企业内部控制风险评估(6篇)

企业内部控制风险评估篇1

关键词：注册会计师风险评估风险管理内部控制

一、引言

2010年美国公众公司会计监督委员会(PublicCompanyAccountingOversightBoard，PCAOB)通过了新的审计准则(审计准则第8号至第15号)，以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告，以保护投资者利益并增进公众利益。在PCAOB此次行动之前，不断有人发出强烈的信息，让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息，这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步，可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用，在审计财务申明中发现，适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括：审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL，Goelzer)说：这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险，并通过正确地审计计划和开展审计活动来应对风险，对于提升投资者对经审计财务报表的信心是至关重要的。

二、风险评估、企业风险管理与审计风险

(一)注册会计师风险评估风险导向审计的核心是审计风险，任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解，在审计的所有阶段都要实施风险评估程序，并将识别和的评估的风险与实施的审计程序挂钩，而且要求针对重大的各类交易、账户余额和列报实施实质性程序，可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节，风险导向审计下审计风险模型如下：审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性，检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围，并有效执行审计程序，以控制检查风险。注册会计师采取以下方法展开审计工作：(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施；(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序，包括测试控制的执行有效性以及实施实质性程序；(3)注册会计师应当评价风险评估的结果是否适当，并确定是否已经获取充分、适当的审计证据；(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现，注册会计师以针对评估的财务报表层次重大错报风险为起点，确定总体应对措施，并有针对评估的认定层次重大错报风险设计和实施进一步审计程序，以将审计风险控制在可接受的低水平。风险导向的核心是审计风险，控制审计风险的关键是风险评估程序，另一方面，企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果，并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。

(二)企业的风险管理每个企业在经营中存在各种风险，而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同，当然金融风险也是企业(特别是金融类企业)面临的风险之一，企业风险就是企业面临的可能导致企业亏损的各种不确定性事件，降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生，或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节：风险识别、风险评估、风险应对、风险监察。第一，风险识别是指尽力识别可能对企业取得成功产生影响的风险，包括整个业务面临的较大的风险，以及与每个项目或较小的业务单位关系的风险，识别潜在风险可以认识到企业面临的各种风险类型，而且风险识别程序应该在企业内的多个层级得以执行，这与注册会计师的风险评估贯彻于整个审计过程一样。第二，风险评估是在识别了各种风险后，对风险的的性质、风险的类型、风险的发生频率等进行评价，这种评价最主要分为两方面，一个是影响，另一个是可能性，企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似，不过更加具体、全面。第三，风险应对是指对上述评估的风险采取相应的措施，以避免该风险对企业产生的损失，风险应对的策略包括风险降低(如分散投资，就是一种降低风险的措施)，风险消除(使得该风险事件发生的概率降低为零)，风险转移(将风险的后果采用保险、合同等方式转移出企业)，风险保留(定期风险复核、控制风险情境)。第四，风险监察是指企业监测目标的实现过程，关注新的风险和相关损失，企业需要对风险进行监察，并在需要时不断作出调整。风险检查者定期检查正在发生的亏损，以了解他们的控制建议得以实施，并设计过程来改善风险管理的过程，制定一项战略来应对出现的新风险。

(三)风险评估与经营风险、审计风险企业的风险识别是风险管理的第一步，是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类：系统风险和非系统风险。系统风险是由公司之外的各种因素引起的，如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险，是不能通过多元化投资而分散的，因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险，它是由公司本身的商业活动和财务活动带来的，如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等，其可以通过多元化投资组合而分散，是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来，这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务，也可以起到促进企业风险管理的作用，注册会计师审计过程中必须进行风险评估，风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息，以控制审计风险，企业风险管理的过程是为了控制企业经营风险，从审计风险与企业经营风险的关系，我们发现：其一，风险评估是指评估被审计单位风险，评估的过程是企业风险管理中的一个环节，所以在性质上他们具有相似性。其二，风险评估的程序包括：了

解被审计单位及其环境、了解被审计单位的内部控制等，而风险管理也需要进行这些工作，方法包括：观察、检查、分析程序，穿行测试等。风险评估。其三，风险评估的目的相同：对于注册会计师而言，风险评估的目的是为了了解被评估的财务报表重大错报风险，并且制定风险应对措施，有效地实施审计程序；对于企业而言，风险评估的目的是为了控制企业的风险点，防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估：可能性和严重程度，并且通常采用定性和定量相结合的方法。在不要求定量化的地方，或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时，管理者通常采用定性评估技术。定量技术精确度更高，通常应用在更加复杂的活动中，以对定性技术进行补充。评估风险时既要考虑固有风险，也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险，但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足，当然这是注册会计师收益成本分析后的结果，但是注册会计师必须区分企业经营风险与审计风险，经营风险是指实现不了经营目标和战略的可能性，经营失败是经营风险的扩大化，指企业由于经济或经济条件的变化而无法满足投资者的预期，经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼，经营风险与审计风险有一定的相关性，但风险导向的核心是审计风险，而不是企业的经营风险。

