企业内部控制主要风险点篇1
关键词:企业内部控制;风险管理;关系
在当前企业各项工作的实际开展过程中,企业内部控制与风险管理属于比较关键的两个部分,也是比较重要的任务,需要实现这两个方面工作的有效实施。在目前企业的内部控制与风险管理中,为取得比较理想的成果,需要相关工作人员对两者之间的关系准确合理地把握,并且要积极探索有效策略实现内部控制与风险管理的有效落实,以防范企业风险的发生,使企业发展的稳定性及安全性可以得到更好的保障,进而使企业发展取得比较满意的成果。
一、企业内部控制与风险管理概述
(一)企业内部控制对于企业内部控制而言,其所指的就是将对可能发生的风险预防为目标,对于企业生产经营中每个环节实行有效监督,在这一过程中,将完善的管理制度作为依据及标准,以便对企业实际经营发展中的关键任务实行充分合理的监督及管理。就企业内部控制实践而言,其主要涉及四个方面的控制内容,分别为实物、财物以及人员与组织,这四个环节会涉及到企业经营管理中各个方面的内容,对于企业内部风险防范的实现比较有利。在企业有效开展内部控制的基础上,可以为企业战略目标的更好实现提供理想的服务,可以更好地保障企业的正常经营及发展。
(二)企业风险管理企业风险管理所指的就是在企业实际经营及发展中对于各种风险因素主动进行统筹处理。就目前的企业风险管理而言,其主要分为两种不同形式。第一,对企业的经营风险进行有效管理。对于这种形式,其所指的就是在企业生产中对于所出现的风险因素实行有效管理,在对有关管理方法及制度体系有效应用的基础上,对于各种风险实行提前预防及有效应对,并且构建相关风险应对策略,对于各种风险实现及时有效处理,以避免企业发展受到不良影响。第二,企业投资项目的预测。对于风险控制及应对,其相比于运营中风险控制存在一定差异,对于投资项目中风险的应对,关键就是实行提前预测,研究项目的实际可行性,从而在项目投入运行中提供更有利的依据及支持,满足企业投资需求。
二、企业内部控制与风险管理之间的关系
(一)企业内部控制与风险管理间存在密切联系第一,在促使企业实现稳定发展过程中,内部控制及风险管理都可以提供有利支持与保障。在当前企业管理工作的开展过程中,内部控制与风险管理都是企业管理人员比较注重的重要管理工具,可使投资人员的利益得到充分保障,促使企业价值实现有效提升。同时,对于企业内部控制及风险管理而言,两者都需要企业内部各部门及每个职工的参与,在工作的具体开展中需要企业各部门和职工之间进行积极配合,并且在企业经营管理的整个过程中,都会涉及内部控制与风险管理,比如,企业目标的制定及分解,企业战略目标的考核与绩效管理等方面,这些工作都需要内部控制及风险管理参与其中,以提供更好保障。所以,对于企业内部控制与风险管理而言,两者所具备的共同特点就是具有一致目标,且均需要全员参与。第二,在内部控制工作开展过程中,风险管理可以提供有效依据。在目前的企业风险管理过程中,内部控制属于十分重要的一种辅助工具,风险管理与内部控制在内涵上比较类似。其中,对于企业风险管理而言,其需要针对企业经营发展中所存在的各种风险进行识别预测,并且要实行有效防范,而对于内部控制而言,其基础就是风险管理。另外,在企业实际发展过程中,为能够实现稳定良好的发展,需要适应内外部环境的不断变化,并且选择内部控制为主要架构,对于企业风险防范体系的构建进行有效落实,特别是对于经营风险及内部控制,需要促使两者密切联系。同时,对于风险管理中的基本要素,在内部控制工作的实施中可以作为参考依据实行合理的风险评估。第三,企业内部控制及风险管理都比较重视过程管理。对于内部控制而言,其比较注重内部活动,而对于企业风险管理而言,其重点内容就是对于管理手段的合理应用,在企业管理工作的实际开展中两者都表现出持续性及长期性特点,并非只是在特定时间节点进行管理,这种特点也表明在实施企业内部控制及风险管理过程中,需要将企业长期发展作为基础,对于减少企业风险产生的活动需要积极落实,并且要贯彻到企业生产的各个流程中,在企业的日常运行及长远发展中两者都是比较有利的工具。第四,企业内部控制及风险管理均具备五种要素。就当前企业内部控制及风险管理而言,其均具备五个方面的要素,在这一方面表现出较强的一致性,具体而言包括风险评估、环境以及信息与沟通,还有监督及控制活动等内容,其中的风险评估在风险管理中比较受重视。由于这五种要素比较类似,也就促使内部控制与风险管理之间可实现密切融合。
(二)企业内部控制与风险管理之间的差异对于当前企业的内部控制与风险管理,两者之间不但具备密切联系,同时存在比较明显的差异,主要体现在以下两个方面。第一,对于企业内部控制与风险管理而言,两者在作用范围上存在较大差异。企业内部控制与企业风险管理相比较而言,风险管理具有更广泛的覆盖范围。在企业的风险管理体系中,需要从企业战略目标入手实现企业风险管理的落实,这表明风险管理在企业内部处于治理层面,而内部控制只是处于管理层面。另外,在风险管理实施过程中,对于企业的财务报告及非财务报告都比较重视,而在内部控制过程中主要依据的就是财务信息。另外,在全面风险管理中,还会涉及预算管理评估方法、战略制定及管理人员招聘等相关问题,也就是说风险管理具有更广泛的覆盖范围。而在内部控制实施中,其关注更多的就是风险管理过程,在企业经营目标的制定中并未能够真正参与其中。第二,对于企业内部控制与风险管理而言,两者在内容上有一定差异存在。对企业内部控制工作而言,其内容主要就是保证企业可以稳定良好发展,实现企业的有序运营,避免出现会计信息造假情况,为企业今后的良好发展提供有利支持及保障。而对于企业风险管理工作而言,其内容主要就是合理规避企业所面临的各种风险,并且需要对风险发生的可能性及风险的产生对企业所造成的损失进行定量分析,同时还需要制定相关防范体系,以避免在企业发展中有严重的财务损失产生。
