内部控制风险分类范文

【关键词】业务流程梳理风险识别与控制风险管理数据库内部控制数据库

一、以业务流程为起点，探讨建立企业内部控制的缘由

建立健全内部控制是企业内外部需要，各类企业都积极探索建立内部控制。不同规模、环境的企业，建立内部控制的方法各有不同，本文拟从企业现有的业务流程为起点，探讨如何建立控制活动类的内部控制。

业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。业务流程是企业经营活动最普遍的工作流程，任何一个企业在运营，都有各种各样的业务流程，或是成文的标准文件，或是习惯的工作方式。

因此，本文以业务流程为起点，探讨建立企业内部控制，由于是以业务为出发点，因此，本文着重探讨如何建立控制活动类内部控制。

二、以业务流程为起点，建立企业内部控制

我们可以通过业务流程梳理、优化并完善业务流程、编制流程制度文档、建立风险管理及内部控制数据库等阶段来实现对内部控制的建立。具体分述如下：

（一）业务流程梳理

本文流程梳理的概念，强调作为一个阶段性活动，从企业整体业务流程明晰的目的出发，对当前流程进行充分显性化，而在显性化基础上发现问题并进行点优化的工作方式。

一般来说，企业的各种业务流程可以划分为三个层级。一级流程：可根据《配套指引》的控制活动类进行梳理，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告共9个方面。二级流程：在一级流程的基础上，按照每个内部控制所包括的内容再次划分为若干方面，例如资金活动方面可划分为筹资活动、投资活动、资金营运三个方面。三级流程：在二级流程的基础上，进一步划分到具体的业务单元，例如筹资活动方面，可能涉及提出筹资方案、筹资方案论证等方面。

在业务流程梳理过程中，可以与相关职能部门负责人及职员访谈，也可以是查询现有制度文件，也可以是通过抽查相关业务资料进行穿行测试。

（二）优化并完善业务流程

通过对业务流程梳理，我们可以通过将现在业务流程与《配套指引》、优秀企业等进行对标检查，再根据常见内部控制活动的原理，优化现有业务流程，完善控制缺陷。

（三）编制流程文档

根据优化完善的业务流程，绘制标准流程图，编制流程文档。

流程文档是内部控制体系中的基础文档，也是核心文档，流程文档可以包含以下内容：流程名称、流程责任部门与责任岗位、流程目标、流程适用范围、流程相关制度、流程图、流程描述、流程风险点及对应控制点。

1.业务流程风险点识别。流程中的风险点识别方法：以流程目标为出发点，从流程步骤走向进行风险思考，结合控制点识别出风险点。

2.风险分类。按照风险发生后的可能结果，可划分为机会风险（可能有好的结果，也可能有坏的结果）和纯粹风险（只可能造成坏的结果）。按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。

3.风险等级。风险等级的划分依靠两个维度来判定，即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级；风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性和风险发生造成影响，要根据企业所在行业及自身经营情况来判定。

我们可通过对流程风险点的以上两个维度进行分析量化评分并取平均值，然后根据下图判定风险等级。

设计对应控制点。流程中的控制点设计方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。

列出业务流程中对应该风险点的控制点，并确定该控制点是事前控制、事中控制还是事后控制。

（四）建立流程控制数据库

1.流程层面风险管理数据库。流程层面风险管理数据库是后期建立全面风险管理信息系统的核心数据库之一，与公司层面风险管理数据库共同构成公司的全面风险管理数据库。业务流程层面风险管理数据库以表格的形式呈现，细分到各个流程，是从流程层面评估风险、控制风险并建立内部控制体系的基础，也是公司全面风险管理与内部控制体系的核心之一。

业务流程层面风险管理数据库的举例如表1所示。

2.建立流程层面控制数据库。流程层面控制数据库也是后期建立风险管理信息系统的核心表单之一，它以表格的形式呈现，细分到各个流程，并通过流程编号与流程层面风险管理数据库一一对应，是后期建立全面风险管理信息系统的基础。

业务流程层面控制数据库的举例如表2所示。

三、总结

综上所述，通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段，达到建立健全控制活动类的内部控制，进而达到全面风险管理。

参考文献

[1]财政部.关于印发《企业内部控制基本规范》的通知.财会[2008]7号.

内部控制风险分类范文篇2

【关键词】内部控制缺陷，认定，改进建议

20世纪爆发的世通安然等重大财务舞弊事件让全球资本市场开始关注企业内部控制的建设。2002年7月，美国国会通过《萨班斯--奥克斯利法案》。2008年6月，我国财政部、证监会、审计署、银监会和保监会五部委联合《企业内部控制基本规范》；2010年4月，五部委又联合《企业内部控制配套指引》。一系列指引和规范的出台充分显示出了我同监管部建立完善的上市公司内部控制制度的迫切要求，同时也标志着我国企业实际的内部控制建设也驶入了快车道。

一、内部控制缺陷定义及分类

（一）内部控制缺陷定义

内部控制缺陷是指内部控制制度建立或执行未达到预期标准，不能及时防范和控制影响企业控制目标实现的风险。根据我国《企业内部控制评价指引》规定，内部控制缺陷通常分为设计缺陷和运行缺陷，其中设计缺陷是指企业内部控制制度未涵盖实现控制目标所必需的重要控制措施，或现有重要控制措施设计不合理，导致控制目标无法实现；运行缺陷是指控制执行者未按照内部控制制度要求执行，或控制执行者不具备有效执行控制的能力，导致控制目标无法实现。

（二）内部控制缺陷分类

对于内部控制缺陷的分类，国内外学者从各自的角度出发，对内控缺陷种类进行了一定的划分。

Ge和Mcvay（2005）将内控重大缺陷分为九大类：会计类、培训类、期末报告和会计政策类、收入确认类、职务分离类、账户核对类、子公司类、高管类和技术类。他们通过对S0X法案生效后披露重大控制缺陷的261家公司进行研究，结果发现，公司认定和披露最多的内控缺陷类别为：收人确认类、职务分离类、期末报告和会计政策类以及账户核对类。JeffreyDoyle等人（2006）将内控重大缺陷按其形成原因分为三类：人员归因类、复杂性归因类和一般归因类。他们对披露重大内控缺陷公司的特征进行了研究，结果发现，披露重大内控缺陷的公司具有规模小、成立时间短、财务羸弱、业务复杂、增长迅速以及正经历重组等特征。JacquelineS.Hammersley等（2007）按照审计难易程度将内控缺陷分为较难审计类和容易审计类，其中较难审计类内控缺陷包括关键人员类、财务报告和控制环境类；容易审计类内控缺陷包括人员类、控制系统类、交易核算类以及日常业务控制类。通过咨询会计师事务所合伙人和公司高管，他们对SOX法案颁布后内控缺陷披露的市场反应进行了研究，结果发现，市场对那些可能发生内控缺陷的公司反应普遍不好，内控缺陷越严重，披露的信息含量越模糊，市场负面反应越大。

与西方相比，中国学者对内部控制的研究起步较晚，目前多是研究内部控制自我评价报告的披露问题，对内控缺陷的关注度较低。王飞（2006）探讨了商业银行内部控制缺陷的表现形式，如组织结构设置、监督约束机制、业务流程安排、风险管理评估、内部审计作用及人员管理等方面的问题。建议通过完善稽核审计体系及权力制约机制等措施改进上市公司内部控制。鲁清仿（2009）认为公司内控缺陷具有相对性，故应在评估公司年度治理整改报告的基础上结合相关规定，将内部控制重大缺陷的界定标准分为两类：上市公司中报或年报中有修订或“补丁”行为的及存在审计师变更的。齐保垒和田高良（20lO）在财务报告内部控制缺陷影响因素的研究中，将实质性缺陷与重大薄弱环节划分为会计类、期末报告与会计政策类、收入确认类和子公司控制类等4种类型。南京大学课题组（20lO）利用媒体对112家公司内控的报道，总结了目前我国企业内部控制存在的缺陷，如内控环境缺陷、风险评估缺陷、控制活动缺陷、信息沟通缺陷和内部监督缺陷，其中表现突出的内控缺陷是：控制环境中的员工控制和经理层控制缺陷，风险评估中的战略风险评估缺陷，控制活动中控制盲区缺陷，信息沟通中的内部报告缺陷和对外披露缺陷。内部监督中的内部审计缺陷。

二、内部控制缺陷认定中存在的问题

（一）内部控制设计缺陷难以客观评价

2008年《企业内部控制基本规范》后，大多数企业结合自身情况建立了内部控制制度，企业重要的经营活动有章可循、有法可依，并通过对照制度检查评价，内部控制的运行缺陷得到及时发现和纠正，企业的经营行为得到规范，基础管理不断夯实。但通常情况下，内部控制制度是按照管理层的意图设计和运行的，当制度本身存在缺陷，特别是存在如不当授权、、个人决策等治理层面的问题，执行者一般很难发现或纠正。因此，企业内部控制自我评价中，对设计缺陷通常难以客观评价。

（二）非财务报告内部控制缺陷难以准确认定

《企业内部控制评价指引》将非财务报告内部控制有效性纳入了内部控制评价范围，今后对于影响企业战略目标实现、制约经营效益和效率提升、威胁资金资产安全以及违法违规行为等可能造成企业偏离控制目标的事项，企业在披露内部控制评价报告时要如实予以反映。但目前由于非财务报告内部控制缺陷的认定和披露等要求没有明确界定，难以通过定量分析法予以认定，也没有先例可以参照，这就给企业的实际操作带来了难度，也降低了这项制度要求的效力和严肃性。

（三）不同企业内部控制缺陷的认定标准

难以统一内部控制的有效性是内部控制为企业目标实现提供的保证程度，从本质上讲内部控制服务于企业目标。由于企业目标不尽相同，经营业务范围和业务规模存在较大差异，因此，企业的内部控制也必然是个性化的。从严格意义上讲，不同企业内部控制缺陷的认定标准不能“一刀切”，需要因地制宜，具体分析和评价。这就给这项工作的实施带来了一定的困难，也给报告使用者带来了一定的难度。

三、内部控制缺陷的整改建议

（一）改善内部控制环境，重视企业组织架构建设企业内部应建立完整的内部控制制度体系和清晰的业务流程，合理地对公司各个职能部门和人员进行责任分工、控制和考核，对每一个部门的责任和利益明确界定，防止权力重叠，也避免出现权力真空。通过汇编内部管理制度、业务流程图、权限指引等，促进企业各层级员工明确机构设置和职责分工，正确行使职权。

（二）内部控制制度的环境适应性，制定内部控制的战略目标

内部控制是为了上市公司应对不同阶段的风险而建立的，随着全球一体化进程的加快，企业面临的风险愈加多变、复杂，公司的快速增长必须伴随着相适应的内部控制的改变和适应。公司的过快成长可能会超出其内部控制作用的范围，因此，公司需要花时间来建立新的政策和程序，并需要配备相应素质的人力资源在管理和技术等方面与之相匹配。《企业风险管理—整体框架》明确指出，战略目标是内部控制的最高层次目标。因此，公司要重视内部控制的战略目标，从总体层面上实现对风险的识别与控制。建设自我企业文化，承担社会责任，培养员工的认同感。

（三）提高企业员工综合素质，培养风险意识

管理层应在日常工作中加强风险管理，建立健全风险预测、风险评估、风险控制和风险约束机制，并且在技术上制定风险回避、风险转移和风险分散等管理策略，以有效防范和控制风险；并实时监督评价内控效果，及时采取措施化解风险。其次，全体员工应树立风险意识，积极贯彻实施企业内部控制制度，使内控政策落到实处。内部控制是由人来完成的，而“软控制”即组织内部人员的道德观和能力是内部控制有效的关键因素之一。上市公司应强调“软控制”的作用，着手培养自己的人才，根据企业战略目标配备相应的人力资源，加强对每位职工的职业道德教育和技能培训，提高人员的综合素质。

（四）加快企业信息化建设，完善企业活动控制

企业的快速发展，无论是从资金流、信息流、还是实物流，无论是从预算管理、工程项目进展、资产管理，企业快速成长带来的庞大信息量无时无刻不在考验企业的内部控制制度。我国2010年上市公司内部控制缺陷分部表明，控制活动类内控缺陷与强相关于控制手段类内控缺陷，因此，应融合先进的IT技术，加强企业各部分信息的融合，将人事制度化，将制度信息化，将信息软件化。ERP以及SAP信息化建设可以极大地提升内部控制制度透明度，进而有利于制度的执行与监管。

参考文献：

[1]南京大学会计与财务研究院课题组．论中国企业内部控制评价制度的现实模式[J]．会计研究，2010，（6）：51—61.

内部控制风险分类范文

关键词：风险管理；中国商业银行；内部控制

商业银行在经营的过程中，必然会出现各种风险事件，需要对风险进行有效的管理，在风险管理的过程中，还需要提高银行内部控制水平，以便更好地解决风险事件，降低损失。在全面风险管理的基础上，对银行内部控制进行管理和提升是一项复杂和系统的工程，不仅需要银行全体员工和部门相互协作，共同努力。同时，还需要处理好风险管理和内部控制的关系，以便提高内部控制水平，促进商业银行的可持续发展。

1.全面风险管理与商业银行内部控制的关系

其一，根据定义进行分析。其银行风险主要指的是由于内部程序和机制不够完善或者存在问题等，导致银行风险的出现。由于人员以及系统或者外部事件而造成的银行风险的发生。风险管理是指对这些风险和损失进行有效的管理，以便降低损失。在银行风险中，除了外部事件风险是银行不可控制之外，其余的因素主要是由于银行内部控制存在问题引起的。因此，银行内部控制水平和质量会直接影响到风险的发生以及风险的管理。

其二，从风险类型分析。其中风险可以分为发生频率高但损失较低类型；发生频率高，损失也高类型；发生频率低但损失高类型；发生频率低损失低类型。针对高频低损以及低频高损风险类型需要采取内部控制措施来对其进行管理。因此，可以看出风险管理与银行内部控制具有紧密的联系，要想提高商业银行的内部控制水平，就需要对风险管理进行分析，以便处理好两者之间的关系。

2.全面风险管理环境下，商业银行内部控制的策略

2.1明确内部控制范围

其一，需要全面覆盖内部控制。风险管理和银行的业务是共生的，银行风险是伴随着银行业务经营而产生的，因此，针对银行风险需要采取相关措施进行有效的管理。风险管理不仅局限于某一个单位或者某一项职责，其涉及组织活动的所有流程，需要对其进行内部控制，其内部控制的范围需要包括各个方面，针对可能出现的并且具备诱发因素的风险需要及时采取措施避免发生。其次，需要对制定的相关制度以及要求等进行梳理，确保制度与时俱进。制定内部控制制度需要在内部控制机制进行完善和优化的前提下，对重复的、过时的以及无效的制度应及时处理，确保制度的规范性和合理性。同时，对制度进行完善的时候，需要综合考虑到各个方面的要求，避免出现控制盲区。并且需要在商业银行业务流程中引进内部控制的相关要求，以便更好地控制业务流程，减少风险的出现。另外，在制度的制定过程中，需要确保制度的可操作性，在执行时需要严格按照相关制度进行，确保制度和执行有效的衔接。此外，在商业银行新产品以及新业务中体现出内控优先原则。根据调查研究显示，商业银行在内部控制不够合理的时候推出新的业务，导致风险事故的发生概率较高，这种风险虽然不会造成经济损失，但是会直接影响到商业银行的声誉。因此，银行在推出新产品和新业务的时候，需要制定并落实好相关的内部控制措施。