三、注册会计师风险评估与企业风险管理关系

(一)二者时间发展顺序环境变化促使越来越多的企业实施全面风险管理，也促进了风险导向审计的发展：从20世纪90年代开始，随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征，许多跨国公司开始实施全面风险管理方法，一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视，风险管理的概念逐步引入到我国的企业中，使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月，COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上，结合《萨班斯――奥克斯法案》在报告方面的要求，明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与，应用于企业战略制定，以及企业内部各层次和部门，用于识别可能对企业造成影响的事项，管理风险为企业目标的实现提供合理保证。同时该框架还指出：企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步，2003年10月，国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则，并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月，中国注册会计师协会根据国际审计准则的最新发展，对已修订的四个新审计风险准则在全国范围内征求意见，并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作，为审计业务的展开提供了指引。

(二)二者业务性质相互影响全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险，注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时，收集这些证据即使在理论上是可行的，但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处：(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分，注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时，会将交易的内部控制目标与关键内部控制联系起来，然后将测试的结果与风险评估的结果进行对比，这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责，注册会计师审计可以起到监督作用，发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处：第一，企业风险管理的完善性与企业内部控制系统有着很强的相关性，所以如果企业建立了一整套风险管理的体系，那么注册会计师的风险评估程序就会减少程序，因为风险评估在整个审计过程中的验证过程都是可靠的。第二，企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理，从整个企业组合的角度实施风险管理，增强了企业风险管理的有效性，注册会计师能够在更大程度上信赖企业的全面风险管理，实施风险评估。第三，企业风险管理系统的完善性越不好，注册会计师所涉及的这部分程序设计需要越谨慎，而风险评估程序后提出建议的边际贡献越高，这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。

(三)二者存在的不同当然二者存在着以下区别：注册会计师风险评估更多是对内部控制有效性的评估，这种评估是因为审计的效率所决定的，而企业的风险管理需要覆盖企业的整体层面和各个业务流程，所以我们注册会计师的风险评估结果对于企业而言是一种参考，注册会计师的风险评估只是对内部控制水平高低的一个评价，这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况，如果仅仅是审计过程，注册会计师不需要提出风险管理改进建议，他们评估的财务报表重大错报风险只是为了控制检查风险，进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似，但企业风险管理的目的和注册会计师的风险评估还是存在不同。

四、企业风险管理及风险评估路径

(一)风险评估报告与企业风险管理(图1)呈现了风险导向审计的框架，风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果，不断地修正与调整风险估计水平，在整个审计过程中都需要进行风险评估过程，所以注册会计师可以在审计完成后形成风险评估的最终结果，形成风险评估报告，以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素，对企业内部控制的测试结果进行一个总结性陈述，形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户，以帮助被审计客户进一步完善内部控制水平，但我们必须意识到：风险评估报告不是审计报告的子报告，风险评估报告仅仅为被审计单位进一步提高内部控制水平而用，而非鉴证报告，注册会计师不需要提供保证。

(二)风险评估报告与信息系统风险管理注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性，所以注

企业内部控制风险评估篇2

关键词：企业全面风险管理内部控制体系

一、全面风险管理和内部控制概念

（一）全面风险管理的概念

全面风险管理是一个持续的实施过程，紧密结合在企业经营战略的设定之中，是企业的董事会、管理层和其他员工共同参与的协作执行，应用于企业的战略制定和企业的各个部门及各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提供合理保证。

根据企业管理层经营的方式划分，全面风险管理包括八个要素，内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控，上述要素之间相互关联，相互协作，始终贯穿于企业生产经营活动中。

（二）内部控制的概念

内部控制是一个动态的全过程，包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素，体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，有利于梳理全面、全过程控制的理念。

笔者认为，内部控制的基本出发点是以预防为主，贯穿于企业生产经营的始终，内部控制需通过事前、事中、事后的过程性的控制手段，对内部控制设计及执行过程进行评估，从中获得当前内部控制体系的有关信息，及时对内部控制体系进行修订、完善和补充，确保企业管理的完整性，有利于充分发挥审计职能、提供各方决策依据等内容，以达到整体控制的效果。

二、全面风险管理和内部控制的关系

全面风险管理与内部控制既相互联系又存在一定差异，具体情况如下。

（一）管控实施主体一致

从实施主体上看，企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素，体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，有利于梳理全面、全过程控制的理念。

笔者认为，内部控制的基本出发点是以预防为主，贯穿于企业生产经营的始终，内部控制需通过事前、事中、事后的过程性的控制手段，对内部控制设计及执行过程进行评估，从中获得当前内部控制体系的有关信息，及时对内部控制体系进行修订、完善和补充，确保企业管理的完整性，有利于充分发挥审计职能、提供各方决策依据等内容，以达到整体控制的效果。

二、全面风险管理和内部控制的关系

全面风险管理与内部控制既相互联系又存在一定差异，具体情况如下。

（一）管控实施主体一致

从实施主体上看，企业风险管理和内部控制管控主体都是企业董事会管理层及各员工，其管控主体为公司全体员工，为公司战略目标实现提供合理保证。

（二）管控范围相互包含

从管控范围上看，企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一，而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能，而全面风险管理贯穿于企业经营管理过程的各个方面。