三、企业内部控制与风险管理开展的有效途径及策略
(一)强化企业内部控制及风险管理地位就当前企业发展实际情况而言,很多企业对于内部控制与风险管理两者之间的关系缺乏充分深入地认识,未能够使风险管理及内部控制所具备的重要作用及价值充分发挥出来,因而需要使风险管理及内部控制的意识进一步加强。因此,当前企业内部需要对职工加强宣传教育,使企业内的职工可以真正清楚认识内部控制及风险管理的价值,树立正确的内部控制理念及风险管理观念,并且对于传统管理模式应当积极改变,实现传统管理模式的有效突破。而为能够使这一目标有效实现,企业领导层应当注意自身行为,以身作则,对企业内部控制及风险管理应当加强宣传及普及,并且在企业日常管理中的各个方面也应当积极落实内部控制及风险管理,同时还需要针对风险管理及内部控制制定相关的规章制度,使风险管理及内部控制的重要性充分体现出来。另外,在对内部控制及风险管理加强重视的基础上,还需要在企业内部控制及风险管理方面加强投入力度,使风险管理及内部控制工作的实施具有更好的基础与保障,使两者可以得到满意的效果。此外,作为企业职工,自身也需要充分清楚认识风险管理及内部控制的重要性及价值,从而积极主动地投入到风险管理及内部控制中,以确保内部控制及风险管理的科学合理开展,最终得到满意的效果。
(二)构建科学合理的风险评估机制在企业内部控制及风险管理工作的开展过程中,均需有效防范企业发展中存在的风险,从而使企业的安全稳定发展具有更好支持与保障。而为能够使内部控制及风险管理的作用充分发挥,十分关键的一点就是风险评估机制的构建。所以,企业应当从制度层面入手,对于风险识别点进行科学合理地设置,对于企业经营发展中各个方面的流程及有关风险实行合理归类及整理,从而对各种风险进行合理把握。在实际进行风险评估过程中,对于不同的风险识别点,需要选择不同方式及方法进行评估,从而对企业各流程中所面临各种风险实行定量分析。在风险控制流程过程中,对于所面临相关风险识别方法应当加强重视,若发现存在风险点,需要应用专业化风险评估理论及技术,与实际工作经验进行有效结合,在此基础上实现更加科学合理地风险评估,在此基础上制定全面合理的风险防范策略,使企业风险防范可以得到更加满意的效果,实现风险管理及内部控制作用及价值的充分发挥,为企业实现稳定良好地发展提供更好的依据及支持,满足实际需求。
(三)创建合理的风险治理模式在当前企业经营及发展过程中,在具备良好的风险治理模式的基础上,可实现企业资源利用率的有效提升。所以,在当前企业发展过程中应当构建科学合理的风险治理模式,并且需要对风险治理模式实行持续优化,对于企业战略规划实行合理调整,对于企业中不同利益主体应当促使其实现平衡,以实现财务风险的有效分散。另外,在企业风险管理模式中,应当将数据化管理引入,对于企业外部市场环境及内部经营管理需要实行系统性分析。此外,在企业内部还要建立风险基金,以保证企业在面对风险的情况下可以增强自身应变能力,同时也可以使企业短期偿债能力增强,使企业负债风险有效降低,保证企业可以实现更稳定良好地发展,满足企业风险管理及内部控制的需求。
(四)进一步健全企业监督及评估在企业内部控制及风险管理的实施过程中,监督及评估属于必不可少的环节及内容,在实现监督及评估环节合理优化的基础上,对于企业内部控制及风险管理,可使实现持续性优化,从而保证这两个方面的工作实现更有效地开展。首先,在企业内部应当构建独立的审计部门,且需要配备专业审计人员,对于企业内部控制及风险管理实施全面监督,实现监控数据的有效反馈,使今后企业内部控制及风险管理工作的开展具有有利的信息支持。其次,引入适宜的外部监督机构。对于企业内部经营管理通过独立第三方机构实行评估监督,且需要出具相关审计报告,对于企业内部控制及风险管理中所存在的主要问题需要及时发现,且需要利用信息技术深入分析,使企业增强风险防范能力,实现更有效的风险防范,发挥出企业内部控制及风险管理的应有作用及价值。
企业内部控制主要风险点篇2
[关键词]内部控制体系建设;业务流程梳理;风险评估;评价与改进
doi:10.3969/j.issn.1673-0194.2012.19.017
[中图分类号]F239.45[文献标识码]A[文章编号]1673-0194(2012)19-0026-03
自2008年以来,我国先后颁布了《企业内部控制基本规范》和《企业内部控制配套指引》。作为现代企业管理的重要组成部分,内部控制体系,不但是适应国家对上市公司的监管需要,同时也是提高公司治理水平的重要手段。企业内部控制的有效实施,将进一步加强企业的风险管理,提升企业的市场竞争力,促进企业规范管理上台阶。笔者所在公司作为上市公司下属的全资子公司,自2010年开始实施企业内部控制体系建设,本文主要探讨企业内部控制体系建设的内容及要点。
1企业内部控制的内容
《企业内部控制基本规范》指出,有效的内部控制体系应包括内部环境、风险评估、控制活动、信息与沟通以及内部监督5个因素。
(1)内部环境。内部环境指构成企业内部控制的氛围,它支配企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。影响内部环境的因素包括组织架构、发展战略、人力资源政策、企业文化建设和社会责任等。内部环境是企业的核心,是推动企业发展的引擎,也是其他内部控制要素的基础。
