前言:中文期刊网精心挑选了内部审计的主要风险范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内部审计的主要风险范文1
关键词:内部审计 内部控制 风险管理
浙江交工集团市政分公司面对日益激烈的市场挑战,不断扩大经营范围,精细企业管理,增强企业综合竞争能力,逐步转型为以市政施工为主,兼营杭州地铁项目、湖南湘潭BT项目。
一、企业面临的主要风险
随着企业经营规模和经营范围的不断扩大,企业风险相应加大,主要体现在以下几个方面:
(一)经济环境风险
2012年3月5日,总理在政府工作报告中提出2012年国内生产总值目标为增长7.5%,表明今年仍将执行相对从紧的货币政策,公路建设资金来源将经受严峻的考验,新开工项目势必放缓,在建项目的资金能否及时到位亦面临极大的风险。同时,施工市场竞争的加剧,对于企业的资产规模、垫资能力、信誉程度、管理水平等综合竞争能力提出了更高、更严格的要求。
(二)合同履约风险
由于国家宏观调控的影响,部分高速公路业主单位的信贷规模受到了极大的限制,计划中的建设资金可能无法及时到位,对于在建或将建的项目要准确评估业主潜在的违约风险。履约风险亦存在于协作单位,在公路施工实践中,经业主同意后选择部分合适的专业施工单位和劳务分包单位时,其履约能力就是最大的风险。
(三)财务管理风险
市政分公司的主要业务为项目建设,其内部控制水平既受制度的约束,也受到项目管理人员水平的影响。因此在协作单位结算支付、材料供应商合选择、工程建设、财务管理等方面均存在较大的风险。
资金是企业的血液,随着资产规模和经营范围的扩大,对于企业的融资能力及管理水平提出了更高的要求,流动资金的风险明显加大。
二、应对企业风险的措施
随着内部审计的逐步健全和发展,以内部控制为主要对象的内部审计有机会对企业运作和项目建设进行全面审查和评价,在企业风险管理中发挥着举足轻重的作用,主要体现在以下几个方面:
(一)加强内部审计,提升企业全面风险管理水平
企业实施任何项目之前,必然对该项目进行必要的风险测试,找出项目主要风险点并提出相应的应对措施。而内部审计在在风险管理中的作用就是对公司的风险管理体系、管理制度及运作过程进行评价和有效监督,协助公司改进风险管理的控制措施和管理方法,达到提高运作效率和增加价值的目的。内部审计是企业治理结构的组成部分,相对于外部审计而言,更易于收集各种必要的资料,能够更加准确的认识到存在的风险。所以强化内部审计,加强企业运作和项目建设的监督管理,能有效提升企业全面风险管理水平。
(二)加强内部审计,促使各项经济合同有效履行
在实施任何项目之前,需会同各部门对项目风险进行合理的评估,对于业主资金来源、工程竣工结算等关键事宜在工程施工合同中得到有效的体现,避免由于合同缺陷给企业带来的损失。同时,要建立协作单位信用评价体系,选择信誉好、施工实力较强的专业公司和劳务公司进行专业分包和劳务分包,并签订专业规范的分包合同,促使各项经济合同得到有效履行。
(三)加强内部审计,保障各项制度得到有效实施
市政分公司先后出台了《工程机械管理办法》、《项目合同管理办法》、《报销与支付流程》等规章制度来规范项目建设,确保项目建设按预期目标进行。内部审计依照公司的各项规章制度,严格遵循内部审计的基本准则和工作流程,通过对项目预算管理、合同管理、机料管理、结算管理等各方面的检查和核实,促使整个项目建设始终处于健康有序的轨道,保障公司各项制度得到有效实施。
内部审计通过独立、客观的审计行为,评价公司及所属项目财务收支、经济活动的真实、合法和效益的行为,能够提升企业全面风险管理水平,促使各项经济合同有效履行,保障各项制度得到有效实施,进而促进企业强化风险管理,实现预期经济目标。
三、如何提高内部审计水平
伴随着经济环境和企业管理模式的变化,对内部审计提出了更高的要求。因此,要从以下几方面着手,进一步提高内部审计水平,充分发挥其在企业风险管理中的作用,帮助企业降低风险损失,实现预期经济目标:
(一)加强内部审计在项目预算管理中的作用
项目财务预算管理作为公司规范项目管理的重要组成部分,对进一步降低项目施工成本、提高项目经济效益起着至关重要的作用,是真正实现“向管理要效益”的有效管理手段。内部审计在项目预算管理中起着至关重要的作用,通过对项目的跟踪审计,能够保障各项预算指标的有效执行,实现对项目预算管理的事先、事中和事后全程监管。
(二)进一步提高审计人员的理论水平和业务能力
内部审计人员的工作能力、实际经验直接影响着内部审计工作的完成效率和实施成效。故而内审人员应注重专业培训和继续教育,全面提高自身的业务能力和职业道德。同时,随着交投集团全面实施金蝶EAS管理系统,内审人员要与时俱进,充分利用计算机辅助审计功能,提高审计效率。
(三)加强内审人员的沟通与协作的能力
《内部审计具体准则》第20号—人际关系中指出,内部审计人员应当与组织内外相关机构和人员进行必要沟通,保持良好的人际关系。内审部门通过与管理层、相关部门、被审单位保持良性的沟通渠道,能充分保证内审的独立性,取得审计所需资料,并确保审计出的问题得到及时反馈和整改。
总而言之,随着公司经营规模和经营范围的不断扩大,逐步建立和健全风险管理机制,提高企业决策的科学性和合理性,实现项目全面预算管理,是企业发展的必然趋势。企业内部审计要与时俱进,建立健全内部审计制度,提高企业内部审计质量,充分发挥内部审计在企业风险管理中的作用。
参考文献:
内部审计的主要风险范文2
关键词:风险导向 国库业务 审计模式
