導語：如何才能寫好一篇內部審計應急預案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】企業內部控制基本規范 中小企業 內部控制

一、中小企業內部控制現狀

（一）控制環境較差

有些中小企業在有限公司階段雖然制定了企業章程，但是卻未建立完善公司治理結構，未制定相關議事規則，決策、執行、監督等方面的職責權限不明確，未形成科學有效的職責分工和制衡機制。

有些中小企業在有限公司階段未設立董事會，只設立一名執行董事；未設立監事會，只設立一名監事；相關的《董事會議事規則》、《監事會議事規則》、《關聯交易管理辦法》、《對外投資管理辦法》等也未制定；公司的決策、執行、監督等基本都由公司董事長兼總經理負責，未形成科學有效的職責分工和制衡機制。

有些中小企業在有限公司階段也未成立專門的審計部門，公司審計工作尚無規范的、系統的制度及流程，部分內部審計工作由財務部來承擔。

（二）風險評估缺乏

有些中小企業在有限公司階段未制定專門的風險識別與評估體系。由于公司規模較小，公司管理層能夠及時發現并積極防范日常經營過程中的風險，公司并未設立專門的部門來處理應急性的突發事件，實際經營中對于主要風險的把握是通過總經理對于業務的掌控來完成。但從公司長期發展的角度來看，突發性的重大風險防御機制尚需建立和完善。

（三）控制活動不健全

有些中小企業在有限公司階段未建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。因為有些中小企業在以前未發生過重大風險及突發事件，所以也未建立相應的機制，但重大風險預警機制和突發事件應急處理機制對一個健全的企業內部控制是必不可少的。

（四）信息與溝通不暢

有些中小企業在有限公司階段的重大決策及大部分一般決策都是由老板一個人決定的，相應的信息溝通與反饋得不到有效的處理，同時員工對信息與溝通也沒有較強的意識，導致有些中小企業的信息與溝通不暢。

（五）內部監督薄弱

有些中小企業在有限公司階段未建立內部控制監督制度，沒有設立專門的內部審計機構或者其他經授權的監督機構，未設立監事會，只有一名監事也不能形成有效的監督。

二、完善中小企業內部控制的建議

（一）控制環境

根據《企業內部控制基本規范》的要求，企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。

本人建議設立董事會、監事會，并確定總經理、副總經理、財務負責人、董事會秘書等高級管理人員，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡。制定《董事會議事規則》、《監事會議事規則》、《關聯交易管理辦法》、《對外投資管理辦法》等規則辦法。設立內部審計機構，對監督檢查中發現的內部控制缺陷，按照企業內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，直接向董事會、監事會報告。

（二）風險評估

根據《企業內部控制基本規范》的要求，企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。企業開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。

本人建議中小企業組織相關人員全面系統持續地收集相關政策，準確識別外部風險，同時公司的核心技術掌握在幾個核心技術人員手中，我們建議制定相應激勵政策，以求這些核心技術人員與公司同在。

（三）控制活動

根據《企業內部控制基本規范》的要求，企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。

本人建議建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。

（四）信息與溝通

根據《企業內部控制基本規范》的要求，企業應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。

本人建議每周組織開一次例會，由董事、監事、高管及一般員工或者各派相應代表出席，實時總結公司過去一周的工作情況，展望部署下一周的工作，傾聽一般員工的想法，同時董監高的意見與建議也要實時轉達至一般員工。

（五）內部監督

根據《企業內部控制基本規范》的要求，企業應當根據本規范及其配套辦法，制定內部控制監督制度，明確內部審計機構（或經授權的其他監督機構）和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。

篇2

對風險實施有效的控制可以減少經濟損失，提高工程質量。工程項目風險管理有利于減少風險發生的頻率和不確定性。在風險管理中，我們應用管理科學技術，通過排除法把非風險源予以清除。水利工程建筑項目風險管理是管理的一個過程，利用風險管理理論，在水利工程建設中，采用定性與定量相結合的方式，可采取依靠觀察、調研、實地勘測等，參考水利工程建設的風險發生概率及因由，結合項目建設全過程，建立健全工程風險管理預警系統，形成一個前后連貫的管理過程。水利工程建設項目風險管理利于節約成本，減少損失。風險管理的關鍵在于程序化，水利工程項目全面風險管理是用系統的、涉及各個方面，通過應急機制減少項目進行過程中的不確定性，在實踐中需要按照科學的流程予以落實依靠科技，提高素質是風險應急預案，按照科學的程序予以評估，當然利于工作效率的提高，成本的節約。

水利工程建筑項目一風險防控的問題

在水利工程建設項目中，社會公益要求與經濟人利益訴求之間產生強大落差，水利行業在政策引導方面風險管理意識差，執行部門缺乏風險管理意識，對于水利工程的風險度以及工程進度等工作的核定過多依賴評級結果，對企業盈利和發展的戰略規劃性差。從業人員很少具有危機、風險方面的專業背景，水利工程公益對象概念界定的模糊，憂患意識、危機意識相對于私有企業小得多，風險防范的責任就會嚴重流失。由于水利工程公益性補償制度的存在，水利工程出現風險的概率加大。機構設置時沒有遵照完整統一的原則。信息屏蔽時有發生，這一切都會導致風險發生，從委托理論而論，鏈條長，企業在生產經營過程中存在的問題和偏差，對人缺乏有力的約束機制，內部審計缺乏獨立性，財權和人事權都難以超然于現有利益集團，所以獨立性難以實現。各種資源沒有充分整合、共享利用，在公益型水利建設項目的建設與管理中，缺少信息共享政策法規，共享機制還未建立，工程進度和合同履行情況，不利于資金控制，單向的共享愿望形成事實上的信息壁壘，自然會產生投資風險。通過概略統計得出的不精確的收支數據，政府投資項目超概算數量超概算幅度愈來愈大，弱電、消防工程在初設階段基本未委托設計和概算編制，有關管理部門針對超概算的情況難以制定制度設計，概算制度成了一種僵化的制度安排。水利工程的風險涉及到方方面面，目前在水利工程領域主要有四種。其中.合同風險常常位于合同款項和合同管理；.承包商風險對工程管理提出了更高的要求；.市場誠信風險，是為了避免達到不支付或少支付工程款的目的；.投資風險，指不可確定性因素的干擾從而導致資金到位困難。

水利工程項目風險防控機制建議

篇3

【關鍵詞】內部控制；風險管理；公司治理；戰略管理

受美國2002年出臺的薩班斯――奧克斯利法案（以下簡稱SOX法案）的影響，我國所有赴美上市及計劃赴美上市的企業必須按照美國監管機構的要求，完善內部控制體系、完成內控評估報告。同時，隨著經濟全球化的深入，企業遭受產品市場、要素市場和金融市場的價格沖擊越來越大，各類風險產生的擴張效應和聯動效應越來越嚴重。因此，內部控制和風險管理成為現代企業重點關注的課題。

本文將在回顧內部控制和風險管理理論發展的基礎上，探討二者之間的關系，并結合寶鋼在內控體系建設和風險管理方面的最佳實踐，提出整合的風險管理框架設想，以期對我國企業的內控體系和風險管理體系建設提供借鑒。

一、內部控制、風險管理的理論發展及其關系

（一）內部控制理論的發展

20世紀70年代中期的“水門事件”引起了美國立法者和監管團體對內部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內部控制方面的第一個法案。1980年后，美國COSO委員會將“內部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經營目標提供合理保障”。在COSO委員會制定的內部控制框架中，把內部控制活動分成五大組成部分，即：控制環境、風險評估、控制活動、信息與交流和監督評審。

2002年，美國成立的上市公司會計監管委員會（簡稱PCAOB）明確采用了COSO內控框架作為內控評價的標準體系。許多國家和地區的資本市場也采用了COSO內控框架，有些國家和地區在參照該框架的基礎上建立了自己的內控體系。

我國在2005年先后出臺了《上交所上市公司內部控制指引》和《深交所上市公司內部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內控框架一脈相承。

（二）風險管理理論的發展

企業風險管理理論發展大致分為三個階段。第一階段：以“安全和保險”為特征的風險管理。100多年前航運企業風險管理的主要措施就是通過保險把風險轉移給保險公司。第二階段：以“內部控制和控制純粹風險”為特征的風險管理。隨著工業革命的發展，公司對業務管理和流程方面的內部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內部會計控制；1992年的《COSO內部控制綜合框架》提出以財務管理為主線的內部控制系統。第三階段：以“風險管理戰略與企業總體發展戰略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內部控制難以實現企業的最終目標。為此，COSO于2004年9月出臺了《COSO企業全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年《中央企業全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業建立全面風險管理體系工作的啟動。

