導語：如何才能寫好一篇內(nèi)部審計應急預案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】企業(yè)內(nèi)部控制基本規(guī)范 中小企業(yè) 內(nèi)部控制

一、中小企業(yè)內(nèi)部控制現(xiàn)狀

（一）控制環(huán)境較差

有些中小企業(yè)在有限公司階段雖然制定了企業(yè)章程，但是卻未建立完善公司治理結構，未制定相關議事規(guī)則，決策、執(zhí)行、監(jiān)督等方面的職責權限不明確，未形成科學有效的職責分工和制衡機制。

有些中小企業(yè)在有限公司階段未設立董事會，只設立一名執(zhí)行董事；未設立監(jiān)事會，只設立一名監(jiān)事；相關的《董事會議事規(guī)則》、《監(jiān)事會議事規(guī)則》、《關聯(lián)交易管理辦法》、《對外投資管理辦法》等也未制定；公司的決策、執(zhí)行、監(jiān)督等基本都由公司董事長兼總經(jīng)理負責，未形成科學有效的職責分工和制衡機制。

有些中小企業(yè)在有限公司階段也未成立專門的審計部門，公司審計工作尚無規(guī)范的、系統(tǒng)的制度及流程，部分內(nèi)部審計工作由財務部來承擔。

（二）風險評估缺乏

有些中小企業(yè)在有限公司階段未制定專門的風險識別與評估體系。由于公司規(guī)模較小，公司管理層能夠及時發(fā)現(xiàn)并積極防范日常經(jīng)營過程中的風險，公司并未設立專門的部門來處理應急性的突發(fā)事件，實際經(jīng)營中對于主要風險的把握是通過總經(jīng)理對于業(yè)務的掌控來完成。但從公司長期發(fā)展的角度來看，突發(fā)性的重大風險防御機制尚需建立和完善。

（三）控制活動不健全

有些中小企業(yè)在有限公司階段未建立重大風險預警機制和突發(fā)事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件，制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理。因為有些中小企業(yè)在以前未發(fā)生過重大風險及突發(fā)事件，所以也未建立相應的機制，但重大風險預警機制和突發(fā)事件應急處理機制對一個健全的企業(yè)內(nèi)部控制是必不可少的。

（四）信息與溝通不暢

有些中小企業(yè)在有限公司階段的重大決策及大部分一般決策都是由老板一個人決定的，相應的信息溝通與反饋得不到有效的處理，同時員工對信息與溝通也沒有較強的意識，導致有些中小企業(yè)的信息與溝通不暢。

（五）內(nèi)部監(jiān)督薄弱

有些中小企業(yè)在有限公司階段未建立內(nèi)部控制監(jiān)督制度，沒有設立專門的內(nèi)部審計機構或者其他經(jīng)授權的監(jiān)督機構，未設立監(jiān)事會，只有一名監(jiān)事也不能形成有效的監(jiān)督。

二、完善中小企業(yè)內(nèi)部控制的建議

（一）控制環(huán)境

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的要求，企業(yè)應當根據(jù)國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。企業(yè)應當在董事會下設立審計委員會。審計委員會負責審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實施和內(nèi)部控制自我評價情況，協(xié)調(diào)內(nèi)部控制審計及其他相關事宜等。內(nèi)部審計機構應當結合內(nèi)部審計監(jiān)督，對內(nèi)部控制的有效性進行監(jiān)督檢查。

本人建議設立董事會、監(jiān)事會，并確定總經(jīng)理、副總經(jīng)理、財務負責人、董事會秘書等高級管理人員，明確董事會、監(jiān)事會和經(jīng)理層的職責權限、任職條件、議事規(guī)則和工作程序，確保決策、執(zhí)行和監(jiān)督相互分離，形成制衡。制定《董事會議事規(guī)則》、《監(jiān)事會議事規(guī)則》、《關聯(lián)交易管理辦法》、《對外投資管理辦法》等規(guī)則辦法。設立內(nèi)部審計機構，對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，按照企業(yè)內(nèi)部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷，直接向董事會、監(jiān)事會報告。

（二）風險評估

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的要求，企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。企業(yè)開展風險評估，應當準確識別與實現(xiàn)控制目標相關的內(nèi)部風險和外部風險，確定相應的風險承受度。

本人建議中小企業(yè)組織相關人員全面系統(tǒng)持續(xù)地收集相關政策，準確識別外部風險，同時公司的核心技術掌握在幾個核心技術人員手中，我們建議制定相應激勵政策，以求這些核心技術人員與公司同在。

（三）控制活動

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的要求，企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內(nèi)。

本人建議建立重大風險預警機制和突發(fā)事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件，制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理。

（四）信息與溝通

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的要求，企業(yè)應當建立信息與溝通制度，明確內(nèi)部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控制有效運行。

本人建議每周組織開一次例會，由董事、監(jiān)事、高管及一般員工或者各派相應代表出席，實時總結公司過去一周的工作情況，展望部署下一周的工作，傾聽一般員工的想法，同時董監(jiān)高的意見與建議也要實時轉(zhuǎn)達至一般員工。

（五）內(nèi)部監(jiān)督

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的要求，企業(yè)應當根據(jù)本規(guī)范及其配套辦法，制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計機構（或經(jīng)授權的其他監(jiān)督機構）和其他內(nèi)部機構在內(nèi)部監(jiān)督中的職責權限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求。

篇2

對風險實施有效的控制可以減少經(jīng)濟損失，提高工程質(zhì)量。工程項目風險管理有利于減少風險發(fā)生的頻率和不確定性。在風險管理中，我們應用管理科學技術，通過排除法把非風險源予以清除。水利工程建筑項目風險管理是管理的一個過程，利用風險管理理論，在水利工程建設中，采用定性與定量相結合的方式，可采取依靠觀察、調(diào)研、實地勘測等，參考水利工程建設的風險發(fā)生概率及因由，結合項目建設全過程，建立健全工程風險管理預警系統(tǒng)，形成一個前后連貫的管理過程。水利工程建設項目風險管理利于節(jié)約成本，減少損失。風險管理的關鍵在于程序化，水利工程項目全面風險管理是用系統(tǒng)的、涉及各個方面，通過應急機制減少項目進行過程中的不確定性，在實踐中需要按照科學的流程予以落實依靠科技，提高素質(zhì)是風險應急預案，按照科學的程序予以評估，當然利于工作效率的提高，成本的節(jié)約。

水利工程建筑項目一風險防控的問題

在水利工程建設項目中，社會公益要求與經(jīng)濟人利益訴求之間產(chǎn)生強大落差，水利行業(yè)在政策引導方面風險管理意識差，執(zhí)行部門缺乏風險管理意識，對于水利工程的風險度以及工程進度等工作的核定過多依賴評級結果，對企業(yè)盈利和發(fā)展的戰(zhàn)略規(guī)劃性差。從業(yè)人員很少具有危機、風險方面的專業(yè)背景，水利工程公益對象概念界定的模糊，憂患意識、危機意識相對于私有企業(yè)小得多，風險防范的責任就會嚴重流失。由于水利工程公益性補償制度的存在，水利工程出現(xiàn)風險的概率加大。機構設置時沒有遵照完整統(tǒng)一的原則。信息屏蔽時有發(fā)生，這一切都會導致風險發(fā)生，從委托理論而論，鏈條長，企業(yè)在生產(chǎn)經(jīng)營過程中存在的問題和偏差，對人缺乏有力的約束機制，內(nèi)部審計缺乏獨立性，財權和人事權都難以超然于現(xiàn)有利益集團，所以獨立性難以實現(xiàn)。各種資源沒有充分整合、共享利用，在公益型水利建設項目的建設與管理中，缺少信息共享政策法規(guī)，共享機制還未建立，工程進度和合同履行情況，不利于資金控制，單向的共享愿望形成事實上的信息壁壘，自然會產(chǎn)生投資風險。通過概略統(tǒng)計得出的不精確的收支數(shù)據(jù)，政府投資項目超概算數(shù)量超概算幅度愈來愈大，弱電、消防工程在初設階段基本未委托設計和概算編制，有關管理部門針對超概算的情況難以制定制度設計，概算制度成了一種僵化的制度安排。水利工程的風險涉及到方方面面，目前在水利工程領域主要有四種。其中.合同風險常常位于合同款項和合同管理；.承包商風險對工程管理提出了更高的要求；.市場誠信風險，是為了避免達到不支付或少支付工程款的目的；.投資風險，指不可確定性因素的干擾從而導致資金到位困難。

水利工程項目風險防控機制建議

篇3

【關鍵詞】內(nèi)部控制；風險管理；公司治理；戰(zhàn)略管理

受美國2002年出臺的薩班斯――奧克斯利法案（以下簡稱SOX法案）的影響，我國所有赴美上市及計劃赴美上市的企業(yè)必須按照美國監(jiān)管機構的要求，完善內(nèi)部控制體系、完成內(nèi)控評估報告。同時，隨著經(jīng)濟全球化的深入，企業(yè)遭受產(chǎn)品市場、要素市場和金融市場的價格沖擊越來越大，各類風險產(chǎn)生的擴張效應和聯(lián)動效應越來越嚴重。因此，內(nèi)部控制和風險管理成為現(xiàn)代企業(yè)重點關注的課題。

本文將在回顧內(nèi)部控制和風險管理理論發(fā)展的基礎上，探討二者之間的關系，并結合寶鋼在內(nèi)控體系建設和風險管理方面的最佳實踐，提出整合的風險管理框架設想，以期對我國企業(yè)的內(nèi)控體系和風險管理體系建設提供借鑒。

一、內(nèi)部控制、風險管理的理論發(fā)展及其關系

（一）內(nèi)部控制理論的發(fā)展

20世紀70年代中期的“水門事件”引起了美國立法者和監(jiān)管團體對內(nèi)部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內(nèi)部控制方面的第一個法案。1980年后，美國COSO委員會將“內(nèi)部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經(jīng)營目標提供合理保障”。在COSO委員會制定的內(nèi)部控制框架中，把內(nèi)部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。

2002年，美國成立的上市公司會計監(jiān)管委員會（簡稱PCAOB）明確采用了COSO內(nèi)控框架作為內(nèi)控評價的標準體系。許多國家和地區(qū)的資本市場也采用了COSO內(nèi)控框架，有些國家和地區(qū)在參照該框架的基礎上建立了自己的內(nèi)控體系。

我國在2005年先后出臺了《上交所上市公司內(nèi)部控制指引》和《深交所上市公司內(nèi)部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內(nèi)控框架一脈相承。

（二）風險管理理論的發(fā)展

企業(yè)風險管理理論發(fā)展大致分為三個階段。第一階段：以“安全和保險”為特征的風險管理。100多年前航運企業(yè)風險管理的主要措施就是通過保險把風險轉(zhuǎn)移給保險公司。第二階段：以“內(nèi)部控制和控制純粹風險”為特征的風險管理。隨著工業(yè)革命的發(fā)展，公司對業(yè)務管理和流程方面的內(nèi)部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內(nèi)部會計控制；1992年的《COSO內(nèi)部控制綜合框架》提出以財務管理為主線的內(nèi)部控制系統(tǒng)。第三階段：以“風險管理戰(zhàn)略與企業(yè)總體發(fā)展戰(zhàn)略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內(nèi)部控制難以實現(xiàn)企業(yè)的最終目標。為此，COSO于2004年9月出臺了《COSO企業(yè)全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年《中央企業(yè)全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業(yè)建立全面風險管理體系工作的啟動。