一、引 言
现代风险导向审计模式是指20世纪90年代以来,面对全球经济一体化和信息化,国际大型会计师事务所研究开发的旨在提高审计效率和效果的一种审计模式。该模式下,审计人员在对被审计单位内部控制充分了解和评价的基础上,评估存在的风险及其程度,并以风险为导向,针对不同风险因素采取相应的审计策略,把审计资源集中分配于高风险领域,加强实质性测试程序,将审计风险降低至可接受水平,增加审计价值、节约审计成本、提高审计质量和效率。
现代风险导向审计作为现代审计技术拓展的新领域,在人民银行内部审计中越来越得到重视和应用。2011年,人总行制定了《人民银行内审工作转型2011-2013年规划》,提出学习、借鉴国际、国内内部审计准则和先进内部审计实务经验,构建以风险为导向、以控制为主线、以治理为目标、以增值为目的的内部审计新模式。人民银行武汉分行下发了《关于开展内审转型项目审计试点的通知》,要求辖内各级行在2011年审计项目中引入风险导向审计模式,开展审计试点。为此,我们选定国库业务审计,在构建风险导向模式方面作了一些探讨和实践。
二、人民银行国库业务及风险
国库是国家金库的简称,是办理预算收入的收纳、划分、留解和库款支拨的专门机构,国家的全部预算收入必须按规定期限全部缴入国库,一切预算支出必须按规定通过国库拨付。《中国人民银行法》赋予了中国人民银行经理国库的职能,《国家金库条例》规定了国库的基本职责:(1)办理国家预算收入的收纳、划分和留解;(2)办理国家预算支出的拨付;(3)向上级国库和同级财政机关反映预算收支执行情况;(4)协助财政、税务机关督促企业和其他有经济收入的单位及时向国家缴纳应缴款项,对于屡催不缴的,应依照税法协助扣收入库;(5)组织管理和检查指导下级国库工作;(6)办理国家交办的同国库有关的其他工作。
国库业务风险分为主要风险、次要风险两种。主要风险表现为:(1)业务流程相关风险。主要包括业务流程设计全面性、更新及时程度、审批权限和程序、岗位牵制、具体业务管理执行中存在的风险;(2)信息技术相关风险。主要包括系统运行维护、访问权限管理、设备管理等引致的风险;(3)人力资源相关风险。主要包括管理人员素质及能力、要害岗位人员管理、教育培训情况等涉及的风险;(4)外部事件相关风险。主要包括地方政府、征收机关、商业银行、各方政策不一致等影响导致的风险。次要风险表现为:(1)法律风险。主要涉及行政执法过程中所存在的风险隐患,包括执法程序合法性、处罚程序合法性、归档资料完整性等;(2)内部控制失效风险。
三、实施风险导向模式的国库业务审计
以国库业务审计为例,将风险导向模式应用于审计中,通过分析国库业务风险因素形成过程和影响程度,进一步加强国库内控及风险管理,及时改进业务运转中的薄弱环节,重点监控业务管理中的风险因素,提高国库资金风险防范能力,确保国库资金安全,促进国库部门高效履职。
(一)运用审前沟通,明确审计重点
在审前调查阶段,审计组召开碰头会,与被审计部门负责人、业务骨干就业务风险主要关注点进行商谈,根据国库业务实际情况补充完善审计方案;在进点会谈阶段,再次与被审计部门相关人员进行充分沟通,确保审计目标、审计对象、审计重点及国库业务风险点、风险环节的准确定位。
(二)运用审计抽样,提高审计效率
为确定实施审计程序的范围,以获取充分、适当的审计证据,审计组在实施国库业务风险导向审计中,在对内部控制、会计核算、资金清算、账务核对、系统管理等环节的风险进行合理判断的基础上,适当运用审计抽样方法,选取具有代表性的样本,合理推断总体特征,作为形成审计意见的基础。
(三)运用审计模式,进行风险评估
一是审计初期,审计组在做好业务审前风险状况预测和对内部控制的有效性控制的基础上,侧重采用分析性程序,分析可能产生风险的各种因素。审计组设置了不同的风险指标(见附表一),对风险发生可能性进行分析、定级并赋予对应分值,按照“预测风险级别=风险影响程度定级分值×风险发生可能性定级分值”模式,计算出“预测风险级别”分值,据此,审计组作出了“预测风险级别为2级,检查时一般关注”的结论。
二是在实质性测试阶段,基于审计抽样的结果,主要运用调阅相关资料、翻阅相关制度、询问、观察、发放无记名调查问卷、穿行测试、符合性测试等方法,了解风险状况;在审计报告阶段,更多运用了比较法、归纳法、分析性复核等方法,评定风险级别。在国库业务现场检查评估这一重要环节中,审计组首先计算出“各类风险因素的风险级别”和“平均检查实际得分”,按风险类别定级;然后按照“总体风险因素加权结果=∑固有风险权重×风险级别+∑内部控制有效性权重×风险级别”模式,计算出“总体风险因素加权结果”分值为280,审计组最终作出了“国库业务总体风险等级为2级,属于一般关注”的结论,和现场检查前的“预测风险级别”结果相吻合。
(四)运用专业判断,提升审计质量
审计人员在审计国库部门和财政、税务等部门之间的外来业务时,采取专业判断,对涉及拨款、退库、申请划款、对账等业务资料来源的可靠性以及相关证据的真假、证据的适当性和充分性进行分析、评价,确保国库资金安全,提升审计质量。
(五)评价审计结果,降低审计风险
完成审计证据的收集和工作底稿的撰写后,审计人员持客观、公正的态度,综合考虑所有审计证据及整体风险,得出审计结论,同时在审计报告中明确审计人员和被审计部门的责任,以保证审计总体风险控制在预期范围内,并保证审计质量。
四、现代风险导向模式下的难点与对策
(一)风险导向审计应用中的难点