(2)风险评估。风险评估指在既定的内控目标下分析、辨识和管理风险。企业必须建立可分析、辨识和管理相关风险的机制。风险评估重点关注目标、风险、控制行为、控制活动,并在环境变化后及时进行评估和更新。
(3)控制活动。控制活动指根据风险评估的结果采取相应控制措施的行为。控制活动是公司建立执行的政策和程序,通过不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制手段,将风险控制在可承受度之内。
(4)信息与沟通。信息与沟通是获取和交换信息的程序,以使企业能够正常运行,并得到适当的管理及控制。信息与沟通主要包括:信息的收集、处理与传递,信息的及时沟通,反舞弊机制和举报投诉制度。
(5)内部监督。内部监督是确保内部控制高效运行的重要保障,它主要包括持续的监督检查、制定内部监督制度、明确内部审计机构、制定内控缺陷评定标准、及时跟踪内控缺陷整改情况等。
2企业内部控制体系建设的要点
2.1准备阶段
2.1.1建立内部控制建设机构
公司董事会应肩负起建立健全企业内部控制体系的责任,并组成专门的领导机构,加强对公司内部控制体系建设工作的指导。成立由董事长担任负责人,公司主要领导为成员的内部控制领导机构。同时,需组建内控体系建设工作团队,根据企业的规模和特点,成立专门机构或者指定部门具体负责组织协调内部控制的建立实施,负责内控体系建设具体组织推进工作,明确内控体系建设组织机构的工作职责,建立相应的工作机制。
2.1.2组织内控培训和宣传
内控体系作为一种崭新的企业管理理论和方法,要在现有的企业管理体制下得以有效推行,专业培训和宣传是必不可少的。为此,公司在启动内控体系建设前,需要制订内控培训计划,组织公司自上而下全员参与的培训。首先,安排公司管理层和内控管理工作小组的人员参加风险管理和内部控制的基础学习,使管理层深刻体会内控对企业经营管理的意义,提高对内控管理思想的认识,同时,让内控管理工作人员掌握内控的理念和方法论,熟悉内控文档编制的方法和工具。此外,通过讲座、知识问答、内部刊物、宣传板报等多种形式开展内控宣传活动,宣贯内控的目的和内容,让全体员工了解内控的基本知识,为下一步顺利开展内控建设工作奠定基础。
2.2建设阶段
2.2.1制订内控体系建设工作计划
企业内控体系建设是一项系统工程,其内容覆盖企业的各项业务和管理活动,企业董事会、监事会、管理层、全体员工均参与其中,为此,必须通过统筹规划,制订一个详细的实施方案和工作计划,规划各阶段的具体任务,明确责任部门和负责人,确定完成时间表,才能有序开展内控体系建设工作。工作计划的主要内容包括:公司内部控制现状的评估,风险分析和评估,根据《企业内部控制基本规范》和《企业内部控制应用指引》搭建公司的内控体系,梳理和完善各项管理制度,编制各项业务和管理单元的管理流程,编制并出版公司内部控制手册等。体系建设工作由领导挂帅,内控管理部门负责具体组织,各部门协调配合共同完成。
2.2.2整理企业内部价值链
企业是由一系列创造价值的活动和功能组成的,企业的产品设计、原材料供应、生产、储运、销售、售后服务等经营活动连接起来,构成企业主体活动的价值链,企业基础管理、技术开发、人力资源管理、采购等功能提供相应的辅助支持。企业内部控制应当以公司内部价值链为主线,以业务流程为中心,把握各个风险控制点。价值链的整理,首先需根据公司的经营目标、组织结构、业务特点,以价值运动轨迹为方向,将各项业务环节连接起来,作为公司经营活动的主干线,然后分解每一个环节的业务流程,作为公司经营活动的子项目支线,并根据实际情况进一步分解出下一级子项目支线,形成整个公司的内部价值链。价值链的整理过程,也就是对公司内部控制现状回顾的过程,通过价值链的优化,可以进一步完善管理流程,健全公司的管理机制和运行机制,为搭建完整的内部控制体系框架打下良好的基础。
2.2.3梳理业务流程
价值链由各个业务流程构成,建立良好的业务流程是保证企业高效运转、实现有效控制的关键。在制定业务流程时,需考虑以下几点:
(1)确定业务流程的范围。业务流程是为实现某一业务目标按照规定的顺序完成的一系列活动。设计某一业务流程时,首先需明确该业务流程涉及的活动内容,确定流程的起点和终点,并按照业务流转的次序和承接关系,描述整个流程。
(2)注意业务流程之间的连接。每一个业务流程不是孤立存在的,业务流程之间有着广泛的联系,既有呈上启下的关系,也有辅助支持的关系,企业的内控体系建设应实现各个业务流程的有效连接。
(3)标准化业务流程文件。业务流程作为内控体系的重要环节,应以标准化的文件形式确定下来,作为规范员工职务行为的准则。业务流程文件的内容主要包括:制定文件的目的、适用的范围、控制活动(内容描述、责任岗位、输入及输出)、流程图、工作表格等。
2.2.4风险评估
企业在努力实现经营目标的过程中,时刻面对各种来自内部和外部的风险,这些风险发生的可能性有高有低,影响程度有大有小,必须进行分析评估,找出重点关注和优先控制的风险,并在此基础上结合企业的实际情况,采取相应的风险应对措施,将风险降低到企业可承受的范围内。具体实施步骤包括:
(1)风险信息资料收集。采用“调查问卷”、“头脑风暴”等方式从公司各个层面收集风险信息资料。
(2)风险识别。将收集的风险信息进行整理和分类,列出风险清单,对各风险因素进行准确的定义描述。
(3)风险分析。制定风险评价标准和规范,根据定性描述的风险发生可能性和影响程度,以风险评价标准对风险清单中的各项风险进行投票打分,按得分由高至低排序,确定主要风险及其次序。