（三）內控體系建設與全面風險管理工作的聯系和作用

全面風險管理與內部控制既相互聯系又存在差異。企業的內部控制體系是企業全面風險管理體系中重要的組成部分之一，而內控體系建設的動力則來自企業對風險的認識和管理。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益，而這正是全面風險管理應該達到的基本狀態。此外，內控體系建設與全面風險管理工作的開展之間具有緊密的聯動作用，具體體現在以下兩個層面：

1.在理論框架層面，完整的內控體系包括依據COSO內控整體框架開展內部控制的評審體系以及內控自我評估體系；而目前國內外較為認可的企業風險管理理論框架是COSO企業風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發展性。

2.在推進工作的步驟層面，從國內大型國有企業集團開展內部控制和風險管理的推進步驟來看，以內控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內控體系建設，在組織架構的完善、人員經驗的積累、內控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。

至于差異，從二者的框架結構看，全面風險管理除包括內部控制的三個目標之外，還增加了戰略目標；全面風險管理的八個要素除了包括內部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質內容看，內部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內部控制主要通過防范性的視角去降低企業內部可控的各種風險，側重于財務和運營；而全面風險管理強調通過前瞻性的視角去積極應對企業內外各種可控和不可控的風險，側重于戰略、市場、法律等領域。

二、寶鋼在內控體系建設領域的實踐

寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內部流程，推廣管理標準。2007年3月，由公司總經理擔任組長的內控評審項目開始啟動。

內控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產規模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內部控制體系，編制公司流程內控手冊，形成公司全面的內控改進點報告，建立公司層面基本內控體系。并在前期工作的基礎上，開展內控體系的自我評估工作，形成公司內控自我評估報告。

在項目實施過程中，公司組織了多場內控培訓會，形成了全員內控的企業文化。同時，公司對發現的內控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理；評審項目組還組織各單位把相關流程發現的內控薄弱點和自身的業務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內控評審項目和常規審計工作相結合，在內部審計工作中跟蹤檢查問題的整改情況。

三、寶鋼在風險管理領域的實踐

寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是：圍繞寶鋼的戰略目標，在企業管理的各個環節和經營過程中執行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經營管理各個環節的有機組成部分。公司具體實施情況包括以下幾個方面：

（一）以法人治理為基礎，建設風險管理的組織體系

完善的法人治理是風險管理重要的內部環境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業中首批董事會試點企業，在完善董事會試點的過程中優化董事會成員結構，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構、監督機構和經營層之間各負其責、協調運轉、有效制衡的治理機制。

同時，寶鋼按照國資委《指引》的要求，構建了業務部門、風險管理部門和內部審計機構三道防線。第一道防線建設：總部各職能部門和各子公司作為風險管理的第一道防線，是所管業務風險的責任者，公司明確了其各自相應的職責。第二道防線建設：總部層面成立由分管副總經理擔任組長的“全面風險管理體系建設領導小組”，由系統運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協調和推進。第三道防線建設：審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監督評價。對各單位內部控制的合理性、完整性、有效性、可靠性作出評價，及時發現流程中存在的問題，提出內控完善的建議。

（二）與管控模式相結合，制定風險管理策略和流程

寶鋼采取的是“戰略控制型”的管控模式，即總部通過對策略性、全局性業務進行管控來確保戰略意圖的實現，對于具體執行性業務則授權給各子公司來執行，以確保整體運作效率和響應速度。

因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業改制等重大決策、重要業務和流程的風險管理為重點，通過推進風險管理文化建設、推動內控系統優化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監督機制等措施，建立并不斷完善風險管理體系。各子公司則結合自身產業特征，從防范運營風險的角度出發，重點推進四項工作：1.建立風險管理的組織體系和工作機制；2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域；3.針對重大風險涉及的重要業務流程和重大事件，評估、完善內控體系，并落實為工作規范，制定管理制度，形成內控手冊；4.針對可能發生重大突發事件的業務領域，建立預警機制，制定應急預案。

（三）建立了財務預警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警

在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發事件、保障公共安全的能力，最大程度地預防和減少突發事件及其造成的損害。

四、整合的風險管理框架設想

通過長期的工作實踐和思考分析，筆者認為：企業的風險管理工作需要和企業管理的多方面相結合，構建整合的企業風險管理系統。這不僅要考慮和內控體系的融合，還必須與企業公司治理、戰略管理等系統相整合。企業風險管理整合系統如圖1所示：

（一）風險管理系統應與公司治理系統進行整合

風險管理功能與公司治理功能相耦合和良性互動是風險管理系統與公司治理系統整合的目標。美國內部審計師協會（IIA）指出，企業風險管理的本質是“通過管理影響企業目標實現的不確定性來創造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權和監督的過程。整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權和監督等活動。

（二）風險管理系統應與公司戰略管理系統相整合

風險管理功能與公司戰略管理功能相耦合，主要體現在圖2所示的戰略管理全過程中：

將戰略管理系統與風險管理系統相整合，有利于以較低的成本順利實現企業的戰略目標。公司治理確定企業風險管理的范圍和邊界，并為風險管理提供政策；而戰略管理則為風險管理提供資源與支持。公司實施不同的戰略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰略模式將會導致在不同的領域配置風險管理的資源。

企業戰略管理的最終目標是為了實現企業價值的持續增長，企業價值創造路徑應圍繞“股東價值客戶價值業務流程核心資源”這一路徑展開，該路徑表明企業長期股東價值的增長來自于客戶價值的增長。企業要獲得長期穩定的客戶價值，必須具有高效、快捷和質量可靠的業務流程，這些業務流程的價值創造能力又依賴于企業核心資源的研究與開發。這也是企業價值鏈的形成路徑，企業風險管理也應遵循這一路徑而展開。

總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策；由高管確定風險管理的偏好；由戰略管理層確定風險管理流程、文件和模型；在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。

【主要參考文獻】

［1］ 張諫忠，吳軼倫.內部控制自我評價在寶鋼的運用［J］.會計研究，2005，（2）.

［2］ 吳軼倫.內部控制自我評價［J］. 上海財經大學學報，2004,（4）.

［3］ 吳軼倫.內部審計職能的發展與風險管理模式的建設［J］. 冶金財會，2006,（3）.

［4］ 方紅星.內部控制審計組織效率［J］.會計研究，2002,（7）.

［5］課題研究組.內部會計控制規范操作實務［M］.中國商業出版社，2001.

［6］閻達五，宋建.雙元控制主體構架下現代企業會計控制的新思考［J］.會計研究，2000,（3）.

［7］ 朱榮恩、賀欣.內部控制框架的新發展――企業風險管理框架 ［J］.審計研究， 2003，（6）.

［8］ 金或日方 ,李若山,徐明磊. COSO報告下的內部控制新發展 ［J］.會計研究，2005，（2）.

［9］ 嚴暉.風險導向內部審計整合框架研究 ［M］.中國財政經濟出版社，2004.

［10］ 宋夏云.現代風險導向審計模式的背景分析與理論創新 ［J］.中國審計，2005.

［11］胡春元.審計風險研究［M］.東北財經大學出版社， 1997.

［12］吳軼倫.內部審計的風險管理模式［J］.上海審計，2006,（1）.

［13］鄭石橋等.現代企業內部控制系統［M］.立信會計出版社，2000.

［14］張國康等.內部控制制度［M］.立信會計出版社，2003.

［15］課題組.現代企業內控制度：概念界定與設計思路［J］.會計研究，2001,（11）.

［16］ Arthur A. Thompson.Jr and A.J.Strickland Ш，段盛華等譯，戰略管理.中國財政經濟出版社，2005.

［17］ Robert S. Kaplan and David P. Norton,劉俊勇等譯.戰略地圖.廣東經濟出版社，2005.

［18］ Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.

［19］ Paul J. Sobel, Auditor's Risk Management Guide: Integrating Auditing and ERM, Aspen Publishers, Inc.