1、审计理论研究滞后。风险导向审计在人民银行内部审计中应用时间不长,理论研究仍处于探索阶段。现有内部审计制度、准则、规程、内部控制指引等对风险导向审计还没有确定统一、规范的操作流程指引,对风险识别及评估未能形成一套以风险为导向的审计体系。
2、审计方案存在缺陷。审计人员按照上级行国库业务审计方案开展审计时,发现方案中存在缺陷:一是《国库业务内部控制有效性评估表》中没有对“较为重要的风险隐患”定级。在“上一次审计报告结论”中的“对账手续不完整、会计主管监督检查手续不完善”两个问题,在审计方案附表三中的风险影响程度定级为2分,属于“较为重要的风险隐患”;由于在《国库业务内部控制有效性评估表》中没有相应的定级标准。审计人员只能本着审慎原则,将两个问题风险级别高靠为“中等程度的风险隐患”。二是《国库业务内部控制有效性评估表》“业务快速变化情况”栏中有关“人员”的概念不清,是指部门全体人员还是单指涉及业务流程的操作人员,审计人员难以把握。三是《国库业务现场检查评估表》中“风险因素类别的风险级别以该类因素中各风险点的平均检查实际得分确定”的计算方法欠科学,按照此方法,检查中发现的一些重大问题,有可能通过加权平均计算后,分值会大幅降低,风险级别将被低估,无形中稀释了风险程度,掩盖了重大隐患。
3、部分风险指标设置缺乏理论依据。如:《国库业务风险状况调查表》和《现场检查评估表》中,将风险影响程度定为较小、中等、较大、重大四个等级,分别对应1分、2分、3分、4分四个分值,其分值设置是否科学合理,缺乏理论依据。
4、现阶段风险导向审计成本高。风险导向审计有别于传统审计,主要以风险为导向,把审计资源集中分配于高风险领域,可以节约审计成本。但由于风险导向审计在人民银行处于试点阶段,审计人员对新的审计技术运用还不熟练,经验不丰富,在实践中仍沿用一些传统审计手段和方法。面对复杂的风险评估、分析、测算等程序,一旦审计过程中发生了问题或产生了疑问,还要对既定程序进行多次评估,耗费审计工时。此外,计算机技术在风险评估及测算过程中运用不多,审计人员手工操作多,影响审计效率。
5、审计人员素质达不到要求。风险导向审计要求审计人员熟悉组织战略、目标、计划及经营管理的各项职能,从审计实践看,审计人员还达不到这种要求,主要表现在:一是对风险导向审计的理论不够熟悉,给审计方案的制定增加了难度,审计工作的开展难于与传统审计相区分,从而背离风险导向审计的目标。二是审计人员专业知识结构比较单一,绝大部分以会计和经济专业为主,而管理、统计、应用数学及信息技术方面的人员非常稀缺,导致在风险导向审计的技术和方法运用上存在瓶颈,影响了风险导向审计在人民银行内部审计中的应用。三是审计人员未能利用函证等审计方法取得独立外部证据,缺乏外部证据的有力支撑,削弱了审计证据的证明力。
(二)风险导向审计模式下的对策
1、以制度基础审计为基石,夯实风险导向理念。要切实将内部审计的职能从监督职能为主转为以评价服务职能为主,树立正确的风险导向型审计理念。一方面,在全面理解被审计单位或部门风险的前提下,识别出固有审计风险,并进一步评价被审计对象对这些固有风险的控制措施,针对被审计单位或部门控制不足或无效部分形成的剩余风险,制定相应的策略和措施,从而将其降至可接受水平。另一方面,风险导向审计应与制度基础审计结合起来运用,要有效防范风险,内部控制是基础,制度导向审计是根本,为风险导向审计打下基础。
2、强化内部审计监督,保持内审部门超然独立。为进一步强化人民银行内部审计监督,一方面,要求审计人员要对各类业务的风险进行识别、监测,掌握更多与之相关的金融、数理统计、数据分析等方面的知识和能力,不断提高自身综合素质和业务技能,强化控制风险和指导管理的意识,准确掌握风险导向审计的内涵。另一方面,从各级行的实际出发,尽量使内审机构保持其超脱和相对独立性,使其充分发挥审计监督作用。
3、强化风险管理,不断提高全员素质。按照全面的内控理论,审计人员不再是内部控制的唯一责任主体,被审计对象所有成员都对内部控制负有相应的责任,必须同步提高被审计单位人员的风险意识,以便能够主动与审计人员共同查找主要风险点和控制薄弱环节,制定有效的风险点控制措施。
4、科学、合理设计审计模型,认真开展风险评估。按照各分支机构、各业务流程,分析其固有风险,列出主要风险因素。科学、合理设计出相应的审计模型,量化风险指标,进行风险评估和定级。针对各分支机构、各业务流程自身固有风险所采取的化解和防范措施进行分析,得出其控制风险的能力和主观态度。审计人员在审计报告中将目前的控制与策略计划和风险评估连接起来,判断组织结构的合理、合规性,各类制度修订和完善的及时性,岗位分工及职责明确程度及决策机制存在的问题和导致管理风险程度。
5、推进计算机辅助审计,加强信息化环境下的审计技术应用。信息化技术方法,为内部审计开展风险导向性审计提供了条件,这就要求一方面要开发专门针对风险防范的审计软件,建立以计算机技术为核心的非现场内部审计监督体系,通过现代审计信息处理系统对大量的审计信息进行及时采集、处理、分析和反馈,实现新的分析技术及评价方法。另一方面内审部门要逐步实现与业务部门的对接,实现从各部门直接提取数据进行审计,对风险点和风险环节实时监控。
参考文献:
1、蔡春、赵莎.2006.现代风险导向审计论.中国时代经济出版社
2、汪寿成.2009.现代风险导向审计.大连出版社
3、王欣.2011.论风险导向模式下的商业银行财务审计.中国内部审计(2)
4、何芳、张黔.2010.五菱集团的风险导向审计模式.中国内部审计(4)
