风险自评报告范文
时间:2023-11-14 17:15:27
风险自评报告篇1
(一)动员部署阶段工作情况(30分,自评分28分)
1、建立健全组织领导机构。局党组召开会议专题研究部署了廉政风险防控工作;成立了领导小组并有一名领导班子成员分管;设立了廉政风险防控工作办公室并有专人办公;制定了县商务局廉政风险防控工作方案,自评分10分。
2、党组主要领导履行第一责任人职责、分管领导具体负责、纪检监察机关发挥组织协调作用。局党组书记、局长亲自研究、动员部署此项工作;分管领导定期协调解决工作中的问题;对基层单位及部门开展了两次以上的监督检查,自评分10分
3、宣传发动工作贯穿始终,营造良好舆论氛围。局党组及时召开了动员会;在整个工作过程中遇到问题及时召开推进会,共召开推进会两次;组织全体工作人员开展了专题业务培训;在本单位的“商务之窗网站”设立了专题网页,自评分8分
(二)重点推进阶段工作情况(50分)
1、清权确权(20分,自评分20分))
(1)按照有关法律法规及“三定方案”,对涉及商务部门权力的事项进行了全面清理。自评分8分。
(2)详细编制了内部及外部职权目录。自评分4分。
(3)根据职权目录认真绘制了内部及外部权力运行流程图。自评分4分。
(4)以印发文件、制作展板方式并在政府信息公开网上公开公示了本单位职权目录和权力运行流程图。自评分4分。
2、排查风险点,确定风险等级(15分,自评分15分)
(1)排查风险点。风险排查按照单位、部门和岗位三个层面进行;党政正职、领导班子成员、中层以下干部全部进行了风险排查,无人员遗漏;风险排查紧紧围绕“三重一大”进行排查。全局共排查领导岗位3个,其他岗位3个,内设机构3个,自评分10分。
(2)风险等级评估。逐一评估风险点、确定风险等级,共排查出高、中、低风险点52个,制定防控措施49条。自评分5分。
3、制定防控措施和处置纠正问题(15分,自评分15分)
(1)制定防控措施。针对排查出的风险点“一对一”制定防控措施;防控措施有针对性和可操作性;建立了廉政风险点目录并以展板形式进行了公开公示。自评分10分。
(2)处置纠正廉政风险防控工作中发现的问题。对廉政风险防控工作中发现的问题,及时处置,切实整改到位。自评分5分。
(三)检查考核阶段工作情况(20分,自评分20分)
1、认真做好总结。对全局开展的廉政风险排查工作全部进行了“回头看”,对照要求进行自查并提出改进措施;对其中一些好的经验和做法进行提炼;及时报送总结。自评分10分。
风险自评报告篇2
一、当前企业内控评价体系中的现状及所存在的问题
1.无经常性自我报告制度。多数企业没有定期对内部控制的有效性进行自我评价并出具内部控制自我评价报告,这可能导致无法对企业内部控制的风险、控制的适当性及有效性、重大缺陷及问题、业务运作效率等方面进行整体评价,发现其中的问题,更无法对现有内部控制工作提出改进建议。
2.尚未建立风险分析、预警、应对机制。某些企业只有当风险发生时才采取措施加以补救,偏重于事后控制而忽视事前的预防控制,对突发性及临时性事件没有充分的考量,而按照以往的规律经验办事。具体表现在内部控制的相应条款上没有考虑到一些事项的变更情况及相应的处理情况,很可能在未来会因此而受到经济损失。
3.风险评估不及时。风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节。风险评估必须是动态的跟踪评估,有些风险因素是短时的甚至是瞬间的,需要立刻做出化解风险的决策,因此其时效性是至关重要的。目前有些企业仍处于阶段性的定期评估状态,有失对风险的及时主动控制,而滞后控制往往成效甚微。
二、加强风险导向内控评价体系的建立及完善措施
1.建立全面的内控评价体系
企业应定期对整个企业内控有效性进行评价,对内控评价报告中列示的问题,应当采取适当的措施进行改进,并追究相关人员的责任,管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。通过内控体系要素评分、内控审计并结合持续自我评估和专项评价的结果,对企业内部控制整体有效性进行评价。企业应指导风险管理部门的内控体系整体评价工作,审议内控体系有效性整体评价报告。
2.建立经常性自我报告制度
为了检查企业内部控制和风险管理体系的实施情况和有效性,本文建议企业应对管理和业务流程进行持续监控与分析、评价并汇报管控缺陷,并制定自身适用的内部控制评价办法,分析评价内部控制发现的缺陷,组织调查内部控制缺陷责任,制订内部控制缺陷整改措施并监督落实。
每一年度终了,监察审计部结合对企业内部控制的日常监督和专项监督的检查结果,对该年来内部控制体系的建立与运行的有效性进行全面总结和评价,出具企业内部控制年度评价报告,并上报审计委员会。审计委员会通过进一步的调查了解,形成《内部控制自我评价报告》,提请企业董事会审议批准。董事会和经营管理层针对评价报告中所发现的问题提出完善方案,监察审计部在审计委员会的领导下,对内部控制的完善情况进行跟踪检查。
3.建立风险评估机制
风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节,具体包括了目标设定、风险识别和风险应对,应该将风险评估上升到风险管理的高度,将风险作为控制的核心理念,而且以目标位导向能使控制方向更明确,从而控制企业的整体发展。所以风险评估必须是动态的跟踪评估。
并且,控制环境中包括的要素很多,但考虑成本效益原则,并不是所有的要素都有控制的价值。因此需要通对企业主要业务的特点进行分析,结合先前的管理经验,参照同行业先进内部控制管理企业的做法,对那些会影响有关控制目标实现的要素的风险程度进行合理的评估,对那些风险水平较高的可控因素实施控制,按以下流程进行评估:工作目标风险评估控制风险的措施。以工作目标为风险评估的起点,找出控制环境诸要素中可能导致工作目标不能如期实现的关键控制点,通过对其风险程度的评估,并采取科学控制风险的措施,积极有效地加以控制,从而保证其工作目标的实现。
4.健全风险管理机构
本文建议企业应建立健全规范的企业法人治理结构,确立董事会在企业全面风险管理中的中心地位。使董事会切实履行确定企业风险管理总体目标、风险偏好、风险承受度的责任,批准风险管理策略和重大风险管理解决方案,做出有效控制风险的决策。
风险自评报告篇3
关键词:注册会计师 风险评估 风险管理 内部控制
一、引言
2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)通过了新的审计准则(审计准则第8号至第15号),以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。在PCAOB此次行动之前,不断有人发出强烈的信息,让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息,这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步,可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用,在审计财务申明中发现,适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括:审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL,Goelzer)说:这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险,并通过正确地审计计划和开展审计活动来应对风险,对于提升投资者对经审计财务报表的信心是至关重要的。
二、风险评估、企业风险管理与审计风险
(一)注册会计师风险评估 风险导向审计的核心是审计风险,任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解,在审计的所有阶段都要实施风险评估程序,并将识别和的评估的风险与实施的审计程序挂钩,而且要求针对重大的各类交易、账户余额和列报实施实质性程序,可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节,风险导向审计下审计风险模型如下:审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性,检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险。注册会计师采取以下方法展开审计工作:(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施;(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序,包括测试控制的执行有效性以及实施实质性程序;(3)注册会计师应当评价风险评估的结果是否适当,并确定是否已经获取充分、适当的审计证据;(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现,注册会计师以针对评估的财务报表层次重大错报风险为起点,确定总体应对措施,并有针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险控制在可接受的低水平。风险导向的核心是审计风险,控制审计风险的关键是风险评估程序,另一方面,企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果,并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。
(二)企业的风险管理 每个企业在经营中存在各种风险,而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同,当然金融风险也是企业(特别是金融类企业)面临的风险之一,企业风险就是企业面临的可能导致企业亏损的各种不确定性事件,降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生,或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节:风险识别、风险评估、风险应对、风险监察。第一,风险识别是指尽力识别可能对企业取得成功产生影响的风险,包括整个业务面临的较大的风险,以及与每个项目或较小的业务单位关系的风险,识别潜在风险可以认识到企业面临的各种风险类型,而且风险识别程序应该在企业内的多个层级得以执行,这与注册会计师的风险评估贯彻于整个审计过程一样。第二,风险评估是在识别了各种风险后,对风险的的性质、风险的类型、风险的发生频率等进行评价,这种评价最主要分为两方面,一个是影响,另一个是可能性,企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似,不过更加具体、全面。第三,风险应对是指对上述评估的风险采取相应的措施,以避免该风险对企业产生的损失,风险应对的策略包括风险降低(如分散投资,就是一种降低风险的措施),风险消除(使得该风险事件发生的概率降低为零),风险转移(将风险的后果采用保险、合同等方式转移出企业),风险保留(定期风险复核、控制风险情境)。第四,风险监察是指企业监测目标的实现过程,关注新的风险和相关损失,企业需要对风险进行监察,并在需要时不断作出调整。风险检查者定期检查正在发生的亏损,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。
