Ilovesmile
(一)非审计服务问题安达信公司为安然公司提供审计服务的同时,还为其提供了大量非审计服务,非审计服务的收费(2700万美元)也高于审计服务收费(2500万美元)。因此,人们认为这种巨额的非审计服务收费影响了注册会计师审计独立性。但也有不少人认为,非审计服务并不影响审计独立性和审计质量,禁止注册会计师提供非审计服务将对注册会计师行业和审计质量将产生不利影响。其实,非审计服务是否有损于审计独立性并非新鲜话题。2000年6月,SEC在当时的主席利维特的极力推动下,对外公布了修订注册会计师独立性规则的建议草案。该草案建议禁止会计师事务所为审计客户提供财务信息系统设计与运行、内部审计外包等多种非审计服务。但该建议草案却遭到了以AICPA、“五大”为首的注册会计师行业的极力反对,引发了SEC与注册会计师行业之间的激烈论争,媒体称之为“独立战争”。注册会计师行业的观点认为,提供非审计服务不仅不会损害审计独立性,反而使注册会计师能够更深入地接触和了解客户的经营情况、商业计划和管理运作,实质上会大大提高审计质量。AICPA还动员了52位国会议员联名写信给SEC,要求SEC改变立场。最终,SEC被迫在2000年12月出台的独立性规则中,做了很大的让步和调整,只对非审计服务进行了个别限制。安然事件引发的非审计服务影响审计独立性的话题,只是旧事重提。不过,这一次跟以前大为不同。美国媒体基本上是“一边倒”,强烈支持对非审计服务的全面禁止,而不再象2000年那样基本保持中立,只是客观报道SEC与美国注册会计师行业之间的斗争。许多国会议员也纷纷转变立场,不再公开反对禁止非审计服务。利维特在国会作证时,以前曾向其施压反对出台SEC新独立性规则的两名议员竟向他致意道歉。不过,现任SEC主席哈维·皮特与其前任的观点也不大一样,他在2002年3月20日国会的听证会上仍然主张,非审计服务与审计失败之间没有必然的联系,审计回避咨询服务将对审计质量产生消极影响。美国“五大”过去一直坚持认为非审计服务不影响审计独立性,但在安然事件后,迫于舆论的强大压力,向外界宣布了不再向审计客户提供信息技术咨询和内部审计服务。原来坚持不拆分咨询业务的德勤会计公司也承诺拆分咨询业务。曾在2000年与SEC进了坚决斗争的AICPA,也于2002年2月1日对外宣布,不再反对限制注册会计师为上市公司审计客户提供非审计服务的联邦立法,尤其支持对信息技术咨询和内部审计的限制。美国总统布什虽然出言谨慎,但还是明确地希望对非审计服务实行部分禁止。他在2002年3月7 日提出“十点计划”时认为,会计师事务所目前在提供审计服务的同时,也在提供税务服务、信息系统设计等非审计服务。有些非审计服务只能由注册会计师提供,有些非审计服务能够提高审计质量。不过,对这些服务的收费绝对不能损害注册会计师的公正性。为此,他建议SEC为公司的审计委员会制定指南,指导审计委员会禁止外部审计师提供有损于审计独立性的非审计服务,并要求SEC禁止注册会计师为审计客户提供内部审计服务。美国国会众议院2002年4月24通过的奥克斯利法案,禁止会计师事务所给审计客户提供财务信息系统设计与实施、内部审计外包两种非审计服务。但后来的参议院法案却明确要求禁止8种非审计服务。布什总统签署生效的法案最终采纳了参议院法案的内容。AICPA曾公开表示反对参议院法案,并对国会议员做了大量的游说工作,试图阻止该项法案,但未获成功。(二)注册会计师定期轮换制问题注册会计师定期轮换制问题包含两层含义:一是审计合伙人的定期轮换;二是会计师事务所实行定期轮换,以避免与客户长期的关系导致审计独立性下降。此前,美国只是要求审计合伙人实行7年轮换制,并未要求事务所进行轮换。安然公司成立16年来,其财务报表一直由安达信审计。很多人怀疑这种长期的合作关系会“日久生情”,从而影响注册会计师审计的独立性,因此建议建立会计师事务所定期轮换制度。SEC前任首席会计师林恩•特纳是事务所定期轮换制的积极倡导者。