系。在这样的错误观念引导下,企业的一线员工没有机会参与到企业的风险管理当中,导致的直接后果就是在风险管理的过程中不能及时发现一些薄弱环节,更难以做到防患于未然。
企业的风险管理和内部控制相脱节。在实践中,企业由于风险问题而导致严重损失的现象时有发生,造成这一现象的原因不是企业没有相应的内部控制体系以及风险控制制度,而是企业根本就没有将这些制度执行好。另外,公司从业人员的职业素质参差不齐,一些管理者无视企业制度等等,这些问题都需要通过不断改进公司治理结构以及不断强化外部监管来予以解决。
企业的监督机构不完善。企业的内部控制要取得良好的效果,离不开良好的监督约束机制,这里,内部审计机构发挥着主要的内部监督作用。对此,相关的审计部门也颁布了一些规定和准则,但是,由于受到审计机构没有很强的独立性,内部审计机构的监督能力往往会受到管理体制以及外部干预等很多因素的影响,其监督作用不能够得到全面的发挥。一些企业的内部审计部门只是流于形式,没有和企业的其他部门独立开来。在这样的情况之下,企业在行使具体的监督职能的时候就会显得力不从心,更无法把监督机制的作用充分发挥出来。
没有形成风险评估体系。从目前的情况来看,我国企业内部控制存在很大的主观性,企业评价的标准也没有得到统一,风险评估体系更是不健全,在缺乏有效的风险评估体系的情况下,企业在进行风险的识别和衡量的时候,主要是依赖于自身的经验,缺少必要的模型分析以及相应的量化分析,从而使其不能找到关键的风险控制点,给企业的正常运营带来了严重的影响。
信息沟通渠道不通畅。在一些企业当中,各部门之间以及企业和外部之间不能够实现有效地沟通和联系,这样就会使企业不能及时的获取有用的信息,进而对企业的风险管理以及控制起到阻碍和制约作用。
完善企业内部控制与风险管理的措施
强化职工业务素质培训,提升其业务能力。随着现代企业制度的建立及完善,企业面临着十分严峻的挑战,在这样的背景之下,企业现有人员的业务能力以及法制观念已远远不能满足企业发展的需要。所以,企业要提升员工的风险意识和职业技能。为此,企业就要针对自身的人员现状,采取多种形式的培训,使企业全体员工的职业意识以和职业技能不断提高,使其和社会经济发展的需求相适应,进而为企业创造更高的经济效益。
强化风险管理在企业内控中的地位。随着我国各项相关制度以及规范的不断健全和完善,企业的内部控制所欠缺的不再是相关的制度及政策,而是欠缺能够让相关制度得到有效执行的风险流程。对于企业的工作流程来讲,其最根本的任务就是通过把技术和人有效运作于企业当中,促进企业技术性以及社会性的整体绩效的发挥。那么,企业在制定具体工作流程的时候,可以通过把企业的制度与企业制度的执行人之间进行有效的衔接这种方式,使工作的价值得到增加,使工作的效率得到提升,从而减少企业的风险。
重视企业内控监督机构的建设。企业的内部控制得以有效的实施,离不开有效的监督措施。对于企业的监督工作来讲,必须要把风险作为导向,把对重大风险的控制作为评估的重点。具体而言,健全和完善企业内部审计监督机构,应该做好以下几方面:一要进一步把企业内部审计的独立性加以增强,保证审计的客观公正性;二要把企业的审计内容从财务审计逐渐转变成为管理审计,从而使企业的管理流程以及内控水平得到提升;三要把事前审计和始终审计作为审计的重点,实现对整个过程的有效审计,真正做好风险防范。
完善风险评估体系并建立起动态的评估机制。在很多情况之下,控制和风险总是紧密联系在一起的,而实行内部控制的最主要依据就是风险评估,所以要本着定性和定量相结合的原则、成本收益的原则、全面性的原则以及有效反馈的原则,不断把企业的风险评估体系加以完善。企业在实行风险评估的时候,主要是对筹资风险、投资风险、信用风险以及合同风险等等进行评估和报告。企业应该结合自身的情况,建立起适当的评估模型,并根据风险评估过程实行评估。这里所说的风险评估的基本过程如下:
对于风险评估体系来讲,它对企业各种行为的边界进行了确立,对什么能做,什么不能做予以明确,一旦发现有越界的行为,要能够对其进行及时的控制,尽可能的把损失降到最低。当然,需要指出的是,在具体的评估过程当中,要能够结合具体的情况进行实时的评估,并努力建立起动态评估机制。
建立有效的信息沟通机制。企业必须建立起比较有效的信息沟通机制,要把信息的收集、信息的处理以及信息的传递等等具体程序加以明确,进而对信息实行动态的管理,并建立起部门与部门之间以及公司与分公司之间的信息共享机制与沟通机制。对于信息沟通而言,它所指的并不是信息系统的建设,而是指企业内部信息的质量及使用要求。对于企业来讲,应该结合自身的信息特点,对信息的类别以及信息的内容等等进行整理,并做出信息交流汇总表,通过这些措施,使企业的信息变得更加透明、更加及时准确。
结语
总之,企业的成功是和良好的内部控制以及有效的风险管理体制分不开的,那么,在当今瞬息万变的市场环境之下,在日趋激烈的竞争当中,企业所面临的风险可以说是无处不在。所以,企业需要做的就是要对高风险领域给予足够的重视,要不断地强化风险意识,要把风险管理理念运用到内部控制当中。企业只有不断把内部控制和企业的风险管理进行有机的结合,完善自身的内控制度,才能建立起风险管理的壁垒,从而对风险进行有效的防范,并积极的应对。
企业内部控制风险评估范文篇9
以下,笔者结合自身工作经验,及企业构建廉政风险防控体系的相关过程,就如何在国有企业内部基于风险控制理论来构建廉政风险防控体系浅谈如下:
一、风险控制理论及廉政风险的简要介绍
风险控制理论是研究风险发生规律和风险控制技术的一门新兴管理科学,是指风险管理单位通过风险识别、风险衡量、风险评估和风险决策管理等方式,对风险实施有效控制和妥善处理损失的过程。
廉政风险主要有五种风险类型,即思想道德风险、岗位职责风险、业务流程风险、制度机制风险、外部环境风险等。在国有企业中,廉政风险防控体系的建设重点也是围绕这五种风险,对各级管理人员用权履职中容易使廉政风险转变为腐败问题的重点领域和关键岗位,通过风险点排查、评估定级、完善制度、加强监督等一系列应对措施预防腐败的发生。
二、构建廉政风险防控体系的相关尝试
在认真学习了风险控制理论和廉政风险防控的相关知识后,结合企业实际,笔者在各位领导及各部门的大力支持下,以形成长效机制为基本导向,在企业内部严格按照风险管理程序,构建动态的廉政风险防控系统,推进企业廉政文化的建设,开始了对构建廉政风险防控体系的相关尝试工作。
(一)制订方案,做好组织动员工作
要初步构建廉政风险防控体系,前期的方案制定工作和组织动员不可忽视。实施方案的制订应根据上级有关文件精神和要求,结合企业生产经营实际,制定廉政风险防控工作实施方案,明确工作要求、工作安排和工作措施。搞好组织动员工作是后续各部门及相关人员提高重视程度和办事效率的关键。可参照以下三步走,做好相关工作:一是召开动员大会,全面部署廉政风险防控工作;二是组织有关人员认真学习上级关于反腐倡廉建设、党纪政纪等规定和开展廉政风险防控工作有关材料及廉政风险防控业务知识培训,统一思想认识,提高工作的主动性和积极性;三是举办廉政风险防控知识专题讲座,提高干部职工认清廉政风险存在的客观性和开展廉政风险防控工作的重要意义。
(二)突出重点环节,深入查找风险点
根据风险控制理论,要对风险进行管理,第一步就是要对风险进行识别。只有明确了风险点,才能有的放矢,进而感知风险、分析风险,对风险进行评估和控制。对风险进行识别就是要对面临的和潜在的风险加以判断、归类和对风险性质进行鉴定,即对尚未发生的、潜在的和客观存在的各种风险,系统地连续地进行识别和归类,并分析产生风险事故的原因。
为做好廉政风险点的识别工作,相关人员按照职责范围,采取岗位自查、不同岗位互查、领导帮助查找和集体排查等方法,认真梳理每个岗位存在或潜在的廉政风险点,通过分析和排序,确定关注重点和优先控制的风险。通过对制度、工作流程的梳理,形成各部门廉政风险点清单,为下一步确定风险评估等级打好基础。
