引论:我们为您整理了13篇内部审计风险论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
随着经济一体化的进程,审计在维护市场秩序、提高经济效益方面发挥着越来越重要的作用。内部审计指部门或单位内部独立的审计机构和审计人员,依照国家法律、法规、政策、程序和方法,对本部门、本单位的财务收支及其经济活动进行审核,查明其真实性、合法性和有效性,并提出建议和意见的一种经济监督活动。内部审计风险是指财务报告事实上存在重大错报、漏报,或者企业经营管理上存在的弊端,或内控制度存在重大漏洞缺陷,内部审计人员经过审计未能发现或失察,而提出不正确或不恰当的审计意见,审计对象及其相关方面遭受损失或损害,并由此引起审计主体承担责任的风险。为了有效地防范和避免审计风险,应对内部审计风险进行科学的分析和深入研究,从而保证内部审计事业健康发展。
二、内部审计风险的成因
(一)内部审计的主观风险
1、内部审计机构缺乏相对独立性。内部审计机构是单位内设机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性不如外部审计,不可避免地受本单位的利益限制。内部审计的组织形式也反映出其独立性的弱化,有的单位把审计机构设在财务部门中,有的把审计机构和监察部门合并在一起,有的单位由分管钱财物资及账目的人员兼任审计岗位,有的单位领导既领导财会工作,又领导审计工作。因此,企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公允的评价。
2、内部审计人员的综合素质不能适应目前的工作需要。审计人员的素质包括思想政治素质、职业道德素质、业务技能素质、工作态度及心理素质,内部审计人员素质不像专业的审计人员那么高,很难客观地做出公正和无偏见的判断;另外,内部审计人员配备普遍不足,有的人员缺乏专业培训,人数也难以满足审计业务的需要。同时,相当一部分审计人员改革创新意识比较弱,审计理念还停留在传统审计上,大局意识和风险意识不强。
3、内部审计程序和方法本身隐含的审计风险。许多企业内部审计制度不完善,如审计机构缺少事前的审计计划,事中的审计程序和报告前的审计复核,审计工作底稿不完整,一般只记录审计问题事项,而未记录审计人员认为正确的审计事项,使得审计复核、审计质量控制无从入手,这都使内部审计质量得不到保证,风险防范意识薄弱。
(二)内部审计的客观风险
1、内部审计法律制度不健全。内部审计目前只有20世纪八十年代审计署颁布的《关于内部审计工作的规定》(1989年制定,2003年修订),法律级次明显偏低,可操作性差,存在着滞后现象。这样,内审人员在进行审计时,只有依据经验和知识进行分析判断,在某种程度上严重影响了审计结论的权威性和正确性,因而大大增加了审计风险。
2、审计对象的复杂及审计范围的扩展,加大了内审风险。现代组织由于经营规模的扩大,经营业务的日趋复杂,使得内审对象的范围逐步扩展,为内部审计带来了更多的困难。这里差错和虚假的会计资料掺杂其中,失察的可能性也随之增大;内部审计业务也已不再局限于财务收支审计,还包括经济责任审计、内审业务的拓展、使审计人员承担更多责任和风险。3、企业的外部环境导致的审计风险。近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。经营风险的存在往往引发更大的审计风险,对内部审计人员提出了更加严峻的挑战,加剧审计风险的产生。
三、内部审计风险的控制
现代内部审计不再是监督检查式审计,而是参与式审计,审计人员不仅要善于发现问题,而且更要善于解决问题,提出相应的建议和改进措施,帮助经营管理人员加强内部控制,改善经营管理,以完成所负经济责任。要做好内部审计工作,应针对以上原因做好如下几点:
(一)提高内部审计的地位,增强其独立性。内部审计的独立性是内部审计质量成败的重要因素,企业在设置内审机构时应坚持两条原则:一是独立性原则。这是设立在内部审计组织机构最重要的原则。在这个原则指导下,内审组织机构在组织人员、工作和经费等方面应独立于被审计单位,独立行使审计职权。不受股东、总经理、其他职能部门和个人的干预,以体现审计的客观性、公正性和有效性。二是权威性原则。这是内审工作充分发挥作用的另一个关键因素,主要体现在内审组织机构的地位和设置层次上。内审组织机构的组织地位和设置层次越高,权威性越大,内审的作用就发挥得越充分。
(二)不断提高审计人员素质,增强其风险意识。各内审部门要制定长远的培训计划,加大培训力度,培养内审人员坚持实事求是、客观公正、廉洁奉公的职业道德,并使其不断更新知识,提高内审人员的审计查证能力、审计协调能力及表达能力,提高分析、判断和预测经济活动的能力,以适应新形势的需要。最后,还应强化审计人员的风险意识,在审计工作中始终将审计风险作为确定审计项目、审计重点、审计程序、审计结论的判断基础。
(三)加快有关审计法规制度建设。国家应抓紧制定、颁布内部审计法规和内部审计业务准则,以统一内部审计执业规范,降低审计风险。在中国经济走向世界的同时,内部审计还要借鉴国外的先进经验,尽快同国际惯例接轨,以谋求长足的发展。
(四)建立健全审计组织自身的内部控制制度
篇2
医院财务;内部审计;风险
一、影响医院内部审计风险的因素
(一)领导对内部审计的重视程度不足
我国的大部分医院都有内部审计机构,然而该机构的设立很大程度上是由于法律或者行政命令的强制要求,而不是基于对医院经营管理的需要。内部审计机构设立的初衷出现了偏差,自然无法发挥其应有的作用。于此同时部分医院领导没有深刻理解内部审计的重要性,认为医院作为公共事业单位,内部审计毫无意义,没有将其作为医院管理体系的组成部分。这些都提高了医院内部审计的风险。
(二)医院内部审计机构的独立性较差
在我国医院中,内部审计机构的工作人员与医院其他管理部门存在较大的利益关系,这就造成内部审计机构的独立性相对不足,在开展审计工作的过程中很容易受到外界因素的影响,也使得审计处理决定失去执行力。
(三)医院内部审计适用性不足
随着我国经济的不断发展,医院的经营规模也在不断地扩展,经营业务的复杂性和多样性不断增加,这就使得内部审计范围逐步增大,传统的内部审计越来越难以满足医院的发展需要,为内部审计工作的开展带来了一定的难度。
(四)内部审计程序存在缺陷
在信息化程度不断提高的今天,被审计单位的会计信息资料越来越多,各种虚假、错误的数据资料占其中的比例也有所增加,这就使得内部审计工作发生失误的可能性也大幅提升。因此现有的审计程序是否科学、合理对审计工作的质量有着巨大的影响。