组长:褚鸿飞
内部审计的主要风险范文3
关键词:商业银行内部审计风险管理
随着银行业务的发展和市场竞争的加剧,银行业风险日益增大,使其生存和发展受到严重挑战,而内部审计在风险管理、内部控制以及公司治理等方面有着重要的地位和作用。本文就内部审计在风险管理中的作用以及如何发挥其作用进行粗浅的探讨。
一、商业银行风险管理
对银行而言,风险是可能对银行战略目标的实现产生影响的事件、行为和环境,而对这种不确定性进行调节和驾驭的能力就是风险管理。风险管理并非是要消除风险,而是通过对未来结果不确定性的分析预测和周密思考,以降低决策错误之几率、避免损失之可能,相对提高银行的附加价值。
商业银行的风险种类很多,主要有以下几种表现形式:一是信贷风险,信贷资产是银行业的主要资产,在当前实行分业经营的背景下,它是银行业最大的盈利项目,信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险,主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险,主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险,主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来,商业银行内控制度尽管有所加强,但受利益驱动和相关管理人员能力、素质的影响,经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。
二、内部审计在风险管理中的作用
随着市场经济的不断发展,市场竞争日趋激烈,经营环境复杂多变,银行面临的风险也不断加大。内部审计在风险管理中发挥着越来越重要的作用,它通过评估、计量和报告总体风险,推动银行实施风险管理,最大程度地防范和化解可预见的风险。具体而言,其作用体现在如下方面:
(一)能够客观识别和评估风险的充分性
内部审计部门独立于业务管理部门,这使其可以从全局出发,从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之,就是要确定银行正在或将要面临哪些风险,所面临的主要风险是否均已被识别,并找出未被识别的主要风险。内部审计师不仅要识别相关的风险,而且还应从以下几个方面对风险进行评估:一是评价银行战略目标的制定是否是在分析组织和行业发展情况和趋势、银行的优势和劣势、外部的机会和威胁的基础上结合实际来制定;二是看分解到各部门的目标是否对战略目标提供足够的支持,是否与整体目标保持一致;三是评价员工是否确知已建立的工作目标(或业务管理目标);四是管理层是否建立风险识别与评估机制,该机制至少包括机构、人员、政策和程序以及支持系统。管理层对风险的识别和评估是否准确,是否已对面临的风险进行恰当分类;五是是否已识别出各类内部和外部的风险因素,并对已识别的风险进行计量,分析控制措施是否完善,是否可以使银行风险发生的可能性和影响都落在风险容忍度之内;六是风险监控是否持续得到执行,监控报告制度是否合理,风险管理报告是否充分、及时。
(二)能够综合分析和计量风险的恰当性
内部审计对现代内部控制的焦点不仅在于识别和评估风险的充分性,而且在于强调风险分析和计量。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计,通用的公式为:风险值=风险影响X风险概率。目前国内商业银行缺少实施先进风险计量方法的必要支撑,但新资本协议鼓励银行采用更为先进的风险计量方法,如允许银行通过内部评级确定风险函数计量加权风险资产;运用金融工程技术转化基础工具计量市场风险;运用基本指标法、标准法、高级计量法和风险模型计量操作风险等。内部审计可以借鉴新资本协议的方法,对风险进行计量和解析。在风险难以量化、定量评价所需的数据难以获取时,应采取定性评价。定性评价的复杂性在于很多情况下需要主管判断不同结果的可能性,不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同,如银行在计量未决诉讼预计负债时,其金额具有不确定性,需要进行合理而恰当的估计。
(三)能够发挥风险反馈的预警性
内部审计在银行管理控制系统中发挥反馈作用,对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果,特别在关注高风险领域和内控不健全区域的潜在威胁时,是通过风险反馈进行持续监督与评价,确保目标与预算如期完成的。一方面,内部审计要与相关部门进行风险管理沟通,对风险管理过程的充分性和有效性进行检查、评价,对重大的审计发现按清晰传递的线路进行报告,传递给内部相关人员和其他有关方面,以便及时采取相应的控制措施,同时对监督检查结果的落实情况要进行跟踪报告,使风险及时得到控制和防范;另一方面,以风险为核心及出发点的内部审计,能够客观地从全局的角度管理风险,能从组织的利益和实际出发,提出防范风险的有效建议,作为管理层改进风险管理的参考意见,内部审计的建议更加强调风险规避、风险转移和风险控制,通过有效的风险管理建议反馈,提高组织的整体管理效率。
三、加强内部审计在风险管理中作用的有效途径
(一)树立正确的风险审计理念