篇4

關鍵詞：縣級醫療機構；內部控制；對策

中圖分類號：F323 文獻標識碼：A 文章編號：1001-828X（2014）011-0000-01

新農合制度自實施以來不斷擴大保障范圍和報銷比例，已經讓越來越多農民的從中受益，大大減輕了農民在求醫治病方面的經濟負擔。縣級醫療機構作為縣域醫療衛生服務體系的龍頭，管理層要加強內部控制意識，建立完善的內部控制體系，提高醫療機構的工作效率和綜合管理能力。

一、新農合制度下縣級醫療機構內部控制存在的問題

內部控制是縣級醫療機構管理的關鍵環節，完善的內部控制對確保資金使用的安全性和有效性發揮著重要的作用，然而在內部控制的管理實踐中出現了很多問題。

（一）內部控制環境薄弱，組織結構不合理

醫療機構管理層普遍缺少內部控制的意識，由于受到自身管理水平的限制，他們認為資金管理只要由財務部門按規定編制預算即可，從而忽視了對內部控制環境的建設。很多縣級醫療機構的組織結構設置不夠科學合理，各職能科室之間沒有形成相互制約和相互限制的關系，崗位職責未能得到有效落實，使得內部管理缺乏系統性，資金管理出現漏洞。

（二）缺少有效的內部審計監督和評價體系

目前很多縣級醫療機構并沒有一套完善的內部控制監督和評價體系，管理層也沒有專門設置監督崗位，使得監督和評價工作流于表面，并沒有起到切實的作用。有些醫療機構沒有審計部門，或者設置了審計部門但是人員配備不足，崗位職責劃分不明確，本應該相互獨立且不相容的崗位之間卻出現由一人兼職的違規情況。內部審計監督機制不健全，審計工作不夠深入，只停留在會計賬面的審查，發現問題通常也只是事后處理，并沒有涉及到日常內部控制的稽查和評價方面。

（三）風險評估不足，風險防范意識薄弱

在新農合制度下，縣級醫療機構面臨著更加激烈的市場競爭和變化莫測的市場環境，也將承擔更多的經營風險，然而縣級醫療機構的管理層仍然采用傳統管理制度下的決策方法，沒有進行風險評估，缺少風險評估意識和風險管理機制。比如在投資管理上由于缺少風險意識，管理層在沒有對市場經營風險充分分析論證的情況下就盲目決策，大量采購醫療相關設備物資，設備購置后又沒有及時對操作人員進行培訓，不僅設備沒有得到有效利用還占用了本就不充足的資金。

二、完善縣級醫療機構內部控制的對策

（一）完善內部控制結構，營造良好的內部控制環境

內部控制是財務管理的關鍵性環節，是對其資金、成本、資源科學配備的主要方法。內部控制環境的營造與醫療機構的經濟活動息息相關，而這取決于管理層的重視程度，只有對內部控制足夠重視才能保證建立完善的內部控制結構和制定有效措施。首先醫療機構的管理者要明確自己在內部控制建設中的重要角色以及應承擔的責任，不斷加強學習，提高自身的管理水平，從根本上轉變觀念形成良好的內部控制的意識；其次在管理層中要配備專門的負責財務的人員，以便在今后的決策中可以從資金管理的角度提出可行性的建議，確保醫療機構經濟運營的可持續發展；再次要對組織機構部門進行合理的調整，明確崗位職責和責任劃分，完善內部控制結構；最后加強對財務人員的專業技能和內部控制相關知識的培訓，并出臺相應的激勵獎勵政策，既能激發員工的工作主動性又能加強對其行為的約束力，提高員工的綜合素質和業務水平。

（二）加強內部審計監督力度，建立健全內部控制評價體系

只有不斷加強內部審計的監督力度才能保證內部控制機制的有效落實。審計部門作為內部控制的核心部門應該發揮出對資金監管的作用，審計部門直接對最高層領導負責，與其它職能部門相比具有獨立性和權威性，其它部門要積極予以配合，強化審計機構的監督職能。引進高素質的審計人才，加強對內審人員的培訓，建立專業化的審計隊伍，對醫療機構的各個方面進行全方位的控制，包括日常經營活動、關鍵部門和關鍵人員進行抽審，重點進行內部稽查、績效評價審計和內控制度落實等情況的核查。

縣級醫療機構要根據自身的規模大小、經營情況和組織結構特點在分析評價的基礎上，形成創新性的、系統性的、符合自身發展現狀的內部控制評價體系，從內部和外部兩個方面進行綜合而全面的測評，對醫療機構內部控制的有效性和科學性綜合評價，并建立績效考評機制，建立健全內部控制評價體系。

（三）加強醫療機構的風險評估，降低控制風險

醫療機構的風險包括資金風險、經營風險和醫療風險，可以說風險問題關系到整個醫療機構的生死存亡。因此醫療機構要加強風險意識，提高自身的風險控制能力，才能在新農合制度下得以長遠的發展。縣級醫療機構首先要確定風險因素，結合自身的實際運營情況和發展目標對可能遇到的風險進行分析匯總；其次制定科學的風險預估策略，降低可能存在的隱形的風險幾率，或者采取行之有效的手段將風險轉移，盡量將可能出現的風險控制在前期或者是中期；尤其對涉及資金量較大的重點項目容易出現資金安全問題，更應該加強內部審計的監督力度，降低控制風險；最后對已經確定的風險實行24小時不間斷的監控，制定風險應急預案，將風險產生的經濟損失降到最低。總之，一定要加強風險防范意識，完善風險評估體系，重視風險管理在內部控制管理中的作用。

三、結束語

在新農合制度下，縣級醫療機構要滿足市場化的發展趨勢必須提高內部控制的意識，內部控制對確保醫療機構經營合法化、資產安全化、財務信息精準化中發揮著重要的作用，能夠全面提高醫療機構的會計信息質量和工作服務效率，全面提高醫療機構的綜合管理水平。保證新農合制度的健康可持續發展。

參考文獻：

[1]徐琪疆.醫院內部控制改進對策[J].財會通訊，2010（26）.

[2]高永總.強化醫院內部控制初探[J].中國內部審計，2011（2）.

篇5

1醫療機構內部審計工作的現狀及存在的問題

首先，醫院對內審工作重視度不夠，難以有效發揮的內審職能。其次，內審資源投入不足，尤其體現在人力資源上，缺乏具有豐富經驗的復合型審計人才，公立醫療機構事業單位的性質，又給內審人員的補給帶來了天然的屏障，導致高素質內審人員欠缺，也不能充分調動內審人員積極性。再次，很多醫院的內審難以完全履職，或和財務等部門存在職能混淆、交叉、留白等情況，內審作用難以得到充分發揮。最后，內部審計多處于事后監督階段，往往在問題發生之后，才想到讓內審部門參與，沒有發揮審計的有效監督和控制，不能“防患于未然”。可見醫療機構內審工作開展情況與國家和衛計委要求尚有一定差距。

2信息化對醫院內部審計工作的啟示

2010年，劉家義審計長在全國審計工作會議上明確指出：“中國審計的出路關鍵在于信息化，信息化的關鍵在于數字化。”國務院《關于加強審計工作的意見》（國發［2014］48號）第十九條提出了“加快推進審計信息化”建設的總體要求，主要包含實現信息共享、提高審計信息化技術運用、創新電子審計技術、推進計算機信息系統安全性審計等四層意思。可見，信息化是未來內部審計工作開展的方向，也是審計工作的一項革命，在審計對象、審計工具、審計線索、審計介質與審計結果等方面跟傳統的審計工作有很大的不同，在信息化形勢下，給醫院內部審計工作帶來了一定的挑戰，也給目前狀況下內審工作的發展帶來了契機。如何在信息化形勢下，有效開展醫療機構內部審計工作，履行醫療機構內部審計職能，是一個迫切需要解決的問題，筆者擬對此談幾點看法。

2.1構建信息化環境下的內部控制機制

在信息化環境下，和傳統的審計相比，審計的對象、線索、方法、流程、介質等都發生了改變，以往的內控制度和審計準則已經不能完全適用，應針對信息化的特點和存在的風險，建立一套符合信息化環境的新的內控體系，以指導信息化條件下的審計工作，主要包括以下幾個方面：第一，內審人員參與醫院信息系統建設，提出審計需求，業務系統和審計系統對接，審計享有查詢權；第二，針對信息化環境下的控制特點，制定內部控制制度和信息系統管理制度，確保在信息化條件下，業務操作職權分離、系統節點有效控制、業務流程得以優化；第三，針對計算機操作流程，制訂完整而明確的操作控制審計方案、信息系統審計方案，開展信息化審計；第四，在信息化環境下，注重操作安全、數據安全和信息保密，制定電子簽退、電子簽名控制制度，制定系統檔案資料管理制度，確保資料雙份備份，異地存放，采取必要的防磁、防火、防潮措施；第五，制定信息系統突發事件應急預案，并安排專人對信息系統定期不定期進行巡檢。

