时间:2022-06-09 19:07:36
导言:作为写作爱好者,不可错过为您精心挑选的10篇内部审计风险论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
1.1.1内部控制制度薄弱
企业内部控制制度是否完善、经营状况是否稳定是实施审计监督的基础。如果没有严格的内部控制制度来约束审计行为,那么企业内部审计的可靠性将会降低。再者,随着企业经营方式多元化,管理层次会增多,这意味着内部审计的难度增大,相应的审计风险变高。
1.1.2内部审计机构缺乏独立性
内部审计机构是企业内部独立设立的部门,在企业高层的带领下开展工作并为本单位提供服务。因为在审计过程中不可避免受本单位的利益制约,所以内部审计的独立性远不如社会审计。审计人员面临的是与高层之间的垂直领导关系和与各部门之间的协调合作关系,所涉及的人通常相互关联,审计过程及结论必然涉及到相关人利益,有时审计意见不得不受各方利益的左右而有失偏颇。
1.1.3业务范围不断扩大且复杂化
企业在业务范围上扩大的同时,需要进行审计的业务量也大大增加,使内部审计面临重重困难。企业如果涉及不同类别业务,其需要审计的业务类型也不尽相同;如果涉及不同种类的金融衍生工具,企业相关的会计系统也会变得更复杂,也加大了审计工作的难度。另一方面,企业的审计范围也在不断扩大,不仅包括对财务成本的审计,还包括对企业未来运营能力的评估、经济责任审计等工作,这对审计人员的执业能力要求更高,审计员发表不适当审计意见的可能性加大。
1.1.4高层对内审工作的忽视
不少管理者把审计当作考核财务指标合格与否的一项程序,而并没有实际发挥出内审工作应有的监督作用,使得内部审计在企业运营过程中未受到必要的重视,审计工作流于形式。
1.2企业内部审计人员自身因素
1.2.1专业知识技能的不足
一些内部审计人员对企业的内部控制关系和企业运营不太了解,审计经验不足,仅仅只对会计账务处理比较熟悉,而缺失相关的审计、财务管理等与内部审计密切相关的知识,不能及时发现错报和管理漏洞。
1.2.2认知的局限性
根据心理学有限理性理论,认知者在识别和发现问题中容易受到知觉偏倚的影响。所谓知觉偏倚是在知觉的选择性支配下,仅把问题的部分信息当作对象,未经知觉的信息包被排除在认知范围之外,在对事物作出判断时,利用知觉往往多于利用逻辑分析方法,从而导致判断出错。
1.2.3审计方法落后
虽然内部审计技术从过去的纯手工作业,发展到现代借助计算机技术审计,审计效率发生了质的飞跃,但是审计方法大多还是在采用传统的测试和抽查方式,即对被审的资料进行收集、整理、分析和查证,其目标主要是“差错防弊”。这种不以风险评估为导向,仅凭检查一部分事项取得的证据来对整体发表意见的审计方法,可能导致审计人员发表不恰当的审计意见。
1.2.4职业道德规范缺失
我国内审工作职责和职业道德的标准不健全,业内对相关的道德标准也没有形成明确的规定,内审部门普遍缺少相同层次应有的道德标准的指引,内审工作的正常进行从而受到影响,出现审计风险。
2内部审计风险的防范措施
2.1大力建设会计审计法律法规制度
审计法律是执行审计工作行为的依据,制定审计法律必须充分考虑审计法律的科学性、可操作性,特别是利益相关者对审计结果的影响。可借助独立审计的相关法规,以独立审计目标的实现为标准,建立与国内审计准则相关联的内部审计准则,明确内部审计人员的责任,促使内部审计部门和审计人员按照统一的审计准则执行内部审计业务来提高审计工作质量。严厉打击制造虚假信息者,从根源上杜绝此类违法犯罪行为,降低审计风险。
2.2运用先进的内部审计方法
在当今信息瞬息万变的时代,账务作弊手段越来越隐蔽。针对目前的外部环境,企业可以借鉴我国注册会计师审计中的以风险为导向的风险基础审计模式。该模式是基于对企业风险进行专业化管理整合而形成的,对企业风险实施全面监控。这种审计模式将企业经营环境纳入审计当中,寻找潜在的风险点,把有限的审计资源有效地集中在易发风险区域,将风险评估合理地运用在审计工作中,有效降低了审计风险总之,管理者应该以风险的分析和控制为起点,在保证审计质量的前提下,通过一套系统、规范的方法,汇总出有效的审计证据,用以控制审计风险。
