内部管理风险点范文第1篇

关键词：内部控制；风险管理；COSO

COSO（Committee of Sponsoring Organizations of the Tread-way Commission，简称COSO委员会）报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性而自行检查、制约和调整内部业务活动的自律系统。这个系统贯穿于经营活动的全部过程，包括控制环境、风险评估、控制活动、信息与沟通，监督等要素，并受企业董事会、管理阶层及其他人员影响。

直至18世纪产业革命，法国科学管理大师法约尔（Henri Fayol）才在其《一般工业管理》中把风险管理思想引入企业管理体系内，但一直未形成完整的制度与方法。风险管理作为一门系统的管理科学，则是本世纪30年代在美国兴起的。1930年，美国宾夕法尼亚大学所罗门•许布纳(S.S.Huebner)博士在美国管理协会发起的一次保险问题会议上提出关于风险管理的定义，但至今尚无统一的说法。比较权威和比较有代表性的观点是威廉(C.A.Williams)和汉斯(R.M.Heins)在1964年出版的《风险管理和保险》一书中提出的，他们认为“风险管理是通过对风险的识别、衡量和控制，以最低的成本使风险导致的各种损失降到最小程度的管理方法。”这个定义包含了这样几个方面的含义：(1)企业风险管理的目标是以最小的成本达到最大的安全效果。(2)企业风险管理是由风险识别、衡量和控制几个环节组成。(3)实现风险管理目标的主要手段是控制。

一、 改进我国内部控制的建议

推进和改进激励和约束机制。完善公司治理结构的前提是必须尽快建立市场化的、动态的、长期的激励与约束机制，打破干好干坏一个样的状况。在激励方式上，除了要突破国有企业收入分配的限制，更重要的是要研究有效方案，给与管理层股票或股票期权。在约束方面，必须树立以制度约束人的观念，强化责任追究制度。只有这样才能避免所有者和经营者以及管理层和员工之间由于信息不对称而产生的道德风险和逆向选择。

披露公司治理结构的状况。把公司治理结构作为公司信息披露的重要组成部分，其作用不仅仅在于方便投资者通过对公司治理结构的判断来减少投资风险，更主要的是将公司治理的现状和改进置于社会公众的监督之下，借助于社会监督的力量来完善公司治理结构。公司治理结构的披露可以结合内部控制信息披露进行。并采取强制的详细披露。为了保证披露信息的真实、可靠。可以由会计师事务所出具详细的内部控制制度和公司治理结构的审核报告。

杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。这种交叉任职的后果是董事会与总经理之间权责不清、制衡力度锐减。因为在公司治理结构中，董事会和总经理分别代表所有者和经营者的利益，两者是相互制衡的关系。如果重叠这种关系，那么这种制衡局面就会被打破，从而使得经营者处于无监管状态。其结果可想而知。所以完善公司治理结构就要在组织机构设置和人员分配方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。

二、建设有效的风险管理体系

1．建立风险管理机制

企业的风险管理机制是企业进行风险管理的基础，良好的风险管理机制是企业风险管理是否有效的前提。企业风险管理机制包括以下方面的内容:（1）风险管理组织机构。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的因素，在全体员工参与合作和专业管理相结合的基础上，建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。（2）风险预警系统。企业进行风险控制的目的是避免风险、减少风险，因此，风险管理的首要工作是建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。以实现公司的经营目标。（3）风险紧急处理机制。企业在经营过程中，有时会遇到一些突发的事件。如果处理不当，可能会给企业带来巨大的损失，甚至可能会给企业带来灭顶之灾。

2．控制经营风险

控制经营风险应从以下几方面着手：（1）控制供应风险。企业能够正常生产经营的前提是拥有充足的资源供给，企业的供应风险主要包括:市场价格风险、合同欺诈风险、货物质量风险、存货风险。（2）控制生产风险。企业的生产风险，是指存在于企业将各生产要素组合形成产品过程中的风险主要包括生产组织风险、生产安全风险、生产质量风险等。（3）控制销售风险。企业的销售风险，是指企业由于市场开发、产品销售(包括劳务提供)、市场竞争等环节存在着不确定性而产生的风险。销售风险主要包括:市场开发风险、市场营销策略风险、赊销信用风险等。

3．控制财务风险

财务风险又称筹资风险，是指由于举债而给企业财务成果带来的不确定性。企业举债经营，全部资金中除自有资金外还有一部分借入资金，这对于企业自有资金的盈利能力造成影响；同时，借入资金需还本付息，一旦无力偿还到期债务，企业便会陷入财务困境甚至破产。企业息税前资金利润率高于借入资金利润率时，使用借入资金获得利润除了补偿利息外还有剩余，因而使自有资金利润率提高。但是，若企业息税前资金利润率低于借入资金利润率，这时，使用借入资金获得的利润还不够支付利息，还需要动用自有资金的一部分利润来支付利息，从而使自有资金利润率降低，使企业发生亏损，甚至招致破产的危险。这种风险即为筹资风险。

我们说控制或规避风险，不是简单地消极逃避风险，应做的事情不做。其实，对企业来说，不能抓住机遇，得过且过，错失良机，是最大的风险。尽管机遇背后可能隐藏风险，但风险也往往孕育着希望和收获。理论上和实证都证明，在有效资本市场的条件下，风险和收益是对称的，低风险低收益，高风险高回报。同时，从内部控制的角度看，企业要敢于认知和分析风险，并采取积极、创新的风险管理措施，把风险控制在企业可接受的范围以内。

作者单位：河北科技大学

参考文献：

[1]吴水澎,陈汉文,邵贤弟．企业内部控制理论的发展与启示[J]．会计研究,2000,5:10-11.