2.2明确员工内部控制职责

首先，需要对员工的职责和权利进行明确分工，确保所有员工积极参与到工作中来。在银行内部控制体系中，需要对权责进行明确的规定，合理分工，确保各级管理人员和员共同参与到内部控制体系中来。同时，还需要在商业银行的总部以及各个分部建设内部控制委员会，对内部控制中的重大事件以及管理措施进行研究和协商。各个部门需要对各自业务的内部控制进行制定和实施。另外，审计部分需要监督和管理各个业务线和分支机构的内部控制情况。同时，各级管理人员需要对自身管理领域中的内部控制工作进行落实和完善。全体员工需要明确自身的工作职责，并按照相关规定以及各项内部控制制度来执行，并且需要对制度实施过程中的重大风险因素进行反馈。

其次，需要对所有员工进行教育培训，以便提高员工的综合素质。银行内部控制的制度需要员工来完成和执行，在执行的过程中，员工的素质会对制度的执行力度产生一定的影响。因此，需要提高员工的综合素质，不仅要加强对员工专业知识的培养，还需要加强思想道德教育，提高员工的思想道德水平，对员工行为进行适当的约束。同时，需要举办各种培训活动，加强员工专业能力的培养，确保员工熟练掌握业务流程，更好地胜任银行工作，更好地履行相关职责，将内部控制制度落到实处。

另外，可以制定相关的激励机制。在银行内部控制机制中，可以适当的建立激励机制，激发员工积极参与工作中来，商业银行的考核指标需要包括速度、风险、质量、数量等方面的指标。在内部控制制度执行的过程中，针对完成情况比较好，风险控制良好的员工给予相关的奖励，以便激发其他员工端正自身的工作态度，更好地完成工作职责，从而有效降低风险事故的发生。

总结

商业银行的内部控制主要是对银行运行过程中出现的各种风险进行事前防范，以及对风险事故进行控制的重要措施，同时，还具备对风险事故发生之后及时纠正的功能，能够减少银行损失。在全面风险管理的环境下，需要加强银行内部控制，针对各种风险进行预防，并制定出完善的内部控制体系，以便为商业银行业务工作提供安全保障。

参考文献：

内部控制风险分类范文篇4

关键词：中小股份制商业银行；风险管理；内部控制

中图分类号：F830文献标识码：A文章编号：1674-1723（2012）10-0052-02

一、内部控制和全面风险管理概念的界定

（一）内部控制的内涵

COSO于1992年《内部控制——整合框架》中将内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；法律法规的遵循性。内部控制应具备的五个要素：内部控制环境；风险识别与评估；内部控制措施；信息交流与反馈；监督、评价与纠正。

（二）全面风险管理的内涵

COSO《全面风险管理框架》（2004）中的定义是：全面风险管理（ERM）是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，从而确保企业取得既定的目标。

（三）内部控制与风险管理的内在联系

1.内部控制与全面风险管理存在一定的差异：两者的范畴不一致；两者的活动不一致；两者对风险的对策不一致。

2.内部控制与全面风险管理紧密相关：内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险的认识和管理；全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出，全面风险管理除包括内部控制的3个目标之外，还增加了战略目标，全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策3个要素；内部控制与全面风险管理工作应当由企业同一套组织机构和人员来完成，企业不能为之设置两套工作小组。为此，企业在组织机构设置、人员权责分配中，应充分考试专业管理、内部控制、以及风险管理这三大类职责相辅相成，它们应当是每个关键岗位职责的有机组成部分。

虽然内部控制和全面风险管理的出发点和具体目标并不完全相同，但两者在概念内涵上具有内在的一致性，在保障企业总体可持续发展目标实现的过程中，两者的根本目标和作用是一致的。因此，二者应当实现有机融合，全面风险管理架构的构建与实施要建立在内部控制建设现有成果的基础之上。

二、我国中小商业银行实施全面风险管理的必要性和重要性

（一）金融机构面临的风险因素多样化

金融机构面临的风险因素多样化，主要包括信用风险、市场风险、操作风险、流动性风险、声誉风险、法律风险、战略风险和国家风险。各银行都会因风险控制措施不当而发生损失，有的案例损失金额巨大，中小商业银行相对而言其抗风险能力不足，更易由损失引发系统性风险；

（二）中小商业银行内部控制体系存在较多弊端

各级负责人横向权力过大，为操作风险的发生提供了空间；大部分银行未设立独立的专业化部门承担操作风险管理和分配资本职责；操作风险管理现行的管理方法和手段落后，难以反映本行操作风险的总体水平和分布结构，与国际上要求以资本约束为核心的操作风险管理差距不小。

（三）忽略了风险之间的联动性

目前单独、割裂的处理各类风险，忽略了风险之间的联动性。

三、国内银行业全面风险管理实施现状

（一）工商银行、中国银行等一些大型商业银行建立了全面风险管理治理结构

如工商银行2004年引入COSOERM框架的理念，按照现代金融企业的治理标准，建立了由股东大会、董事会、监事会和高级管理层组成的全面风险管理治理架构，制定相关授权方案，形成权力机构、决策机构、监督机构和高级管理层之间各司其职、相互协调、有效制衡的运作机制。重新调整风险管理委员会，并于2006年7月设立了首席风险官职位，为全面风险管理工作开展提供了制度保障。

（二）部分银行全面风险管理的实施规划已经形成并在逐步推进

农业银行在制定新资本协议实施规划的基础上，制定实施新资本协议的时间表、步骤和措施，在2009年底前建成内部评级初级法体系，2013年底前建成内部评级高级法体系。工商银行全面推进风险计量技术的研发，加大数据集中与系统建设力度，从公司治理、方法论、基础数据、制度政策、IT系统等方面不断深化新资本协议的实施工作，风险治理结构日益完善，风险计量水平逐步与国际接轨，风险管理的前瞻性、科学性得以显著提高。

四、构建中小商业银行全面风险管理组织架构建议

结合国内外商业银行全面风险管理组织架构建设经验，以中小股份制商业银行普遍实行总分行制的行政制度为基础，笔者提出要按照“集中管控、矩阵分布、全面覆盖、全员参与”的目标要求，建立总分支三级联动风险管理机制，以集中职能的风险管理部为特点，以风险总监为纽带，以分布于各业务条线的风险经理为基础的架构与职能分工。

在董事会下设风险政策委员会，该委员会主要确定风险偏好指标和提供政策建议；在高级管理层下设风险管理委员会，主任委员由行长担任，副主任委员由分管行长担任，其他行级领导担任常务委员；设置风险管理委员会的常设机构——风险管理部，作为风险管理的具体执行部门，该部门集中所有各类风险的管理职能，可以设置包括信用风险、市场风险和操作风险各团队，任命各类风险经理，也可以根据需要设置战略风险和声誉风险管理团队；设置风险管理总监，对风险管理事务进行综合协调，风险管理总监与首席财务官紧密合作，直接向董事会和高级管理层汇报工作；在各业务条线设置风险经理岗，一方面配合业务条线负责人进行风险控制，另一方面是为风险管理部在业务条线上的派出单位，负责风险据的收集、风险状况的实时监控；建立支行风险经理派驻制，派驻风险经理是支行层面风险管理的主力军，对各支行的信用风险、市场风险和操作风险进行管理，定期向上一级的风险管理部进行风险管理情况汇报，提供风险资料和数据。

中小股份制商业银行在现有内控管理水平的基础之上，借鉴西方银行的先进经验，尽快建立起全面风险管理的架构与职能，将有利于推进中小商业银行与国际接轨，在未来激烈的竞争中真正实现稳健经营和可持续发展。

参考文献

[1]李景峰．商业银行的风险控制及管理[J]．商业经济，2010，（22）．

内部控制风险分类范文篇5

关键词:会计控制;控制环境;风险评估

中图分类号:F830.31文献标识码A文章编号:1007-4392(2007)03-0027-03

内部会计控制作为提高会计信息质量､防范资金风险的重要闸门,其完善和健全是进一步强化内部管理,确保会计资料真实与完整的必要保障｡过去,人民银行对内部会计控制的认识一直停留在所谓的岗位职责划分等相当具体的阶段,很少把内部会计控制作为一个动态过程或整体来看待,更忽略了会计控制赖以生存的环境等因素分析｡鉴于此,本文从相对宏观的角度,来探讨完善人民银行内部会计控制的设想,以便整合现有会计控制资源,促进会计控制作用的有效､充分发挥｡

一､人民银行加强内部会计控制的措施

从1984年人民银行开始执行独立的中央银行职能以来,在加强会计控制方面,采取了两大措施:一是及时制定和完善了有关会计控制的制度｡这些制度又大致可划分为两类,一类是相对宏观的制度,从较高的角度指导和说明如何加强对会计核算部门的管理,按时间排列,共有8个制度(见表1);一类是针对具体业务的有关制度｡如针对会计(营业部)､国库､货币发行等业务,从岗位设置､会计核算､重要空白凭证的管理等方面制定了具体的操作规程､办法和规定;另外,还制定和完善了有关大宗采购､固定资产管理､在建工程､财务管理等制度｡二是不断强化和完善会计控制机构的建设｡为健全和完善内部自律机制,人民银行于1998年成立了内审部门,除对各职能部门､分支机构､行属企事业单位及其工作人员依法履行公务情况进行监督外,加强了对资金､财务等的重点岗位或重点业务环节的管理和控制｡针对会计核算业务易发生风险的特点,在内审部门采取不定期的检查外,2004年又设立了事后监督部门,专门负责对会计､国库､发行和外汇等业务的日常会计监督｡此外,每年总分行还组织开展一系列的业务检查活动,如对会计联行､国库业务的检查等｡这些措施的出台,一定程度上强化了人民银行内部会计控制机制,同时内部会计控制能力也逐步得到增强｡

二､人民银行加强内部会计控制的措施存在的问题

人民银行所实施的会计控制措施总体上表现为:一是制度大都是针对具体业务而制定的,相对宏观的制度较少;二是会计主体过于分散,会计职能分得过细｡以上总体表现的根源,就在于没有从整体或系统的角度分析和认识内部会计控制,只是就事论事,用静态的眼光看问题｡

(一)控制环境未引起重视

内部会计控制环境的好坏对内部会计控制是否有效发挥起着至关重要的作用,即便设立良好的内部会计控制制度,也会因执行者的能力不足或存在道德风险而达不到应有的效果｡从人民银行发生的金融案件来看,内部会计控制失效的根本原因不在于没有内部控制制度,而在于控制环境的不完善,内部会计控制制度没有落到实处｡《内部控制指引》中虽对内部控制环境从道德风尚､行为规范､激励机制､纪律约束等方面进行了阐述,并强调要提高员工对内部控制的参与意识,但如何通过成立一个组织来营造良好的内部会计控制环境,尽可能地消除道德风险,并促进控制环境效用长期保持下去,成为了构建内部会计控制急需首要解决的问题｡

(二)控制目标不明确

由于会计控制制度散见在不同的制度文件中,到目前为止,尚没有任何制度对内部会计控制下一个确切的定义,也没有对内部会计控制目标的具体阐述,更没有体现出会计控制是一个动态的过程｡现有措施的出台都是在特殊情况､背景下产生的,如为加强人民银行内部控制,促进依法履行职责,成立了内审部门,随着人民银行内部风险案件的发生,为防范资金风险,成立了事后监督部门,专司与会计核算相关的业务审核,这样会计核算业务在前台实施复核的情况下,事后监督仍每天再复核一遍,若以这种方式延续下去,岂不是还要对事后监督实施再复核,这种哪儿出了风险,就弥补哪儿的做法,其根源就在于没有从整体的角度把握和思考会计控制的目标｡

(三)控制资源利用率低

由于没有明确的控制目标,各职能部门只是安于自身职能的执行,部门间沟通交流的少,资源利用率低｡虽《会计基本制度》提及,会计有关业务部门应各司其职､分工协作,如会计部门应对全行的会计业务实施监督,并对其他部门的会计监督工作进行指导;营业和有关业务部门办理核算业务时应实行柜面监督,加强对会计凭证的审核;事后监督部门应及时对已完成的会计核算业务开展事后监督､反馈监督结果,纠正核算差错,提出完善会计管理和内部控制的措施､建议｡但如何加强这些部门之间的协调和沟通,界定各自的责任,没有一个制度针对此加以规定,这为实际工作带来了许多麻烦,甚至可能引起对全局重大风险关心不够等｡

(四)风险评估相对较弱

人民银行虽早在《关于进一步加强人民银行会计内部控制和管理的若干规定》中提及“风险防范”的字眼,但对风险防范的前提“风险评估”提及甚少,直到《内部控制指引》的出台,才将风险评估提到了议事日程,并从分支机构的基本相关风险的类型､风险评估框架的建立､风险的识别､分析和应对,对相关风险进行持续监控和有效管理等进行了阐述,但风险评估尤其是会计核算业务的风险评估不是一个部门如内审部门就能解决的,它需要相关部门的通力协作,在深入研究会计核算业务流程的基础上,确定哪些环节存在风险,以及这些风险需要哪个部门采取怎样的措施进行控制,只有这样,才能将风险降低到可接受的程度或水平｡

三､完善人民银行内部会计控制的政策建议

(一)人民银行内部会计控制的总体框架设想

基于《内部控制指引》的思路,本文界定人民银行内部会计控制应包括以下要素:(1)内部会计控制环境;(2)业务风险评估;(3)会计控制活动和措施;(4)会计控制信息的沟通;(5)对内部会计控制的监控｡其设计理念为,一是强调会计控制是对过程的控制,而不是对结果的控制｡它改变以往传统的会计控制观念,更多地关注会计的事前和事中控制,而不是一味地用事后的手段来弥补,尽量将资金风险消除在萌芽状态;二是强调会计控制是一个动态的系统或整体,而不是简单地等同于制度的堆积｡在这个动态整体中,各要素相互关联,即相关各职能部门在一定的控制环境下不断开展对业务的风险评估,在此基础上采取相应的控制措施实施持续的监控,而这些活动都是以信息交流与沟通为基础｡这样,一方面有利于消除“不增加价值”的工作,另一方面也有助于相关职能部门加强合作,实现在不同环节对持续不断的信息流和资金流的高效管理,最终促进内部会计控制整体不断得到持续优化｡因此,内部会计控制整体作用的有效得益于每一个要素作用的有效发挥,若任何一个要素发挥失常,内部会计控制将失去应有的意义｡