(三)风险评估与经营风险、审计风险 企业的风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多元化投资而分散的,因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多元化投资组合而分散,是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来,这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务,也可以起到促进企业风险管理的作用,注册会计师审计过程中必须进行风险评估,风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息,以控制审计风险,企业风险管理的过程是为了控制企业经营风险,从审计风险与企业经营风险的关系,我们发现:其一,风险评估是指评估被审计单位风险,评估的过程是企业风险管理中的一个环节,所以在性质上他们具有相似性。其二,风险评估的程序包括:了
解被审计单位及其环境、了解被审计单位的内部控制等,而风险管理也需要进行这些工作,方法包括:观察、检查、分析程序,穿行测试等。风险评估。其三,风险评估的目的相同:对于注册会计师而言,风险评估的目的是为了了解被评估的财务报表重大错报风险,并且制定风险应对措施,有效地实施审计程序;对于企业而言,风险评估的目的是为了控制企业的风险点,防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和严重程度,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,管理者通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险,但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足,当然这是注册会计师收益成本分析后的结果,但是注册会计师必须区分企业经营风险与审计风险,经营风险是指实现不了经营目标和战略的可能性,经营失败是经营风险的扩大化,指企业由于经济或经济条件的变化而无法满足投资者的预期,经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼,经营风险与审计风险有一定的相关性,但风险导向的核心是审计风险,而不是企业的经营风险。
三、注册会计师风险评估与企业风险管理关系
(一)二者时间发展顺序 环境变化促使越来越多的企业实施全面风险管理,也促进了风险导向审计的发展:从20世纪90年代开始,随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征,许多跨国公司开始实施全面风险管理方法,一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视,风险管理的概念逐步引入到我国的企业中,使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月,COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上,结合《萨班斯――奥克斯法案》在报告方面的要求,明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与,应用于企业战略制定,以及企业内部各层次和部门,用于识别可能对企业造成影响的事项,管理风险为企业目标的实现提供合理保证。同时该框架还指出:企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步,2003年10月,国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则,并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月,中国注册会计师协会根据国际审计准则的最新发展,对已修订的四个新审计风险准则在全国范围内征求意见,并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作,为审计业务的展开提供了指引。
(二)二者业务性质相互影响 全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险,注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时,收集这些证据即使在理论上是可行的,但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处:(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分,注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时,会将交易的内部控制目标与关键内部控制联系起来,然后将测试的结果与风险评估的结果进行对比,这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责,注册会计师审计可以起到监督作用,发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处:第一,企业风险管理的完善性与企业内部控制系统有着很强的相关性,所以如果企业建立了一整套风险管理的体系,那么注册会计师的风险评估程序就会减少程序,因为风险评估在整个审计过程中的验证过程都是可靠的。第二,企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理,从整个企业组合的角度实施风险管理,增强了企业风险管理的有效性,注册会计师能够在更大程度上信赖企业的全面风险管理,实施风险评估。第三,企业风险管理系统的完善性越不好,注册会计师所涉及的这部分程序设计需要越谨慎,而风险评估程序后提出建议的边际贡献越高,这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。
(三)二者存在的不同 当然二者存在着以下区别:注册会计师风险评估更多是对内部控制有效性的评估,这种评估是因为审计的效率所决定的,而企业的风险管理需要覆盖企业的整体层面和各个业务流程,所以我们注册会计师的风险评估结果对于企业而言是一种参考,注册会计师的风险评估只是对内部控制水平高低的一个评价,这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况,如果仅仅是审计过程,注册会计师不需要提出风险管理改进建议,他们评估的财务报表重大错报风险只是为了控制检查风险,进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似,但企业风险管理的目的和注册会计师的风险评估还是存在不同。
四、企业风险管理及风险评估路径
(一)风险评估报告与企业风险管理 (图1)呈现了风险导向审计的框架,风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果,不断地修正与调整风险估计水平,在整个审计过程中都需要进行风险评估过程,所以注册会计师可以在审计完成后形成风险评估的最终结果,形成风险评估报告,以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素,对企业内部控制的测试结果进行一个总结性陈述,形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户,以帮助被审计客户进一步完善内部控制水平,但我们必须意识到:风险评估报告不是审计报告的子报告,风险评估报告仅仅为被审计单位进一步提高内部控制水平而用,而非鉴证报告,注册会计师不需要提供保证。
(二)风险评估报告与信息系统风险管理 注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性,所以注
册会计师必须要利用自己的专业判断或者利用专家的工作,评估被审计单位信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。针对于此,注册会计师应该追踪交易在财务报告信息系统中的处理过程(穿行测试)。与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。注册会计师应当从下列方面了解与财务报告相关的信息系统:在被审计单位经营过程中,对财务报表具有重大影响的各类交易;在信息技术和人工系统中,对交易生成、记录、处理和报告的程序;与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。注册会计师应当了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制。除此之外,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。所以我们容易看出,信息系统风险管理的有效性是注册会计师风险评估的一部分内容,虽然这种评估并非针对信息系统风险控制的所有组成部分,但可以衡量信息系统的有效性水平,这部分的报告成果有利于被审计单位完善信息系统。
风险自评报告篇4
(一)风险导向审计与金融机构洗钱风险评估的异同。具体运用中,两者均采用抽样评价方法,取证手段相同(如询问、查阅、检查等方式),评估流程类同。财务报表审计流程大致分三个阶段,即承接业务阶段的内外部风险评估,主要分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险;风险初步评估阶段,了解评价被审计单位环境、内控制度情况;进一步审计程序阶段,控制测试和实质性测试(对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序)。后续审计程序根据前阶段的风险评估结果确定,当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时,可以修正风险评估结果,并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险,确定进一步审计程序的性质、范围和时间安排,其目的在于内控风险较高时,更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为,继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似,一是了解金融机构固有风险阶段,与承接审计业务阶段内外部风险评估相似,需了解金融机构所面临的宏观经济状况,所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段,与审计风险初步评估阶段相似,对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段,与进一步审计程序阶段相似,对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中,可以在了解金融机构固有风险的基础上,确定初步评估的范围,指导深入评估的时间、范围和方法,包括对金融机构进行一次初步评估和一次深入评估,也包括根据评估结果,采取现场检查、约见谈话、现场走访等后续监管措施。不同之处在于:一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证;金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度,特别是对会计报表及账务处理的准确性及真实性进行评价,具有经济评价性质,较为复杂;后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价,具有单一性风险评价性质,较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务,并对出具的审计报告承担法律责任;洗钱风险评估是对风险进行判断,不具有强制性报告义务,较少承担法律责任。四是委托责任不同。前者是会计师事务所接受有关信息使用者的委托,对被审计单位进行审计,信息使用者包括政府、股东及投资者等相关人员;后者主要是评估主体接受政府部门委托,根据最新风险状况对被评估机构洗钱风险进行评估。