2.2利用信息手段，創建醫院風險“免疫”系統

2009年，劉家義審計長提出審計監督制度“是維護國家經濟安全的重要工具，是保障國家經濟社會健康運行的‘免疫系統’”，據此要求，審計應發揮預防和實時監控功能，在信息化環境下，這兩個功能得到更有效的發揮。“免疫”功能的發揮要求審計人員透過經濟現象看到隱藏在背后的深層次問題，提前預見存在的問題和不足，并給予糾正和預警。一方面要求審計關注點上升到醫院戰略層面、管理層面，對醫院建設發展中的重大經濟事項、重大業務活動、重大資金運作予以重點關注；另一方面要求審計關口前移，審計人員需要介入經濟事項的始終，從源頭控制，防患于未然，例如：在采購業務中，審計部門依次對申購、招投標文件、比選過程、合同簽訂、合同執行與付款等環節進行審計把關，確保醫院資金使用合理合法合規，提高資金使用效益；在基本建設項目中，建立全程跟蹤審計機制，通過對工程項目設計招標的事前介入、施工過程的事中追蹤，建設資金的動態管理、事后的確認和評價，實現審計全程監督，提高建設資金使用效益，預防腐敗現象發生。在信息化環境下，審計可以做到有效預防、信息共享、實時監控，例如：建立設備、后勤、財務、審計等各部門聯動機制，要求經濟業務記錄留痕，建立授權互訪式的信息平臺，授予內審部門數據查詢與訪問權，實現部門間資源共享和經濟業務的電子化查詢，審計部門采取抽查核對、趨勢分析、分析性復核等審計手段對醫院的經濟業務實施監控，尤其在收支審計、采購支出審計、耗材管控與合同管控幾方面運用最為明顯，一方面實現了審計實時監控，另一方面重構醫院業務流程，實現資源整合，降本增效。

2.3開展信息系統審計，形成醫院信息安全高效發展態勢

目前，醫療機構信息化態勢發展明顯，在財務收費、掛號診療、檢查檢驗、后臺支撐、內部管理等方面基本形成以計算機網絡為中心的業務處理系統，數據集中、業務集成、部門聯動和處理自動化程度大大提高，打破了原有的條塊分割，重構了業務流程，由紙質平臺向電子平臺轉變，帶來了極大的便利，然而審計風險和信息系統風險交錯，給審計工作帶來了很大的挑戰。在信息系統存在缺漏的情況下，對醫院產生的影響和后果將是難以估量的，之前北京腫瘤醫院等發生的舞弊事件，就和信息系統的缺漏有關。只有在安全可靠、高效運轉的信息系統下，醫院的業務才得以有序開展，由此，評估信息系統的合法性、安全性、可靠性與高效性顯得至關重要，要求將信息系統本身的設計、操作、執行、安全與保密納入審計范圍，按照每一條業務鏈和信息鏈，條分縷析，逐一對信息系統的安全性、可靠性、穩定性進行審計。通過符合性測試、程序測試等手段，填補系統缺漏、刪減冗余、使系統節點之間環環緊扣又相互分離、相互制衡，構建安全高效、良性發展的醫院信息體系。

2.4利用信息技術，構建醫院審計風險預警體系

經濟活動可以劃分為事項風險、操作風險、管理風險、控制風險4個層次，內部審計的目的就是針對每一層次，利用信息手段，抓關鍵控制點并設置控制標準，關鍵控制點即為審計關注點，控制標準即為風險闕值，從而構建醫院風險預警體系。首先，可以利用計算機網絡，建立業務流程的風險預警系統，建立風險數據庫，運用計算機技術進行分析性測試，提高分析的速度和準確性；其次，在大數據環境下，利用大數據的優勢，運用計算機技術進行統計抽樣，避免人工抽樣審計的不足，逐步從抽樣樣本向全樣本邁進；再次，內部審計要使用信息挖掘技術，充分發揮數據挖掘功能，利用數據之間的相關性，從原有數據因果關系逐步向相關關系轉變，在信息化程度較高的情況下，打破不同業務模塊中所天然存在的無形隔離和障礙，通過使用對數據的系統檢查及相關分析等方法，使數據的整合不受部門、業務種類、潛在風險與數據媒介的限制，從而全面監察業務進展并了解風險變化趨勢，抓住數據里面所隱含的各類風險及其風險關聯，提出具有前瞻性和戰略性的審計預警及解決方案，實現內部審計的“免疫”功能。

2.5利用電子審計技術，推動醫院信息化建設

醫院信息化建設是一項長期而艱巨的任務，應建立先進科學的信息管理系統，在內部審計領域進行拓展和引進新的技術、方法。編制和開發審計軟件并制定計算機審計程序，通過信息化管理，在較短的時間內便捷準確地獲取所需要的信息資料，提高效率和節約資源，保證審計質量，規避審計風險。由于基建審計在醫院內部審計工作中占據重要位置，同時基建審計具有歷時長、數據量大、數據種類多與專業性強等特點，給內部審計的有效開展帶來很大難度。隨著建筑信息建模技術和建筑虛擬化的快速發展，以及優質工程造價軟件和管理軟件的涌現，基建資料的虛擬化、電子化及大數據存儲為審計方法提供了新的思路，對真正有效開展基建審計工作有很大助益。

作者:王娟 單位:四川大學華西第二醫院

參考文獻:

［1］王立姝,夏魯婧.醫療單位審計信息化的應用［J］.中國內部審計,2012(1).

［2］馮萬進.加快審計信息化建設的方法［J］.中國內部審計,2010(1).

篇6

（一）風險管理審計工作內容和現實狀況

風險管理審計是由內部財務會計審計、管理會計審計發展而來的，主要是針對企業風險管理的問題，包括識別風險、評估風險、應對風險等實施的一系列內部審計評價工作，風險管理審計的主體是內審機構，客體是企業風險管理的制度和措施。風險管理審計是一種較為先進的管理手段，目前我國企業實施風險管理審計僅僅處于起步階段，實施風險管理審計還不是很普遍，很多企業并沒有要求內部審計機構執行風險管理審計的工作職能。但是，隨著我國企業生存環境的不斷變化，市場競爭的日益激烈，企業會越來越重視風險管理審計工作，并逐漸為企業的生產發展提供管理支持作用。

（二）風險管理審計對國有企業經營管理的幫助意義

我國的國有企業數量不少，規模也較大，涉及的行業也多，建立、經營的時間都比較長。因受到計劃經濟時代的影響，我國國有企業管理思想普遍較為落后，對市場經營風險的管理意識不強，風險識別、風險評估和風險應對等活動多半都組織在事后，并且對市場和經營風險的抵御能力有限，給國有企業帶來了很多損失，也失去了很多市場拓展機會，極大地影響了國有企業的生存發展。隨著我國市場經濟的不斷發展，政府逐漸放開了一些國有壟斷行業的門檻限制，允許非國有資本參與壟斷行業的投資經營，這給國有企業的生存帶來了前所未有的挑戰。因此，國有企業管理層必須要認清形勢，積極與市場對接，規避市場和經營風險，搞好風險管理以及風險管理審計工作，促進企業的長久發展。

二、國有企業風險管理審計活動存在的問題

（一）國有企業風險管理意識不強，重視程度不高

國有企業設立受國家政策影響較大，會獲得較多的財政補貼資金支持，承擔生產經營和維護國民經濟穩定的任務，一些企業還具有一定的公益作用。因此，國有企業本身風險意識內生力不足，企業管理層對風險管理的意識不強，尤其是處在一些壟斷行業的企業，受到的市場競爭壓力小，市場和經營風險不大，導致對風險的重視程度不夠，風險管理的意識也不強，對風險管理審計部門即內部審計部門工作的重視程度有限，很多國有企業內部審計部門人員較少，專業性也較差，甚至被認為是企業中最悠閑的部門。這些內外環境因素都不利于風險管理審計工作的發展，發揮出其內部管理的作用。

（二）風險管理審計目標和范圍不明確，影響審計工作開展

風險管理審計工作不同于財務會計審計，在審計范圍、審計內容、審計目標等方面都有其特殊性，內部審計部門進行風險管理審計，多數都偏向財務會計審計方向，并未實現對風險管理活動的內部監督檢查作用。審計工作中，審計人員花費較多的精力在財務報表合規方面與經營指標的完成情況調查，目的在于規避、降低會計核算風險。但是，管理會計核算風險僅僅是企業風險管理的一種，并不是全部風險管理內容。因此，需要內審人員明確風險管理審計的內容，調整工作方向，實現審計目標。