(五)内部审计人员的综合素质较低
审计人员是审计工作的直接参与者,这就表明其综合素质的高低,对审计工作的开展有着直接的影响。现代医院内部审计是一项专业性强,涉及面广的工作。这就要求内部审计人员既需要具备审计、会计等专业财务知识,还必须具备极为丰富的实践经验。然而由于种种原因,医院内部审计机构并未对招聘的人才进行深入培训,造成相关工作人员在某些方面的能力存在不足,增加了审计风险发生的可能性。
(六)医院内部审计的相关法律法规尚不健全
随着市场经济的不断发展,我国的法律法规也得到了不断地完善。然而应当注意到的是,法律法规颁布的速度还是滞后于经济发展速度。医院内部审计的相关法律法规不够健全,这就造成在内部审计工作开展的过程中,一旦出现新的问题,无法找到有效的途径解决。这时只能够依靠审计工作人员的经验和职业判断。这样的处理方式太过主观,且不同的审计人员在经验、专业水平等方面存在一定的差异,因此处理问题的方法必然会出现不同,这也在一定程度上造成审计风险的发生。
(七)医院经营风险
当前许多医院领导仍然片面的追求经营效益,忽视了对医院管理方面的工作。这就使得虽然医院的效益得到了巨大提升,但在内部管理方面存在严重问题,使得医院的经营风险反而大幅增加。
二、医院内部审计风险的控制
审计风险实客观存在的,我们无法通过任何方法予以规避。但是只要采取有效的管理,就能将审计风险的发生率和影响降到最低。因此控制医院内部审计风险,主要可以采取以下几点措施:
(1)深化医院内部审计机构工作人员的思想认识。
加强对内部审计工作的认识,是开展相关工作的必要前提。内部审计工作人员应当多与医院领导进行沟通,向他们详细讲解内部审计工作的重要性,从而获取医院领导各方面的支持。
(2)加强对内部审计工作的宣传。
在审计工作开始时,医院的许多领导对内部审计工作存在误解。被审计部门的工作人员心理存在强烈的抵触情绪,导致正常的内部审计工作难以开展,不仅严重影响了审计人员的工作积极性,也对其形成了巨大的思想负担,这就使得审计工作的质量严重下降。因此开展内部审计工作的宣传教育显得尤为必要。通过加强宣传,被审计单位能对审计工作有全面的了解,提高审计工作的配合度,并为内部审计机构树立良好的影响,令审计工作获得认可。
(3)建立健全审计质量保障体系。
第一职责分离,即内部审计的工作必须由两个或两个以上的审计人员共同完成,这样能够在审计工作中形成相互约束的机制。第二审计过程中应有专门人员负责监督。审计项目的负责人应当是对审计事项进行严格审核,将审计报告交由审计组集体讨论,并将讨论内容进行准确记录。第三严格检查审计人员在审计工作中收集的有关会计信息资料是否齐全,审计程序是否合理,审计结果是否正确。一旦出现问题,应当在第一时间予以解决。
(4)完善内部审计机构的建设,加强审计人员的综合素质。
高质量的审计工作离不开高素质的审计人员。每一位审计人员都应当具备高度的风险意识,从而尽可能的规避审计风险,提高审计工作的质量。内部审计人员应当深刻理解审计风险造成的影响,主动提高自身各方面的素质。现代审计制度,对审计人员的职业道德和业务能力提出了更高的要求,因此医院内部审计机构应当培养一批素质高,能力强的审计人员。强化内部审计人才队伍的建设,是促进医院内部审计工作发展的关键环节,也是降低内部审计风险的可靠保证。
作者:韩文 单位:湖北省应城市人民医院
参考文献:
篇3
2.服务作用。
内部审计可以找到企业存在的经济问题,从而为企业管理层的决策、计划和控制提供有效的依据,从此方面可以看出内部审计的服务职能。随着内部审计的进行,企业和审计人员会不断的自我完善和提高,内部审计所起的作用也会越来越明显。
3.控制作用。
内部审计部门作为企业当中一个独立于其它部门的存在,具有一定的控制职能,这种控制作用不同于其它的控制部门的作用,它更具独立性、权威性和全面性。内部审计是对企业经营效果和成绩的评价,这个评价的内容直接关系到高层的决策,所以它本身是构成内部控制的特殊要素。
4.评价作用。
内部审计部门独立于其它部门之外,它对于企业内部评价更具客观性和公正性,内部审计也可以为企业提供实际的生产经营情况和财务状况。内部审计可以对企业的计划、预算和决策方案进行公正、客观的评价,从而达到评价企业经济活动和经营方式的目的。
二、保险企业风险剖析
1.市场风险。
只要是企业,都存在着市场风险,保险企业在市场竞争当中,由于恶性竞争或者企业自身经营不善可能出现过多的“垃圾业务”,从而给企业的财务、经营带来较大的风险。部分上市保险企业,在运作过程当中可能由于各种原因导致企业负债过多,致使企业面临较大的风险。
2.系统风险。
大多数保险企业是采取集团形式出现的,因此总公司与下属子公司、机构之间具有极其强烈的利益、声誉关联性。一旦子公司或者机构因为经营事故发生倒闭或者保险事故,如果企业与下属经营单位间没有建立完善的风险控制管理机制,那么就会直接导致企业总体经营受到阻碍,致使企业产生严重的生存危机。
3.精算风险。
精算风险指的是预计风险带来的损失与实际损失相差较大而带来的经济风险,在保险企业主要表现在保单筹集的资金及其带来的收益小于承保责任带来的经济损失。精算风险主要因为保险费率的精算假设与实际值之间的偏差,因此精算方法在风险的评估上存在着较大的缺憾。
4.资本风险。
资本风险主要是由于企业自身原因导致资金紧张从而影响保险企业的赔付能力而产生的,这类风险出自承保和投资两个方面,有时候企业也可能因为较大的市场波动而产生此类风险。
5.信用风险。
信用风险的产生主要是因为保险企业和客户之间不能或者不愿履行义务而产生的,这类风险的产生会影响企业的信誉,不利于企业的发展。
6.法律风险。
法律风险一方面是指企业在经营管理过程当中不遵守国家相关的法律法规而产生的风险;另一方面是指在保险行业法律法规发生变化的时候一般都缺乏明确的变动时间表,从而影响企业对未来的预测,导致风险的产生。
三、内部审计对于保险企业的意义
内部审计通过不断检查、评估、调整、修正、反馈企业风险管理目标的完成情况,从而为促进企业内部管理机制的完善,将规范与准则融入到企业的内部管理当中,使风险意识、风险管理完全结合到企业的文化当中。内部审计作为企业特殊的评估、监督机构,其本身在企业管理当中扮演着参谋和顾问的角色;内部审计的结果,有助于企业对自身情况的认识,从而影响企业的决策、组织以及协调工作;同时,它还可以将企业存在的问题呈现给管理者,以便于管理者做出相应的整改,从而使企业内部的管理系统不断的优化、完善。
篇4