在风险点的排查过程中,各部门对本部门各项规章制度、业务工作流程、岗位职责进行一次梳理,识别出具有业务处置权的岗位,形成相应的《部门制度目录》、《部门具有业务处置权岗位名称及对应人员名单》、《公共流程廉政风险点识别表》等表单。
(三)评估风险点,确定风险等级,明确防控措施
在风险识别、风险点得到确定的基础上,接下来的工作主要是对各风险点进行评估。通过对所收集的资料进行分析,估计和预测风险发生的概率和损失程度,对风险按照风险影响进行优先排序,划分等级,使风险分析定量化,为制定风险应对策略奠定基础。要做好对廉政风险点的评估工作,首先要制定《廉政风险点评估办法》,明确廉政风险的评估内容、评估标准及评估程序。
廉政风险的评估内容应涵盖风险所处岗位、部门的业务审批权限,风险所处岗位、部门在公司工作中的重要性,风险发生的几率,发生风险后造成的损失程度等四个维度。可根据查找的风险点,对廉政风险评估涉及的岗位(部门)重要性、审批权限自由度大小、风险发生几率、风险危害程度等内容将风险点分为低、中、高确定三个风险等级,一级为易发廉政风险,二级为有风险苗头的风险点,三级可能转化为风险苗头的风险点。
对廉政风险评估涉及的岗位(部门)重要性、审批权限自由度大小、风险发生几率、风险危害程度四类内容分别分为低、中、高三个级别,赋值1、2、3分。对每项廉政风险的四类内容得分相乘,所得分数为该项廉政风险的评估得分,即岗位(部门)重要程度评估分值*审批权限自由度大小评估分值*风险可能发生几率评估分值*(风险危害程度中的组织日常运行损失评估分值+风险危害程度中的组织财务损失评估分值+风险危害程度中的组织声誉影响评估分值),评估得分在1分至243分之间,进一步形成《廉政风险点评估维度和评级表》,同时明确风险的监管责任人和监管责任。
针对廉政风险的评估程序,按照《廉政风险点评估打分表》由各相关部门负责人召集本部门从事与廉政风险有关岗位的人员对照岗位的工作流程图对风险进行初步评估,部门负责人对岗位风险进行复核。对于涉及两个以上部门的廉政风险(如企业层面的业务流程或制度机制风险),由监察部门召集相关部门负责人集体研究后进行初步评估。监察部门可召集审计、法务、企管及相关业务部门负责人共同依据廉政风险点评估维度和评级表以及廉政风险等级评估表等相关标准,集体研究后确定风险等级。风险等级确定后,由纪检监察部门汇总后提交公司纪委审批。
评估风险点,确定风险等级,明确防控措施是整个廉防体系建设的核心工作,需要花费较多的时间精力,企业内各部门须通力合作。防控措施的制定??随着风险点的排查、评估、定级等相关工作逐步推进。廉政风险点、风险等级和防控措施应在企务公开系统或公开栏上予以公示,征求职工意见,广泛接受监督。
(四)技术防控,加强考核,持续改进
技术防控是廉政风险防控工作落地的有力保障。企业可充分利用信息系统平台,建立完善网上公开运行的电子监控系统,将业务流程、制度规定、廉政风险等情况纳入监控范围,实现网上动态管理,加强廉政风险防控工作。加强考核机制的构建是廉防体系持续运作的动力来源。监察部门要加强廉政风险防控考核办法的制定并组织考核,考核工作可与党风廉政建设责任制考核、绩效考核、满意度测评等考核结合进行,评定结果可与干部绩效考核以及晋升相挂钩。
做好持续改进工作,是廉政风险防控体系持续发挥作用、不断完善的推进剂。廉防体系的的建设是个滚动向前的动态过程,企业应根据考核中发现的问题及收集的意见建议,运用PDCA管理方法,进一步完善工作程序,调整风险内容和防控措施。
(五)监督管理
要求“把权力关进制度的笼子里”,不受监督的权力是危险的,极易产生廉政风险。要加强对廉政风险的监督,首要任务就是根据权力运行的风险内容和不同等级,实行分层与分级相结合的方式进行监督管理;分层管理侧重于按照企业内部各职能部门的分工、各岗位的具体职能进行分层。廉政风险防控工作领导小组负责廉政风险防控全面工作,公司法人代表(总经理)是企业廉政风险防控第一责任人;公司领导对所分管部门的廉政风险防控工作负责;各部门负责人对各自的廉政风险防控工作负直接责任。