(二)风险导向审计对洗钱风险评估的借鉴意义。风险导向审计理念成熟的理论和规则对新型的洗钱风险评估具有一定的参考意义,主要表现在:一是评估理念。实施审计的范围包括被审计单位内外经济、政治、法律环境、内部控制制度及经营状况,体现出评估对象在极为复杂的情况下,仍讲究审计的成本与效益。洗钱风险评估作为近年来推出的一种监管方法,强调合理配置监管成本,通过借鉴审计规则,才能将风险为本的评估理念落到实处。二是评价体系。审计风险评价体系采用类似于矩阵的评价方法评价,其基础是被审计单位的风险不能通过细化风险点进行简单汇总,理由在于风险之间存在交叉影响。金融机构洗钱风险评估是对金融机构反洗钱内控制度及控制措施进行评价,各风险控制点对整体风险的影响与审计实务基本相同,借鉴审计评价方法,能较好反映金融机构被利用洗钱的风险。三是评估方法。开展审计时,具体审计目的不同,取证手段也不同,各具优势,金融机构洗钱风险评估的方法处于摸索阶段,通过借鉴,能优化评价效能。
二、审计风险评价体系对洗钱风险评价体系的借鉴
层次分析法(AnalyticHierarchyProcess,AHP)是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法,基本原理是:把一个复杂的决策问题视为一个系统,按总目标、子目标、评价因素的顺序进行逐步分解,构建层次结构,然后通过模糊量化确定各元素对于上层指标的重要性,以此递推到总目标层,从而为最终的决策问题提供较为科学的定量依据。洗钱风险评估方法之一为层次分析评价方法,通过采用分级细化、确定指标分值权重、逐级加减汇总的方式,确定总体水平。如澳大利亚评估洗钱风险主要考虑两个因素,一是机构被用于洗钱和恐怖融资活动的可能性(剩余风险),若机构的内在风险(自身提供的产品、服务、销售渠道、面对的客户群体导致的内在风险)较高,但其各项内控政策措施足以有效管理风险的话,则剩余风险不大;如果被评机构属于公共机构,则被用于洗钱的影响就比较大,其内控风险模块和内在风险模块的风险值根据各自重要性加总,前者减后者得出剩余风险值。我国试行的金融机构反洗钱风险评估标准中,将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标,通过对各类指标中的标准评价得分汇总得出整体风险,优点在于,整体风险或工作情况受多个控制点、事项或交易的影响,各指标的汇总得分情况能较好反映整体水平,其在工作绩效考核运用中的优势尤其明显。
审计风险值的确定方法与上不同,是在确定各类风险值(或风险高低)的基础上,对各类风险值进行数值乘算(或选用“高”、“中”、“低”等文字的定性描述),并通过矩阵表的方式计算确定风险,本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为,审计风险=重大错报风险×检查风险(实务中,注册会计师不一定用绝对数量表示风险水平,还可以选用“高”、“中”、“低”等文字描述,即审计风险值可通过数值乘算,也可以定性确定),其中,检查风险取决于审计程序设计的合理性和执行的有效性,可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险,评估时可以单独对固有风险和控制风险进行评估,也可以合并进行评估。国内有关研究提议采用矩阵方式评价风险,第一种评价方法为,洗钱风险=固有风险×内控风险,其中,固有风险包括:国家/地域风险、产品/服务风险、客户风险;内控风险主要是指反洗钱内控制度及执行风险。第二种评估方法为:反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似,金融机构洗钱风险水平受以下四个方面的因素影响:国家经济,所在行业、地域环境;反洗钱内控制度与内部环境;金融产品、服务及客户本身的洗钱风险水平;可疑交易报告的及时性和有效性。第三种评价方法为,金融机构洗钱风险=国家(地域、行业)风险×控制风险×产品(或客户)风险×交易监测风险(与审计风险评估相似,洗钱风险值可通过数值乘算,亦可定性确定)。
国外有关监管机构采取类似的矩阵评价方法,如德国运用12格矩阵表示不同的风险等级,对金融机构的风险评估方法为,金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量,其中金融机构潜在洗钱威胁分为高、中、低三档,包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档,评估结果主要依据金融机构的年度审计报告。本文认为矩阵评价方法体现出风险与成本的一种均衡,避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在:一是控制成本。风险导向审计理论认为,机构内部行使控制职能的人员素质及控制成本影响控制效果,若实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。洗钱风险评估中,某金融产品被用于洗钱的风险较高,其相关控制风险也较高,但若金融机构的该类金融产品交易量很少,则其整体洗钱风险不能被认定为高风险,投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响,如新客户“职业”登记为“其他或无业”的比例较高,则不能认定客户身份识别制度执行有效,被利用于洗钱的风险应该较高。三是不同类别风险对整体风险的影响程度。即当某类风险较高,而其他类风险较低时,须依据各类风险对整体的影响程度确定风险等级。金融机构的反洗钱义务在于预防,所有控制措施都是为做好可疑交易的监测、分析和报送服务,若客户身份识别制度和客户风险等级划分制度执行的很好,但监测分析人员的人数配置不够、分析能力不高,可疑交易分析系统的智能化不足,则应认定该单位的洗钱风险水平为高风险。
三、风险导向审计方法在洗钱风险评估方法中的运用
(一)运用抽样评价方法。审计抽样范围受所鉴定会计期间的影响,并针对该会计期间各类控制、事项或交易中的部分样本进行评价,通过样本推断总体,如年度财务报表审计,只有在审计报表期初余额,及评价期末、期后事项对报表的影响时,才会跨年度选取样本。洗钱风险评估相对灵活,可以对某一年度的洗钱风险进行抽样评估,也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。
(二)依据风险高低扩大或减少样本量。审计实务中,若认为被审计单位控制环境薄弱,则很难认定某一相关流程的控制有效,其实质性测试的样本量会大幅增加(实质性测试包括细节性测试和实质性分析程序,即对会计计量的真实性、准确性、合理性进行审查)。小型机构员工较少,限制了其职责分离的程度,虽然没有文件形式的控制要素,但了解管理层的态度、认识和措施及其控制环境非常重要,应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法,若金融机构的内控风险很高,则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行,继而影响异常交易分析识别的及时性和有效性,此时应扩大对异常交易分析及报告的样本量,确定洗钱风险的高低。
(三)整合取证手段。审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法,具体审计目的不同,取证手段和工作流程也不同。如对收入确认的完整性测试,由原始凭证追查至明细账(从发货部门的发运凭证追查至有关销售发票副本,再到收入明细账),而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中,如评价金融机构的可疑交易报告是否有遗漏,可以选取部分存量客户,从建立业务关系,到客户风险等级划分,再到可疑交易分析报告的整个流程进行取证;评价可疑交易报告是否合理,则与上述流程相反。在具体方法运用上,主要有以下几种可供借鉴。1、询问。向金融机构有关员工进行询问,获取与内部控制运行情况相关的信息。如果某项控制要求某一员工(复核人)在文件上签字以证明他复核该份文件,那么应询问其复核的性质,即对什么进行复核,复核的要点是什么,签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司,应询问此类尽职调查的方法和措施。2、穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点,如客户身份识别措施——身份识别记录——风险等级划分——交易记录保存——可疑交易提取、分析——复核确认——分析报告结论,通过穿行测试,掌握内控薄弱环节,及对整体风险的影响程度。3、重新执行。审计实务中,检查复核人员是否认真执行核对时,不仅应检查是否在相关文件上签字,还应选取一部分凭证如销售发票进行核对。在风险评估中,可以选取部分可疑交易报告,评判可疑交易分析复核的合理性;在可疑交易分析系统及风险等级划分系统(或者是功能模块)中,评估人员从相关系统调取客户身份资料(一般是开户资料)和交易记录,以评价系统设计的合理性。4、实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中,实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序(如财务指标的横纵向比较)。在洗钱风险评估中,可以运用到实质性分析程序,如“可疑交易量/同类型交易量”的横纵向比较,“未登记客户职业信息数量/所有客户数量”的横纵向比较;如私人银行业务的投资理财品种和交易金额的变动情况。
四、审计成本控制在洗钱风险评估成本中的借鉴
审计实务中,项目审计组基本为一年对一家上市公司财务报表年报进行审计,虽然企业所面临的经济环境和经营复杂程度的不断上升,注册会计师仍会在合理的时间内以合理的成本完成审计工作。风险为本的工作方法与此相同,需要以合理的成本完成洗钱风险评估工作。截至2012年底,我国具有反洗钱报告义务的金融机构共计1599家,以湖北省武汉市为例,该市具有反洗钱报告义务的金融机构共计201家,其中法人机构19家,在市内拥有下属机构的69家,无下属机构(如证券营业部、支付机构等)的113家。可以发现,监管机构与义务主体呈现一对多的现象,由此,实现评估成本的节约和效果的提高,需要考虑评估的目的,继而在评估深度、时间安排及人员配置上作出具体调整。主要有以下三种模式可供综合或单独运用:一是动态风险评估。被评估的反洗钱义务主体较多时,则对每家机构评估的时间不宜过长,如每1至2年评估一次,或借助有关机构资料进行评估,其作用在于实时掌控金融机构的洗钱风险。如德国对受监管的2000多家金融机构每年重新评估一次,调整风险评级,当出现影响风险评级的情形时及时调整(如金融机构某客户被FATF或联合国安理会列入制裁名单,则立即调整金融机构风险等级)。二是周期性评估。如3年及以上评估一次,该模式的假设前提是短期内金融机构的洗钱风险不会发生较大变化,当金融机构较多时,可以分配至各个年度,并采取“深入”评估的方式进行评估。三是法人监管模式的自主型评估与分支机构的配合型评估。即对法人金融机构进行全面、深入的评估,重点包括内控制度建设、管理体系及执行有效性上面;对于地方分支机构,应以配合上级部门为主,根据上级部门有关要求对金融机构分支机构采取针对性评估,重点在于评价分支机构内控执行有效性上面。