(二)对内部审计风险管理的认识。
从事任何一项挑战性的工作,都会存在着风险,审计工作也不例外。审计风险指的是审计人员对实质上误报的财务资料可能提供不适当意见带来的风险。内部审计围绕风险开展的审计,在制定计划、实施业务、报告结果以及后续审计的全过程活动中,风险是一个非常重要的决定因素。由于存在人员素质以及制度不完善等原因,审计风险是客观存在的。
二、内部审计和企业风险管理的关系
内部审计是企业风险管理的重要组成部分,风险管理是内部审计的一项重要内容。二者之间存在相互依存,联动发展的关系。内部审计全面参与公司治理与风险管理,除关注内部控制之外,内部审计应该更加关注风险管理机制是否有效和公司治理结构是否健全,即通过对企业风险管理的监督来促进企业的风险管理。同时企业的风险管理也有利于内部审计的发展。
(一)内部审计是企业风险管理的重要组成部分。
风险管理是通过风险识别、估计、驾驭、监控等一系列活动来防范风险的管理工作。企业风险管理组织体系,主要包括规范的法人治理结构,风险管理部门、内部审计部门及其他有关职能部室、业务单位的组织领导机构及其职责。设立内部审计部门是企业风险管理中自我监督、自我约束、自我控制的需要。内部审计人员如果要更加注重审计质量和审计风险问题,终将延伸到企业战略决策的层面,因而,从客观上来说,内部审计责任有所增大。企业要想进一步加强管理,必然要对内部审计的期望增大。因而,作为企业管理的监督机制之一的内部审计如何在防止企业舞弊问题中发挥重要作用,实质上就是一个企业管理的问题。
(二)内部审计在企业风险管理方面拥有的独特优势。
作为企业内部一种独立客观的确认与咨询活动,内部审计能够在风险管理方面拥有不可替代的独特优势。一是通过日常审计了解企业整体运营情况和各个业务环节的运作状况,内部审计能够更加准确地认识到存在的风险,可以从全局出发、从客观的角度对风险进行识别与评估;二是内部审计机构的人员构成来自企业内部,大家的根本利益同企业的发展与兴衰是息息相关的,内部审计人员对防范好企业风险、更好实现企业目标有着更强烈的责任感,必然会激发其通过努力工作促使企业目标的实现;三是内部审计作为企业内部机构和人员,可以通过检查帮助企业解决风险问题,通过咨询服务协助企业建立风险管理体系,通过集合企业内外资源,协助管理层改善管理流程的效果和效率。因此,内部审计能够积极主动、多角度、全方位地评估企业风险,协助管理层降低风险水平,从而确保企业目标的实现。
篇5
为促进企业建立健全内部控制,规范审计人员对内部控制的审计业务,监管部门制定了《企业内部控制审计指引》。依据《企业内部控制审计指引》的界定,内部控制审计风险是指“内部控制存在重大缺陷而审计人员出具了不恰当的意见的风险”,即企业内部控制存在重大缺陷而未被审计人员有效识别,而发表不恰当的审计意见和结论,给使用者带来损失所需要承担的责任。所谓内部控制存在重大缺陷包括三个方面,一是内部控制设计的不充分或者不合理;二是设计合理的内部控制没有按照要求被充分执行;三是设计合理并且表面执行充分的内部控制由于缺乏必要的授权或资格而在实质上不符合规范,或是没有对内控的执行进行恰当的监督,导致内部控制无法真正有效的运行。在对内部控制进行审计时,需要充分考虑这三方面的因素,只有三方面内容均不存在时,审计人员才能发表无保留意见。内部控制审计风险主要包括三方面的风险:固有风险、内部控制设计和运行有效性风险、内部控制评价风险,具体来看:
(一)固有风险
内部控制审计的固有风险是由内部控制本身决定的,内部控制是一个过程,是实际目的的手段,它受人的影响,涉及企业各层次的人员,因此只能提供合理的保证,而非心绝对的保证。在固定风险比较低的前提下,即使内部控制设计不合理或者执行缺乏有效性,内部控制审计风险也可能是比较低的。一般而言,审计人员需要通过分析收集到的各种信息,来评价内部控制的固定风险。影响固定风险的因素主要发生于被审计单位内部,如其所处的外部环境、自身具备的竞争能力、企业文件、管理人员及员工的能力和素质等。此外,会计期末发生的复杂交易或者异常情况、在会计核算中容易被忽略的交易或者事项等都是产生固有风险的因素。注册会计师在对被审计单位的内部控制固有风险进行评价时,需要全面考虑这些因素,得出综合结论。
(二)内部控制设计和运行有效性风险
内部控制设计和运行有效性风险是指存在内部控制的前提下,内部控制本身设计的不合理或者设计合理的内部控制制度没有被有效执行,从而导致内部控制重大缺陷的可能性。如果拥有授权和专业能力的人员按照程序和要求执行,内部控制目标能够实现,则表明内控设计是有效的。如果内部控制正在按照设计运行,并能实现预期目标,则说明内控运行是有效的。注册会计师在判断内部控制是否存在内部控制设计风险时,需要考虑是否存在应有的内部控制,如果没有,可能会存在哪些差错。注册会计师在判断内部控制是否存在内部控制运行有效性风险时,需要考虑设计合理的内控是否得到执行以及结果是否有效。
(三)内部控制评价风险
内部控制评价风险是指被审计单位内部控制存在重大缺陷,但审计人员出具不恰当审计报告的可能性。它类似于财务报表审计中的检查风险。一般而言,内部控制评价风险是必然存在的。因为注册会计师在审计时,会受到审计期限、审计方法、审计资源、自身专业知识和经验判断等要素的制约,所以这种风险不能根除,并且与被审计单位不存在关系。审计人员需要科学合理的设计内部控制审计的程序、时间和审计范围并严格执行,才能尽可能的降低评价风险。
三、内部控制审计风险的防范
从构成因素上看,要做好企业的内部控制审计,审计人员应当准确识别和评估内部控制的固有风险、设计和执行有效性风险,防范评价风险,才能尽可能的降低内部控制审计风险。为确保将内部控制审计风险控制在较低水平上,需要采取各种措施,如全面掌握被审计单位的情况、严格按照审计程序进行审计、明确测试对象等,来防范和规避内部控制的审计风险。
(一)全面掌握被审计单位的情况,防范了解不全风险
在对企业内部控制进行审计之前,注册会计师需要全面了解被审计单位的基本情况和内部控制环境等,这是内部控制审计的重要前提和首要环节。为全面掌握被审计单位的情况,审计人员应该重点了解一下几个方面:一是被审计单位所处的行业发展前景、法制监管环境及产业政策、单位性质、组织架构、对会计政策的选择与运用、经营目标、战略及风险、业绩考评等基本情况;二是被审计单位的高层管理人员的理念和经营风格、经历与胜任能力等相关信息、高层管理者对控制制度的重视程度、以前年度对内部控制有效性的评价等总体控制环境;三是企业风险评估过程、内部信息传递流程、内部控制的自我监督和自我评价等企业层面的内部控制;四是各类业务特点、流程等具体业务层面的内部控制执行情况。