(二)人民银行内部会计控制要素的构建思考

1.营造良好控制环境,增强风险防范意识｡一是培育和塑造相应的内部会计控制环境,培养全员参与的意识,培养职业道德意识,使会计控制环境意识深入人心;二是针对目前人民银行各会计相关部门资源分散的局面,建议总行设立风险管理委员会,成员由相关职能部门司局人员组成,主要负责内部会计控制整体框架的相关工作,即负责内部会计控制环境的构建､会计核算业务的风险评估,会计信息的沟通以及对会计控制活动的监控等工作;相应地,在分中支行设立风险管理部门,直接受总行风险管理委员会的指导,其职责负责本级会计控制整体框架的相应工作;三是内部会计控制各职能部门要不定期地开展自评,评估自身的工作是否到位,找出自身的不足之处,并做到及时进行完善｡

2.分析业务流程,加强风险评估｡风险评估时,应遵循业务种类完全覆盖原则､预警功能原则､计量性原则和有效性选择原则,从整体到局部,逐层加以剖析,即首先要按业务性质进行归类,找出各个流程中的主要风险点;其次要按照业务风险的信息结构和风险源的性质,有针对性地制定出科学适用的风险计量方法｡如营业部业务,首先将其分为一般业务､同城票据交换业务､支付往来业务等;若再以一般业务中的准备金存款为例,其业务总流程为:商业银行缴存(A)一网点审核并记账(B)一事后监督审核(C);在此基础上,分别分析业务的子流程,如子流程A又可以分析得出,是否按期缴存,缴存余额表是否有效等等,并对此找出相应的风险点和风险环节｡

3.针对评估结果,采取相应的控制措施｡在业务风险评估的基础上,应针对不同业务风险的性质和大小,采取相应的措施加以计量相控制,一方面要注重对风险性质的识别,针对不同的风险分别授予不同的权数,采取相应的控制方法;另一方面要关注控制环境的变化,如随着会计电算化的迅速发展,会计业务流程发生较大改变,会计部门的劳动组合和控制方式也应随之变化｡

4.加强信息的交流和沟通,共享信息资源｡内部会计控制作为一个动态系统,它包括不同环节之间持续不断的信息流和资金流,其每个控制环节都执行不同程序,并与其它环节相互作用与影响｡因此,整体会计控制价值最大化的实现需要,一方面风险管理委员要牵头组织各成员间的沟通,以实现信息共享,优势互补,有针对性地开展工作,同时有助于消除部门间的误解和疑虑;另一方面各职能部门要加强自身员工间的沟通,培养和提高员工参与会计控制的意识,以便开展自评｡在实践中,最有效的解决方法就是促使内部会计控制信息沟通的制度化,形成一种约束机制｡

5.实施监控,增强会计控制的有效性｡内部会计控制的监控主要是对控制的整体框架及其运行情况进行跟踪､监测和调节,同时要在监督评价的基础上看是否能够及时对各类监控中查出的问题进行整改､进一步加强管理等,这就需要,一方面风险管理部门对会计控制环境营造是否适当､业务的风险评估是否合理,会计信息的沟通渠道是否畅通进行评价,促进问题的整改;另一方面由内审部门事后监督部门对前台会计核算业务进行不定期和定期的检查和监督;同时各职能相关部门要加强自评,从而不断促进人民银行内部会计控制从不同角度得到持续的监控,整体的内部会计控制日趋完善和健全｡

内部控制风险分类范文1篇6

关键词：商业银行；财务风险；内部控制；人员

中图分类号：F275.2文献标志码：A文章编号：1673-291X（2013）24-0163-02

一、商业银行存在的主要财务风险

商业银行财务风险则是指对在商业银行信用活动中各项资金和财务收支活动不合理而承担的风险。

1.信用风险。商业银行的对外贷款的确是其资产中的风险资产。而贷款可能损失的风险就是信用风险。中国商业银行已经普遍按五级分类法，将贷款划分为正常、关注、次级、可疑、损失五种质量等级。其中正常类指借款人能够履行合同，有充分把握按时足额偿还本息的贷款。关注类指尽管借款人目前有能力偿还贷款本息，但是存在一些可能对偿还产生不利影响因素的贷款。次级类贷款指的是借款人的还款能力出现了明显问题，依靠其正常收入已经无法保证足额偿还本息的贷款。可疑类贷款是指借款人不能足额偿还本息，即使执行抵押或者担保也肯定要造成一部分损失的贷款。损失类贷款是指银行已经采取所有可能的措施和一切必要的法律程序之后，贷款仍然无法收回或只能收回极少部分的贷款。而这五类贷款中，后三类就属于不良资产。这样的分类等级显然可以使银行在评估贷款风险时显得更加理性和合理，而不像使用其他的评判手段时的随意和不统一。

2.市场风险。中国商业在面临的市场风险方面，由于利率市场化的推进，人民币汇率浮动幅度加大，以及中国股市的快速发展，银行的经营因为这些市场要素变动的原因要面对和处理的风险越来越大。市场风险的防范融入在每一项银行业务的操作中。对贷款的评级，银行人员的管理从另一个角度来说也是一种对银行流动性的警惕。所以，所有的防范措施都是与市场因素联系的，也是对市场风险的关注。

3.操作风险。中国商业银行虽然经过了不断的金融改革，国有资产正在逐步推出商业银行，但是，银行仍然或多或少地带有行政色彩，信息不公开，普通股东对经理人无法进行有效监督。表面上，四大银行上市，国有资产推出控制，但是上市公司的实质并没有体现出来。各种由于监管不利造成的损失频频发生。

二、商业银行的财务风险产生的原因

1.内部稽核不力。虽然近几年来中国银行界对内控制度的建设空前关注，然而各银行却没有根据经营环境的变化对内控制度资源进行合理的配置，使之系统化、程序化。一方面，银行会计内部控制目前仍作为一个个被分解的单元分散在各项管理制度之中，如会计内控制度规定了不同岗位的职责，不相容业务的分离，业务程序的先后制约，却未形成一套生产流水线式的防范风险程序（一般应由目标系统、决策系统、执行系统和监督系统组成），难以及时发现和处理存在的问题；另一方面，相互制约机制不健全，一些重要职责和岗位没有严格分离，混岗或集多职于一身的现象时有发生，一些银行分支机构缺乏有效的内部管理部门，对主要负责人和决策管理层的权力缺乏必要的监督制约措施，常常出现“控下不控上”的局面，使内控制度形同虚设，留下事故隐患。

2.人员素质偏低。近年来，国有独资银行在快速商业化的变革中，为抢占市场份额实行外延式急速扩张的策略，真正精通银行会计业务的专门人才严重不足，一部分银行会计人员素质不高，在工作中表现出服务态度度不佳，操作行为不规范，从而容易发生会计差错；还有个别银行会计人员品质恶劣，他们内外勾结，肆意侵害银行利益，从而发生经济案件；有些金融机构从本身的经营成本角度考虑，导致会计人员配备不足一些新手未经岗位培训，对于各项规章制度，操作规程没有很好的掌握，缺乏风险防范意识和能力，致使会计核算的随意性较大；另外，在会计队伍趋向年轻化的同时，也容易受社会上拜金主义思潮的影响，从而在会计业务操作中违规甚至违法。

三、商业银行加强财务风险管理对策

1.要树立先进的风险管理文化。风险管理和业务发展是并行不悖的，风险管理的过程同样是创造价值的过程。任何业务都是有风险的，风险管理的任务就是寻找业务过程的风险点、衡量业务的风险度，积极寻找、发展防范风险的办法，在克服风险的同时从风险管理中创造收益。要改变以往对风险管理的偏见，树立先进的风险管理文化。目前，中国商业银行先进的风险管理文化还未形成，风险管理部门和业务部门很少通过沟通去消除文化上的差距，业务流程前台和后台的矛盾往往被动解决，而不是通过沟通来消除这些差异，换位思考不够。同时，风险管理的方法还不到位，对业务发展理解不深，不能按照业务发展规律进行风险控制，一放就乱、一管就死的现象还很普遍。

2.要健全风险管理体系。银行风险管理的组织体系应从两个层面进行调整：首先是要适应商业银行股权结构变化，逐步建立董事会管理下的风险管理组织架构。董事会是银行经营管理的最高决策机构，在董事会的下面设置风险管理委员会作为银行风险管理战略、政策的最高审议机构，确保全行风险管理战略、偏好的统一和风险管理的独立性。其次，在风险管理的执行层面，要改变行政管理模式，逐步实现风险管理横向延伸、纵向管理，在矩阵式管理的基础上实现管理过程的扁平化。

3.要加快社会征信系统的完善。社会征信系统能从根本上解决银行与客户间的信息不对称问题，为切实防范信贷风险、确保信贷资金安全增添一道防线，也能为银行提高工作效率发挥积极的作用。在发放贷款之前，商业银行可以通过查看申请人的信用档案，也就是信用报告，了解申请人的信用记录，作为信贷审批重要的依据，同时银行还可以根据信用记录的好坏，在贷款的额度、期限和利率上给予贷款申请者一定的优惠，这样不仅简化贷款的审贷程序，提高审贷效率，而且也促进了银行信贷业务的良性发展，不仅如此，银行还可以在发放贷款以后在风险防范管理中随时对该客户进行查询跟踪，以便实时监控。

4.加强银行内部风险控制制度的建设。商业银行内部控制制度直接决定了该商业银行对信用风险的管理能力，是商业银行安全有序运作的前提和基础。其主要就是建立内部审计机构和风险管理机构。建立内审计部的目的是通过内部稽核及时发现问题。银行所有权人可以监督经理人，以此实施有效的监管，防范经营风险；风险管理是商业银行的核心竞争力，是创造资本增值和股东回报的手段。风险管理的目标不是消除风险，而是通过主动的风险管理过程实现风险与收益的平衡。内部评级法就是一种有效的风险管理方法。这种评级类似于穆迪、标准普尔这样专业的评级机构，是银行根据自身业务的特点，自行设计出的适合于自己的内部信用评级体系。它可以针对借款人无法履约而造成的损失风险给出评估，提出专业性意见，从而对提高银行经营管理水平、降低不良贷款比例、增加盈利水平等起到积极的推动作用。

5.整合优化业务流程，有效落实各项规章制度。制度建设是完善内控和风险管理的基础。制度建设要适应现代商业银行经营理念，要紧跟流程变革和业务创新，对现行的业务制度和流程进行彻底的检查、全面整合和完善，强化制度的自我修正功能，从根本上解决各类规章制度之间缺乏足够的相互制约性问题，真正做到“一个业务品种、一套业务流程、一套规章制度”的要求，实行内控管理标准化和规范化，使员工对自己的工作流程与职责有明确认识，将防范风险落实到每个具体环节。有效落实各项规章制度是完善内控和风险管理的保证，关键是要建立有效落实制度的长效机制，强化管理责任，制度分解到岗，责任到人，建立责任定性、考核定量的管理考评制度，建立合适的风险控制的奖惩制度，对各类违规行为严惩不贷，决不姑息迁就，以达到处罚一部分教育一大片的目的。对那些在执行制度、办理业务过程中表现突出的员工及执行内控表现优异的稽核人员应有所激励。

6.加强稽核审计，完善专业监督检查制度。商业银行内部稽查是内部控制的最后一道防线。首先，应建立独立、垂直、具有监督权威的内部稽核部门。在商业银行一级法人和行长负责制下，稽核的人事权上收总行，实行行长领导下的总稽核负责制。其次，建立合理有序的内部稽核检查制度。一是上级行稽核部门对下级行稽核部门的业务检查，其目的侧重于工作辅导、评比督促和整体推进。二是上级行稽核部门对下级行业务部门的定期与不定期的常规或专项检查，侧重于检查业务的合规性、风险性和慎审度。三是派驻分支行稽核人员对业务部门的日常检查。第三，设置科学的量化监控指标体系，形象反映监控对象的主要内容，作为警戒线对监控对象的状况做出快捷的判断，并采取必要的措施。第四，借鉴国外审计机构的经验，将外部审计作为内审的有益补充，促进内控和管理水平的提高。

7.以人为本，培育一支高素质、善管理的现代商业银行人才队伍。在管理的诸要素中，人是最具有决定性的因素。因此，依法建立健全中国商业银行风险管理和内部控制制度应坚持以人为本。中国商业银行风险管理与现代商业银行存在差距，实质上是说明中国商业银行缺乏一支有洞察力、判断力和掌握先进的风险管理和经营管理知识的管理者队伍。随着业务不断创新发展，新的风险和问题不断出现，先进的银行内部风险评估与控制机制更新快、技术含量高、操作流程复杂，对中国商业银行业务人员、内部风险管理人员和管理者提出了更高要求。为此，中国商业银行应尽快培育一支高素质、善管理的现代商业银行人才队伍。在把好进人用人关的基础上，要加强员工的素质教育和技能培训，提高员工对银行风险管理新技术、新方法的掌握程度，将培养高素质、善管理的银行家作为长期系统工程，在银行内部形成人才竞争机制，建立有利于人才脱颖而出的虚拟经理人才市场。

内部控制风险分类范文篇7

相关文献梳理

国外学者关于内部控制与审计收费关系的研究有着不同的结论。一些学者研究后认为内部控制和审计没有关联［2-5］;另一些研究结果却不同，Daigle等通过分析1996—1999年审计工作底稿的数据发现，信息技术审计师的评估控制风险会影响审计时间和费用［6］。Raghunandan和Rama、Hogan和Wilkins研究显示内部控制风险增加会从两个方面引起审计收费提高:一是审计师判断公司存在较高内部控制风险时，为了降低审计风险会相应增加审计投入，因此会收取更高的审计费用;二是公司存在较高内部控制风险往往说明整体风险水平较高，审计师会加收一部分风险溢价，以防审计业务的诉讼风险增加［7-8］。Bedard等发现内部控制缺陷与计划投入的审计时间和预计收费相关［9］。Hoitash等检验认为强制披露内部控制缺陷与审计费用的相关性比自愿披露的重大缺陷与审计费用的相关性更大［1］。在我国，曹建新、陈志宇认为，在审计质量较低时提高内部控制质量有助于降低审计收费，而在审计质量较高时二者关联度明显减弱，这说明审计质量越低，内部控制质量与审计收费之间的负相关关系越显著［10］。张旺峰等构建了内部控制质量评价指标并进行了有关检验，结果显示注册会计师的审计收费与企业的内部控制质量之间存在着不显著的负相关性［11］。关于内部控制质量与信息披露的研究，方红星指出在强制性披露内部控制信息的制度框架下，积极倡导公司披露内部控制缺陷信息，可以有效解决信息不对称问题，同时自愿披露内控信息还可以缓解冲突并有助于提高资本市场配置效率［12］。杨有红、汪薇认为管理层自愿披露内部控制信息的动机不足［13］。内部控制信息披露是否充分在一定程度上可以反映内部控制质量的高低［14］。林斌、饶静分析指出内部控制质量越高的公司，为了向市场传递真实的价值，越可能充分披露内部控制鉴证报告［15］。国内学者关于这一问题的研究结论基本相同，即披露内控缺陷的公司，其内控质量较低;内控质量较高的公司，更愿意披露正面的内控信息。由于上市公司披露的内部控制缺陷是管理层自主决策的结果，基于信号传递理论，倾向于披露对自己有利的信息。那么仅以披露内部控制缺陷说明内部控制质量进而研究内控缺陷对审计收费的影响似乎理据不足，因此本文先验证了披露内部控制缺陷会导致审计收费增加，然后从动态跨期视角考虑修正内部控制缺陷是否会导致审计收费下降。同时，本文从截面视角对内部控制缺陷进行分类，扩展检验了不同类别的缺陷对审计收费影响的差异。