风险自评报告篇5
关键词:内部控制 评价规范
一、引言
内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。但从现实情况看,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出;从2010年企业随年报披露的内部控制信息来看,有些企业没有披露其内部控制自我评价报告,有少数企业甚至对其内部控制信息没有以任何形式进行披露,而披露了内部控制信息的企业也存在披露的内控的内容不统一,评价的标准不统一,其内部控制自我评价报告的格式、评价的对象、评价结论的表述、评价结论的时效性等方面也存在不一致。鉴于此,本文从《上海证券交易所上市公司内部控制指引》(以下简称“沪指引”)、《深圳证券交易所上市公司内部控制指引》(以下简称“深指引”)、《企业内部控制基本规范》(以下简称“基本规范”)及其由《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制审计指引》组成的《企业内部控制配套指引》入手,比较、分析了三方内部控制评价标准所规范的内部控制内涵、设计及施行、检查与监督及自我评价的披露等几个方面,从而为我国企业完善内部控制的制定和实施实践提供依据,也为我国监管机构进一步完善内部控制法律法规、提高外部监管的效果和效率提供参考。“沪指引”从2006年7月1日施行,适用于在上海证券交易所上市的公司;“深指引”于2007年7月1日起施行,适用于深圳证券交易所主板上市的公司,但不含中小企业板上市公司;“基本规范”于2009年7月1日施行,适用于中华人民共和国境内设立的大中型企业,但是小企业和其他单位可以参照本规范建立与实施内部控制。基本规范的配套指引自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行,在此基础上,择机在中小板和创业板上市公司施行,并鼓励非上市大中型企业提前执行。从中可以看出,“基本规范”及其配套指引虽然施行时间最晚,但适用范围最广,而“沪指引”和“深指引”都仅适用于上市公司。
二、内部控制内涵比较研究
( 一 )内部控制的定义 “沪指引”所称内部控制是指,“上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排,是由公司董事会、管理层及全体员工共同参与的一项活动。”“深指引”所指内部控制为,“上市公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程: 遵守国家法律、法规、规章及其他相关规定;提高公司经营的效益及效率;保障公司资产的安全;确保公司信息披露的真实、准确、完整和公平。”“基本规范”认为,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略等控制目标的过程。比较三方对内部控制的定义不难看出:(1)目的不一致。“沪指引”是为了保证公司战略目标的实现;“深指引”和“基本规范”是为了实现特定目标而提供的合理保证,但是两者所指的特定目标却存在些许差异,“深指引”是为了提高公司经营的效益及效率、确保公司信息披露的真实、准确、完整和公平,而基本规范却认为是提高经营效率和效果、合理保证财务报告及相关信息真实完整、促进企业实现发展战略。(2)性质不同。“沪指引”认为内部控制既是一项活动也是一种制度安排,而“深指引”和“基本规范”却认为内部控制是一个过程。(3)参与人的不同。“沪指引”和“基本规范”认为是全员参与,而“深指引”却认为只是“董事会、监事会、高级管理人员及其他有关人员”参与,范围明显不同。
( 二 )内部控制的责任人 “沪指引”和“深指引”都明确指出公司董事会应对公司内部控制制度的制定和有效执行负责,“沪指引”更是认为“董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。”虽然“基本规范”一直只称“企业”,没有指明具体的责任人,但在《企业内部控制评价指引》中有提到“企业董事会应当对内部控制评价报告的真实性负责”,在《企业内部控制审计指引》中也明确指出“建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任”。
三、内部控制自我评价规范比较研究
( 一 )建立内部控制自我评价规范应考虑的因素 “深指引”基本上完全借鉴了COSO全面风险管理8要素框架的思想,仅只是把COSO中的“风险应对”调整为“风险对策”,但是就此具体的解释而言,两者差别不大。“沪指引”也借鉴了COSO8要素框架的思想,但是却认为是“风险确认和风险管理策略选择”,而不是“事项识别和风险应对”。“风险确认”仅指考虑了风险,而“事件”识别不仅要识别“风险”也要识别“机会”; “风险对策”是一种风险控制措施,而“风险管理策略选择”却是一种风险管理策略,这有着较为本质的区别,“控制措施”显得较为被动,“管理策略”是主动行为。在对8项要素的解释上,“深指引”和“沪指引”都只是解释了要素的涵义,没有对该要素所包含的具体内容进行说明。“基本规范”在虽然在形式上借鉴了COSO 报告5要素框架,但却在内容上体现了风险管理8要素框架的实质。把原COSO 报告5要素框架中的“控制环境”修正为“内部环境”,却包含了8要素中“目标设定和内部环境” 的内容,其中的“风险评估”实际上包含了“风险识别、风险评估及风险应对”的内容。此外,“基本规范”还对各要素所包含的具体内容给出了较为详细的说明。不管是具体内容,还是内部控制体系,“基本规范”都进行了本质的创新。因此,三方规范对建立和实施内控制度时应考虑的因素本质上并没有不同,只是规范的详细程度不同。
( 二 )上市公司内部控制经营活动 “沪指引”认为上市公司内部控制通常应涵盖的主要经营活动环节有:销售及收款、采购和付款、生产环节、研发环节固定资产管理、资金管理(包括投资融资管理)、担保环节、研发环节、关联交易人力资源管理和信息系统管理等,并依次对所有环节涉及的具体经济业务活动进行了简要说明。该指引没有直接对重要控制活动给出分析,但是却以“专项风险的内部控制” 对控股子公司管理控制的内容及金融衍生品交易的控制活动应遵循的要求进行了详细阐述。“深指引”在公司内部控制通常应涵盖的主要经营活动环节上与“沪指引”没有大的区别,只是“沪指引”考虑了生产环节、研发环节和担保环节,“深指引”考虑了存货管理、财务报告、信息披露环节。与“沪指引”不同,“深指引”并没有对各项经营活动环节的具体内容进行说明,而是以“重点关注的控制活动”的形式对控股子公司的管理控制、关联交易、对外担保、募集资金的使用、重大投资、信息披露等控制活动,从遵循的原则、所涉及的各项具体控制活动等方面进行了详细的规范说明。此外,“沪指引”和“深指引”对除涵盖经营活动各环节的控制外的贯穿于经营活动各环节之中的各项管理制度,所指内容相同,表述上却存在差异。《内部控制应用指引》把公司内部控制通常应涵盖的主要经营活动环节和重要控制活动没有严格区分,一并按照企业内部控制原则和“五要素”框架,通过《内部控制应用指引》第6号到第14号规范了企业涉及的9项具体业务活动实施的控制,即资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。9项应用指引分别从各项业务活动的内涵、所要达到的目标、每项业务活动各环节的经济业务活动及相应的控制点,从事各项经济业务活动所面临的风险及应采取的应对措施等方面进行了详细的规范。实际上,企业重要控制活动应贯穿于企业主要经营活动环节中,两者有着本质的不同,但却不能将两者严格割裂开来。“沪指引”简要阐述了企业内部控制应涵盖的主要经营活动环节,但却没有指出其中所面临的风险及采取的应对策略;“深指引”除了提到企业内部控制应涵盖的主要经营活动环节外,更是从遵循的原则及应达到的目标量方面分别详细阐述了6项企业应重点关注的控制活动,但是却没有指出其内涵和各业务活动各环节的经济业务活动及相应的控制点,更没有指出该项经济活动所面临的风险及应采取的应对措施;而9项内部控制指引却弥补了前面两者的不足,更在其中处处体现了内部控制“五要素”框架的思想。
( 三 )内部控制自我评价规范控制手段 控制手段是企业在实施内部控制的过程中为实现控制目标所采取的各项方法和措施的总和。一般来讲,内部控制的控制手段或措施有两类:一类是针对某项单一的控制活动或控制点,保证其有效性而一贯应采取的控制手段,如:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等;另一类往往针对的是企业整体业务或管理活动的控制,可以采用的控制手段有全面预算、合同管理、内部信息传递和信息系统等。“基本规范”结合各项控制手段的要求和企业在该项控制措施下应采取的具体控制措施,对前类控制措施进行了详细说明;《企业内部控制应用指引》的第15号至18对第二类指引从控制措施的适用范围、条件、目的、实施过程中各环节面临的风险及应采取的应对措施进行了详细的规范。“沪指引”没有单独就此进行明确规范,只是在“专项风险的内部控制”部分,结合具体内容给出了具体的控制措施。“深指引”除了在“重点控制活动”部分结合具体内容给出了具体的控制措施外,还明确指出“……建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;设立完善的控制架构,并制定各层级之间的控制程序,保证董事会及高级管理人员下达的指令能够被严格执行。”
( 四 )内部控制自我评价规范风险管理 “沪指引”仅指在“专项风险的内部控制”部分就控股子公司、金融衍生品交易的风险管理作了较为详细的界定,其他风险的内部控制只是一笔带过。“深指引”从整体上笼统进行了说明,“公司应建立完整的风险评估体系,对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控,及时发现、评估公司面临的各类风险,并采取必要的控制措施。”“基本规范”不仅从整体上针对企业所面临的内部和外部风险的识别、分析和规避等方面进行了提纲挈领的说明,更是把风险管理的思想嵌入到9项控制活动类应用指引的每项控制活动的每个控制点,更符合实际,体现了全面风险管理的理念。
( 五 )内部控制自我评价规范监督 检查监督作为内部控制要素之一,是企业自行检查内部控制运行情况的重要举措。但是,“沪指引”、“深指引”及“基本规范”却对检查监督的目的、主体、方法、频率等方面进行了不同的规范。检查监督的目的。“沪指引” 发现内控制度是否存在缺陷和实施中是否存在问题,并及时予以改进;“深指引” 发现内部控制缺陷和异常事项,评估其执行的效果和效率,并及时提出改进建议;“基本规范”下分为日常监督和专项监督,日常监督是对企业建立与实施内部控制的情况进行常规、持续的监督检查,专项监督是对企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。检查监督的主体。“沪指引”下公司应确定专门职能部门负责日常检查监督,配备专门的检查监督人员,并且公司董事会应对内部控制的检查监督工作提供指导及审阅内部控制检查监督工作报告;“深指引” 认为应设立专门负责监督检查的内部审计部门;“基本规范” 下内部审计机构或经授权的其他监督机构都可以。检查监督的方法。“沪指引”所认为的内部控制检查监督的方法实际上是包含了检查监督程序及方法的一整套规章制度。“深指引”没有涉及到检查监督的方法问题。“基本规范”也没有对监督检查的方法进行规范,但“企业内部控制评价指引”中明确指出,内部控制评价程序一般包括:制定评价方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节,具体在对被评价单位进行现场测试时,可以综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。