内部管理风险点范文第2篇

【关键词】 内部控制； 风险管理； 业扩报装； 风险控制

一、内部控制在企业应用中的局限

内部控制是社会经济发展和企业管理实践的必然产物，是企业制度的重要反映，经历了内部牵制、控制制度、会计控制、整合控制、风险管理等发展阶段。1992年COSO的《企业内部控制――综合框架》①强调对企业经营的效率效果、财务报告的可靠性和相关法规的遵循性等目标，该框架一经即被企业广泛接受和采用。2002年美国国会和政府通过的萨班斯―奥克斯利法案（简称SOX法案）②对企业财务报告的可靠性和信息披露提出了严格要求，并将COSO《企业内部控制――综合框架》作为企业合规要求的主要参考标准，该法案进一步推动了内部控制在企业的实施。2004年COSO的《企业风险管理――整合框架》强调风险管理对战略制定和实施过程的保证，体现了内部控制向风险管理的演变，但该框架由于是主要延伸了内部控制的思路和方法，大多企业在实施过程中与内部控制的差异不大。

内部控制对企业控制风险、完善内部制度和规范管理程序等发挥了重要作用，但随着内外部环境的不确定对企业影响的加剧，内部控制的局限性制约了复杂风险的管理需要。

（一）风险观的局限

内部控制将风险的概念定位于损失的可能性这一表述，关注于管理中可能存在的缺陷、制度和流程的遵循等流程层面的风险，但对制度和流程之间的联系、决定制度与流程的企业因素、外部环境的影响等方面的整体层面风险关注不足，而这些风险恰恰是企业影响最大、最应关注的风险。

（二）控制手段的局限

内部控制手段往往局限于规范流程上的审批、审核、权责配置等有限手段，缺乏针对战略及业务等整体层面风险的战略性措施和结构性管理手段，如业务结构的调整、客户导向的管理机制、外部合作关系变化等高级手段，而这些是解决整体层面风险的必需手段，也是落实流程内部控制的基本依据。

（三）控制机制的局限

内部控制强调以制度和流程为基础的日常控制程序，主要体现在对业务流程固有风险的常态化控制，对流程相关企业整体层面的风险和需要整合管理的风险通常无能为力，并难以适应环境变化和企业风险管理能力、资源变化而需要实现的优化控制。

2006年国务院国资委的《中央企业全面风险管理指引》 ③提出了一套系统的风险管理框架，更加关注于企业整体层面的风险管理，并将内部控制作为风险管理体系的重要组成部分，但仍未具体明确与内部控制的整合方法，因此在复杂的业务流程风险控制上仍主要借助内部控制的方法。2008年财政部等五部委的《企业内部控制基本规范》④是对传统内部控制的继承和发扬，并借鉴了《中央企业全面风险管理指引》中的一些风险管理方法，拓展了内部控制对企业战略和整体风险的关注，但在如何实现对企业整体层面风险与业务流程的内部控制之间的联系仍未具体明确。

二、基于风险管理的内部控制方法

传统的内部控制难以适应风险的变化和整体层面风险管理的需要，发展中的全面风险管理方法对业务流程上的风险控制缺乏有效手段，因此，综合内部控制与全面风险管理方法成为企业的必然选择。笔者在研究中发现，内部控制与风险管理的方法可以通过整合实现优势互补，可以通过风险管理的方法解决整体层面的风险管理，并以其形成的风险解决方案为基础，结合内部控制落实流程上的风险控制，即通过基于风险管理的内部控制整合解决企业各层面的风险。同时，基于风险管理的内部控制进一步强调以风险为导向，以风险识别和评估为基础控制风险，继而分析、设计和实施内部控制。

基于风险管理的内部控制主要包括三个方面的内涵：一是以风险管理的方法解决传统内部控制的局限，特别是解决企业整体层面风险；二是在业务流程上相应采用内部控制的手段落实整体风险解决方案，并解决流程层面的风险；三是强调风险为导向的控制策略与内部控制措施。基于风险管理的内部控制主要方法结构如图1所示。

具体来讲，基于风险管理的内部控制需要在风险评估、风险控制策略和控制方案、风险管理组织职责、内部控制手段等方面实现整合，表现为一个闭环的管理过程（如图2所示）。

（一）整合风险评估

风险评估以业务目标为基准，考虑到业务活动中的内外部风险因素，从风险的不确定性对业务目标的影响角度实现对整体层面风险与流程层面风险的整合评估。同时，分析风险的具体成因和影响方式，并确定需要重点管理的风险。

（二）制定风险控制策略与控制方案

基于风险管理目标和不同的风险及其特征，特别是针对重大风险，制定相应的控制策略，包括规避、接受、控制、转移等，以及实现控制策略的具体风险控制方案。风险控制方案包括整体层面风险的风险管理措施、流程层面风险的内部控制措施等，为优化组织职责和具体落实流程内部控制提供指导方向。

（三）优化风险管理组织职责

根据风险控制方案调整或优化具体的组织职责，并利用内部控制的方法明确业务活动的制衡关系、重要的决策授权权限和关键业务环节的分工界面等。特别需要强调，在业务流程中落实风险管理三道防线的职责关系，根据风险控制职责分工、风险管理专责机构的定位等，将具体职责与关键控制环节结合起来落实。

（四）落实流程内部控制

根据风险控制方案，实现内部控制措施对风险控制方案在具体业务流程中的承接和落实。同时，在流程上设置关键控制点，具体规范控制措施、控制责任、控制方式以及控制检查手段等，并修订和完善相关制度及标准。

（五）监督与改进

强调风险管理第二、三道防线的作用，通过关键控制点的控制检查及时监督内部控制的执行情况，同时，采用内控自评价和内控审计等实现内部控制的改进及持续提升。

三、供电企业业扩报装业务流程的应用实践

供电企业的业扩报装业务是指为客户提供新装、增容及变更用电，从受理申请到正式供电的全过程，包括为客户提供用电咨询、受理用电申请、设计供电方案、供电工程设计与施工管理、装表接电等14个主要流程的全过程服务，涉及营销、客服中心、生产技术部、发展策划部、计量中心、调度中心等多个职能与业务管理领域，业务与管理的复杂程度较高。其中，客户服务中心履行业务的主体职责，发展策划部、生产技术部、调度中心、计量中心、招投标管理中心、法律部履行辅助职责，营销部履行政策及制度标准制定和监督检查职责，但基建部、监察部、风险管理主责部门的职责在现有业务中未有体现。