研究背景和假设

2008年，财政部等五部委联合了《企业内部控制基本规范》及《企业内部控制审计指引》，要求上市公司评价其内部控制并披露评价报告和鉴证报告。在有关部门强制要求上市公司批露内部控制信息之前，部分上市公司已经进行内部控制审计并披露相应的信息。内部控制可以有效保证公司风险管理和控制的运行，没有或不能适当运用内部控制系统的公司，内部控制缺陷会导致相关风险进而发生更多的费用。审计师需要执行包括财务报表审计和财务报告内部控制审计在内的综合审计。根据审计风险模型，注册会计师的审计风险分为重大错报风险与检查风险。其中，重大错报风险进一步分为固有风险和控制风险，重大错报风险与检查风险成反比。依据风险导向审计方法，控制风险上升会导致检查风险下降。审计师必须通过扩大审计范围、增加审计投入来获得足够的关于财务报告内部控制有效性和评估财务报表审计控制风险的证据来支持审计意见。如果审计师将分配的资源成本过多转嫁给客户，审计收费就会随着客户的内部控制风险增加而上升。为了有效地分配资源，审计师根据风险高低调整投入多少，将更多资源分配到存在内部控制重大缺陷的领域，审计收费则根据测试出的内部控制缺陷相应调整。因此，当公司存在内部控制缺陷时，审计师会增加实质性测试或收取风险溢价，从而引起审计收费的增加。通过进一步地跨期分析后发现，如果公司在当年披露内部控制缺陷之后，下一年度积极识别缺陷，实施内部控制连续性监控、改进修正缺陷，那么审计师面临的审计风险可能会降低，审计资源投入减少，审计程序和范围也会适当缩减，进而降低审计收费。由此，本文提出如下假设。H1a:公司披露内部控制缺陷，审计收费增加;H1b:公司修正内部控制缺陷之后，审计收费下降。

审计测试不能发现所有可能的错报，审计师对于高风险的审计业务可通过提高收费来控制风险、弥补可能产生的诉讼保险成本并建立足够的财务储备。因此，对审计收费增加的预期与内部控制风险相关［2，5，9］。本文将内部控制缺陷划分为一般缺陷和特定缺陷，审计师在审计过程中围绕特定账户的具体问题分辨公司的内部控制缺陷类型，一般缺陷比特定缺陷虚化，很难确定存在哪方面的具体问题，特定缺陷相对一般缺陷与内部控制风险更相关。审计风险模型显示，内部控制风险增加会导致检查风险降低。特定缺陷严重会引起更多的审计测试或更高的风险溢价，存在特定缺陷时的审计定价很可能会超过存在一般缺陷时的审计定价。但是，关于内部控制缺陷分类意义的研究结论却不同。Earley等审计师发现很难区分内部控制缺陷类别［16］。Raghunandan和Rama没有发现审计定价对于内部控制缺陷类别之间的差异［7］。另一些研究表明了这种区分是有意义的，他们发现，强制披露的一般缺陷与减少的应计质量相关，而强制披露的特定账户缺陷却不与之相关［17-21］。Ettredge等发现审计师辞职与内部控制一般缺陷更相关［22］。Hogan和Wilkins认为一般和特定账户内部控制缺陷与审计费用在相关性上存在差异［8］。我国学者之前还没有专门研究缺陷分类对审计收费影响的差别，本文拟研究不同类型的内部控制缺陷与审计收费的相关性，比较一般缺陷与特定缺陷与审计收费的关系。由此，本文提出假设2。H2:公司披露内部控制一般缺陷和特定缺陷对审计收费的影响存在差异。

研究设计

(一)样本选择和数据来源

本文的数据主要来自于CCER数据库和巨潮资讯网，同时，本文还对数据进行了以下处理:剔除了金融保险类公司、数据缺失和1%的极值公司。最终获得2009年和2010年沪、深两市A股1097家上市公司数据作为研究样本。

(二)变量选取及模型设定

本文设置的被解释变量是审计费用的自然对数(lnAFEE);解释变量用于假设检验内部控制缺陷问题的几种方式。ICMW是一个指示变量，如果披露了内部控制缺陷取值为1，否则为0。REVISE是一个指标变量，如果2010年比2009年披露的内部控制缺陷种类减少，表示修复缺陷取值为1，否则为0。本文按前人分类方法将内部控制缺陷划分为一般缺陷和特定缺陷。GENERAL表示一般缺陷的数量;SPECIFIC表示特定缺陷的数量。

研究结果及分析

(—)描述性统计

本文依据前人对内部控制缺陷的定义和分类，通过手工整理，将内部控制缺陷划分为20种，其中一般缺陷12种，特定缺陷8种。总体样本为1097家，其中2010年有267家披露了内部控制缺陷信息，830家没有披露内部控制缺陷信息。研究显示267家公司披露的内部控制缺陷中共有609个缺陷，平均每个公司2．28个。表2统计了内部控制缺陷分类数量，并按照数额和公司分布比率进行排列。如表2所示，2010年267家公司披露的内部控制缺陷中，一般缺陷共585个(占披露总缺陷的96．06%)，披露内部控制不充分或不存在内部控制功能的共有184个(占30．21%)，披露内部审计不充分缺陷有91个(占14．94%)，风险防范缺陷有79个(占12．97%)，管理者、董事会和审计委员会缺陷所占比例为11．17%，会计人力资源缺陷有8．7%，无效的服从有6．57%，此外，高级管理人员(能力，语调，可靠性)、职务分离和内控设计、人员的道德水平和服从程度、不充分的披露(及时、相关、全面)所占比例均为5%以下。特定缺陷共24个(占总缺陷的3．94%)，其中信息技术(软件，安全，公开债券)所占比例最大为3．12%，会计对账程序不严密等等六类缺陷均没有公司披露。2009年披露内部控制缺陷为506个，内部控制不充分或不存在内部控制功能和内部审计不充分仍然占最大比重，总缺陷数量比2010年少103个，说明在内部控制规范施行之前，上市公司自愿披露的动机不足。如表3所示，审计收费lnAFEE平均值为13．39683，最大值为18．11958，最小值为11．69525。1097家上市公司中有267家公司披露了内部控制缺陷，占总体样本的24．33%，在披露的内部控制缺陷中，一般缺陷比特定缺陷多，每家上市公司平均披露0．53327种一般缺陷以及0．021878种特定缺陷，其余830家公司没有披露内部控制缺陷信息。在总体样本中，平均7．56%的公司更换了会计师事务所，平均7．1%的公司聘请的是“四大”事务所审计。

(二)单变量分析

本文检验了各个变量与被解释变量之间的相关关系，数据显示内部控制缺陷与审计收费在10%水平上呈正相关，初步说明存在内部控制缺陷会导致审计收费增加。修正内部控制缺陷与审计收费呈负相关关系，但是并不显著，说明修正内部控制缺陷在一定程度上会降低审计收费，但是由于不确定修正的内部控制缺陷是否重大以及公司可能会在期末对该缺陷进行修正，而审计师已经进行前期审计工作，从而导致二者的相关关系不显著。特定缺陷与审计收费在1%水平上显著正相关，一般缺陷与审计收费的关系不显著。原因可能是特定缺陷涉及公司特定账户或某一具体方面，影响力大，如果存在特定内部控制缺陷，审计师会增加投入进行测试。一般缺陷相对特定缺陷而言比较虚化，涵盖范围广，没有特定内容，是否存在一般缺陷，审计师需要进行必要的控制测试，公司特定缺陷比一般般缺陷对审计收费影响更大。在控制变量中公司规模、流动比率、四大事务所审计在1%的水平上显著。相关系数如表4所示。

(三)回归分析

表5列示假设H1a和H1b模型回归结果，调整后的R2结果显示，两个模型的拟合程度较高。模型1回归结果与假设一致，表明内部控制缺陷与审计收费存在显著正相关关系，说明我国上市公司存在的内部控制缺陷会引起审计收费增加。审计收费与会计师事务所变更、ROA、公司规模、是否被“四大”审计、资产负债率等存在显著相关关系，与上市时间、营业收入增长等不显著相关。模型2回归结果(见下页表6)显示修正内部控制缺陷与审计费用存在负相关关系，说明修正内部控制缺陷会在一定程度上降低审计费用，但效果并不显著。本文从跨期视角提出公司识别和修正内部控制缺陷存在预期效益，这将导致审计师调整评估风险和减少审计费用，但是数据显示修正内部控制缺陷之后对审计收费的影响并不显著。原因在于修正内控缺陷之后，缺陷的种类及个数减少了，但修正的是否为重大缺陷这一疑问干扰了回归结果。此外，如果修正缺陷的发生接近期末，内部控制缺陷可能在本年度的大部分时间内一直存在，也会造成特定账户错报风险，但该公司仍然可以披露一个无内控缺陷的报告。审计师为确保其修正控制缺陷的有效性可能不会明显降低审计收费。表6列示H2模型回归结果，数据显示特定内部控制缺陷与审计收费显著正相关，一般缺陷系数并不显著相关。内部控制特定缺陷涉及公司特定账户或某一具体方面，影响力大。审计师在审计过程中更多地围绕特定账户的具体问题，如果上市公司存在特定内部控制缺陷，审计师会面临较高的审计风险。为此，审计师会增加审计投入和审计时间，充分执行审计程序和实质性测试范围，在审计过程中势必会根据审计风险来决定审计收费，因此会导致审计收费的增加。一般缺陷相对特定缺陷而言比较虚化，涵盖范围广，没有体现特定内容。无论公司存在或者不存在一般缺陷，审计师都要进行必需的控制测试，因此一般缺陷不会对审计收费产生较大的影响。

研究结论与局限

内部控制风险分类范文篇8

关键词：企业内部风险管理控制体制

中图分类号：F275文献标识码：A文章编号：1674-098X（2014）07（c）-0184-02

企业内控机制的强化，风险管理系统的逐步健全，已经成为当代企业管理的一个首要部分。企业内部控制的实施，已经取得初步成效，在企业内部的公司治理逐步完善，防范了市场风险，但在实践过程中，也存在一些薄弱环节。本文在探讨企业内控体制的基础之上，进一步剖析了内部控制的现状与产生的问题，并基于风险管理的视角得出一些改良的方案。

1企业内部控制的演进

在第20世纪40年代的内部控制理论的前身，在第20世纪70年代获得了长足的发展，并逐步形成了一个基于企业层面的内控理论结构。但直到第20世纪90年代的整体内部控制理论，它才真正的被企业所熟悉和使用。在第20世纪90年代，国际金融机构面临前所未有的挑战。如1997年亚洲金融危机，让全世界意识到内部控制的重要性。

2004年，COSO委员会继在《内部控制整体框架》的观点上公布了《企业风险管理整合框架》，由此引发了关于风险与内部控制关系的探究。当前，对于两者的关连一直没有统一的观念，但主导的观点基本上都认为风险管理是内控的延伸。谢志华（2007）认为，内控和风险管理都是基于企业存在的风险而产生的，都是为了进行风险的节制，建议将内部控制与风险管理两者融合为一种统一的理论观念。丁友刚等（2007）提出，内部控制是一种控制机制，意在控制各种风险，并且该机制融入到企业综合风险管理框架之中。内部控制是一个全体员工全程介入的进程，风险管理也如此。内部控制和风险管理的施行主体是相通的，过程是相通的，最终目标还是相通的。管理风险的过程也是实施内控的过程，是协调统一、相辅相成的。

2企业内部控制存在的问题及表现

企业内部控制的施行可以高速运转企业管理机制的强化，推动企业稳定发展。但在实践过程中，内部控制影响风险管理并受其影响。这就决定了我们在分析企业内部控制存在问题时，必须就风险管理系统对企业内部控制的影响分析。其中存在的主要问题有。

2.1内部控制的认识和理解存在偏差

企业内控机制是一种自律体系，将不可避免地被内部控制概念所影响。在实际工作中，一般认为，内部控制整体汇总各种工作制度和业务规则条例，有了规则制度，也有了内部控制。这种对内部控制的观点就是规则条例，内部控制的固有的意义被真实地忽视，但忽视内控是一种机制，是控制的动态运行的事务的过程中，联锁互制的监测作用。这种过失反映了企业内部控制轨制建设过程中，建设只重视内控规制，而轻忽内部控制的实施，以及根据环境的变化对系统的改造。因此，管理者可以采取的补救方法，将精力耗费在处理种种已产生的问题上面，而内控计划的合规性和实施效果往往缺乏高效的测度。当然，企业的发展离不开基本规则，然而，一些规章制度并不是内部控制的全部，更不能取代内部控制机制。这种认识上的偏差是我国企业并没有建立起完善的内部控制体系的重要原因。

2.2内部控制制度不健全

一个明显的问题，内部控制自身的不完善及系统内的互相脱离，详细体现在如下两个方面。

一是内部控制制度牵制乏力。一些企业内部控制制度不仅是在各部门之间相互分裂，有的甚至是相互冲突的。企业内部之间不能很好地实现相互牵制，内部联系脱节。

二是没有做到内控先行。激烈的市场竞争，产品创新层出不穷，但企业缺乏讨论和详细规划在业务展开前，仅仅作原则性规定，在组织的各个层次，并根据不同的市场环境和不同的利益驱使，致使在同一企业，同一业务，操作方式都有所不同。这是不利于企业的管理，更不利于节制各类风险，提高管理和监督成本。

2.3内部控制没有与风险控制系统有机结合

企业内控的难点就是风险控制，也是企业内部控制系统的一个明显柔弱的关键。部分企业虽然成立风险管理部门，但职能仅限于资料的收集和传输，没有与其管理职能相对应的权力。在企业谋划中受到利益驱使，重视经营，轻视管理，自我防范认识较差，自我管制机制还没有完全建全，结果是内部治理跟不上业务发展的需要，内控先行尚未在新业务开发过程中施行，没有充分评估风险，也就是没有有机地控制内部控制与企业本身的风险，不利于企业更好地长远发展。

2.4风险管理系统不完善

我国企业信息管理起步较晚，数据基础管理工作极度缺乏，在风险管理过程中对数据管理存在很大问题。主要包括企业有用数据缺少内在连续性，数据的真实度很低，容易受人为因素影响等。数据的不真实导致风险的评估缺乏可信性，没有在内部控制的基础上实现全面风险管理。

3企业内部控制存在问题的原因

3.1企业风险控制意识短缺

在全球经济、政治一体化的进程中，我国和世界经济联络更加紧密，越来越多的海内企业要跨出国门，加入到国际竞争中去，必定会有很多外资企业奔入国内市场，参加到国内市场竞争中。在当前背景下，国内企业所面对的竞争压力越来越大，各类不确定成分也在逐步增加，企业所面对的各类风险更为错综复杂。但是，海内很多企业风险意识仍旧很柔弱。据数据报道，国内企业管理者所关心的风险大部分停留在财务风险方面，对风险管理与风险控制的认识还很薄弱，从而致使整体企业内部控制失效。