（三）內部審計部門人員工作思路和審計技能有待提高

適應國有企業內部審計內容的變化，發揮好風險管理審計作用，需要具有一定風險管理審計的思路，并且具有一定風險意識和特定審計技能的隊伍。國有企業內審部門員工知識結構單一，審計技術還是以傳統報表審計技術為基礎，對企業風險管理問題的識別能力不強，還不具備敏銳的風險“嗅覺”能力。同時自覺提高審計能力，完善自身知識結構的動力不足，導致目前內部審計人員的能力還不能滿足國有企業風險管理審計工作的需要。因此，加強風險管理審計工作，必須要從加強人才培養入手，提高企業的風險管理審計水平。

三、加強風險管理審計工作的對策和方案

（一）提高風險意識，加大對內部審計部門的建設

隨著政企分離范圍的擴大和國企改革的深入，國有企業將會參與到更激烈的市場競爭中，面臨更多的風險。對于風險抵御能力較弱的國有企業，必須要從計劃經濟時代的管理理念影響中走出來，用風險管理的意識指導企業發展與經營。企業管理層要更新觀念，重視對企業風險的評估和控制工作，在內部控制制度的設計中，制定風險管理審計活動的監督措施，提高企業各部門的內部風險管理意識，也有利于風險管理審計工作的開展。另外，重視內部審計部門的建設，強化風險管理審計職能，促進其內部風險評估與建議的作用。

（二）擴大風險管理審計范圍，提高風險管理審計效果

一般來說，企業風險管理機構不僅包括財務會計部門，還包括生產經營部門、后期保障部門、安全保衛部門、管理部門等幾個重要機構，企業風險管理審計要圍繞這些部門面臨的風險展開評估檢查工作。例如，對生產經營部門要檢查是否對產品的功能設計、生產技術、生產工藝等方面有改進制度機制，是否安排研發投入，成本效益是否合理等；對于后期保障部門要圍繞設備和材料采購過程是否合規合法，在節約成本的同時是否能保證產品質量等；安全保衛部門風險管理目標相對較為明確，是否足額提取安措費，相關安全措施是否安排落實，危機應急預案安排的是否合理等；對于管理部門就是要圍繞企業可能面臨的法律問題，設計的應對措施是否有效，相關風險損失測算是否合理等。風險管理審計工作內容和范圍較為寬泛，涉及的風險管理問題較多，內部審計人員在進行風險管理審計時，應該從風險管理成本、管理收益、發生風險之后的彌補成本、控制成本等成本收益角度評價和監督風險管理措施的實施，從經濟利益角度提出可行的風險管理改進意見，幫助企業完善風險管理工作。

（三）加強對內部審計人員的技能培訓，提高內部審計技術，滿足風險管理審計要求

風險管理審計要求審計人員要具備更加專業的知識、先進的審計技術和敏銳的風險識別能力。國有企業管理層應該有計劃地加強內部審計部門的人才培養，通過增加專業技能培訓，對現任內審人員進行知識結構更新，豐富管理知識的應用途徑。另外，在招聘內部審計機構員工時，多考慮招聘一些具有專業背景的復合型人才，特別是具有豐富風險管理經驗的審計人員，從而改善國有企業內審人員的組成結構，保證風險管理審計工作的順利進行。在審計思路方面，要培養國有企業內審人員的風險管理審計理念，逐漸了解和掌握風險管理審計的工作內容和范圍，把握與傳統內部審計工作的區別，有針對性地應用審計技術對企業風險問題進行審計評價，保證風險管理審計目標的實現。在審計技術方面要革新工作方法，在傳統報表審計技術的基礎上，創新性地利用網絡和大數據的數據共享性，及時了解審計行業最新的審計技術，豐富評估風險管理機構固有風險和變動風險的技能，利用ERP等企業管理平臺，設計和應用風險應對檢查模塊，提高審計的效率和效果，最終提高企業潛在的經濟效益，降低風險損失。

四、結束語

篇7

關鍵詞：事業單位 內部控制 問題 對策

內部控制是一種以預防為主，防止錯誤和舞弊的發生，提高管理效果及效率的現代管理制度。內部控制也是事業單位管理制度的組成部分，是事業單位為履行職能、實現總體目標而建立的保障系統，它由內部控制環境、風險評估、內部控制活動、信息與溝通和內部控制監督等要素組成，并體現為與行政、管理、財務和會計系統融為一體的組織管理結構、政策、程序和措施等，是事業單位為履行職能、實現總體目標而應對風險的自我約束和規范的過程。

建立和健全事業單位內部控制制度，是加強財務管理的重要措施，是保障單位健康發展的重要舉措。根據單位實際情況制定一套適合本單位發展的內部控制制度至關重要。

一、基層事業單位內部控制存在的不足

（一）事業單位內部控制觀念不強

大多數基層事業單位負責人對建立健全本單位內部控制的重要性認識不到位，缺乏內部控制觀念，內控意識淡薄，重業務和事業的發展，看淡內部管理，甚至缺乏對內部控制知識的基本了解。認為內部控制只是財務部門的事，與自己毫無關系。雖然也制定了本單位的內部控制制度，但忽略了其執行情況及執行效果，內部控制制度形同虛設。

（二）內部控制制度不完善

大多數事業單位也根據上級制定的內部控制制度，制定了本單位的內部控制制度，但只是限于照搬照抄，沒有根據本單位的實際情況制定一套符合本單位發展的內部控制制度，操作性不強，不能滿足本單位管理的需要。

（三）對內部控制的執行力度有待提高，內控的業務流程執行不暢

基層事業單位根據上級的要求和有關會議精神，制定了崗位廉政風險防控制責任書、財務內控制度匯編、資金資產管理業務流程圖、資金資產管理領域廉政風險防控制報告等。由于基層事業單位人員編制有限、人員緊張、但管理任務重等原因，經常出現一人多崗現象，不相容職務難以分開，導致職責不明，難以保證內部牽制的實現。導致內控制制度形同虛設，沒有得到很好地執行。

（四）缺少內部監督機構

大多數基層事業單位缺少必要的約束機制，沒有設立內部審計機構，即使設立了內部審計機構，但也是在紀檢監察的領導下，缺乏獨立性。由于新形式下事業單位現代管理理念的建立，傳統的財務收支審計已無法滿足事業單位發展的需要，無法保障內部控制發揮其應有的作用。因此基層事業單位建立一個獨立的內部監督機構勢在必行。

（五）缺乏行之有效的內部控制考核及獎懲機制

由于基層事業單位人員在處理問題上一貫遵循習慣作法，對內部控制的認識存在諸多缺陷，特別是單位負責人對內部控制不夠重視，缺乏足夠的認識，沒有認識到內部控制對基層事業單位健康發展的重要意義，沒有認識到內部控制的順利執行需要有行之有效的內部控制考核及獎懲機制做保障，因此對于建立行之有效的內部控制考核及獎懲機制無從談起。

二、完善基層事業單位內部控制的措施

（一）提高事業單位內部控制的意識

按照《會計法》和《內部控制基礎規范》的規定，單位負責人是單位財務與會計工作的第一責任主體。單位負責人在單位內部控制體系中居主導地位，要加強對單位負責人的培訓力度，使他們在理解和掌握內部控制制度基本知識的基礎上，以提高對單位內部控制度的建設。同時也要加強對全體職工的培訓，使全體職工明確自己的職責，明白哪些是自己應該做的，哪些是自己不應該做的，從而提高全體人員的內控意識，從而為內部控制體系的建立和完善開辟一個良好的運行環境。

（二）建立和完善內部控制制度

事業單位內部控制工作的效果，需要有一套科學合理的內部制度體系來支持和保證。基層事業單位應成立一個內部控制管理領導小組，研究學習內部控制五要素，根據財政部財會[2012]21號文件《關于印發〈行政事業單位內部控制規范（試行）〉的通知》文件規定，結合本單位的實際情況制定符合本單位管理需要的內部控制制度。在制定內部控制制度時，應把握以下幾個方面：

1、要加強對內部控制的運行環境的學習研究

完善事業單位內部環境主要是完善管理層結構設置及權責分配問題，并形成科學有效的職責分工和制衡機制。

2、要加強對事業單位關鍵控制點的風險評估

基層事業單位應該有風險防范意識，及時對事業單位管理活動中關鍵控制點進行風險評估，同時要制定防范風險的應急預案，避免風險事件的發生。

3、及時完善業務層面的控制點

對于業務層面的控制主要有不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制及績效考評控制等。

不相容職務分離控制。基層事業單位在設計內部控制系統時，首先要確定哪些崗位和職務是不相容的，其次明確各個機構和崗位的職責權限，使不相容崗位和職務之間能夠相互監督、相互制約，形成有效的制衡機制。