但SEC现任主席哈维·皮特却不支持这一建议,认为会计师事务所的定期轮换最终有损于审计质量。这一建议更是遭到AICPA的强烈反对,AICPA总裁及首席执行官麦兰肯认为:“作为一个注册会计师,我们对企业的情况越是了解,越能保证审计的质量。”(三)会计师事务所回避制问题安然、全球电信、废品管理公司等的多名高级管理人员,原来都曾是安达信的雇员。人们将这种注册会计师从会计师事务所向审计客户流动的现象称为“旋转门(Revolving Door)”现象,认为这是导致注册会计师缺乏独立性的主要因素之一,因此要求注册会计师必须经过一段“冷却期(Cooling off )”后,才可以到原来的审计客户任职,或者当客户有从会计师事务所调入的高层管理者时,会计师事务所应该实行回避制度,不应接受该客户的审计业务。但是,会计师事务所认为,限制注册会计师的流动,将在一定程度上影响事务所的人才竞争秩序。因为注册会计师的职业发展如同一个依次上升的台阶:由初级到高级,再由高级到经理,然后才是合伙人。而成为合伙人的只能是极少数,因此“升迁或走人”是贯穿整个过程的一项政策,而公司(包括客户)始终是注册会计师分流的一个重要渠道。有帮助记得采纳,谢谢!
南宫爱默
导语:风险管理审计是对传统审计方式的突破和创新,是融风险管理、审计为一体的新兴审计模式,本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。
风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。
一、银行风险的界定及类型
1.银行风险的界定
关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。
银行风险存在于银行价值链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:
(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。
(2)风险既是一种挑战又是一种机遇,它具有双重性。
(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。
(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。
2.银行风险的类型
我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。
从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。
二、内部审计在风险管理中的定位、职责与作用
内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内部审计部门和人员是组织内部成员,其利益同组织发展、兴衰密切相关,对防范各种风险、实现经营目标有着更强烈的责任感;内部审计部门不同于其他部门,不从事具体业务,其职能独立于业务管理部门,可以跳出业务各环节的圈子,从全局出发、综合、客观地对风险进行识别和评价,采取有效的风险控制措施。
1.内部审计在风险管理中的定位
现在我们所说的风险管理越来越趋向于广义的概念,公司治理也好、内部控制也好,实际上都属于风险管理的范畴,只是风险管理所涉及的层次有所不同,而内部审计一直都担任着重要的角色。2002年美国国会通过的'《萨班斯一奥克斯法案》指出,董事会、高层管理者、外部审计师与内部审计师作为有效公司治理的基石,成为开展公司治理、内部控制必须职责的重要组成部分。因此,内部审计在风险管理中扮演的角色对组织机构整体风险控制是至关重要的。现在内部审计在风险管理过程中的定位应该是参与者、协作者和监管者。
2.内部审计在风险管理中的责任