（三）內(nèi)控體系建設與全面風險管理工作的聯(lián)系和作用

全面風險管理與內(nèi)部控制既相互聯(lián)系又存在差異。企業(yè)的內(nèi)部控制體系是企業(yè)全面風險管理體系中重要的組成部分之一，而內(nèi)控體系建設的動力則來自企業(yè)對風險的認識和管理。良好的內(nèi)部控制可以合理保證合規(guī)經(jīng)營、財務報表的真實可靠和經(jīng)營結果的效率與效益，而這正是全面風險管理應該達到的基本狀態(tài)。此外，內(nèi)控體系建設與全面風險管理工作的開展之間具有緊密的聯(lián)動作用，具體體現(xiàn)在以下兩個層面：

1.在理論框架層面，完整的內(nèi)控體系包括依據(jù)COSO內(nèi)控整體框架開展內(nèi)部控制的評審體系以及內(nèi)控自我評估體系；而目前國內(nèi)外較為認可的企業(yè)風險管理理論框架是COSO企業(yè)風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發(fā)展性。

2.在推進工作的步驟層面，從國內(nèi)大型國有企業(yè)集團開展內(nèi)部控制和風險管理的推進步驟來看，以內(nèi)控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內(nèi)控體系建設，在組織架構的完善、人員經(jīng)驗的積累、內(nèi)控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。

至于差異，從二者的框架結構看，全面風險管理除包括內(nèi)部控制的三個目標之外，還增加了戰(zhàn)略目標；全面風險管理的八個要素除了包括內(nèi)部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質(zhì)內(nèi)容看，內(nèi)部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內(nèi)部控制主要通過防范性的視角去降低企業(yè)內(nèi)部可控的各種風險，側重于財務和運營；而全面風險管理強調(diào)通過前瞻性的視角去積極應對企業(yè)內(nèi)外各種可控和不可控的風險，側重于戰(zhàn)略、市場、法律等領域。

二、寶鋼在內(nèi)控體系建設領域的實踐

寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內(nèi)部流程，推廣管理標準。2007年3月，由公司總經(jīng)理擔任組長的內(nèi)控評審項目開始啟動。

內(nèi)控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產(chǎn)規(guī)模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業(yè)務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內(nèi)部控制體系，編制公司流程內(nèi)控手冊，形成公司全面的內(nèi)控改進點報告，建立公司層面基本內(nèi)控體系。并在前期工作的基礎上，開展內(nèi)控體系的自我評估工作，形成公司內(nèi)控自我評估報告。

在項目實施過程中，公司組織了多場內(nèi)控培訓會，形成了全員內(nèi)控的企業(yè)文化。同時，公司對發(fā)現(xiàn)的內(nèi)控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理；評審項目組還組織各單位把相關流程發(fā)現(xiàn)的內(nèi)控薄弱點和自身的業(yè)務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內(nèi)控評審項目和常規(guī)審計工作相結合，在內(nèi)部審計工作中跟蹤檢查問題的整改情況。

三、寶鋼在風險管理領域的實踐

寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發(fā)展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是：圍繞寶鋼的戰(zhàn)略目標，在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經(jīng)營管理各個環(huán)節(jié)的有機組成部分。公司具體實施情況包括以下幾個方面：

（一）以法人治理為基礎，建設風險管理的組織體系

完善的法人治理是風險管理重要的內(nèi)部環(huán)境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業(yè)中首批董事會試點企業(yè)，在完善董事會試點的過程中優(yōu)化董事會成員結構，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構、監(jiān)督機構和經(jīng)營層之間各負其責、協(xié)調(diào)運轉(zhuǎn)、有效制衡的治理機制。

同時，寶鋼按照國資委《指引》的要求，構建了業(yè)務部門、風險管理部門和內(nèi)部審計機構三道防線。第一道防線建設：總部各職能部門和各子公司作為風險管理的第一道防線，是所管業(yè)務風險的責任者，公司明確了其各自相應的職責。第二道防線建設：總部層面成立由分管副總經(jīng)理擔任組長的“全面風險管理體系建設領導小組”，由系統(tǒng)運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協(xié)調(diào)和推進。第三道防線建設：審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監(jiān)督評價。對各單位內(nèi)部控制的合理性、完整性、有效性、可靠性作出評價，及時發(fā)現(xiàn)流程中存在的問題，提出內(nèi)控完善的建議。

（二）與管控模式相結合，制定風險管理策略和流程

寶鋼采取的是“戰(zhàn)略控制型”的管控模式，即總部通過對策略性、全局性業(yè)務進行管控來確保戰(zhàn)略意圖的實現(xiàn)，對于具體執(zhí)行性業(yè)務則授權給各子公司來執(zhí)行，以確保整體運作效率和響應速度。

因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業(yè)改制等重大決策、重要業(yè)務和流程的風險管理為重點，通過推進風險管理文化建設、推動內(nèi)控系統(tǒng)優(yōu)化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監(jiān)督機制等措施，建立并不斷完善風險管理體系。各子公司則結合自身產(chǎn)業(yè)特征，從防范運營風險的角度出發(fā)，重點推進四項工作：1.建立風險管理的組織體系和工作機制；2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域；3.針對重大風險涉及的重要業(yè)務流程和重大事件，評估、完善內(nèi)控體系，并落實為工作規(guī)范，制定管理制度，形成內(nèi)控手冊；4.針對可能發(fā)生重大突發(fā)事件的業(yè)務領域，建立預警機制，制定應急預案。

（三）建立了財務預警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警

在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發(fā)事件、保障公共安全的能力，最大程度地預防和減少突發(fā)事件及其造成的損害。

四、整合的風險管理框架設想

通過長期的工作實踐和思考分析，筆者認為：企業(yè)的風險管理工作需要和企業(yè)管理的多方面相結合，構建整合的企業(yè)風險管理系統(tǒng)。這不僅要考慮和內(nèi)控體系的融合，還必須與企業(yè)公司治理、戰(zhàn)略管理等系統(tǒng)相整合。企業(yè)風險管理整合系統(tǒng)如圖1所示：

（一）風險管理系統(tǒng)應與公司治理系統(tǒng)進行整合

風險管理功能與公司治理功能相耦合和良性互動是風險管理系統(tǒng)與公司治理系統(tǒng)整合的目標。美國內(nèi)部審計師協(xié)會（IIA）指出，企業(yè)風險管理的本質(zhì)是“通過管理影響企業(yè)目標實現(xiàn)的不確定性來創(chuàng)造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權和監(jiān)督的過程。整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權和監(jiān)督等活動。

（二）風險管理系統(tǒng)應與公司戰(zhàn)略管理系統(tǒng)相整合

風險管理功能與公司戰(zhàn)略管理功能相耦合，主要體現(xiàn)在圖2所示的戰(zhàn)略管理全過程中：

將戰(zhàn)略管理系統(tǒng)與風險管理系統(tǒng)相整合，有利于以較低的成本順利實現(xiàn)企業(yè)的戰(zhàn)略目標。公司治理確定企業(yè)風險管理的范圍和邊界，并為風險管理提供政策；而戰(zhàn)略管理則為風險管理提供資源與支持。公司實施不同的戰(zhàn)略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰(zhàn)略模式將會導致在不同的領域配置風險管理的資源。

企業(yè)戰(zhàn)略管理的最終目標是為了實現(xiàn)企業(yè)價值的持續(xù)增長，企業(yè)價值創(chuàng)造路徑應圍繞“股東價值客戶價值業(yè)務流程核心資源”這一路徑展開，該路徑表明企業(yè)長期股東價值的增長來自于客戶價值的增長。企業(yè)要獲得長期穩(wěn)定的客戶價值，必須具有高效、快捷和質(zhì)量可靠的業(yè)務流程，這些業(yè)務流程的價值創(chuàng)造能力又依賴于企業(yè)核心資源的研究與開發(fā)。這也是企業(yè)價值鏈的形成路徑，企業(yè)風險管理也應遵循這一路徑而展開。

總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策；由高管確定風險管理的偏好；由戰(zhàn)略管理層確定風險管理流程、文件和模型；在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。

【主要參考文獻】

［1］ 張諫忠，吳軼倫.內(nèi)部控制自我評價在寶鋼的運用［J］.會計研究，2005，（2）.

［2］ 吳軼倫.內(nèi)部控制自我評價［J］. 上海財經(jīng)大學學報，2004,（4）.

［3］ 吳軼倫.內(nèi)部審計職能的發(fā)展與風險管理模式的建設［J］. 冶金財會，2006,（3）.

［4］ 方紅星.內(nèi)部控制審計組織效率［J］.會計研究，2002,（7）.

［5］課題研究組.內(nèi)部會計控制規(guī)范操作實務［M］.中國商業(yè)出版社，2001.

［6］閻達五，宋建.雙元控制主體構架下現(xiàn)代企業(yè)會計控制的新思考［J］.會計研究，2000,（3）.

［7］ 朱榮恩、賀欣.內(nèi)部控制框架的新發(fā)展――企業(yè)風險管理框架 ［J］.審計研究， 2003，（6）.

［8］ 金或日方 ,李若山,徐明磊. COSO報告下的內(nèi)部控制新發(fā)展 ［J］.會計研究，2005，（2）.

［9］ 嚴暉.風險導向內(nèi)部審計整合框架研究 ［M］.中國財政經(jīng)濟出版社，2004.

［10］ 宋夏云.現(xiàn)代風險導向?qū)徲嬆Ｊ降谋尘胺治雠c理論創(chuàng)新 ［J］.中國審計，2005.

［11］胡春元.審計風險研究［M］.東北財經(jīng)大學出版社， 1997.

［12］吳軼倫.內(nèi)部審計的風險管理模式［J］.上海審計，2006,（1）.

［13］鄭石橋等.現(xiàn)代企業(yè)內(nèi)部控制系統(tǒng)［M］.立信會計出版社，2000.

［14］張國康等.內(nèi)部控制制度［M］.立信會計出版社，2003.

［15］課題組.現(xiàn)代企業(yè)內(nèi)控制度：概念界定與設計思路［J］.會計研究，2001,（11）.

［16］ Arthur A. Thompson.Jr and A.J.Strickland Ш，段盛華等譯，戰(zhàn)略管理.中國財政經(jīng)濟出版社，2005.

［17］ Robert S. Kaplan and David P. Norton,劉俊勇等譯.戰(zhàn)略地圖.廣東經(jīng)濟出版社，2005.

［18］ Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.

［19］ Paul J. Sobel, Auditor's Risk Management Guide: Integrating Auditing and ERM, Aspen Publishers, Inc.