(二)严格按照审计程序进行审计,防范评价不当风险
内部控制审计的目标是对单位内部控制的有效性发表意见,为防范做出不当评价,发生评价风险,注册会计师首先应当在审计之前充分准备,根据对内部控制风险的评估,制定详细的审计方案,比如审计目标和审计的重点内容、审计具体方法、实施审计的程序、审计期限及时间分配、审计范围及审计人员任务安排等。其次,审计人员应广泛收集准确、真实的资料和证据,运用观察、查阅、询问等方法,对被审计单位的各种情况进行了解,对内部控制有效性做出初步判断。再次,在初步判断的基础上,运用审查、分析等方法,对内部控制的合理性、有效性进行测试,形成总体评价意见和整改建议等。由于审计人员的业务素质、专业知识、判断水平等直接关系到审计结论的有效性,因此要求注册会计师恪守职业道德水准、不忘风险意识,不断提高自身专业知识、阅读相关业务的专业书籍、提高判断分析和预测的能力,不断提高业务水准,按照确定的审计技术和方法圆满完成审计工作,将内部控制的评价风险降到最低。
篇6
广义的内部审计风险包括审计职业风险和审计工作风险。后者是内部审计主体对企业经营管理活动实施审计时,由于不确定因素影响或者由于审计人员能力所限,作出不恰当的审计判断或是对存在的错弊未予揭示,从而造成企业遭受损失的可能性。这部分风险是不可控的。而前者是指对内部审计职业界的发展产生不利影响的因素与环境总和。影响内部审计风险的因素主要有以下几个方面:内部审计的法律法规体系不健全。国家审计有《审计法》,社会审计有《注册会计师法》,而内部审计仅有审计署出台的内部审计规定,还没有相关法律法规,规定层次明显偏低,权威性不足,从根本上导致了内部审计从业风险。组织对内部审计不够重视。内部审计机构的设置不尽合理,部分单位将内部审计设在财务部门或将其与经委、监察合并,没有把它有机地融入到企业的管理体系中,加大了内部审计风险。内部审计机构独立性不强。我国内部审计是在政府的推动下发展起来的,其行政性太强,审计人员与被审单位的各种利益密切相关,使得内审机构及其人员独立性不强。内部审计人员的整体素质不高,增加了审计职业风险。内审人员总体素质不高,与现代企业制度的要求不相适应,直接影响到内审工作开展的深度和广度。内部审计对象的复杂化和业务范围的扩展增加了审计职业风险。现代企业由于经营规模的扩大,经营业务的日趋复杂,使得内审对象逐步扩展,为内部审计带来了更多的风险。企业经营风险导致的审计职业风险。企业改制,外资引入,收购、重组、租赁、关联交易等新问题不断涌现,经营风险加大必然导致内部审计职业风险的增加。
篇7
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献:
篇8
二、内部审计如何控制操作风险
1.建立完善的内控制度2014年修订的《商业银行内部控制指引》已经明确,内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过完善制度、流程和方法并确保执行,实现控制目标的过程,商业银行内部控制的目标是保证国家有关法律及规章贯彻执行,保证商业银行发展战略和经营目标的实现,保证商业银行风险管理的有效性,保证商业银行所有信息的真实、准确、完整和及时。商业银行应当建立健全内控体系,明确内控职责,完善内控措施,强化内控保障,持续开展内控评价和监督。管理层要认识到经营发展与内控管理是一对相辅相成的共同体,内控管理是为了更好的发展,越发展越需要内控管理,同时工作中要勤勉尽责,带头执行规章制度,将合规发展贯穿到联社各项业务发展的每个环节。增强内部审计机构的独立性独立性是内部审计发挥作用的基本保证,所谓独立性即内审人员在审计过程中能够不受非职业因素影响和干扰,诚信行事,客观公正地下达审计结论。这就要求内部审计机构必须独立设置,同时由其向高级管理层直接负责。
2.提高内审人员素质虽然国际内部审计资格考试已实施了多年,但该考试并未成为审计人员的必备资格考试。银行管理层应该意识到内部审计对企业增加价值的作用,选配有资质能胜任审计工作的人员充实到审计岗位上来,要完善内审人员的结构,要引进熟知财务会计、信贷、计算机、电子银行、资金营运、外汇等全能型人才,满员内部审计工作的需求。在人员的培养上,应大力关注内部审计人员的继续教育工作,促使其知识结构的更新和能力水平与时俱进。事实上,审计人员能够参与专业培训的机会少之又少,各业务职能部门在做培训计划时常常忽略了对审计人员培训,但在管理监督上又指望审计替代自律监管,这往往对审计人员的素质提出了更高的要求。
篇9
内部审计和风险管理是相辅相成的,市场经济的蓬勃发展,企业所处的环境也是险象环生,因而需要更为专业有力的审计和风险管理团队来协助企业的管理层规避风险。它们已经成为了企业发展过程中的重要部分。一方面内部审计参与风险管理有助于审计部门发展势头更劲。内审部门在资金安全管理上责任重大,因而对企业的风险管理极其关注。内部审计在参与风险管理的过程中,根据本企业的文化及其发展策略等情况评估它在制定某策略上或在某时期存在的风险,另一方面可以由此制定出相应的风险防御,风险降低,风险消除等可行措施,保证企业的损失减到最低,这样风险管理同内部审计在企业的安全工作中地位也有提高。另一方面,内部审计作为以审计为主的独立部门,不参与企业内部的管理调控,因而具有更清晰的视角来观察企业潜在的风险,在有效针对企业运行的薄弱环节,对提出的改进措施进行新的评估认定等起着非常重要的作用。风险管理由于审计在其工作过程中的介入,赋予了内部审计在企业中新的生命,也使企业的安全因素达到一个新的高度。
三、如何协调和整合企业内部审计与风险管理
(一)建立一个合理的内部审计和风险管理体系作为企业健康发展的中坚力量,建立一个合理的内部审计和风险管理体系对企业而言绝对是利大于弊的,这对企业能否具有竞争优势尤为重要。企业的内部审计管理体制的完善,风险管理的不断优化都可以是审计的功能得到最大的发挥。同时企业管理人员本身需要加强各部门的团结,使得企业经营得到更好的控制,进一步深化内部审计对企业风险管理的监督控制,保证各项风险管理措施得到有效的实施。
(二)建立风险导向审计的工作模式传统合规性审计采用的是“撒大网捕鱼式”作业流程,即一张大网抛出去,捕到什么是什么。其基本流程是:内控—问题—风险。风险导向内审要求采用“阻击手式”流程,即阻击手先瞄准一个重点,一击必中。其基本流程是:目标—事件—风险—内控。在传统合规性审计下,往往是到一大堆帐簿及交易资料、操作或管理记录中去寻找,看是否存在违背制度规定的问题;而在风险导向内审下,是先根据采集到的各种信息,识别并评估风险,找准重点,然后对重点进行追踪检查,看是否控制过度或缺乏控制。总而言之,合规性审计是查问题、提建议;而风险导向审计是查问题、查风险、查成因、查尽职、查整改、提建议。
