前言:中文期刊网精心挑选了内部审计应急预案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内部审计应急预案范文1
【关键词】风险管理内部控制内部审计
【中图分类号】F275
一、在内部控制的基础上,实现全面风险管理
内部控制是企业风险管理不可分割的一部分。全面风险管理集成、涵盖了内部控制的主体内容,扩展了目标设定、事件识别和风险反应三个构成要素,增加了风险管理的战略目标,提出了风险组合观及对应的统筹治理风险理念。基于内部控制系统、遵循企业愿景建立企业风险管理体系,已成为企业全面规划和管理风险的必由之路。经过多年的内部控制工作,北化集团建立了逐步规范的公司法人治理结构、完善的内部控制组织体系,积累了丰富的经验,这些为全面风险管理的实施奠定了一定的基础。
在此基础上,集团提出了将内部控制系统向全面风险管理系统的进化和升级的构想,将内部控制体系上升为全面风险管理体系主要有以下几个突出的变化:
1.由事中和事后处理转变为防范、控制、监督一体的防控;
2.由经验与习惯转变为系统化、制度化、流程化管理;
3.由风险防范转变为风险转移、风险化解和分散风险;
4.由单一制度的执行转变为体系的整体运转与文化引导;
5.由传统的关键指标管理转变为以“全面防范风险,促进企业和谐发展为目标”的目标导向型管理。
经过这些突出的变化,集团总部及各子公司要建立一套符合全面风险管理要求,具有科学性、适用性的内控体系,通过对风险管理的主体、管理方式、方法及流程的有效管理,统一规划、统一调节,实现风险与内部控制管理的分工负责、归口管理。通过这个体系,进一步完善监督、检查、考核措施,使企业各项基础管理工作系统化、制度化、流程化,以形成纵向到底、横向到边的横、纵向网状风险管控模式。
二、全面风险管理的实施
(一)构建风险管理组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。近年来,北化集团逐步建立了外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,集团构建了业务部门、风险管理部门和内部审计机构闭合体系:
总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。
总部层面成立“内部审计与风险控制委员会”,统一挂帅构建全面风险管理体系。
审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出体系完善的建议。
(二)进行风险分析和风险评估,形成风险信息数据库
长期内控管理工作,集团对企业运营中的高风险领域形成清晰的认知。2009年,集团公司专门成立了风险管理和内控工作小组,对公司内外部政策和经营环境信息、风险管理以及制度、流程进行了全面、系统的梳理和分析,深入企业和各个业务部门进行了实地调研,组织公司中高层管理人员及业务骨干进行了风险专项分析及风险评估,针对“集团总部――各职能部门――企业”三个级次各个业务流程进行了系统的风险查找,确定了各项重要的风险点,根据查找的风险点,对每个风险发生可能性、对企业的影响程度、该风险当前的管控程度等进行全面评估,建立数据库。同时,依据风险信息数据库,结合内控标准的实际运行情况,对流程设计的合理性、适用性进行全面的审查和修正。一方面完善和整合风险管理的各项制度,风险管理组织架构。另一方面完善风险管理信息沟通,在集团总部和子公司建立涵盖财务、人力资源、运营、投融资等全方位信息系统,把内控由人的控制上升到计算机进行控制,实现集团风险管理的信息化。
(三)制定风险应对措施,有效防控风险
为强化风险管理的有效落实,集团针对重大风险编制了专项应对方案,制订了包括定期召开集团公司内外部形势分析研讨会、实现预算管理规范化、保持集团总部及下属公司资金支出等一系列风险防范措施,编制了《三重一大事项报告制度》、《重大安全事故应急预案》等风险应急预案,注重全方位的风险防范,确保最大限度规避或减轻风险发生的可能性和影响。同时,将风险应对措施和内部控制的要求融入部门规范中,使风险管理成为公司综合管理体系的有机组成部分,真正保障了风险防范能够落到实处。
(四)重大风险日常监控
集团公司坚持对重大风险实行持续监控的原则,拟构建NC系统,利用信息技术提高风险控制的效率和效果,目前已经实现了部分财务监控指标的预警和控制,在费用报销、费用支付等流程中增加了合规性、真实性、准确性等审核标准,并实现了预算执行情况的方便查询,能在超预算时进行预警提示,既有效促进了财务内部规范的落实执行,又对资金支付实现了有效的控制;集团大力加强风险监控系统日常应用管理,建成系统后,我们将通过系统预警信息监控与人工核对相结合、重点监测与抽查跟踪相结合的方式进行风险监控,对预警信息及时跟踪回馈并督促整改;加强风险监控信息分析、报告制度,风险责任单位负责各自职责范围内的风险监控,对预警信息进行分析,编制重大信息内部报告并按程序提交处理。
内部审计应急预案范文2
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献:
[1]胡晓明.信息时代的IS审计理论结构构建[J].武汉中南财经政法大学学报,2006,(3).
