《高精度应急预测预警装备公司治理与内部控制制度.docx》由会员分享,可在线阅读,更多相关《高精度应急预测预警装备公司治理与内部控制制度.docx(89页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/高精度应急预测预警装备公司治理与内部控制制度高精度应急预测预警装备公司治理与内部控制制度目录一、 公司简介3二、 项目基本情况4三、 内部控制评价工作底稿与报告6四、 内部控制评价的组织与实施8五、 审计工作计划与实施18六、 审计范围与审计目标23七、 风险分析方法的选择26八、 风险分析的方法26九、 风险的分类和评估33十、 风险的概念及其分类36十一、 内部控制的局限性38十二、 内部控制的重要性41十三、 企业风险管理44十四、 内部控制与企业风险管理的关系分析54十五、 组织架构分析56劳动定员一览表57十六、 法人治理59十七、 发展规划分析70十八、 SWOT分析78一、
2、 公司简介(一)公司基本信息1、公司名称:xx投资管理公司2、法定代表人:邹xx3、注册资本:870万元4、统一社会信用代码:xxxxxxxxxxxxx5、登记机关:xxx市场监督管理局6、成立日期:2011-9-277、营业期限:2011-9-27至无固定期限8、注册地址:xx市xx区xx(二)公司简介公司始终坚持“人本、诚信、创新、共赢”的经营理念,以“市场为导向、顾客为中心”的企业服务宗旨,竭诚为国内外客户提供优质产品和一流服务,欢迎各界人士光临指导和洽谈业务。企业履行社会责任,既是实现经济、环境、社会可持续发展的必由之路,也是实现企业自身可持续发展的必然选择;既是顺应经济社会发展趋势的
3、外在要求,也是提升企业可持续发展能力的内在需求;既是企业转变发展方式、实现科学发展的重要途径,也是企业国际化发展的战略需要。遵循“奉献能源、创造和谐”的企业宗旨,公司积极履行社会责任,依法经营、诚实守信,节约资源、保护环境,以人为本、构建和谐企业,回馈社会、实现价值共享,致力于实现经济、环境和社会三大责任的有机统一。公司把建立健全社会责任管理机制作为社会责任管理推进工作的基础,从制度建设、组织架构和能力建设等方面着手,建立了一套较为完善的社会责任管理机制。二、 项目基本情况(一)项目投资人xx投资管理公司(二)建设地点本期项目选址位于xx(以选址意见书为准)。(三)项目选址本期项目选址位于xx
4、(以选址意见书为准),占地面积约96.00亩。(四)项目实施进度本期项目建设期限规划24个月。(五)投资估算本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算,项目总投资30094.10万元,其中:建设投资24536.02万元,占项目总投资的81.53%;建设期利息720.05万元,占项目总投资的2.39%;流动资金4838.03万元,占项目总投资的16.08%。(六)资金筹措项目总投资30094.10万元,根据资金筹措方案,xx投资管理公司计划自筹资金(资本金)15399.15万元。根据谨慎财务测算,本期工程项目申请银行借款总额14694.95万元。(七)经济评价1、项目达产
5、年预期营业收入(SP):58200.00万元。2、年综合总成本费用(TC):47703.67万元。3、项目达产年净利润(NP):7669.82万元。4、财务内部收益率(FIRR):18.87%。5、全部投资回收期(Pt):6.15年(含建设期24个月)。6、达产年盈亏平衡点(BEP):24185.98万元(产值)。(八)主要经济技术指标主要经济指标一览表序号项目单位指标备注1占地面积64000.00约96.00亩1.1总建筑面积102462.34容积率1.601.2基底面积37120.00建筑系数58.00%1.3投资强度万元/亩246.732总投资万元30094.102.1建设投资万元245
6、36.022.1.1工程费用万元21366.612.1.2工程建设其他费用万元2655.202.1.3预备费万元514.212.2建设期利息万元720.052.3流动资金万元4838.033资金筹措万元30094.103.1自筹资金万元15399.153.2银行贷款万元14694.954营业收入万元58200.00正常运营年份5总成本费用万元47703.676利润总额万元10226.437净利润万元7669.828所得税万元2556.619增值税万元2249.1910税金及附加万元269.9011纳税总额万元5075.7012工业增加值万元17264.8713盈亏平衡点万元24185.98产值
7、14回收期年6.15含建设期24个月15财务内部收益率18.87%所得税后16财务净现值万元8287.01所得税后三、 内部控制评价工作底稿与报告(一)内部控制评价工作底稿根据企业内部控制评价指引第十一条的要求,内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。(二)内部控制评价报告根据企业内部控制基本规范企业内部控制评价指引的相关规定,企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。1、内部控制评价报告的内容根据