2.3将内部审计与社会审计结合起来
将内部审计与社会审计进行结合也就是企业将一部门内部审计工作分包给社会审计的一种审计方法。它的本质就是利用外部资源对企业的内部管理部门进行适当的分工,利用外部专业化的资源来辅助内部管理资源,进而将资源进行整合以达到提高内部审计质量的目的。这种审计模式在一定程度上提高了内部审计的独立性,并且借助外部专业化的审计资源可以提高内部审计人员的专业胜任能力,降低了由于内部审计不严谨而造成的审计成本的损失,并且有助于促进内部审计人员创新审计手段,改掉墨守成规的审计习惯,这对提高内部审计人员的综合素质有一定的帮助。
2.4保证审计部门的独立性
内审工作独立性便于内部审计师做出客观的专业判断,这是内审工作正常进行的不可或缺条件。主要表现在形式和实质两方面:前者需要内部审计在企业运营中拥有一定的地位。按照股份公司结构的特点,内部审计部门应定位于董事会之下,所有部门之上,直接对董事会负责;后者指的是内审人员在履行职责上保持相对的独立,不屈从外界压力,在工作过程中实事求是地进行职业判断。
2.5建立完善的内部控制审计制度
建立完善的内部审计质量控制制度是现代企业加强经营管理、提高经营效益、实现经营目标的有效方法。通过形成一套审计成果的评估方法,对内部审计师业务水平进行考核,要求审计师对取得的经营资料进行实质性分析和符合性测试,将测试每个阶段的工作和审计结果都编制好审计工作底稿,获取证据,进行进一步的综合分析,据以发表恰当的审计意见。严格控制审计底稿以及审计报告的复核等重点工作的质量水平,尽可能减少人工误差,及时对审计工作中发现的问题进行处理,得出有效的审计评价,将内审风险降到可接受范围内。
2.6制定内部审计的激励机制
审计机构除了根据国家相关规定完成必要的审计工作之外,还需依照实际情况设立相关的奖惩机制,对审计员完成的工作质量进行直观评估,对通过审计为企业做出贡献的审计人员予以奖励,对业务上不负责任和工作失误的审计人员予以惩罚。这样不仅调动了审计员工作的积极性,还使审计员合理承担了与检查、评价和建议相关的审计风险责任,树立审计的风险意识和效益意识。
1企业内部审计风险产生的外部影响因素
1.1内部审计缺乏完整的法规、准则体系
国家审计、社会审计和内部审计构成了我国审计监督体系。然而,我国内部审计在工作中不像国家审计和社会审计那样有较为健全、完善的法律、法规去遵循,缺乏完整的内部审计法律保障。
1.2内部审计对象的日益复杂化和审计范围的多样化
随着我国社会主义市场经济的建立和完善,资本市场、金融市场、衍生市场、产权交易市场等应运而生,证券期货交易、债务重组、非货币易等相继出现,伴随着企业经营规模的扩大,增资扩股、改组改制、破产兼并、重组联合等经济事项越来越普遍。经济业务的日趋复杂,使内部审计的业务己不再局限于财务收支审计、经济责任审计,而是更多地向管理领域渗透。审计对象从财务责任扩展到经营责任、管理责任;审计范围从会计记录扩展到各种经营活动与控制系统。会计核算业务已经远远超出传统的财务会计的内容。内部审计职业界有一句名言:总经理关注的问题均可成为内部审计的对象。审计内容的广泛性和复杂性使审计范围自然扩大,为内部审计带来了更多的困难,不仅加大了审计人员的审计责任,也使审计风险相应增加。
2企业内部审计风险产生的内部影响因素
2.1内部审计机构缺乏独立性
目前,我国企业内部审计机构的设置主要有以下几种模式:(1)隶属于总经理。这种设置使内部审计接近经营管理层,有利于为经营决策服务,同时这种设置还保持了内部审计在一定程度上的独立。但这种设置不利于对总经理的责任、业绩等进行独立的评价和监督。总经理下属部门的很多活动是在其授意下进行的,内审机构对这些部门的检查可能会在一定程度上受到阻碍。(2)隶属于董事会。这种设置有利于保持内部审计较强的独立性和较高的地位,同时也使内部审计具有一定的灵活性。既便于为委托人服务,又便于与经营管理层联系;既便于对管理层进行独立的评价与监督,又便于为管理层加强管理,提高服务效益。(3)隶属于监事会。这种设置使内部审计完全以监督者身份出现,与管理层脱钩,不便于促进企业改善经营管理,提高经济效益,不利于其评价、服务职能的发挥。