风险管理是内部审计的一条主线。因此,内部审计应当也必须参与风险管理。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。但内部审计不等同于风险管理。IIA指出,内部审计师在建立和管理风险过程中所起的积极作用有别于“风险所有者”的作用。为了避免起到“风险所有者”的作用,内部审计师应该要求管理层证实其在确定、防范、监测风险以及风险“所有者”的责任。2004年9月,IIA针对COSO委员会新发布的全面风险管理框架,以《全面风险管理的内部审计角色》为题发表了一份职位说明书,指出,内部审计的核心职能有五项:为风险管理流程提供保证、确保风险得到正确评价、评估风险管理流程、评估关键风险的报告体系以及审核关键风险的管理活动。其次,职位说明书对内部审计在风险防范方面的职责也进行详细的描述:协助识别和评价风险、培训管群层如何应对风险、协调全面风险管理活动、完善风险报告体系、维护开发全面风险管理框架、支持建立全面风险管理、为决策层拟定风险管理战略。最后,也明确内部审计不应承担以下责任:
(1)设定风险额度;
(2)强加风险管理流程;
(3)向管理层提供风险保证;(4)做出风险应对决策;(5)以管理者名义执行风险应对方案;(6)风险管理的受托责任。
3.内部审计在风险管理中的作用
国内外企业,特别是世界知名企业,如杜邦公司和微软公司的风险管理体系都比较完善,内部审计在企业风险管理体系中发挥了重要的作用。风险管理是一项重要的管理责任。要实现其业务目标,管理层应该保证拥有健全的风险管理过程,并能发挥作用。董事会和审计委员会应该在确定组织是否建立恰当的风险管理过程以及这些程序适当有效地运作等方面起监督作用。内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。还需要指出的是,内部审计部门在组织风险管理过程中的作用可以随着时问的推移而发生变化,并可能有不同的作用:即从无任何作用,到作为内部审计工作计划的一部分对风险管理过程进行审计,到积极持续地支持并参与风险管理过程,到管理和协调对风险的管理过程。
总的来说,内部审计在风险管理中的作用概括为以下四个方面:一是检查与评价,内部审计部门运用审计手段对银行风险管理体系的充分性和有效性进行评估;二是管理与协调,内部审计利用自身优势,积极参与银行风险管理体系建设,对各种风险要素进行识别、分析、协调、管理,并提出控制风险的有效建议;三是顾问与咨询,内部审计师以咨询顾问身份协助企业确定针对风险进行管理的方法和控制措施,并评价其合理性与有效性;四是报告与防范,内部审计部门通过及时传递并督促落实风险审计的成果,使各类风险因素得到有效的控制和防范。
三、银行风险管理审计存在的问题
中国工商银行、中国建设银行等都有针对性地组织了风险管理与审计等课题的研究。但是银行内部审计在风险管理中还存着以下问题:
1.内部审计理念落后
相对于一般的工商业企业来说,银行风险管理在其价值链中占有重要位置,是银行成立以来一直倍受关注的问题。因此,其风险管理相对比较好,这就使得业内外的一些认为银行风险管理是完善的,这也造成了内部审计对风险管理认识的不充分,内审人员不能积极主动地去关注风险,制约了内部审计作用的发挥。
2.内部审计方法手段不能适应银行风险管理的需求
我国银行内部审计尚处于查错防弊、开展合规性审计阶段,局限于对经营部门及营业机构执行各项规章制度的事后审计上,主要进行的还是现场审计,非现场审计开展不够。而银行风险管理系统要求进行系统的、全面的风险管理,不仅要进行事前防范、事中控制、事后管理,还要进行信息处理,大力开展非现场审计。
3.内部审计在风险管理中的作用和地位不明确
商业银行对风险的管理分为风险管理部门和内部审计部门。风险管理部门负责总的风险管理,内部审计部门根据风险管理部门的风险评价结果实施内部审计。而实际上风险管理部门与内部审计部门的关系并未得以明确。
4.风险审计开展力度不够