8、企业内部控制评价指引第二十二条的规定,内部控制评价报告至少应当披露下列内容:(1)董事会对内部控制报告真实性的声明;(2)内部控制评价工作的总体情况;(3)内部控制评价的依据;(4)内部控制评价的范围:(5)内部控制评价的程序和方法;(6)内部控制缺陷及其认定情况;(7)内部控制的整改情况及对重大缺陷拟采取的整改措施;(8)内部控制有效性的结论。2、报告时间及要求内部控制评价报告应当报经董事会或类似权力机构批准后与审计报告一起对外披露。企业应当以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应当在基准日后4个月内报出。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控
9、制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。四、 内部控制评价的组织与实施内部控制评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕企业内部控制基本规范中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及企业内部控制基本规范及企业内部控制应用指引中的内容。在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性;同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以
10、及认定结果等;企业还应在评价工作中明确内部控制缺陷的认定准则;完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露:企业董事会应当对内部控制评价报告的真实性负责。(一)内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员,通过对单位内部控制系统的了解、测试和分析,对其完整性、合理性及有效性提出意见,并进行报告,以利于单位进一步健全和完善内部控制体系。我国企业内部控制基本规范第四十六条指出:企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实
11、际风险水平等自行确定。(二)内部控制评价应当遵循的原则根据企业内部控制评价指引第三条的规定,内部控制评价应遵循以下3个原则。1、全面性原则评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。2、重要性原则评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。3、客观性原则评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。(三)内部控制评价的内容根据企业内部控制评价指引的要求,内部控制评价涉及以下7个方面。(1)企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通
12、、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。(2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。(3)企业组织开展风险评估机制评价,应当以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。(4)企业组织开展控制活动评价,应当以企业内部控制基本规范和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控
13、制措施的设计和运行情况进行认定和评价。(5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。(6)企业组织开展内部监督评价,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。(7)内部控制评价工作应当形
14、成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。(四)内部控制评价的程序根据企业内部控制评价指引第十二条的要求,企业应按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括制订评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。在这里重点讲解制订评价控制方案、组成评价工作组、实施评价工作与测试、汇总评价结果四个环节。1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。承担内
15、部控制评价的部门或机构应具备以下条件。(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。内部控制评价部门或机构应根据内部监督情况和要求,制订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权审批后实施。这是一个进行内部控制评估