（三）管控视角侧重不同

从管控视角上看，全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险，侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险，侧重于财务和运营。

（四）管控目的存在差异

从管控目的上看，企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇，规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。

综上所述，能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素，进行准确全面的度量和评估，建立初始信息框架，是全面风险管理工作流程起始点，因此，要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上，提出各种应对措施及方法，内部控制措施其必要性与风险系数呈正相关的关系，并依据风险内容制定控制机制与实施，企业在生产运营管理中，通过使用具体的内部控制措施的有效工具，对各类风险进行控制、评估，从而监控管理潜在的各类风险爆发隐患。

三、企业内部控制体系实施

随着国家有关部门和资本市场监管要求日趋严格，以及全面风险管理与内部控制理论的特性，为企业建立风险管控体系提供了指导依据。同时，将风险管理理念列为管理重点，以有效的内部控制为基础，科学融合了现代企业管理体系中的风险管理理念，促使企业充分审视、完善和加强自身内部控制管理工作。

建立以风险管理为导向的内部控制体系，从而不断提升企业自身的风险管控能力，其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。

（一）基于财务报告相关基础的SOX内控体系

初步建立以《萨班斯》财务报告为基础的一套内控体系，主要关注内控组织和制度的建设，完成体系的搭建，内外部审计中，均顺利过关，遵循工作总体有效，主要建设效果如下。

1.搭建内部控制体系组织架构和体系

内控体系从组织架构上实行两条线管理机制。一方面，财务部门作为内控职能管理部门与业务部门（虚拟团队）作为运动员，分别负责公司内控体系的设计和执行；另一方面，内审部及外部审计师作为裁判员，负责内控体系的监督和检查。

按照内部控制建设目标和原则，通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设，完善了基本的内部控制设计，业务流程范围覆盖了企业所有业务部门，形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点，形成内部控制手册和矩阵。

2.梳理规范业务操作

梳理及规范了业务执行层面各类操作，实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估，通过内控文档的优化更新及内控制度办法的建立完善了制度设计，通过明确落实关键控制点责任部门和责任人保证执行落地，通过内外部内控审计测试及业务自查加强了监督检查力度，通过定期内控体系建设情况报告形式明确了管理要求。

3.提升风险管理意识

通过结合基于财务报告相关的内控建设初步的风险管理体系，深化了内控的管理细度，实现了将与财务报告相关的内控要求融入日常工作，与业务运营融合，提升了业务执行效率与效果，增强了风险管理意识。

4.内部控制落实

企业通过部门层面内控常态化管理项目的实施，将公司层面的控制落实到部门层面，控制的执行更加明确，转换部门角色，把部门由受控主体转变为控制的主体，形成部门内控闭环管理体系，实现部门内部控制的建立、执行、测试及跟进闭环管理，将控制真正融入到日常工作之中，避免内控管理与生产管理“两张皮”。同时，建立并完善内部信息沟通渠道即内控月报制度，内控月报涵盖了各部门日常工作中涉及的相关内控工作，实现与公司内控职能管理部门财务部的有效沟通。

5.加强内控执行监督

为加强对内控业务执行的监督力度与执行效果，设置考核体系和评价体系，企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式，以加强业务部门对内控管理工作的重视程度；在日常监督检查方面，采取了部门层面内控闭环管理体系，通过明确各部门内控自测要求，促进业务部门开展自测，并与内外部审计等检查实行有效衔接，主动发现风险，从而达到关注重点、聚焦实质的目标，将内控风险管理工作和业务管理工作有机的结合在一起。

（二）以风险为导向、面向业务运营的全面内控体系

开展企业层面的风险评估，编制全面风险评估报告，全面优化SOX内控，梳理、搭建业务风控框架，以风险管理控制为核心，面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设，建立全面内控体系，其主要效果如下。

1.搭建业务框架

内控体系框架不再以存货、资金等会计视角为主线，而是从市场营销、采购等公司具体业务视角搭建。同时，从全生命周期出发，在各关键环节设置数据稽核的控制要求，区分实物管理和数据管理采集稽核样本，从而加强全流程的风险管理控制，提升数据真实性。

2.增设关键控制，注重前后评估

一方面，由于业务合作形式日趋多样，多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如，对于代销商与营业厅合作业务，对代管存货明确了控制措施，明确控制要求；另一方面，结合原则性控制要求，针对具体方式进一步细化控制要求，提高关键环节控制力度。如，对于采购业务，鉴于采购方式及业务流程不同，区分了招标采购、非招标采购与集中采购三类模式，细化控制要求。