篇4

關鍵詞：縣級醫(yī)療機構；內(nèi)部控制；對策

中圖分類號：F323 文獻標識碼：A 文章編號：1001-828X（2014）011-0000-01

新農(nóng)合制度自實施以來不斷擴大保障范圍和報銷比例，已經(jīng)讓越來越多農(nóng)民的從中受益，大大減輕了農(nóng)民在求醫(yī)治病方面的經(jīng)濟負擔?？h級醫(yī)療機構作為縣域醫(yī)療衛(wèi)生服務體系的龍頭，管理層要加強內(nèi)部控制意識，建立完善的內(nèi)部控制體系，提高醫(yī)療機構的工作效率和綜合管理能力。

一、新農(nóng)合制度下縣級醫(yī)療機構內(nèi)部控制存在的問題

內(nèi)部控制是縣級醫(yī)療機構管理的關鍵環(huán)節(jié)，完善的內(nèi)部控制對確保資金使用的安全性和有效性發(fā)揮著重要的作用，然而在內(nèi)部控制的管理實踐中出現(xiàn)了很多問題。

（一）內(nèi)部控制環(huán)境薄弱，組織結構不合理

醫(yī)療機構管理層普遍缺少內(nèi)部控制的意識，由于受到自身管理水平的限制，他們認為資金管理只要由財務部門按規(guī)定編制預算即可，從而忽視了對內(nèi)部控制環(huán)境的建設。很多縣級醫(yī)療機構的組織結構設置不夠科學合理，各職能科室之間沒有形成相互制約和相互限制的關系，崗位職責未能得到有效落實，使得內(nèi)部管理缺乏系統(tǒng)性，資金管理出現(xiàn)漏洞。

（二）缺少有效的內(nèi)部審計監(jiān)督和評價體系

目前很多縣級醫(yī)療機構并沒有一套完善的內(nèi)部控制監(jiān)督和評價體系，管理層也沒有專門設置監(jiān)督崗位，使得監(jiān)督和評價工作流于表面，并沒有起到切實的作用。有些醫(yī)療機構沒有審計部門，或者設置了審計部門但是人員配備不足，崗位職責劃分不明確，本應該相互獨立且不相容的崗位之間卻出現(xiàn)由一人兼職的違規(guī)情況。內(nèi)部審計監(jiān)督機制不健全，審計工作不夠深入，只停留在會計賬面的審查，發(fā)現(xiàn)問題通常也只是事后處理，并沒有涉及到日常內(nèi)部控制的稽查和評價方面。

（三）風險評估不足，風險防范意識薄弱

在新農(nóng)合制度下，縣級醫(yī)療機構面臨著更加激烈的市場競爭和變化莫測的市場環(huán)境，也將承擔更多的經(jīng)營風險，然而縣級醫(yī)療機構的管理層仍然采用傳統(tǒng)管理制度下的決策方法，沒有進行風險評估，缺少風險評估意識和風險管理機制。比如在投資管理上由于缺少風險意識，管理層在沒有對市場經(jīng)營風險充分分析論證的情況下就盲目決策，大量采購醫(yī)療相關設備物資，設備購置后又沒有及時對操作人員進行培訓，不僅設備沒有得到有效利用還占用了本就不充足的資金。

二、完善縣級醫(yī)療機構內(nèi)部控制的對策

（一）完善內(nèi)部控制結構，營造良好的內(nèi)部控制環(huán)境

內(nèi)部控制是財務管理的關鍵性環(huán)節(jié)，是對其資金、成本、資源科學配備的主要方法。內(nèi)部控制環(huán)境的營造與醫(yī)療機構的經(jīng)濟活動息息相關，而這取決于管理層的重視程度，只有對內(nèi)部控制足夠重視才能保證建立完善的內(nèi)部控制結構和制定有效措施。首先醫(yī)療機構的管理者要明確自己在內(nèi)部控制建設中的重要角色以及應承擔的責任，不斷加強學習，提高自身的管理水平，從根本上轉(zhuǎn)變觀念形成良好的內(nèi)部控制的意識；其次在管理層中要配備專門的負責財務的人員，以便在今后的決策中可以從資金管理的角度提出可行性的建議，確保醫(yī)療機構經(jīng)濟運營的可持續(xù)發(fā)展；再次要對組織機構部門進行合理的調(diào)整，明確崗位職責和責任劃分，完善內(nèi)部控制結構；最后加強對財務人員的專業(yè)技能和內(nèi)部控制相關知識的培訓，并出臺相應的激勵獎勵政策，既能激發(fā)員工的工作主動性又能加強對其行為的約束力，提高員工的綜合素質(zhì)和業(yè)務水平。

（二）加強內(nèi)部審計監(jiān)督力度，建立健全內(nèi)部控制評價體系

只有不斷加強內(nèi)部審計的監(jiān)督力度才能保證內(nèi)部控制機制的有效落實。審計部門作為內(nèi)部控制的核心部門應該發(fā)揮出對資金監(jiān)管的作用，審計部門直接對最高層領導負責，與其它職能部門相比具有獨立性和權威性，其它部門要積極予以配合，強化審計機構的監(jiān)督職能。引進高素質(zhì)的審計人才，加強對內(nèi)審人員的培訓，建立專業(yè)化的審計隊伍，對醫(yī)療機構的各個方面進行全方位的控制，包括日常經(jīng)營活動、關鍵部門和關鍵人員進行抽審，重點進行內(nèi)部稽查、績效評價審計和內(nèi)控制度落實等情況的核查。

縣級醫(yī)療機構要根據(jù)自身的規(guī)模大小、經(jīng)營情況和組織結構特點在分析評價的基礎上，形成創(chuàng)新性的、系統(tǒng)性的、符合自身發(fā)展現(xiàn)狀的內(nèi)部控制評價體系，從內(nèi)部和外部兩個方面進行綜合而全面的測評，對醫(yī)療機構內(nèi)部控制的有效性和科學性綜合評價，并建立績效考評機制，建立健全內(nèi)部控制評價體系。

（三）加強醫(yī)療機構的風險評估，降低控制風險

醫(yī)療機構的風險包括資金風險、經(jīng)營風險和醫(yī)療風險，可以說風險問題關系到整個醫(yī)療機構的生死存亡。因此醫(yī)療機構要加強風險意識，提高自身的風險控制能力，才能在新農(nóng)合制度下得以長遠的發(fā)展?？h級醫(yī)療機構首先要確定風險因素，結合自身的實際運營情況和發(fā)展目標對可能遇到的風險進行分析匯總；其次制定科學的風險預估策略，降低可能存在的隱形的風險幾率，或者采取行之有效的手段將風險轉(zhuǎn)移，盡量將可能出現(xiàn)的風險控制在前期或者是中期；尤其對涉及資金量較大的重點項目容易出現(xiàn)資金安全問題，更應該加強內(nèi)部審計的監(jiān)督力度，降低控制風險；最后對已經(jīng)確定的風險實行24小時不間斷的監(jiān)控，制定風險應急預案，將風險產(chǎn)生的經(jīng)濟損失降到最低?？傊?，一定要加強風險防范意識，完善風險評估體系，重視風險管理在內(nèi)部控制管理中的作用。

三、結束語

在新農(nóng)合制度下，縣級醫(yī)療機構要滿足市場化的發(fā)展趨勢必須提高內(nèi)部控制的意識，內(nèi)部控制對確保醫(yī)療機構經(jīng)營合法化、資產(chǎn)安全化、財務信息精準化中發(fā)揮著重要的作用，能夠全面提高醫(yī)療機構的會計信息質(zhì)量和工作服務效率，全面提高醫(yī)療機構的綜合管理水平。保證新農(nóng)合制度的健康可持續(xù)發(fā)展。

參考文獻：

[1]徐琪疆.醫(yī)院內(nèi)部控制改進對策[J].財會通訊，2010（26）.

[2]高永總.強化醫(yī)院內(nèi)部控制初探[J].中國內(nèi)部審計，2011（2）.

篇5

1醫(yī)療機構內(nèi)部審計工作的現(xiàn)狀及存在的問題

首先，醫(yī)院對內(nèi)審工作重視度不夠，難以有效發(fā)揮的內(nèi)審職能。其次，內(nèi)審資源投入不足，尤其體現(xiàn)在人力資源上，缺乏具有豐富經(jīng)驗的復合型審計人才，公立醫(yī)療機構事業(yè)單位的性質(zhì)，又給內(nèi)審人員的補給帶來了天然的屏障，導致高素質(zhì)內(nèi)審人員欠缺，也不能充分調(diào)動內(nèi)審人員積極性。再次，很多醫(yī)院的內(nèi)審難以完全履職，或和財務等部門存在職能混淆、交叉、留白等情況，內(nèi)審作用難以得到充分發(fā)揮。最后，內(nèi)部審計多處于事后監(jiān)督階段，往往在問題發(fā)生之后，才想到讓內(nèi)審部門參與，沒有發(fā)揮審計的有效監(jiān)督和控制，不能“防患于未然”。可見醫(yī)療機構內(nèi)審工作開展情況與國家和衛(wèi)計委要求尚有一定差距。

2信息化對醫(yī)院內(nèi)部審計工作的啟示

2010年，劉家義審計長在全國審計工作會議上明確指出：“中國審計的出路關鍵在于信息化，信息化的關鍵在于數(shù)字化?！眹鴦赵骸蛾P于加強審計工作的意見》（國發(fā)［2014］48號）第十九條提出了“加快推進審計信息化”建設的總體要求，主要包含實現(xiàn)信息共享、提高審計信息化技術運用、創(chuàng)新電子審計技術、推進計算機信息系統(tǒng)安全性審計等四層意思?？梢?，信息化是未來內(nèi)部審計工作開展的方向，也是審計工作的一項革命，在審計對象、審計工具、審計線索、審計介質(zhì)與審計結果等方面跟傳統(tǒng)的審計工作有很大的不同，在信息化形勢下，給醫(yī)院內(nèi)部審計工作帶來了一定的挑戰(zhàn)，也給目前狀況下內(nèi)審工作的發(fā)展帶來了契機。如何在信息化形勢下，有效開展醫(yī)療機構內(nèi)部審計工作，履行醫(yī)療機構內(nèi)部審計職能，是一個迫切需要解決的問題，筆者擬對此談幾點看法。

2.1構建信息化環(huán)境下的內(nèi)部控制機制

在信息化環(huán)境下，和傳統(tǒng)的審計相比，審計的對象、線索、方法、流程、介質(zhì)等都發(fā)生了改變，以往的內(nèi)控制度和審計準則已經(jīng)不能完全適用，應針對信息化的特點和存在的風險，建立一套符合信息化環(huán)境的新的內(nèi)控體系，以指導信息化條件下的審計工作，主要包括以下幾個方面：第一，內(nèi)審人員參與醫(yī)院信息系統(tǒng)建設，提出審計需求，業(yè)務系統(tǒng)和審計系統(tǒng)對接，審計享有查詢權；第二，針對信息化環(huán)境下的控制特點，制定內(nèi)部控制制度和信息系統(tǒng)管理制度，確保在信息化條件下，業(yè)務操作職權分離、系統(tǒng)節(jié)點有效控制、業(yè)務流程得以優(yōu)化；第三，針對計算機操作流程，制訂完整而明確的操作控制審計方案、信息系統(tǒng)審計方案，開展信息化審計；第四，在信息化環(huán)境下，注重操作安全、數(shù)據(jù)安全和信息保密，制定電子簽退、電子簽名控制制度，制定系統(tǒng)檔案資料管理制度，確保資料雙份備份，異地存放，采取必要的防磁、防火、防潮措施；第五，制定信息系統(tǒng)突發(fā)事件應急預案，并安排專人對信息系統(tǒng)定期不定期進行巡檢。

2.2利用信息手段，創(chuàng)建醫(yī)院風險“免疫”系統(tǒng)