实行分级管理是针对廉政风险的不同级别,有针对性的进行管理。对1级廉政风险,由风险所在部门的分管领导直接管理的基础上,公司主要领导负责;对2级廉政风险,由风险所在部门负责人直接管理的基础上,分管领导负责;对3级廉政风险,由风险所在部门负责人直接管理和负责。只有对不同级别的廉政风险,制定相应的风险防控措施才能有的放矢,取得更好的监督效果。
除分层、分级监督相结合外,加强内外监督也是很重要的。各部门在年度工作报告中要体现廉政风险防控工作改进情况;组织中层干部考核时,要将对廉政风险防控工作落实情况进行民主测评,并在一定范围内对检查和民主测评情况进行通报,对开展廉政风险防控工作不到位的部门及人员进行批评教育,造成严重后果的要进行责任追究。由此,构建各层级相结合,内外相互依托的监督管理体系可初步建立。
三、其他完善廉政风险防控体系建设的思考
在廉防体系建设的过程中,随着工作的推进和体系的实施,体系中的大小问题和薄弱环节会逐渐暴露出来,为进一步做好体系的实施落地工作,笔者还就体系构建和完善的相关工作进行了初步探索:
一是各项规章制度的建设应以风险点为导向。在对廉政风险点进行查找前,应以风险点为导向,建立与风险点相对应的规章制度。一方面,要认真制定并执行领导干部有关制度规定,如严格执行领导干部报告个人有关事项制度、礼品礼金登记制度以及职务消费制度、信访处理及案件调查制度、诫勉谈话制度、党风廉政信息员管理办法等;另一方面,要完善纪检监察教育、信访举报受理、案件调查、廉政谈话、效能监察等基础制度的建设并抓好制度的贯彻落实,时刻警示和教育各级领导干部廉政风险“警钟长鸣”。
二是要持续推进廉政文化建设,建立长效机制。廉政文化的建设只有真正落地才能起到良好的效果,而企业高层领导的重视则是该项工作能否取得成效的重中之重。企业各级党组织要按照中纪委、上级党委、纪委关于企业廉政文化建设的总体部署,紧密结合各单位具体实际,形成一个“上下一致,协同共进”的廉政文化建设工作格局。
尽管廉政制度的建设也是廉政文化建设的重要组成部分是廉政文化的规范化表现形式,但仅有制度是不够的。廉政文化是企业文化的一部分,文化的传播是需要媒介的,要易于被受众所接收,才能起到较好的宣贯效果。廉政文化的宣传可以借助各种文化形式去表现,充分利用企业内刊、微信、网络等各种媒体,努力营造廉政文化舆论氛围;也可以通过廉政书法展、演讲比赛、悬挂警示标语等各类创新教育形式使廉政理念、廉政意识更好的为企业各层职工干部接收,入脑人心。
企业内部控制风险评估范文篇10
(一)内部环境对财务风险的影响
内部管理控制体系是针对企业的内部环境而言的,对企业来说,内部管理控制体系直接影响着内部管理控制的贯彻执行以及经营目标的实现。企业内部环境一般包括:职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。内部管理控制的内部环境与财务风险之间是负相关关系。
(二)风险评估对财务风险的影响
在内部管理控制的要素中,排在第二位的就是风险评估,风险评估分为三个环节,即目标设定、事项识别以及风险反应。即要首先对各类风险进行识别,找出可能产生的风险,按照这些风险所产生的影响大小进行排序,并针对各风险制定相应的应对手段来降低风险或者规避风险。其次是控制风险,通过制定应对措施和实施相应措施所需要的预算,最终实现对财务风险的降低。实证结果表明,内部管理控制的风险评估与财务风险之间是负相关关系。
(三)控制活动对财务风险的影响
控制活动包括授权、业绩评价、信息处理、实物控制和职责分离等相关活动,它是具体的内部管理控制所执行的程序。内部管理控制主要是对职责进行分工控制以及财务预算控制等,通过职责分工和预算控制,使企业的各项财务管理活动置于事前控制、事中控制和事后控制过程中。实证结果表明,内部管理控制的控制活动与财务风险之间是负相关关系。