在当前市场竞争日趋激烈的情况下,银行面临的风险越来越大,银行各级管理层应深刻理解银行所处环境中各种不确定因素对银行风险的含义,把风险作为重要的决策变量,始终把风险意识贯穿于经营的全过程。内部审计已成为银行风险管理的一个重要环节,存在风险的领域就是内部审计的重点,风险评估已成为内部审计的主要内容,内部审计已扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外,更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”,效益审计应成为内部审计的重要内容。
(二)将风险管理融人内部审计的全过程
内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。首先,在编制审计计划时,应在对可能影响机构的风险进行评估的基础上,按风险评估结果确定优先顺序,制定内部审计部门的审计计划,确定审计项目。
其次,确定审计范围和编制审计方案时,通过风险因素分析来确定审计业务工作范围,如重要的会计凭证、重大交易和事项的会计处理及交易授权等;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在选择技术与方法时,应能反映出风险的重大性与发生的可能性。再次,在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞,提出加强管理的建议。最后,追踪审计时应将注意力集中于最严重的潜在的问题上,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。
(三)利用网络信息开展动态管理评价模式
随着市场竞争的加剧,新的审计环境要求审计人员在风险导向审计中,利用网络信息收集风险数据开展动态评估的评价模式,为银行提供更有价值的服务。内部审计机构应根据机构和人员的设置情况,对日常资料的收集和分析工作进行分工,收集内部信息和外部信息,收集有助于进行风险评估的银行内部控制状况资料,建立数据库,利用一定的指标和模型进行风险评估,及时准确地确定审计监控的重点和范围,为各级经营决策者和审计部门全面、连续、及时地监控和评价业务发展情况提供大量有价值的信息,提高审计效率和审计质量。数据库的优点是把银行面临的风险进行量化,发挥预警作用,同时进行全方位、全过程的监控,以便及早发现存在的风险并及时进行解决,达到控制风险和防范风险的目的。
内部审计的主要风险范文4
关键词:医院;内部审计;风险控制
中图分类号:F239.66 文献标志码:A 文章编号:1673-291X(2009)06-0095-02
风险管理是指企业在日常的经营中,通过对风险的认识、衡量和分析,并以最小的成本达到最大安全保障的管理办法[1]。人们对内部审计基本认识还停留在针对医院的经济业务活动进行监控,查漏补缺、查错防弊,事后审计是审计主要形式。随着内部审计不断发展,审计已由账项审计、制度审计、管理审计逐步发展到对本单位风险管理和风险控制,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,1999年国际内部审计师协会把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对医院内部审计在风险控制和管理方面作简要的阐述。
一、什么是风险、风险管理
(一)风险及风险因素
风险是在一定环境和限期内客观存在的,可能导致费用、损失与损害产生的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。
风险因素,是指能够引起或增加风险事件发生机会或影响损失的因素。风险因素可分成三类:
1.物理因素,是指增加风险发生机会或损失严重程度的直接条件,在医院如购进不合格卫生材料、医疗仪器设备出现故障可能影响病人人身安全等。
2.道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素,如医德医风风险等。
3.心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素,如医护人员因责任心不强,未能严格执行医疗操作规范等。
在医院面临的风险有医疗风险、经营决策风险、财务风险、管理风险、医德医风风险等。
风险可能导致医院名誉受损,经营陷入困境,发生财务损失等。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。什么是风险管理,美国学者克里斯蒂认为风险管理是组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;美国学者威廉斯和理查德・汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国有学者认为,风险管理是医院通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
从风险管理定义以上看出风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
二、医院内部审计涉足风险控制和风险管理动因
从医院经营和管理要求,医院业务和管理行为一定要趋利避害,减少风险,稳健经营,医院内部审计涉足风险管理有重要原因:
(一)医院面临的风险日益增大