2009年，劉家義審計長提出審計監(jiān)督制度“是維護國家經(jīng)濟安全的重要工具，是保障國家經(jīng)濟社會健康運行的‘免疫系統(tǒng)’”，據(jù)此要求，審計應發(fā)揮預防和實時監(jiān)控功能，在信息化環(huán)境下，這兩個功能得到更有效的發(fā)揮?！懊庖摺惫δ艿陌l(fā)揮要求審計人員透過經(jīng)濟現(xiàn)象看到隱藏在背后的深層次問題，提前預見存在的問題和不足，并給予糾正和預警。一方面要求審計關注點上升到醫(yī)院戰(zhàn)略層面、管理層面，對醫(yī)院建設發(fā)展中的重大經(jīng)濟事項、重大業(yè)務活動、重大資金運作予以重點關注；另一方面要求審計關口前移，審計人員需要介入經(jīng)濟事項的始終，從源頭控制，防患于未然，例如：在采購業(yè)務中，審計部門依次對申購、招投標文件、比選過程、合同簽訂、合同執(zhí)行與付款等環(huán)節(jié)進行審計把關，確保醫(yī)院資金使用合理合法合規(guī)，提高資金使用效益；在基本建設項目中，建立全程跟蹤審計機制，通過對工程項目設計招標的事前介入、施工過程的事中追蹤，建設資金的動態(tài)管理、事后的確認和評價，實現(xiàn)審計全程監(jiān)督，提高建設資金使用效益，預防腐敗現(xiàn)象發(fā)生。在信息化環(huán)境下，審計可以做到有效預防、信息共享、實時監(jiān)控，例如：建立設備、后勤、財務、審計等各部門聯(lián)動機制，要求經(jīng)濟業(yè)務記錄留痕，建立授權互訪式的信息平臺，授予內(nèi)審部門數(shù)據(jù)查詢與訪問權，實現(xiàn)部門間資源共享和經(jīng)濟業(yè)務的電子化查詢，審計部門采取抽查核對、趨勢分析、分析性復核等審計手段對醫(yī)院的經(jīng)濟業(yè)務實施監(jiān)控，尤其在收支審計、采購支出審計、耗材管控與合同管控幾方面運用最為明顯，一方面實現(xiàn)了審計實時監(jiān)控，另一方面重構醫(yī)院業(yè)務流程，實現(xiàn)資源整合，降本增效。

2.3開展信息系統(tǒng)審計，形成醫(yī)院信息安全高效發(fā)展態(tài)勢

目前，醫(yī)療機構信息化態(tài)勢發(fā)展明顯，在財務收費、掛號診療、檢查檢驗、后臺支撐、內(nèi)部管理等方面基本形成以計算機網(wǎng)絡為中心的業(yè)務處理系統(tǒng)，數(shù)據(jù)集中、業(yè)務集成、部門聯(lián)動和處理自動化程度大大提高，打破了原有的條塊分割，重構了業(yè)務流程，由紙質(zhì)平臺向電子平臺轉(zhuǎn)變，帶來了極大的便利，然而審計風險和信息系統(tǒng)風險交錯，給審計工作帶來了很大的挑戰(zhàn)。在信息系統(tǒng)存在缺漏的情況下，對醫(yī)院產(chǎn)生的影響和后果將是難以估量的，之前北京腫瘤醫(yī)院等發(fā)生的舞弊事件，就和信息系統(tǒng)的缺漏有關。只有在安全可靠、高效運轉(zhuǎn)的信息系統(tǒng)下，醫(yī)院的業(yè)務才得以有序開展，由此，評估信息系統(tǒng)的合法性、安全性、可靠性與高效性顯得至關重要，要求將信息系統(tǒng)本身的設計、操作、執(zhí)行、安全與保密納入審計范圍，按照每一條業(yè)務鏈和信息鏈，條分縷析，逐一對信息系統(tǒng)的安全性、可靠性、穩(wěn)定性進行審計。通過符合性測試、程序測試等手段，填補系統(tǒng)缺漏、刪減冗余、使系統(tǒng)節(jié)點之間環(huán)環(huán)緊扣又相互分離、相互制衡，構建安全高效、良性發(fā)展的醫(yī)院信息體系。

2.4利用信息技術，構建醫(yī)院審計風險預警體系

經(jīng)濟活動可以劃分為事項風險、操作風險、管理風險、控制風險4個層次，內(nèi)部審計的目的就是針對每一層次，利用信息手段，抓關鍵控制點并設置控制標準，關鍵控制點即為審計關注點，控制標準即為風險闕值，從而構建醫(yī)院風險預警體系。首先，可以利用計算機網(wǎng)絡，建立業(yè)務流程的風險預警系統(tǒng)，建立風險數(shù)據(jù)庫，運用計算機技術進行分析性測試，提高分析的速度和準確性；其次，在大數(shù)據(jù)環(huán)境下，利用大數(shù)據(jù)的優(yōu)勢，運用計算機技術進行統(tǒng)計抽樣，避免人工抽樣審計的不足，逐步從抽樣樣本向全樣本邁進；再次，內(nèi)部審計要使用信息挖掘技術，充分發(fā)揮數(shù)據(jù)挖掘功能，利用數(shù)據(jù)之間的相關性，從原有數(shù)據(jù)因果關系逐步向相關關系轉(zhuǎn)變，在信息化程度較高的情況下，打破不同業(yè)務模塊中所天然存在的無形隔離和障礙，通過使用對數(shù)據(jù)的系統(tǒng)檢查及相關分析等方法，使數(shù)據(jù)的整合不受部門、業(yè)務種類、潛在風險與數(shù)據(jù)媒介的限制，從而全面監(jiān)察業(yè)務進展并了解風險變化趨勢，抓住數(shù)據(jù)里面所隱含的各類風險及其風險關聯(lián)，提出具有前瞻性和戰(zhàn)略性的審計預警及解決方案，實現(xiàn)內(nèi)部審計的“免疫”功能。

2.5利用電子審計技術，推動醫(yī)院信息化建設

醫(yī)院信息化建設是一項長期而艱巨的任務，應建立先進科學的信息管理系統(tǒng)，在內(nèi)部審計領域進行拓展和引進新的技術、方法。編制和開發(fā)審計軟件并制定計算機審計程序，通過信息化管理，在較短的時間內(nèi)便捷準確地獲取所需要的信息資料，提高效率和節(jié)約資源，保證審計質(zhì)量，規(guī)避審計風險。由于基建審計在醫(yī)院內(nèi)部審計工作中占據(jù)重要位置，同時基建審計具有歷時長、數(shù)據(jù)量大、數(shù)據(jù)種類多與專業(yè)性強等特點，給內(nèi)部審計的有效開展帶來很大難度。隨著建筑信息建模技術和建筑虛擬化的快速發(fā)展，以及優(yōu)質(zhì)工程造價軟件和管理軟件的涌現(xiàn)，基建資料的虛擬化、電子化及大數(shù)據(jù)存儲為審計方法提供了新的思路，對真正有效開展基建審計工作有很大助益。

作者:王娟 單位:四川大學華西第二醫(yī)院

參考文獻:

［1］王立姝,夏魯婧.醫(yī)療單位審計信息化的應用［J］.中國內(nèi)部審計,2012(1).

［2］馮萬進.加快審計信息化建設的方法［J］.中國內(nèi)部審計,2010(1).

篇6

（一）風險管理審計工作內(nèi)容和現(xiàn)實狀況

風險管理審計是由內(nèi)部財務會計審計、管理會計審計發(fā)展而來的，主要是針對企業(yè)風險管理的問題，包括識別風險、評估風險、應對風險等實施的一系列內(nèi)部審計評價工作，風險管理審計的主體是內(nèi)審機構，客體是企業(yè)風險管理的制度和措施。風險管理審計是一種較為先進的管理手段，目前我國企業(yè)實施風險管理審計僅僅處于起步階段，實施風險管理審計還不是很普遍，很多企業(yè)并沒有要求內(nèi)部審計機構執(zhí)行風險管理審計的工作職能。但是，隨著我國企業(yè)生存環(huán)境的不斷變化，市場競爭的日益激烈，企業(yè)會越來越重視風險管理審計工作，并逐漸為企業(yè)的生產(chǎn)發(fā)展提供管理支持作用。

（二）風險管理審計對國有企業(yè)經(jīng)營管理的幫助意義

我國的國有企業(yè)數(shù)量不少，規(guī)模也較大，涉及的行業(yè)也多，建立、經(jīng)營的時間都比較長。因受到計劃經(jīng)濟時代的影響，我國國有企業(yè)管理思想普遍較為落后，對市場經(jīng)營風險的管理意識不強，風險識別、風險評估和風險應對等活動多半都組織在事后，并且對市場和經(jīng)營風險的抵御能力有限，給國有企業(yè)帶來了很多損失，也失去了很多市場拓展機會，極大地影響了國有企業(yè)的生存發(fā)展。隨著我國市場經(jīng)濟的不斷發(fā)展，政府逐漸放開了一些國有壟斷行業(yè)的門檻限制，允許非國有資本參與壟斷行業(yè)的投資經(jīng)營，這給國有企業(yè)的生存帶來了前所未有的挑戰(zhàn)。因此，國有企業(yè)管理層必須要認清形勢，積極與市場對接，規(guī)避市場和經(jīng)營風險，搞好風險管理以及風險管理審計工作，促進企業(yè)的長久發(fā)展。

二、國有企業(yè)風險管理審計活動存在的問題

（一）國有企業(yè)風險管理意識不強，重視程度不高

國有企業(yè)設立受國家政策影響較大，會獲得較多的財政補貼資金支持，承擔生產(chǎn)經(jīng)營和維護國民經(jīng)濟穩(wěn)定的任務，一些企業(yè)還具有一定的公益作用。因此，國有企業(yè)本身風險意識內(nèi)生力不足，企業(yè)管理層對風險管理的意識不強，尤其是處在一些壟斷行業(yè)的企業(yè)，受到的市場競爭壓力小，市場和經(jīng)營風險不大，導致對風險的重視程度不夠，風險管理的意識也不強，對風險管理審計部門即內(nèi)部審計部門工作的重視程度有限，很多國有企業(yè)內(nèi)部審計部門人員較少，專業(yè)性也較差，甚至被認為是企業(yè)中最悠閑的部門。這些內(nèi)外環(huán)境因素都不利于風險管理審計工作的發(fā)展，發(fā)揮出其內(nèi)部管理的作用。

（二）風險管理審計目標和范圍不明確，影響審計工作開展

風險管理審計工作不同于財務會計審計，在審計范圍、審計內(nèi)容、審計目標等方面都有其特殊性，內(nèi)部審計部門進行風險管理審計，多數(shù)都偏向財務會計審計方向，并未實現(xiàn)對風險管理活動的內(nèi)部監(jiān)督檢查作用。審計工作中，審計人員花費較多的精力在財務報表合規(guī)方面與經(jīng)營指標的完成情況調(diào)查，目的在于規(guī)避、降低會計核算風險。但是，管理會計核算風險僅僅是企業(yè)風險管理的一種，并不是全部風險管理內(nèi)容。因此，需要內(nèi)審人員明確風險管理審計的內(nèi)容，調(diào)整工作方向，實現(xiàn)審計目標。