供电企业的业扩报装业务主要采用传统的内部控制方法，有着一套相对完整的制度体系和流程体系，遵循国家和地方相关行政法规、国家电网公司相关规章制度以及企业自身的管理制度，已经实现了对一般流程风险的有效控制。然而，随着业务环境的变化，不确定因素对业务的影响显著，传统的内部控制已难以适应风险管理的要求。

（一）业扩报装业务主要风险与风险特征

通过对业扩报装业务风险的整合评估，确定了业务相关的12项风险和若干风险点，包括客户服务风险、依法合规风险、工程设计与可研风险、工程招标及采购风险、多经风险、生产运行风险、电能计量风险、管理机制风险、工程概预算管理风险、廉政监察风险、工程施工风险、生产设备设施风险等。其中，风险主要集中在确定供电方案与收费方案、供电工程设计与审查、供电工程施工、电费管理与监督检查等几个关键环节。各项风险反映了不同的风险特征，主要表现在如下方面：

多经风险、管理机制风险、廉政监察风险、工程招标及采购风险反映出的风险特点主要是影响整个业务流程的整体层面风险。其中，多经风险反映了供电企业与附属多经企业之间的管控关系模糊、关联交易不规范和供电企业对多经企业保护等问题对业扩报装业务优质服务的不利影响，并可能由此产生违规和廉政风险；管理机制风险主要反映了流程部分管理职责缺失、部分部门的职责定位不合理、组织职责不明确和流程环节工作界面不清晰等问题对业务流程的影响；廉政监察风险主要反映在业务流程廉政问题显现和相关廉政监察机制缺失方面的问题，可能仍将产生廉政风险；工程招标及采购风险主要反映了客户招标和直接收取工程款项的管理方式可能违背“三不指定”（即不指定工程设计单位、不指定队伍、不指定设备材料）的要求，并可能产生廉政风险。

・生产设备设施风险反映了供电企业因电网基础设施的投入不足、电网布局不合理等原因产生的供电能力不足的问题，在短期内难以解决。

・其他风险，包括客户服务风险、依法合规风险、工程设计与可研风险、工程概预算管理风险、工程施工风险、生产运行风险、电能计量风险等，主要反映了供电企业在业务活动的流程设计与执行方面的问题。

（二）风险控制策略与控制方案

为有效控制业扩报装业务风险，采用基于风险管理的内部控制方法，优化和提升供电企业业扩报装业务流程内部控制。首先明确业扩报装业务风险控制的主要目标：

・保证符合国家、行业法律法规要求，满足国网公司基本政策和公司内部制度规定。

・确保接电运行后电网安全可靠。

・合理控制接电成本、线损成本等，并努力提高业务收益。

・客户导向，为客户提供高效和高质量服务。

・杜绝业务过程中的廉政与行风问题。

基于风险控制的目标要求和风险偏好，以风险为导向，并根据各项风险的特征，制定风险控制策略和控制方案，其中：

・多经风险采用风险控制策略，调整与多经企业的业务管控关系，规范关联交易和业务过程，从而降低风险发生的可能性和影响，并在设计与施工单位资质管理、工程招标、工程施工质量控制等活动中按调整后的方案控制。

・管理机制风险采用风险控制策略，增加基建部门、纪检监察部和风险管理专职机构在业务流程相关环节中的作用，优化客服中心在业务中的定位及具体职责，明确业务相关各个部门的具体职责和关键环节的工作界面。

・廉政监察风险采用风险规避策略，增加纪检监察部在易产生廉政问题流程环节的监督与检查职责，并规范具体的检查措施。

・工程招标及采购风险采用风险规避策略，调整客户招标模式，规避合同风险，并取消代收工程款项的规定。

・生产设备设施风险采用短期风险接受的策略，短期内接受该风险对企业的不利影响，长期通过设备设施的发展、更替等降低风险的可能性及影响。

・客户服务风险、依法合规风险、工程设计与可研风险、工程概预算管理风险、工程施工风险、生产运行风险、电能计量风险等各项流程层面的风险根据其风险特征，分别采用风险规避或控制等策略措施，并明确具体的风险控制措施。

（三）风险管理的组织职责

根据风险控制策略和控制方案，具体调整和优化业务相关部门的风险管理组织职责，包括：增加基建部对工程设计图的审核职责，增加风险管理专职部门对关键控制点的风险控制检查职责和监察部的廉政风险检查职责，调查客户服务中心独立现场勘察和中间检查的职责，强化营销部业务程序与标准的控制职责，强化发展策划、生产技术、调度中心和计量中心在相关环节中的风险控制职责等。

同时，具体明确业扩报装的不相容职责、主要授权审批权限，并规范各部门在关键流程上的分工界面等，其中：

・不相容职责包括供电方案设计与供电方案审批、供电方案设计与供电合同审批、工程咨询与工程招标、设计图审核与工程招标、工程招标与中间检查及竣工验收、装表接电与运行检查等。

・授权权限包括受理客户申请、确定供电方案与收费方案、设计图审核、施工单位审核、中间检查、竣工验收、确定计量方案、供电合同审批等权限，在企业内部领导层和部门间合理分配相应的授权。

・工作分工界面包括客户中心、营销部、发展策划部、生产部、基建部、调度中心、计量中心、经法部、风险管理专职部门、监察部等部门在前期咨询、用电申请与受理、现场勘察、供电方案与收费方案设计、供电方案与收费方案审批、工程设计与施工招标、工程设计图审核、工程施工、中间检查、竣工验收、签订供电合同、装表接电、常规运行等环节的具体工作分工界面。