3.2尚未建立全面的风险评估管理体系

波及的业务，增加了一个范围广泛的能力的风险，公司治理与风险管理能力薄弱，缺乏合理的公司治理，缺乏驾驭风险管理与内部控制的专业管理人才，企业风险管理主要处在风险识别与风险评估的阶段，风险应对能力较差，而且在进行内部控制的设计和执行中，对具体业务层面的各项风险考虑较多，但对企业面临的整体风险缺乏整体思考。所以说，企业尚未建成全面的风险评价管理体系，从而导致内控失效。

3.3企业公司治理结构不完善

确保企业内部控制机制施展和激励企业内部控制高效运转的前提和根本条件，同时也是企业可以执行内控制度的环境保证就是完整的公司治理体系。企业内控的主体是企业经营管理层，若是缺乏完整的公司治理模式，企业职权设立和权力均衡系统存在弊端的话，企业内部控制就易失效。对全部控制情况形成有害影响的是组织构造的缺失，企业内在功能低下，业务管理部门人事管理出现交叉，在内部控制实施中易出现责任推卸、职责混乱的现象。

3.4企业内部控制缺乏有效的监督

因为审计规制沿用传统很多，内部审计部门很难对内控制度策划的合理性和有效运转进行连续高效的监视，而且在审计过程当中觉察的问题并没有完成真实的责任落实，在绩效评价机制中没有和领导的考核提升相互挂钩，震慑力很小。所以，为了保证企业管理系统能够进行并生产性能良好，企业内部控制机制要能适应于经营情况不断变革而对应产生的各类新环境，就必须对企业内部控制进行持续监督，从而保证企业在事后监督与事前监督两者的有益结合。

4完善企业内部控制机制的对策

对企业内部控制存在的问题以及产生的原因进行分析表明，风险管理影响企业内部控制。针对如何更好的实现企业内部控制与风险管理的有机结合，主要可以从以下几个方面加以完善：

4.1企业内部推广宣传风险管理理念

培养精良的风险管理认识是实施内部控制机制的紧要环节，是风险管理体系存在的基本条件。企业风险管理理念的宣传是企业制定战略机制的根本工作，而内部控制机制的组建和风险管理理念的宣传又同属于一个体系，两者是互相独立的。大力推广风险管理理念是构建良好企业内部环境的第一要义，企业内部环境的重要组建是关乎企业良性发展的核心体系。因此，只有企业管理者树立正确的风险管理观念，促进它的重要性，积极应对未来面临的各类风险，企业作为一个有机整体，才可促进企业价值的发展。

风险管理理念作为一个企业面对未知风险的整体态度和认识，其重要性是使企业各岗各位的员工都有所认同、有所认识，才能够在事物整体上及时发现潜在风险、认识风险、面对风险，从而进行准确评估，给出合理的应对方案。因此，推广宣传风险管理理念的工作是可取的，从而可以因此加强企业凝聚力。

4.2不断完善企业风险应对管理体系

全面识别企业风险事项。快速识别各种操作风险是企业风险管理的首要前提，风险识别是一个重要的出发点，企业风险管理系统，是企业内部控制的最困难和最重要的工作的实施。在各种风险的生产企业，必须是全面的系统识别，快速反应，区分机遇和风险，从而使企业采取措施或抓住机遇，应对风险。通过企业风险识别体系的构建，确保管理者保持企业战略目标不偏离。企业风险管理部门应当确立企业各部门的风险防范职责，其次企业风险防控部门应进行职能对接，综合处置、共同配合、集中处理应对方案的合理把控，最后核对各部门在生产经营中存在或发现的各种问题，并对其进行综合的分类、汇集，从而有利于加速企业构建风险管理体系的章程。

4.3在企业内开展有关风险管理与内部控制机制的专题讲座

定期性的组织企业全体人员参与有关风险管理理念的专题讲座，从而在案例中反思，间接性的在讲座中了解和普及风险管理的知识与认识，有周期性的讲座可以养成执行内部控制的习惯，风险管理文化的培育讲座更可以让大家养成三思而后行的风险管理意识习惯，从而达到利于企业发展的目的。通过讲座开展一案例一反思，定期进行讲座总结与案例分析更有利于强化员工心理的风险意识，实现内部控制与风险管理理念有机结合。

4.4定期规整总结、定期完善内控条例，最终达到风险管理的全面实施

企业内各部门间应定期总结阶段的成效与错误所在，企业内审计部门应进行不间断监控，有针对性的对周期内发现的风险与不完善之处进行内控执行以及风险治理，采取相对应的改善方案，有周期性的进行总结与完善调控，将有利于推进内控的进程。定期规整总结、定期完善内控条例，有利于提高更为全面的风险管理措施，也可更有利的保证了风险管理和内部控制的合理集合与有效持续的发展。

5结语

企业的风险管理和内控两者既有区分也有关联。企业风险管理需要内控的辅助，风险管理实施杰出的内部控制提供了一个很好的平台，内控与风险管理相得益彰。企业因忽视风险管理，导致企业内部控制效果不好甚至造成内部控制失效，所以，只有加强建设内部控制体系，不断提高风险管理意识，将两者有机结合起来，从而促进企业在激烈的环境中长远发展。

参考文献

[1]企业内部控制基本规范（财会[2008]7号）[J].财政部，2008（5）：13-15.

[2]高存忠.企业内部控制与风险管理[N].天津日报，2011（1）：32-33.

[3]李明.企业内部控制与风险管理[M].北京：经济科学出版社，2007.

[4]李春瑜，王凡林.基于风险管理的内部控制框架解读[J].会计师，2007（11）：38-40.

[5]池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究，2010（10）：55-62.

[6]丁友刚，胡兴国.内部控制，风险控制与风险管理：基于组织目标的概念解说与思想演进[J].会计研究，2007（12）：51-54.

[7]谢志华.内部控制，公司治理，风险管理：关系与整合[J].会计研究，2007（10）：37-45.

[8]刘霄仑.风险控制理论的再思考：基于对COSO内部控制理念的分析[J].会计研究，2010（3）：36-43.

内部控制风险分类范文篇9

关键词：风险分类；环境风险；主体风险；客体风险；风险管理

作为风险管理的基础工作，商业银行需要对其面临风险的来源、性质、演化及可能造成的后果进行认识。其中，对各种风险根据一定的标准进行分类可以将零散的各种风险联系起来，认识其中的主要矛盾。一种恰当的分类可以充分认识风险的特质，以便对各种风险进行有针对性的管理。同对风险的认识一样，风险的分类也是一个变化的过程，其实质是风险分类标准的不断更新，这种更新是由商业银行经营环境的不断变化、对风险认识的不断深化而决定的。有别于传统的风险分类，本文提出一种新的风险分类框架，并在这个框架下研究如何完善我国商业银行的风险管理。

一、一种新的风险分类框架

商业银行风险的成因一方面来自所处的客观经济环境，另一方面来自于商业银行的主观因素以及与银行发生业务关系的企业和公众的客观因素。因此，按照引发银行风险的直接原因，本文把银行风险划分为环境风险、主体风险和客体风险。

(一)环境风险

商业银行风险产生的客观经济环境包括宏观和微观两个方面。具体包括国家经济金融政策风险、经济体制风险、货币风险、行政干预风险、金融法律法规风险、利率风险、国际收支风险、社会信用环境风险和银行间竞争风险等。

(二)主体风险

主体风险是指商业银行作为一个经营货币的特殊企业，自身在经营管理等方面存在的风险。它主要包括资本风险、流动性风险、经营风险、管理风险和操作风险等方面。

(三)客体风险

商业银行的客体风险是指由于公众对银行的信心以及与商业银行有直接业务联系的企业、部门或个人由于自身的风险而给银行带来的不可避免的风险。它主要包括公众对银行的信心、借款企业的经营效益、借款企业所处行业风险、借款人保证风险、借款企业资本状况风险和借款企业所处行业的景气程度等因素。

二、新的风险分类框架下商业银行风险管理的现状分析

新的风险分类为分析我国商业银行当前面临的风险提供了一个框架，可以使我们能以一种新的视角来考察我国商业银行的风险管理现状。

(一)环境风险管理现状

1．宏观经济环境。宏观经济环境不断反映着经济周期的特定发展阶段，不断影响各种企业的经营环境。当前，我国的宏观经济环境有着下面的特点：

一是我国经济发展越来越受到国际经济的影响，在与世界经济接轨的过程中，国际经济的不确定性开始影响本国经济，中国经济将越来越受到世界经济周期的影响，包括国际金融市场。加入WTO五年过渡期很快就要过去，国际金融机构将大举进入我国市场，金融风险的产生条件、形成机理和表现特征将更加复杂，有可能由内生转变为一种内外互动条件下的高成长性风险。

二是我国经济发展中不确定因素增多。我国产权制度、企业经营体制都在发生着深刻变革，企业生命周期、发展前景中不确定因素增多。由于市场调节功能还不充分，经济发展的粗放式特征比较突出，国民经济结构的不科学、不合理，部分行业发展不规范、不健康，投资的快速增长与低水平重复建设并行发展。从2003年开始，固定资产投资规模不断扩大，钢铁、水泥、铝业、房地产行业的明显过热，其中银行贷款起了推波助澜的作用。历史经验表明，投资过热常常伴随着信贷过热，而一旦市场需求发生变化，经济形势发生逆转，大量的信贷投放往往就要形成大量的不良资产。

在信用环境方面，由于我国产权制度改革和建设起步不久，市场信誉机制还没有充分发挥作用，法制环境还不健全，社会信用体系尚未建立，社会上坑蒙拐骗、失信赖账的现象时有发生，金融诈骗、借款人逃债现象屡有发生。外部信用制度的缺失，再加上信息的不对称，商业银行很难审慎地分析借款人的真实信用水平，这往往导致了商业银行缺乏以自主风险分析为基础的“从众”行为：从政府项目贷款、上市公司融资、房地产金融到支持民营经济，乃至居民消费贷款，都体现为一哄而上的情形，而最终由于屡屡发生的借款人逃废债务问题，使得银行迅速膨胀起来的资产转化为不良资产。

2．金融市场环境。商业银行所处的金融市场可以说是最直接影响银行的环境，一个健全的金融市场可以有效化解商业银行面临的风险。作为一个发展中国家，我国经济发展具有“追赶型经济”的特点，其目标是经济高速、稳定增长和产业结构高级化，背景是市场机制不健全和信息的严重不对称。在发展的初期阶段，选择银行主导型而不是市场主导型的金融体制具有一定的客观必然性，但这种必然性之后却隐含着金融市场的很多不确定性因素。

转贴于

在我国，首先，金融市场发展严重不均衡，间接融资比例过高，融资结构过于单一；直接融资的发展速度一直较慢，与我国经济的发展速度始终不相称。其中，股权融资曾在2000年时达到了最高峰，比重占到了整个融资总额的12．6％，之后便一直呈现下降趋势。而在间接融资中的银行贷款却一直在大规模高速扩张。影响金融稳定的一个重要指标，就是整个社会融资结构过分依赖银行。2001、2002、2003年银行贷款占企业贷款的比重分别为75．9%、80．2%和81%，2004年超过90%，远高于发达国家金融市场融资格局中间接融资只占40%以下的比率。这种融资结构使得企业融资严重依赖以银行贷款为主的间接融资，而原本可以通过直接融资领域化解和分散的信用风险却过度向商业银行集中。

其次，我国的金融市场缺乏独立的企业和个人信用评价体系，使得社会信用环境没有得到制度上的净化，信用风险向商业银行过度积累及风险管理难度加大的情况下，仅仅依靠商业银行自身对风险的管理水平和管理能力来控制全社会90%以上的信用风险，对银行来说应是勉为其难的。随着经济发展转轨过程的加快，商业银行所面临信用风险管理的难度和复杂性也不断加大。

(二)主体风险管理现状

主体风险来自于商业银行自身组织结构缺陷、运营机制的不科学、管理的失误乃至企业文化存在的问题。操作风险就是典型的由于内部管理失误造成的主体风险。自从1994年银行商业化以来，一直到现在的股份制改造，其一个核心问题就是建立健全一个完善的公司治理结构。完善的公司治理结构可以形成有效的内部控制机制，化解由于自身问题所造成的风险。

与国外著名的商业银行相比，国内商业银行风险管理水平仍存在较大差距，内控薄弱是普遍存在的突出问题。近年来发生的多起案件充分暴露了国内商业银行内部控制存在的缺陷，如缺乏系统的内部控制制度和主动的风险识别与评估机制，内部控制措施零散、间断，监督检查环节不到位，缺乏对内部控制持续改进的驱动力等。内部控制环节薄弱是引发主体风险的重要原因。

(三)客体风险管理现状

客体风险是由于商业银行的业务对象自身原因所引发的风险。对于这种风险，商业银行应该有一套有效的甄别机制来判断其信用状况，借此来控制风险。

在我国，由于缺乏外部信用评级体系，对于企业或个人的风险只能由商业银行自己来进行控制。一直以来，银行重视贷款投向的政策性、合法性以及贷款运行的安全性等，依靠的还是传统的财务报表报送分析、现场调查等，侧重于定性的分析，与国外风险管理相比，风险管理量化分析手段欠缺，没有一套可靠的、可以量化的信用分析决策系统，在风险识别、度量等方面还很不精确。

三、新的风险分类框架下对商业银行风险进行管理的思路

建立一个完善的风险管理体系，是商业银行管理各种风险的一个基础平台。从监管的角度看，当今国际银行业监管的发展趋势是采用以风险为本的监管理念和方式，也就是从监测银行的具体业务活动转向督促银行建立和完善风险管理体系，确保银行按照审慎原则开展业务，有效地管理和控制风险。

首先，要逐步建立全面风险管理体系。所谓全面风险管理是指对整个机构内各个层次的业务单位、各个种类风险的通盘管理。这种管理要求将信用风险、市场风险及各种其他风险以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中，对各类风险依据统一的标准进行测量并加总，且依据全部业务的相关性对风险进行控制和管理。这种方法不仅是银行业务多元化后银行机构本身产生的一种需求，也是当今国际监管机构对各大机构提出的一种要求。在新的监管措施得到落实后，这类新的风险管理方法会更广泛地得到应用。我国商业银行风险管理中普遍缺乏预警机制，所以必须将风险预警体系的建设提到各商业银行完善其风险管理体系的计划表中，使风险管理形成一个集风险的事先预防、事中控制与事后补救的完整、全面的体系。

其次，必须建立完善的内控机制。内控机制的建立健全会有效防范由于银行内部控制的疏漏而导致的风险。建立健全各种规章制度和严格的业务程序，形成制度对人的约束，减少工作中不良的人为因素的影响。