（三）內(nèi)部審計部門人員工作思路和審計技能有待提高

適應國有企業(yè)內(nèi)部審計內(nèi)容的變化，發(fā)揮好風險管理審計作用，需要具有一定風險管理審計的思路，并且具有一定風險意識和特定審計技能的隊伍。國有企業(yè)內(nèi)審部門員工知識結構單一，審計技術還是以傳統(tǒng)報表審計技術為基礎，對企業(yè)風險管理問題的識別能力不強，還不具備敏銳的風險“嗅覺”能力。同時自覺提高審計能力，完善自身知識結構的動力不足，導致目前內(nèi)部審計人員的能力還不能滿足國有企業(yè)風險管理審計工作的需要。因此，加強風險管理審計工作，必須要從加強人才培養(yǎng)入手，提高企業(yè)的風險管理審計水平。

三、加強風險管理審計工作的對策和方案

（一）提高風險意識，加大對內(nèi)部審計部門的建設

隨著政企分離范圍的擴大和國企改革的深入，國有企業(yè)將會參與到更激烈的市場競爭中，面臨更多的風險。對于風險抵御能力較弱的國有企業(yè)，必須要從計劃經(jīng)濟時代的管理理念影響中走出來，用風險管理的意識指導企業(yè)發(fā)展與經(jīng)營。企業(yè)管理層要更新觀念，重視對企業(yè)風險的評估和控制工作，在內(nèi)部控制制度的設計中，制定風險管理審計活動的監(jiān)督措施，提高企業(yè)各部門的內(nèi)部風險管理意識，也有利于風險管理審計工作的開展。另外，重視內(nèi)部審計部門的建設，強化風險管理審計職能，促進其內(nèi)部風險評估與建議的作用。

（二）擴大風險管理審計范圍，提高風險管理審計效果

一般來說，企業(yè)風險管理機構不僅包括財務會計部門，還包括生產(chǎn)經(jīng)營部門、后期保障部門、安全保衛(wèi)部門、管理部門等幾個重要機構，企業(yè)風險管理審計要圍繞這些部門面臨的風險展開評估檢查工作。例如，對生產(chǎn)經(jīng)營部門要檢查是否對產(chǎn)品的功能設計、生產(chǎn)技術、生產(chǎn)工藝等方面有改進制度機制，是否安排研發(fā)投入，成本效益是否合理等；對于后期保障部門要圍繞設備和材料采購過程是否合規(guī)合法，在節(jié)約成本的同時是否能保證產(chǎn)品質(zhì)量等；安全保衛(wèi)部門風險管理目標相對較為明確，是否足額提取安措費，相關安全措施是否安排落實，危機應急預案安排的是否合理等；對于管理部門就是要圍繞企業(yè)可能面臨的法律問題，設計的應對措施是否有效，相關風險損失測算是否合理等。風險管理審計工作內(nèi)容和范圍較為寬泛，涉及的風險管理問題較多，內(nèi)部審計人員在進行風險管理審計時，應該從風險管理成本、管理收益、發(fā)生風險之后的彌補成本、控制成本等成本收益角度評價和監(jiān)督風險管理措施的實施，從經(jīng)濟利益角度提出可行的風險管理改進意見，幫助企業(yè)完善風險管理工作。

（三）加強對內(nèi)部審計人員的技能培訓，提高內(nèi)部審計技術，滿足風險管理審計要求

風險管理審計要求審計人員要具備更加專業(yè)的知識、先進的審計技術和敏銳的風險識別能力。國有企業(yè)管理層應該有計劃地加強內(nèi)部審計部門的人才培養(yǎng)，通過增加專業(yè)技能培訓，對現(xiàn)任內(nèi)審人員進行知識結構更新，豐富管理知識的應用途徑。另外，在招聘內(nèi)部審計機構員工時，多考慮招聘一些具有專業(yè)背景的復合型人才，特別是具有豐富風險管理經(jīng)驗的審計人員，從而改善國有企業(yè)內(nèi)審人員的組成結構，保證風險管理審計工作的順利進行。在審計思路方面，要培養(yǎng)國有企業(yè)內(nèi)審人員的風險管理審計理念，逐漸了解和掌握風險管理審計的工作內(nèi)容和范圍，把握與傳統(tǒng)內(nèi)部審計工作的區(qū)別，有針對性地應用審計技術對企業(yè)風險問題進行審計評價，保證風險管理審計目標的實現(xiàn)。在審計技術方面要革新工作方法，在傳統(tǒng)報表審計技術的基礎上，創(chuàng)新性地利用網(wǎng)絡和大數(shù)據(jù)的數(shù)據(jù)共享性，及時了解審計行業(yè)最新的審計技術，豐富評估風險管理機構固有風險和變動風險的技能，利用ERP等企業(yè)管理平臺，設計和應用風險應對檢查模塊，提高審計的效率和效果，最終提高企業(yè)潛在的經(jīng)濟效益，降低風險損失。

四、結束語

篇7

關鍵詞：事業(yè)單位 內(nèi)部控制 問題 對策

內(nèi)部控制是一種以預防為主，防止錯誤和舞弊的發(fā)生，提高管理效果及效率的現(xiàn)代管理制度。內(nèi)部控制也是事業(yè)單位管理制度的組成部分，是事業(yè)單位為履行職能、實現(xiàn)總體目標而建立的保障系統(tǒng)，它由內(nèi)部控制環(huán)境、風險評估、內(nèi)部控制活動、信息與溝通和內(nèi)部控制監(jiān)督等要素組成，并體現(xiàn)為與行政、管理、財務和會計系統(tǒng)融為一體的組織管理結構、政策、程序和措施等，是事業(yè)單位為履行職能、實現(xiàn)總體目標而應對風險的自我約束和規(guī)范的過程。

建立和健全事業(yè)單位內(nèi)部控制制度，是加強財務管理的重要措施，是保障單位健康發(fā)展的重要舉措。根據(jù)單位實際情況制定一套適合本單位發(fā)展的內(nèi)部控制制度至關重要。

一、基層事業(yè)單位內(nèi)部控制存在的不足

（一）事業(yè)單位內(nèi)部控制觀念不強

大多數(shù)基層事業(yè)單位負責人對建立健全本單位內(nèi)部控制的重要性認識不到位，缺乏內(nèi)部控制觀念，內(nèi)控意識淡薄，重業(yè)務和事業(yè)的發(fā)展，看淡內(nèi)部管理，甚至缺乏對內(nèi)部控制知識的基本了解。認為內(nèi)部控制只是財務部門的事，與自己毫無關系。雖然也制定了本單位的內(nèi)部控制制度，但忽略了其執(zhí)行情況及執(zhí)行效果，內(nèi)部控制制度形同虛設。

（二）內(nèi)部控制制度不完善

大多數(shù)事業(yè)單位也根據(jù)上級制定的內(nèi)部控制制度，制定了本單位的內(nèi)部控制制度，但只是限于照搬照抄，沒有根據(jù)本單位的實際情況制定一套符合本單位發(fā)展的內(nèi)部控制制度，操作性不強，不能滿足本單位管理的需要。

（三）對內(nèi)部控制的執(zhí)行力度有待提高，內(nèi)控的業(yè)務流程執(zhí)行不暢

基層事業(yè)單位根據(jù)上級的要求和有關會議精神，制定了崗位廉政風險防控制責任書、財務內(nèi)控制度匯編、資金資產(chǎn)管理業(yè)務流程圖、資金資產(chǎn)管理領域廉政風險防控制報告等。由于基層事業(yè)單位人員編制有限、人員緊張、但管理任務重等原因，經(jīng)常出現(xiàn)一人多崗現(xiàn)象，不相容職務難以分開，導致職責不明，難以保證內(nèi)部牽制的實現(xiàn)。導致內(nèi)控制制度形同虛設，沒有得到很好地執(zhí)行。

（四）缺少內(nèi)部監(jiān)督機構

大多數(shù)基層事業(yè)單位缺少必要的約束機制，沒有設立內(nèi)部審計機構，即使設立了內(nèi)部審計機構，但也是在紀檢監(jiān)察的領導下，缺乏獨立性。由于新形式下事業(yè)單位現(xiàn)代管理理念的建立，傳統(tǒng)的財務收支審計已無法滿足事業(yè)單位發(fā)展的需要，無法保障內(nèi)部控制發(fā)揮其應有的作用。因此基層事業(yè)單位建立一個獨立的內(nèi)部監(jiān)督機構勢在必行。

（五）缺乏行之有效的內(nèi)部控制考核及獎懲機制

由于基層事業(yè)單位人員在處理問題上一貫遵循習慣作法，對內(nèi)部控制的認識存在諸多缺陷，特別是單位負責人對內(nèi)部控制不夠重視，缺乏足夠的認識，沒有認識到內(nèi)部控制對基層事業(yè)單位健康發(fā)展的重要意義，沒有認識到內(nèi)部控制的順利執(zhí)行需要有行之有效的內(nèi)部控制考核及獎懲機制做保障，因此對于建立行之有效的內(nèi)部控制考核及獎懲機制無從談起。

二、完善基層事業(yè)單位內(nèi)部控制的措施

（一）提高事業(yè)單位內(nèi)部控制的意識

按照《會計法》和《內(nèi)部控制基礎規(guī)范》的規(guī)定，單位負責人是單位財務與會計工作的第一責任主體。單位負責人在單位內(nèi)部控制體系中居主導地位，要加強對單位負責人的培訓力度，使他們在理解和掌握內(nèi)部控制制度基本知識的基礎上，以提高對單位內(nèi)部控制度的建設。同時也要加強對全體職工的培訓，使全體職工明確自己的職責，明白哪些是自己應該做的，哪些是自己不應該做的，從而提高全體人員的內(nèi)控意識，從而為內(nèi)部控制體系的建立和完善開辟一個良好的運行環(huán)境。

（二）建立和完善內(nèi)部控制制度

事業(yè)單位內(nèi)部控制工作的效果，需要有一套科學合理的內(nèi)部制度體系來支持和保證?；鶎邮聵I(yè)單位應成立一個內(nèi)部控制管理領導小組，研究學習內(nèi)部控制五要素，根據(jù)財政部財會[2012]21號文件《關于印發(fā)〈行政事業(yè)單位內(nèi)部控制規(guī)范（試行）〉的通知》文件規(guī)定，結合本單位的實際情況制定符合本單位管理需要的內(nèi)部控制制度。在制定內(nèi)部控制制度時，應把握以下幾個方面：

1、要加強對內(nèi)部控制的運行環(huán)境的學習研究

完善事業(yè)單位內(nèi)部環(huán)境主要是完善管理層結構設置及權責分配問題，并形成科學有效的職責分工和制衡機制。

2、要加強對事業(yè)單位關鍵控制點的風險評估

基層事業(yè)單位應該有風險防范意識，及時對事業(yè)單位管理活動中關鍵控制點進行風險評估，同時要制定防范風險的應急預案，避免風險事件的發(fā)生。

3、及時完善業(yè)務層面的控制點

對于業(yè)務層面的控制主要有不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制及績效考評控制等。

不相容職務分離控制?；鶎邮聵I(yè)單位在設計內(nèi)部控制系統(tǒng)時，首先要確定哪些崗位和職務是不相容的，其次明確各個機構和崗位的職責權限，使不相容崗位和職務之間能夠相互監(jiān)督、相互制約，形成有效的制衡機制。