(四)信息与沟通对财务风险的影响
信息与沟通包括原始信息的采集和整理、信息的传递和沟通、对企业经营过程中所出现的各种问题进行及时解决等等。《企业内部控制基本规范》规定,企业的信息与沟通体制与内部控制相配套,保证信息沟通的顺畅和及时。在企业管理中,信息的处理也主要依靠管理信息系统来完成。企业的沟通方向不仅包括从上到下,也包括从下到上,还包括同级别不同部门之间的横向沟通,因此,作为员工应首先明确自己在整个沟通链条中所处的位置,要从自身来保证沟通的有效性。实证结果表明,内部管理控制的信息与沟通与财务风险之间是负相关关系。
(五)内部监督对财务风险的影响
内部监督的目的是为了保证内部管理控制的有效性,通过对内部管理控制的整个流程,包括设计、创建、实施、控制等,进行监督和评估,来确保对内部管理控制的不足进行有效、及时地弥补。《企业内部控制规范》规定,企业要完善内部控制的监督机制,详细规定监督的职责划分、监督的程序、方式等。此外,企业应通过标准的制定来发现内部控制的缺陷,将内部控制审计常态化。实证结果表明,内部管理控制的监督与财务风险之间是负相关关系。
二、完善内部管理控制,防范财务风险
(一)强化企业内审制度
审计的作用在于发现问题、指出问题,进而相关部门做出改进来解决问题。会计控制系统的审计就是为了能够及时、准确地发现企业会计控制系统的缺陷。审计不仅包括内部审计,还包括外部审计,在发现问题的基础上提出改进建议,并形成审计报告提交给企业的管理层,有助于企业会计控制系统的不断完善。在良好的内部控制制度前提下可以保证量多质优的财务信息的及时获取,为企业各项财务决策和风险识别创造有利条件。
(二)建立完善的风险评估与责任追究机制
随着经济全球化,企业面临的各项财务风险与日俱增。对此,企业只有建立完善的风险评估与责任追究机制,才能有效的防范财务风险。通过机制的完善,加强对财务风险的及时评估与控制。企业对财务风险的评估。主要是对企业的对外担保、债务、资金管理、股权投资、融资租赁等情况的分别评估和综合评判。同时,企业在风险评估时,应该结合实际情况并把握“灵活度”。财务风险的评估过程并非是一个全面的过程,其要求以解决实际问题为准则,在成本、效益、风险等多个角度与环节进行综合考量,尤其是要求加强对重点领域的监控。此外,企业还应建立财务风险责任和追究制度,对重点领域要加强监控,采取一定的惩罚措施,特别是对与财务风险产生原因关系重大的人员,以实现企业对财务风险的切实控制。
(三)完善控制活动机制
控制活动包括企业经营过程中的关键环节,如采购、生产、销售等进行有效的成本控制;内部管理流程的关键节点,如有效的授权审批控制,将审批程序的权责划分、流程、手续等进行明确规定;内部控制中的权责控制,如明晰不同部门和员工的职责和权利,并制定科学合理的奖罚制度,严格遵循不相容职务相分离的原则;内部控制的内部控制报告环节,如有效的盘点控制,通过规范的盘点来明确各方责任;财务信息管理环节,如有效的权限控制,通过采取设置权限、各岗位密码校验等方式防止越权查阅或修改,来增强对企业财务数据的管理。
(四)加强企业内外部信息与沟通
企业的经营过程中要涉及很多信息,不仅包括诸如企业的经营状况、盈利能力、人力资源状况等的内部信息,也包括诸如宏观经济政策、法律法规制度、产业发展情况等等的外部信息。这些信息都对企业的发展产生影响,因此,企业应该具备信息整理和筛选能力,选择对企业来说比较重要的信息来进行分析和评价,进而在企业内部进行沟通,保证企业的每一个成员都能获取有用的信息。信息的沟通要经过信息的流动,信息沟通畅通与否决定着企业财务风险的大小。当然,企业的信息沟通还应包括企业内外的沟通,包括企业与外部的利益相关者,如投资者、供应商、管理部门等进行沟通。
(五)加强监控力度