根据业务流程进行梳理发现，部分业务流程未明确事前评估及事后监控的闭环要求。基于此，在业务流程评估的基础上，对部分业务流程增加了前后评估环节，提升了效率效果。

3.合并同质控制

通过长期的业务实践来看，对于同类业务，放在不同的流程中，出现了不同业务部门的认识不统一，导致管理方式不一致。通过业务流程的删繁就简，归并整理了同类型业务控制。

4.梳理标准规范

考虑系统维护量增加，效率降低，以及未来的可扩展性，兼顾控制基线要求，适当强化部分控制，为不断增多的系统提供统一、标准的控制规范，统一了各信息系统的整体控制要求。此外，通过梳理与财务报告相关性系统，考虑其是否产生计费话单或生成财务数据，是否传输或存储财务数据，对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴，而是纳入日常管理流程。

5.实施内控系统固化

伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善，内控制度和流程相对明确，内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中，将内部控制矩阵中的关键控制点在业务系统中予以固化，以建立常态化的内控执行体系，既是进一步改善内控措施执行的效率和效果，又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势，并为业务的健康成长和管理效率的提升提供支撑保障。

（三）以全面风险管理为视角的内控体系

遵循COSOII框架的全面风险管控体系，组织开展重大风险管控项目试点，促进风险管理工作与业务的深度融合，主要关注风险评估和风险应对，实现向全面风险管理过渡，不断完善其风险体系和内控体系建设，构建与以全面风险管理视角的内控体系，其主要建设效果如下。

1.深化风险文化

作为企业文化建设的重要部分，企业已将风险管理文化建设纳入企业文化标杆管理体系，从制度层面上保障风险管理文化的建设，并将风险管理与绩效考核相结合，对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚，促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量，分别通过自上而下和由点及面的推动方式，传播公司的风险管理文化。通过风险管理文化建设与培训，风险管理意识日趋深入人心，风险文化逐步形成。

2.构建风险体系

企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考，结合企业行业特点及其实际业务情况，主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。

全面风险管理工作从上述六类风险角度出发，营造企业自身文化；梳理公司各业务和内外部环节存在的风险，健全风险防范制度，构建风险防范体系。通过与利益相关方的沟通，提升公司形象，加强公司的廉政建设。

首先，企业根据业务发展需求，围绕中心，服务大局，联系实践，落实企业文化规划，完成企业文化发展规划，提升企业文化知晓率和认同度。

其次，企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节，提升全员信息安全意识，以风险管理为核心开展信息安全管理工作。

再次，企业通过加强反腐倡廉建设，廉洁自律，强化纪检监察、内审、安全生产、法律和社会责任风险管理，构建全面风险管理体系。

最后，加强利益相关方沟通管理和需求回应，全面提升社会形象。

企业通过上述措施制订执行全面风险管理工作计划，明确责任，评估各项风险发生的可能性和发生后对公司的影响程度，并对风险的重要性程度排序，确定公司面临的各种风险，细化落实相关计划与措施，定期开展回顾总结，监督执行情况、提出改进建议，完善风险管理的闭环管理机制，将风险管理的工作要求与业务运营管理相融合，切实做好日常的风险管理控制。

3.提升管理水平

通过规范业务流程，促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段，实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上，通过风险量化分析工具及效益评价开展风险评估，建立风险评估标准完善了制度设计，通过专项风险管理加强执行，建立风险信息数据库方式增强监督检点，通过定期编制全面风险管理报告提升风险管理水平。

4.关注重点风险，内控业务对标

随着企业管理日益精细化，相关内控要求与业务制度也在持续优化更新。在生产经营过程中，运用正向、逆向思维，梳理内部控制制度和业务管理制度，内控制度设计覆盖业务管理全过程，关注重点高风险和舞弊领域，业务制度是内控制度执行依据，内控制度是将业务制度中与内控相关条款归纳、整合。基于此，从内控合规角度出发，查找设计不合规或两者不一致的内容，进而完善内控要求与业务制度，实现全部内控业务流程对标，并将此项工作纳入内控常态化管理工作范围，不断完善内控体系。

上述内控体系特点为，建立企业统一的、标准化的内控手册和矩阵；控制点要求落实到具体部门和责任人，确保有效落地执行；内控管理执行部门和风险管理监督部门各司其职，相互制衡；全面覆盖涉及企业所有业务单元，涵盖生产、市场和管理等各业务线条；采用风险评估的方法，以风险为导向，关注关键环节风险管控；将内控与业务活动的紧密融合，避免“两张皮”；利用信息化手段固化内控要求，充分发挥信息系统优势。

四、未来全面风险管理内控体系的实施建议

（一）将企业风控管理和战略管理结合在一起

战略管理、风险管理是企业整个治理过程中的重要环节，企业战略管理的终极目标是为了实现企业价值的可持续增长，企业价值创造的路径是“股东价值客户价值业务流程核心资源”，所以企业必须具有高效、快捷、有可靠质量的业务管理流程，是企业价值链的形成途径，企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策，并且企业还需结合已确定的内部控制体系建设规划，审核建设方案和实施计划，监督内部控制管理机制的日常运行和持续改进，从而实现自上而下的风控管理与战略管理相结合的管理机制。