（四）流程内部控制

基于风险控制策略与控制方案，并在完善风险控制职责的基础上，采用流程内部的方法具体落实风险控制方案，包括：

・明确业扩报装各项流程的流程目标，流程相关部门的工作职责，并以流程图和流程说明的方式规范具体流程程序。

・确定各项流程的关键控制点，规范控制点的控制部门和控制岗位、具体的控制措施和控制标准、控制的制度与标准依据、控制频率和控制方式等，形成内控矩阵。

・选择关键控制点，确定控制点的检查方法、检查责任和检查频率，作为内部控制的保障措施。

・根据确定的流程内部控制措施，修订和完善相关的制度和标准，落实业扩报装业务流程内部控制的制度保障。

（五）监督与改进

业扩报装业务流程的内部控制采用过程监督、内控自评估和内控审计的方式保证内部控制的有效性。

・过程监督主要基于内部控制检查的方法，由风险管理专责部门按照关键控制点的检查方法检查关键控制点的执行情况，并由纪检监察部检查廉政情况，根据检查结果做出及时改进。

・内控自评估主要由业务流程相关部门定期对本部门的内控执行情况做出评估，并提出自我改进的意见。

・内控审计主要由内审部门根据年度风险评估情况，选择业扩报装业务相关重大风险，执行重大风险相关内控审计。

四、结语

内部管理风险点范文第3篇

摘要:文章分析了项目风险管理与风险管理审计的关系以及建筑工程项目风险管理审计的自身特点和现状,阐述了建筑工程项目风险管理审计的一般原理和审计步骤,对几类工程风险管理审计进行了探讨。

风险是指组织内部受到某些不确定因素的影响而遭受某种损失的可能性。建筑工程项目一般具有投入资金多、规模大、周期长、不确定性因素多、易受自然条件及地质水文情况和社会环境因素影响等特点,在工程建设期间,工程项目管理组织将不可避免地面临各种各样的风险。随着现代建筑工程项目逐步大型化,国内一些管理组织在20世纪90年代末不断将工程项目风险管理理论应用于工程实践,以使工程项目最大程度上避免各种风险给工程带来的损失,提高管理效率,促进经济效益。

本文论述的建筑工程项目风险管理审计是指业主内部审计部门采用一种系统化、规范化的方法,对工程投资决策、财务管理、工程质量、工期、造价、技术等风险的识别、分析、评价、处理等管理行为的一系列审核活动,是对工程项目风险管理的控制、监督及评价的过程。

一、工程项目风险管理与风险管理审计

工程项目风险管理是项目管理人员对可能导致损失的项目不确定性进行预测、识别、分析、评估和有效地处置,以最低成本为项目的顺利完成提供最大安全保障的科学管理方法。

建筑工程项目风险管理审计是指工程项目组织内部审计部门、内部审计人员采用一种系统化、规范化的方法,对组织内部风险管理程序、对策及体制、机制的合理性、有效性进行审查和评价,是对工程项目风险管理系统的控制、监督及评价的过程。

关于风险管理与风险管理审计二者的关系《,内部审计具体准则第16号-风险管理审计》中提出“风险管理是组织内部控制的一部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一”。可以看出,风险管理是风险管理审计的前提和基础,风险管理审计注重确认和测试风险管理部门为降低风险而采取的方式和方法及相关制度和程序,与风险管理本身有所区别。但从工作步骤、工作方法上看,二者有很多相似,其功能和最终目的都是减少组织风险损失,提高组织管理效益,因而风险管理内部审计从某种意义上说又是风险管理的组成部分和重要内容。

二、开展建筑工程项目风险审计的自身特点和现状

1.建筑工程项目风险审计的自身特点。第一,审计范围广。工程项目风险管理审计注重确认和测试风险管理部门为降低风险而采取的方式和方法,因此审计工作涉及整个工程项目管理系统。第二,审计专业性要求更强。审计人员的审计工作由原来的内部控制审计扩展到所有工程风险管理技术审计,工程项目风险管理审计还要求广泛运用统计分析、计算机等技术方法,因此,对审计人员专业技能要求较高。第三,开展工程项目风险管理审计要求有较完备的管理系统及其子系统,如风险管理系统、合同管理系统等,为风险管理审计提供支持。

2.我国开展建筑工程项目风险审计现状。近些年,一些大中型建筑工程项目管理者开始认识到风险管理在现代项目管理中的重要作用,逐步将风险管理理论应用于工程管理实践。但就总体而言,项目管理者风险意识淡薄,缺乏积极、主动、系统的风险管理行为。工程项目管理过程中的风险管理活动往往是瞬时的或者间断性的,缺乏对风险进行定期的复核和再评估。另外,大部分工程项目管理组织的风险管理组织架构还不完善,缺乏现代意义上独立的风险管理部门。这里我们引用风险管理研究与开发项目合作组提出的项目风险管理成熟度模型的四个等级标准,即临时级、初始级、可重复级、管理级。可以看出,风险管理实践在我国建筑工程管理实践中的应用还处在初始级或可重复级。

而风险管理审计工作作为一种现代审计模式,在建筑工程管理实践中,受到管理者风险意识程度、组织内部机构设置、内部审计技术力量等因素的影响,在大多数工程项目中还未全面开展,工程项目风险管理审计尚处在理论研究与初步实践阶段。

三、工程项目风险管理审计的一般原则和审计步骤

1.一般原则。建筑工程项目的风险管理审计应当坚持依法审计、实事求是、独立客观、职业审慎、保守秘密等原则。内部审计人员应认真贯彻执行国家的方针政策、法律法规、规章制度和实务标准,充分考虑工程项目风险管理审计的复杂性、艰巨性,遵循适当程序,采用先进方法和手段,科学有序地按步骤开展审计工作。风险管理审计工作应有利于工程项目生产与管理,增加企业效益。

2.审计步骤。建筑工程项目风险审计的工作要求高、专业性强、责任重、审计风险大。要做好建筑工程项目风险审计工作,防范审计风险,一般要按以下步骤开展各项风险管理审计工作。第一,识别风险。制定工程项目风险管理审计计划,包括制定工程项目财务风险管理、施工生产风险管理、建筑市场风险管理、项目组织人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。第二,分析风险。对工程风险迹象进行深入了解、做好记录,并对风险进行分类。第三,评估风险。分析工程风险的成因及其影响,确定风险程度及等级。第四,监控风险。对可能发生的风险和损失进行跟踪检查或后评估。跟踪已识别风险的发展变化情况,包括在整个工程项目生命周期内,风险产生