16、前的全面计划,提供内部控制评价的效率和效果。2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后,需要组织评价工作组,具体承担内部控制检查评价任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业可根据自身的条件建立内部控制培训机制,为评价工作组成员提供培训,使其尽快掌握内部控制知识,熟悉企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的要求。对于拥有内部审计部门的企业来说,内审部门很有可能也同样地担当内部控制评价组的工作。但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据企业内部控
17、制基本规范的要求,则该事务所不应同时为企业提供内部控制的审计服务。3、实施评价工作与测试评价工作组需通过了解企业层面基本情况、各业务层面的主要流程,识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作。(1)了解公司层面基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。(2)了解各业务层面的主要流程及风险。在这一阶段,评价工作组把工作重点放在主要业务流程上,如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行,企业应建立全面文档记录。文档记录可以帮助评价工作组了
18、解各个主要业务领域的流程,识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有以下几种。风险控制矩阵文档。关注点在于复核风险流程的合理性,例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合,流程图是否清楚地标示所有风险点及控制点,流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作及相应的控制活动
19、。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风险,提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制,这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见,可能是电子化或者是人工的,并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并做出结论的地方。例如,银行账户管理中,银行账户的开立、变更及撤销未经合理的审批及授权,对于该风险点应该采取相应控制措施,提交给银行的开立账户申请书需要经过公司总经理书面批准(签章)
20、,提交给银行的变更账户申请需要经过财务经理和总经理审批,提交给银行的撤销账户申请需要经过财务经理和总经理审批。再以资金管理流程为例,企业面临的一个关键业务风险可能是客户需求的波动,当客户需求下降时,企业收入减少,进而发生资金的短缺并增加对营运资金需求的压力,资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费用成本增加。固有风险是指假设不存在相关的内部控制,某一业务风险事项发生的可能性。例如,某企业所处行业的性质决定该类企业资金、在建工程与固定资产的交易比存货(通常为一些低值易耗品)的交易更容易出现差错。一些产生经营风险的外部因素也可能影响固有风险,如“节能减排”的目标要求企业
21、投资建立高效率、低消耗的新型生产线,并对旧装备进行技术改造,这些都会影响资金流。在各重要流程中,管理层可能已实施不同程度的控制以应对风险。例如,在资金管理流程、银行账户的开立的风险点中,可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章。(3)确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,进行分工与测试。评价范围、方式、程序和频率,将因企业经营业务调整、经营环境、风险水平等因素而异。(4)开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法,收集被评价单位内部控制设计与
22、运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调查问卷。调查问卷多用于企业层面的评价,通过扩大对象范围,如企业中的全体员工,收集简单结果,如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行的分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本,获取原始单据,跟踪交易从最初起源,到会计处理、信息系统和财务报告编制,
23、直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”,评价工作人员可获取对一个流程的了解,查找潜在的内控设计问题并识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用计算机来完成。其他抽样如分层抽样、整群抽样及系统抽样等。比较分析。这是一种通过数据分析,识别评价关注点的方法。例如,通过比较月度的销售情况,识别异常区间