(三)建立对审计人员内控审计效果或管理建议的考核制度内控出现问题,表明内审的监督职能未能充分发挥,内审为此承担责任有其合理性。但内控效果或建议的增值效果都很难评价。往往风险提示和管理建议都不是结果,其产生的影响才是结果。没有风险提示量或管理建议量,不论现场检查多少项目、时间持续多长,审计人员都无绩效(严重一些,反而可说其检查是在浪费资源。)
(四)加强对审计工作专业人才的培养审计人员不仅需要合格的审计能力更需要具备较强的风险分析能力,除此之外还需涉猎经济、管理、法律等相关知识,在理论基础之外,实践能力也不能弱,在面对突况时需要冷静思考,迅速找出最优解决方案。
篇10
(2)风险管理与内部审计的联系
风险管理即识别评估风险,并采取一定的措施将其造成的不良影响控制到可接受的范围内,使其发生的可能性降到最低,从而为更好地实现组织目标提供合理保证。一般企业的经营目标是实现企业利润最大化,而风险的存在对其目标的实现产生了不利影响,所以内部审计就需要采取系统化、规范化的方法对风险进行评价、监控和管理,并采取措施实施风险管理,降低风险的不利影响,提高风险管理的效率,实现组织目标。现在的内部审计作为风险管理实现目标的一个有效方法和手段,不再仅仅是对内部控制、财务管理、企业合规性等的审计,而越来越关注风险,它可以独立于其他职能部门,客观地对风险进行识别,强调风险管理是否充分有效、管理措施是否能合理地规避、转移和控制风险,这样一来,内部审计才能及时有效地向管理部门提出建议,引起管理部门的高度重视,同时实现自身的价值,从单一的监管部门向管理职能转化。也是因为如此,现在的大型组织都愿意建立起内部审计部门,帮助组织管理风险、实现目标,从而更加健康长久的发展下去。那么,内部审计作为风险管理的有效方法也是大势所趋了。
2内部审计在风险管理领域的作用
(1)监督和评价风险
评价工作对于风险管理来说,分为对风险识别的充分性、评估的恰当性、采取措施的有效性和风险管理活动的完成情况。对本企业的风险状况进行分析,结合内部审计的能力,确定一个合理的可以被接受的管理目标,之后的风险管理工作才能有据可依,那么评价企业已有的目标是否适合企业发展在这里就显得更为重要。
(2)管理和控制风险
一个企业,一个部门,甚至是一名员工的一念之差,或是为了短期业绩的提高,所做的错误决定都会形成风险,那么内部审计作为一个独立的、不进行任何具体业务活动的部门就可以客观地管理风险,协调各个部门对企业整体的利益做出最合适的方案,并适时提出建议以便有关部门采取措施改正,从而实现风险方案的最优组合,把企业风险降至最低。(3)报告和防范风险内部审计部门需要跟风险管理相关部门就风险管理的有效性和充分性进行沟通,并将重大的审计发现报告给相关部门和审计委员会,使他们能采取合适的措施对风险进行控制和防范,同时,内部审计部门要对这些措施进行验证,对于不充分不恰当的情况,提出改进建议,保证企业的防范措施有所涉及,长久以此也能够培养企业上下一个良好的风险防范意识。
3加强内部审计在风险管理作用的措施
(1)风险管理制度化
企业应当树立起重视风险管理的观念,上至管理层下至普通员工要改变传统观念,内部审计不仅仅是一个审查企业合规性的部门,同样也是给企业提供咨询和控制风险的部门。首先,管理层要把风险作为决策的一个重要依据,把风险管理的思想融入企业管理的整个过程中,以此来影响内部审计部门的工作开展,能够以风险为导向合理地安排审计工作的先后顺序。其次将风险管理制度化,具体做法就是将风险管理写进内部审计章程,这样做可以将内部审计的职责通过书面文件保护起来,更有利于内部审计部门的工作开展,这样一来,高管层将依照内部审计章程对风险管理工作予以关注和执行,促使内部审计部门提供独立客观的评价和建议。最后,完善风险管理制度,内部审计部门应帮管理层制定一套全面的、适合组织发展的制度,如果在执行过程中,企业有了新动态,从而产生了新的风险因素,那么内审部门就应及时对现有制度进行补充和完善,以确保在风险发生以前,所有可能发生的情况都被考虑进来,并采取了合适的措施来控制风险。
(2)合理定位内部审计在风险管理中的作用
如今的内部审计逐渐由原来的公司内部经济警察向顾问的角色转变,这样的转变赋予了内部审计更主动的地位,不再仅仅是原来的监督控制,而更多的是组织的智囊团,在防范、转移、降低风险上起了更大的作用,这样的内部审计更适合做管理层的伙伴,而不是原来的敌对关系,更便于内部审计开展工作,更有利于对风险的管理。
(3)建立风险预警系统,加强与公司各部门的有效沟通
现代企业通常会选择发达的信息技术来管理风险,这时就需要审计人员对企业潜在的风险进行分析判断和归类,并按照企业的风险偏好来建立风险预警系统,当风险达到预警线时,系统会整合信息报告给相关部门。这样来实现信息的交流和共享,保证了动态监控时也能进行风险评价。沟通是很多审计技术不能解决的时候最好的办法,风险管理在很大程度上要依靠人去做分析做判断,而现在的经济发展快速,有很多时候人们并不能单独做出恰当的结论,那么就需要沟通来解决问题,和相关业务部门沟通,和高管层沟通,都能获得可靠的信息,这对提高工作效率有着积极良好的作用。
篇11
(二)风险管理内部审计模式的涵义
风险管理内部审计(RiskManagementInternalAuditing,简称RMIA)是指在银行治理结构的框架内,以银行风险管理为导向,整合银行内部审计资源、能力和配置,以促进风险管理银行文化在银行内的传播成为其管理核心,进而实现银行可持续价值,创造出能力最大化为终极目标的一种内部审计模式。风险管理内部审计更加重视组织战略目标的实现、管理层对风险容忍度的加大以及对关键风险的度量等几方面。审计的目标是指达成组织目标、缓解关键风险以及优化银行的风险管理,即银行风险管理的有效性;审计的重点是当前识别风险管理的有效性及有效期望性之间的差距;审计的测试聚焦于两者之间的差距测量上,最终形成的审计结论主要是就风险管理有效性的差距与潜在风险和关键邮储目标之间给予建议。
二、邮储银行风险管理内部审计存在的问题
(一)内部审计理念落后