四、内部控制信息披露研究比较研究
( 一 )不定期内部控制信息披露 “沪指引”规定,公司在内部控制检查监督中发现内部控制存在重大缺陷或存在重大风险时,应及时向董事会报告,董事会应及时向上海证券交易所报告,经交易所认定,董事会应及时对外公告,披露说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。“深指引” 要求:“公司内部审计部门如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会并抄报监事会。公司董事会应提出切实可行的解决措施,必要时应及时报告本所并公告。”“基本指引”只在“信息与沟通”部分笼统地谈到,没有说明是否对外披露以及披露的内容或以何种方式进行披露或报告的问题。
( 二 )定期内部控制信息披露 定期内部控制信息披露一般与年度财务报告的披露相联系,且以内部控制评价报告的形式进行披露。在此基础上,“沪指引”要求披露会计师事务所对内部控制自我评估报告的核实评价意见;“深指引”规定:“注册会计师在对公司进行年度审计时,应就公司财务报告内部控制情况出具评价意见,公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所,与公司年度报告同时对外披露。”而“基本规范”要求,企业的内部控制审计报告应与内部控制评价报告同时对外披露或报送,且企业内部控制审计报告也应当同时对外披露或报送。。虽然如此,但三方规范却对内部控制披露信息内容上存在一些不同,而且所披露内部控制评价报告的格式、内容及披露时间等有不同的规定。内部控制评价报告的格式。“沪指引”和“深指引”均没有对内部控制自我评价报告的格式进行规范。只有“企业内部控制评价指引”以参考格式的形式对此进行了规范,认为内部控制评价报告应包括以下要素:标题、管理当局声明、收件人、评价依据、披露内容、评价结论、报告人单位及签名、报告日期等。内部控制评价报告的内容。“沪指引”规定的内容包括:内部控制的制定和运行情况;检查监督工作情况;内控制度及其实施过程中出现的重大风险及其处理情况;对本年度内部控制检查监督工作计划完成情况的评价;完善内控制度的有关措施;下一年度内部控制有关工作计划。“深指引”下的内容为:内部控制的制定和运行情况,是否存在缺陷;本指引重点关注的控制活动的自查和评估情况;内部控制缺陷和异常事项的改进措施(如适用);上一年度的内部控制缺陷及异常事项的改善进展情况(如适用);公司董事会和监事会针对注册会计师在进行年度审计时对内部控制有效性表示异议涉及的事项做出专项说明(如适用)。《企业内部控制评价指引》下,应分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制评价过程、缺陷认定、整改情况、有效性结论等相关内容作出披露。此外,如果内部控制评价报告基准日至内部控制评价报告发出日之间发生了影响内部控制有效性的因素,内部控制评价部门应根据其性质和影响程度对评价结论进行相应调整。显然,三者在内部控制自我评价的内容上存在相同点,但也有所不同。内部控制评价报告对外报出的时间。“沪指引”没有对内部控制评价报告的对外报出时间作出明确规定。“深指引”规定,应于每个会计年度结束后四个月内将内部控制自我评价报告报送本所,并对外披露。《企业内部控制评价指引》规定,以12月31日作为基准日,年度内部控制评价报告应于基准日后4个月内报出,这与“深指引”的规定本质上相同的。从上面的分析比较中,我们不难看出,《企业内部控制基本规范》及其配套指引无论是制度要求的口径和范围,还是具体要素和业务活动的内容及相互关系,较《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》都有了较大的改进。但是,上述规范都是基于现时条件下对内部控制执行有效性作出的评价,也没有对内部控制评价应采用何种方法作出系统规范的说明,而且,除了本文比较分析的规范外,因内部控制体系涉及内容广,如《内部会计控制规范――基本规范》(试行)、《关于加强上市公司治理专项活动有关事项的通知》、《深圳证券交易所主板上市公司规范运作指引》及《关于做好上市公司××年年度报告披露工作的通知》等也涉及到了对内部控制体系中某一方面内容的规范,容易形成评价和监管的多种标准。这些法规的执行范围相互交叉, 法规的内容相互联系但又不完全相同, 同一个公司可能同时适用不只一个内部控制规范。在对公司内部控制进行评价时缺乏统一的评价依据,不仅会影响企业内部控制的设计,也会影响运行效果和效率,自然其评价结论也会不具有比较性,这会影响外部投资者的决策,造成不同的经济后果。这样的现实,不仅降低了法规的实务操作性,也势必会转换为执行过程中的阻力。
*本文系湖北省科技厅项目“湖北省高新技术企业利用资本市场研究”(项目编号:2010DEA015-1)的阶段性成果
参考文献:
[1]上海证券交易所:《上海证券交易所上市公司内部控制指引》(2006年)。
[2]深圳证券交易所:《深圳证券交易所上市公司内部控制指引》(2007年)。
[3]财政部、证监会、审计署、、银监会、保监会:《企业内部控制基本规范》(2008年)。
[4]财政部、证监会、审计署、、银监会、保监会:《企业内部控制评价指引(2010年)。
[5]财政部、证监会、审计署、、银监会、保监会:《企业内部控制应用指引》(2010年)。
[6]财政部、证监会、审计署、、银监会、保监会:《企业内部控制审计指引》(2010年)。
风险自评报告篇6
年度财务会计报告审计,通常简称年报审计,是注册会计师审计中最重要的业务。根据新审计准则,年报审计实施风险导向审计。风险导向审计是以审计风险为出发点,通过对产生风险的各个环节进行评价,调整审计策略和审计资源分布,使审计成为一个不断克服和降低风险的过程。可见审计风险在审计中居于中心位置,与审计过程的许多事物存在密切联系,因此不能孤立研究审计风险,需要从审计风险内在构成要素与外部相关要素之间的关系来研究审计风险的规律,我们用审计风险结构一词来概括审计风险内在构成要素与外部相关要素之间的关系。
一、研究审计风险结构的意义
2006年公布、2007年开始实行的审计准则并没有明确提出审计风险结构,但通过分析可以发现新审计准则中还是包含了审计风险结构。年报审计属于鉴证业务。鉴证业务风险在审计准则中被表达为在鉴证对象信息存在重大错报的情况下,注册会计师提出不恰当结论的可能性,它包括注册会计师不恰当地提出鉴证对象在所有重大方面遵守标准的结论的可能性,可分为重大错报风险和检查风险。
审计风险、重大错报风险和检查风险之间的关系用模型表示为:审计风险=重大错报风险×检查风险。这个等式将重大错报风险作为审计风险的构成项目,视为一个达到控制审计风险的中间环节,并要求注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。
年报审计风险结构既包括审计风险源、审计风险构成项目与审计失败等审计风险结构内部要素之间的关系,也包括审计风险与审计风险外部要素,如直接关联的财务报告错报、投资者损失等之间的关系。研究审计风险结构对审计理论和方法都具有积极意义。从实务操作来看,审计风险结构连接被审计对象认定、审计证据和审计意见,界定应该实施的审计程序的数量和质量,进而决定了审计质量和审计成本。从理论研究角度来看,审计风险结构是联系审计目标、审计责任的中间环节,对区分会计责任和审计责任、界定注册会计师的权利和义务,研究审计的性质都有十分重要的理论意义。
显然,在现有的审计准则中审计风险结构的内部要素是重大错报风险和检查风险,相应的审计风险源也被分为两类:审计人员之外的其他主体的事务和审计人员的检查事务两类。审计风险的外部要素也仅仅注意到财务报告自身,没有考虑其他相关的事物,所以应该进一步深入研究审计风险结构。
二、重大错报风险的判断结论应该是审计结果而不是审计风险的中间环节
投资者在做投资决策时,会使用经过注册会计师鉴证的信息。这样投资者就容易将投资失败与审计联系起来。实际情况可能信息是可靠的,但投资者错误理解了意思;也可能是信息本身确实存在缺陷,但注册会计师却未发表合适的意见。可见,一旦发生了投资失败,为财务会计报告提供合理保证的审计报告和注册会计师也就自然会成为焦点之一,将会面临更高的审计风险。从这个角度来看,审计风险与投资者失败之间存在关联,审计风险主要来自于投资者的压力。年报审计风险就是注册会计师在审计报告中未能提示投资人财务报告存在重大错报风险、并导致被追究审计责任的可能性。
有了这个认识后,就需要重新审视审计准则中的重大错报风险。在审计准则中,注册会计师鉴证的目的按鉴证业务的保证程度分为合理保证和有限保证,但不管是哪种鉴证保证程度,目的都是使投资者获得比单纯财务报告更为可靠的信息。注册会计师审计的主导目标不是提高会计信息使用者对确实存在问题的财务会计报告的信赖程度,而是应当告诉会计信息使用者面对的财务会计报告是否存在重大错报的程度。因为,投资者利用审计报告的最终目标是判断财务会计报告“可用”程度,而不是“可信”程度。
重大错报风险可以分为环境风险和控制风险。其中环境风险实施主体是公司所处的行业和利益相关者,在审计工作实施时,企业内部管理团队与审计人员都对其无法改变,环境风险在审计时已经是一个常量。控制风险实施主体是企业内部管理团队,投资者希望获得的是利益,内部控制状况良好只是实现投资者利益要求的手段,而且不是主要的手段,只是辅助工具。投资者的利益主要来自于未来的收益,所以在审计时企业仍然可以通过改变自身的经营活动来改变未来收益。控制风险对审计人员来说,只能通过影响企业管理团队行为才能将其改变。
重大错报风险是财务报告存在重大错报的程度,这不是控制审计风险的中间环节,而是整个审计风险的起因。注册会计师没有必要,也不可能对年报存在的错报承担责任,这是会计责任,注册会计师的责任是审计报告中是否恰当提示被审年报中存在重大错报风险。所以在风险结构中,审计风险与重大错报风险两者不是从属关系,而是平等的事务,而且两者存在因果关系,审计风险是果,重大错报风险是因。
三、重要性作为判断标准应该从属于审计风险,而不是与审计风险对等的、前置的事务
新审计准则单独列示了重要性准则,其中界定了重要性的含义,指出重要性取决于在具体环境下对错报金额和性质的判断。在计划审计工作时,注册会计师应当考虑导致财务报表发生重大错报的原因,并应当在了解被审计单位及其环境的基础上,确定一个可接受的重要性水平,即首先为财务报表层次确定重要性水平。同时,还应当评估各类交易、账户余额及列报认定层次的重要性,以便确定进一步审计程序的性质、时间和范围,将审计风险降至可接受的低水平。在确定审计程序后,如果注册会计师决定接受更低的重要性水平,审计风险将增加。在评价审计程序结果时,注册会计师确定的重要性和审计风险,可能与计划审计工作中评估的重要性和审计风险存在差异。在这种情况下,注册会计师应当重新确定重要性和审计风险,并考虑实施的审计程序是否充分。准则显然是将重要性水平作为审计风险对等的事务。
结合审计风险来看,重要性是注册会计师在审计工作中自我设定的一个标准,这个标准被用来衡量被审财务报告中的错报是否属于重大错报,即在多大程度上有可能会导致投资人决策错误。所以重要性并不直接带来审计责任,而是审计风险中的一个判断标准,用来判断审计后的财务报告中存在错报漏报的程度。