再次，必须在银行内部形成一种正确的风险文化。当风险被视为商业银行经营的最大忌讳时，往往忽略风险本身也是一种文化。商业银行在风险管理过程中，应该注意到只有在主动追逐风险机遇过程中完成风险管理，才是真正控制和引导风险演化。随着现代金融市场和金融工具越来越复杂，随着参与金融市场的主体不断增多而形成竞争，对商业银行风险吸收和再配置的要求提高，风险文化对商业银行来说日益重要。

值得注意的是，这种分类并不是绝对的、孤立的分类，环境风险、主体风险、客体风险也有着内在的某种联系。比如环境风险中社会信用环境的改善可以有效防范客体风险的发生，主体风险中经营管理水平、内控水平的提高可以有效防范环境和客体风险。所以，风险管理中必须注意各种风险的关联问题，这也从一个侧面反映了全面风险管理的理念。

四、新的风险分类框架下对商业银行风险进行管理的对策

(一)对环境风险管理的对策

商业银行对环境风险的管理主要在于分析经济环境的状态、发展趋势，充分估计国际和本国经济金融环境变化对本行相关业务的影响程度。对环境风险主要依靠专家来对其一做出评价面对转轨期不均衡的经济运行态势，银行特别要注意对国民经济总体形势的把握，充分估计经济发展中的各种不确定性因素，加强对环境风险的分析，理性对待市场环境和经济形势。要防止盲目跟风，被经济形势所左右，从而使自身陷入流动性、违约和价格波动的多重风险之中。

当前我国商业银行在承担经济增长的资金供应的同时，也承担了很多社会经济增长波动的风险。考察银行系统的不良资产，可以发现，如此庞大的银行不良资产并不是均衡分布，最为密集的时期就是经济大起大落时期：1992～1993年、1997～1998年，这使得商业银行承担了整个经济波动的风险。2003年以来，在新一轮的经济快速发展、甚至出现部分行业过热中，银行贷款起到了推波助澜的作用，虽然国家实行了宏观调控，贷款总量增幅下降，但是下降的主要是短期贷款，中长期贷款一直保持着明显的增幅。中长期贷款相当一部分是用在基础设施项目上，必然会在银行系统增加不稳定因素。

(二)对主体风险管理的对策

要有效防范主体风险，首先，是要有一个健全和完善的公司治理结构。完善的公司治理结构可以有效防范由于自身原因而造成的风险，可以形成一种有效的权利制衡机制，防止滥用职权、人为疏漏可能造成的主体风险。完善公司治理结构的同时还要求产权制度的改革、完善激励机制、完善信息披露制度等相关制度的配合。

其次，要加强内部控制体系的建设，内部控制的完善是建立全面风险管理体系的基础。内部控制并非是专门针对防范主体风险，但内部控制体系的建立强调了工作的系统性、透明性，对防范由于银行内部制度不完善、程序不合理、人员不负责所引起的风险有着特殊的作用，真正可以实现以制度来规范工作、约束员工，降低主体风险的发生几率。

第三，要积极探索防范操作风险的方法，加强对工作程序的控制和相关人员的约束。(1)银行必须更新程序使用手册，也就是说银行必须审核所有流程并做成记录文件；(2)对每一项流程，指出所有有潜在失效可能的流程节点并提出可以适用的机制；(3)每当事件发生，其性质及相关的损失影响都应妥为记录；(4)银行必须进行监管，以防逾越限制的情况发生。

(三)对客体风险管理的对策

对客体风险的管理向来是我国银行风险管理工作的重心。客体风险中，信用风险的管理地位最重要。由于缺乏有效的外部风险防范及转移机制，不能通过外部的评级机构和征信机构对企业和消费者的信用状况进行评价。所以，加强内部评级及消费者信用分析系统的建设在目前来说显得尤为重要。

内部控制风险分类范文篇10

论文摘要:提出商业银行风险管理的整体框架,并就风险管理的政策与流程、技术与系统、组织与文化进行叙述。分析风险管理组织架构的三个层次,对国际上对银行风险管理组织架构进行比较研究,提出在组织架构方面应遵循的基本原则。

一、国际银行业风险管理框架分析

(一)风险管理政策与流程

国际活跃银行的风险管理政策框架核心共同点包括:在管理信用风险方面大量使用风险度量模型,构建了比较严谨的内部评级法;采用var法等手段度量市场风险;通过严谨科学的内控系统控制和防范操作风险等。在政策上,通过制定科学的风险战略和投资组合制度、风险准备金提取制度、先进的客户和授信评级制度等,有效控制和防范风险。

国际活跃银行在授信流程方面既体现出不同特点,也体现出共同性:一是对资产业务、贷款审批、放款操作进行集中控制;二是审批环节少,审批效率有高度保证;三是贷款审批和业务营销两个环节既互相分离和制约,又能紧密结合,确保贷款及时发放;四是贷款审批流程相对独立;四是对个人授权(特别是金额较小的授信),明确个人负责;五是授权清晰,根据风险程度进行权限划分,业务岗位一般拥有小额贷款审批权,以满足客户的紧急需求;六是从单笔交易审批走向对客户授信总量的控制。

(二)风险管理技术与系统

近年来,国际活跃银行在风险管理技术和系统方面取得了长足的进步,主要体现在以下方面。

1.以违约率为主要工具量化风险

随着风险管理理论的创新和计算机技术的运用,现代风险管理正迅速朝着被科学量化的方向发展,企业信用状况的不同和信用状况的变化对信用风险的影响最终通过违约率的不同和变化而被量化,不同信用状况资产的违约率成为贯穿于商业银行进行风险资产度量、信用定价、经济资本配置以及信用衍生产品价格确定等全过程的核心工具之一。

2.建立适合自身特点的信用风险度量模型

现代信用风险度量模型主要有如下四类:

(1)信用矩阵模型(creditmetrics),由j.p.摩根银行1997年开发,运用var框架,对贷款和非交易资产进行估价和风险计算。

(2)麦肯锡模型,在creditmetrics的基础上,对周期性因素进行了处理,将评级转移矩阵与经济增长率、失业率、利率、汇率、政府支出等宏观经济变量之间的关系模型化,并通过蒙特卡罗模拟技术模拟周期性因素的“冲击”来测定评级转移概率的变化。

(3)信用风险附加计量模型,由瑞士信贷银行(csfp)开发,它是一个违约模型,它在任何时期只考虑违约和不违约这两种事件状态,计量预期和未预期的损失。

(4)kmv模型,利用blackscholes期权定价公式、企业的违约距离与预期违约率(edf)之间对应关系等,求出企业的预期违约率。

3.高度重视客户评级和债项评级

国际活跃银行高度重视客户评级和债项评级工作,通常对借款人的评级以外部评级资料为基础,根据本行评级政策和方法,对借款人的信用等级进行更细致的划分。对每个授信客户和每笔授信业务的评级,除作为信贷决策的重要考虑因素外,还以此为依据,进行授信定价、提取呆帐准备金、配置资本金等。

国际活跃银行参照外部评级机构(如moody’s和s&p)方法,结合自身特点制订内部评级体系,通过综合运用各种评级工具,实现评级尺度定量化。如法国兴业银行并不是简单地以财务报表作为评级的唯一根据,而是开发出财务分析模型、经济模型、支持度模型和国家风险模型等四个模型,对借款人进行综合的分析。

4.建立模型分析专业队伍和信息系统

部分国际活跃银行设立了定价模型(或模型分析)团队。由数学、统计、计算机等多名博士或专业人士为整个集团的模型进行服务。例如苏格兰皇家银行(rbs)有一个行业分析团队,共由40人左右的专家构成。通过行业分析组的研究,为业务部门推荐全行业排名前5-10名的企业情况。业务部门可根据名单,对优质客户立即着手进行跟踪,力图尽快建立客户往来。

(三)风险管理组织与文化

国际活跃银行的信贷风险管理组织架构模式,可分为三个相互关联而又相互制衡的层次:决策层(专门负责风险政策的制定、检查)、执行层(负责具体的信贷业务)和监督层(负责监控业务执行部门的风险控制水平)。首先,在决策层,由董事会领导下的风险管理委员会、信贷管理委员会等设定信贷风险管理策略。其次,在执行层和监督层,信贷业务由相对独立而又有机结合的三个模块构成:第一模块,根据信贷政策进行信贷营销、客户关系管理;第二模块,对信贷业务风险进行监控;第三模块,负责信贷业务的具体发放。这种模式可以从风险控制角度来实行全面的审贷分离,又能保证内部沟通渠道的畅通,并及时、全面、系统地进行内部检查和稽核。

1.决策层

从国际活跃银行来看,由作为最高权力机构的董事会对全行的风险控制负最终责任,董事会下设风险管理委员会等相关机构,负责制定风险管理策略(包括业务指引、额度设置、绩效考核目标等)。

瑞士银行集团(ubs)高层管理架构分为集团董事会和集团执行董事会(执行层面)。董事会负责公司风险管理基本原则、方针等,下设的执行董事会具体贯彻执行,包括批准核心政策、分拆风险限额给各业务部门、全面管理全集团的风险。

花旗集团设有风险窗口委员会,作为审议本行风险承受能力与风险政策的最高机构,检查和评价本行的所有风险。该委员会的工作包括三大部分:在全球范围内评估花旗集团所处的外部环境;评估公司各类风险窗口;议定公司期望的风险窗口水平并随之决定相应措施进行调整。

2.执行层

国际活跃银行的执行层有如下特点:

(

1)紧密贴近市场

风险管理执行人员(机构)与业务部门联系紧密或本身就设置在业务部门内部,保证了风险管理不会脱离市场。比如,rbs在每个业务板块均设有风险官,通过他们直接审批自己权限内的贷款申请,并可根据公司的年经营额及所申请贷款的金额不同,在自己权限内进行审批。通过这种方式,可以保证风险部门的人员与前线业务部门尽可能相靠近,有利于其对客户、业务、贷款背景最直接、最客观的了解,从而保证对各风险因素最有利的控制。

(2)全口径的风险控制集中化

国际活跃银行最基本的共同点是对各类风险都实行了集中、统一的管理。例如ubs对集团内部的风险分类,根据业务风险和内部风险的不同特性,将所有风险划分成为业务风险和内部风险。集团的首席风险官(cro)对市场、操作和信用三大风险进行总负责。

再如美洲银行,风险管理部门在四大业务线设立风险执行官,负责各自业务线中风险的监控职责。同时风险管理部也委任上述风险执行官监控全集团范围内的信用、市场和操作风险。

(3)强调风险管理的独立性

独立性是风险管理体系能够有效发挥作用的重要保证,风险管理在银行内部处于较高层次和地位是其保持独立性的重要保障。德意志银行风险管理的基本原则之一是保持风险控制的独立性。这种独立性主要表现在风险管理的职能、人员和机构、报告路线等方面。

国际活跃银行的风险管理人员的任命、考核、调动等一般在风险管理系统中决定,派出到各地区总部或分行的风险管理人员也不受当地领导的制约。这就从人事制度上保证了风险管理的独立性。风险管理工作,包括信息的传递、风险管理方针政策的施行、授信项目的审批等,一般都在风险管理系统内进行,不受分行或业务部门负责人的干预。

(4)贯彻“明确个人责任”的原则

花旗银行对产品风险经理、地区风险经理等制定了具体的责任和义务,如:产品风险经理要设定风险限额和进行限额控制,履行风险分析责任、政策和流程控制责任;地区风险经理负责贯穿于这一地区所有产品的市场风险管理;作为当地风险管理委员会的市场风险管理方面的代表,在所在地区充当风险管理协调人。在这种明确的个人责任制度下,审批过程变得简洁、高效,不会出现推诿扯皮现象,也不会出现形式上集体负责,事实上无人负责的问题。

3.监督层

在监督层面,国际活跃银行有的通过董事会领导下的稽核委员会进行监督,也有的通过董事会风险管理委员会领导下设的监督检查部门履行监督检查职能。一般都与业务部门、风险管理部门保持独立。

例如ubs集团,集团内部稽核部门的设置是独立于集团内其它任何部门的。该部门主管直接向集团董事会主席报告,同时协助董事会对执行层面的内部控制事项进行及时的掌握和监控,特别是在评估集团内控机制有效性方面。该部门还为风险管理、控制流程、法律法规、以及是否符合监管当局的规定方面提供独立的评估体系,负责向董事会和公司治理委员会递交年度审计报告和半年经营报告。该部门通过和主席办公室以及稽核委员会成员的密切沟通,向他们提供集团内控方面的重要事项动态及有关解决方案,同时还和瑞士联邦国家委员会或其它银行监管部门保持良好的往来。

二、我国银行风险管理框架建设的原则

在风险管理流程方面,应结合国际通行经验和

3.完善风险管理政策

提出风险管理政策、制度目标框架及其实施规划,启动风险管理政策制度库和政策制度电子平台的建设。制定政策分层方案,推进各层面的政策制度建设。

对风险管理规章制度进行全面梳理,初步形成完整、明确的政策制度体系,增强制度的完整性、科学性、有效性和可操作性。

支持授信业务发展,适时调整、规范、创新政策制度。对已有的政策制度不适应业务发展的,及时进行调整;对业务创新需要相应的制度,及时予以规范;对业务发展需要在监管政策制度方面有所突破的,及时研究。

4.改造风险管理流程

按照集中化、专业化、扁平化、垂直化的原则,逐步推进授信全流程各环节的改革。解决授信全流程各环节的职责划分,兼顾决策程序的完整与审批效率,提高决策的科学性,加强对决策各环节的后评价。

结合不良资产的分布情况和形成原因,可考虑调整授信决策程序,实施授信决策的集中化。调整授权管理模式,实施客户总量授权,推行总量审批方式,加强授信总量风险控制、提高审批效率。对公司客户授信可实行逻辑集中审批,建立专业审批人授权管理体制。

作为授信流程整合的配套工程,可改革授信评审委员会制度,对授信评审委员实行专职化,对授信评审资源进行统筹调配。制定授信审批材料的格式化、规范化要求,完善业务部门评估报告和风险部门审查报告的标准格式,明确授信审批标准。

除了授信决策环节外,对贷前、贷中、贷后的全流程进行梳理,从授信发起、授信审批、授信发放、贷后管理、资产保全、授信收回各授信环节进行细分,实施前、中、后台相互分离、相互制约的改革,有效降低授信业务的操作风险。全流程信用风险管理的关键环节如图2所示。

5.创新风险管理技术

调整细化客户评级指标体系。开发在线客户信用评级系统,将所有客户评级信息在总行集中。调整风险分类的基本方法和标准。尽快实现如下转变:由五级分类向实行内部拨备转变,由内部拨备向按照银监会要求实际计提拨备转变,并进一步向按照国际会计准则计提准备金转变。细化公司贷款五级分类标准,扩大五级分类范围,将表外资产纳入五级分类管理,制定非信贷资产风险分类标准,对各项垫款、贸易融资、票据融资(贴现押汇)和信用卡透支业务进行五级分类,制定统一的分类指引,加强对基层机构的培训、调研和指导。研发风险分类评估模板,提高风险分类量化水平。