指引人们采取具体行动的价值观就是理念。而作为一种社会意识,价值观对人们所采取的行动具有促进、制约跟界定的作用,时刻影响着人们在对待问题时的态度、思维跟行动。目前,我国邮储银行的内部审计思想还处于把握基础审计、风险导向审计阶段,其重心仍旧是传统的合规性审计,在风险管理方面也没有过多的涉猎;对内部审计在银行风险管理中的功能与职责及作用没用系统而准确的认识;对银行风险管理内部审计理念的认识还不到位,从而影响邮储银行在推行风险管理内部审计的接受及开展程度。这些都是影响邮储银行有效开展风险管理内部审计的本质原因。
(二)定位内部审计目标不明确
目前,邮储银行的内部审计依旧停留在以往的以对照制度进行检查为主的传统的、合规性的审计阶段,还无法实现以经营活动风险性的评价跟有效性风险管理为核心的风险导向管理审计阶段,内部审计的咨询、评价、鉴证等功能也没能发挥其应有的作用。内部审计的终极目标就是通过采取规范的、系统的方法,对风险管理、控制以及治理过程的效果进行有效评价甚至是改善,以提升价值及完善组织的运营为宗旨,促进组织实现其应该达到的目标。然而,现阶段邮储银行仅是将内部审计用于“为银行日常运营查错纠弊”。
(三)内部审计人员无法胜任
风险管理内部审计要求银行的内部审计人员要对银行的风险进行准确、系统的把握,熟练运用先进的审计方法对风险进行识别、评估、分析及控制等,以及时评价出邮储银行风险执行的有效性以及管理的合理性,这就说明银行的内部审计人员必须要具备一定高度的素质,除了要具备财务、审计知识以外,还要熟悉邮储银行在经营活动过程中可能面临的各种风险及性质,而且还必须要掌握计算机审计、定量分析方法。目前,依据风险管理内部审计的发展要求来看,我国邮储银行内部审计人员的职业素质存在较大差距:
首先,邮储银行尤其是地方支行的内部审计人员的学历层次偏低,高学历人才非常少,对涉及到的专业知识问题的识别与解决能力比较低下。其次,邮储银行内部审计机构的专业构成比较单一,会计、审计专业人员的人数比例占主体地位,而法律、管理类、金融学等其他专业人员的人数比例却很小,但是邮储银行又属于专业知识比较强的领域,如果对该行业没有深入的了解,必然会影响到邮储银行内部审计工作的效率和效果。
(四)内部审计方法不完善
科学的、先进的审计方法是达到审计目标、准确评价审计对象及提高审计质量的关键因素。目前,邮储银行内部审计方法不完善、审计技术落后、审计手段不能适应新时期的新要求,大体上都还以账目作为审计的根本,主要采取详细的审计,有的甚至还仅以审计人员的自身经验为基础去判断审计方法;邮储银行在对计算机审计的运用上也不够充分,并且在实施过程中还存在轻视甚至是忽视计算机系统评价、以数据论数据、不测试数据真实性等不良现象。而风险管理在内部审计过程当中却涉及了大量的、复杂的风险因素,需要运用科学的、先进的审计方法去进行识别跟评价,传统的、陈旧的审计方法已经在很大程度上制约了邮储银行内部审计的有效发展。
三、保障邮储银行风险管理内部审计有效运行的措施
(一)转变内部审计理念
要尽快转变邮储银行内部审计理念,进一步认识到评价银行风险管理的有效性是邮储银行内部审计的目标,明确邮储银行的风险管理水平跟能力是审计的重点与核心。然而,风险管理却是银行高层管理者跟董事会的关键职责,要对银行的风险管理与控制过程负责。为实现银行目标,高层管理者应保证银行具备科学的、合理的风险管理过程,且能有效发挥其作用;而董事会在银行是否具有科学的、合理的风险管理过程的确定上以及该过程是否恰当、有效的认定上均负有不可推卸的监督责任。一方面董事会可以带领内部审计部门采取审计报告的形式对风险管理过程的恰当性、有效性提出针对性的改进建议;另一方面还可以充当咨询师的角色,并且协助高层管理者对风险进行识别、评估,运用风险管理的控制措施帮助解决风险问题。在银行的风险管理过程中,内部审计的角色是随着时间的推移而改变的,并历经了一种持续的发展过程,即:从不出现在风险管理过程中——作为内部审计计划的组成部分对风险管理过程进行审计——积极、持续地支持风险管理过程并参与其中。如报告监控活动、参加监督委员会等,直到当下的管理、协调风险管理过程。内部审计在银行风险管理过程中的作用跟地位日趋重要,因此,我们要转变内部审计理念,正确的定位内部审计在风险管理过程中的角色,在审计过程当中以主动积极的态度充分的发挥其应有的功能与职责。
(二)明确目标定位
内部审计的终极工作方向以及其存在的根本价值所在均是内部审计的目标,它确定了审计的内容和制订了审订的程序。随着内部审计的持续发展,内部审计的目标也正在发生持续的变化,如在内部审计产生的起始期间,其主要目标是查错防弊,后来就发展成了对银行经营资产的真实性、完整性和合法性进行监督、审查,再后来就发展成了为将内部控制的有效性跟完整性作为其目标。现阶段,邮储银行内实施风险管理,这就要求各参与部门将银行的经营目标作为起点,更多地思量银行的长远利益、战略规划,注重风险管理的有效性以及风险之间的关联性,从而出台最高效的内部审计运行程序。自然,过去的内部审计目标已无法再满足这一新要求。风险管理内部审计下的内部审计目标应该为实现邮储银行的经营战略而产生,即提升组织价值、加强组织运营。因此,在实施具体的风险管理内部审计之前,邮储银行内部应该对审计的目标进行明确的定位,为内部审计工作领航,这也是保障邮储银行内部审计有效运行的前提。
(三)提高内部审计人员素质
内部审计人员素质的高低是内部审计效率及效果的直接影响因素,提高内部审计人员的专业知识水平和素质有多种途径:一是延伸内部审计人员招聘的专业范围,适当增加法律、金融、信息技术、统计等相关专业的人才招聘,扩大内部审计的专业知识领域,以提升内部审计队伍的专业素质;二是开展内容丰富、形式多样、专业知识广泛的内部审计经验交流会及培训,对在邮储银行内部审计中遇到的各种各样的典型实例进行深入的分析与研究,以提高审计水平,增加审计人员的实战经验;三是咨询或聘请有关银行经营风险管理研究方面的专家教授,补充银行内部审计队伍的知识、技巧,但是在咨询或聘请专家之前必须要做好对专家的胜任能力、及其成果的评价工作,以保证审计的质量。风险管理的内部审计是一项复杂的、系统的审计过程,胜任能力强、专业知识广泛的高素质人才是风险管理内部审计有效开展的保障。
(四)完善内部审计方法
开展风险管理内部审计的有力保证是先进的审计技术。邮储银行在其经营过程中面临着诸多复杂的风险因素,先进的技术工具的支持是对这些复杂的风险因素进行识别以及对其性质、影响程度进行评价必不可少的保障,这就需要邮储银行内部审计部门不断引进、学习先进的技术工具。第一,要持续引进国际先进的风险识别跟评估方法,如信用风险内部评级法(IRB)、操作风险高级计量法(AMA)、内部资本充足评估程序(ICAAP)、市场风险内部模型法(IMA)等方法的引入跟学习;第二,广泛运用计算机审计技术,构建信息系统体系,开发网上服务业务,并用计算机完成大量的数据分析和银行信息整理,完善邮储银行内部审计方法。