(4)风险控制措施。设置相应的控制措施对主要风险实施有效的控制,对现有的管理流程进行筛查,评估控制活动是否能足以覆盖风险,为下一步完善流程提供依据。
2.2.5确定关键控制点
确定业务流程后,根据企业经营目标和该业务流程的内控目标,分析流程可能存在的风险,包括经营风险、财务风险和合规风险,针对这些风险,设计相应的控制措施予以应对。控制活动由多个控制点组成,其中可能有一两个对风险控制有重大影响的关键控制点。由于每一个控制点都会产生控制成本,占用控制时间,如果事无巨细盲目追求完美,对每一个环节都投入大量的管理精力,不但带来管理成本的提高、工作效率的低下,而且有违于内部控制提高经营效率和效果的目标。因此,在制定控制措施时,应遵循成本效益原则,以关键控制点为核心,实现合理高效的风险控制。
2.2.6完善管理制度,制定内控手册
在建立内控制度时,应充分考虑行业特点和企业经营模式,注意与企业原有的管理制度、业务流程的衔接,切忌生搬硬套,或者为应付检查另外设计一套,然后束之高阁。经过风险评估和业务流程的梳理,检查现有的管理制度和流程是否能够有效地覆盖各个风险控制点,管理职能是否得到明确,然后,针对内部控制遗漏点、薄弱环节,进一步完善相关制度和流程,并汇编成册,形成内控手册系列文件。工作步骤为:
(1)完善管理架构,确定部门职责范围,明确职能部门在业务流程中的权责,贯彻不相容职务分离控制原则,落实授权审批制度。
(2)完善岗位职责、工作标准,以及与之相适应的绩效考评细则。
(3)编写内控手册,将企业经营活动的各项关键内控流程以标准化业务流程文件记录下来,归集整理形成完整、可以动态修订的内控手册。
2.3评价和改进阶段
内部控制评价是确保内部控制有效运行、不断完善的重要手段。为确保内部控制的有效运行,每年需开展一次内部控制评价工作,针对特殊事项还需组织专项评价,通过对内控体系的评估,查找、分析内部控制缺陷,制定相应的整改措施,改进和完善企业内部控制体系。注意做好下列工作:
2.3.1评价工作的组织
董事会授权审计部门负责组织和实施内部控制评价工作,具体由审计部门制订评价工作方案,下属公司及职能部门开展所在单位的内控自评工作,审计部门根据评价结果进行核查,出具评价结论。
2.3.2评价内容和所依据的标准
围绕公司内部环境、风险评估、控制活动、信息与沟通等内部控制要素,按照国家《企业内部控制基本规范》及其应用和评价指引,对内部控制设计和执行情况进行评价。通过风险分析,重点对存在关键风险点的业务流程和日常管理的内部控制有效性进行评价。
2.3.3评价工作的实施
(1)根据内控体系目录内容,对照内控五要素全面梳理内控体系的设计情况,检查内控体系文件是否涵盖公司业务和日常管理事务。
(2)抽查关键风险点相关的标准、制度、流程,分析检查结果,对内控体系文件设计的完整性和有效性进行评价,对实际执行过程是否存在缺陷进行认定。为保证评价结果的准确性,每一控制点抽取的样本数量应不少于3个。
(3)内部控制缺陷的认定。内部控制缺陷包括设计缺陷和运行缺陷,按照影响程度划分为重大缺陷、重要缺陷和一般缺陷。
设计缺陷的认定:
重大缺陷,指关键控制点缺失或设计不合理,导致严重偏离控制目标。
重要缺陷,指关键控制点缺失或设计不合理,其严重程度和经济后果较重大缺陷低,但仍有可能导致偏离该流程的控制目标。
一般缺陷,指关键控制点的设计基本控制重大风险点,但在非重大风险点上存在3个以上控制缺失或设计不合理的情况。
运行缺陷的认定:
重大缺陷,指在对关键控制点的抽样中,出现部分样本与内部控制的设计不符的情况,造成的直接损失大于企业资产或年销售额的5%。
重要缺陷,指在对关键控制点的抽样中,出现部分样本与内部控制的设计不符的情况,造成的直接损失小于或等于企业资产或年销售额的5%。
一般缺陷,指所有关键控制点的运行均与内部控制的设计相符,但在非关键控制点上出现3个及以上样本不符的情况。
(4)编制规范的内控评估底稿,内容包括评价的体系文件、设计评价结果、运行评价结果、整改措施,附相关的证明文件。
2.3.4缺陷的整改
针对评价发现的内部控制缺陷提出切实可行的整改措施,落实责任人和完成时间,在规定的整改截止时间后一个月内,审计部门对整改结果进行核查和确认。
3结语
笔者所在公司自2010年起正式启动公司内控体系的建设工作,公司成立了内控管理领导小组,组织了公司全体人员参与的内控管理培训。通过开展业务流程梳理、风险识别、评估,确定了公司的关键风险,识别了内部控制缺陷,制定了相应的风险控制措施。公司根据业务特点和内控需要,编制了包括财务管理、合同管理、招投标管理、项目管理等在内的一系列管理流程,并完成了内控手册的制定。内控体系运行半年后,公司组织了自我评价,针对存在的缺陷,进一步对体系进行完善。目前,公司内控体系包含了内部环境、风险评估、控制活动、信息与沟通、内部监督等5个基本要素,贯穿决策、执行和监督全过程,并覆盖了公司业务和日常管理环节。公司将继续加强对内部控制体系的评价和改进,切实做好检查监控,强化企业的风险管理,实现管理规范化运作,进一步提升企业的市场竞争力,促进公司的健康持续发展。
主要参考文献
企业内部控制主要风险点篇3
关键词:内部控制风险管理ERM框架IC-IF框架
一、内部控制的定义