内部审计应急预案范文3
为了合理的识别医疗信息系统的风险,内部审计人员首先应当了解医院的信息系统环境。
1.1了解信息技术在医院中的运行环境
该院搭建的医疗信息系统平台包括:医院信息系统(HIS)为收费、检查、门诊及住院等活动提供服务;临床信息系统(CIS)收集处理临床数据;此外还有LIS、PACS、电子病历系统、叫号系统、财务系统、人事系统、物流管理系统、电子点餐系统和科研教学系统等等分别发挥着其各自的作用。因此,计算机信息技术已经融入到了医院的各个主要业务流程,不仅为病人和医生服务,更为医院管理提供支撑。医院信息系统平台的搭建,一般都得到院方的广泛支持。
1.2了解搭建医疗信息系统平台的应用程序、计算机操作系统及硬件设备
首先,为该院服务的软件品种较多,各个软件间存在相互接叉读取数据的情况,有可能对数据库的安全稳定造成影响;其次,由于各个医院的专科项目不同,医疗就诊流程也存在着个性化的差异,导致所使用的软件以及软件所配备的应用程序、操作系统也存在个性化差异较高的现状,这可能会导致医疗成本的大幅度提高;第三,由于信息技术已经融入医院管理,医院对信息化系统的依赖程度较高,对系统本身的安全性要求更加严格。另外,为了满足软件的运行,医院必须同时保证充足的硬件设备,例如电脑终端、大型服务器、保障设施(例如UPS)及交换机等,并负责维护设备的安全运行。此外医院还需提供可靠的操作系统,例如主流的Windows和Linux系统等。
1.3了解医院对应用程序及软件的管理方式
为了有效地管理医疗信息软件和保障医疗数据的安全,该院要求各个软件提供单位派驻工作小组,长期为医院的软件提供外包管理服务。院方还成立专门的信息中心进行管理,信息中心制定了相应的信息系统管理规章制度,并对规章制度的监督、执行和有效更新负责。此外,为了监控软件和硬件的日常运行情况,一些专门的预警机制也被引入医疗信息系统的管理中。例如,网络运维管理平台的使用有效的监控各个软件应用程序、操作系统,以及服务器、交换机等硬件的运行状态及运行环境,在软硬件发生异常时提早预警,帮助软件工程师及时排查错误。
1.4了解医院信息系统实施是否有效地帮助医院提高运营效率
2评估识别出的风险
基于风险导向审计为基础的审计风险由3个部分组成。
2.1固有风险
信息系统的固有风险一般来自于系统本身的安全性。随着计算机技术的普及和在医院内部的广泛使用,有效降低了人为舞弊情况的发生。但是,计算机软件和硬件安全问题,信息系统设计造成的固有缺陷给医院管理带来了风险。首先,由于计算机网络本身容易感染病毒,受到攻击时会造成网络瘫痪;硬件存放环境不当,对大型硬件设备造成损伤引发宕机。在对医院信息系统高度依赖的环境下,软硬件存在的固有风险,会给医院造成重大的损失,影响正常的医疗秩序。其次,由于软件工程师对医疗知识和管理知识的缺乏,计算机软件设计开发的初始阶段往往存在缺陷,运行期间则需要根据用户的需求做反复的修改,此过程不仅增加了医院的成本开支,也会影响到系统运行的安全性。
2.2控制风险
对医院信息系统的良好控制首先依赖于医院的制度规范执行。医院一般都设置专门的计算机信息部门,对医院的信息系统,包括软件程序、硬件设备和网络进行统一管理。该院在设立信息中心的同时,聘请软件开发企业进行外包服务,即由软件公司派驻专门的人员为医院的信息系统服务。如何平衡医院自主管理和对外包服务的依赖,给医院的管理提出了新的问题。因此审计人员在评价控制风险时,需要对医院自主管理能力和规章制度的执行情况进行分析,同时对外包服务的有效性进行评价。其次,对用户授权的控制。信息系统在医疗业务流程和管理流程内部控制的实现主要是通过对用户权限的设置来完成。相应层级的管理人员都具有不同的授权权限,在不同的业务流程中发挥作用。