授權審批控制?；鶎邮聵I(yè)單位在編制常規(guī)授權的權限指引，應規(guī)定授權的范圍、權限、程序和責任；另外要嚴格控制特別授權的程序，特別是對重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任何人不得單獨進行決策或擅自改變集體決策。

會計控制系統(tǒng)控制。基層事業(yè)單位在設置會計控制系統(tǒng)控制時要依法設置會計機構，配備會計從業(yè)人員，建立會計工作的崗位責任制，對會計人員進行科學合理的分工，使之相互監(jiān)督和制約。要特別注意會計和出納不能由一人擔任，支票和印鑒不能由一人保存，所有印鑒也不能由一人保管等。

財產(chǎn)保護控制。基層事業(yè)單位在進行財產(chǎn)保護控制時，應做到：妥善保管財產(chǎn)記錄和實物。對重要的文件要有備份；定期盤點和賬實核對；對貨幣資金、有價證券、貴重物品、存貨等變現(xiàn)能力強的資產(chǎn)由專人保管。

預算控制?；鶎邮聵I(yè)單位在進行預算控制環(huán)節(jié)時要把握：編制預算要符合單位的實際情況；預算執(zhí)行要嚴格按預算批復，沒有預算堅決不支付；預算執(zhí)行過程要有監(jiān)督；對預算差異要及時分析、并及時調(diào)整；對預算執(zhí)行的結果要進行考核，對于業(yè)績好的要進行獎勵。

此外，還應建立重大風險預警機制和突發(fā)事件應急處理機制，明確重大風險的標準，制訂應急預案。

4、加強基層事業(yè)單位的信息與溝通

事業(yè)單位應及時準確地收集、傳遞與內(nèi)部控相關的信息， 通過建立良好的信息溝通制度，將內(nèi)部控制相關信息在單位內(nèi)部各管理層、各部門等有關人員之間進行溝通和反饋。重要信息要及時傳給管理層。

（三）加強內(nèi)部控制的執(zhí)行力度，使內(nèi)控的業(yè)務流程執(zhí)行暢通

基層管理單位要使內(nèi)部控制順利進行，首先要加強學習，充分了解和認識內(nèi)部控制對單位正常運行的重要性；其次開展關于對內(nèi)部控制業(yè)務流程的知識競賽，使全體職工熟練掌屋內(nèi)部控制業(yè)務流程；再次要堅決執(zhí)行內(nèi)部控制的業(yè)務流程，不能因單位人員少而疏忽大意，對單位關鍵控制點的責任要明確到具體人，并與年終考核相掛鉤。

（四）建立內(nèi)部監(jiān)督機構

基層事業(yè)單位要成立一個內(nèi)部控制管理領導小組，認真學習內(nèi)部控制的內(nèi)容，定期不定期地對單位內(nèi)部控制進行評測，對內(nèi)部控制評測的結果進行分析，找出問題和不足，并及時對內(nèi)部控制缺陷進行修訂，保障內(nèi)部控制的執(zhí)行。同時內(nèi)部控制管理領導小組也要對內(nèi)外部的審計決定及審計意見的落實情況進行監(jiān)督。

（五）建立科學合理的內(nèi)部績效考評體系

事業(yè)單位應充分運用內(nèi)外部審計監(jiān)督、內(nèi)部控制領導小組、財務的監(jiān)督力量，加大監(jiān)督考核力度，并通過建立合適的考核方案和科學的考核體系、客觀、公正地進行綜全評價。將考核結果與部門人員的獎懲緊密聯(lián)系起來，為干部業(yè)績考評和任免提供可靠的參考依據(jù)，從而保證內(nèi)控制度的科學性、合規(guī)性，激勵與促進全體職工的積極性。

綜上所述，我國基層事業(yè)單位內(nèi)部控制工作還存在不足，基層事業(yè)單位必須要根據(jù)本單位的實際情況，建立健全一套科學、有效的內(nèi)部控制制度，并保證其有效實施，同時要定期不定期地進行評測，與時俱進，對存在的缺陷要及時修正，以促進基層事業(yè)單位全面健康發(fā)展。

參考文獻：

[1]劉亞平.構建行政事業(yè)單位內(nèi)部控制體系的思考[J].財務研究，2010年第18期：72-74

[2]楊曉華.關于加強行政事業(yè)單位內(nèi)部控制的思考[J].財會通訊.綜合，2010年第9期（中）：115-116

[3]穆冬枚，陳偉.關于行政事業(yè)單位內(nèi)部控制的現(xiàn)狀與思考[J].會計師，2009年第5期：82-82

[4]趙品春.深化行政事業(yè)單位內(nèi)部控制的思考[J].交通財會，2012年第1期：71-76

篇8

    隨著信息技術的不斷發(fā)展，商業(yè)銀行的業(yè)務過程基本實現(xiàn)了電子化、網(wǎng)絡化，主要業(yè)務系統(tǒng)都已實現(xiàn)了集中，商業(yè)銀行內(nèi)部網(wǎng)絡暢通已成為支撐各類業(yè)務系統(tǒng)正常、穩(wěn)定運行的關鍵，一旦網(wǎng)絡出現(xiàn)癱瘓將直接導致業(yè)務中斷。銀行IT風險已成為內(nèi)審部門關注的重點，網(wǎng)絡可用性審計已納入商業(yè)銀行內(nèi)部審計領域，本文作者從IT系統(tǒng)可用性含義、影響網(wǎng)絡可用性因素、審計關注重點等方面進行探討。

    一、計算機系統(tǒng)可用性含義

    計算機系統(tǒng)可用性是系統(tǒng)可用時間的描述，一般用系統(tǒng)正常運行時間占全部時間（含失效時間）的百分比來衡量。與系統(tǒng)可用性近似的概念是系統(tǒng)可靠性，一般用平均無故障運行時間衡量。二者概念容易使人產(chǎn)生混淆，實際上二者有本質(zhì)的區(qū)別。如甲系統(tǒng)每年因故障中斷十次，每次恢復平均要30分鐘，該系統(tǒng)可用性為（365×24×60-10×30）/（365×24×60）=99.94%，可靠性為（365×24×60-10×30）/10=52530分鐘；乙系統(tǒng)每年因故障中斷2次，每次需6小時恢復，該系統(tǒng)可用性為（365×24×60-2×6×60）/（365×24×60）=99.86%，可靠性為（365×24×

    60-2×6×60）/2=262440分鐘。則甲系統(tǒng)可用性比乙系統(tǒng)高，但可靠性比乙系統(tǒng)差。

    可見可靠性高的系統(tǒng)其可用性不一定高，提高可靠性需要強調(diào)減少系統(tǒng)中斷（故障）的次數(shù)；提高可用性，除了需要提高可靠性外，還需要考慮系統(tǒng)備份及故障恢復計劃等，以減少從災難中恢復的時間。

    二、影響網(wǎng)絡可用性的因素

    影響網(wǎng)絡可用性的因素很多，從網(wǎng)絡設備自身的可靠性、設備運行環(huán)境、網(wǎng)絡結構等內(nèi)部因素到外部入侵、故障恢復計劃等外部因素，均對網(wǎng)絡可用性產(chǎn)生影響。具體包括：一是網(wǎng)絡設備自身的可靠性，包括設備自身設計、設備制造工藝、設備自身冗余功能、設備使用時間長短等都會影響設備自身的可靠性，如隨著網(wǎng)絡設備使用年限的增加發(fā)生故障的概率也在增加，設備的可靠性就降低。二是網(wǎng)絡結構，網(wǎng)絡中重要設備和線路要有一定冗余，一旦某一線路或設備出現(xiàn)故障，網(wǎng)絡會自動切換到備份線路或設備上，此外網(wǎng)絡結構的設計也要考慮網(wǎng)絡的可管理性，方便網(wǎng)絡的監(jiān)控管理及故障排查等。三是非授權訪問，外部入侵、黑客的網(wǎng)絡攻擊以及網(wǎng)絡管理人員的錯誤操作等都可能造成網(wǎng)絡設備的配置文件被非法修改、發(fā)生網(wǎng)絡癱瘓等事故；四是故障恢復計劃，科學、合理、切實可行的故障恢復計劃可以在網(wǎng)絡出現(xiàn)故障時減少網(wǎng)絡恢復時間，提高網(wǎng)絡可用性。此外網(wǎng)絡設備的運行環(huán)境，包括溫度、濕度、塵埃、電源質(zhì)量等都會影響網(wǎng)絡的可靠性，如果設備運行環(huán)境不能滿足設備的需要，勢必增加設備發(fā)生故障的幾率，降低網(wǎng)絡的可靠性。

    三、網(wǎng)絡可用性審計的關注重點

    （一）網(wǎng)絡設備的可靠性方面

    無論多大的網(wǎng)絡，網(wǎng)絡設備是整個網(wǎng)絡的基石和瓦礫，網(wǎng)絡設備的可靠性決定整個網(wǎng)絡系統(tǒng)的可靠性，進而影響整個網(wǎng)絡的可用性。要提高網(wǎng)絡的可用性首要提高網(wǎng)絡設備的可靠性。審計需要重點關注：一是網(wǎng)絡設備是否選擇信譽好、品牌大的廠家設備，此類廠家的網(wǎng)絡設備結構設計先進、產(chǎn)品制造工藝精細，設備的故障率低、可靠性高。二是關鍵網(wǎng)絡設備自身配置是否滿足冗余需要，針對目前高端的交換機、路由器、防火墻等一般都是模塊化設計，在設備選配時應配置雙引擎、雙電源等模塊，減少設備發(fā)生故障的概率。三是網(wǎng)絡設備是否定期實施巡檢，通過巡檢能提前發(fā)現(xiàn)網(wǎng)絡設備存在的風險隱患，及時更換使用時間長、故障率高的網(wǎng)絡設備。

    （二）網(wǎng)絡結構的設計方面

    網(wǎng)絡的冗余設計可以有效增加網(wǎng)絡的可用性，包括網(wǎng)絡線路冗余和關鍵網(wǎng)絡設備的冗余，當網(wǎng)絡主線路或設備發(fā)生故障時系統(tǒng)能在秒級內(nèi)自動切換到備用線路或設備上，保證網(wǎng)絡能連續(xù)提供服務。

    1.網(wǎng)絡線路是否存在冗余，包括線路冗余備份、容量的冗余。機房局域網(wǎng)的生產(chǎn)線路冗余度應達到100%，如應用服務器至少應安裝2塊網(wǎng)卡，并且分別接不同的交換機，交換機也采用2條網(wǎng)線分別連接到上層交換機上；廣域網(wǎng)均應采用雙線路設計，且是租用不同運營商（若當?shù)刂挥幸患疫\營商，應采用不同的通訊介質(zhì)）實現(xiàn)線路的一主一備。主備線路間可利用線路負載均衡器，均衡主備線路流量，一旦一條線路出現(xiàn)問題可自動由另一條線路代替。帶寬冗余設計應根據(jù)當前業(yè)務對帶寬的需求、當?shù)剡\營商提供線路的特點，以及為業(yè)務發(fā)展預留一定帶寬等因素確定，避免因業(yè)務量激增導致線路阻塞。