为实现企业战略目标，一方面将风控管理偏好和企业的战略结合在一起，将企业成长、风险和收益联系起来，增加风控反应决策，使企业的经营意外和损失最小化，减少企业生产、运营管理风险盲点；另一方面确认和管理企业的总体风险，合理配置风控管理领域的资源，抓住机遇，针对多重风险提供完整的应对反应方案。

（二）全员参与自主风控

全面风险管理是长期性工作，涉及企业生产和管理整个过程，需要全员上下共同参与实施，也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求，评估企业关键性业务的状态，避免业务执行和风控执行信息不对称；实行自主动态风控管理，使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求，从而不断提升全员风险管控意识，做好重大风险自主评估；增强内控与业务融合度，确保关键业务自主内控合规；深化内控管理信息化的建设，实现内控要求系统自动控制；推动审计发现问题整改复查，发挥审计检察闭环监督价值。

（三）强化风险监控预警，有效完善内控体系

企业的风险监控是风险预警的关键部分，结合企业内外部环境、行业特点，通过一定的评估方法或模型来确定风险监控指标的权重，充分利用统计分析的决策支持、工具和系统，从生产管理多维度入手，如运用年度绩效考核指标分析，监控企业经营业绩、发展效益、网络质量等；通过年度全面预算标杆管理体系，对标分析查找差距，突出价值导向优化资源配置；利用对业财半年报表和日常管理情况分析，监控业财指标，从财务角度进行风险分析和提示；透过月度/季度统计数据，分析企业日常生产经营风险，并将监测动态数据进行统计、分析，得出风险的变化趋势，定期进行汇总提出分析报告，为企业决策和风险管控提供参考依据，也为业务流程和内控体系持续优化提供有效信息，切实起到风险把控作用。

五、结束语

企业内部控制风险评估篇3

每个组织的存在都有其目标，在实现目标的过程中，存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系，来识别、评价和控制风险，为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性，提出改进意见，帮助企业改进风险管理与控制体系，从而为企业增加价值。

企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，为其他风险管理要素打下基础。

第二是目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、会计核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不经济地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计要发挥两方面的作用：

第一是对风险管理过程的充分性和有效性进行评价，主要从以下几个方面进行评价：1.评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订；2.与相关管理层讨论部门的目标，看分解到各部门的目标是否对战略目标提供足够的支持；3.评价管理层对风险的识别和评估是否准确；4.分析控制措施是否完善，是否可以使企业风险发生的可能性和影响都落在风险容忍度之内；5.风险监控是否持续得到执行，监控报告制度是否恰当，风险管理报告是否充分、及时。

第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。内部审计在该方面的作用包括：1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面，并且使每名员工能够有效识别风险并提出有效控制措施，实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患，要集合企业内外部的专家进行专题研讨。审计人员既是组织者，又是参与者，同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具

将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

1.在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

2.确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

3.编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的内容时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。

企业内部控制风险评估篇4

关键词：内部审计;风险管理

每个组织的存在都有其目标，在实现目标的过程中，存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系，来识别、评价和控制风险，为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性，提出改进意见，帮助企业改进风险管理与控制体系，从而为企业增加价值。

1企业风险管理体系简介

企业风险管理（enterpriseriskmanagement，简写为erm）的实质是企业有效利用各种资源，以战略的方式管理风险，使企业在多变的环境下以稳健的方式运作，从而获得增加价值的机会。在全球竞争激烈的市场中，任何企业都处于动荡多变的环境之中。企业面临的风险越来越多，风险引发的损失规模也越来越大，这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国coso委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

（1）内控环境。WWW.133229.COM主要是在企业中树立风险管理理念，营造一种风险管理文化，包括建立企业的风险文化，制定明晰的战略、目标，明确企业的风险责任人和利益相关者，使用统一的风险语言，为其他风险管理要素打下基础。

（2）目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

（3）事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、会计核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不经济地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

（4）风险评估。评估风险是erm执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术，评估风险事件发生的可能性和频繁度，风险事件的潜在影响及其成本的高低，最后绘制一张风险地图。评估风险事件的方法有很多，如定量方法、定性方法，企业可以根据自身的具体情况来制定自己的评估方法。

（5）风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企

业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

（6）控制活动。控制措施就是在接受风险的情况下，评估因接受风险所带来的额外费用和保险费用，评估因控制带来的管理成本和回报。在降低风险的情况下，明确所需的控制活动，评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为，调整风险地图。风险发生的可能性和频率是很难改变的，最有效的就是通过对风险管理成本的控制，将风险尽量降低到企业可承受范围以内。

（7）信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的erm报告。在风险活动中发生的成本费用和控制活动。其次要沟通erm的有效性和成本费用。保证在企业中有定期的erm报告，尤其是包括员工的责任义务完成状况以及对erm的检查情况，cro和其他重要的执行官要对erm的有效性和成本加以测量和存档，同时明确向董事会和执行官报告的责任和途径。

（8）监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的，风险的数量和可能性会随内外部环境的变化而变化，持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确erm可以给企业带来的利益与价值，了解风险评估的正确性，为下一次的评估提供经验教训，明确风险回应决策的有效性，同时还有助于控制成本费用。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