内部审计部门有责任对业务主管部门所面临的外部和内部风险进行归纳、整理和分析,并向高级管理层提交风险分析报告,为高级管理层的经营决策提供参考。而现在的审计工作基本上是根据总、省行的工作部署来展开,独立开展审计工作不充分,对风险的规避效果不佳。
四、银行风险管理审计的优势
银行风险管理审计是建立在全面风险管理基础之上的一种内部审计技术方法,这种方法作为成功的全面风险管理规划的一个重要组成部分,更加关注企业的经营目标、管理层的风险承受、关键风险衡量指标等。目前银行风险管理审计还具有以下优势:
1.有利于内部审计从全局角度评价风险管理
由于银行是经营货币的特殊的金融企业,决定了银行业务流程上的任一环节都有风险因素存在,并且由于风险具有感染性、传染性、不对称性等特征,链上某一主体造成的风险或疏于风险管理带来的后果有时并不是由其直接承担,而是会通过一定的联系传递到其他主体,最终会导致银行陷入困境。内部审计,可以将每一个环节及周围环境来的风险因素考虑在内,有利于从战略高度全面评价银行风险管理。
2.有利于加强银行风险管理
风险管理审计作为风险管理的组成部分,都是为了实现组织战略目标、实现银行增加价值的目的。但是,二者的责任并不相同。风险管理需要对风险管理的措施和方法进行设计并负责执行,而风险管理审计则是负责对风险管理设计与执行情况进行测试、评价,并为管理层提供有关风险管理信息适度确认的责任。因此,在某种程度上可以说,风险管理审汁是更高层次的风险管理。当局者迷、旁观者清,所以风险管理审计可以从“局外人”的角度,跳出风险管理来对价值实现过程中的风险管理过程进行系统地、客观地评价,有利于银行加强风险管理。
3.更加有利于实现审计的价值
风险管理和风险管理审计的目的都是为了实现战略目标,实现银行价值增加。风险管理审计侧重于风险管理过程的评价,通过评价风险管理过程来减少由于风险造成的经营成本的增加,并且风险管理审汁作为一种内部审计,并不局限于风险管理的审计,因此通过对业务流程及周围环境分析,不仅可以提供一些经营管理等其他方面的建议,起到一举多效的作用,而且也有利于实现内部审计的价值。
4.有利于信息沟通,树立银行风险管理文化
银行内部各部门之间需要及时的信息沟通,才能有效地、及时地解决银行面临的风险问题。但是,各部门之间有时是不能做到这一点的。内部审计的独立地位使得内部审计需要了解所有部门的信息,通过询问、观察、调查问卷等审计技术综合掌握银行信息资料,将信息在不同部门传递、沟通,从而加深了各部门之间的相互了解,有利于各部门从全局角度考虑风险问题,树立良好的风险管理文化。
樑樑1982
作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。制定企业内控战略规划具体应该注意掌握以下几个方面:1.与企业战略目标保持严格一致企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。2.明确实现目标的具体标志事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:企业内控管理程序建设情况;内控组织系统建设情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。3.基于企业实际需要的准确定位所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标志可以比较简单;业务范围可以适当缩小。这样,就可以以较低的成本投入达到预定的控制目标。4.明确内控工作理念这是开展企业内控工作的基本准则,否则不但内控体系起不到应有的积极作用,反而会成为企业发展的掣肘之物。例如建立“寓监督于服务”之中的工作理念,就可以避免单纯的监督审计容易引起抵触的缺陷;按照内控五要素,建立全面预防风险的原则,就可以为开展内控工作提供具体的评价依据。5.认同内控战略目标确定过程必须经过所有者或最高管理层的批准和确认。能够在获得高层批准前,先征求下属分、子公司管理层的意见并取得一致意见也是非常必要的。