那么什么是内部控制?理论界存在各种观点,1949年,美国会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会(COSO)报告《内部控制――整体框架》(即“COSO报告”)。该报告将内部控制定义为:是受企业董事会、管理当局和其他职员的影响,目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。
我国1997年开始实施的《独立审计具体准则第九号――内部控制与审计风险》的定义是:“内部控制是被审计单位为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。”
上述三个定义具有几个共同特点:一是都将内部控制解释为一种政策或程序(过程);二是都在定义中说明了内部控制的目标;三是都是从审计的角度做出的定义。
二、内部控制理论发展过程
内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架五个阶段。
第一,内部牵制阶段。
相互核对是此阶段内部控制的主要内容,设定岗位分离是内控的主要方式,这在漫长的几千年内被认为是一种最实用的控制方法。
第二,内部控制制度阶段。
内部控制制度有两类:内部会计控制制度和内部管理控制制度,内部管理控制制度包括,不仅限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。
第三,内部控制结构阶段。
内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,内部控制由三个要素组成:内控环境、会计制度和控制程序。
第四,内部控制整体框架阶段。
1992年9月,COSO委员会提出了报告《内部控制――整体框架》(1994年进行了增补),该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”
第五,风险管理框架阶段。
2004年9月《企业风险管理――整合框架》正式文本。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项。管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。
三、关于内部控制和风险管理的研究报告
COSO的研究报告《内部控制整体框架》和《企业风险管理整体框架》是美国上市的公司需要重点研究的对象。
1992年《内部控制一整体框架》(InternalControl-IntegratedFramework以下简称为“IC-IF”框架)报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”?它认为,内部控制系统是由以下五要素组成:
内控环境――内控环境是企业的基调、氛围,直接影响企业员工的控制意识。
风险评估――风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。
内控活动――内控活动指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。
信息与沟通――是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。
监督――是对内部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督。
2002年萨班斯一奥克斯利法案频布后,COSO于2004年了《企业风险管理整体框架》(以下简称EBM框架)。ERM框架是IC-IF框架的更新补充。ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;㈣合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。
在内部控制整合框架五个要素的基础上,COSO企业风险管理的构成要素增加到八个:(1)内部环境;(2)目标设定:(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个要素相互关联,贯穿于企业风险管理的过程中。
COSO企业风险管理的定义:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架。为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
ERM框架重视的是企业风险管理,IC-IF框架中内部控制则是企业风险管理中不可分割的一部分。COSO在《企业风险管理框架》前言中指出,企业风险管理框架是建立在内部控制整体框架基础之上的,对企业风险管理内容的关注更加广泛与深入。ERM并非替代IC-IF,而是包容了IC-IF,在内控的有关概念上,两者保持了一致与连贯。企业风险管理框架不仅可以满足企业加强内部控制的需求,也能促进企业建立更为全面的风险管理体系。
企业内部控制主要风险点篇4
关键词:内部控制风险管理风险导向
中图分类号:F270.7文献标识码:A
文章编号:1004-4914(2010)09-020-02
在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―OxleyAct,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance0nMonitoringInternalControlSyslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。