现在我国企业中只有上市公司依据中国证监会《上市公司治理准则》,在董事会下设置审计委员会,其他很多企业内部审计机构的设置情况无法保持足够的独立性和权威性。
2.2企业内部审计技术和方法本身隐含着较大的审计风险
这种风险主要表现在:(1)大量的内部审计工作仍以手工审计为主。这一现状已严重滞后于财务部门计算机和网络技术的发展,导致审计成本较高,制约了内审效能的发挥;(2)审计时主要采用抽样审计,必然与实际情况存在着或大或小的差距,使审计结论产生偏差。
2.3内部审计缺乏合理的质量控制体系
审计质量控制体系是对审计质量全方位、全过程的监控,是保证审计项目质量、防范审计风险的制度保障。它明确审计人员在实施审计过程中每个环节应该作些什么、应该用哪些基本审计技术和方法、为支持审计结论应该用哪些审计证据。目前,内审部门尚未建立科学、完备的自身内审质量监督、检查、评价体系,对内审项目从实践到程序还缺乏具体、详细的管理监督、评价措施。虽有要求但缺乏监督机制,不能保证审计活动各个环节准确无误,同时由于一部分审计人员风险意识不强,只求快速完成一项审计任务,不深入仔细地开展检查,从而使得相关审计准则的运用流于形式或根本没有得到运用,导致相关环节的失误,而任何一个环节的失误都会增加最终的审计风险。
3企业内部审计风险的防范措施
3.1加快内部审计的法制建设
完善和健全审计法规体系是内部审计风险控制的基础措施。审计规范是审计人员的行为规范和工作准则,不仅可以控制和减少审计风险,而且也是衡量审计人员法律责任的标准。我国内部审计起步较晚,与西方国家相比,在相关制度建设上存在着许多不完善的地方。为了适应现代内部审计不断发展的要求,就必须加强审计工作法制化、规范化建设,尽量减少审计工作的盲目性和随意性。
3.2提高内部审计人员的综合素质
内部审计是一项专业性和技术性都很强的工作,并且是一项高层次、综合性的经济监督。随着计算机的普及,内部审计技术从传统的手工操作转向计算机审计,这对企业内部审计人员的自身素质要求越来越高,先进的审计技术和方法的运用离不开审计人员素质的提高。全面提高审计人员的素质,这是防范审计风险的最有效措施。内部审计人员要提高素质:
(1)要吸收高学历,年轻的优秀人才加入到审计队伍,完成内审队伍的吐故纳新。
(2)要改变观念,不要只从财务人员中挑选审计人员,造成知识结构单一,还应包括税务、法律、工程、计算机领域,做到多渠道、多专业的选拔审计人员,提高审计队伍的整体素质。
3.3完善企业内部审计机构建设,有效保证审计工作的独立性
为了确保内部审计监督活动的顺利开展,充分发挥内部审计的职能作用,必须建立健全内部审计机构。因此,在设计企业内部审计机构时,应遵循如下原则:
(1)独立性原则。独立性可以使内部审计师提出公正的和不偏不倚的专业判断,这对审计工作的恰当开展是必不可少的。内部审计机构独立性的内涵应主要表现为形式上的独立和实质上的独立两方面。形式上的独立要求内部审计在组织内具有较高的组织地位,内部审计师的工作应能够获得高级管理层和董事会的支持。实质上的独立是指内部审计人员在精神上必须保持必要的独立性,应以公正的态度,避免利益冲突,在开展内部审计工作时,保持诚实的信念,遵守职业道德准则,在整个审计过程中不做出重大的妥协。
(2)效率性原则。内部审计机构应是精练和高效的,能够满足企业对内部审计工作所提出的有关要求。
(3)灵活性原则。根据委托理论,内部审计能够约束委托人和人之间的契约关系,而且内部审计可以帮助委托人解决信息不对称的问题,监督人的行为。在复杂的商业环境中,信息不对称问题更加突出,规模大小不同的企业,内部环境差别很大。从一般意义上说,大规模企业对内部审计的需求程度具有强烈的要求,需要内部审计部门监督各部门和直属机构的经营活动。相对而言,较小规模的家族制企业对内部审计的需求程度较小,管理层可以直接监督企业的日常经营活动。所以,内部审计组织是否存在,以何种方式存在等一系列问题,都要根据企业的需要和规模而定。
参考文献
[1]姜海鹰.英国审计署的绩效审计工作概览[J].中国审计,2003,(13).