这些举措可以为日后推行内控管理减少阻力。 内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。1.组织机构设置目前中国规模较大的国有或上市公司,通常都会在监督决策层设置监事或独立董事、董事会下的审计委员会;在运营管理层则设置内部审计部或监察部等职能部门。应该说已经建立了内控组织机构。但关键是这些机构存在许多缺陷,这些问题构成了当前公司治理的主要障碍之一。具体表现如下:*具体执行机构缺失比如,企业中通常没有具体的执行机构为监事或独立董事的实现监督职能提供“硬件”条件;这使得监事或独立董事的职务常常“沦为”一种对外形象功能,在人员安排上以安排退休前的资深领导为主。审计委员会通常也处于相同的情况,其获得信息的来源主要是董事长和总经理等高层管理者,无法真正履行其监督职能。*内部审计部通常在工作范围以及报告对象上处境尴尬一般企业的审计范围仅限于财务审计;其工作报告对象通常只是其监督对象的财务总监或总经理。笔者认为,比较理想的内控管理组织机构,应当在一定独立性的条件下,能够具体介入企业日常运营管理工作。这一点应当和外部审计有所区别。一些像BP这样的国际化大公司在其业务组织机构中就使用了内控部代替内部审计部。表面看,只是名称不同,但实际上却有着非常大的区别。主要表现在:A.独立性程度不同内部审计部通常按照审计规则要求,为保持完全的独立性不得介入企业的日常经营活动。而内控部则可以较深入地介入企业的日常经营活动,了解更多的情况并提供管理咨询服务,从而达到“寓监督于服务之中”的效果。B.审计检查范围不同虽然当前的内部审计部在审计范围上也在力求突破传统的财务审计,向运营管理审计方面发展,但毕竟受到从业人员资格和工作背景的限制,无法真正实现其对运营管理的有效监督检查。而内控部由于在雇佣人员方面没有局限性(非财务和审计资格的人员也可以参加内控审计检查工作),因此,可以做到对企业的全面运营管理实行更有效的监督检查。C.报告对象不同内部审计部通常只是向企业的CEO报告工作,向CEO负责。因此,许多涉及CEO本人利益的问题通常无法得到彻底解决,甚至根本无法解决。而内控部则可以在向企业CEO报告工作的同时,还能直接向审计委员会、甚至监事或独立董事报告工作。这在一定程度上保证了审计报告的真实可靠性。 任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。1.编制培训资料*通过各种渠道收集内控管理资料和各种案例。内控案例应当以本企业已经发生的事件为主,适当选用社会案例;*根据本企业实际情况,筛选资料;*使用各种演示手段,组织编排演示文本,电子版本和纸质版本;*培训资料应尽量使用各种案例解释各种概念。2.确定培训计划*确定培训对象内控培训对象应该包括企业董(监)事、CEO、CFO等全体高层管理人员和普通管理人员。普通管理人员中应当包括库房保管、司磅人员、质量检验人员、保卫干事等敏感岗位的操作人员。*培训方法脱产专门培训和现场在岗培训,单独沟通交流培训以及工作交流培训等多种形式。*确定培训的目标和具体实施的时间以及考核评价培训效果。内控培训应该和企业的其他培训计划相结合。3.实施培训对于董(监)事、CEO或CFO、公司总经理等高级管理人员,通常采用单独交流的方式介绍内控管理的要点;对于专业内控管理人员则需要进行全面的脱产专门培训并结合其他在岗和工作交流培训;对于其他普通管理人员则以短期脱产集中培训结合现场其他在岗培训。在整个受训的人群中,对高级管理人员的培训是整个培训的重点。鉴于财务总监在内控体系中的重要性,企业在考虑选聘财务总监时,应当尽可能选择具有内控工作背景的财务人员。国际上的一些著名企业如GE公司,其选拔的财务总监通常是来自从事过内部控制(内部审计)工作的人员。具有从事内控(内部审计)工作背景的人员将成为未来财务总监的重要来源。有关内控培训方面的工作,如果企业限于自身培训力量和其他考虑,通常可以委托其他专业管理公司的专家来协助进行。