授權審批控制。基層事業單位在編制常規授權的權限指引，應規定授權的范圍、權限、程序和責任；另外要嚴格控制特別授權的程序，特別是對重大的業務和事項，應當實行集體決策審批或者聯簽制度，任何人不得單獨進行決策或擅自改變集體決策。

會計控制系統控制。基層事業單位在設置會計控制系統控制時要依法設置會計機構，配備會計從業人員，建立會計工作的崗位責任制，對會計人員進行科學合理的分工，使之相互監督和制約。要特別注意會計和出納不能由一人擔任，支票和印鑒不能由一人保存，所有印鑒也不能由一人保管等。

財產保護控制。基層事業單位在進行財產保護控制時，應做到：妥善保管財產記錄和實物。對重要的文件要有備份；定期盤點和賬實核對；對貨幣資金、有價證券、貴重物品、存貨等變現能力強的資產由專人保管。

預算控制。基層事業單位在進行預算控制環節時要把握：編制預算要符合單位的實際情況；預算執行要嚴格按預算批復，沒有預算堅決不支付；預算執行過程要有監督；對預算差異要及時分析、并及時調整；對預算執行的結果要進行考核，對于業績好的要進行獎勵。

此外，還應建立重大風險預警機制和突發事件應急處理機制，明確重大風險的標準，制訂應急預案。

4、加強基層事業單位的信息與溝通

事業單位應及時準確地收集、傳遞與內部控相關的信息， 通過建立良好的信息溝通制度，將內部控制相關信息在單位內部各管理層、各部門等有關人員之間進行溝通和反饋。重要信息要及時傳給管理層。

（三）加強內部控制的執行力度，使內控的業務流程執行暢通

基層管理單位要使內部控制順利進行，首先要加強學習，充分了解和認識內部控制對單位正常運行的重要性；其次開展關于對內部控制業務流程的知識競賽，使全體職工熟練掌屋內部控制業務流程；再次要堅決執行內部控制的業務流程，不能因單位人員少而疏忽大意，對單位關鍵控制點的責任要明確到具體人，并與年終考核相掛鉤。

（四）建立內部監督機構

基層事業單位要成立一個內部控制管理領導小組，認真學習內部控制的內容，定期不定期地對單位內部控制進行評測，對內部控制評測的結果進行分析，找出問題和不足，并及時對內部控制缺陷進行修訂，保障內部控制的執行。同時內部控制管理領導小組也要對內外部的審計決定及審計意見的落實情況進行監督。

（五）建立科學合理的內部績效考評體系

事業單位應充分運用內外部審計監督、內部控制領導小組、財務的監督力量，加大監督考核力度，并通過建立合適的考核方案和科學的考核體系、客觀、公正地進行綜全評價。將考核結果與部門人員的獎懲緊密聯系起來，為干部業績考評和任免提供可靠的參考依據，從而保證內控制度的科學性、合規性，激勵與促進全體職工的積極性。

綜上所述，我國基層事業單位內部控制工作還存在不足，基層事業單位必須要根據本單位的實際情況，建立健全一套科學、有效的內部控制制度，并保證其有效實施，同時要定期不定期地進行評測，與時俱進，對存在的缺陷要及時修正，以促進基層事業單位全面健康發展。

參考文獻：

[1]劉亞平.構建行政事業單位內部控制體系的思考[J].財務研究，2010年第18期：72-74

[2]楊曉華.關于加強行政事業單位內部控制的思考[J].財會通訊.綜合，2010年第9期（中）：115-116

[3]穆冬枚，陳偉.關于行政事業單位內部控制的現狀與思考[J].會計師，2009年第5期：82-82

[4]趙品春.深化行政事業單位內部控制的思考[J].交通財會，2012年第1期：71-76

篇8

    隨著信息技術的不斷發展，商業銀行的業務過程基本實現了電子化、網絡化，主要業務系統都已實現了集中，商業銀行內部網絡暢通已成為支撐各類業務系統正常、穩定運行的關鍵，一旦網絡出現癱瘓將直接導致業務中斷。銀行IT風險已成為內審部門關注的重點，網絡可用性審計已納入商業銀行內部審計領域，本文作者從IT系統可用性含義、影響網絡可用性因素、審計關注重點等方面進行探討。

    一、計算機系統可用性含義

    計算機系統可用性是系統可用時間的描述，一般用系統正常運行時間占全部時間（含失效時間）的百分比來衡量。與系統可用性近似的概念是系統可靠性，一般用平均無故障運行時間衡量。二者概念容易使人產生混淆，實際上二者有本質的區別。如甲系統每年因故障中斷十次，每次恢復平均要30分鐘，該系統可用性為（365×24×60-10×30）/（365×24×60）=99.94%，可靠性為（365×24×60-10×30）/10=52530分鐘；乙系統每年因故障中斷2次，每次需6小時恢復，該系統可用性為（365×24×60-2×6×60）/（365×24×60）=99.86%，可靠性為（365×24×

    60-2×6×60）/2=262440分鐘。則甲系統可用性比乙系統高，但可靠性比乙系統差。

    可見可靠性高的系統其可用性不一定高，提高可靠性需要強調減少系統中斷（故障）的次數；提高可用性，除了需要提高可靠性外，還需要考慮系統備份及故障恢復計劃等，以減少從災難中恢復的時間。

    二、影響網絡可用性的因素

    影響網絡可用性的因素很多，從網絡設備自身的可靠性、設備運行環境、網絡結構等內部因素到外部入侵、故障恢復計劃等外部因素，均對網絡可用性產生影響。具體包括：一是網絡設備自身的可靠性，包括設備自身設計、設備制造工藝、設備自身冗余功能、設備使用時間長短等都會影響設備自身的可靠性，如隨著網絡設備使用年限的增加發生故障的概率也在增加，設備的可靠性就降低。二是網絡結構，網絡中重要設備和線路要有一定冗余，一旦某一線路或設備出現故障，網絡會自動切換到備份線路或設備上，此外網絡結構的設計也要考慮網絡的可管理性，方便網絡的監控管理及故障排查等。三是非授權訪問，外部入侵、黑客的網絡攻擊以及網絡管理人員的錯誤操作等都可能造成網絡設備的配置文件被非法修改、發生網絡癱瘓等事故；四是故障恢復計劃，科學、合理、切實可行的故障恢復計劃可以在網絡出現故障時減少網絡恢復時間，提高網絡可用性。此外網絡設備的運行環境，包括溫度、濕度、塵埃、電源質量等都會影響網絡的可靠性，如果設備運行環境不能滿足設備的需要，勢必增加設備發生故障的幾率，降低網絡的可靠性。

    三、網絡可用性審計的關注重點

    （一）網絡設備的可靠性方面

    無論多大的網絡，網絡設備是整個網絡的基石和瓦礫，網絡設備的可靠性決定整個網絡系統的可靠性，進而影響整個網絡的可用性。要提高網絡的可用性首要提高網絡設備的可靠性。審計需要重點關注：一是網絡設備是否選擇信譽好、品牌大的廠家設備，此類廠家的網絡設備結構設計先進、產品制造工藝精細，設備的故障率低、可靠性高。二是關鍵網絡設備自身配置是否滿足冗余需要，針對目前高端的交換機、路由器、防火墻等一般都是模塊化設計，在設備選配時應配置雙引擎、雙電源等模塊，減少設備發生故障的概率。三是網絡設備是否定期實施巡檢，通過巡檢能提前發現網絡設備存在的風險隱患，及時更換使用時間長、故障率高的網絡設備。

    （二）網絡結構的設計方面

    網絡的冗余設計可以有效增加網絡的可用性，包括網絡線路冗余和關鍵網絡設備的冗余，當網絡主線路或設備發生故障時系統能在秒級內自動切換到備用線路或設備上，保證網絡能連續提供服務。

    1.網絡線路是否存在冗余，包括線路冗余備份、容量的冗余。機房局域網的生產線路冗余度應達到100%，如應用服務器至少應安裝2塊網卡，并且分別接不同的交換機，交換機也采用2條網線分別連接到上層交換機上；廣域網均應采用雙線路設計，且是租用不同運營商（若當地只有一家運營商，應采用不同的通訊介質）實現線路的一主一備。主備線路間可利用線路負載均衡器，均衡主備線路流量，一旦一條線路出現問題可自動由另一條線路代替。帶寬冗余設計應根據當前業務對帶寬的需求、當地運營商提供線路的特點，以及為業務發展預留一定帶寬等因素確定，避免因業務量激增導致線路阻塞。