但是任何一个系统都存在一个超级用户,超级用户对所有的医疗信息、目录和文件有完全的访问权,它是安装后第一个登录到服务器上的用户,可以添加用户并设置系统内所有用户的权限。因此,内部审计人员必须对超级用户的实际状况进行分析,从而评价是否存在随意篡改数据的风险。此外,软硬件的成本是医疗信息系统建立并进行控制活动过程中不可忽略的问题。软件成本主要来自于人工费用和知识产权费用。但是,软件公司在销售产品的时候,常常隐蔽其真实的人工成本,并将知识产权费用夸大。医院采购部门往往很难判断软件产品的采购价格是否合理;医院信息平台的搭建同样还依赖于大量硬件设备,医院往往需要采购大型服务器、交换机和UPS;为了保证硬件设备的良好运行,医院还需要考虑良好的存放环境,利用辅助设施,保证存放地点湿度和温度的适当;基于软件程序,硬件设备的安全运行和有效管理考虑,很多医院为此引入了网络运维系统等非医疗信息系统软件,在另一个程度上增加了医院的系统购置成本。因此,内部审计人员必须对成本效益进行分析,在避免一味节约成本造成的信息系统搭建不完善的同时,避免为单纯追求效益导致的资源浪费。
2.3检查风险
检查风险受固有风险和控制风险的影响。信息化的普及,改变了传统审计的方法、审计对象和审计线索。传统的内部审计通过执行控制测试和进一步审计程序,对财务报表的舞弊做出判断;通过对医院内部控制的了解,评价内部控制的有效性,帮助医院提高内部管理水平等。医疗信息系统建立后,要求审计人员在掌握医疗管理流程的同时,还需要了解医疗信息系统中软件程序、网络和硬件设备等专业计算机知识,并利用信息技术进行内部审计。在缺乏系统的计算机专业知识,以及计算机审计规范不健全的情况下,内部审计人员未能恰当地施行审计程序,也会为医院管理带来风险。
3应对措施
内部审计人员在实施进一步审计程序时,应当关注以下几点内容。
3.1将信息系统的哪些方面纳入审计的范围
在考虑成本效益的原则下,进一步审计程序应当将资源有效地集中于风险最大的部分。首先,内部审计人员应当评价风险的重要性。将后果严重的部分,进行重点关注,因此,在对医疗信息系统进行风险评估和分析之后,内部审计人员应该对系统中关键信息点进行重点审计,例如对HIS中病人的主索引、收费明细记录、病历记录、处方记录等执行详细的审计程序;其次,内部审计人员应当关注特别风险事项,例如对于超级用户权限管理的审计;最后,内部审计人员还要关注细微风险累计的影响,如果几个细微风险累计产生的影响会对系统整体运行造成重大损失,内部审计人员则需要详细地设计进一步审计程序以应对此类风险。
3.2采用怎样的审计方式对医院信息系统进行评估
与传统内部审计工作不同,内部审计人员需要对系统运行的有效性进行评价,因此除了传统的检查、观察、询问、函证、重新执行和分析程序等进一步审计程序以外,内部审计人员还需要对系统中关键信息的数据库语言进行分析。同时,还需要利用审计软件进行信息化下医院的内部审计工作。
3.3以何种频率进行审计
通常风险被划分为高、中、低3个等级。在被识别的高风险等级中,信息技术风险被认定为发生概率高且对医院的运行影响范围广,因此内部审计人员通常应当每1~2年进行1次审计;对风险级别和影响程度及范围均适中的风险点,每2~3年进行1次审计;对风险级别低,不经常发生以及影响范围和程度均不明显的部分则在每3~5年进行1次审计。
3.4针对医院信息化背景下产生的固有风险进行评价
对控制风险和检查风险分别采取应对措施降低风险的影响程度
3.4.1固有风险的评估。
由于固有风险是医院在搭建医疗信息系统平台时无法避免的缺陷所造成的损失,内部审计人员无法控制此类固有风险,只能评估风险的大小。内部审计人员应当评估固有风险的大小,协助相关科室建立应急方案,一旦发现由于信息系统故障造成的问题,立即采用人工应急预案,有效地减少损失,保证医疗服务的质量。