但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。
一、内部控制和风险管理基本理论
1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。
2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。
二、内部控制、风险管理之间的关系
内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。
理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。
1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。
2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;MatthewLeitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。
3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。
根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。
企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。
1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。
2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史
和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。
3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。
4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。
5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。
四、完善我国企业内部控制的措施
1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。
2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。
3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,真正做到防范风险;4.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。
4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。
风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。
5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统,企业内部的员工能够清楚地了解内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。
企业内部控制主要风险点篇5
一、企业内部控制与风险管理的关系
1、内部控制与风险管理目标上的一致性
现代企业建立内部控制制度最初的目的就是为了防范企业存在的潜在风险,早期的内部控制制度就是在保障企业财务以及会计信息安全的背景下产生的,内部控制与风险管理目标存在很大的一致性。另外,从现代企业经营发展的趋势来看,内部控制与风险管理的最终目的都是为了提升企业的经营管理水平,提高企业的经济效益。
2、内部控制与风险管理的外延以及内涵存在差异
企业内部控制主要是由内部监督、风险评估、信息与沟通、控制活动以及内部环境五个方面组成的,而风险管理则在此基础上增加了目标设定、风险识别以及风险应对三个重要的因素。因此,企业风险管理的外延要比内部控制大,其已经延伸到企业战略层面和治理层面的管理,并且尤为强调对企业风险的识别、评估和控制。风险管理中提出了战略目标的概念,而内部控制的重点主要放在制度层面,通过制度的设计和实施来对风险进行防范。因此,在激烈的全球市场竞争下,建立风险管理体系更加有助于企业规避风险能力的提高。
3、内部控制与风险管理存在很大的互补性
风险管理能够有效地将企业面临的潜在风险识别出来,再通过企业内部控制来对风险进行防范、控制和管理,最终实现企业的经营管理目标。因此,内部控制作为企业风险管理的重要环节,对实现企业长远战略目标有着极为重要的意义;同时,内部控制的有效性又依赖于风险管理对风险的合理识别和评估,两者具有很大的互补性。
二、风险管理视角下企业内部控制存在的问题
1、企业风险管理意识比较淡漠
市场经济的发展以及经济全球化增加了市场的各种不确定性因素,企业不仅面临着传统的经营、财务风险,还面临着经济全球化给企业带来的新型金融风险、控制风险、信息风险等。内部控制以及风险管理的主要目的就是对企业潜在风险进行防范和控制,为企业战略目标的有效实施提供保证。然而,目前我国大多数企业风险管理意识较弱,对风险的理解还停留在传统的经营、财务风险阶段,对完善企业风险管理机制的重要性认识不足。虽然我国一些企业制定了内部控制制度和程序,但是很少有企业将风险管理的理念融入到企业内部控制制度中,内部控制有效性的发挥大打折扣。另外,一些建立了较为完善的风险管理与内部控制的企业,由于企业的管理层缺乏重视,制度往往难以得到有效的执行和实施。