    2.網絡設備是否有冗余。網絡設備的冗余應根據設備重要性程度不同分別采取不同的冗余方式。針對核心和主要網絡設備應采取負載均衡或一主一備方式實現核心網絡設備的雙機熱備，確保網絡設備無單點故障，一旦主設備出現故障，網絡自動切換到備份設備，確保網絡暢通。對于其他網絡設備可采取一對一（一臺備機對應一臺主機）或一對多（一臺備機對應多臺主機）的方式進行冷備，且定期對備份設備進行維護，保證備份設備一直處于可用狀態，一旦在用設備出現故障，利用備份設備進行替換，能盡快恢復網絡通訊。

    （三）網絡安全管理方面

    網絡時常受到非授權訪問、病毒入侵及拒絕服務攻擊等內外部威脅，為此需要加強網絡安全管理，增強網絡的強壯性，降低因非法訪問、感染病毒等因素導致的網絡中斷事故。在此方面審計需要重點關注：

    1.網絡設施的物理訪問控制情況。是否利用門禁系統、監控系統或門鎖等設施禁止非授權人員物理接觸網絡設備，是否做好物理訪問的授權及記錄工作。

    2.網絡的邏輯訪問控制情況。科學合理地布置網絡安全設備及有效的安全策略可以有效防范外部入侵、病毒感染和非授權訪問。一是是否在銀行內部網絡與外部網絡連接處設立DMZ（非軍事化區）區，并利用NAT/PAT（地址轉換、端口轉換）等技術，隱藏銀行內部網絡結構和網絡地址，防護內部網絡。二是是否在網絡邊界處部署防火墻，實現網絡邊界間信息出入的精確控制，檢測病毒、蠕蟲等安全威脅。三是是否部署IDS（入侵檢測系統）掌握網絡的運行狀況和發生的安全事件，并根據安全事件來調整安全策略和防護手段，從而提高整個網絡的安全水平。四是是否部署了漏洞掃描系統，及時發現網絡設備系統存在的漏洞，并進行自動更新，增強系統的強壯性。五是是否按照營業類、管理類、其他類等類型分 配內部網段，并科學、合理設置VLAN（虛擬局域網），對于跨網段或跨VLAN的網絡訪問利用ACL（訪問控制列表）進行控制。

    3.網絡設備自身的安全管理情況。網絡設備的安全管理包括網絡服務安全、用戶權限管理和用戶行為審計等措施。審計重點關注：一是是否關閉設備上確認有軟件Bug（缺陷）的網絡服務和可能對自身產生安全威脅的服務。二是是否分級設置用戶登錄權限，是否啟用用戶名、密碼認證、配置強密碼，并定期修改。三是是否只允許經授權的用戶在設備上執行權限范圍內的操作，且對操作有相應審計。四是是否對接入網絡的計算機系統安裝防病毒軟件、桌面辦公安全管理軟件等，并做到及時升級。

    （四）網絡故障恢復計劃的管理方面

    銀行網絡時常受到網絡線路丟包或中斷、網絡設備故障、外部攻擊、非授權訪問及病毒入侵等威脅，而這些因素都有可能導致網絡出現故障。網絡一旦發生故障，如何盡快恢復網絡通訊，關注網絡故障恢復計劃的管理是可用性審計重要內容之一。

    1.是否制定了網絡故障恢復計劃。商業銀行的信息技術管理部門應建立專門網絡應急預案即網絡故障恢復計劃，或在業務系統應急預案中涵蓋網絡故障恢復程序。網絡故障恢復計劃應包括以下內容：一是應明確故障恢復組織的組成和職責。二是確定應急資源準備要求，包括網絡備用設備及設備配置文件的管理。三是明確應急報告線路、應急響應、應急決策的流程，并預先制定各種故障情形下的故障診斷方法、步驟和恢復措施。四是明確外部供應商服務要求及管理等。

篇9

關鍵詞：事業單位 內部控制 問題及對策

一、事業單位內部控制存在的問題

當前，事業單位內部控制還存在著諸多亟待解決的問題，這些問題主要表現在內部控制意識不高、內部控制制度欠缺、內部控制執行不暢和內部控制監督不力四個方面，其具體內容如下：

（一）內部控制意識不高

內部控制意識不高是事業單位內部控制存在的問題之一。就目前而言，事業單位的內部控制意識普遍不高，很多單位非內部控制的重要性認識不足，無法利用內部控制管理事業單位。事業單位的重心仍然放在業務和事業的發展上，對內部控制管理方面缺乏基本的了解，這都是由于事業單位內部控制意識不高造成的。

（二）內部控制制度欠缺

內部控制制度欠缺也在一定程度上制約著事業單位內部控制的發展。在事業單位中，很多事業單位內部控制制度沒有結合單位的實際情況，其制定的內部控制制度僅限于照搬照抄，操作性不強，不能滿足本單位管理的需要。另外，在內部控制制度的制定中，事業單位內部控制制度建設相對落后，也導致事業單位內部控制管理的效果不理想。

（三）內部控制執行不暢

在事業單位內部控制中，內部控制執行不暢也使得事業單位內部控制陷入瓶頸。由于基層事業單位人員編制有限、人員緊張、但管理任務重等原因，經常出現一人多崗現象，不相容職務難以分開，導致職責不明，難以保證內部牽制的實現。加之有些單位雖然也制定了本單位的內部控制制度，但忽略了其執行情況及執行效果，內部控制在執行過程中或多或少地遇到問題，也使得內部控制執行不暢。

（四）內部控制監督不力

內部控制監督不力，也是事業單位內部控制迫切需要解決的問題。具體說來，在事業單位內部控制監督方面，由于沒有設立內部審計機構，即使設立了內部審計機構，但也是在紀檢監察的領導下，缺乏獨立性。在新形式下，事業單位現代管理理念的建立，對事業單位內部控制提出了新的要求，傳統的財務收支審計已無法滿足事業單位發展的需要，也就無法保障內部控制發揮其應有的作用。

二、解決事業單位內部控制問題的對策

內部控制是一種現代管理制度，事業單位加強內部控制勢在必行。為進一步提高事業單位內部控制水平，針對上述事業單位內部控制存在的問題，解決事業單位內部控制問題的對策可以從以下幾個方面入手，下文將逐一進行分析：

（一）提高內部控制意識

提高內部控制意識是加強事業單位內部控制管理的關鍵。在事業單位中，提高內部控制意識，應按照《會計法》和《內部控制基礎規范》的規定，重視內部控制在事業單位中的作用。提高內部控制意識，可以通過定期或不定期地開展對事業單位負責人的培訓工作，加強他們理解和掌握內部控制制度基本知識。與此同時，還要強化全體員工的內部控制意識，普及內部控制知識，使事業單位員工意識到內部控制的重要性，進而為事業單位內部控制創造良好的運行環境。

（二）完善內部控制制度

完善內部控制制度，也是加強事業單位內部控制的有效途徑。事業單位完善內部控制制度，可以懂三個方面采取措施，一是加強對內部控制的運行環境的學習研究；二是加強對事業單位關鍵控制點的風險評估制度；三是及時完善業務層面的控制點。在事業單位中，只有完善事業單位內部控制的管理層制度，形成職責分明的內部控制環境，制定內部控制的應急預案，及時開展績效考評控制等，才能逐步完善內部控制制度。

（三）加強內部控制執行

為解決事業單位內部控制的執行力問題，在加強內部控制執行方面，應做好以下三個方面的工作。基層管理單位要使內部控制順利進行，首先，要加強學習，充分了解和認識內部控制對單位正常運行的重要性；其次，開展關于對內部控制業務流程的知識競賽，使全體職工熟練掌握內部控制業務流程；再次，要堅決執行內部控制的業務流程，不能因單位人員少而疏忽大意，對單位關鍵控制點的責任要明確到具體人，并與年終考核相掛鉤。

（四）建立內部監督機構

建立內部監督機構在事業單位內部控制中也必不可少。事業單位建立內部監督機構，要成立一個內部控制管理領導小組，認真學習內部控制的內容，定期不定期地對單位內部控制進行評測，對內部控制評測的結果進行分析，找出問題和不足，并及時對內部控制缺陷進行修訂，保障內部控制的執行。另外，內部監督機構的設置還應注意內外部審計的制衡，因此，在事業單位內部控制監督機構的設置中，內部控制管理領導小組也要對內外部的審計決定及審計意見的落實情況進行監督。

三、結束語

總之，事業單位內部控制是一項綜合的系統工程，具有長期性和復雜性。在進行事業單位內部控制的過程中，應根據本單位的實際情況，提高內部控制意識、完善內部控制制度、加強內部控制執行、建立內部監督機構，不斷探索事業單位內部控制的有效途徑，只有這樣，才能不斷提高事業單位內部控制水平，促進事業單位又好又快地發展。