的条件和导致的后果变化。第五,处置风险。

以上审计步骤,是开展建筑工程项目的各项风险管理审计具体工作的一般步骤,同时也是风险管理审计的基础性工作,它与各业务部门风险管理的具体工作既有所联系,又有所区别。内部审计机构、内部审计人员应协调各业务部门严格按照以上审计步骤,扎实地做好风险管理审计的基础性工作,有效防范审计风险。

四、建筑工程项目的几类风险管理审计

建筑工程项目的风险管理审计主要包括工程风险管理体制审计、工程风险管理机制审计、工程风险管理程序审计、工程风险管理对策审计。工程项目组织内部审计机构、内部审计人员可以针对建筑工程项目的特点,在工程项目进展的不同阶段应有重点地、有计划地、分步骤地开展以上几类风险管理审计工作。之间并不是彼此分开的,而是相互联系、互为一体的,都是开展风险管理审计工作的重要组成部分,只是在工程项目的不同阶段审计工作的侧重点不同。

1.工程风险管理体制审计。工程风险管理体制审计主要在工程项目组织成立初期开展,审查、评价风险管理体制的合理性和完善性。重点审查、评价建立风险管理制度是否经过充分论证,财务管理体制、考核评价体制和责任追究制度等制度是否健全。

2.工程风险管理机制审计。工程风险管理机制审计一般同风险管理体制审计在项目组织成立初期同期开展,主要审查评价风险管理机制的结构性和尽责性。重点审查、评价高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;审查评价工程风险管理人员的结构和素质,是否具备胜任风险管理的能力,有无高度的事业心和责任心;审查评价全员风险管理的情况,包括工程管理人员在风险管理中岗位的设定和责任的明确性。

以上两项审计是从组织建设方面对风险管理系统的审查和评价,目的是为组织决策层提供组织建设决策依据。虽然这两项审计相对于后面叙述的工程风险管理程序与对策审计,从技术层面上来讲要相对简单,更加侧重于对组织的定性评价,但完善、合理的组织建设是风险管理的基础,同时,也为风险管理程序与对策审计提供组织方面的支持,因此风险管理体制与机制审计工作要认真做到科学、客观、公正、有效。

3.工程风险管理程序审计。工程风险管理程序审计贯穿于工程项目管理的始终,审查、评价内容包括从工程项目的可行性研究、设计,直到项目施工、验收、后期服务等工程项目风险管理框架结构内的所有内容,主要审查、评价风险管理程序的科学性和合理性。内部审计机构应有重点地、有较强针对性地开展审计工作。比如,工程招投标阶段,重点审查、评价招投标过程中风险管理部门是否采取了规范化程序规避风险,规避风险程序是否有效运行;施工过程中,风险管理程序是否有效地通过管理信息系统使得规避风险措施在工程管理中得到落实;组织之间、组织与外部之间财务往来核算办法是否能够通过风险管理程序有效规避风险等。风险管理程序审计和后面叙述的风险管理对策审计涉及到内部审计机构与组织内部各业务部门之间的协调,同时也需要组织内部各部门间的配合,还需要合同管理系统、施工管理系统等其他管理子系统的协作,是开展建筑工程项目的风险管理风险审计的工作重点,也是工作难点。

4.工程风险管理对策审计。工程风险管理对策审计重点审查、评价工程风险管理对策的周密性,即风险应对计划是否对已经发现的风险的每个层面均作了应对的安排,制定风险防范对策有否考虑风险的可规避性、可转移性、可缓解性、可接受性;审查、评价工程风险管理对策的可行性,即风险应对策略是否对已经发现的风险的每个层面采取了有效的措施,是否采取了风险控制、风险自留、风险转移等对策。利用合同条款规避工程风险是工程中最经常、最广泛采用的风险管理办法,因此结合工程实际,工程风险管理对策审计可以通过对工程各级阶段签订合同以及合同实施情况的审查,并结合其他审计程序来完成,已达到对风险管理对策周密性和可行性的审查、评价。

工程风险管理对策审计更加侧重技术审计,工程项目实施阶段各种技术应用复杂、繁多,审计人员不可能对每一项风险规避技术做到充分了解、掌握。内部审计机构可以在各具体业务部门聘请兼职审计员,充实到审计队伍中,增强技术力量,提高工作效率。

五、审计报告

工程风险管理审计报告是风险管理审计的结果,主要包括以下几个内容:第一,审计情况介绍。包括工程项目风险管理审计的范围、内容、方式、时间等。第二,工程项目目前进展的实际状态以及未来状态。第三,风险分析和风险管理评价。第四,工程项目关键的管理问题。第五,最终结论及建议。

审计报告由内部审计机构、内部审计人员撰写,要求做到客观公正、重点突出、专业性强,在征求被审计单位意见后提交工程项目组织管理层审核和应用。

六、工程风险管理审计的注意事项

1.注意建立内部审计机构、内部审计人员与组织其他部门的信任。可以通过聘请兼职审计员,增强技术力量的同时,加强组织内部横向、纵向的联系,增强组织间信任。

2.工程项目风险管理审计要求内部审计机构能够及时、准确地获得与工程项目实施相关的工程信息,要求组织有较完备的信息系统作为工程项目风险管理审计的支持。

3.工程项目风险管理审计作为一种新型的复合型边缘管理实践,它要求审计人员不仅要具有良好的专业素质,更要求相关人员具有对复杂环境的洞察力和减少环境复杂性的能力。

工程项目组织应不断提高审计人员综合素质,培养高层次的复合型人才。

参考文献:

1.邱菀华.现代项目风险管理方法与实践[M].科学出版社,2003

内部管理风险点范文第4篇

关键词：风险导向；审计；烟草企业

中图分类号：F23文献标识码：Adoi：10.19311/ki.16723198.2016.19.052

1风险导向审计的概念和现状调查

1.1风险导向审计模式的中心思想

风险导向审计的基本理念是：审计人员在整个审计过程中，自始至终都关注企业的风险。根据风险确定审计范围和重点，以减少风险为导向，对企业风险管理、内部控制和公司治理程序进行评价内容，协助企业管理风险，实现企业价值的保证和咨询活动。这要求对企业及其所处的环境非常了解，除内部环境外，还要综合考虑各项外部环境，如行业状况、专卖制度、整体禁烟制度等各种外部环境，在此基础上评估重大错报风险，并将对风险的这种评价与审计程序紧密的联系起来，以尽可能的降低审计风险。同时还可以根据风险为导向，将审计资源恰当地分配到高风险领域，降低审计成本，提高审计质量与效率。

1.2现代风险导向审计是传统审计的发展和延续

风险导向审计分为两个阶段，传统风险导向审计和现代风险导向审计，传统审计风险模型认为审计风险=固有风险×控制风险×检查风险，在该模型中，假定固有风险、控制风险和检查风险是相互独立的。但企业内部和外部环境都影响内在风险和控制风险，而且它们之间也相互影响。内在的风险概念的内涵和外延不一致，与逻辑也不一致。固有风险是假设没有内部控制，帐户或交易类别单独或连同其他账户，交易类型产生重大错报或漏报的可能性。并且我们必须从内部控制（控制环境）来评估固有的风险（及会计报表层次的）。固有风险的内涵和外延不一致性使得传统风险导向审计模式的科学性受到了极大的破坏。

1.3风险导向审计在我国企业中应用的现状

中国内部审计协会了《内部审计具体准则第 1 6 号――风险管理审计》，对内部审计在风险管理中的应用进行探讨；要求我国企业的内部审计要关注风险，以风险为导向开展审计。但是由于起步较晚，到目前为止大多数企业在风险管理的机制和程序方面还未建立起完整的组织体系，在烟草企业这一点更加明显，存在较为突出的治理结构问题，缺乏独立的风险管理部门。虽然各部门和岗位在不断加强风险诊断、评估和应急预案等内容，但实际对风险管理的层次和水平都较低，在考核和激励机制中也未明确提出全面风险管理的内容。目前绝大部分单位制定的风险防控等内容都对实际工作没有太多指导意义，还停留在廉政、职务犯罪、安全管理等低端层面上，未能将风险管理上升到企业发展的战略高度。

2烟草行业实行风险导向审计的模式

2.1开展以现代风险导向为基础的内部审计

从账项基础审计到制度基础审计到传统风险导向审计再到现代风险导向审计，每一个审计阶段的变革都极大的提高了审计效率，降低审计成本。

（1）计划和风险识别阶段主要是完成一些审前工作，对于一个公司的内部审计来说，全年计划的制定均应隶属该阶段，计划制定需按照风险大小进行安排，其核心和难点是如何量化的评估企业的潜在风险。一般的做法是从风险发生的概率、风险发生的影响、风险覆盖面、企业控制能力等多个维度建立风险评价标准，最终将各方面数据相乘得出各风险点的最终影响，按照风险的大小排序制定全年工作计划。

在每一次审计前也同样需要预先了解企业整体层面的内部控制和识别舞弊导致的重大错报风险并确定应对措施，从而确定审计范围和项目小组成员名单，初步判断审计的重点内容。该阶段要求审计人员对企业内外部环境非常熟悉，并在此基础上根据慎重的职业判断，确定后阶段所需关注的重点。

（2）策略和风险评估阶段需要在前期识别重大错报风险的基础上，对相关业务流程抽取业务样本执行穿行测试，尤其注重信息系统整体应用控制方面，根据穿行测试的结果判断出需要关注的内控制度，作出综合风险评估。根据评估的结果设计出专项的控制测试、日记账分录测试、其他强制性舞弊应对程序以及实质性审计程序等内容，并列出一般审计程序的方案。在这过程中，相关的策略讨论、会议记录等需详细记录，为日后重新调整综合风险评估和复核判断检查风险提供依据。

穿行测试是判断确定风险导向的重要依据，比如在罚没烟管理方面，我们可以抽取其中两笔罚没项目，模拟从查获卷烟到最终卷烟处理的全过程，判断中间流转过程是否可能存在风险，如可能存在卷烟被调包、假烟未实际销毁等内控方面漏洞。这些漏洞就是我们应当重点关注的内容，据此作出综合风险评估，并针对它们设计出相应的专项控制测试等审计方案。

（3）执行阶段即为现场审计阶段，该阶段要执行前期设计的相关测试以及一般审计程序，在测试过程中，根据测试的结果不断重新评价企业的综合风险评估，及时更新相关测试内容，调整审计方案。审计方案的调整应当伴随整个审计过程，与风险的导向密切相关。每个项目的审计方案都应是完全独立的、与其他项目完全不同的，最终审计方案的定稿应在项目结束后。

（4）结论和报告阶段主要是对前期工作的总结，根据各项测试的结果得出企业是否存在舞弊的结论，出具审计报告，对内控不足的方面提出相关意见和建议并加强事后整改监督，完成项目的归档工作。

2.2风险导向审计与内控制度相结合的模式

内部控制与公司治理有着密切的联系，在统一的风险管理中，风险导向内部审计可以更好地结合这两个方面。现代内部控制的功能是在公司各级管理活动中建立了风险管理机制，为目标企业的实现提供了强有力的保证，而风险导向内部审计的功能是以风险为出发点，通过对内部控制相关的活动的测试进行相关反馈，来确定内部控制系统的有效性，从而促进内部控制的持续改进。两者的结合将能够建立一个以风险评估为导向，以内部控制为主线，以公司治理为目标的内部控制体系，帮助组织实现其目标。

风险导向审计与内控制度均基于风险导向，要使两者结合首先在企业要树立全面风险管理的理念，把风险管理整合到企业各个业务流程中去，建立起以风险导向为基准的内控制度，通过风险的预警、分析、评估等措施，对企业的风险进行全面防范和控制。在内部审计过程中，内审人员通过各种测试对内控的有效性进行评判，对相关内控不足的方面提出审计意见和建议，敦促企业对相关内控制度进行不断修订完善，从而促进企业风险管理水平的改善和提高。