2内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计可以发挥以下作用：

(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况，收集大量的第一手资料，从中发现存在风险的隐患问题，进行风险分析，提请管理层注意风险管理和控制等的相关建议。

(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程，在一个组织内部应当明确职责分工，各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员由管理层分配一部分工作，操作人员负责日常监控，而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。

(3)内部审计通过将风险管理评价作为审计工作的重点，以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。

①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标、存在的风险，以及管理层采取的降低风险和加强控制的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致，应进行报告。

②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同，风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、在市场筹资的公司必须用正式的定量风险管理方法；规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。

(4)内部审计应积极持续地支持并参与风险管理过程，对风险管理过程进行管理和协调。在现代企业制度下，公司全面建立了风险管理过程，内部审计因此能够担负起风险管理的职能。首先，内部审计从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，做出相关评价。其次，内部审计可以深入到企业管理的极细微的环节上查找问题，分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据，深入到经营管理的各个过程，查找并防范风险。再次，内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，以防范宏观决策带来的风险。

3将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

(1)在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

(2)确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

(3)编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内部控制制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的内容时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。

(4)在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞和不足之处，提出加强管理的建议。

企业内部控制风险评估篇5

【关键词】税务管理；风险导向；审计模式

2015年以来，面对全球经济深度调整和国内经济下行的压力，伴随着现代企业制度的完善和企业管理改革创新的逐步深入，企业竞争转向比拼管理内功层次，全力进行内控体系的建立和完善，传统的查账式的内部审计应向风险导向审计转型，才能真正发挥内部审计的作用。部建立风险导向内部审计模式，最大限度的减少或规避风险，满足企业经营管理的需要，为企业又快又稳发展保驾护航。

一、风险导向审计模式的特点

风险导向审计模式是战略管理理论和系统理论在审计实践中的运用，以降低审计风险为根本途径，以评估重大错报风险为主线，并将识别和评估的风险与实施的审计程序有机结合，旨在提高审计效率和审计效果的一种审计技术。

风险导向审计是指审计人员在对被审单位的内部控制充分了解和评价的基础上，分析、判断被审单位的风险所在及其风险程度，把审计资源集中于高风险的审计领域，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将内部审计的剩余风险降低到最低水平。

二、风险导向审计基本程序、方法

首先进行风险评估：了解被审计单位及其环境，在整体层面了解内控，评估经营风险；在业务层面了解内控，评估认定风险；以此推断出企业可以接受的重大错报和检查风险（即剩余风险）；其次根据风险评估结果，制定具体审计计划，如果初步评价控制风险水平较低，则实施控制测试，依据控制测试的结果，确定是否扩大交易的实质性测试。如果初步评价控制风险水平较高，则应直接转入交易的实质性测试，评价财务报表的可能性。最后实施分析性程序和账户余额的实质性测试。在该种模式下，除采用账项导向审计和系统导向审计模式下的审计方法外，还大量采用分析性程序的方法，如：趋势分析法、比例分析法等。

三、风险导向审计模式在该公司的应用初探

1.首先在公司内部建立风险评估预警中心

在公司内部建立风险评估预警中心，该中心由董事长领导，从审计部及绩效推进部抽调具有一定理论经验和实践经验的专业人员组成，该中心主要职责是建立健全风险管理组织体系、定期进行风险评估及出具风险评估报告及应对策略等。

2.了解企业内部与外部环境风险

企业的外部环境是企业生存的基础，外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况，还要了解以下内容：（1）同行业竞争对手以及潜在的竞争对手的经营情况；（2）企业产品、原材料以及服务等的市场波动风险；（3）国家政策环境变动的风险；（4）科技进步风险；（5）自然灾害带来的风险等外部环境的风险。

3.以下以该公司税务管理活动为例，详细介绍风险导向审计模式的整个流程

（1）理清税务管理活动对应的风险清单，对税务风险有初步了解。

2.建立公司税务管理活动内部控制矩阵，通过对重大事项、关键控制点实施控制测试程序，确定公司可接受的风险大小。

3.对税务管理活动进行实质性测试

根据对控制测试结果的分析，实施实质性测试。定期评估主要分为季度或者半年进行税务活动检查，通过对内控各关键控制点的审查，发现内控的薄弱之处，找出问题发生的根源，然后针对这些环节扩大检查范围。在实施实质性测试时，从记账凭证、账簿、会计报表等，追查到所依据的相关会计原始凭证，验算其记账金额，核算账证、账账、账表之间的勾稽关系。

不定期检查评估主要是针对特殊事项，例专项税务稽查前针对稽点提前做好风险评估、风险防范、及修改完善等应对方案；税法政策变更前后的税务风险评估及税收策划，尤其是近期化肥产品免税政策取消及房地产行业预计营改增税收政策的变化等，则风险评估预警及税收策划的作用显得尤其明显。

4.出具风险评估报告及风险应对报告

税务管理活动的最终结果是出具风险评估报告及风险应对报告，以规避风险，保障公司稳定发展。

四、小结

在竞争环境愈来愈复杂的环境下，企业内部风险导向审计模式的建立越来越有必要，也在逐渐成为企业管理中的趋势。企业风险导向审计模式坚持对企业的管理进行行之有效的风险管理，并且对企业实施评价和管理。促进了企业的良性发展，实现企业的目标性管理同时增加企业的价值，该模式无疑是企业内部管理中的一种优良的资源。在实践当中该模式的应用应该将风险的评估结合在对审计的过程中，在执行过程中不断探索风险导向审计的方法，将风险降到最低、企业可接受的最低水平。

参考文献：

[1]王丽琳.风险导向审计在民营企业的应用初探[J].行政事业资产与财务：下，2011：49-49.