(五)强化与各部门的沟通与交流
在充分分析风险管理信息的同时实现交流与共享,是有效推行风险管理内部审计的必要条件之一。目前,邮储银行的内部审计还存在一个严重问题,即银行内部各部门之间没能进行有效的协调与沟通。因此,必须在各部门之间加强沟通、交流跟联系,建立健全邮储银行的风险管理数据库,完善其风险信息系统的共享。风险信息系统共享的功能就是储存和传递邮储银行内外部的相关风险管理信息,以保证每一个银行从业人员都能有效的履行其各自的职责。通过风险信息系统共享,内部审计部门可以在及时识别并评价银行所面临的各种复杂的风险因素的同时评价整个邮储银行的风险管理系统的有效性。进而,邮储银行的其他相关部门就能够通过内部审计部门反馈的信息进行及时、准确的风险预防和控制,在银行造就一个高效的、系统的风险预防控制体系,确保风险管理内部审计顺利开展,提升其安全性、效果性和效率性。
篇12
为促进企业建立健全内部控制,规范审计人员对内部控制的审计业务,监管部门制定了《企业内部控制审计指引》。依据《企业内部控制审计指引》的界定,内部控制审计风险是指“内部控制存在重大缺陷而审计人员出具了不恰当的意见的风险”,即企业内部控制存在重大缺陷而未被审计人员有效识别,而发表不恰当的审计意见和结论,给使用者带来损失所需要承担的责任。所谓内部控制存在重大缺陷包括三个方面,一是内部控制设计的不充分或者不合理;二是设计合理的内部控制没有按照要求被充分执行;三是设计合理并且表面执行充分的内部控制由于缺乏必要的授权或资格而在实质上不符合规范,或是没有对内控的执行进行恰当的监督,导致内部控制无法真正有效的运行。在对内部控制进行审计时,需要充分考虑这三方面的因素,只有三方面内容均不存在时,审计人员才能发表无保留意见。内部控制审计风险主要包括三方面的风险:固有风险、内部控制设计和运行有效性风险、内部控制评价风险,具体来看:
(一)固有风险
内部控制审计的固有风险是由内部控制本身决定的,内部控制是一个过程,是实际目的的手段,它受人的影响,涉及企业各层次的人员,因此只能提供合理的保证,而非心绝对的保证。在固定风险比较低的前提下,即使内部控制设计不合理或者执行缺乏有效性,内部控制审计风险也可能是比较低的。一般而言,审计人员需要通过分析收集到的各种信息,来评价内部控制的固定风险。影响固定风险的因素主要发生于被审计单位内部,如其所处的外部环境、自身具备的竞争能力、企业文件、管理人员及员工的能力和素质等。此外,会计期末发生的复杂交易或者异常情况、在会计核算中容易被忽略的交易或者事项等都是产生固有风险的因素。注册会计师在对被审计单位的内部控制固有风险进行评价时,需要全面考虑这些因素,得出综合结论。
(二)内部控制设计和运行有效性风险
内部控制设计和运行有效性风险是指存在内部控制的前提下,内部控制本身设计的不合理或者设计合理的内部控制制度没有被有效执行,从而导致内部控制重大缺陷的可能性。如果拥有授权和专业能力的人员按照程序和要求执行,内部控制目标能够实现,则表明内控设计是有效的。如果内部控制正在按照设计运行,并能实现预期目标,则说明内控运行是有效的。注册会计师在判断内部控制是否存在内部控制设计风险时,需要考虑是否存在应有的内部控制,如果没有,可能会存在哪些差错。注册会计师在判断内部控制是否存在内部控制运行有效性风险时,需要考虑设计合理的内控是否得到执行以及结果是否有效。
(三)内部控制评价风险
内部控制评价风险是指被审计单位内部控制存在重大缺陷,但审计人员出具不恰当审计报告的可能性。它类似于财务报表审计中的检查风险。一般而言,内部控制评价风险是必然存在的。因为注册会计师在审计时,会受到审计期限、审计方法、审计资源、自身专业知识和经验判断等要素的制约,所以这种风险不能根除,并且与被审计单位不存在关系。审计人员需要科学合理的设计内部控制审计的程序、时间和审计范围并严格执行,才能尽可能的降低评价风险。
三、内部控制审计风险的防范
从构成因素上看,要做好企业的内部控制审计,审计人员应当准确识别和评估内部控制的固有风险、设计和执行有效性风险,防范评价风险,才能尽可能的降低内部控制审计风险。为确保将内部控制审计风险控制在较低水平上,需要采取各种措施,如全面掌握被审计单位的情况、严格按照审计程序进行审计、明确测试对象等,来防范和规避内部控制的审计风险。
(一)全面掌握被审计单位的情况,防范了解不全风险
在对企业内部控制进行审计之前,注册会计师需要全面了解被审计单位的基本情况和内部控制环境等,这是内部控制审计的重要前提和首要环节。为全面掌握被审计单位的情况,审计人员应该重点了解一下几个方面:一是被审计单位所处的行业发展前景、法制监管环境及产业政策、单位性质、组织架构、对会计政策的选择与运用、经营目标、战略及风险、业绩考评等基本情况;二是被审计单位的高层管理人员的理念和经营风格、经历与胜任能力等相关信息、高层管理者对控制制度的重视程度、以前年度对内部控制有效性的评价等总体控制环境;三是企业风险评估过程、内部信息传递流程、内部控制的自我监督和自我评价等企业层面的内部控制;四是各类业务特点、流程等具体业务层面的内部控制执行情况。
(二)严格按照审计程序进行审计,防范评价不当风险
内部控制审计的目标是对单位内部控制的有效性发表意见,为防范做出不当评价,发生评价风险,注册会计师首先应当在审计之前充分准备,根据对内部控制风险的评估,制定详细的审计方案,比如审计目标和审计的重点内容、审计具体方法、实施审计的程序、审计期限及时间分配、审计范围及审计人员任务安排等。其次,审计人员应广泛收集准确、真实的资料和证据,运用观察、查阅、询问等方法,对被审计单位的各种情况进行了解,对内部控制有效性做出初步判断。再次,在初步判断的基础上,运用审查、分析等方法,对内部控制的合理性、有效性进行测试,形成总体评价意见和整改建议等。由于审计人员的业务素质、专业知识、判断水平等直接关系到审计结论的有效性,因此要求注册会计师恪守职业道德水准、不忘风险意识,不断提高自身专业知识、阅读相关业务的专业书籍、提高判断分析和预测的能力,不断提高业务水准,按照确定的审计技术和方法圆满完成审计工作,将内部控制的评价风险降到最低。
篇13
一、商业银行风险管理