比如涉及到县级局（分公司）的风险点包括：教育培训管理控制、人事管理控制、零售户星级调整管理、专卖办证管理控制、专卖执法办案控制、卷烟仓储管理控制、档案管理控制、安全综合管理控制、事故管理控制、消防管理控制、防自然灾害管理控制、车辆管理控制、环境卫生管理控制、固定资产管理控制、设备维护管理控制、配送管理控制、信息系统日常维护管理控制、财务管理及会计核算控制等，企业管理的目标就是对所有风险点制定相应的内部控制制度，有效的防止其中出现舞弊或过失。而内部审计部门可以按照内控制度进行相应的测试，判断是否会出现其他的风险，从而对内控制度进行评价，帮助企业进一步完善相应的内控制度，提升整体的管理水平。

3风险导向审计在烟草企业中运用所面临的挑战

3.1风险机制不健全且内部审计实施风险管理的力度不够

经过多年的改革，大部分烟草企业已设立了兼职的风险管理机构，甚至个别企业还有转职的风险管理机构，但由于整体风险意识较差，企业的风险管理活动往往是按照质量管理体系的基本要求进行，缺少日常的风险管理活动，也未主动实施风险的预测、评估与监控，往往在风险事件发生之后，才针对风险设定出今后的应对措施，对实际工作指导意义不强，很难满足现代企业风险管理的需求。

3.2大型国有企业转型缓慢，改革难度较高

中国烟草作为有中国特色的大型国有企业，一直在专卖体制的庇护下运营，受国家宏观调控政策的影响非常大，但对风险的管理意识较差；另一方面受体制的影响，管理者与所有者容易混为一谈，这些在某种程度上都提高了企业的重大错报风险。在烟草企业推行风险导向内部审计将会很好的保障企业正常运营，提高企业发展与管理的前瞻性，有利于企业的长期发展。但正是由于国有企业规模巨大改革缓慢，国家特定政策调控频繁，管理者易凌驾于内控制度之上等特点，使得在烟草企业推行风险导向审计的难度较其他企业更加困难，需要上层领导的重视与支持，这将是一个漫长的改革过程。

3.3内审人员的专业素质有待进一步提高

风险导向审计对审计人员的素质要求较高，不仅要求审计人员拥有财务、营销、专卖、管理等多方面专业知识，关键还要有较高的风险分析能力，有专业的判断能力和丰富的实践经验。烟草企业自2009年实行审计委派制以来，全国的内审人员专业素质方面有了极大的提高，但专业结构并不合理，基本集中在财务会计和工程管理等专业方面，在企业经营管理方面有所欠缺，这样的专业水平无法适应风险导向审计开展的要求；理念转变不及时，缺乏风险管理意识，很少考虑审计风险控制因素，更谈不上运用风险导向为基础的审计模式；缺乏对审计方法和经验的总结和提炼，审计的模式主要是查找问题为主，查出足够的问题即可认为是完成了审计目标，统计抽样技术运用欠缺，过多的凭借内审人员的主观判断和经验而不是应用系统的抽样方法。

3.4审计过程中所需的信息技术不足

现代风险导向审计的一个重要特征是审计重心的推进，审计人员不仅需要对内部控制系统的会计信息进行评价，更要对企业宏观环境、行业环境、战略发展、组织形式等各方面的影响因素进行评估，然后根据不同的风险领域，设计个性化的审计程序。因此，企业必须拥有强大的信息系统，以便内审人员在风险评估时及时掌握所需要的各种信息。烟草企业自2010年开始试点运行在线审计系统，将各公司的基本信息、会计资料纳入其中，便于内审人员查询被审单位的相关信息，同时在软件中整合了部分抽样模式和自动分析技术，这些都为风险导向审计的实施提供了有力的保证。经过6年的发展，软件也在逐步被大家所接受，应用率不断提高。但该软件目前仍存在诸多问题，在日常烟草企业的各项审计中，该软件更多的只是作为撰写底稿提交主审复核的工具，部分功能的缺少或高端功能的培训不足，使得软件无法真正发挥其应有的作用，还需要较长的调整磨合过程。

参考文献

[1]蒋文娇.风险导向审计在企业管理中的应用[J].财会审计，2011，（11）.

内部管理风险点范文第5篇

中国大型企业经营发展所面临的问题：战略落地效果差，战略绩效评估不到位，重战略规划轻战略执行；以法律实体为对象管理，整合效率低下；管理以职能部门为单位，而非以流程为核心；总部管控能力弱，难以对集团业务规划、资源分配和经营监控进行适当管理；人力资源管理机制、绩效考核机制；流程纵向、横向梳理不顺，管理界面模糊不清，管理标准体系繁杂，制度体系冗杂；风险评估缺乏系统性、全面性，风险管理无法真正落地；内部监督失效，只停留于结果的事后审计，缺乏事前、事中的过程管理监督；IT整体规划与管理提升整体步调不一致，IT应用控制的设计与风险评估结果未能有效衔接。基于企业发展所面临的各类问题，内外需求使风控体系建设变得必要且迫切。2006年6月6日国资委印发《中央企业全面风险管理指引》，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统（以下简称风控管理体系），从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会、审计署、银监会、保监会（“五部委”）于2008年6月28日和2010年4月26日分别了《企业内部控制基本规范》及配套指引，规定了内控合规时间表。利益相关者对于企业建立风险管理体系的审核要求，对企业可能面临的风险进行全面、系统的识别、评估以及应对。企业的自身发展需要、企业竞争力是企业各种能力的综合体现，并非仅指企业的盈利水平，而是表现为企业长期的生存和发展能力。提高企业竞争力的一个重要方面就是要提高企业的风险管控能力。在内外部环境瞬息万变的情况下，能否及时掌握风险信息并采取适当行动已经成为企业提高竞争力的必要条件，而风险管理信息化控制已经成为大势所趋。