近年来,随着社会经济的发展,特别医院经营与国民经济联系越来越紧密,使医院经营环境变得日趋复杂,医疗市场竞争加剧、医疗体制改革不断深入,医院经营风险也大大增加。因此,减少医院面临的风险是组织实现经营目标的关键,也是医院的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是医院的管理咨询师,因此,内部审计部门和内部审计人员参与医院的风险管理也是其角色定位需要。
(二)内部审计自身发展的需求
内部审计部门为了不断地发展,为了在医院中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对医院又十分重要的领域,医院高层管理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在医院中成为一个重要的角色,并将其在医院中的作用推向一个新水平。
(三)内部审计能够在风险管理中发挥独特的作用
1.客观、全局性的管理风险
风险在医院内部具有感染性、传递性、不对称性等特征,一个部门造成的风险或疏于风险管理带来的后果往往不局限该部门,可能会传递到其他部门,最终可能使整个医院陷入困境,如一个医疗责任事故,可能引起其他临床科室病人恐慌,造成对医务人员的不信任心理。还如采购部门为节约采购成本,过于强调价格而忽略质量,这种暗藏的风险会在临床应用中反映出来,最终给医院造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计部门独立于业务管理部门,可以从全局出发、从客观的角度对风险进行识别,及时建议相关管理职能部门采取措施控制风险。
2.控制、指导医院的风险策略
内部审计部门处于医院决策层、业务和职能部门之间,内部审计人员能够充当医院长期风险策略与各种决策的协调人,从独立第三者角度调控、指导医院的风险管理策略。
3.内部审计部门的建议更易引起重视
在医院各职能部门如医务、护理、后勤基建、设备采购对各自部门风险都会有一定的管理措施,但它们在管理活动中毕竟视野和高度不够,存在本位主义,不一定能从医院全局角度去控制整体风险,内部审计部门独立于管理部门,其风险评估的意见直接供决策层参考。
(四)外部审计的影响
近年来,注册会计师的业务领域不断扩展,如风险评估,且逐渐成为主要业务之一,这内部审计产生重大影响。内部审计在单位内部风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计对医院面临的风险更了解、对防范医院风险、实现医院目标有着更强烈的责任感、对医院业务活动流程更熟悉。但外部审计比内部审计有更专业的审计方法和高素质的审计人员,在基建工程等投资金额大、周期长的项目,应引入外部审计进行风险控制。
三、内部审计如何参与风险管理
其他部门与内部审计部门所进行的风险管理相比较,既有紧密的联系,又有区别。联系在于,两者目的是统一的,都是为了降低医院的风险;两者的区别在于在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计进行的风险管理是在一般部门进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:
(一)风险识别
所谓风险识别是指对医院所面临的、潜在的风险进行判断、归类和鉴定风险性质的过程,换言之,就是要确定医院正在或将要面临哪些风险。内部审计对原有的已识别风险是否充分进行评价,即医院所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析分析等。
(二)评价已有风险
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法等。
(三)评估风险防范措施,提出改进意见
风险的防范措施是指为降低已识别风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计应提出改进措施和建议,以强化医院的风险管理,降低风险损失。采用的方法有:损失控制、签订免除责任协议等。
综上所述,内部审计涉足风险管理领域有其客观必然性。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督,但这绝不意味着内部审计部门可以控制、管理所有的风险。内部审计介入风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要长期研究的课题。
内部审计的主要风险范文5
【关键词】信息系统;内部审计;风险管理
当前,SAP系统在油田全面实施。审计活动要在以前单纯面向财务与会计部门之外更多地发挥作用,必然要求审计人员要将复杂的财务数据与具体的业务相联系,与生产、营销、采购、信息技术和经营等部门相联系,运用系统化、规范化的方法,找到生产经营过程中的薄弱点,最终为企业增加价值并提高企业的运做效率,实现企业的生产经营目标。如何适应审计对象信息化所发生的变化,内部审计如何参与风险管理,本文将对此问题进行探讨。
一、风险管理
风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法;(4)风险管理是一种特殊的管理功能。
二、ERP环境下内部审计参与风险管理的动因
ERP环境下内部审计之所以涉足风险管理领域,主要有以下几个原因:
1、对审计质量产生了重大影响