24、,进行检查。审阅与检查。这也是在业务层面评价的常用方法,通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。4、汇总评价结果评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度,有关评价报告应由评价工作组负责人严格审核确认;与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。如果在评价工作中发现所有差异,如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异,也应在汇总中适当地记录。企业内部控制评价部门或
25、机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。五、 审计工作计划与实施(一)审计工作计划企业内部审计指引第六条的规定:注册会计师应该恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。企业内部审计指引第七条的规定:在计划审计工作时,注册会计师应当评价下
26、列事项对内部控制、财务报表以及审计工作的影响:与企业相关的风险;相关法律法规和行业概况;企业组织结构和经营特点、资本结构等相关事项;企业内部控制最近发生变化的程度:与企业沟通过的内部控制缺陷;重要性、风险等与确定内部控制重大缺陷相关的因素对内部控制有效性的初步判断;可获取的、与内部控制有效性相关的证据的类型和范围。注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少本
27、应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。(二)审计工作实施企业内部审计指引第十条规定:注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险,选择拟测试控制的基本思路。注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。“自上而下”的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后注册会计师将关注重点
28、放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。1、识别企业层面控制通过了解企业与财务报告相关的整体风险,注册会计师可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注以下几方面。(1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入企业业务流程:对诚信和道德价值观念的沟通与落实;对胜任能力的重视;治理层的参与程度:管理层的理念和经营风格;
29、组织结构;6职权与责任的分配;人力资源政策与落实。(2)针对董事会、经理层凌驾于控制之上的风险而设计的控制。注册会计师可以根据对企业舞弊风险的评估做出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。注册会计师应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑企业如何纠正不正确的交易处理。(3)企业的风险评估过程。包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。注册会计师在对企业整体层面的风险评估过程进行了解和评估时,考虑的主要因素可能包括:企业是否已建立并沟通其整体目标,并辅以具体
30、策略和业务流程层面的计划;是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;是否已建立某种机制,识别和应对可能对企业产生重大且普遍影响的变化;会计部门是否建立了某种流程,以识别会计准则的重大变化;业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;风险管理部门是否建立了某种流程,以识别经营环境,包括监管环境发生的重大变化。(4)对内部信息传递和财务报告流程的控制。注册会计师应当从下列方面了解与财务报告相关的信息系统:对财务报表具有重大影响的各类交易;在信息技术和人工系统中,交易生成、记录、处理和报告的程序;与交易生成、记
31、录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;企业编制财务报告的过程,包括做出的重大会计估计和披露。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。2、识别业务层面控制注册会计师测试业务层面控制,应当把握重要性原则,结合企业
32、实际内部控制各项应用指引的要求和企业层面控制的测试情况,重点对生产经营活动中的重要业务与事项的控制进行测试。注册会计师应首先确定企业的重要业务流程和影响重大账户的重要交易类别,了解重要交易从发生到记入账目的整个流程,与重大账户及其相关认定相结合,在重要交易整个流程中确定错报可能会在什么环节发生,即确定相应的控制目标;然后根据确定的审计测试策略、计划对内部控制进行进一步了解和评估,对重要交易流程中设计的防止或发现并纠正可能错报的相关控制加以识别;再通过执行穿行测试,来证实对重要交易流程和相关控制的了解,并确定相关控制是否得到执行;最后对相关控制的设计和是否得到执行进行评价,以确定进一步的审计程序