企业的内部审计是企业对自身财经行为的监督,他不等于外部审计,而企业进行内部审计可以找到企业自身的财经问题,从而有利于企业进行决策。内部审计主要是以相关的财经法规和制度规定为依据,对被审计的对象进行经济活动的检查和评估,从而督促被审计对象进行纠正,提高企业自身的管理水平和经济效益。
2.服务作用。
内部审计可以找到企业存在的经济问题,从而为企业管理层的决策、计划和控制提供有效的依据,从此方面可以看出内部审计的服务职能。随着内部审计的进行,企业和审计人员会不断的自我完善和提高,内部审计所起的作用也会越来越明显。
3.控制作用。
内部审计部门作为企业当中一个独立于其它部门的存在,具有一定的控制职能,这种控制作用不同于其它的控制部门的作用,它更具独立性、权威性和全面性。内部审计是对企业经营效果和成绩的评价,这个评价的内容直接关系到高层的决策,所以它本身是构成内部控制的特殊要素。
4.评价作用。
内部审计部门独立于其它部门之外,它对于企业内部评价更具客观性和公正性,内部审计也可以为企业提供实际的生产经营情况和财务状况。内部审计可以对企业的计划、预算和决策方案进行公正、客观的评价,从而达到评价企业经济活动和经营方式的目的。
二、保险企业风险剖析
1.市场风险。
只要是企业,都存在着市场风险,保险企业在市场竞争当中,由于恶性竞争或者企业自身经营不善可能出现过多的“垃圾业务”,从而给企业的财务、经营带来较大的风险。部分上市保险企业,在运作过程当中可能由于各种原因导致企业负债过多,致使企业面临较大的风险。
2.系统风险。
大多数保险企业是采取集团形式出现的,因此总公司与下属子公司、机构之间具有极其强烈的利益、声誉关联性。一旦子公司或者机构因为经营事故发生倒闭或者保险事故,如果企业与下属经营单位间没有建立完善的风险控制管理机制,那么就会直接导致企业总体经营受到阻碍,致使企业产生严重的生存危机。
3.精算风险。
精算风险指的是预计风险带来的损失与实际损失相差较大而带来的经济风险,在保险企业主要表现在保单筹集的资金及其带来的收益小于承保责任带来的经济损失。精算风险主要因为保险费率的精算假设与实际值之间的偏差,因此精算方法在风险的评估上存在着较大的缺憾。
4.资本风险。
资本风险主要是由于企业自身原因导致资金紧张从而影响保险企业的赔付能力而产生的,这类风险出自承保和投资两个方面,有时候企业也可能因为较大的市场波动而产生此类风险。
5.信用风险。
信用风险的产生主要是因为保险企业和客户之间不能或者不愿履行义务而产生的,这类风险的产生会影响企业的信誉,不利于企业的发展。
6.法律风险。
法律风险一方面是指企业在经营管理过程当中不遵守国家相关的法律法规而产生的风险;另一方面是指在保险行业法律法规发生变化的时候一般都缺乏明确的变动时间表,从而影响企业对未来的预测,导致风险的产生。
三、内部审计对于保险企业的意义
内部审计通过不断检查、评估、调整、修正、反馈企业风险管理目标的完成情况,从而为促进企业内部管理机制的完善,将规范与准则融入到企业的内部管理当中,使风险意识、风险管理完全结合到企业的文化当中。内部审计作为企业特殊的评估、监督机构,其本身在企业管理当中扮演着参谋和顾问的角色;内部审计的结果,有助于企业对自身情况的认识,从而影响企业的决策、组织以及协调工作;同时,它还可以将企业存在的问题呈现给管理者,以便于管理者做出相应的整改,从而使企业内部的管理系统不断的优化、完善。
内部审计是一种旨在增加价值和改善组织的运营的独立、客观的确认和咨询活动,它通过系统规范的方法来评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。新定义将内部审计的范围延伸到风险管理和公司治理。明确指出风险管理是内部审计工作的一项重要内容。随着经济发展,内部审计成为企业全面风险管理体系的关键环节。内部审计参与企业风险管理是顺应形势发展、适应环境变化、应对职业危机、促进自身发的一种全新的审计理念,其取代传统的审计模式已是必然。审计风险管理是规避企业风险的必然要求,是内部审计自身生存、发展的需要。
(二)对内部审计风险管理的认识。