ERP环境下审计面临的固有风险、控制风险和检查风险均发生了显著变化,审计风险中检查风险发生的变化对审计工作影响最为深刻。表现为:①对SAP系统缺乏足够理解。当信息系统成为审计对象的一部分时,为了评估风险,内审人员必须对信息系统有足够的理解,但是,对大多数内审人员而言是一件困难的事情。另外审计人员在理解信息系统时需要一定的时间、文档资料、外部技术咨询、人力资源等,但在审计过程中,这些资源往往很难获得。②技术不成熟。内审人员采用计算机技术辅助审计以降低审计风险,但其本身就引入了风险,尤其是没有经过严格测试的技术。例如,审计人员自己编写的程序,往往没有经过认真的测试就投入使用。很多应用的审计软件也存在缺陷。例如,在导入数据时丢失记录,数据处理结果错误。③对技术的依赖性。由于信息技术的使用确实能够有效地提高审计质量和效率,审计人员很容易对技术产生过分的依赖。例如,期望通过电子数据分析来发现所有审计线索,忽略其他审计方法,如调查询问、实物盘点、函证、现场观察等。过分依赖信息技术可能导致检查效率减低,取证范围变得狭窄,以至于审计证据的充分性得不到保证。
2、内部审计自身发展的要求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。面对SAP系统的全面应用,内部审计参与风险管理,正是审计对象信息化的迫切要求及深化审计工作的必然选择。
三、ERP环境下内部审计如何参与风险管理
(一)强化内部审计部门自身管理
1、在评价ERP环境下企业风险的基础上合理安排审计资源。内部审计部门积极开展以风险评估为基础的审计,根据企业不同业务、以及风险大小分配审计资源,例如可以建立ERP环境下业务类型网络,在该网络中,可以集定业务方面的有专长的审计人员,以更好地理解各种风险,审计工作结束后,仍然存在资源配置问题。内部审计并不仅仅只做合规性审计,如果在审计报告递交后没有人执行,内部审计没有促进任何变化的发生,那么内部审计就没有起到其应有的作用。由于内部审计的一个重要作用是促进变化,既要告诉被审计单位问题出在哪,以及这些问题可能给企业带来的影响,还要提出解决问题的建议,并为了确保问题得到正确、及时解决,还要在审计结束后进行合理的资源配置,派出合适人选对该审计项目进行跟踪,并对高风险的领域提供持续的有价值的建议和监督。对审计项目的后续跟踪,并不意味着内部审计有失独立和客观。相反,如果内部审计部门能够监控被审计的全过程,并可能在跟踪的过程中发现新的问题,以便使审计部门进一步研究问题的所在。
2、不断更新内部审计的方法。实施ERP后,企业安全将面临更大的挑战,内部审计部门除了运用传统审计方法外,还应借助信息技术开展信息系统审计。主要内容是:一是对整体计算机控制环境审计。主要包括:检测网络与系统的安全性、检测是否有入侵行为、评估系统风险控制点,对系统设备、操作系统、无线网络、防火墙等方面的审计。二是对应用系统控制审计。包括:数据源和验证控制,输入环节控制,处理环节控制,输出环节控制,边界控制等。三是应用中石化开发的SAP审计查证系统进行计算机辅助审计。
3、培训专门的信息系统审计人员。内审人员的职业技能及职业判断能力将直接影响审计风险的评估和控制,并决定审计质量。无论从内审人员个人的职业发展,还是专业胜任角度考虑,都必须定期的、有计划的对审计人员开展培训,审计人员也应自觉不断的更新知识和技能,保持自己的专业竞争力。在信息系统环境下,除了一般审计人员要掌握一定的计算机知识之外,还应有一批专门的计算机信息系统审计人员。审计与计算机毕竟是两个不同的专业,要求每一名审计人员了解计算机信息系统的每一个细节是不现实的,也不符合社会分工的发展趋势,油田内部审计机构也应随着对计算机信息系统审计工作的不断深入,逐步建立起专门的信息系统审计部门,信息系统审计人员的加入,将使审计队伍的构成更加丰富,也将大大提高我们的审计质量和整体审计能力。
(二)内部审计实施风险管理的原则与步骤
ERP环境下内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:1、评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业在实施ERP后正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。2、评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。3、评估风险防范措施的充分性,并提出改进措施。风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,以强化企业的风险管理,降低风险损失。
四、ERP环境下参与风险管理要注意的几个问题
1、充分认识到,当前条件下ERP系统建设中还存在着比较突出的风险控制问题。目前,油田企业对信息系统的掌握和认识还不那么全面,加上对信息系统下的风险控制的作用还认识不够。许多企业引进ERP系统的目的就是提高业务运做效率和管理控制。由此带来两方面的问题:①传统的管理控制在信息系统环境下没有被合理更新。②信息系统下典型的技术控制还没有具体的实施程序。如安全程序变更、灾难防御等。
2、对内审人员应用计算机技术参与风险管理,要加强控制
内部审计的主要风险范文6
关键词:商业银行 内部审计 风险管理
随着银行业务的发展和市场竞争的加剧,银行业风险日益增大,使其生存和发展受到严重挑战,而内部审计在风险管理、内部控制以及公司治理等方面有着重要的地位和作用。本文就内部审计在风险管理中的作用以及如何发挥其作用进行粗浅的探讨。
一、商业银行风险管理