33、。六、 审计范围与审计目标内部控制作为企业中一项重要的管理活动,用来促进提高经营的效率效果,实现企业的发展战略。一些国家和地区,如美国、日本、欧盟等对内部控制审计已提出强制性要求。同样,我国企业内部控制基本规范中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年度自我评价报告外,在第十条中明确指出:上市公司和非上市大中型企业聘请符合资格的会计师事务所,根据规范及配套办法和相关执业准则,对企业财务报告内部控制的有效性进行审计并出具审计报告。会计师事务所及其签字的从业人员应当对发布的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。(一
34、)内部控制审计的定义内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效做出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制,它是企业改善经营管理、提高经济效益的自我需要。一般地,企业内部审计部门负责内部控制审计,也可以委托不负责年审的会计师事务所开展内部控制审计。(二)内部控制审计的范围内部控制审计的范围限于特定日期与财务报表相关的内部控制。通常,注册会计师对某特定日期的内部控制进行审核。特定日期可以是会计年度结束日,也可以是某中期结束日。注册会计师对某特定日期的内部控制审核时,应在接近于此日期之前的一段时间内对内部控制进行了解和测试,
35、并对该日期的内部控制有效性发表审核意见。(三)内部控制审计的目标1、内控审计目标的具体界定内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性,具体表现为其能够保障资产、资金的安全,即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。2、内控审计目标与财务报表审计目标的联系与区别(1)两者的联系。内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层对外提供的资产负债表,表上反映有多少资产,其明示或暗示了这样几个声明:资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地,外部财务报表审计
36、的具体目标也就是鉴证企业管理层的这些声明是否属实。(2)两者的区别。财务报表审计直接评价的是财务报表,或者说直接评价资产、资金本身的安全状态,其目标对象是资产、资金本身,而内部控制审计直接评价的是内部控制能否保障资产、资金的安全,其目标对象是内部控制,而资产、资金只是作为中间的观察对象而存在。财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”,一般不评价资产、资金的“动的安全”,即不评价资产、资金在流转中的增值性;而由于内部控制既要保障资产、资金“静的安全”,又要保障其“动的安全”,所以内部控制审计既检查资产、资金的“静的安全”,又检查资产、资金的“动的安全”。七、 风险分析方法
37、的选择选择风险分析的方法和判断标准,应考虑行业自身特点,区别它们各自的关注点,灵活确定风险分析过程和分析方法。例如,对于金融行业来说,丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重:而对于通信行业来说,业务停顿风险带来的损失比少量数据丢失的风险更难以接受。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。企业可以根据自身的具
38、体情况来选择定性或定量的分析方法。当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅更清晰地分析了资产的风险情况,也极大简化了分析的过程,加快了分析进度。八、 风险分析的方法风险分析的方法一般包括定量分析方法和定性分析方法。但当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅可以清晰地分析企业资产的风险情况,而且也极大地简化了分析的过程,加快了风险分析的进度。(一)定量分析法定量分析法就是对风险的程度用直观的数据表示出来,其主要思路是对
39、构成风险的各个要素和潜在损失的程度赋予数值或货币金额这样风险分析的整个过程和结果都可以被量化了。在度量风险的所有要素(资产价值、脆弱性级别等)中,风险分析人员计算资产暴露程度,计算控制成本以及确定所有其他值时,应尽量具有相同的客观性。风险大小的判断可以根据风险暴露的大小乘以风险发生的概率加以确定。目前比较常用的定量分析方法有:MPY(年度可能最大损失)值估计法、情景分析法、VAR(风险价值)法、敏感性分析等。1、MPY值估计法MPY值估计法是评估一般危害性风险的方法,是指在某一特定年度中,单一风险单位或多个风险单位遭受一种或多种事故所致的最大总损失。年度最大可信总损失与年度预期总损失不同,年度
40、预期损失是平均损失,而年度可信总损失与风险管理人员的主观判断有关。2、情景分析法情景分析法是通过假设、预测、模拟等手段生成未来情景,并分析其对目标产生影响的一种分析方法。该方法根据发展趋势的多样性,通过对系统内外相关问题的系统分析,设计出多种可能的未来前景,然后用类似于撰写电影剧本的手法,对系统发展态势做出详细的情景和画面的描述。当一个项目持续的时间较长时,往往要考虑各种技术、经济和社会因素的影响,可用情景分析法来预测和识别其关键风险因素及其影响程度。情景分析法对以下情况特别有用:提醒决策者注意某种措施或政策可能引起的风险或危机性的后果;建议需要进行监视的风险范围;研究某些关键性因素对未来过程