对银行而言,风险是可能对银行战略目标的实现产生影响的事件、行为和环境,而对这种不确定性进行调节和驾驭的能力就是风险管理。风险管理并非是要消除风险,而是通过对未来结果不确定性的分析预测和周密思考,以降低决策错误之几率、避免损失之可能,相对提高银行的附加价值。
商业银行的风险种类很多,主要有以下几种表现形式:一是信贷风险,信贷资产是银行业的主要资产,在当前实行分业经营的背景下,它是银行业最大的盈利项目,信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险,主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险,主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险,主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来,商业银行内控制度尽管有所加强,但受利益驱动和相关管理人员能力、素质的影响,经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。
二、内部审计在风险管理中的作用
随着市场经济的不断发展,市场竞争日趋激烈,经营环境复杂多变,银行面临的风险也不断加大。内部审计在风险管理中发挥着越来越重要的作用,它通过评估、计量和报告总体风险,推动银行实施风险管理,最大程度地防范和化解可预见的风险。具体而言,其作用体现在如下方面:
(一)能够客观识别和评估风险的充分性
内部审计部门独立于业务管理部门,这使其可以从全局出发,从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之,就是要确定银行正在或将要面临哪些风险,所面临的主要风险是否均已被识别,并找出未被识别的主要风险。内部审计师不仅要识别相关的风险,而且还应从以下几个方面对风险进行评估:一是评价银行战略目标的制定是否是在分析组织和行业发展情况和趋势、银行的优势和劣势、外部的机会和威胁的基础上结合实际来制定;二是看分解到各部门的目标是否对战略目标提供足够的支持,是否与整体目标保持一致;三是评价员工是否确知已建立的工作目标(或业务管理目标);四是管理层是否建立风险识别与评估机制,该机制至少包括机构、人员、政策和程序以及支持系统。管理层对风险的识别和评估是否准确,是否已对面临的风险进行恰当分类;五是是否已识别出各类内部和外部的风险因素,并对已识别的风险进行计量,分析控制措施是否完善,是否可以使银行风险发生的可能性和影响都落在风险容忍度之内;六是风险监控是否持续得到执行,监控报告制度是否合理,风险管理报告是否充分、及时。
(二)能够综合分析和计量风险的恰当性
内部审计对现代内部控制的焦点不仅在于识别和评估风险的充分性,而且在于强调风险分析和计量。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计,通用的公式为:风险值=风险影响X风险概率。目前国内商业银行缺少实施先进风险计量方法的必要支撑,但新资本协议鼓励银行采用更为先进的风险计量方法,如允许银行通过内部评级确定风险函数计量加权风险资产;运用金融工程技术转化基础工具计量市场风险;运用基本指标法、标准法、高级计量法和风险模型计量操作风险等。内部审计可以借鉴新资本协议的方法,对风险进行计量和解析。在风险难以量化、定量评价所需的数据难以获取时,应采取定性评价。定性评价的复杂性在于很多情况下需要主管判断不同结果的可能性,不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同,如银行在计量未决诉讼预计负债时,其金额具有不确定性,需要进行合理而恰当的估计。
(三)能够发挥风险反馈的预警性
内部审计在银行管理控制系统中发挥反馈作用,对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果,特别在关注高风险领域和内控不健全区域的潜在威胁时,是通过风险反馈进行持续监督与评价,确保目标与预算如期完成的。一方面,内部审计要与相关部门进行风险管理沟通,对风险管理过程的充分性和有效性进行检查、评价,对重大的审计发现按清晰传递的线路进行报告,传递给内部相关人员和其他有关方面,以便及时采取相应的控制措施,同时对监督检查结果的落实情况要进行跟踪报告,使风险及时得到控制和防范;另一方面,以风险为核心及出发点的内部审计,能够客观地从全局的角度管理风险,能从组织的利益和实际出发,提出防范风险的有效建议,作为管理层改进风险管理的参考意见,内部审计的建议更加强调风险规避、风险转移和风险控制,通过有效的风险管理建议反馈,提高组织的整体管理效率。
三、加强内部审计在风险管理中作用的有效途径
(一)树立正确的风险审计理念
在当前市场竞争日趋激烈的情况下,银行面临的风险越来越大,银行各级管理层应深刻理解银行所处环境中各种不确定因素对银行风险的含义,把风险作为重要的决策变量,始终把风险意识贯穿于经营的全过程。内部审计已成为银行风险管理的一个重要环节,存在风险的领域就是内部审计的重点,风险评估已成为内部审计的主要内容,内部审计已扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外,更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”,效益审计应成为内部审计的重要内容。
(二)将风险管理融人内部审计的全过程
内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。首先,在编制审计计划时,应在对可能影响机构的风险进行评估的基础上,按风险评估结果确定优先顺序,制定内部审计部门的审计计划,确定审计项目。
其次,确定审计范围和编制审计方案时,通过风险因素分析来确定审计业务工作范围,如重要的会计凭证、重大交易和事项的会计处理及交易授权等;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在选择技术与方法时,应能反映出风险的重大性与发生的可能性。再次,在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞,提出加强管理的建议。最后,追踪审计时应将注意力集中于最严重的潜在的问题上,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。
(三)利用网络信息开展动态管理评价模式