[2]周婷.风险导向的行政单位内部审计模式初探[J].行政事业资产与财务，2011.45-46

[3]《内部稽核》编辑部.风险导向之稽核与监控――以上海储蓄商业银行为例[J].中国内部审计，2012，（6）：26-27.

企业内部控制风险评估篇6

[关键词]电网企业；风险导向审计；内部控制；构建研究

[DOI]10.13939/ki.zgsc.2017.06.138

自2008年《企业内部控制基本规范》实施以来，2012年国家电网着力从依法治企视角来强化内部控制工作，促进了审计工作在电网企业内部控制中的全面应用。作为一种审计方式，风险导向审计是基于审计过程，依托风险评估来构建审计模式，着力破解和防范审计风险，提升企业风险管控水平。在电网企业内部控制评审过程中，2008年五部委出台《企业内部控制基本规范》及配套指导文件，着力对央企、上市企业的内部控制体系进行明确要求，并提供了参考依据和建设方针。2014年财政部出台《电力行业内部控制操作指南》，着力就电力行业企业内部控制体系工作进行了明确，突出内部控制在优化电力企业经营管理与风险管控上的积极作用。本研究将借助于风险导向审计方法，来检查和揭示企业管理与控制风险，促进依法治企工作取得成效。

1风险导向审计与企业内部控制评审的关系

风险导向审计源自委托理论，作为一种独立审计模式，旨在通过对企业生产、经营、管理等环节中可能存在的风险进行评估与规范，来改善企业风险管控效果，实现企业经营目标。中国内部审计协会（2013年）调查结果显示，以风险导向审计为主体的企业财务管理工作，推进了企业内部控制体系的建设，也突出了风险管理的重要性，改善了企业组织治理结构。在我国电力行业开展企业内部控制制度建设，主要依据《企业内部控制基本规范》要求，从企业董事会、监事会、经理层及全体员工来明确内部控制责任，细化内部控制目标。内部审计作为企业内部控制的重要内容，随着风险导向审计实践的不断应用，将内部审计逐渐转移到企业风险的防范与管理上。从内部控制的自我评价与内部审计的独立性来看，内部计有助于全面考察内部控制的自我评价，而内部控制不能作用于审计工作。因此，借助于风险导向内部审计，着力从企业内部控制评审中来发挥风险导向审计的积极作用，来发现和改善内部控制制度的不足。在现代企业内部审计管理模式中，结合风险导向审计与内部控制评审，以加强对企业各项业务活动的有效性、合法性、合规性评价，来修正和改进企业内部控制中的漏洞，降低企业经营、管理风险，提升企业的综合效益。

2在电网企业内部控制评审中引入风险导向审计实施过程

国网河南省电力公司周口供电公司自身已经建立了企业内部控制体系，而在引入风险导向审计来优化内部控制评审工作中，遵循公允性、一致性原则，利用风险评估来确定企业可能存在的风险，明确了重点业务模块、重要业务领域的潜在风险源，其实施过程及重点如下。

2.1确立内部控制审计业务流程及方法

参照《企业风险整体框架》（ERM框架），国网（周口）公司结合企业内部控制与风险导向审计管理实际要求，发挥内部控制审计确认与咨询职能。如下图所示。

电力企业内部控制审计构建流程

从引入风险导向内部控制评审实践来看，风险的识别、分析、评估是审计重点。依托内部控制体系来评估风险控制的充分性、有效性，对企业各重点领域存在的组织治理、控制、风险等提出审计评价。在具体审计方法上，前期调查阶段，主要工作是搜集相关财务信息及资料，并通过观察法、访谈法、问卷法、座谈法、评测法、抽查法等来进行初步审计；在风险评估环节，主要是结合企业不同业务模块，来收集可能的风险要素，并对相关风险进行评估，采用的方法有计算法、复核法、审核法等；在审计实施环节，主要是就重大风险进行审计，并修正风险评估结果，方法有检查法、抽查法、分析复核法等；在审计终结阶段，主要出具审计工作报告，明确审计中的主要建议；在后续整改环节，主要对已经确定的审计结果进行后续审计。