可考虑与外部机构合作研发组合管理模型,试行信贷组合监测管理,按季对公司信贷组合的历史违约率和风险调整后监管资本收益率进行监测,从行业和地区两个维度进行风险预警和评估报告,在此基础上制定行业和地区风险监测指标,提高总行层面组合管理工具的速度和效率。深入研究巴塞尔新资本协议和资产组合管理等基础理论,逐渐缩短与国际先进银行的差距。

6.严密风险资产监控

建立监控系统,完善监控机制。在监控手段上,从依赖手工报表进行静态监控,转变为通过系统进行动态监控,确定监控指引,明确监控重点。在全面监控的基础上,按不同标识分类,重点监控大额贷款、集团客户贷款、关注类贷款和借新还旧贷款,特别对以上几个属性都有的贷款进行重点监控和分析。建立潜在不良项目库、不良大户监控库等。定期对新发生不良进行分析,建立新发生不良项目库,及时掌握新发生不良授信情况。

不断增加监控深度。明确分支机构风险管理部分绩效考核指标,对授信发展情况、新发生不良情况、大客户授信情况进行定期监控,加强对不良贷款的成因分析,对资产质量真实性进行检查。推进客户风险预警机制建设。建立负面信息网和经济情报预警平台,提高风险预警和提示的水平。

7.建设风险信息系统

应制定风险信息系统的建设规划,整理提出全口径风险管理的数据需求,推进信息电子化进程。提出授信业务数据库建设的需求和具体方案、预算,推进数据库的建设,建立资产质量监控系统和全流程的授信处理系统。针对风险管理信息技术存在的薄弱环节,制定风险管理技术实施计划,并按计划推进各项工作,包括数据差异分析和构建风险管理信息数据平台,基于法定资本的资产组合管理,开展违约率测算、信贷系统数据清理、风险预警系统的开发及专业统计软件的引入等。

8.培养风险管理专业队伍

完善风险管理组织体系建设。建立一支风险管理专业队伍,通过多种方式不断提高风险管理人员的专业素质和专业能力。建立风险管理专业序列。加强对分支机构的管理,制定风险管理负责人资格认定办法,强化监管责任。加大法规宣传教育等。充实专业人才,优化风险管理人员结构。培养一批授信决策专业人员,包括尽责审查人员、授信评审人员、专业审批人员队伍的建设。增强授信评审的独立性和专业性,为问责审批人提供更加充分的专业支持。通过考试选拨、统一培训,建立评级人员专业队伍。。

9.传播风险管理文化

内部控制风险分类范文1篇11

【关键词】保险公司风险导向内部审计

一、保险公司面临的主要风险

保险公司通常所称的风险，广义上讲，“任何会妨碍企业实现其目标的因素①”都归属于公司风险的范畴。风险有许多种分类方式，综合国内外对于风险的分类，结合保险行业的特点，本文按照风险的驱动因素，将保险公司在经营过程中面临的风险分为市场风险、信用风险、保险风险、操作风险和战略风险五大类。其中市场风险是指由于利率、汇率、权益类资产价格和不动产价格等市场价格的不利变动而造成损失的可能性；信用风险，是指由于债务人或者交易对手不能履行合同义务，或者信用状况的不利变动而造成损失的可能性；保险风险是指由于对死亡率、疾病率、赔付率、退保率等经验假设与实际情况发生偏离导致产品定价错误或者准备金提取不足，再保险安排不当，非预期重大理赔等造成损失的可能性；操作风险是指由于操作流程不完善、人为过错和信息系统故障等原因造成损失的可能性；战略风险是指由于公司治理结构不完善、决策与实际状况相脱节、行业政策环境变动从而导致公司发展方向或既定目标出现偏误等，而对公司的经营收益造成损失或对可持续型价值增长造成影响的可能性。上述分类主要依据保监会的分类方法并界定风险的内涵。

二、风险管理与内部审计的关系

风险管理是一个过程，它由公司董事会、管理层及其他人员实施，旨在识别可能会影响到公司的潜在风险，并管理风险至可接受的水平以内，从而为公司目标的实现提供合理保证。为了进一步促进保险公司安全可靠地运营，以应对公司面临的主要风险，就必须建立一套有效的风险管理和内控体系，包括有效的风险管理、合规、精算和内部审计制度。

保险公司的各职能部门应建立以风险管理为中心的三道防线的管理框架。第一道防线由各职能部门和业务单位组成。在业务前端识别、评估、应对、监控与报告风险。第二道防线由风险管理委员会和风险管理部门组成。综合协调制定各类风险政策、标准和限额，提出应对建议。第三道防线由审计委员会和内部审计部门组成。针对公司已经建立的风险管理流程和各项风险的控制程序和活动进行监督（邹斌，2012）。

三、内部审计全流程以风险为导向的探索

（一）立项阶段

依据重点风险进行项目立项。审计指引和项目计划的编制是立项阶段的两项主要工作。在风险导向内部审计模式下，需要改变原来依据审计偏好、审计经验进行简单判断的现状。在编制审计项目计划之前，应结合组织风险管理目标进行年度风险识别和评估，确定关键风险领域，风险高的领域作为年度审计计划优先安排的项目。

一是在编制年度审计指引时，应根据监管重点和管理层的要求，结合以往审计评估的风险分布状况与重要内控风险、非现场核实项目、需跟踪整改事项等对专业条线、审计区域的风险分布状况进行分析、评估，以便于全面、完整地编制审计指引。专业条线审计指引的编写应围绕审计目标，综合考虑审计项目的重要性、工作量、创新性，以“监管重点、公司管理重点、系统性风险、高风险领域、重点机构、审计创新、审计整改跟踪”七个要素为审计项目立项依据，明确审计项目属性以及重点机构的范围，编制审计项目计划。

二是在制定区域审计项目计划时，在进行区域风险分析的基础上，将条线风险分析和区域风险分析的交集作为各区域当期监督的重点机构和重点领域。

三是在进行项目整体统筹时，应根据审计项目的风险等级等特征确定审计项目的分类和重点项目的数量占比，明确各类项目的成果目标；同时，应根据各区域风险分析结果确定不同风险等级水平项目的人力资质和数量的配备要求，逐步实现由“资源导向”向“风险导向”确定审计项目的转变。

（二）准备阶段

准备阶段主要是审计方案的编制，也是实施风险的预判。该阶段应以系统性风险、高风险机构及风险性问题作为审计选择目标，并把被审计机构的高风险领域和环节作为审计切入点，有针对性地开展审计工作，同时使立项的依据更具说服力，避免立项的随意性、主观性。在风险导向内部审计模式下，要根据保险公司“经营成果真实有效性、经营行为合规性、内部控制有效性”等特征来确定审计项目的重点和重点审计的程序，根据“系统性、重要性和高风险性”等风险特点来确定审计人力的分配，采取非现场审计和现场审计相结合的技术手段，突出对重大风险问题的预判。准备阶段的风险预判工作是风险导向内部审计的重心。

1.市场风险预判包括：（1）利率风险：是否具有固定收益类产品的投资资质；是否建立固定收益投资各项风险的有效控制措施；投资的债券品种是否符合监管规定；债券内部信用评级基本流程是否符合监管要求；存款交易对手是否符合监管规定；协议存款投资是否符合公司资产配置计划及相关监管要求，等等。（2）权益资产价格风险：股票投资策略是否与公司偿付能力状况相匹配；股票投资是否建立股票池管理制度；单笔股票投资是否符合监管禁止规定；股票投资相关风险是否进行事前识别；股票投资风险是否得到监控，等等。（3）汇率风险：国际政治经济形势；大宗商品价格，等等。（4）不动产价格风险：不动产投资资质；投资范围、比例和方式是否符合监管规定/监管禁止规定；估值是否合理，等等。（5）其他金融资产价格风险：资产的收益与负债的成本是否匹配；资产的流动性与负债的流动性是否匹配；投资指引是否有效；投资组合是否符合投资管理要求，等等。

2.信用风险预判包括：（1）投资信用风险：债务人或交易对手资信状况；担保情况，等等。（2）应收保费风险：投保人或中介机构资信状况；应收保费的催收与跟踪措施是否有效，等等。（3）再保险公司资信风险：再保险接受人资信状况，等等。

3.保险风险预判包括：死亡率风险、发病率风险、退保率风险。以上三项的风险预判要点：保险产品分类是否正确；产品费率是否合规；保单现金价值确定是否规范；红利计息期间是否规范；条款费率适用是否合规；产品组合是否规范；是否存在违规承诺；是否支付合同以外利益，等等。

4.操作风险预判包括：（1）外部事件风险：应急预案制定是否具有可操作性、熟知度，演练是否有效，等等。（2）信息系统风险：信息系统安全管理是否有效；信息技术战略规划是否合理可行；信息系统开发申请及开发流程是否符合内控要求；信息系统运维是否有效，等等。（3）内部流程风险内控体系是否健全与合规；制度流程设计是否合规与合理；制度流程执行是否有效，等等。（4）人员风险：人力资源政策和制度、激励约束机制、奖惩机制是否持续和有效，等等。（5）合规风险：是否建立内控体系；是否对主要控制活动的风险进行识别；对关键风险的应对措施是否有效，等等。

5.战略风险预判包括：（1）治理结构风险：公司章程的执行、修改、报批是否依法合规；股东及其出资是否合法；股东（大）会是否依法合规运作；董事、独立董事、监事是否尽职；董事会及其下设委员会、监事会运作和关联交易管理、识别、披露等以及董、监、高任免薪酬管理是否规范，等等。（2）战略及决策风险：是否制定了发展战略的管理流程；发展战略实施、达成情况是否被恰当地监控和分析，等等。（3）政策风险：国内外政治、经济形势；政府的经济发展规划；监管部门的关注重点，等等。

内部审计部门应当关注内部风险下列因素：（1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（2）组织机构、经营方式、资产管理、业务流程等管理因素。（3）研究开发、技术投入、信息技术运用等自主创新因素。（4）财务状况、经营成果、现金流量等财务因素。（5）营运安全、员工健康、环境保护等安全环保因素。（6）其他有关内部风险因素。对于属于外部风险的，应当同时关注下列因素：（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（2）法律法规、监管要求等法律因素。（3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（4）技术进步、工艺改进等科学技术因素。（5）自然灾害、环境状况等自然环境因素。（6）其他有关外部风险因素（乔奕，2009；冯宽，2012）。

（三）实施阶段

主要解决风险定性与定量判断。在风险导向内部审计的模式下，风险评估应当采用定性与定量相结合的方式。定量评估应当统一制定各风险的度量单位和风险度量模型，确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。因此，本文引入了“审计风险评级”的设计概念。审计风险评级的设计思路是以控制为基础，实现控制缺陷定位准确、评价内容完整、评价方法合理，为开展“以风险为导向”的审计提供指导。因此审计风险评级应包括：控制矩阵、评估矩阵、风险等级评估标准、审计风险评级实施方法和内部控制风险地图等五部分组成的审计风险评级框架。

1.按控制矩阵解决风险的定位问题。要根据各机构的业务特性对公司所有的控制进行了梳理，按照其操作模式划分出具体的控制活动，并将控制活动中的每一个控制节点细化至具体的控制措施，形成以控制为基础的控制矩阵，使公司的所有控制与控制矩阵之间建立起一一对应的关系，保证了风险的位置是唯一确定的。当公司业务发生变化时，围绕该业务所实施的控制必然随之产生变动，相应的风险也会随着控制的变动而转移。此时只需要将控制矩阵按照控制的变化进行调整，时刻保证控制矩阵与控制之间的对应关系，就能够保证风险的定位不会产生偏差。

2.按风险评估标准解决单项风险的计量问题。不同原因所产生的内控风险，对公司造成的影响也有所差异。为此引入风险评估标准，全面评估风险的影响，并综合风险发生的原因对风险的等级进行评估，以解决风险评价完整性的问题。首先，将风险的影响分为财务影响和非财务影响两大类：财务影响中包含“已发生或潜在损失”和“财务数据失真”两项；非财务影响包含“声誉损失”、“监管风险”、“员工队伍/权利/生命/健康的伤害”、“信息泄露”、“对信息系统的破坏或威胁”和“对流程的影响范围”等六项，并根据影响的程度划分影响等级。其次，根据风险发生的动因，将风险的产生原因分为“制度设计”、“制度”、“制度执行”、“人员”和“控制固有频率”等五项，并根据严重程度划分风险发生原因等级。在评估风险等级时，先甄别所有的影响类别，按照每个影响因素的程度大小分别评价相应的影响程度等级，取所有影响程度中的最高级别作为该审计发现问题或风险的影响程度等级；再分析发生该风险的原因，按照其严重程度评价风险发生原因等级；分别得到影响程度和发生原因的等级后，综合评估得出该审计发现问题或风险的风险等级。

3.用风险等级评价模型解决风险汇总计量的问题。通过审计检查，可以得到具体风险的等级，但风险所处的位置、风险等级各不相同，如何将各个明细控制点的风险等级汇总转换成机构、专业条线的风险等级，也是内控审计评级的重要内容。

（1）以重要性水平解决风险评价适当的问题。不同业务规模的机构，其风险承受能力也有所差异。相同损失的风险对于业务规模较大机构的风险等级，较业务规模较小机构的风险等级也有所不同。为保证风险衡量的适当性，对不同机构设置了差异性的重要性水平，通过将风险的损失与重要性水平进行对比，得到适合该机构的风险等级。对于总部级别公司，按照其上一年度内涵价值的5%作为其最高级别重要性水平，分支机构的重要性水平按照其上一年度保费规模占到上级机构保费规模的比例进行分配，所有下级机构的重要性水平相加等于其上级机构重要性水平。按照总量控制、比例分摊的原则来确定具体机构的重要性水平，一方面考虑了不同机构其风险承受能力不同，另一方面也考虑了机构不断发展的实际情况，相同的机构在不同年度中的重要性水平可能差异较大。

（2）以统计抽样技术解决评估误差问题。采取统计抽样技术能够实现审计成本的经济性、总体推断的准确性和误差大小的可接受性：一是对于因审计资源的制约不能全面检查的内容，采取抽样审计的方式；二是在开展“以风险导向”的审计中，通过风险分层确定检查方式，对风险分层较低，没有必要全面调查的内容，采取统计抽样技术解决；三是通过统计抽样技术检验审计样本的准确性，修正审计样本的误差。利用检查阶段的抽样，对风险损失大小、风险水平等要素进行统计估计，从而对机构、专业条线、区域的整体指标状况的统计推算，实现对总体风险的把握和判断，同时分析抽样误差，保证评估结果的准确性。

（3）以汇总规则解决风险评价充分的问题。对于风险的计量，采用从小到大逐级汇总的方式来实现。首先，根据审计发现问题或风险的具体情况，按照内部控制风险等级评估标准，评估审计发现问题或风险的风险等级，并在内部控制评估矩阵中确定其所属的控制事项，进而评估该控制事项风险等级；其次，根据该控制事项的风险等级，评估控制事项所属控制活动的风险等级；最后，根据控制活动风险等级，评估业务条线的风险等级，将机构的所有业务条线风险等级进行综合评估，得到机构的风险等级。为了对多个控制事项的风险等级综合得出控制活动风险等级，以及多个控制活动的风险等级综合得出专业条线的风险等级等风险综合汇总问题，可通过设置如下规则实现风险的综合汇总：风险等级由其等级最高的风险决定；控制活动的风险等级要综合考虑各控制事项风险的等级和权重；专业条线的风险等级要综合考虑各控制活动风险的等级和权重；机构的风险等级要综合考虑其下属各专业条线风险等级和权重。

（四）报告阶段

揭示重大风险可以通过分析公司业务流程，绘制控制矩阵，根据评估需求将相关控制矩阵进行组合形成评估矩阵，将审计中发现的问题按照风险评估标准进行风险评级，按照评估需求将风险逐级累计，并最终形成风险地图。内部审计部门也可以根据风险地图中风险的等级、分布等情况，有效开展以风险为导向的内部审计。对高风险机构、高风险领域以及风险频发机构、区域、专业条线等开展具有针对性的审计，以提高审计效能。我们可以通过风险地图，直观展示风险等级。

在风险导向内部审计模式下，我们需要改变过去只注重表象，简单罗列问题的模式，强调对系统性、重要性和风险性等问题的梳理和归纳，找出其根源和趋势，并提出可操作的合理化建议，发挥审计咨询的功能。为此，内部审计部门应定期收集各类报告和信息（行业信息和其他条线信息），撰写业务条线和区域的综合分析报告，突出对系统性风险、重要性机构、高风险问题的分析；对新产品、新领域的新生风险、突发性合规风险、财务风险、声誉风险等，应在第一时间进行报告，提高对重大风险的揭示率。

（作者周仲平为高级会计师；张凭为审计师、CPA）

参考文献

[1]陈文辉.国际保险监管核心原则的最新发展与中国实践[M].北京：人民日报出版社，2012-05-01（第1版）.