审计报告的类型包括无保留意见审计报告、带强调事项段的无保留意见的审计报告、保留意见的审计报告、否定意见的审计报告和无法表示意见的审计报告。除无法表示意见的审计报告外,其他三种审计报告说明将要公布财务报告存在三种不同程度的错报漏报,但是重要性水平只有同一程度的,所以重要性作为判断财务报告错报漏报的标准也应该区分为多个层次的具体指标。比如:财务报告存在的错报或漏报使得相关信息完全不可信赖,审计人员本来应该发表否定意见审计报告,但实际发表的却是无保留意见审计报告,这导致投资失败的可能性比实际发表保留意见审计报告导致投资失败的可能性要大得多,这两种状况中包含的审计风险存在巨大差异。
那么,重要性水平应该分解为三种情况:财务报告存在的错报使相关信息完全不可信赖,一般投资者都会做出完全错误的决策;财务报告存在的错报可能使部分重要信息不可信赖,部分投资者会做出错误决策;财务报告存在的错报使部分信息不可信赖,少部分投资者产生错误理解做出错误决策。
相应的审计风险就会被分为多个层次:一级风险,财务报告存在的错报使相关信息完全不可信赖,但审计报告没有提示。二级风险,财务报告存在的错报可能使部分重要信息不可信赖,但审计报告没有提示;或者财务报告存在的错报使相关信息完全不可信赖,但审计报告提示为财务报告存在的错报仅仅使部分重要信息不可信赖在;三级风险,财务报告存在的错报使部分信息不可信赖,但审计报告没有提示;或者财务报告存在的错报可能使部分重要信息不可信赖,但审计报告提示财务报告存在的错报使部分信息不可信赖。
由于重要性也被区分为多个层次,审计风险可以更为精确地定义为注册会计师的审计报告中表达的被审计财务报告的错报漏报程度比实际状况更好的可能性。可见,在风险结构中,重要性水平的主要目的就是为审计风险提供判断标准,应该从属于审计风险。
四、新审计风险结构模型
1.审计风险的内在构成要素:检查风险、质量控制风险和道德风险
经济活动中的风险始终是一些主体对另一些主体的利益要求或者责任。识别风险应该从这些主体相互之间的关系出发。审计风险存在于投资者、公司和审计人员之间的关系。从投资的角度来看,如果没有投资者遭受重大损失,那么会没有主体通过诉讼向审计人员追究法律责任,审计风险实际上不存在,可以说审计风险是注册会计师提供的审计报告导致投资者失败的可能性,这种可能性在投资者面临重大损失时,并且审计报告没有提示财务报告中的重要错报才有可能变为现实。对于审计人员来说发现并在审计报告中提示被审计财务报告的重要错报是降低审计风险的唯一可控的良性解决问题的办法。
那么,凡是能够导致审计人员不能向投资人提示财务报告中应有的错报漏报的情况都属于审计风险来源。了解和控制审计风险来源是控制审计风险的关键。审计风险来源按主体特性可以分为:检查风险、质量控制风险和道德风险。
检查风险实施主体是审计人员,指审计人员通过自己的审计检查未能发现被审计单位财务会计报告中存在的重大错报的可能性。质量控制风险是审计单位自身的质量控制程序和监督机制没能发现审计人员未发现财务会计报告存在重大错报的情况的可能性。审计道德风险,是审计人员在审计检查或质量监控中发现被审计财务会计报告存在重大错报,但是在审计报告中未能提示投资者这些错报的可能性。
审计风险=检查风险×质量控制风险×道德风险
这三个风险要素不仅仅代表了三个最重要的审计风险来源,也是审计人员可以控制的主要程序,还能够明确会计师事务所各个岗位的工作人员在审计风险中应该承担的责任。检查风险主要取决于审计小组团队的职业能力,质量控制风险主要是由会计师事务所的内部管理决定,而道德风险在事务所及注册会计师面审计意见购买时比较高。
2.检查风险应该进一步细化至具体审计程序执行人
在上述三个内部主要风险要素中,检查风险是最主要的风险要素,也是审计工作的主要部分。注册会计师应当合理设计审计程序的性质、时间和范围,并有效地执行审计程序,以控制检查风险。注册会计师通常无法将检查风险降低为零,其原因主要有两点:一是注册会计师通常并不对所有的交易、账户余额和列报进行检查;二是注册会计师可能选择了不恰当的审计程序,或是审计程序执行不当,或是错误理解了审计结论。第二方面的问题可以通过适当计划、在项目组成员之间进行恰当的职责分配、保持职业怀疑态度以及监督、指导和复核助理人员所执行的审计工作得以解决。
注册会计师工作是团队工作,一个鉴证业务项目往往需要数十人团队协作。工作团队中的工作人员执业能力和素质及所从事的工作将会影响检查风险。如果能够将检查风险分解至具体的审计工作,并据以评价为降低检查风险应该安排的工作人员,而不仅仅是审计程序,那么检查风险可以得到更好的控制,也能够为审计团队业绩评价提供依据。
年报审计的审计程序在很大程度上就是对被审计财务会计报告各项认定的检查,那么检查风险就可以分解到具体认定,根据各个企业具体认定的评价检查风险水平,相应的检查风险也就可以细化至执行具体认定检查的审计人员。
3.审计风险的外部构成要素:财务会计报告和投资者决策
在审计风险结构中,最重要的两个外部事务是财务会计报告和投资者决策,财务会计报告是审计风险的源头,而投资者决策则是审计风险的最终爆发点。财务报告有可能存在错报,所以投资者需要以审计报告提高财务报告的可信赖程度,这也是审计风险存在的前提条件。财务报告错报属于财务会计的责任,但是财务报告的错报程度会是审计风险判断的重要标准。审计风险最终会蕴藏在未能向投资人提示财务报告中错报的审计报告中。下面用图1表示审计风险结构:
风险自评报告篇7
关键词:内控报告 披露质量 评价指标
010年以来,随着我国企业内部控制理论框架的逐渐成熟,其实践环节也显得日趋重要。其中,作为利益相关者了解企业经营效率和效果的重要途径,包括企业自评报告和外部审计报告的内部控制报告的披露质量备受关注。作为上市公司的直接监管机构,上交所和深交所就此开展了大量工作。然而,尽管两所多次颁布文件规范上市公司的内部控制报告披露工作,但并未针对报告披露质量提出明确的量化标准。为此,近年来众多学者致力于从多种角度对影响内控报告披露质量的因素进行分析,并通过构建评价指标体系来评判报告质量。这些研究表明,市场管理者出于宏观监管的需要,企业基于实现长久立足于资本市场的内在要求,外部投资者为了获得财务真实可靠的报告信息,都追求高质量的内控报告信息披露。鉴于此,本文依据市场管理者制定的上市公司信息披露质量考核标准,借鉴有关学者的指标分析方法,从市场管理者的视角构建我国上市公司内部控制报告信息披露质量分析指标。
一、文献综述与质量分析指标建立
(一)文献综述
2004年推出的COSO报告为上市公司内部控制质量体系提供了一套标准化体系,但该体系主要采用定性方法而难以进行定量衡量,并不适用于我国现行的市场经济,因而国内学者对如何衡量内控报告信息披露质量进行了大量探讨。韩传模、刘彬(2012)认为学术界研究信息披露质量主要采用两类方法:一是直接采用权威机构的评分;二是学者根据自身搜集的数据给予的评分。戴文涛、李维安(2013)从一个“局外人”如政府监管机构或外部非营利性机构的角度对企业内部控制状况实施了全面、综合、定量化评价。宋洪琦、魏建(2011)指出影响上市公司信息披露质量的评价指标,既有定性指标,又有定量指标,只有将定性指标和定量指标有机的结合才能实现真正的综合测度。孟强、苏本知、赫红(2008)认为内部控制的评价方法应从内部检查、外部监督、注册会计师的评价三方面进行。另一些学者则引入信息传播学相关理念,形成内部控制信息披露质量评价的理论基础,构建评价的指标体系与方法,以此来衡量上市公司的内部控制信息披露质量,如刘玉、邓德强(2011)等。综上可以看出,学者们在内控报告信息披露质量的研究中对质量测度方法予以了重点关注。本文拟选取一个新的外部监督者视角,即从证券市场管理者的角度,参考现有相关文件,构建一套内控报告信息披露定性与定量的质量分析指标。
(二)基于证券市场管理者角度构建内控报告披露质量分析指标
为了保证上市公司内部控制信息披露质量,深交所和上交所颁布了一系列规定与考核措施。证券交易所作为证券市场最直接的管理者,辅助五部委组织和监督上市公司的市场交易行为,肩负着规范上市公司内部控制报告及提高内控报告信息披露质量的任务。
深交所2001年《深圳证券交易所上市公司信息披露工作考核办法》(以下简称《考核办法》),对上市公司信息披露实施考评。从信息披露的及时性、准确性、完整性、合法性四方面划分评价等级,同时考虑上市公司所受奖惩情况及与深交所的工作配合情况而综合形成最终考评结果,并将上市公司信息披露质量从高到低划分为A、B、C、D 四个等级。2013年4月深交所对该《考核办法》进行修订,增加了真实性和公平性两项指标,并详细指出不能评价为A的情形和必须评价为C和D的情形。此后,2013年10月上交所也正式《上海证券交易所上市公司信息披露工作评价办法(试行)》,重点关注上市公司信息披露的真实性、准确性、完整性、及时性和公平性,通过定量计分和定性评价将上市公司分为A、B、C、D四大监管类别,分别为信息披露优秀类、良好类、合格类及不合格类公司。从深交所对考核办法的修改及上交所试行的评价办法来看,两所均赋予了信息披露的真实性及准确性重要地位。
因此,本文结合上交所和深交所颁布的信息披露质量考核办法,选取其共同的五项评价指标进行内控报告披露质量评级。具体定义如下:(1)真实性。是否聘请外部审计机构对公司的内控自评报告信息披露进行鉴证及外部审计机构的声誉等级。本文将四大会计师事务所定义为第一等级,其他会计师事务所定义为第二等级,未聘请会计师事务所定义为第三等级。(2)准确性。内部控制缺陷及风险的衡量,即是否在自评报告中披露对内部缺陷的定性及定量的衡量和对公司各种风险的阐述与预防、应对措施。(3)完整性。是否按照内控自评报告书写规范要求出具至少应当披露的8大内容,即董事会对内部控制报告真实性的声明,内部控制评价工作的总体情况,内部控制评价的依据、范围、程序和方法,内部控制缺陷及其认定情况,内部控制缺陷的整改情况及重大缺陷拟采取的整改措施及内部控制有效性的结论。(4)及时性。《企业内部评价指引》(以下简称“指引”)第二十六条规定,“企业应当以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应于基准日后4个月内报出”。为对样本加以区分,本文以10日为一个间隔期对及时性做出划分。(5)公平性。《指引》就上市公司如何保证公平信息披露提出了几点原则性要求,如信息披露要平等对待所有投资者;发生未公开重大信息泄漏或股票交易异常时,应第一时间报告交易所并立即公告等,本文据此定义公平性。
从上交所和深交所颁布的信息披露考核办法中各评价指标的排序可以看出,真实性、准确性、完整性、及时性和公平性的重要性由高到低,由此本文为上述五个指标设定了等差权重,公差为5%。每个指标设定满分为20分,总计100分,并为细分项目设定了相应的分值。具体评价指标体系详见下页表1。评价测算分数公式为E=ΣW×Xi;评级标准为:85至100分评定为A级,70至85分评定为B级,55至70分评定为C级,55分以下评定为D级。
二、上市公司内控报告信息披露质量分析
(一)样本选取
本文以沪深两市主板以及深市部分中小板上市公司作为研究样本,基于研究设计的要求进行了适当比例的筛选,即制造业为总样本的1%,其他行业为总样本的10%,最终得到100个研究样本。其中沪市主板49家,包括制造业5家,其他行业44家;深市主板27家,包括制造业2家,其他行业25家;深市中小板24家,包括制造业6家,其他行业18家。
(二)总体披露质量
对100家样本公司的内控报告信息披露质量使用本文上述质量评价方法打分并评级,得到总体质量情况的分布,具体如下页表2所示。
从表2可以发现,2011年评价为C级的样本居多,而2012年评价为B级的样本居多。2011年上市公司内控报告信息披露质量等级向上累积频数分布为22、67、95、100;2012年的则为10、35、79、100。从总体来看,样本公司的内控报告信息披露质量有了明显的提升。其中,沪市主板高分变动最大,评价为A级的公司由2011年的4家变为2012年的16家,相应比例由8.1%变为32.7%;评价为B级的公司增加5家,占2012年总体的49.0%。深市主板评价为A级的公司增加4家,评价为B级的公司增加9家,深市中小板总体变动不大,略有改善。从年度数据的变化可见上交所和深交所对内控报告规范化的实施具有实际指导意义,证券市场管理者能引导上市公司在理解规范理论的基础上更加高效率地实施内部控制。