这种培训通常限于集中的脱产培训。但日常培训主要还得依靠企业内部力量完成。 严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:1.制定企业内控管理程序,或者运营管理程序内控的实质就是法制化、程序化管理。内控管理程序与传统的企业管理程序的最大区别是以系统的方法设计业务流程并且事前就充分考虑规避各种潜在的管理风险。因此,内控部门在组织各职能部门编制内控管理程序时应当首先对所有的业务流程中存在的各种潜在的风险进行评估并且在程序设计中予以规避。这里包括组织牵制、授权系统确定、政策规定等等。制定企业内控管理程序应当充分考虑与企业现有的质量管理体系的兼容问题。2.评估检查企业的授权管理系统任何一家企业无论是否有内控管理,一定存在一套授权管理系统。但问题是这些存在的授权管理系统是否科学、清晰合理,是否存在越权和越级的潜在风险。这就需要内控专业人员对系统进行评估并提出修改调整意见。内控人员需要与公司的CEO、CFO以及人力资源部和各业务部门共同合作,对现有的岗位职责进行调整。岗位职责在内控管理中属于一般授权管理。建立临时特别授权管理制度。3.潜在利益冲突调查为保证内控管理的组织牵制原则得到有效的实施,当前的主流非家族经营管理的企业通常需要在处理日常业务中避免产生雇员与企业发生利益冲突的情况。为此,企业内控管理人员应当根据企业实际情况设计一套利益冲突调查文件并提出规避潜在利益冲突发生的具体措施。然后组织下属企业开展全面的利益冲突调查,最后根据调查结果提出处理意见,包括替代控制措施。4.编制年度内控审计指导,实施内控审计无论是内部审计还是内控审计,都应当在审计前制定审计指导。编制审计指导应当依据一般内部审计准则要求结合本企业实际情况和需要编制。具体的审计项目应当按照内控五要素(内控框架)进行分类。这里需要再次强调,内控审计和传统的内部审计在审计范围上不同,包括了财务之外的其他运营管理工作,如职工安全与环境保护,质量管理和生产现场管理,6S管理,6西格玛管理、精益生产等内容,因此,在设计内控审计指导时应当和相关业务部门进行充分的合作,保证审计项目和审计资源配置的合理性。为便于对各下属企业的内控管理进行客观横向比较,内控审计指导可以同时附带建立评分系统。这样,内控审计人员在审计检查过程中可以提出客观科学的评价结果。在完成对所有下属公司的年度审计后,内控管理人员就可以对各企业的实际情况进行量化分析比较,为分析企业的管理风险提供客观依据。内控审计指导应当根据企业管理风险变化情况,定期进行调整更新。实施年度内控审计,通常可以要求下属企业内控人员参加,通过交叉审计对下属企业内控人员进行业务培训。5.组织风险评估控制管理风险是内控的根本目的。因此,企业内控部应当定期对各下属企业的管理风险进行评估。管理风险评估应当事先进行全面的规划。包括确定风险评估的对象(各种业务程序和处理环节),风险种类的确定,风险等级的评定,评估人员的组成,评估表格的设计,评估结果分析等。风险评估是开展内控工作的基础,也是制订内控管理程序的重要依据。各个企业由于所处行业不同,地域不同,竞争程度不同,产品种类不同,其管理风险也有很大的不同。突出重点,抓住高风险项目,是平衡企业控制风险和投入成本的重要手段。6.内控问题调查(ICRQ)为保证企业内控管理得到有效执行,各企业的下属机构除了要接受总部的内控审计和外部审计外,还应当定期或不定期举行自我检查。自我检查的主体是各分、子公司总经理和各业务部门负责人。分、子公司的内控管理人员牵头组织实施。总部内控部通常应当根据上年度审计发现的问题,结合最新企业风险变化情况等,编制企业年度内控问题调查提纲发给各分、子公司供其参考。分、子公司内控人员可以根据本企业实际情况和需要,对自查内容进行补充。企业内控问题调查表,应当根据企业管理风险变化情况和以前年度审计发现的普遍弱点进行调整。7.