财务风险控制导向下内部控制研究

《财务风险控制导向下内部控制研究》由会员分享，可在线阅读，更多相关《财务风险控制导向下内部控制研究（2页珍藏版）》请在金锄头文库上搜索。

1、INTERNAL CONTROL内部控制综合 2010年第2期（中 ）度、 日志审计制度、 特权管理制度、 系统安全管理制度、 数据保护管理制度是否完善， 是否在整个评价期间都有效执行， 是否发生过违规的情况等。第四， E R P 硬件管理。 检查关于硬件的放置、 接触、 处理相关的安全制度是否完善， 硬件设备的更新、 扩充、 修复形成的控制文档是否齐全， 申请、 审批等控制痕迹是否恰当， 是否在整个评价期间都有效执行， 是否发生过违规情况等。 第五， E R P 系统会计信息及其控制。 检查会计电算化操作管理制度是否完善， 不相容操作岗位是否分离， 会计档案的管理规定是 否符合 应用指引 和

2、会计法规， 是否发生过违规情况等。 E R P 系统一般控制评价一般的工作步骤为：明确一般控制的目标和范围； 设计一般控制调查问卷和问题清单； 下发和初步填制 调查问卷； 问卷初步审阅、 访谈确认及问卷修改； 进行测试， 获取并 审阅支持性文档； 汇总并确认发现问题。（三） ERP系统应用控制评价E R P 系统应用控制评价， 是E R P 系统内部控制评价在业务流程和管理流程方面的延伸， E R P 系统应用控制评价的主要内容为：第一，评价关键控制点是否涵盖了影响业务流程和管理流程 目标实现的所有重大风险。 依据 基本规范 规定的控制原则， 控制 措施应当涵盖所用的重大风险。第二， 评价实现

3、关键控制点的控制措施是否科学合理。 这些措 施包括： 建立控制模型、 设定控制参数和编写控制程序等。 设计本身存在缺陷的控制措施， 即使执行有效， 同样会导致关键控制点失 效， 从而引起整个控制链条失效。第三， 评价控制措施的运行是否连续有效。 有效不单指某个时点上的有效， 而要贯穿于整个评价期间。 最终评价报告的形成是针对整个评价期间的整体评价， 而非对报告时点的内控评价。E R P 系统应用控制评价一般的工作步骤为：了解重要业务流程； 根据业务流程描述， 识别风险与控制； 执行穿行测试； 执行控制测试； 汇总和确认发现问题。（四 ） 出具ERP系统内部控制评价报告 企业需要从定性和定 量两

4、方面进行衡量， 判断E R P 系统内部控制是否存在缺陷。 E R P 系统内部控制缺陷一般可分为设计缺陷和运行缺陷。如果E R P 系统 存在下列情况之一， 则可认定内部控制存在设计或运行缺陷： 未实 现规定的控制目标； 未执行规定的控制活动； 突破规定的权限； 不能及时提供控制运行有效的相关证据。 根据缺陷的严重程度， 可分 为一般缺陷、 重要缺陷和重大缺陷。 针对E R P 系统每一个控制缺陷， 都必须提出整改建议。 根据缺陷对应的风险的高低、 整改的难易程度、 缺陷产生的原因和企业的实际情况制定整改计划和方案。 计划和方案应符合有针对性、 可衡 量、 可完成、 符合现实情况、 及时性等

5、五项原则。 整改方案可能涉及 对内部控制的重新设计、 修正和重新运行， 还可能涉及对相关人员重新进行的培训等。 整改后运行一段时间， 评价部门应重新测试其 运行的有效性。参考文献：1 汤云为：内部控制评价刍议 ，新会计 2009年第1期。 （编辑向玉章 ）一、企业财务风险管理与内部控制企业财务风险管理是指在财务风险识别和度量的基础之上， 管 理者针对企业所存在的财务风险因素有目的地施加作用， 即选择适 当的风险管理策略， 从而达到降低风险的不确定性和减少损失的目的。 财务风险管理一般分为事前管理、 事中管理和事后管理。 企业内部控制是以风险管理制度为基础， 以防范风险、 有效监 管为目的， 通