參考文獻：

[1]馬庚.淺談行政事業單位會計電算化下內部控制措施[J].財經界（學術版）.2009（09）

篇10

通過評估結果來看，目前銀行業機構尚未將洗錢風險管理當做一項系統化、規范化的工作來做，在風險管理架構、風險評估、風險監測和應對各環節中存在不同程度的缺陷。

（一）風險管理架構狀況總體上看，金融機構的風險管理架構尚處在合規管理狀態下，制訂各項反洗錢工作制度和操作規程的重點停留在規避違規風險上，而未能將工作思路轉到如何識別、評估和監測客戶和交易的洗錢風險上。主要表現為：1.金融機構反洗錢風險控制的政策目標存在偏差。多數金融機構風險控制目標集中在反洗錢工作合規性上，而未將識別和控制洗錢風險做為最終的政策目標。2.反洗錢制度更新頻度與業務發展不匹配。除國有商業銀行以外的銀行機構，特別是地方法人機構，反洗錢內控制度或操作規程的更新與其業務發展嚴重脫節，個別金融機構的客戶身份制度仍在執行2007年制定的版本，新業務新產品推出未能及時納入洗錢風險控制與監測的范圍。3.高管缺乏對洗錢風險的認知和對員工引導。通過調閱被評估單位的會議記錄及書面批示內容來看，多數金融機構的高管對反洗錢風險控制的認知放在規避反洗錢違規風險上，對工作的指導方向與洗錢風險管理相差甚遠。4.反洗錢資源配置缺乏合理規劃。在抽樣機構中，除工行、建行的分支機構的反洗錢工作做到了團隊做、專業做外，其他金融機構反洗錢工作全部由指定的內設部門的人員來兼職反洗錢工作，且部門和崗位變動頻繁，不利于本機構的反洗錢工作開展。5.反洗錢工作內容未完全融入機構的合規文化建設中。一是反洗錢內控制度和操作規程多數獨立于業務條線的操作規程；二是抽樣評估的機構中，尚有部分機構未將反洗錢履職行為納入年度或其他定期的績效考核范圍；三是員工反洗錢業務培訓工作未能以提高員工業務技能為出發點，從培訓記錄的內容來看多數為應對人民銀行的現場檢查；四是反洗錢宣傳工作未能發揮主觀能動性，結合機構業務情況自行設計和印制宣傳材料，主動履行反洗錢宣傳義務。

（二）風險識別與評估狀況1.缺乏有利的風險識別與測量工具。一是從抽樣結果看，金融機構尚未建立識別與測量客戶風險敞口的統計工具；二是尚未建立識別產品風險敞口的統計工具；三是尚未建立識別高風險業務風險敞口的統計工具；四是尚未建立識別實際受益人的識別和統計工具。2.缺乏評估產品風險的機制。評估期間，所有評估機構尚未按照《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》（下稱《指引》）的要求建立對產品風險的評估機制。3.缺乏有效的客戶風險評估指標設計。從評估結果看，抽樣機構的客戶風險評估指標未能參照《指引》的要求，建立綜合性的評估指標，對客戶實施動態風險評估和管理。4.缺乏科學合理的風險評估流程。從評估結果看，抽樣機構的風險評估工作目前正處于兩個極端：一是有客戶風險等級評估系統的全部依靠系統自動評估，缺乏人工審核；二是沒有客戶風險等級評估系統的，全部依靠人工主觀判斷，缺少系統客觀指標的輔助，這兩種情況均可能導致客戶風險等級劃分、調整、審核工作流于形式。

（三）風險監測狀況1.缺少反洗錢和反恐怖融資黑名單實時監控功能。多數地方法人機構未能將反洗錢和反恐怖融資黑名單置入核心業務系統，無法設置業務觸發點以及對反洗錢和反恐怖融資監控名單進行實時更新。2.缺乏有效的內部審計監督機制。從抽樣評估的情況來看，除上級機構的反洗錢工作審計報告能反饋出反洗錢工作中存在的問題外，抽樣機構對本級以及分支機構的內部審計監督基本流于形式，未能體現發現風險、控制風險的目的。3.缺乏對客戶開展持續調查的工具。目前抽樣機構全部缺少對客戶開展持續調查的輔助工具，不但降低了工作效率，也影響了客戶身份持續識別工作的效果。4.缺乏有效的異常交易監測模型。從目前狀況來看，除工行建立了較為完善的反洗錢監測模型外，其余機構全部按照可疑交易客觀標準設置可疑交易監測指標，需人工判斷的指標無法量化并實現系統自動提取。5.缺乏綜合的可疑交易監測系統。抽樣機構中，除工行的可疑交易監測系統能基本滿足可疑交易分析過程能達到“方便的提取客戶基本信息及交易信息”綜合開展甄別分析外，其他機構的可疑交易監測系統均獨立于業務數據庫之外，無法在技術手段上提供有效開展可疑交易甄別分析的便利條件。

（四）風險應對狀況1.缺乏對高風險業務、客戶的管控措施。多數機構未能建立對高風險業務和客戶的管控措施，在高風險業務發生或高風險客戶提交異常交易后缺少有效的控制手段，難以降低洗錢后果發生的概率。2.缺乏制度化的風險消化、提升風險對抗能力的工作流程。多數機構特別是地方性法人機構缺乏對典型案例進行追溯、審查、分析、追責等工作制度，便于查找自身風控漏洞，提出風險提示和采取相應改進措施的，或采取有效手段予以推行。3.缺乏應對洗錢案件的應急處置措施。抽樣機構全部未建立洗錢風險應急預案，難以保證在涉及自身的案件發生后，能快速做出反應。4.缺乏反洗錢工作的內部溝通機制。多數的抽樣機構未能建立定期的內部溝通機制，便于反洗錢部門定期或不定期與業務條線、下級機構就進一步完善反洗錢內控及風控措施進行回溯性審查、政策研究。5.缺乏與當地反洗錢監管部門的溝通機制。多數的抽樣機構未能建立向當地人民銀行報告重要反洗錢事項、敏感反洗錢工作信息的外部溝通機制。

二、優化風險管理工作建議

（一）及時轉變觀念，樹立風險意識金融機構工作人員特別是金融機構的管理團隊要盡快轉變工作理念，樹立洗錢風險意識，確立正確的反洗錢履職意識和工作目標，同時還要將洗錢風險管理融入本機構的合規文化建設這中，引導本機構的員工在合規基礎上，著力于加大對洗錢風險的識別與管控的工作力度。

（二）加大成本投入，完善風險管理架構1.完善風險管理制度架構。盡快按照《指引》要求，落實風險管理框架下的各項工作制度和操作規程，提高客戶、產品、業務之間綜合開展風險評估的能力。2.優化反洗錢技術手段。在優化完善反洗錢工作技術性的輔助系統上加大成本投入，建立綜合性的反洗錢分析監測系統，完善風險識別與測量工具，逐步提高對高風險業務、高風險客戶的綜合監測和分析能力，建立持續性的風險監測分析制度及配套的技術手段。3.合理配置反洗錢資源。反洗錢工作資源的配置要與客戶、產品的市場拓展，對風險的接納能力以及所擁有的技術手段相匹配，有條件的機構要推廣反洗錢工作團隊作、專業作，條件有限的情況下要按照風險高低程度合理配置工作資源，在保證質量的前提下提高工作效率。

（三）優化工作流程，提高風險識別監測能力1.提高員工培訓的實效。員工的反洗錢意識、工作能力、制度執行力直接影響著反洗錢工作成效，員工培訓要從這三個方面入手，提高培訓工作實效。2.建立綜合性風險識別與監測機制。客戶、產品、業務的風險識別與監測是關聯度較緊密的工作，在實際工作中要充分利用各種工作資源和工作信息，建立綜合性的評估指標及評估機制，對客戶實施動態風險評估和管理。3.建立科學合理的風險評估流程。建立起系統自動評估與人工審核相結合的風險評估流程，實現人機互補，提高風險評估質量和效率，從而建立對客戶風險等級劃分、調整、審核工作的動態化持續化的管理機制。4.建立科學的異常交易監測模型。參照人民銀行的可疑交易監測模型，結合本機構業務開展情況、對風險接納能力、客戶群的分布特征，建立適合自身的異常監測模型，將風險監測工作落到實處。5.建立綜合性的可疑交易監測系統。可疑交易監測系統要與業務數據庫建立聯系，使系統能達到“方便的提取客戶基本信息及交易信息”綜合開展甄別分析的要求，在技術手段上為可疑交易甄別分析提供有效的便利條件。