2风控管理体系建立目标与企业需求

为满足外部监管和管控要求，结合企业多元化战略等特点，对企业全面内控及风险管理水平和能力进行诊断和优化，加强内部管理水平，防范企业风险，围绕企业战略经营目标，建立覆盖企业各业务、各部门的风险识别、评估及应对机制，培养和建立企业内部的风险管控专业化人才队伍，加强企业合法合规经营。风险管理信息化控制要求企业流程规范、制度完善，对企业一些风险采取风险预警及采用风险应对措施，行业内部提出建立《全面风险和内部控制风控管理体系》的理念。2009年，集团公司成立风险审计内控部门，下属单位也相继成立风控审计部门，目的为了建立更好的企业，防止出现企业战略与经营层面的一些风险，借助国外的经营管理思想，提出风险和内控理念。在企业经营发展中会面临各种各样的风险，如在战略层面企业需要投资一个新的企业，需要评估整个市场的定位，评估战略风险、实施结果风险、企业资金流风险，决策层面的风险、流程方面的风险、生产过程中进度风险、质量风险等等，这些风险都是企业所需要面临的，怎样规避这些风险以及采取应对措施，尽量减少对企业的损失是建立风控体系的目标。当然也存在利好的风险，如果对这类风险应对得当，对企业的发展反而是有利的。全面风险管理体系建设目标是建设以风险管理为导向、以内部控制和内部审计为手段的风控体系，并通过信息化将风控体系与各价值链活动和管理活动有机融合，提升企业运营管控水平，保证企业战略经营目标落地。

3风控管理体系建设总体思路

传统企业建立风控体系是以部门级需求为主、以企业风控主管部门为主，独立完成各类风险评估，建立部门级风控体系，仅仅是风控审计部门的一个风险评估工作平台，并未达到企业级防控目标，提升不了企业战略高度。企业风险有战略经营层面风险、资金风险、库存风险、生产风险、IT风险、服务风险、交付风险等渗透在各个业务流程中，只有各个业务部门知道各个业务的风险发生点，所有风险的监控需要各业务部门协调，由企业级风险控制部门统管，组成企业级风控团队，提高企业风险管控能力。为了满足企业的经营发展，需从部门级风控需求上升至企业级风控需求，驱动企业战略目标，使企业业务流程化，组织绩效最大化，建立基于端对端流程的业务协作和信息共享，面向企业级需求总体设计和规划企业风险控制管理体系。

控管理体系的建设方法

做好企业的风控管理，实际上是对企业IT系统的治理和改造过程，将风控点渗透到企业信息系统中，找到风险点在何处，分析哪些风险是对企业影响最大的，哪些风险是业务层面的，由公司风控管理部门协调管理。风控体系建设目标分为体系建设和IT建设两部分。首先企业应明确风险是企业全部门的事情，要培养企业员工风控意识，没有风控意识，企业制度不完善，业务流程不规范甚至没有业务流程，都将影响企业的经营战略。风险管理文化要贯穿至企业各业务和流程中，完善企业各类制度、规范流程，梳理出各类风险点，企业就有了风险体系和风险管理文化，基于风控体系企业的合规性IT建设就有良好的基础了。从体系优化到IT系统固化：风险监控预警与内部控制系统采用一套流程、不同视角的设计理念，可在企业战略管理、科研生产等各项活动中，对各类风险进行识别、评估、应对和分析，通过数据集成提供实时动态的风险监控预警。发挥IT技术对风控体系在各业务系渗透作用，力促营造依法合规、科学规范、风清气正的运营氛围，保障企业的持续发展。

5风控管理体系的蓝图设计、方案设计

围绕企业战略流程的嵌入式管控体系，梳理出各业务风险点。风险监控值、目标值、阀值和实际值都来源于业务。根据企业发展阶段，通过风控系统风险数据的准确性得到保证，风险指标的合理性、监控预警模型和算法得到规范，实现企业风险智能监控；企业领导层所关注的各个层面的风险展示界面清晰、快捷；企业风险点明确；风险评估、预警准确及时；为决策及管理层提供风控主题，使风控企业内闭环流转，提高工作效率。经过大量的闭环运行，企业预警模型才能逐步完善，基于模型创建风险指标，才能实现企业风险的智能监控。风控体系建设蓝图设计使风险-内控-审计有机结合，在各项业务活动中管控风险。风控体系的建设从企业战略目标出发，梳理业务架构，考虑影响战略目标实现的各风险领域，在此基础上设计支撑战略目标实现的内控管理流程及具体控制措施。风控体系的建设应将企业已有的应用系统与风控系统集成设计。企业风控体系的建设，实际也是对企业IT系统的治理和改造，将风险点渗透到各个相关系统业务点，通过风控系统也业务系统关联，达到风控目标。全面风险管理框架是：风险管理体系-风险管理文化-风险管理组织职能体系-内部控制系统-风险管理信息系统-风险管理绩效考核。风险管理体系———风险管理文化是企业文化的一个重要部分，风险管理文化的建设应融入企业文化建设全过程，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。风险管理文化需在企业内部形成共同的风险语言，在各个层面营造风险管理文化氛围。风险管理文化建设应与薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识。建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。风险管理体系———风险管理组织职能体系第一道防线，有关职能部门和业务单位。提出这道防线，最大好处是把风险管理的手段和内控程序融入到了企业的各业务单位的工作与流程中，防止风险管理与各业务单位的工作脱节，搞“两张皮”。第二道防线，专职风险管理职能部门和董事会下设的风险管理委员会。在进入全面风险管理阶段，设立这道防线，有利于统一组织领导，统一策略与标准，共享人力资源。第三道防线，审计委员会、内部审计部门。风险管理体系———内部控制系统从企业战略出发，以风险为导向，通过评估、改善与提升、监督的方法维护公司内部控制系统的有效运作，实现内部控制的五个目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。风险管理体系———风险管理信息系统：风险管理信息系统需包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。风险管理体系———风险管理绩效考核,各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门；企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员；建立内控考核评价制度，把各业务单位风险管理执行情况与绩效薪酬挂钩。

6结论