6、过全方位建立过程控制体系、 描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。 可见， 企业 内部控制的实施是以风险防范为主要目的。完善的内部控制要求 必须能够适时反映企业面临的各种内部和外部的风险因素，并且采用准确的风险识别方法进行风险识别，找出哪些风险会对经营 产生重大影响， 从而有针对性地进行风险控制， 同时， 还要求针对不断变化的风险进行准确评估。 可见， 财务风险管理是内部控制的核心理念， 也是内部控制有效实施的必然要求。 内部控制的主要目 的就是进行风险防范和风险监控， 二者密切相关。二、COSO企业管理风险框架评价全美反舞弊性财务报告委员会 （简称C O S O

7、 ） 于2 0 0 3 年7 月完成了 企业风险管理整体框架 （草案） （以下简称E R M ） ， 并公开向业界征求意见。 2 0 0 4 年9 月，该框架正式颁布。 C O S O 发布E R M 的 目的，是希望新框架能够成为企业董事会和管理者的一个有用工 具， 用来衡量企业的管理团队处理风险的能力， 并希望这个框架能 成为衡量企业风险管理有效性的一个标准。第一， E R M 的要素。 C O S O 确定企业风险管理由内部环境、 目标 设定、 事件识别、 风险评估、 风险反应、 控制活动、 信息和沟通、 监控 八个要素构成，各要素贯穿在企业的管理过程之中。 C O S O 风险管理的八

8、个要素没有严格的顺序，一个构成要素并不是仅仅影响接 下来的那个构成要素， 而是一个循环反复的过程。 每个构成要素在 不同企业中的应用也并不是只有一个固定的模式。所以， C O S O 风险管理框架旨在为企业和其他组织中的各级管理人员提供用来评 价和增进企业风险管理有效性的指导。 因此， 该框架并非严格执行和一成不变。第二， E R M 的特点。 C O S O 的风险管理框架主要有以下两个特 点： 一是E R M 完全适用于财务风险管理。 从C O S O 报告的提出可以 看到， C O S O 报告是在美国金融风险加剧， 财务舞弊频发， 财务欺诈抬头， 社会各界对内部控制和独立审计师寄予厚望

9、的 “危难” 时刻，由五个会计团体联合并潜心研究近4 年左右的时间才诞生的， 其框财务风险控制导向下企业内部控制研究唐山学院赵冬梅9 9INTERNAL CONTROL内部控制综合 2010年第2期（中 ）架完全适用于财务风险管理。二是E R M 已经成为事实上的标准。C O S O 报告不仅在美国被广泛运用，在世界许多地方也被视为模 板。 当今世界另外几个主流内部控制框架如加拿大的C o C o 、 英国 的C a d b u r y 报告、 国际内部审计师协会的S A C 、 信息系统审计与控制协会的C o b i t 都与C O S O 框架紧密相关。三、我国内部控制规范与风险控制2 0

10、 0 8 年6 月2 8 日， 财政部、 证监会、 审计署、 银监会、 保监会五部 委联合发布了 企业内部控制基本规范 ， 确定企业内部控制由内部环境、 风险评估、 控制活动、 信息与沟通、 内部监督五个要素构 成。 从要素构成来看， 将内部控制与我国企业所处的具体环境、 相关法律法规、经营管理实践紧密联系。其中将风险评估要素定义为：“是及时识别、科学分析和评价影响企业内部控制目标实现的 各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。 ” 风险评估主要包括目标设定、 风险识别、 风险分析和风险应 对。 对风险评估要素的分解， 实质上对应的就是E R M 的风险评估、 风险应对策

11、略与企业的具体要素的分解， 即目标制定、 事项识别、风险评估、 风险反映。 由此可见， 虽然我国的内控基本规范并没有照搬照抄以美国C O S O 报告为代表的国外内部控制框架， 但整体上 凸显了财务风险控制的重要性。企业内部控制基本规范 将风险定义为对实现内部控制目标可能产生负面影响的不确定性因素。对风险的识别要求企业分别 从内外部相关因素进行鉴别， 从而达到控制风险的目的。 内部风险因素一般包括高级管理人员职业操守、 员工专业胜任能力、 团队精 神等人员素质因素； 经营方式、 资产管理、 业务流程设计、 财务报告编制与信息披露等管理因素。 外部风险因素一般包括经济形势、 产业政策、 资源供给