    2.網(wǎng)絡設備是否有冗余。網(wǎng)絡設備的冗余應根據(jù)設備重要性程度不同分別采取不同的冗余方式。針對核心和主要網(wǎng)絡設備應采取負載均衡或一主一備方式實現(xiàn)核心網(wǎng)絡設備的雙機熱備，確保網(wǎng)絡設備無單點故障，一旦主設備出現(xiàn)故障，網(wǎng)絡自動切換到備份設備，確保網(wǎng)絡暢通。對于其他網(wǎng)絡設備可采取一對一（一臺備機對應一臺主機）或一對多（一臺備機對應多臺主機）的方式進行冷備，且定期對備份設備進行維護，保證備份設備一直處于可用狀態(tài)，一旦在用設備出現(xiàn)故障，利用備份設備進行替換，能盡快恢復網(wǎng)絡通訊。

    （三）網(wǎng)絡安全管理方面

    網(wǎng)絡時常受到非授權訪問、病毒入侵及拒絕服務攻擊等內(nèi)外部威脅，為此需要加強網(wǎng)絡安全管理，增強網(wǎng)絡的強壯性，降低因非法訪問、感染病毒等因素導致的網(wǎng)絡中斷事故。在此方面審計需要重點關注：

    1.網(wǎng)絡設施的物理訪問控制情況。是否利用門禁系統(tǒng)、監(jiān)控系統(tǒng)或門鎖等設施禁止非授權人員物理接觸網(wǎng)絡設備，是否做好物理訪問的授權及記錄工作。

    2.網(wǎng)絡的邏輯訪問控制情況?？茖W合理地布置網(wǎng)絡安全設備及有效的安全策略可以有效防范外部入侵、病毒感染和非授權訪問。一是是否在銀行內(nèi)部網(wǎng)絡與外部網(wǎng)絡連接處設立DMZ（非軍事化區(qū)）區(qū)，并利用NAT/PAT（地址轉(zhuǎn)換、端口轉(zhuǎn)換）等技術，隱藏銀行內(nèi)部網(wǎng)絡結構和網(wǎng)絡地址，防護內(nèi)部網(wǎng)絡。二是是否在網(wǎng)絡邊界處部署防火墻，實現(xiàn)網(wǎng)絡邊界間信息出入的精確控制，檢測病毒、蠕蟲等安全威脅。三是是否部署IDS（入侵檢測系統(tǒng)）掌握網(wǎng)絡的運行狀況和發(fā)生的安全事件，并根據(jù)安全事件來調(diào)整安全策略和防護手段，從而提高整個網(wǎng)絡的安全水平。四是是否部署了漏洞掃描系統(tǒng)，及時發(fā)現(xiàn)網(wǎng)絡設備系統(tǒng)存在的漏洞，并進行自動更新，增強系統(tǒng)的強壯性。五是是否按照營業(yè)類、管理類、其他類等類型分 配內(nèi)部網(wǎng)段，并科學、合理設置VLAN（虛擬局域網(wǎng)），對于跨網(wǎng)段或跨VLAN的網(wǎng)絡訪問利用ACL（訪問控制列表）進行控制。

    3.網(wǎng)絡設備自身的安全管理情況。網(wǎng)絡設備的安全管理包括網(wǎng)絡服務安全、用戶權限管理和用戶行為審計等措施。審計重點關注：一是是否關閉設備上確認有軟件Bug（缺陷）的網(wǎng)絡服務和可能對自身產(chǎn)生安全威脅的服務。二是是否分級設置用戶登錄權限，是否啟用用戶名、密碼認證、配置強密碼，并定期修改。三是是否只允許經(jīng)授權的用戶在設備上執(zhí)行權限范圍內(nèi)的操作，且對操作有相應審計。四是是否對接入網(wǎng)絡的計算機系統(tǒng)安裝防病毒軟件、桌面辦公安全管理軟件等，并做到及時升級。

    （四）網(wǎng)絡故障恢復計劃的管理方面

    銀行網(wǎng)絡時常受到網(wǎng)絡線路丟包或中斷、網(wǎng)絡設備故障、外部攻擊、非授權訪問及病毒入侵等威脅，而這些因素都有可能導致網(wǎng)絡出現(xiàn)故障。網(wǎng)絡一旦發(fā)生故障，如何盡快恢復網(wǎng)絡通訊，關注網(wǎng)絡故障恢復計劃的管理是可用性審計重要內(nèi)容之一。

    1.是否制定了網(wǎng)絡故障恢復計劃。商業(yè)銀行的信息技術管理部門應建立專門網(wǎng)絡應急預案即網(wǎng)絡故障恢復計劃，或在業(yè)務系統(tǒng)應急預案中涵蓋網(wǎng)絡故障恢復程序。網(wǎng)絡故障恢復計劃應包括以下內(nèi)容：一是應明確故障恢復組織的組成和職責。二是確定應急資源準備要求，包括網(wǎng)絡備用設備及設備配置文件的管理。三是明確應急報告線路、應急響應、應急決策的流程，并預先制定各種故障情形下的故障診斷方法、步驟和恢復措施。四是明確外部供應商服務要求及管理等。

篇9

關鍵詞：事業(yè)單位 內(nèi)部控制 問題及對策

一、事業(yè)單位內(nèi)部控制存在的問題

當前，事業(yè)單位內(nèi)部控制還存在著諸多亟待解決的問題，這些問題主要表現(xiàn)在內(nèi)部控制意識不高、內(nèi)部控制制度欠缺、內(nèi)部控制執(zhí)行不暢和內(nèi)部控制監(jiān)督不力四個方面，其具體內(nèi)容如下：

（一）內(nèi)部控制意識不高

內(nèi)部控制意識不高是事業(yè)單位內(nèi)部控制存在的問題之一。就目前而言，事業(yè)單位的內(nèi)部控制意識普遍不高，很多單位非內(nèi)部控制的重要性認識不足，無法利用內(nèi)部控制管理事業(yè)單位。事業(yè)單位的重心仍然放在業(yè)務和事業(yè)的發(fā)展上，對內(nèi)部控制管理方面缺乏基本的了解，這都是由于事業(yè)單位內(nèi)部控制意識不高造成的。

（二）內(nèi)部控制制度欠缺

內(nèi)部控制制度欠缺也在一定程度上制約著事業(yè)單位內(nèi)部控制的發(fā)展。在事業(yè)單位中，很多事業(yè)單位內(nèi)部控制制度沒有結合單位的實際情況，其制定的內(nèi)部控制制度僅限于照搬照抄，操作性不強，不能滿足本單位管理的需要。另外，在內(nèi)部控制制度的制定中，事業(yè)單位內(nèi)部控制制度建設相對落后，也導致事業(yè)單位內(nèi)部控制管理的效果不理想。

（三）內(nèi)部控制執(zhí)行不暢

在事業(yè)單位內(nèi)部控制中，內(nèi)部控制執(zhí)行不暢也使得事業(yè)單位內(nèi)部控制陷入瓶頸。由于基層事業(yè)單位人員編制有限、人員緊張、但管理任務重等原因，經(jīng)常出現(xiàn)一人多崗現(xiàn)象，不相容職務難以分開，導致職責不明，難以保證內(nèi)部牽制的實現(xiàn)。加之有些單位雖然也制定了本單位的內(nèi)部控制制度，但忽略了其執(zhí)行情況及執(zhí)行效果，內(nèi)部控制在執(zhí)行過程中或多或少地遇到問題，也使得內(nèi)部控制執(zhí)行不暢。

（四）內(nèi)部控制監(jiān)督不力

內(nèi)部控制監(jiān)督不力，也是事業(yè)單位內(nèi)部控制迫切需要解決的問題。具體說來，在事業(yè)單位內(nèi)部控制監(jiān)督方面，由于沒有設立內(nèi)部審計機構，即使設立了內(nèi)部審計機構，但也是在紀檢監(jiān)察的領導下，缺乏獨立性。在新形式下，事業(yè)單位現(xiàn)代管理理念的建立，對事業(yè)單位內(nèi)部控制提出了新的要求，傳統(tǒng)的財務收支審計已無法滿足事業(yè)單位發(fā)展的需要，也就無法保障內(nèi)部控制發(fā)揮其應有的作用。

二、解決事業(yè)單位內(nèi)部控制問題的對策

內(nèi)部控制是一種現(xiàn)代管理制度，事業(yè)單位加強內(nèi)部控制勢在必行。為進一步提高事業(yè)單位內(nèi)部控制水平，針對上述事業(yè)單位內(nèi)部控制存在的問題，解決事業(yè)單位內(nèi)部控制問題的對策可以從以下幾個方面入手，下文將逐一進行分析：

（一）提高內(nèi)部控制意識

提高內(nèi)部控制意識是加強事業(yè)單位內(nèi)部控制管理的關鍵。在事業(yè)單位中，提高內(nèi)部控制意識，應按照《會計法》和《內(nèi)部控制基礎規(guī)范》的規(guī)定，重視內(nèi)部控制在事業(yè)單位中的作用。提高內(nèi)部控制意識，可以通過定期或不定期地開展對事業(yè)單位負責人的培訓工作，加強他們理解和掌握內(nèi)部控制制度基本知識。與此同時，還要強化全體員工的內(nèi)部控制意識，普及內(nèi)部控制知識，使事業(yè)單位員工意識到內(nèi)部控制的重要性，進而為事業(yè)單位內(nèi)部控制創(chuàng)造良好的運行環(huán)境。

（二）完善內(nèi)部控制制度

完善內(nèi)部控制制度，也是加強事業(yè)單位內(nèi)部控制的有效途徑。事業(yè)單位完善內(nèi)部控制制度，可以懂三個方面采取措施，一是加強對內(nèi)部控制的運行環(huán)境的學習研究；二是加強對事業(yè)單位關鍵控制點的風險評估制度；三是及時完善業(yè)務層面的控制點。在事業(yè)單位中，只有完善事業(yè)單位內(nèi)部控制的管理層制度，形成職責分明的內(nèi)部控制環(huán)境，制定內(nèi)部控制的應急預案，及時開展績效考評控制等，才能逐步完善內(nèi)部控制制度。

（三）加強內(nèi)部控制執(zhí)行

為解決事業(yè)單位內(nèi)部控制的執(zhí)行力問題，在加強內(nèi)部控制執(zhí)行方面，應做好以下三個方面的工作?；鶎庸芾韱挝灰箖?nèi)部控制順利進行，首先，要加強學習，充分了解和認識內(nèi)部控制對單位正常運行的重要性；其次，開展關于對內(nèi)部控制業(yè)務流程的知識競賽，使全體職工熟練掌握內(nèi)部控制業(yè)務流程；再次，要堅決執(zhí)行內(nèi)部控制的業(yè)務流程，不能因單位人員少而疏忽大意，對單位關鍵控制點的責任要明確到具體人，并與年終考核相掛鉤。

（四）建立內(nèi)部監(jiān)督機構

建立內(nèi)部監(jiān)督機構在事業(yè)單位內(nèi)部控制中也必不可少。事業(yè)單位建立內(nèi)部監(jiān)督機構，要成立一個內(nèi)部控制管理領導小組，認真學習內(nèi)部控制的內(nèi)容，定期不定期地對單位內(nèi)部控制進行評測，對內(nèi)部控制評測的結果進行分析，找出問題和不足，并及時對內(nèi)部控制缺陷進行修訂，保障內(nèi)部控制的執(zhí)行。另外，內(nèi)部監(jiān)督機構的設置還應注意內(nèi)外部審計的制衡，因此，在事業(yè)單位內(nèi)部控制監(jiān)督機構的設置中，內(nèi)部控制管理領導小組也要對內(nèi)外部的審計決定及審計意見的落實情況進行監(jiān)督。