3.4.2控制风险的应对。
(1)医院对外包服务建立有效管理体制。根据调查和实践证明,合理适当的外包,可以减少医院管理成本,节约人力资源。但是过多的将医院的信息系统管理建立在外包服务的基础上,同样也会给医院带来风险。如果关键的管理点均依赖于外包服务,那么就会造成权责不清的情况发生。因此,医院内部加强对信息系统的管理,建立完善的管理制度,培养医院内部计算机管理人才,平衡外包服务和自身管理的程度,对外包工作进行有效的监督和管理是减少控制风险的关键。内部审计人员应当帮助医院评价计算机中心管理制度是否存在缺陷,并提出相关建议。(2)对滥用超级用户功能的控制。由于超级用户的存在,人为从后台篡改数据给医院的内部控制造成隐患,例如,医生可以从后台修改已开出的处方和病历,不利于医院对已开具病历和处方的管理,极易造成医疗纠纷;财务人员也可能恶意的对系统中已录入的财务数据进行修改,或隐藏一部分财务数据,造成医院财务管理的风险。因此,内部审计工作中,审计人员要关注超级用户的管理方法,严格控制其使用范围,以防人为恶意篡改数据。(3)加强采购环节的控制。内部审计人员应当分析本院的所有信息系统软件是否符合医院管理的成本效益原则,评价现有软件有无浪费,以及由于信息技术快速更新造成的应淘汰软件仍然在续订的情况。内部审计人员可以通过帮助建立完善的物流采购程序,对大型软件严格采取政府公开招标的形式,利用外部专家进行分析。同时,加强对成本的考察,软件成本大多来自于软件工程师的脑力劳动和知识产权,一般很难评估,内审可以通过相同产品的询价,比较软件给医院带来的效益等方式来评价软件是否应该引入。
3.4.3检查风险的应对措施。
内部审计应急预案范文4
1.1建立完善的质量管理制度。
制订质量控制工作流程图,对校方现场管理人员、监理方、施工方,以文件形式明确分工和报告关系,规定质量责任处罚措施。
1.2聘用专业监理公司全程负责质量监督。
在监理舍同中明确监理工作要求、监理程序、监理内容,同时加强校方的到场监督;建立质量现场沟通报告制度;必要时对关键点位、主要材料、设备进行质量抽验。
1.3加强设计质量管理。
选用具备资质、信誉良好的设计单位;加强施工前施工图审查及技术交底,建立健全设计交底与施工图会审制度;对设计缺陷导致的质量问题,包括勘察设计阶段中的勘察深度不足,技术设计阶段设计深度不足,与现场情况不符均要在合同中规定设计索赔;严格施工中的设计变更审批制度。
1.4选择具备资质、报价合理、履约能力强的施工单位;
明确不得转包及分包的施工内容;监督施工单位严格按照设计组织施工。
1.5由学校供应的材料,应由信誉良好、质量可靠的供货商供货;
质量安检程序完备。
1.6学校应及时按工程形象进度和合同要求支付工程款。
1.7明确施工质量检验的内容与要求;
施工及监理单位对质量事故问题处理彻底;验收手续完整、验收结论至少达到合格、无质量遗留问题。
2、工程项目造价风险管理控制
2.1保证设计质量。
聘请资质高、信誉好的设计单位进行设计,保证设计质量。设计单位要根据投资估算,按价值工程和限额设计原则进行初步设计,保证概算不超估算。
2.2开工前做好组织计划。
避免盲目上项目,后期资金又难以为继,产生不必要的违约赔付。
2.3注重招标前量单或合同条款的审核。
聘请具备资质的造价咨询公司,根据施工图编制标底并对量单进行审核,由市政府采购办公室组织招标;自行招标的,应符合法律―规定且由审计对其程序的合规性进行监督。在签订合同前由内部审计部门对合同条款的合理性进行审计,合同条款中注意风险规避。不同形式的价格条款体现了风险分配形式,为有效规避投资失控风险,应尽量避免在合同中规定可调整事项,最好的形式是在审计部门审核量单后,订立固定总价合同,从而规避价格调险。
