谈我国企业的内部控制与风险管理_张宏亮.docx

《谈我国企业的内部控制与风险管理_张宏亮.docx》由会员分享，可在线阅读，更多相关《谈我国企业的内部控制与风险管理_张宏亮.docx（2页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、保证其独立性又能使其在日常行政事务中得到高 管层的支持。当然，若企业的董事会存在较多问题 或没有设置董事会，内部审计由高管层领导也许 是最好的选择了。 二、 改进审计技术方法 。审计技术的改变是内 部审计参与风险管理审计的必然要求，增加计算 机辅助审计，开展非现场审计成为内部审计有效 参与风险管理的不二之选。计算机辅助审计的概 念与内涵人们已经比较熟悉，在此不再赞述。非现 场审计是审计人员通过连续地收集、整理被审计 对象业务经营管理的数据和资料，运用适当的方 法和流程进行分析的远程审计程序，是现代信息 处理和传递方式下迅速发展起来的一种审计监督 方式，就内部审计而言，它一般应用于分支机构较 多

2、的组织如银行等。需要说明的是，非现场审计和 计算机辅助审计不是两项完全独立的技术，它们是 互相渗透的。非现场审计中包括计算机辅助审计 , 只不过它更强调远程审计，偏重于地点的非现场 性，因此更适用于具有复杂繁多的分支机构的组 织 ;汁算机辅助审计从一定程度上讲也是一种非现 场审计，只是更偏重于审计操作环境的非手工性。 三、 提高审计人员素质 。内部审计对风险管理 这一领域的介入也对审计人员提出厂更高的要 求。 2003年 IIA全球审计信息网络凋查结果表明， 认为内部审计人员的职责应该是：调查人员的占 44.16%;指导顾问的占 57.1%;咨询专家的占 45.16%;管理层的有益助手的占 3

3、4.17%;其他人士 的占 32.11%。由此结果我们可以看出基于风险管 理的内部审计师必须具备以下素质 :熟悉企业经营 管理过程，拥有大局观、风险观 ;精通技术、具备顾 问才能、领导才能 ;具备风险审计专业判断能力。 四、完善外部条件 。风险管理审计需要建立企 业风险数据库和风险信息共享系统。风险信息的 交流与共享，是风险管理的必要条件之一。其功能 是 将企业内外部的相关风险信息进行确认和传 递，以保证企业成员能有效履行各自的职责。信息 技术的发展，为企业组织内部实现资源共享和信 息传递提供了充分条件。国际注册内部审计师协 会也正努力建设风险管理数据库，为全球内部审 计师参与风险管理提供许多

4、共享的重要信息和数 据。企业内部审计部门也应结合自身过去的执业 经验、行业内外信息 ,参与建立企业风险数据库。 风险信息传递与共享不仅在内部审计师之间进 行，同时也还在部门与部门之间、企业与企业之 间，特别是同行业的企业之间进行。内部审计师通 过建立风险信息共享系统，一方 面可充实企业的 危机预警管理系统，为自身的危机预警提供依据， 也使相关部门能更加了解企业相关风险，自觉地 采取措施将其控制在警戒线以下，另一方面可将 本企业相关风险信息传递给其他企业，使所有参 与风险评估的内部审计师能获得更充足的本企业 之外的风险管理信息，拓宽风险管理视角，从而能 更容易从整体出发、从宏观出发来评估整体化风

5、 险管理的效率和效果。 (文摘：中国审计报） 谈 我 国 企 业 的 内 部 控 制 与 风 险 管 理 张宏亮 英国巴林银行、美国安然公司、世通公司等国 际知名公司相继暴露出严重的财务失败事件，引 起了社会各界对企业风险研究和立法行动的重 视，加强公司治理、内部控制和风险管理的呼声愈 来愈高，人们越来越清楚地认识到需要一个强有 力的框架以便有效识别、评估和控制风险。在此背 景下 ,2004年 9月，美国反欺诈财务报告全国发起 组织委员会 (简称 COSO)在广泛吸收各国理论界和 实务界研究成果的基础上，发布了企业风险管 理 整合框架，用以指导企业的全面风险管理 工血 _计与会计 活动 ,并被