[2]IAIS.InsuranceCorePrinciplesStandardsGuidanceandAssessmentMethodology[S].October，2011.

[3]中国保险监督管理委员会.保险稽查审计指引：2012第2号，财务分册[M].北京：中国财政经济出版社，2012（第1版）.

[4]中国保险监督管理委员会.保险稽查审计指引：2012第3号，公司层面内部控制分册[M].北京：中国财政经济出版社，2012（第1版）.

[5]中国保险监督管理委员会.保险稽查审计指引：2012第4号，人身保险业务分册[M].北京：中国财政经济出版社，2012（第1版）.

[6]中国保险监督管理委员会.保险稽查审计指引：2012第5号，资金运用分册[M].北京：中国财政经济出版社，2012（第1版）.

[7]中国保险监督管理委员会.保险公司风险管理指引（试行）[S].保监发〔2007〕23号，2007-04-06.

[8]中国保险监督管理委员会.保险公司内部审计指引（试行）[S].保监发〔2010〕89号，2007-04-09.

[9]中国保险监督管理委员会.人身保险公司全面风险管理实施指引[S].保监发〔2007〕26号，2010-10-24.

[10]董玉玲.浅析风险导向内部审计[J].北京：全国商情（理论研究），2012（2）.

[11]庄飞鹏.基于风险导向的企业内部审计运作流程研究[J].武汉：财会通讯，2012（1）.

[12]马建敏.浅谈企业风险导向内部审计的实践模式[J].昆明：时代金融，2012（2）.

[13]邹斌.XHRS保险公司内部审计框架优化[D].宁夏大学硕士论文，2012-11-30.

内部控制风险分类范文篇12

浅议审计风险的评价文章作者：阿飞文章加入时间：2005年9月7日10:56近两年来，我国会计市场接连发生重大的诉讼案件，许多注册会计师和会计师事务所，都被牵扯到经济案件中，在社会上产生了很大的反响。随着国有企业改革的进一步深化和会计师事务所脱钩改制的完成，注册会计师更需要对被审计单位的审计风险有一个清醒的认识。审计风险，英文称auditrisk(ar)，是指在会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。审计风险的造物主是注册会计师（cpa），它的产生并非偶然，当注册会计师的慧眼终究识破不了被审计单位的会计报表中存在的重大错报和漏报时，就有发表不恰当审计意见的可能性。于是，审计风险就产生了。随着审计事

业的发展，职业界对审计风险问题将日趋重视，努力从本单位的实际情况出发，根据自己所处的环境和条件，在审计准备、实施和报告阶段采取各种风险管理和控制对策，以减少审计风险。避免风险损失是当前会计师事务所迫切需要解决的问题。审计风险的评价贯穿于审计过程的始终。审计风险评价的高与低、正确与否和注册会计师承担的审计责任有密切的关系，因此，加强审计风险管理，正确评价审计风险已成为会计师事务所提高审计质量和效率的一种十分重要的手段。一、审计风险的构成要素及其关系审计风险的内部控制结构很简单，由固有风险（inherentrisk,缩写为ir）、控制风险（controlrisk—cr）和检查风险（detctionrisk—dk）三部分组成。所谓固有风险险是指假定不存在相关内部控制时，某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报或漏报的可能性。所谓控制风险，是指某一帐户或交易类型单独或连同其他帐户或交易类型产生错误或漏报，而未能被内部控制防止、发现或纠正的可能性。所谓检查风险，是指某一帐户或交易类型单独或连同其他帐户、交易类型产生重大错报或漏报而未能被实质性测试发现的可能性。在审计风险的三个构成要素中，ir和cr是审计风险的硬件，因为它们的产生源于被审计单位，不易改变，注册会计师对比无能为力。因此，注册会计师只能将工作重点放在实质性测试上，以便将审计风险的软件dr控制在可接受的水平内，进而将审计风险降低至可接受的范围内。ir、cr和dr相互关系可以用定量和定性两个模型来考察。从定量的角度看，审计风险三要是的相互关系可用下列公式表示：审计风险=固有风险×控制风险×检查风险根据上述公式，在既定的审计风险下，检查风险可计算如下：检查风险=审计风险/（固有风险×控制风险）例如：某注册会计师可接受的审计风险为5%，根据以往审计经验以及本年度审计对内部控制的研究和评价，他将被审计单位的固有风险和控制风险分别评估为60%和40%，以这些评估为基础，他可接受的检查风险如下：dr=5%/（60%+40%）=20.8%从定性的角度考虑，审计风险三要素的相互关系如下表所示：注册会计师对固有风险的评估注册会计师对控制风险的评估高中低注册会计师可接受的检查风险高最低较低中等中较低中等较高低中等较高最高上表说明，检查风险与固有风险和控制风险的综合水平之间存在着反比关系。固有风险和控制风险的综合水平越高，注册会计师可接受的检查风险水平越低，反之亦然。换言之，当固有风险和控制风险的综合水平越高时，注册会计师必须扩大审计范围，将检查风险尽量降低，以便使整个审计风险降低至可接受的水平；反之，如果被审计单位内部控制行之有效，固有风险和控制风险的综合水平较低，则注册会计师即使冒较大检查风险，但总体审计风险仍然较低。因此，评价审计风险应从它的三个要素入手，下面就分别进行阐述。二、固有风险的评价固有风险与被审计单位内部控制是否存在、是否有效有关，是被审计单位所固有的，是注册会计师不能改变的，但是，注册会计师可以通过研究和评价被审计单位的内部控制来对它做出评估，若被审计单位内部控制良好，则会计报表产生错报或漏报的可能性就较小，注册会计师可将其评价为低水平；反之，则应评价为高水平。在评价固有风险时要考虑多方面的因素，这些因素大体可以分为两类：第一类因素与会计报表定省略符合性测试，直接实施实质性测试，将无法对内部控制的有效性做出评价，基于稳健考虑，应当将控制风险评估为高水平。只有出现下列情况时，注册会计师才不应当将控制风险评为高水平：1、相关内部控制可能防止、发现或纠正重大错报或漏报。2、注册会计师不拟进行符合性测试。上述第一种情况说明内部控制可能有效，第二种情况说明控制风险的高低，只有待注册会计师实施符合性测试程序后，才能最终予以评估。（二）符合性测试与控制风险的进一步评价注册会计师如拟信赖被审计单位内部控制，应当实施符合性测试程序，以评价控制风险。初步评价的控制风险水平越低，注册会计师就应获取越多关于内部控制设计合理和运行有效的证据。这包括两层含义：第一层含义是实施符合性测试是确定信赖内部控制的前提条件。当然，如果不准备信赖内部控制，注册会计师便不实施符合性测试。第二层含义说明了控制风险初步评价结果与审计证据的关系。如前所述，基于稳健原则，注册会计师宁可高估控制风险，不可低估控制风险。因此，注册会计师如将控制风险评估为最低水平，则他必须获取尽可能多的证据以表明内部控制设计合理、运行有效。进行了符合性测试后，注册会计师应当根据符合性测试的结果，评价内部控制的设计和运行是否与控制风险的初步评估结论相一致。如果存在偏差，应当修正对控制风险的评价，并据以修改实质性测试程序的性质、时间和范围。控制风险可评价为高水平，也可评价为低水平。意味着内部控制不能及时防止或发现和纠正某项认定中的重要错报或漏报的可能性很大。如果很多认定或所有认定的控制风险都被评价为高水平，那么注册会计师就要研究是否应进一步对被审计单位会计报表进行审计。注册会计师只有在确认以下事项的情况下，才能将控制风险评价为高水平：1、控制政策和程序与认定不相关；2、控制政策和程序无效；3、取得证据来评价控制政策和程序显得不经济。注册会计师只有在确认以下事项的情况下，才能将控制风险评价为低水平：1、控制政策和程序与认定相关；2、通过符合性测试已获得证据证明控制有效。如果注册会计师评价企业内部控制为高信赖程度，说明控制风险为最低。而控制风险越低，注册会计师就可以执行越有限的实质性测试。如果内部控制为低信赖程度，说明控制风险很高，那么，注册会计师只有依靠执行更多的实质性程序，才能控制检查风险处于低水平，进而控制审计风险处于低水平。只有这样，才能保证审计的质量。可以看出，内部控制目标与审计目标相联系，无效的内部控制必然导致注册会计师增加实质性测试的工作量。但不论固有风险和控制风险的评估结果如何，注册会计师均应对各重要账户或交易类别进行实质性测试。（三）实质性测试与控制风险的最终评价注册会计师在终结审计之前，应当根据实质性测试的结果和其他审计证据，对控制风险进行最终评估，并检查其是否与控制风险的初步评估结果相一致。如果不一致，如实质性测试结果表明，控制风险水平高于控制风险的初步评估水平，可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平，在这种情况下，注册会计师应当考虑是否追加相应的审计程序。例如：通过发函询证，注册会计师发现回函结果与被审计单位的会计记录普遍存在重大差异，这表明被审计单位未能有效地就应收账款与客户定期核对。为此，注册会计师可能决定全面、详细地审查所有销货交易，扩大应收账款的函证范围。通过控制测试和实质性测试，可以从总体上把握审计质量，控制审计风险。四、检查风险的评价（一）检查风险的评价基础

如前所述，审计风险三要素之间存在着密切联系。固有风险与控制风险的综合水平，决定者注册会计师的检查风险水平。评价的固有风险与控制风险综合水平越高，注册会计师可接受的检查风险水平也越低，反之亦然。因此，由于控制风险与固有风险相互联系，注册会计师应当对固有风险和控制风险进行综合评估，并据以作为检查风险的评估基础。鉴于固有风险与控制风险的评估对检查风险有直接影响，固有风险和控制风险水平越高，注册会计师应实施越详细的实质性测试程序，并着重考虑其性质。例如：针对存货和产品成本项目，除进行分析性复核外，还应对其余额进行实质性测试，并对实质性测试的时间（如在接近会计期间结束时）、范围（如抽取较大样本）加以关注，以将检查风险降低至可接受的水平。（二）检查风险对确定实质性测试的性质、时间和范围的影响不论固有风险与控制风险的评估结果如何，注册会计师都应当对各重要账户或交易类别进行实质性测试。然而，注册会计师实施的实质性测试，其性质、时间和范围的确定，最终取决于根据固有风险和控制风险的综合水平确定的可接受的检查风险。它们的关系如下表所示：实质性测试可受的检查风险性质时间范围高分析性复核和交易测试为主期中审计为主较小样本较小证据中分析性复核、交易测试以及余额测试结合运用其中审计、期末审计和期后审计结合运用适中样本适量证据低余额测试为主期末审计和期后审计为主较大样本较多证据（三）检查风险与审计意见的类型检查风险不仅影响注册会计师所实施的实质性测试的性质、时间和范围，而且影响注册会计师所发表的审计意见的类型。如果经过实施有关实质性测试后注册会计师仍认为与某一重要账户或交易类别的认定有关的检查风险不能降低至可接受的水平，那么，他应当发表保留意见或拒绝表示意见。这是因为，如果不能将重要账户或交易类别的检查风险降低至可接受的水平，说明注册会计师因审计范围受到重大限制，难以确定有多少重大错报或漏报，无法通过实质性测试予以发现，会计报表的部分或全部认定是否真实、公允也难以确定。在这种情况下，比较稳妥的做法是发表保留意见或拒绝表示意见。作为对外开放的专业服务市场之一，我国会计市场入世后必将发生很大变化。在未来市场中如何定位，已成为每一个会计师事务所当前最为关心的问题。如何科学合理地评价及运用审计风险理论已成为一个关系到会计师事务所生死存亡的关键因素。最近，一些专家提出了一种新的审计风险评价模式：ar=ir+cr+dr+u（r）。u为随机扰动项，是一个风险的函数，专门应对那些无法估计到的因素，像汇率变动、物价上涨等因素。这一函数的引用将使审计风险模型的功能更加完备，同时事务所生存的压力也将增大。入世后，对注册会计师出具的审计报告期望越高，注册会计师事务所面临的审计风险就越大，稍有疏忽，有关会计师事务所就会面临关闭、没收财产、罚款、直接责任人被吊销执业资格的局面，甚至会导致某些人锒铛入狱等。如前所述，注册会计师所从事的是一种风险性行业，只要执业环境存在缺陷，只要采用抽样审计，就会存在审计风险。注册会计师或许无法完全规避审计风险，但这不等于说他们可置审计风险于不顾。相反地讲，面对客观存在的审计风险，注册会计师应保持职业谨慎，运用专业判断，对被审计单位的审计风险各要素，包括固有风险、控制风险和检查风险进行全面的评价。如果评价结果表明被审计单位的固有风险和控制风险较高，注册会计师就应当实施能够将检查风险降低至最低水平的实质性测试，即以余额（金额）测试为主，在资产

负债表日之后实施，抽取较大样本，获取较多审计证据，只有这样，才能将总体审计风险降低至注册会计师可接受的水平。现实是残酷的，而面对现实更需要理智和谋略，对注册会计师及事务所来说，转变观念，强化风险意识，建立良好的内部运行机制和完善内部质量控制制度，提高从业人员素质，引入风险管理模式等手段不失为一种降低审计风险，提高执业质量的有效途径。文章出处：【大中小】【打印】【关闭】