从事任何一项挑战性的工作,都会存在着风险,审计工作也不例外。审计风险指的是审计人员对实质上误报的财务资料可能提供不适当意见带来的风险。内部审计围绕风险开展的审计,在制定计划、实施业务、报告结果以及后续审计的全过程活动中,风险是一个非常重要的决定因素。由于存在人员素质以及制度不完善等原因,审计风险是客观存在的。
二、内部审计和企业风险管理的关系
内部审计是企业风险管理的重要组成部分,风险管理是内部审计的一项重要内容。二者之间存在相互依存,联动发展的关系。内部审计全面参与公司治理与风险管理,除关注内部控制之外,内部审计应该更加关注风险管理机制是否有效和公司治理结构是否健全,即通过对企业风险管理的监督来促进企业的风险管理。同时企业的风险管理也有利于内部审计的发展。
(一)内部审计是企业风险管理的重要组成部分。
风险管理是通过风险识别、估计、驾驭、监控等一系列活动来防范风险的管理工作。企业风险管理组织体系,主要包括规范的法人治理结构,风险管理部门、内部审计部门及其他有关职能部室、业务单位的组织领导机构及其职责。设立内部审计部门是企业风险管理中自我监督、自我约束、自我控制的需要。内部审计人员如果要更加注重审计质量和审计风险问题,终将延伸到企业战略决策的层面,因而,从客观上来说,内部审计责任有所增大。企业要想进一步加强管理,必然要对内部审计的期望增大。因而,作为企业管理的监督机制之一的内部审计如何在防止企业舞弊问题中发挥重要作用,实质上就是一个企业管理的问题。
(二)内部审计在企业风险管理方面拥有的独特优势。
作为企业内部一种独立客观的确认与咨询活动,内部审计能够在风险管理方面拥有不可替代的独特优势。一是通过日常审计了解企业整体运营情况和各个业务环节的运作状况,内部审计能够更加准确地认识到存在的风险,可以从全局出发、从客观的角度对风险进行识别与评估;二是内部审计机构的人员构成来自企业内部,大家的根本利益同企业的发展与兴衰是息息相关的,内部审计人员对防范好企业风险、更好实现企业目标有着更强烈的责任感,必然会激发其通过努力工作促使企业目标的实现;三是内部审计作为企业内部机构和人员,可以通过检查帮助企业解决风险问题,通过咨询服务协助企业建立风险管理体系,通过集合企业内外资源,协助管理层改善管理流程的效果和效率。因此,内部审计能够积极主动、多角度、全方位地评估企业风险,协助管理层降低风险水平,从而确保企业目标的实现。
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
二、内部审计风险表现形式与动因
广义的内部审计风险包括审计职业风险和审计工作风险。后者是内部审计主体对企业经营管理活动实施审计时,由于不确定因素影响或者由于审计人员能力所限,作出不恰当的审计判断或是对存在的错弊未予揭示,从而造成企业遭受损失的可能性。这部分风险是不可控的。而前者是指对内部审计职业界的发展产生不利影响的因素与环境总和。影响内部审计风险的因素主要有以下几个方面:内部审计的法律法规体系不健全。国家审计有《审计法》,社会审计有《注册会计师法》,而内部审计仅有审计署出台的内部审计规定,还没有相关法律法规,规定层次明显偏低,权威性不足,从根本上导致了内部审计从业风险。组织对内部审计不够重视。内部审计机构的设置不尽合理,部分单位将内部审计设在财务部门或将其与经委、监察合并,没有把它有机地融入到企业的管理体系中,加大了内部审计风险。内部审计机构独立性不强。我国内部审计是在政府的推动下发展起来的,其行政性太强,审计人员与被审单位的各种利益密切相关,使得内审机构及其人员独立性不强。内部审计人员的整体素质不高,增加了审计职业风险。内审人员总体素质不高,与现代企业制度的要求不相适应,直接影响到内审工作开展的深度和广度。内部审计对象的复杂化和业务范围的扩展增加了审计职业风险。现代企业由于经营规模的扩大,经营业务的日趋复杂,使得内审对象逐步扩展,为内部审计带来了更多的风险。企业经营风险导致的审计职业风险。企业改制,外资引入,收购、重组、租赁、关联交易等新问题不断涌现,经营风险加大必然导致内部审计职业风险的增加。
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。
第一是内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,为其他风险管理要素打下基础。