三、結束語

總之，事業(yè)單位內(nèi)部控制是一項綜合的系統(tǒng)工程，具有長期性和復雜性。在進行事業(yè)單位內(nèi)部控制的過程中，應根據(jù)本單位的實際情況，提高內(nèi)部控制意識、完善內(nèi)部控制制度、加強內(nèi)部控制執(zhí)行、建立內(nèi)部監(jiān)督機構，不斷探索事業(yè)單位內(nèi)部控制的有效途徑，只有這樣，才能不斷提高事業(yè)單位內(nèi)部控制水平，促進事業(yè)單位又好又快地發(fā)展。

參考文獻：

[1]馬庚.淺談行政事業(yè)單位會計電算化下內(nèi)部控制措施[J].財經(jīng)界（學術版）.2009（09）

篇10

通過評估結果來看，目前銀行業(yè)機構尚未將洗錢風險管理當做一項系統(tǒng)化、規(guī)范化的工作來做，在風險管理架構、風險評估、風險監(jiān)測和應對各環(huán)節(jié)中存在不同程度的缺陷。

（一）風險管理架構狀況總體上看，金融機構的風險管理架構尚處在合規(guī)管理狀態(tài)下，制訂各項反洗錢工作制度和操作規(guī)程的重點停留在規(guī)避違規(guī)風險上，而未能將工作思路轉(zhuǎn)到如何識別、評估和監(jiān)測客戶和交易的洗錢風險上。主要表現(xiàn)為：1.金融機構反洗錢風險控制的政策目標存在偏差。多數(shù)金融機構風險控制目標集中在反洗錢工作合規(guī)性上，而未將識別和控制洗錢風險做為最終的政策目標。2.反洗錢制度更新頻度與業(yè)務發(fā)展不匹配。除國有商業(yè)銀行以外的銀行機構，特別是地方法人機構，反洗錢內(nèi)控制度或操作規(guī)程的更新與其業(yè)務發(fā)展嚴重脫節(jié)，個別金融機構的客戶身份制度仍在執(zhí)行2007年制定的版本，新業(yè)務新產(chǎn)品推出未能及時納入洗錢風險控制與監(jiān)測的范圍。3.高管缺乏對洗錢風險的認知和對員工引導。通過調(diào)閱被評估單位的會議記錄及書面批示內(nèi)容來看，多數(shù)金融機構的高管對反洗錢風險控制的認知放在規(guī)避反洗錢違規(guī)風險上，對工作的指導方向與洗錢風險管理相差甚遠。4.反洗錢資源配置缺乏合理規(guī)劃。在抽樣機構中，除工行、建行的分支機構的反洗錢工作做到了團隊做、專業(yè)做外，其他金融機構反洗錢工作全部由指定的內(nèi)設部門的人員來兼職反洗錢工作，且部門和崗位變動頻繁，不利于本機構的反洗錢工作開展。5.反洗錢工作內(nèi)容未完全融入機構的合規(guī)文化建設中。一是反洗錢內(nèi)控制度和操作規(guī)程多數(shù)獨立于業(yè)務條線的操作規(guī)程；二是抽樣評估的機構中，尚有部分機構未將反洗錢履職行為納入年度或其他定期的績效考核范圍；三是員工反洗錢業(yè)務培訓工作未能以提高員工業(yè)務技能為出發(fā)點，從培訓記錄的內(nèi)容來看多數(shù)為應對人民銀行的現(xiàn)場檢查；四是反洗錢宣傳工作未能發(fā)揮主觀能動性，結合機構業(yè)務情況自行設計和印制宣傳材料，主動履行反洗錢宣傳義務。

（二）風險識別與評估狀況1.缺乏有利的風險識別與測量工具。一是從抽樣結果看，金融機構尚未建立識別與測量客戶風險敞口的統(tǒng)計工具；二是尚未建立識別產(chǎn)品風險敞口的統(tǒng)計工具；三是尚未建立識別高風險業(yè)務風險敞口的統(tǒng)計工具；四是尚未建立識別實際受益人的識別和統(tǒng)計工具。2.缺乏評估產(chǎn)品風險的機制。評估期間，所有評估機構尚未按照《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》（下稱《指引》）的要求建立對產(chǎn)品風險的評估機制。3.缺乏有效的客戶風險評估指標設計。從評估結果看，抽樣機構的客戶風險評估指標未能參照《指引》的要求，建立綜合性的評估指標，對客戶實施動態(tài)風險評估和管理。4.缺乏科學合理的風險評估流程。從評估結果看，抽樣機構的風險評估工作目前正處于兩個極端：一是有客戶風險等級評估系統(tǒng)的全部依靠系統(tǒng)自動評估，缺乏人工審核；二是沒有客戶風險等級評估系統(tǒng)的，全部依靠人工主觀判斷，缺少系統(tǒng)客觀指標的輔助，這兩種情況均可能導致客戶風險等級劃分、調(diào)整、審核工作流于形式。

（三）風險監(jiān)測狀況1.缺少反洗錢和反恐怖融資黑名單實時監(jiān)控功能。多數(shù)地方法人機構未能將反洗錢和反恐怖融資黑名單置入核心業(yè)務系統(tǒng)，無法設置業(yè)務觸發(fā)點以及對反洗錢和反恐怖融資監(jiān)控名單進行實時更新。2.缺乏有效的內(nèi)部審計監(jiān)督機制。從抽樣評估的情況來看，除上級機構的反洗錢工作審計報告能反饋出反洗錢工作中存在的問題外，抽樣機構對本級以及分支機構的內(nèi)部審計監(jiān)督基本流于形式，未能體現(xiàn)發(fā)現(xiàn)風險、控制風險的目的。3.缺乏對客戶開展持續(xù)調(diào)查的工具。目前抽樣機構全部缺少對客戶開展持續(xù)調(diào)查的輔助工具，不但降低了工作效率，也影響了客戶身份持續(xù)識別工作的效果。4.缺乏有效的異常交易監(jiān)測模型。從目前狀況來看，除工行建立了較為完善的反洗錢監(jiān)測模型外，其余機構全部按照可疑交易客觀標準設置可疑交易監(jiān)測指標，需人工判斷的指標無法量化并實現(xiàn)系統(tǒng)自動提取。5.缺乏綜合的可疑交易監(jiān)測系統(tǒng)。抽樣機構中，除工行的可疑交易監(jiān)測系統(tǒng)能基本滿足可疑交易分析過程能達到“方便的提取客戶基本信息及交易信息”綜合開展甄別分析外，其他機構的可疑交易監(jiān)測系統(tǒng)均獨立于業(yè)務數(shù)據(jù)庫之外，無法在技術手段上提供有效開展可疑交易甄別分析的便利條件。

（四）風險應對狀況1.缺乏對高風險業(yè)務、客戶的管控措施。多數(shù)機構未能建立對高風險業(yè)務和客戶的管控措施，在高風險業(yè)務發(fā)生或高風險客戶提交異常交易后缺少有效的控制手段，難以降低洗錢后果發(fā)生的概率。2.缺乏制度化的風險消化、提升風險對抗能力的工作流程。多數(shù)機構特別是地方性法人機構缺乏對典型案例進行追溯、審查、分析、追責等工作制度，便于查找自身風控漏洞，提出風險提示和采取相應改進措施的，或采取有效手段予以推行。3.缺乏應對洗錢案件的應急處置措施。抽樣機構全部未建立洗錢風險應急預案，難以保證在涉及自身的案件發(fā)生后，能快速做出反應。4.缺乏反洗錢工作的內(nèi)部溝通機制。多數(shù)的抽樣機構未能建立定期的內(nèi)部溝通機制，便于反洗錢部門定期或不定期與業(yè)務條線、下級機構就進一步完善反洗錢內(nèi)控及風控措施進行回溯性審查、政策研究。5.缺乏與當?shù)胤聪村X監(jiān)管部門的溝通機制。多數(shù)的抽樣機構未能建立向當?shù)厝嗣胥y行報告重要反洗錢事項、敏感反洗錢工作信息的外部溝通機制。

二、優(yōu)化風險管理工作建議

（一）及時轉(zhuǎn)變觀念，樹立風險意識金融機構工作人員特別是金融機構的管理團隊要盡快轉(zhuǎn)變工作理念，樹立洗錢風險意識，確立正確的反洗錢履職意識和工作目標，同時還要將洗錢風險管理融入本機構的合規(guī)文化建設這中，引導本機構的員工在合規(guī)基礎上，著力于加大對洗錢風險的識別與管控的工作力度。

（二）加大成本投入，完善風險管理架構1.完善風險管理制度架構。盡快按照《指引》要求，落實風險管理框架下的各項工作制度和操作規(guī)程，提高客戶、產(chǎn)品、業(yè)務之間綜合開展風險評估的能力。2.優(yōu)化反洗錢技術手段。在優(yōu)化完善反洗錢工作技術性的輔助系統(tǒng)上加大成本投入，建立綜合性的反洗錢分析監(jiān)測系統(tǒng)，完善風險識別與測量工具，逐步提高對高風險業(yè)務、高風險客戶的綜合監(jiān)測和分析能力，建立持續(xù)性的風險監(jiān)測分析制度及配套的技術手段。3.合理配置反洗錢資源。反洗錢工作資源的配置要與客戶、產(chǎn)品的市場拓展，對風險的接納能力以及所擁有的技術手段相匹配，有條件的機構要推廣反洗錢工作團隊作、專業(yè)作，條件有限的情況下要按照風險高低程度合理配置工作資源，在保證質(zhì)量的前提下提高工作效率。

（三）優(yōu)化工作流程，提高風險識別監(jiān)測能力1.提高員工培訓的實效。員工的反洗錢意識、工作能力、制度執(zhí)行力直接影響著反洗錢工作成效，員工培訓要從這三個方面入手，提高培訓工作實效。2.建立綜合性風險識別與監(jiān)測機制。客戶、產(chǎn)品、業(yè)務的風險識別與監(jiān)測是關聯(lián)度較緊密的工作，在實際工作中要充分利用各種工作資源和工作信息，建立綜合性的評估指標及評估機制，對客戶實施動態(tài)風險評估和管理。3.建立科學合理的風險評估流程。建立起系統(tǒng)自動評估與人工審核相結合的風險評估流程，實現(xiàn)人機互補，提高風險評估質(zhì)量和效率，從而建立對客戶風險等級劃分、調(diào)整、審核工作的動態(tài)化持續(xù)化的管理機制。4.建立科學的異常交易監(jiān)測模型。參照人民銀行的可疑交易監(jiān)測模型，結合本機構業(yè)務開展情況、對風險接納能力、客戶群的分布特征，建立適合自身的異常監(jiān)測模型，將風險監(jiān)測工作落到實處。5.建立綜合性的可疑交易監(jiān)測系統(tǒng)?？梢山灰妆O(jiān)測系統(tǒng)要與業(yè)務數(shù)據(jù)庫建立聯(lián)系，使系統(tǒng)能達到“方便的提取客戶基本信息及交易信息”綜合開展甄別分析的要求，在技術手段上為可疑交易甄別分析提供有效的便利條件。