(三)对真实性和准确性指标的进一步分析
在此基础上本文进一步分析真实性和准确性两项加和权重为55%的指标,这是由于其对总体质量的评价结果具有较大影响,因此细化而深入的分析能为评价内控报告信息披露质量提供强有力的补充。
1.真实性指标。从证券市场管理者在《指引》中规定上市公司聘请外部审计机构或更换外部审计机构对企业进行审计以加强企业内控建设的行为可见,外部审计机构对上市公司内控报告信息的披露质量的鉴证作用与市场管理者对上市公司内部控制监管的目的相契合。外部审计机构对证券市场管理者评价内控自评报告信息披露质量有辅助作用。本文将内控审计报告披露质量划分为以下两等,若由“四大”出具则为优,若由一般会计师事务所出具则为良,具体如表3所示。
可以发现,样本公司未聘请会计师事务所的数量由2011年的51家减至2012年的33家,聘请“四大”的总数不变,说明新加入的“四大”之外的会计师事务所增加了18家。其中,深市主板“未聘请”比例由2011年的70.4%降至2013年的37.0%,沪市主板“未聘请”比例由2011年的20.4%降至2012年的4.1%,沪市主板总体状况明显优于深市主板,深市中小板“未聘请”比例较高且两年来几乎没有变化。从总体情况来看,上市公司聘请外部审计机构的数量仍有提高空间,证券市场管理者需加强对上市公司聘请会计师事务所进行内控自评报告鉴证监督的工作力度。
2.准确性指标。内控缺陷的准确认定作为内部控制有效性评价的核心,影响着内控自评报告信息披露的质量。近年来,越来越多的国内学者试图对企业内控缺陷认定做出系统研究,并建议在内控自评报告中披露内部控制缺陷定性和定量的认定与分析,与此同时,上市公司也逐渐开始加强此方面的工作。王惠芳(2011)认为内控缺陷的认定是内部控制评价和鉴定中最基础的问题。若上市公司能加强内控缺陷的认定、有效管理企业内部缺陷,并减少实质性漏洞或重大缺陷发生的可能性则对企业内部控制有良好效益,从而提高内控自评报告信息披露的质量。
笔者选取内控缺陷的相关控制作为内控自评报告信息披露质量分析的关键,并将其定义为制定了内控缺陷定性、定量的认定标准或采取了有效预防措施应对内部缺陷,同时增加是否设立包括内部审计部门在内的内控小组考核项,以对内控缺陷的相关控制展开补充,更细致地研究两年样本内控自评报告信息披露质量及内部控制情况,具体如下页表4所示。
由表4可知,样本内控缺陷的相关控制比例增幅较大,由2011年的41%增至2012年的77%,设立内控小组的上市公司增加了8家,比例由64%增至72%。在这两项考核中,2011年沪市主板的情况较之深市主板与中小板都显现劣势,2012年沪市主板的情况有较大改善,略逊色于深市主板,且明显优于几乎未有改善的深市中小板。这不仅说明证券市场管理者对上市公司内部控制的相关规范起了一定作用,更说明上市公司对其内部控制治理的自愿意识有所提高。证券市场管理者应继续鼓励上市公司使其提高对内控缺陷的管理与控制,使得市场整体内部控制水平稳步提升。
风险管理是企业提高核心竞争力的重要手段,而风险评估作为美国COSO委员会提出的内控五要素之一,更是内部控制质量衡量的决定性因素之一。这部分内容是否在内控自评报告中得以准确详尽披露对披露质量有重要的影响,因此证券市场管理者应将上市公司是否在内控自评报告中披露对公司各种风险的评估、预防及应对措施作为另一披露质量关键考核点。
笔者提取出较有代表性的另一个细化考核项风险控制,审查上市公司内控自评报告是否有风险评估与控制的相关披露,如对运营风险、财务风险、流动风险等风险的认定及预防应对措施。内控自评报告风险控制的披露情况具体如表5所示。统计样本显示,2012年上市公司在内控自评报告中披露风险控制的比例有所增加,其中上交所样本公司增加了4家;而深市中小板仅增加1家,主板未有变动;2011、2012两年在自评报告中披露“风险控制”的样本公司比例,深市中小板最高,主板次之,而沪市主板情况最不尽如人意。上市公司虽然对内控缺陷的披露意识有所提高,但是对风险控制的观念仍有待加强。
三、结论与建议
本文基于证券市场管理者的角度,以2011年及2012年沪市主板和深市主板及中小板上市公司为研究对象,通过构建内控报告信息披露质量评价指标体系对100家样本公司内控报告信息披露质量进行实证研究。研究表明,2012年内控报告信息披露质量高于2011年,且沪市的质量高于深市;沪市绝大部分上市公司两年来皆聘请外部审计机构对其自评报告进行了审计或鉴证,而深市2011年只有较少数公司做到了这一点,2012情况略有好转;外部审计机构多为国内事务所,“四大”常被聘请作为外部咨询机构协助上市公司开展内部控制。
基于此,笔者提出三点建议:(1)证券市场管理者应加强对上市公司内控报告信息披露质量的监管工作,同时制定更加细化的衡定指标以引导上市公司开展实践。上交所和深交所要肩负起有效考评内控报告信息披露质量的重任,必须建立起强制性信息披露制度及定性、定量考核标准,在加强外部监管的同时,要求所披露内容必须经注册会计师审计。(2)证券市场管理者及企业都应提高对内控缺陷认定及控制与风险评估及控制的关注度。对内控缺陷和风险管理实施适度的监督检查,是市场管理者评价内部控制有效性、企业避免内控流于形式并及时改进的必要持续措施。上市公司的内控缺陷和风险越少或越能被有效控制,则越能保证内部控制的有效性,从而提供高质量的内控报告。(3)证券市场管理者应督促企业聘请外部审计机构对内控自评报告进行审计或鉴证。聘请会计师事务所且所聘事务所信用等级越高,内控自评报告信息披露的质量也越高,会计师的审计工作有助于确保内控有效性,也可为市场管理者进行内控报告信息披露质量评级提供辅助依据。X
参考文献:
1.戴文涛,李维安.企业内部控制综合评价模型与沪市上市公司内部控制质量研究[J].管理评论,2013,(1).
2.方红星,孙,金韵韵.公司特征、外部审计与内部控制信息的资源披露――基于沪市上市公司2003-2005年年报的经验研究[J].会计研究,2009,(10).
3.葛建军.基于风险视角的企业内控缺陷浅探[J].国际商务财会,2012,(12).
4.王惠芳.内部控制缺陷认定:现状、困境及基本框架重构[J].会计研究,2011,(8).
5.王加灿,沈小袷,朱志坚.企业内部控制质量评价体系研究综述[J].湖南财政经济学院学报,2012,(4).
风险自评报告篇8
Abstract: China's risk oriented solvency system began in 2016, which marks a new stage in the solvency regulation of the insurance industry and the management of the company's solvency. Solvency is the lifeline of the insurance company, and it is very important to do a good job in the management of solvency in the new period. This paper briefly introduces the international insurance supervision mode, analyzes the background of China risk oriented solvency system, analyzes three pillars regulatory framework of China risk oriented solvency system, demonstrates the urgency of establishing and improving the solvency management system, and puts forward the key areas to be concerned about the construction of solvency management system.
关键词: 偿二代;偿付能力管理;风险管理
Key words: China risk oriented solvency system;solvency management;risk management
中图分类号:F840.32 文献标识码:A 文章编号:1006-4311(2016)20-0220-03
0 引言
改革开放以来,随着中国经济的快速发展,保险业在社会保障体系中发挥着越来越重要的作用。社会财富不断积累,社会公众的保险需求也不断提升,保险业保费规模快速扩张。回顾保险业三十余年的发展历程,除了九十年代后期销售的高预定利率保单之外,保险业务的资产和负债质量一直较好。近年来,为进一步提升保险消费者权益,更好地匹配资产和负债,增强保险公司经营的灵活性,保监会逐步放开了投资渠道和比例限制,分阶段地完成了保险产品费率市场化改革。在此大时代背景下,保险公司的风险特征发生了重大变化,权益资产和另类投资比例大幅上升;部分公司采取短负债、长资产的配置策略,流动性风险凸显;随着信息系统的集中和互联网技术的广泛应用,以信息技术风险为核心的操作风险也日益增加。如何做好新时期偿付能力监管成为保险监管的核心问题。中国风险导向偿付能力体系(以下简称“偿二代”)应时而生,该体系与2008年金融危机后国际金融监管普遍采用的三支柱模型理念一致,除了更加科学的计量保险公司的风险外,对保险公司的偿付能力风险管理能力提出了明确要求,同时借助各利益相关方的力量共同监督保险公司保持充足的偿付能力水平。本文拟探讨建立健全偿二代时期的偿付能力管理体系的重点和应关注的事项。
1 国际偿付能力监管模式
受各国保险市场经济环境、发展背景和水平等差异,目前保险业尚未建立起全球统一的偿付能力监管规则。从整体上看,偿付能力监管模式主要有两个代表性模式:一是欧盟体系(欧盟Ⅰ、欧盟Ⅱ);二是美国风险资本制度(简称RBC)。国际保险监督官协会正在组织全球大型保险公司进行国际资本监管标准的制定和实地测试工作,预计2019年开始实施共同框架。该规则体系也是以风险为导向,以合并报表为基础,充分反映保险公司风险状况,加强资本监管。
2 偿二代监管体系解析
偿二代偿付能力监管规则体系(1-17号监管规则)自2015年进入过渡期,2016年开始进入正式执行阶段,各保险公司停止执行原偿付能力监管规则体系。在偿二代监管体系下,偿付能力监管将依托于三个支柱开展:
2.1 第一支柱 第一支柱的核心在于风险量化。在偿一代体系下,风险与保险责任准备金、风险保额等挂钩,不直接体现资产风险。随着保险公司投资渠道的放开,特别对于寿险公司,风险主要来源于资产端和资产负债的匹配情况。在偿二代体系下,最低资本与风险直接挂钩,根据可量化风险(保险风险、市场风险和信用风险)大小计算最低资本要求。计算方法更加的复杂,对资产基础数据数量和质量要求也大大提高。除了可量化风险外,还引入了控制风险最低资本要求和附加资本要求(如系统重要性保险公司、顺周期资本要求等),使得资本涵盖的面更广泛。从2016年1季度披露的季报摘要来看,保险公司实际资本和最低资本都大幅度上升,资本溢额大幅增加,保险公司偿付能力充足率出现一定的分化,风险较高的公司的偿付能力充足率有所下降,体现出了风险导向的设计理念。