2.2风险导向审计在内部控制评审中实施重点

2.2.1注重审前调查环节

针对风险导向审计工作的开展，需要从电力企业审计工作内部、外部环境分析上，了解审计资源，收集企业内部控制环境下的可能存在的重大风险事件。在审前调查中，要确立风险导向审计的地位，审计人员要通过设置问卷，突出电力企业不同业务特点，并协同企业内部控制建设工作，多角度、多方面地获取经营管理中的薄弱环节，总结和梳理最大风险。同时，在实施内部控制审计过程中，要走出传统风险导向审计的屏障，特别是结合现代信息技术、软件技术，强调对高风险审计领域、风险评估环节的优化，提升风险导向审计的效应。如针对电网企业业务经营模块，考虑到经营风险越大，审计风险越大、舞弊可能性越大的特点，深入到电网企业具体财务报表中，来分析不同业务数据之间的关系，是否存在失真性，利用风险导向审计的分析性复核方法，来扩大复核范围，特别是电网企业线损率、电费回收率、客户满意率、固定资产完成率等指标，通过运用数据分析、管理流程分析等方法，来对照年度各经营指标的准确性。

2.2.2注重对重大风险事项的审计评估

风险导向审计在内控评审中的实施，其重点在于防范重大风险事项。结合重大风险评估结果来贯彻风险审计的要求，加强对电力企业重点领域、主要风险源的检查与测试，并就可能风险进行拓宽测试范围、加大抽样审核，真正锁定重点风险源。如在电网企业资产负债率评估中，根据评估结果，偿债风险越大，则资产负债率越高，越是审计重点。再如对于新建项目中的个别项目造价过高问题，一旦高出相关地区相同等级项目造价平均水平，这些造价超高的项目将是风险导向审计的主要节点，反映在财务上可能存在预算不真实、招投标环节及施工环节出现虚高问题，甚至出现其他物资采购超出标准设计等内控问题。

2.2.3注重审计结论

对于风险导向审计下的内控评审，其审计结论中应该明确风险导向审计的地位，特别是结合电力企业的内部控制现状，就可能存在的重大风险事项进行审计，围绕审计风险点来开展资料收集、整理与评价，完成审计取证表、制作审计风险问题清单，并引入风险导向审计方法来就可能的风险大小进行排序，就重大风险事项进行总结，得出电力企业内部控制体系中的不足或缺陷，最后提出整改方法和建议。可见，在风险导向审计在内控评审中的应用，审计人员要立足重大风险事项调查，从降低电网企业生产、经营风险水平上，针对存在的企业内部控制缺陷及问题，提出合理化整改建议，并形成审计结论。

2.3风险导向审计在内部控制评审中的实施效果

本研究所建的基于风险导向审计内部控制评审流程，改进了电力企业内部控制评审工作方法，特别是在风险审计实施过程中，拓宽了风险管理的评估范围，也更加贴近ERM框架要求。如在审计内容上，关注电力企业内部控制五要素，突出风险评估环节，避免了主观判断带来的评估偏差；在审计程序上，利用风险导向检查、抽查、复核等方法，突出了对财务报告、重大经济事件的系统评估；在审查技术上，融合多种风险评价法，增强了分析性复核能力，对防范电力企业内部控制审计风险提供了保障，提升了内控效率。

3风险导向审计对电网企业内部审计人员的要求

3.1加强信息化培训，发挥在线审计功能

电网企业信息化建设整体水平较高，对于风险导向审计工作，也应该逐渐延伸到在线审计领域。如对于立项审计、项目实施审计、审计报告的下达及整改意见等，都要从信息化建设上，融入到电网企业财务管理、电网营销管理、电力工程与物资管理、电力生产管理等业务模块中，通过系统化分析与检测，来筛选可能存在的风险问题。因此，加强审计人员信息化培训工作，了解和使用在线审计就顺应电网信息化财务管理需求。

3.2注重审计理念的转变，推进审计关口前移

从电网企业内部审计工作现状来看，风险导向审计要转变过去事后审计的弊端，突出风险的及早发现与确认，将审计重心前移。同时，根据风险导向内部审计工作，在对事中审计、事前审计中，既要关注单一经营活动事项，还要注重对企业经营战略、目标、管理、计划等活动的审计，切实推进风险为核心，从电网企业管理决策上来防范和降低风险。

3.3注重审计方法创新，提升审计水平

在审计方法上，基于风险导向内部审计，要广泛应用分析性程序检测，以风险评估、控制测试、实质性测试、余额测试等方法来提升内部审计的效果。同时，既要重视财务信息审计，还要挖掘和收集其他专业信息，形成对风险的全面审计，提高审计的科学性、效益性。

4结论

结合电网企业内部控制评审实践，立足风险导向审计理念，将风险导向审计方法纳入到电网企业内部控制评审中，有效克服了传统查账审计的局限性，实现了审计关口前移，强调了对重大风险事项的审查力度，规避和降低了内部审计的风险。因此，风险导向审计在电网企业内部控制评审工作的应用具有较广的推广价值。

参考文献：

[1]潘虹.内部控制审计探索与选择[J].合作经济与科技，2015（3）.

[2]沈家军.风险导向内部控制审计的应用[J].中国内部审计，2013（7）.