企业应将财务风险管理纳入企业的内部控制流程,并提升其重要性,只有将风险管理作为日常工作的一部分,才能提高企业的抗风险能力和面对风险的反应速度。如果企业没有设置专门的内部审计机构,那么应该至少每年进行一次内部审计,或者制定其他管理机制来替代审计,最终目标都是要为企业的正常经营提供保障。
三、结语
企业内部控制风险评估范文篇11
关键词:COSO框架;高校后勤;内部控制
一、COSO框架的含义及其组成要素
(一)内部控制的含义
本文提到的COSO框架基于美国的发起人委员会在20世纪九十年代提出的一个报告形成的,该报告对企业内部控制进行了如下的定义:所谓内部控制就是旨在实现财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略这三个目标,由董事会、监事会、经理层和全体员工共同实施的一个过程。
(二)内部控制的要素构成
COSO框架的构建主要是由风险评估、控制环境、控制活动、信息和沟通、监督管理这五个要素输构成。所谓控制环境其实就是一种企业的氛围,这种氛围会影响企业政策的执行效率。比如说企业领导的经营理念影响企业的经营方式,而企业内部监管部门的监管风格也影响企业的效率;风险评估就是在进行决策时对未知的风险进行评估。企业所面临的风险有内部和外部之分,不同的风险就需要不同的评估方法,合适的评估方法和机制是可以降低风险的;控制活动就是保证管理层的指令能够有效的实施,特别是有关风险控制的指令的实施。指令的实施是需要一定的程序的,比如核准这一环节,该环节就是一种风险的控制,是为了保证企业控制目标的实现;信息与沟通就是要求企业的员工要了解自己的责任,企业的风险控制是全体员工实施的,因此,要通过企业内部的信息交流甚至是外部交流使员工了解自身的使命;监管是为了确保企业目标的实现需要专门的人员或者部门对内部控制的实现情况进行监督。
二、高校后勤企业在内部控制中存在的问题
高校的后勤主要为高校的师生提供生活方面的保障,是高校顺利运行的重要条件。自市场化改革以来,高校的后勤也开始不断地进行着蜕变。现在的高校后勤已经逐渐变为独立经营、自负盈亏的独立法人企业,这样的转变是有利于后勤的可持续性发展的。但是,在转型过程过程之中,由于传统计划体制的残留,后勤企业出现内部控制不健全的问题,这直接造成后勤企业风险意识淡薄、企业经营效率低下等诸多问题。下面本文从几个方面阐述一下高校后勤企业在内部控制过程出现的问题
(一)高校后勤企业市场化改革不彻底,存在传统体制残留
和一般企业相比,高校的后勤有着自身的特殊性,原因在于高校后勤是学校的一个组成部门,是具有事业单位的属性的,现在很多后勤企业向现代企业属性转化,转变为自负盈亏的法人主体。但是,在转变过程中由于产权不明晰以及政府的过度干预导致很多高校后勤部门在社会化改革过程中没有转变成功,没有真正按照现代企业管理模式运行。很多后勤单位存在传统的体制残留,没有盈亏的动力或压力,缺乏生机与活力。高校后勤企业内部控制管理方面不完善
由于高校后勤企业在市场化转型的道路上刚刚起步,还没有形成自己的现代企业管理模式,在内部控制、内部管理的方式上存在很多的问题。比如说一些高校后勤企业没有建立起适应现代会计准则的会计制度,不知道怎么去控制成本,怎么去做预算;有的后勤企业虽然宣布建立了内控控制制度,但是没有好好的实施下去,使内部控制制度流于形式,没能真正的发挥作用。在市场化的竞争浪潮中,这些问题必然会削弱后勤集团的竞争力,最终影响到其生死存亡。
(三)企业缺乏有效的风险评估机制
有效的风险评估机制是控制风险的前提。现阶段很多高校后勤企业并没有按照承担的风险去设定合理的目标,不考虑面临的风险,仅仅考虑收益,对于一些大的风险也没有设立预警机制,导致风险发生时仅仅依靠事后的补救。很多企业还未建立起来科学的决策机制,企业领导独断专行,对于一些重大的投资决策不做评估就随意决定,极大地加大了企业的经营风险。缺乏对高校后勤内部控制的有效监督