2、企业缺乏完善的风险管理体系
从内部控制的角度而言,企业应该对面临的风险进行主动的识别和分析,并采取相应的管理和防范措施,尽量降低或避免风险。然而,目前我国一些企业风险管理的意识不强,定量和定性相结合的风险评估方法缺失,没有成立专门进行风险识别、评估、分析和管理的机构,风险评价与预警机制不健全,风险防范和管理的能力比较低下。尤其是近些年来,随着我国很多企业逐步涉足资本金融市场,参与金融衍生产品交易的程度越来越深,很多企业为了追逐高收益,往往忽视了金融衍生品交易带来的高风险,企业对新型金融风险的管理能力严重缺乏,导致企业所面临的财务风险、法律风险以及破产风险等大大提升,严重损害了企业的长远利益,制约了企业的健康可持续发展。近些年中航油以及中信泰富等企业参与金融衍生品交易发生的巨亏事件,就是由于企业内部控制以及风险管理体系不健全,导致企业没有能够对风险进行及时的识别、分析和应对,给企业带来了巨大的损失。
3、企业缺乏健全的内部控制监督机制
内部控制以及风险管理作用的发挥是一个长期的持续性的过程,因此需要有健全的监督机制提供保障。内部审计是目前我国大多数企业内部监督机制的主要方式,很多企业在内部审计制度建设方面存在着问题。主要表现在:首先,很多企业的内部审计水平比较低下,内部审计工作的重点主要放在企业经营、舞弊以及特殊项目审计方面,而在内部控制制度的执行以及风险管理体系有效性的发挥方面严重缺失;其次,我国大多数企业虽然成立了内部审计部门,但是由于独立性的缺失,导致内部审计的监督作用无法有效发挥。很多企业内部审计职能往往是由财务人员代为实施,内部审计的程序以及手段极其不专业。一些企业的内部审计人员在开展工作时往往要受到企业管理层以及其他部门的干涉,这些因素都导致内部审计的独立监督作用无法发挥,内部控制以及风险管理的执行无法得到监督。
三、风险管理视角下加强企业内部控制的对策建议
企业内部控制主要风险点篇6
一、准确定位内部控制审计目标
企业内部控制审计的目标,是指在特定的历史条件下,通过实施企业内部控制审计所要达到的预期效果,它通常包括总体目标和具体目标。
(一)企业内部控制审计总体目标企业通过实施企业内部控制审汁.合理有效地促进企业建立健全内部管理制度,改进企业内部管理水平,维护企业资产安全完整,提高企业运营效率和经营效果.以实现企业整体经营目标。
(二)企业内部控制审计具体目标内部控制审计总体目标的进一步具体化,是企业内部控制审计目标的具体表现。通常。企业内部控制审计具体目标概括起来,主要包括以下几个方面:一是健全性。健全性也称完整性,它包含两层涵义:一方面是指企业根据生产经营需要,应该设置的内部控制都已设置;另一方面是指对生产经营活动全过程进行自始自终的控制。二是合规性。是指企业已建立的内控制度是否合法合规。审计企业内控制度的合规性,主要审查两方面:审查企业内控制度是否符合法律、法规以及行业制度体系的规定和审查企业内控制度是否符合上级组织或主管机构制定的内部控制制度有关规定。三是合理性。审计企业内部控制的合理性,同样也包含两层涵义:审计企业内部控制设计和执行时的适用性和审计企业内部控制设计和执行时的经济性。四是遵循性。审计企业内部控制的遵循性,是在审计企业内控制度健全性和合理性的基础上,主要对企业内控制度的实际执行情况进行符合性测试和实质性测试,即审计企业内控制度在生产经营过程中是否遵照执行。五是有效性。审计企业内部控制的效果性,主要是审查企业内部控制政策和措施是否有与国家法律法规相抵触的地方,以及企业内部控制是否具有可操作性,在企业生产经营过程中能否得到贯彻执行并发挥应有作用,以实现其为提高经营效率效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。
二、把握内部控制审计重点
根据COSO提出的《内部控制――整体框架》理论和《内部审计其体准则第5号――内部控制审计》等有关规定,企业内部控制审计内容主要包括控制环境、风险管理、控制活动、信息与沟通、内部监督等方面,简称COSO五大要素。因此,要全面把握企业内部控制审计的重点内容,可以分别从以下几方面人手。
(一)控制环境审计是指对企业控制环境总体情况进行审查和评价。其审点主要包括:企业生产经营活动的复杂程度;企业内部管理权限的集中程度;企业管理层行为守则或类似规范;企业管理哲学及管理风格;企业文化及员工对企业文化的理解和认同;法人治理结构状况;企业各阶层人员的知识与技能;企业组织结构和职责划分隋况;重要(或关键)岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训;员工业绩考核与激励机制。
(二)风险管理审计是指对企业风险管理机制及其运行情况进行审查和评价。其审点主要包括:可能引发风险的内外因素;风险发生的可能性和预计带来的后果;辨识与分析风险能力;防范和降低风险的能力;风险管理的具体方法及效果。
(三)控制活动审计是指对企业各生产经营业务实施控制活动情况进行审查和评价。其审点主要是:控制活动业绩评估系统建立及其运行状况;控制活动对风险的识别和规避情况;控制活动对实现企业经营目标的贡献;控制活动执行的有效性。