6、众多企业用于风险管理领域。 在我国，风险管理是企业管理中的一个相对 薄弱环节，风险意识不强，风险管理工作薄弱，是 企业发生重大风险事件的重要原因。 2006年 6月， 国资委制定并发布了中央企业全面风险管理指 引，对于建立健全风险管理长效机制，推动风险 管理工作具有一定的意义。 2008年 6月财政部发 布企业内部控制基本规范，将于 2009年 7月 1日 起在大中型企业实施，该规范强调企业应当建立 和实施风险评估程序。然而 ,纵观我国企业内部控 制与风险管理，尚存在许多问题，在新的经济形势 下需要以新的措施和方法予以改进。 、企业内部控制与风险管理运行中存在的 问题 我国企业内部控制与风险管

7、理运行中主要存 在以下方面的问题：一是内部控制对控制环境的 关注不够。内部控制理论认为，内部环境对于企业 战略目标的制定、业务活动的组织以及风险的识 别都有着非常深刻的影响。我国主要是从会计控 制的角度来规范内部控制，而一些企业的内部控 制之所以失效，很大程度上缘于缺乏良好的内部 控制环境。例如，我国企业缺乏有效的现代企业治 理机制 ,很多公司虽然形式上设立了董事会、监事 会、审计委员会等，但实际中，因一股独大、内部人 控制等原因，中小股东利益得不到切实保护。 二是内部控制不能应对凌驾于内部控制之上 的风险。内部控制主要侧重于服务高层管理者控 制资产、业务的需要 ,侧重于对企业中层管理者和 员

8、工的控制，对于高层管理者 (如总经理、执行董 事 )缺乏制约能力，而企 业往往会因为缺乏对公司 高层管理者的有效控制和监管而带来风险。 三是我国企业风险管理水平较低，风险管理 手段落后。风险管理思想和理论尚未融人我国企 业管理过程中，重收益、轻风险；企业风险管理技 术水平低，风险识别、风险评估、风险应对等风险 管理技术手段落后。 四是风险管理中过多强调传统的内部控制风 险，对传统内部控制之外的风险关注不足。目前我 国企业对于传统意义上的内部控制比较重视，强 调分工和牵制，但对于内部控制之外的风险却缺 乏关注 ,如外部重大不利事件、法律变化、技术变 化、收购兼并等风险游离于内部控制 之外。 五是

9、未能建立起有效的风险管理信息系统， 风险管理决策缺乏定量依据。各类风险数据、损失 数据是企业经营管理的重要决策基础，在一定程 度上，通过扩充丰富这类资源，可以提高企业的经 营水平和经营弹性 。因此 ，实践上就要求我国各类 企业建立一个完整的信息系统对这类资源进行收 集、挖掘和利用。由于缺乏这类基础数据的支持 , 使企业的经营决策依据不足，带来企业风险管理 的被动状况。 二、改进内部控制与风险管理框架的措施 笔者认为 ,针对以上问题，可以从以下三个方 面着手改进我国企业内部控制与风险管理框架。 1. 借鉴 COSO框架，改进企业内部控制和风 险管理。当前我国企业内部控制基本规范已经建 立，但仅有

10、风险评估的内容 ,并未纳入风险应对的 相关措施。根据我国企业的实际情况，可以结合 C0S0报告、萨班斯 奥克斯法案和企业风 险管理 总体框架，探索和完善有关风险应对 的方法和流程。 2. 企业应加大对内部控制环境关注度。良好 内部控制环境的关键是治理结构的完善，同时高 层管理者应增强内部控制和风险防范意识，注重 企业文化建设，充分发挥内部审计在企业风险管 理中的作用，灵活运用各种管理控制方法。 3. 加强公司治理层面的内 部控制。对于内部 控制，应明确分为经营层面的内部控制和治理层 面的内部控制，经营层面的内部控制侧重于公司 内部业务、经营、资产控制，治理层面的内部控制 可以应对董事、高层管理者等凌驾于内部控制之 上的风险 ,例如可以利用董事会、监事会、股东大 会的相互制衡的方式来解决企业高层人员一人独 大、缺乏制约的风险 。同时 ，应使司经营层面的 内部控制和公司治理层面的内部控制互相结合， 实现对公司风险的全面控制。 (作者单位 :北京工商大学会计学院 文摘：中国审计指 J ( 工 分 与