2.4严格按设计施工,杜绝不必要的增项。
2.5严格控制增项及变更。
超过规定额度的增项及变更,工程管理部门无权自行决定,必须经过新校区建设领导小组会议集体审议通过。
2.6建立费用预算制度。
对工程管理费用和二类费用,由费用经办部门按照国家文件或市场标准先申报、经内部审计机构对费用预算的合理性进行事前审核,再由组织决策部门根据审核结果审批。费用预算一经审批,须严格执行,对超过预算的费用,不允许计划外或超标准列支。
2.7造价控制过程中的纠偏及报告。
对于从设计到完工的造价超标因素,首先要及时纠正;的确不能纠正的,应在事前以书面报告形式,将超支因素与额度及潜在的风险报告组织决策层,以备应急预案。同时应报告财务部门,以应对增加的资金需求。
2.8内部审计机构对工程造价实施全过程跟踪审计。
为控制工程造价,保证造价合理,内部审计机构重点在招榇前审核量单、合同签订前对价格条款提供咨询、变更环节审核量的真实与价格的合理、结算环节进行全面审核确认,并出具评价意见。此外,对于校外实体携资代建项目,应在明确规模和标准后,先由内部审计机构聘请具备资质的造价咨询公司,测算项目的合理成本及利润,经内部审计机构审计后,再与投资方签订固定价格合同这样就能事先防范代建项目造价过高的风险。
3、工程项目工期与进度风险管理控制
对于项目合理工期在充分考虑相关因素基础上由专家论证确定。工程管理部门应针对具体项目,按施工先后次序制订网络管理图,对影响工期的关键环节和易产生问题环节,进行重点管理,有效控制工期。
4、工程项目资产风险管理控制
财务部门具备独立设置、核算内容完整的工程账;基建管理部门建立工程款支付台账;财务部门与基建管理部门就工程付款情况进行定期核对。对具备决算条件的工程项目,在组织决策部门的统一部署下,由财务部门具体实施工程财务决算,基建部门配合实施工程财务决算;对工程决算的独立审计制度;完工工程转固定资产及相关的固定资产管理制度。
5、廉政风险控制措施
内部审计应急预案范文5
一、小企业内部控制存在的问题
(一)风险评估体系欠佳
风险评估体系是小企业内部控制不可缺少的环节,想要持续发展,就离不开科学的风险评估。但是因为规模、资本等方面的限制,小企业很难做建立风险评估体系,因此也就无法将企业所面临的风险控制在最小的范围内,无法实现真正的盈利[1]。
(二)信息披露透明度偏低,沟通不畅
由于种种原因,我国小企业在对外的报表与记录上都存在严重的不真实情况,再加上外部审计机构监督的缺失,使得小企业对外报表与企业实际的经营之间存在明显的差异。如给税务部门和银行的报表常常会出现数字不一样的问题。相对于大型公司而言,小企业还存在严重的信息沟通预计信息披露透明度偏低的问题。
(三)内部监督不力
由于大部分小企业的关键部门是企业实际管理者或者是亲戚等直接负责,由于人事关系的影响,导致内部的审计工作难以真正的开展下去。另外,再加上中小企业所有者更在乎经营业绩与盈利状况,所以一旦经营业绩与管理方式之间出现了冲突,更多会倾向于实现经营业绩,也就是只要能够出现好的经营业绩,那么完全可以接受违反企业规章制度的问题出现,这样对内部审计工作的开展也带来的重重阻碍。
二、小企业内部控制策略分析――以LQ公司为例
通过多年的努力,LQ公司的综合实力有了一定程度的增强,并且经济效益也有所提升。在未来的经营活动中国,LQ公司还应该继续夯实基础,通过多种经营模式的相互组合,为当地的经济发展做出贡献,为了适应时代的发展,在内部控制上,LQ公司也做出了明显的改变。
(一)积极引入风险管理