第二是目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
第三是事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。
第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。
第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。
第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。
第八是监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。
从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
内部审计在风险管理中的作用
根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计要发挥两方面的作用:
第一是对风险管理过程的充分性和有效性进行评价,主要从以下几个方面进行评价:1.评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订;2.与相关管理层讨论部门的目标,看分解到各部门的目标是否对战略目标提供足够的支持;3.评价管理层对风险的识别和评估是否准确;4.分析控制措施是否完善,是否可以使企业风险发生的可能性和影响都落在风险容忍度之内;5.风险监控是否持续得到执行,监控报告制度是否恰当,风险管理报告是否充分、及时。
第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。内部审计在该方面的作用包括:1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面,并且使每名员工能够有效识别风险并提出有效控制措施,实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患,要集合企业内外部的专家进行专题研讨。审计人员既是组织者,又是参与者,同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究,利用现代技术开发适合本企业的评估工具。将企业风险管理融入内部审计程序
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。
1.在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。
2.确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。
二、内部审计与风险管理的关系
内部审计和风险管理是相辅相成的,市场经济的蓬勃发展,企业所处的环境也是险象环生,因而需要更为专业有力的审计和风险管理团队来协助企业的管理层规避风险。它们已经成为了企业发展过程中的重要部分。一方面内部审计参与风险管理有助于审计部门发展势头更劲。内审部门在资金安全管理上责任重大,因而对企业的风险管理极其关注。内部审计在参与风险管理的过程中,根据本企业的文化及其发展策略等情况评估它在制定某策略上或在某时期存在的风险,另一方面可以由此制定出相应的风险防御,风险降低,风险消除等可行措施,保证企业的损失减到最低,这样风险管理同内部审计在企业的安全工作中地位也有提高。另一方面,内部审计作为以审计为主的独立部门,不参与企业内部的管理调控,因而具有更清晰的视角来观察企业潜在的风险,在有效针对企业运行的薄弱环节,对提出的改进措施进行新的评估认定等起着非常重要的作用。风险管理由于审计在其工作过程中的介入,赋予了内部审计在企业中新的生命,也使企业的安全因素达到一个新的高度。
三、如何协调和整合企业内部审计与风险管理