2.2 第二支柱 第二支柱主要包括偿付能力风险管理能力评估和分类监管。其中,风险管理能评估涵盖七大类风险,对每类风险管理提出具体的要求和评估标准。保监会将每年组织对保险公司偿付能力管理能力进行评估,此种做法与欧盟Ⅱ有相似之处,创新点体现在将评估得分与最低资本要求挂钩,以80分为分界线,80分之上可以减少资本,80分之下将增加资本要求。这一创新将偿付能力管理水平与资本要求相联接,风险管理直接创造价值,将大大推动保险公司提升风险管理水平的积极性。分类监管也体现出中国特色,保监会将在法人单位和分支机构两个层面上根据公司偿付能力状况和风险状况,对保险公司进行评级。与偿一代相比,评级与风险挂钩,风险越大,评级结果就越低。
2.3 第三支柱 受限于监管资源与成本,现代金融监管越来越重视信息披露的重要性,通过提升保险公司透明度引导各利益相关方关注和督促保险公司加强偿付能力水平。在偿二代体系下,信息披露分为定期披露和日常披露两个层面。定期披露主要是要求保险公司每季度披露季报报告摘要,其中包括偿付能力状况、风险综合评级结果和现金流状况。日常披露主要是在影响保险消费者投保和续保的关键环节,主动告知偿付能力状况和风险综合评级结果。从监管规定上看,不仅投资者和分析者将高度关注偿付能力状况,保险消费者也会逐步了解并作为购买决策的重要依据,进而影响产品销售。
3 构建偿二代下偿付能力管理体系的紧迫性
偿二代不仅涉及风险量化,更加强调风险管理和信息披露。与偿一代相比,体系更加完整,三支柱之间逻辑更加一致。偿二代自2016年起执行,建立健全偿二代下偿付能力管理体系势在必行。
3.1 从外部因素上看,是监管合规的必然要求 按照监管要求,保险公司必须履行定期披露和日常披露要求。从执行的角度来看,主要存在两大困难,一是基础数据;二是复杂大量的计算。在监管要求的时限内(每个季度结束后25日内)按时、准确完成报告编制将是一件挑战性极强的工作。对于保险公司来说,特别是中大型保险公司,资产分散在不同的投资管理人进行管理,及时获取上百维度的资产信息难度极大。欧洲保险公司在实施欧洲偿付能力监管要求时也遇到了类似的问题。此外,最低资本的计算方法上除了因子法外,还大量采用了情景对比法这种需要进行大量计算的方法,这也对按时完成信息披露带来了非常大的压力。在偿二代体系下,量化计算需要投资、财务、精算等相关部门密切合作,在组织壁垒分明的保险公司中,如何建立顺畅的工作机制也是一大难题。
3.2 从内部管理上看,是提升价值和企业竞争力的迫切需要 偿二代体系正式实施之后,将推动全面风险管理在保险公司真正的落地。风险管理做得好的保险公司,不仅能够降低最低资本要求,提升股东回报,还能够提升风险综合评级结果,进而在市场上树立起管治良好的品牌形象,从而有利于保险产品销售。反之,如果风险管理能力和水平较差,不仅会加大保险公司自身风险,通过信息披露,影响公司品牌形象,形成恶性循环。因此,在偿二代体系下,保险公司风险管理水平将逐步成为竞争优势。
4 风险导向偿付能力体系国际实施经验分析
从偿二代体系和内容来看,与欧洲第二代偿付能力监管体系相似度较高,以下通过分析欧盟II执行过程中遇到的难点问题和关注的重点领域,为我国保险公司做好偿二代建设工作提供参考。
4.1 报告和信息披露方面 按照欧洲监管要求,欧II实施分为两个阶段:过渡阶段和正式实施阶段。在过渡期内,2015年保险公司季度报告需要在季度结束后8周内提交,年度报告需要在年度结束后的22周提交;自2016年开始,季度报告需要在季度结束后的8周内提交,年度报告需要在年度结束后的20周内提交。转入正式实施后,季报报告需要在季度结束后5周内提交,年度报告需要在年度结束后14周内提交。为达成监管要求,欧洲保险公司主要遇到以下困难:
①工作流程方面的挑战。报告编制的时间大大缩短,要求建立快速高效的工作架构。由于欧II技术方法的复杂性,工作流程变得更加的复杂,除了财务部门外,风险、精算、内控、税务和投资等部门都要参与到流程当中,需要建立强有力的内控流程,确保按时准确完成报告编制。除偿付能力报告之外,公司还需要兼顾会计报告和内含价值报告等。
②基础数据方面的挑战。需要充分理解复杂的监管规则,并在整个报告流程中获取必要的信息,并确保来自于不同来源的信息的一致性和准确性。尤其是资产方基础数据,资产数据分散在托管行、保险公司、资产管理公司以及其他第三方,现有的资产数据不能满足欧II的需要。
③信息系统方面的挑战。鉴于时间和质量要求,必须要建设财务编制信息系统,提供自动化编制的解决方案,涵盖基础数据的获取、存储和检查,将财务和风险数据进行整合,建立系统内部控制,保证数据的质量和安全。
从保险公司准备情况来看,大部分保险公司正在制定报告流程、建立报告系统。领先的保险公司在报告流程方面主要将偿付能力报告流程与其他报告流程进行整合,健全报告编制内控流程;在数据管理方面,梳理整合欧盟II和其他报告的基础数据要求,自动化基础数据获取,提升基础数据质量。
4.2 偿付能力风险管理方面 欧盟II的二支柱要求保险公司进行风险自评估,并提交评估报告,内容主要涵盖资本管理、风险管理和战略规划。欧洲保险公司主要在以下遇到潜在的挑战:一是全面风险管理,建立健全风险偏好体系,对重要风险形成风险容忍度,并制定风险限额;二是偿付能力评估和业务规划,识别未来偿付能力变化趋势,制定偿付能力和流动性应急预案,将压力测试、持续性分析和风险调整评价体系与公司战略计划相融合;三是风险治理架构,耗费大量时间确定各类风险管理责任人,健全三道风险防范体系,大部分中小保险公司难以有效开展风险监测;四是信息披露,大部分保险公司需要公开披露风险管理框架、流程和自评估情况。
5 做好偿二代下偿付能力管理需要关注的重点领域
从2016年开始,偿二代监管正式开启。保险公司应当以偿二代实施为契机,化挑战为机遇,苦练内功,持续提升偿付能力风险管理水平,打造核心竞争力,树立良好的市场形象。笔者认为,保险公司应当从以下几个方面着手,打造符合自身特点的偿付能力管理体系。
5.1 偿付能力管理架构 偿二代的监管体系较偿一代更加精细,更加贴近风险,同时也对保险公司提出了更多要求。偿一代的方法较为简单,与公司内部风险管理的关联度不大,体现在治理架构上,董事会主要是负责报告的编制和资本补充,发挥的作用有限。在偿二代体系下,风险状况与资本要求直接挂钩,体现了现代风险管理的基本原则,基于监管资本规则结合公司实际建立健全内部管理体系将成为一种必然的选择。此外,监管机构也赋予了董事会在信息披露方面更明确的职责。这就要求保险公司自上而下的建立起偿付能力管理体系,以董事会及其专业委员会作为偿付能力管理的最终决策机构,对偿付能力政策、资本管理、偿付能力风险容忍度等重大事项进行决策,监督公司偿付能力状况,在出现偿付能力危机时,及时组织开展自救工作。管理层负责落实董事会确定战略、方针和政策,明确偿付能力管理主责部门,及其他相关部门的工作任务,将各项工作要求落实到具体流程、具体部门和具体岗位,体现在部门和岗位绩效考核中,将偿付能力管理体系融入公司整体运营架构。
5.2 偿付能力管理制度 制度体系和管理政策是各项管理要求落地的基础和手段。在偿二代体系下,保险公司应当首先建立起整个公司的偿付能力管理制度,明确偿付能力管理的目标、组织架构、部门职责、工作任务和关键工作流程。在总领办法的引导下,还需要制定具体的工作制度。第一支柱下,需要建立起偿付能力报告制度,明确资产、负债基础数据管理要求,制定各部门间配合的工作流程,明确工作任务和时间要求,确保各类偿付能力报告能够在监管要求的时限内完成。此外,还要针对重点难度问题,编写技术手册,控制操作风险。第二支柱下,需要建立起两个自评估制度,一是偿付能力管理能力自评估;二是分类监管自评估。自评估不仅更好地支持监管部门对保险公司开展评估工作,更重要的是建立自检程序,不断提升偿付能力管理水平。第三支柱下,需要建立偿付能力信息披露制度,明确日常披露和定期披露各项要求如何在公司各部门、各信息系统中得到落实。同时,加强对销售人员、柜面人员、客服人员等的教育培训,向保险消费者传递正确的信息,从而树立专业良好的市场形象。
5.3 基础管理能力建设 偿二代三个支柱的要求是上层建筑,要确保监管合规,并进一步提升管理水平,保险公司必须要打下坚实的基础。一方面是认清偿二代对专业人员的要求。偿一代下偿付能力以会计报表为基础,最低资本仅以保险负债规模和风险保额挂钩,各项专业职能之间的联系不多,可以在简单对接的情况下完成各项工作。偿二代下最低资本以资产和负债的风险特征为基础,需要收集、管理庞大的基础数据,其中大部分为非财务数据。要做好偿二代下的偿付能力管理,就要求管理人员具备投资、财务和保险精算等的相关知识。目前,公司内部和人才市场上少有这类人员,这就要求保险公司在做好内部专业人员调动的同时,主动规划好偿付能力管理人员的培训计划,使其具备工作所需的专业技能。另一方面是注重信息系统建设。及时获取高质量的信息是开展偿付能力管理的基础和前提。需要建设或改造的系统可能包括财务和报告系统、精算系统、风险管理系统以及业务核心系统。各保险公司根据自身情况确定具体的方案和实施路径,但是快速提升信息系统支持水平是迫在眉睫的一项工作。
5.4 提升全面风险管理能力 在偿二代体系下,风险管理能力和状况不仅直接影响最低资本要求,还通过监管评级从而与监管措施挂钩,通过对总、分两级机构分级结果的披露,进而影响保险业务销售,偿二代将风险管理提升到偿付能力管理的核心位置。目前,保监会已经全面风险管理办法等相关制度,但是缺乏有效手段推动保险公司落地执行。通过偿二代资本推动,可以预见保险公司将在风险管理中投入更多资源。随着保险产品市场化不断推进,保险业的竞争将越来越激烈,仅依赖于销售队伍扩量带动业务发展的模式将受到很大的挑战,以风险管理为核心手段的多种盈利模式将不断涌现。保险公司应当以偿二代为契机,不断推进全面风险管理能力建设,将风险偏好、风险容忍度和风险限额体系融入公司经营管理体系,明确各大类风险管理政策,贯彻执行风险管理流程,逐步将风险管理能力转化为盈利能力。
5.5 建立健全资本管理体系 作为一个高负债经营的行业,资本一直是保险公司经营有效的控制手段,特别是对处于初创、快速发展阶段的中小保险公司。保险公司的经营者必须权衡盈利、资本和流动性等多个维度,更好地平衡风险和收益,在风险可控的前提下,尽可能地提升股东回报。在偿一代下,有的保险公司也尝试通过经济资本等手段,加强资本管理。但是监管资本要求的硬约束使得相关工作成效不大。偿二代下的基本方法与经济资本方法趋同,保险公司在资本管理上获得了更大的空间。保险公司应当研究偿二代下的资本管理方法,结合公司的风险容忍度,将资本分解到各业务条线、各级公司、各类资产,设定资本限额,监控资本使用状况,提升资本使用效率,通过资本管理创造价值。
总之,偿二代监管体系对保险公司提出了重大挑战,也为保险公司应对复杂多变的内外部环境提供了有效的管理手段。各保险公司不应仅将偿二代实施作为一项监管规定的执行,更应当将其视为影响长期竞争力的重大事项,苦练内功,抓住重点,有计划分步骤的做好新一代偿付能力管理体系建设。
参考文献:
[1]陈文辉,等.中国偿付能力监管改革的理论和实践[M].中国经济出版社,2015.
[2]江先学,吴岚,等.保险公司偿付能力监管研究[M].上海交通大学出版社,2013.
[3]项俊波.保险业偿付能力监管――国际格局与中国道路[J].金融监管研究,2012(8).
[4]马文钰.偿二代对人身保险公司经营影响浅析[J].财经与金融,2015(2).
[5]陈文辉.中国偿二代的制度框架和实施路径[J].中国金融, 2015(5).
[6]保险公司偿付能力报告编报规则[R].中国财政经济出版社,2009.
[7]王艺蒙.我国寿险公司偿付能力监管第二支柱的构建研究[D].西南财经大学,2013.
[8]谢志刚.我国第二代偿付能力监管制度体系建设中的几个关键问题[J].保险研究,2012(8).
[9]姜波,陶燃.欧盟保险偿付能力Ⅱ监管体系改革最新进展[J].中国金融,2010(23).
[10]王凯,谢志刚.现金流视角下的保险公司偿付能力定义[J].保险研究,2014(2).