第一,建立内部风险文化,强调全员风险防范意识的培养,LQ公司聘请相关领域的专家对管理层人员以及员工进行风险管理方面知识的培训,另外,作为高层管理人员,就应该随时随地地保持清醒的头脑,对公司存在的风险做好审视,再配合上全员之间的相互沟通,就能及时地掌握公司动态。第二,考虑到LQ公司属于小企业,其资源规模有限,想要设置专门的风险管理部门不太现实,所以公司明确了风险管理责任人,同时赋予其一定的权利,而责任人有义务监控企业所面临的重大风险,及时地报告风险事件,从而配合公司的管理层制定出应急预案,并且根据实际情况,做好相应的调整,以便将风险控制在允许的范围之内。
(二)优化信息平台,加强信息沟通
对于LQ公司而言,信息沟通是重要的纽带,LQ公司应该将其业务信息平台进一步完善,让其向着全员开放,这样才可以为经营管理活动提供最完整、最准确、最及时的数据报告,这样也可以员工了解公司、表达诉求等提供一个平台支撑,这样不仅有利于公司管理能力的提升,同时还可以实现信息化的管理。另外,在会议制度方面,则要着重考虑到建立反馈机制,将原本的单向沟通转变为双向沟通,如建议制度或者是非正式的会谈等都是很有效的措施。另外,注重部门与部门之间的相互沟通,这样也可以促进部门之间的关系。最后,LQ公司还应该注重与外部利益者之间的相互沟通,能够懂得利用网络媒体、中介机构、监管部门等有效渠道来提升公司本身的影响力,这样就能够针对信息进行适当地整合与选择[2]。
(三)强化内部监督
1、设置内部控制管理者
在LQ公司的内部控制活动的设计、监控方面,内部控制发挥了关键作用。但是,考虑到LQ公司本身内部审计过于薄弱,忽视内部设计在经济管理上的作用。因此,就可以在LQ公司中明确好内部控制管理者。同时,在赋予其一定的权利与义务,这样也有利于工作的顺利开展。当然,考虑到人力本身的匮乏,LQ公司很容易忽视其独立性,所以需要我们引起更大的关注。
2、实施财务预算监督
考虑到LQ公司本身的规模偏小,其会计服务对象相对单一,公司还未能建立出全面的预算共组管理制度,这样就很容易出现重经营轻内控的情况。所以,LQ公司就可以通过财务预算监督的强化,加强财务相关事项的管理,以此来建立出财务监控体系。通过财务预算监督来监控重点业务,在为内部控制监督指明前进方向的同时,还可以实现动态循环的监督管理,这样才能帮助LQ公司完善内部控制。
内部审计应急预案范文6
[关键词]内部控制;风险管理;措施
一、我国企业内部管理存在的主要问题
(一)企业管理的有效发挥取决于好的控制环境
而良好的企业环境取决于企业的最高管理者,最高管理者的领导意向会直接影响到企业各方面的管理及其发展。如作为全球第5产品企业之一的帕玛拉特,其中国公司于2003年12月申请破产,2004年在中国的工厂全线停产。该公司失败的原因之一是高管层人事管理失误,比如帕玛拉特上海分公司,从1998年10月成立以后至2003年共换了5位经理,平均1年换1个。而该公司中国区的总经理,在不到10年的时间内,更换了4任。领导层的频繁更迭,造成对市场的判断、对政策的制定与执行都很难保证一个基本的连贯性,领导层权威递减、号召力削弱,影响企业的稳定和持续发展。
(二)企业内部缺乏有效的风险防范系统
风险防范意识薄弱,风险管理不到位是诸多企业的“通病”,企业未能建立一套完整有效的风险系统,或者形同虚设。对于依赖母公司风险指导的子公司,由于时间及空间的局限性,经营风险在数量和金额上的标准不一致,导致风险失控。例如中航油在市场上不断亏损时,依照母公司风险指导制定的风险控制机制完全没有启动,损失超过500万美元时也没有报告董事会。中航油的母公司因风险未达到集团公司的风险确认标准,没有及时对子公司进行有效监控,还不断提供继续交易的资金。另外,相关中介机构对油价走势的错误判断,没有针对期权交易做出风险预警,也是导致中航油巨亏的重要原因。巴林银行的倒闭也归根于风险管理缺失,过分相信雇员的个人能力,让一个人即做交易又管理风险,这就等于没有风险管理。