12、、 利率调整、 汇率变动、 融资环境、 市场竞争等经济因素； 法律法规、 监管要求等法律因素； 文化传统、 社会信用、 教育基础、 消费者行为等社会因素； 技术进步、 工艺改进、 电子商务等科技因素。对于可识别风险的应对，企业内部控制基本规范特别提出从成本效益原则出发， 对风险控制策略实施的成本效益进行分析，然后采取对应的风险回避、 风险转移、 风险自留等措施。 风险回避是对事先预测风险发生的可能性，分析和判断风险产生的条件和 影响程度， 对那些风险程度超过企业风险承受能力， 而且是很难掌握的财务活动予以回避。财务风险转移即企业通过某种手段将部 分或全部财务风险转移给其他单位承担的方法。转移风

13、险的方式很多， 企业应根据不同的风险采用不同的风险转移方式。 所谓风险自留策略， 就是按照稳健性原则， 平时在企业内部分期建立起各种 风险基金， 当一定的财务风险发生并由此造成损失时， 就用这些风 险基金予以补偿。企业建立的风险基金主要包括偿债基金和各种准备金。 这些应对措施也都与E R M 中相关内容完全一致。四、我国上市公司内部控制实施状况分析德勤从2 0 0 7 年开始每年都对国内上市公司内控实施状况进行 调查，引用2 0 0 8 年7 月2 日德勤公布的针对中国大陆上市公司的内部控制意识与就绪度所作的第二次调查结果， 显示： 半数以上上市 公司内部控制机制尚未建立、 缺少完善的财务风险

14、预警机制； 绝大多数上市公司内部控制机制的实施遇到障碍；半数以上管理层缺 乏风险防范意识； 缺乏内控管理长效机制。德勤在调查后总结了上市公司实施内部控制的关键障碍， 其中 最重要的一点是 “未关注公司层面的控制， 治理结构形同虚设” 。 而公司治理的重要组成部分和基础是财务风险控制， 财务风险控制也 是公司治理结构有效运作的有力工具。 它主要通过财务管理在公司不同层次上发挥的核心作用来协调出资者、 经营者之间以及出资者 内部股东与雇员之间的利益和行为， 以达到相关利益主体之间的权力、 责任和利益的相互制衡， 实现效率和公平的合理统一。 因此， 一 个健全的财务风险控制系统实际上是公司治理结构的

15、体现。在完善的公司治理结构下， 公司财务会涉及到出资者、 经营者 和财务经理三个层次， 相应地形成出资者财务风险控制、 经营者财务风险控制和公司专业财务风险控制。 在这三个层次中， 虽然各自 的财务风险控制内容在整个公司治理中各有侧重，但它们的最终 目标是一致的， 即实现公司价值最大化。 与公司治理结构相一致，财务风险控制也包括内部财务风险控制和外部财务风险控制两个 方面。 这是财务风险管理的重要环节或基本职能。五、风险控制目标下内部控制实施基本策略在内部控制体系的建立以及内部控制实施过程中应始终坚持 以风险控制为目标导向，将风险管理内容贯穿到企业内部控制的各个环节。第一， 规范公司治理结构，

16、 协调委托代理关系。 现代公司的委 托代理关系呈现出一种多维多级的状态。 在现代公司制企业中， 由于所有权与经营权分离，产生了股东与管理层之间的委托代理关系以及债权人与股东之间的委托代理关系。由于委托代理关系双 方存在着利益矛盾和信息不对称，决定了代理人有损害委托人利益的动机和可能性， 委托人目标的实现就面临着极大的风险。 而这 部分财务风险只有通过企业内部委托代理关系的调整来防范， 即建立规范的上市公司治理结构。第二， 健全财务风险管理制度， 保障良好财务管理环境。 企业财务风险管理制度内容涉及企业财务风险管理目标的设立、企业风险管理机构的设置以及人员配备、各职能部门在风险管理中的权利和职责、 企业财务风险管理的基本程序等方面。 企业财务风险管理制度是企业进行财务风险管理活动的基本要求，健全的企业财务风险管理制度本身就已经消除了一部分财务风险发生的可能性。 所以， 健全企业内部财务管理制度对的企业防范财务风险是非常必要的。 第三， 构建财务风险预警系统， 识别、 防范财务风险。 财务预警 系统是指采用及时的数据化管理方式，通过全面分析