前面提到企业的管理层独断专行,其重要原因就在于缺乏有效的监督机制和问责制度。对高校后勤企业内部控制的监督不力主要有两个方面的原因:第一,高校后勤企业内部监督依赖于内部审计的独立性和权限设置,而内部审计的权限范围不大且其独立性不强,这样难以保证内部监督的有效实施;第二,外部监督比如政府监督和社会监督,两者监管目的不同,监督缺乏合作机制,监管存在漏洞。
三、基于COSO框架下高校后勤企业内部控制的体系构建加快建立现代企业制度,优化高校后勤企业内部环境
高校后勤企业需要实现真正的市场化转型,要实现这一点就需要进行产权制度改革。众所周知,高校的产权一直不明晰,存在很多的遗留问题,企业还没有实现真正的独立经营。为了保证高校顺利转型,就要建立产权明晰的现代企业管理制度,将所有权和管理权分离,做到产权明晰、政企分明,为企业内部控制制度的实施创造良好的环境。增强后勤企业的风险意识,建立健全的风险评估机制
企业内部控制风险评估范文1篇12
第一,针对企业内部审计来说,其从属于企业内部控制体系,可以看做其他控制活动的二次管理和控制。当前的企业内部控制来说,已经经过了长时间的转变,也经历过了比较多的发展阶段。而企业内部审计来说,也可以看做内部控制的一部分,相对而言,其实际上是一种比较独立的控制方法和模式,可以实现对别的控制和管理要素的深入控制,实际作用是比较大的。第二,内部控制作为管理制度的重要组成部分,是企业管理的重要手段,是衡量企业管理的重要标志。同时,内部控制也是审计人员用以确定审计程序的重要依据,对内部控制的重视与信赖,加速了现代审计方法的变革,缩小了审计范围,节约了审计时间和审计费用,完善了审计的职能。因此,内部控制的健全与否,决定着企业的经营目标是否实现,决定着经营风险的大小,同时还可以保证企业资产的安全与完整,防止错误与舞弊的发生,减少财务报表层次以及各交易、账户余额和列报认定层次的重大错报风险,提高审计的重要性水平。
二、内部控制在企业审计实务中的应用
(一)控制环境要素的应用
在企业内部控制和管理过程中,控制环境要素是必不可少的,也是最基础的要素,控制环境要素含有治理结构、人力政策,还含有权责合理分配,文化资源等以及管理当局的观念和管理风格等等。如果从审计角度的来看,审计人员必须从根本上落实好审前调查工作,不仅要对企业的部门设置情况进行调查,还要对相应的人力政策等进行调查,要在掌握多方面环境要素的基础上,完善内部审计方案。
(二)风险评估要素应用
风险评估是指企业及时识别,系统分析经营活动中与内部控制目标相关的风险,合理确定风险应对政策。风险对于一个企业来说,包含有内部风险和外部风险。在审计过程中,被审计单位的风险评估是非常重要的。在审计准备阶段,利用风险评估结果,可以确定将要实施实质性测试的性质,范围,时间和重点,为编制审计方案提供科学依据;审计实施阶段,审计人员可以进一步了解内部控制的实际执行情况和有效程度,对控制风险水平再次评估,如与准备阶段评估有出入则可以对审计方案作出调整。
(三)控制活动要素应用
在进行风险评估之后,就要制定相应有效的风险控制方案,采取相应有效的风险控制对策,要把风险控制到合理范围内。具体来说,不仅要加大对职务分离情况的控制力度,还要加大业务授权、实物和独立检查的控制力度等。在审计过程中,审计人员要应用多样化的审计方法,全方位掌握被审计单位的控制活动开展情况。另外,被审计单位的业务目标、控制目标和控制点越明确,审计人员的工作效率就会越高。
(四)内部监督要素应用
在企业内部审计和控制当中,加大监督力度是十分有效的,只有从根本上完善企业内部监督检查制度,及时掌握和监测企业内部控制情况,及时发现内部控制中存在的问题,才能及时采取有效措施进行解决。在审计过程中,内部审计人员要在结合控制评估结果的基础上,明确内部控制的不足之处,还要严格根基企业内部控制规定进行措施应用,大力应用内部奖惩制度和方法。
三、结语