对银行而言,风险是可能对银行战略目标的实现产生影响的事件、行为和环境,而对这种不确定性进行调节和驾驭的能力就是风险管理。风险管理并非是要消除风险,而是通过对未来结果不确定性的分析预测和周密思考,以降低决策错误之几率、避免损失之可能,相对提高银行的附加价值。
商业银行的风险种类很多,主要有以下几种表现形式:一是信贷风险,信贷资产是银行业的主要资产,在当前实行分业经营的背景下,它是银行业最大的盈利项目,信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险,主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险,主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险,主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来,商业银行内控制度尽管有所加强,但受利益驱动和相关管理人员能力、素质的影响,经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。
二、内部审计在风险管理中的作用
随着市场经济的不断发展,市场竞争日趋激烈,经营环境复杂多变,银行面临的风险也不断加大。内部审计在风险管理中发挥着越来越重要的作用,它通过评估、计量和报告总体风险,推动银行实施风险管理,最大程度地防范和化解可预见的风险。具体而言,其作用体现在如下方面:
(一)能够客观识别和评估风险的充分性
内部审计部门独立于业务管理部门,这使其可以从全局出发,从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之,就是要确定银行正在或将要面临哪些风险,所面临的主要风险是否均已被识别,并找出未被识别的主要风险。内部审计师不仅要识别相关的风险,而且还应从以下几个方面对风险进行评估:一是评价银行战略目标的制定是否是在分析组织和行业发展情况和趋势、银行的优势和劣势、外部的机会和威胁的基础上结合实际来制定;二是看分解到各部门的目标是否对战略目标提供足够的支持,是否与整体目标保持一致;三是评价员工是否确知已建立的工作目标(或业务管理目标);四是管理层是否建立风险识别与评估机制,该机制至少包括机构、人员、政策和程序以及支持系统。管理层对风险的识别和评估是否准确,是否已对面临的风险进行恰当分类;五是是否已识别出各类内部和外部的风险因素,并对已识别的风险进行计量,分析控制措施是否完善,是否可以使银行风险发生的可能性和影响都落在风险容忍度之内;六是风险监控是否持续得到执行,监控报告制度是否合理,风险管理报告是否充分、及时。
(二)能够综合分析和计量风险的恰当性
内部审计对现代内部控制的焦点不仅在于识别和评估风险的充分性,而且在于强调风险分析和计量。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计,通用的公式为:风险值=风险影响X风险概率。目前国内商业银行缺少实施先进风险计量方法的必要支撑,但新资本协议鼓励银行采用更为先进的风险计量方法,如允许银行通过内部评级确定风险函数计量加权风险资产;运用金融工程技术转化基础工具计量市场风险;运用基本指标法、标准法、高级计量法和风险模型计量操作风险等。内部审计可以借鉴新资本协议的方法,对风险进行计量和解析。在风险难以量化、定量评价所需的数据难以获取时,应采取定性评价。定性评价的复杂性在于很多情况下需要主管判断不同结果的可能性,不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同,如银行在计量未决诉讼预计负债时,其金额具有不确定性,需要进行合理而恰当的估计。
(三)能够发挥风险反馈的预警性
内部审计在银行管理控制系统中发挥反馈作用,对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果,特别在关注高风险领域和内控不健全区域的潜在威胁时,是通过风险反馈进行持续监督与评价,确保目标与预算如期完成的。一方面,内部审计要与相关部门进行风险管理沟通,对风险管理过程的充分性和有效性进行检查、评价,对重大的审计发现按清晰传递的线路进行报告,传递给内部相关人员和其他有关方面,以便及时采取相应的控制措施,同时对监督检查结果的落实情况要进行跟踪报告,使风险及时得到控制和防范;另一方面,以风险为核心及出发点的内部审计,能够客观地从全局的角度管理风险,能从组织的利益和实际出发,提出防范风险的有效建议,作为管理层改进风险管理的参考意见,内部审计的建议更加强调风险规避、风险转移和风险控制,通过有效的风险管理建议反馈,提高组织的整体管理效率。
三、加强内部审计在风险管理中作用的有效途径
(一)树立正确的风险审计理念
在当前市场竞争日趋激烈的情况下,银行面临的风险越来越大,银行各级管理层应深刻理解银行所处环境中各种不确定因素对银行风险的含义,把风险作为重要的决策变量,始终把风险意识贯穿于经营的全过程。内部审计已成为银行风险管理的一个重要环节,存在风险的领域就是内部审计的重点,风险评估已成为内部审计的主要内容,内部审计已扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外,更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”,效益审计应成为内部审计的重要内容。