(三)企业内部缺乏协调机制
内部协调不畅通在集团公司中非常普遍。各部门分工不明确,权责关系不清,统计来源和口径不一致,缺少有效的信息沟通,责任无人担,功劳抢着拿,各部门“各行其是”,追求部门利益的“最大化”。例如:国资委针对所属企业领导进行考核时,非常重视企业的财务指标,这使得企业财务部门以外的其他部门对国资委的考核不够重视,认为这是考核财务指标,与自己部门无关。而财务部在整理与企业业绩相关的财务数据时,通常需要人事部门等其他部门的配合和支持。当部门之间没有很好的协调与沟通,就会影响企业的发展。
(四)监督机制不健全
公司没有建立与实际相适应的监督机制体系,监督内容不具体、不细致,致使监督工作难以落到实处。监督者对所发现的问题,往往没有处置权,监督与惩处相脱离,致使监督乏力,缺乏权威性。有些企业的内部稽查、评价制度不完善,企业内各组织机构执行指定职能的效率低。例如在中航油事件中,审计委员会就公司投机衍生品交易的监督管理和控制未能完全尽职。又如2006年8月17日,大庆炼化公司北罐区V304储罐被盗原油40余吨,负责公司资产安全的保卫武装部守卫二大队疏于职责,未阻止失盗事件的发生。当月底的盘库是对公司存货完整性进行监督的重要环节,由于当班操作人员没有按规定进行盘库,而是将7月份的盘库数据作为8月份的盘库数据上报,使得第一道监督失效。操作人员随后发现了盗油迹象,并作了汇报,但没有引起车间领导的重视,监督部门也未能有效监控。
二、加强企业内部管理的对策和建议
(一)首先企业要建立良好的内部控制环境
在内部控制的所有环节中,控制环境是整个内部控制的基础。控制环境包括企业文化、员工的道德水准、管理层和董事会的管理能力及经验等。一个企业是否有凝聚力、管理者和员工的品德如何、董事会的领导水平高低,会直接影响到企业的兴衰成败。例如:小天鹅股份有限公司的“末日管理”是该公司最高管理者的忧患意识和艰苦奋斗的精神在该公司内部管理中的体现。
(二)内部控制就是控制风险,建立一套有效的企业风险管理制度至关重要
在企业经营过程中可能遇到各种具体的风险,必须建立相应的制度进行防范,如企业的市场风险、信用风险、资金流动风险、作业风险、法律风险、会计风险、信息风险、策略风险等。例如宝钢集团在涉及风险管理内部环境的多方面展开了工作,并在长期投资、对外担保、资产转让、子公司管控等重要风险领域实施有效的风险应对方案。在风险管理体系建设中,该公司重点推进4项工作:一是建立风险管理的组织体系和工作机制;二是对重大风险进行识别和评估,形成重大风险清单,确定风险管理重点领域;三是针对重大风险涉及的重要业务流程和重大事件,形成内控手册;四是针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。从宝钢推进全面风险管理中看到董事会建设是全面风险管理的基础和推动力,涉及企业全局的系统工作要求全体人员参与。再如小天鹅股份有限公司的“末日管理”就是要求企业的员工面对市场的竞争时刻保持危机感,使该企业上下都树立起很强的风险意识。
(三)建立企业协调管理机制
高管层应当统一协调各部门制定出企业的共同目标,使部门主管在互相协作的基础上寻求自身的发展。例如公司的某些业务,可能几个部门都可以做,高管层应该让各个部门有所专攻,或进行权职划分,减少内耗,协调发展。此外,在奖酬设计上,对于各部门为达成共同目标所做出的努力进行鼓励,避免追求局部利益“最大化”。