41、的影响;提醒人们注意某种技术的发展会给人们带来哪些风险。3、VAR法VAR法即风险价值法,是指在正常的市场条件和给定的置信度内,某种投资组合在既定时期内所面临的市场风险大小和可能遭受的潜在最大价值损失。VAR把对预期的未来损失的大小和该损失发生的可能性结合起来,不仅让投资者知道发生损失的规模,而且知道其发生的可能性,是一种数量化市场风险的重要度量工具。VAR法利用统计技术来度量投资风险,对某个有价证券,在市场条件下,对给定的时间区间的置信水平a,VAR给出了该有价证券最大可能的预期损失,即可以保证损失不会超过VAR的概率为1a。计算VAR常用的方法主要有3种。(1)历史模拟法。该方法是借助于计
42、算过去一段时间内的资产组合风险收益的频度分布,通过找到历史上一段时间内的平均收益以及在既定置信水平a下的最低收益率,计算资产组合的VAR值。(2)方差一协方差法。该方法的基本思路为:首先,利用历史数据计算资产组合的收益的方差、标准差、协方差;其次,假定资产组合收益是正态分布,可求出在一定置信水平下,反映了分布偏离均值程度的临界值;最后,建立与风险损失的联系,推导VAR值。(3)蒙特卡罗模拟法。它是基于历史数据和既定分布假定的参数特征,借助随机产生的方法模拟出大量的资产组合收益的数值,再计算VAR值。4、敏感分析法敏感分析法是指通过对项目各种不确定因素在未来发生变化时对经济效果指标影响程度的比较
43、,找出敏感因素,提出相应对策。它是在项目评价的不确定分析中被广泛运用的主要方法之一。在项目计算期内可能发生变化的因素主要有建设投资、产品产量、产品售价、主要原材料供应及价格、劳动力价格、建设工期及外汇汇率等。敏感性分析就是要分析预测这些因素单独变化或多因素变化时对项目内部收益率、静态投资回收期和借款偿还期等的影响。这些影响应是用数字、图表或曲线的形式进行描述,使决策者了解不确定因素对项目评价的影响程度,确定不确定性因素变化的临界值,以便采取防范措施,从而提高决策的准确性和可靠性。各因素的变化都会引起效益指标的一定变化,但其影响程度却各不相同。有些因素小幅度变化,就能引起经济评价指标发生较大幅度
44、的波动;而另一类因素即使发生了较大幅度的变化,对经济效益指标的影响也不是很大。一般把前一类因素称为敏感性因素,后一类称为非敏感性因素。敏感性分析的目的就是要筛选敏感性因素和非敏感性因素。敏感性分析的步骤如下。(1)确定敏感性分析指标。投资项目经济评价有一整套指标体系,在进行敏感性分析时,应选择最能反映项目经济效益的一个或几个主要指标进行分析。最基本的分析指标是内部收益率,根据项目的实际情况也可选择净现值或投资回收期等指标,必要时可同时针对两个或两个以上的指标进行敏感性分析。(2)选择敏感性分析的不确定因素。影响项目经济效益指标的因素很多,如产品产量、价格、经营成本、投资额、建设期和生产期等。在
45、实际的敏感性分析中,没有必要也不可能对所有因素进行分析。根据项目特点,结合经验判断选择对项目影响效益较大且重要的不确定因素进行分析。经验表明,应主要对销售收入、产品价格、产量、经营成本、建设投资等不确定因素进行敏感性分析。(3)确定不确定因素的变化范围。在选择不确定因素分析基础上,还要进一步分析不确定因素的可能变动范围。一般选择不确定因素变化的百分率为+5%、+10%、土15%、土20%等,对于不便用百分数表示的因素,可采用延长一段时间表示,如延长一年。(4)计算敏感性分析指标。为较准确反映项目评价指标对不确定因素的敏感程度,分析不确定因素的变化使项目由可行变为不可行的临界数值,应计算敏感度系
46、数和临界点指标。敏感度系数。敏感度系数指项目评价指标变化的百分率与不确定因素变化的百分率之比。敏感度系数高,表示项目效益对该不确定因素敏感程度高。临界点。临界点是指不确定性因素的变化使项目由可行变为不可行的临界数值,可采用不确定性因素相对基本方案的变化率或相对应的具体数值表示。当该不确定性因素为费用科目时,即为其增加的百分率,当其为效益科目时为降低的百分率。临界点也可用该百分率对应的具体数值表示。当不确定因素的变化超过了临界点所表示的不确定因素的极限变化时,项目将由可行变为不可行。临界点的高低与计算临界点指标的初始值有关。若选取基准收益率为计算临界点的指标,对于同一个项目,随着设定基准收益率的
47、提高,临界点就会变低;而在一定的基准收益率下,临界点越低,说明该因素对项目评价指标影响越大,项目对该因素就越敏感。从根本上说,临界点计算是使用插值法,也可以借助于计算机的相关软件,由于项目评价指标的变化与不确定因素变化之间不是直线关系,当通过直线图求解时也会存在一定的误差。(二)定性分析法定性分析法与定量分析法的区别在于不需要对资产及各相关要素的分配确定数值,而是赋予一个相对值。在风险管理过程中,风险分析是最困难的。风险经理往往陷入两难的境地,即为了追求准确,就必须应用复杂的概率计算方法和采用精度较高的模型,但是限于资料的稀缺和时间的紧迫,这种方法或模型就被迫放弃。大多数的风险经理宁愿放弃准确度的较高要求而采用定性的预测方法,即将风险的概率估计予以主观量化。据统计,75%的项目经理采用的风险分析方法是专家调查打分法。例如,通过问卷、面谈及研讨会的形式进行数据收集和风险分析,这个方法涉及各业务部门的人员,这个过程带有一定的主观性,