(一)建立一个合理的内部审计和风险管理体系作为企业健康发展的中坚力量,建立一个合理的内部审计和风险管理体系对企业而言绝对是利大于弊的,这对企业能否具有竞争优势尤为重要。企业的内部审计管理体制的完善,风险管理的不断优化都可以是审计的功能得到最大的发挥。同时企业管理人员本身需要加强各部门的团结,使得企业经营得到更好的控制,进一步深化内部审计对企业风险管理的监督控制,保证各项风险管理措施得到有效的实施。
(二)建立风险导向审计的工作模式传统合规性审计采用的是“撒大网捕鱼式”作业流程,即一张大网抛出去,捕到什么是什么。其基本流程是:内控—问题—风险。风险导向内审要求采用“阻击手式”流程,即阻击手先瞄准一个重点,一击必中。其基本流程是:目标—事件—风险—内控。在传统合规性审计下,往往是到一大堆帐簿及交易资料、操作或管理记录中去寻找,看是否存在违背制度规定的问题;而在风险导向内审下,是先根据采集到的各种信息,识别并评估风险,找准重点,然后对重点进行追踪检查,看是否控制过度或缺乏控制。总而言之,合规性审计是查问题、提建议;而风险导向审计是查问题、查风险、查成因、查尽职、查整改、提建议。
(三)建立对审计人员内控审计效果或管理建议的考核制度内控出现问题,表明内审的监督职能未能充分发挥,内审为此承担责任有其合理性。但内控效果或建议的增值效果都很难评价。往往风险提示和管理建议都不是结果,其产生的影响才是结果。没有风险提示量或管理建议量,不论现场检查多少项目、时间持续多长,审计人员都无绩效(严重一些,反而可说其检查是在浪费资源。)
(四)加强对审计工作专业人才的培养审计人员不仅需要合格的审计能力更需要具备较强的风险分析能力,除此之外还需涉猎经济、管理、法律等相关知识,在理论基础之外,实践能力也不能弱,在面对突况时需要冷静思考,迅速找出最优解决方案。
若内部控制制度执行得好,相应的控制风险也较低。了解被审单位内部控制制度的实施情况,可以确定在内部控制薄弱的领域扩展审计程序,以便在实质性测试过程中采取相应的对策来降低审计风险。与业务委托人签订明确的业务约定书,并取得其管理当局声明书。业务约定书具有法律效力,它是确定会计师事务所与委托人之间权利和义务的重要文件。它规定了所执行业务的性质、审计对象、双方的责任即会计责任和审计责任等事项。被审计单位管理当局声明书是一份表明其对所提供的会计报表及相关资料的真实性负责,且对审计工作不加以限制的书面证明,这对减轻审计人员的审计风险十分重要。
审计实施阶段审计风险控制
根据审计计划确定的范围、要点、步骤、方法,进行取证、评价,借以形成审计结论,这是实现审计目标的中间过程。它是审计全过程的中心环节,其主要工作包括:对被审计单位内部控制制度的建立及遵守情况进行符合性测试,根据测试结果修订审计计划;对会计报表项目的数据进行实质性测试,根据测试结果进行评价和鉴定。在这一阶段中,不可能要求注册会计师把所有的错误事项都审查出来,而且这也是不现实的,所以审计风险总是存在。这只有靠注册会计师自己严格遵循专业标准的要求执业,时刻保持高度的警惕,尽量降低审计风险。
在审计过程中我们要特别注意以下几点:注册会计师对于接近资产负债表日的大量产品销售收入必须特别加以注意,注册会计师必须对资产负债表日后一段时间的有关业务执行必要的审计程序。公司的经营突然与一贯方式不同,可能有其实际上的需要,因为企业经营必须适应环境变化,但审计人员必须谨防经营者借改变经营方式创造虚无的利润。对于收益的确认必须注意有无其他附带条件存在。注册会计师对于不寻常或不合常规的交易,应保持谨慎态度,单凭合同上的法律文字或条款是不够的,注册会计师需凭其敏锐的专业嗅觉,对这些条款加以仔细查核。对于合同上未列示的可能附带的约定,尤其应保持警觉。
当注册会计师注意到表明可能存在违法行为的迹象时,他应获取对这种行为及其产生环境的了解,并获取充分且适当的审计证据来评价它对财务报表的可能影响。在做这种评价时,注册会计师应考虑:(1)潜在的财务后果。如罚款、刑事处罚、被没收财务的损失、强制停业及诉讼
等;(2)是否要求揭示潜在的财务后果;(3)潜在的财务后果是否严重,以致对财务报表的真实性和公允性产生了影响。此外,注册会计师在发现被审计单位内部控制制度存在重大缺陷时,应将他的发现记录于工作底稿中(包括取得记录和文件的副本),并与管理部门交换意见。甚至,在认为必要时,应向管理当局出具管理建议书。
审计终结阶段审计风险控制