舞弊案件调查舞弊问题对企业造成的损失是造成企业效益下降甚至导致企业破产的重要原因。因此,预防舞弊风险当然也就成为企业内控管理的主要内容。舞弊问题产生的后果,通常可以用货币数量来反映。舞弊损失数量是企业内控管理工作绩效考核的重要指标。内控人员应当定期或不定期对企业发生的舞弊案件进行调查并分析汇总舞弊发生的原因,为管理者采取预防措施提供依据。对于国内企业,特别是国有企业来说,舞弊案件通常由监察部或纪检委负责调查。但是,对于没有这些机构的外资企业或上市公司来说,就需要由内控部和内控人员介入调查。内控部每年应当对企业发生的舞弊情况进行汇总分析并为管理层提出相应的预防措施。8.评价考核内控工作评价考核企业内控人员的工作包括两部分。首先是内控人员绩效完成情况。根据每年与内控人员签定的绩效协议,对其工作进行考核评价;其次,对内控管理完成好的企业内控人员进行表彰。为保证内控人员工作的相对独立性和权威性,内控部将对下属分、子机构的内控人员招聘和解雇提出意见。9.参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议 。参加公司的重要决策会议,对重大项目实施提出管理风险控制方案。例如内控先行的概念。众所周知,万丈高楼平地起,无数失败的案例表明,造成一个好项目日后失败的众多原因中,没有预先建立严格的内控体系并按照程序规定操作是其中最重要的原因。10.组织保险业务购买企业保险,除了能够弥补各种突发事件给企业造成的损失外,同时也具有预防管理风险的作用。要做好企业内控工作,除了利用内部资源外,保险业务也可以成为促进企业内控管理的有效工具。如何选择购买保险项目,如何事先准备预防保险事故发生以及如何准备保险索赔资料等,都和企业内控管理有重要的关系。11.培训企业高级管理人员内控工作的一个重要内容就是培训企业高级管理人员,特别是财务总监。实践表明,有财务背景的专业人员在得到内控审计培训后,通常可以很好地胜任企业财务总监的工作。从事过一定时期的内控审计工作后,通常就有机会得到作为一名合格财务总监所需要具备的许多条件。比如良好的职业道德、敏锐的风险意识、出色的沟通技巧、较多的处理疑难问题的经验等等。12.内控工作报告企业内控部工作报告对象将包括董(监)事、CEO和总经理等人。内控工作报告有定期和非定期两种。定期报告主要是定期分析企业总体内控状况,当前存在的高风险问题,各种审计结果,以及针对薄弱问题提出的改进意见和建议。好的内控人员可以成为企业董事长、CEO的安全事务助理。由于打破了内部审计师的工作范围,可以列入实施内控作业的项目还可以增加。这里特别要提出的是“内控服务”的观念。我们通常所说的“寓监督于服务之中”就是为了体现这一观念。它从本质上改变了传统的内部审计观念。从实践经验来看,如果要想使企业的内控管理体系真正发挥作用,就必须抛弃单纯监督审计的观念,代之以监督审计与服务并重。内控服务的内容主要应当以提供管理咨询意见和建议为主。 根据内控五要素的解释,检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外,也包括对正在实施的内控系统的检查评估。内控部和外部审计师(也包括将来社会上成立的独立的内控体系评估机构)将构成检查评估的主体。进入本站的主要工作内容有:1.内部自我检查评估由集团内控部负责,对企业已经实施的各项内控工作进行全面的检查和评估。从战略规划和年度内控工作计划开始,到组织机构设置和运营情况,再到培训工作和实施内控作业,进行全方位的检查评估,然后提出改进措施。 2.外部审计师的评估根据《公司法》规定,所有企业都应当通过外部审计机构的年度审计。外部审计师在实施审计时,为规避其审计风险,通常要对被审计对象的内控体系进行检查评估。因此,获得外部审计师的评价意见和建议,将从另外的角度为企业改进内控管理体系提供重要的依据。3.企业为获得更为专业的内控评价意见,也可以邀请具有一定资格的其他独立第三方对企业进行检查评估。
优质审计师问答知识库