(四)信息与沟通审计是指对企业建立信息系统、获取及传递信息等信息处理情况进行审查和评价。其审点主要是:获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。
(五)内部监督方面对内部监督方面进行审计,应当重点审查:内部监督主体状况;内部监督机制设置情况、内部监督活动实施情况、内部监督组织安排情况等。
三、创新内部控制审计方法
作为一种新的审计类型,企业内部控制审计在运用审计方法上,有别于常规审计。具体来说,企业内部控制审计在实施方法、技术方法和评价方法上,要不断进行改进和创新。
(一)实施方法审计内控的实施方法主要有两种:一是延伸导向法。延伸导向法即从财务审计、管理审计等常规审计人手,向企业内部控制审计延伸,是企业通过运用财务审计、管理审计等常规审计方式而导向内部控制审计的一种审计方法创新。首先,通过企业运用财务审计、管理审计等常规审计方式,获取的如有关财务信息数据和内控管理状况等方面情况,初步评价企业相关财务信息数据和管理效果。其次,根据初步评价情况确定内部控制审计范围及其重点,并按审计流程实施内部控制审计。最后,对企业内部控制的健全性、合理性及有效性等方面进行审计评价,提出审计意见或整改措施。二是结果导向法。结果导向法即直接检查和分析企业内部控制现实状况人手,跟踪审查企业如购产销等主要业务流程在运行和管理中的实际效果情况。据以对企业内部控制状况作出审计评价。首先,对企业购产销等主要业务方面的内部控制情况等进行全面分析,并通过职业判断找准切人点。然后,审查购产销业务流程中个关键环节在运行中的实际效果情况,并对其作出审计评价。最后,根据业务流程运行效果状况,据以对其内部控制评价发表审计评价意见。
(二)技术方法审计内控的技术方法主要有三种:一是调查测试法。在实施企业内部控制审计之前,首先,拟定一个详细的调查提纲和系统的调查表格,列出应予以调查的全部事项和有关数据,根据调查和测试结果,确定企业内部控制审计实施的范围及其重点。二是模糊综合评判法。模糊综合评判法是模糊数学在实践工作中常用的一种应用方式,尤其适用于定性指标因素较多的案例分析与评价。将它运用于企业内部控制审计,主要是鉴于COSO五大要素中的控制环境和风险识别这两方面要素,即企业管理层面存在大量的定性指标因素,需要运用理论模型(如模糊综合评判法)进行技术处理,以确保和提高评价的准确性。通过运用模糊综合评判法,对企业管理层经营理念和管理风格、员工能力要求、人事政策、企业目标制定等方面进行综合评判。三是流程图法。流程图法是指用特定的符号和图形将被审计企业内部控制系统反映出来的方式。相对于模糊综合评判法来说,流程图法运用于企业内部控制审计,主要侧重于企业业务操作层,包括对企业内部控制系统的设计、执行情况等方面的审计。通过流程图直观地反映企业各业务循环流程现实状况及其存在的问题,据以对企业业务层面内部控制进行综合评价。
(三)评价方法审计内控的技术方法主要有三种:一是局部评价法。局部评价法是就每一事项进行评价的方法,即一事一论。如
对企业采购业务、生产业务、销售业务、筹资业务、投资业务等单个事项进行评价。这种评价方法涉及面不大,可以在审查过程中有效运用。二是专项评价法。专项评价法即对构成整体的部分事项进行评价的方法。由于这一方法涉及范围较大,一般在具体审计事项完成后进行。如在企业内部控制审计中,对构成企业内部控制系统的五大方面即控制环境、风险识别、控制活动、信息与沟通以及监督,在有关具体审计事项完成后,分别就上述五方面情况进行的审计评价。三是综合评价法。综合评价法即对一个企业、一个行业、一个地区等整体单位的内部控制进行全面评价的方法。对于企业内部控制审计来说,就是对企业内部控系统整体状况进行全面评价。
四、强化内部控制审计风险防范
从内部控制审计基本程序和关键环节来看,要做好企业内部控制审计,必须切实加强对以下审计风险进行重点防范。
(一)防范了解不全风险对被审计单位内部控制情况进行全面了解,是企业内部控制审计实施阶段的首要环节,也是对企业内部控制进行测试的重要前提。为了防范了解不全风险,审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。对被审计单位基本情况,审计人员应重点了解:被审计单位的性质;高层管理人员;资产、负债、所有者权益;所属行业;经营业务;组织结构;各机构职能及负责人;职员人数;高层管理人员分管业务及各自职责等。对被审计单位总体控制环境,审计人员应重点了解:高层管理人员对企业内部控制的态度;高层管理人员从事相关业务年限、相关学历;被审计单位经营管理目标是否明确;是否订有职工行为守则;高层管理者是否重视制度的实际执行;被审计单位以前或目前是否有重大违反财经法规的行为,以及高层管理者对此态度如何等。对各类业务循环内部控制,审计人员重点了解被审计单位业务特点及业务流程中关键控制点。
【企业内部控制主要风险点(6篇) 】相关文章:
护士个人工作总结范文(整理2篇) 2024-09-14
教学质量教学工作总结范文(整理7篇 2024-09-04
工作总结范文(整理10篇) 2024-08-26
幼儿园教师年度考核个人工作总结范 2024-08-14
售后客服试用期工作总结范文(整理4 2024-08-02
小学学校工作总结范文(整理5篇) 2024-06-19
季度工作总结范文(整理4篇) 2024-06-11
安全事故应急预案评估(6篇) 2024-09-15
企业内部控制主要风险点(6篇) 2024-09-15
村级财务监管制度(6篇) 2024-09-15