企业风险管理审计研究(共8篇)
工管5班
js0844549
黄薇
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。对某集团而言,企业的迅速壮大是成功的标志,但更是企业所面临的挑战。作为一家迅速发展中的企业,集团深刻意识到专业化管理对于企业壮大的重要性。因此,集团时刻致力于强化企业的专业化管理,增强企业的核心竞争力。
二、某集团风险管理流程存在的问题及对策建议
(一)风险管理文化
1.存在的问题。某集团虽然在香港联合证券交易所上市,但其实质仍是一中国民营企业,该企业按照香港的《上市规则》建立了法人治理结构,建立健全了一系列“法治”的规章制度,但其“人治”的色彩非常浓厚。内部控制对高级管理层的约束力较弱。
2.对策建议。在风险管理方面,首先要做的工作是在全公司范围内自上而下进行一次风险管理的宣传、教育、培训,增强员工风险管理意识,董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员,应成为培育风险管理文化的骨干。与薪酬制度和人事制度相结合进行风险管理文化建设,增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。
(二)风险管理组织体系
1.存在的问题。在公司现有的组织结构里,没有专职的风险管理机构。董事会下既没有设风险管理委员会,也没有设审计委员会。风险管理职能由其他部门(如总经办、审计部、投资发展部)根据需要分散承担,由于风险管理职责不明确,缺少对各种风险的整合管理。
2.对策建议。董事会就全面风险管理工作的有效性对股东大会负责。在董事会下设风险管理委员会,整合现有风险管理资源。明确总经理对全面风险管理工作的有效性向董事会负责。总经理委托的高级管理人员负责主持全面风险管理的日常工作,成立风险管理部,负责组织协调全面风险管理日常工作,除一至两个专职人员外,其他人员可暂由其他部门派人兼任。内部审计部门在风险管理方面主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
(三)风险识别、评估、排序
1.存在的问题。现在进行重点管理的十三种风险,还是一年前管理层通过讨论识别、评估确认的,一年来没有重新进行识别、评估、排序。而一年来公司内外部环境都发生了很大的变化,原来识别的风险范围是否充分、评估排序是否恰当,亟需进行重新审视。
2.对策建议。在进行风险管理宣传的同时,设计、发放调查问卷,发动公司所有员工对公司面临的风险和机会进行识别,对调查结果进行统计、分析、总结,筛选出主要风险后,在管理层范围内对这些风险进行打分,评估重要性后排序。而对于识别出来的机会,管理层要考虑如何加以充分利用。
(四)风险管理策略与方法
1.存在的问题。公司现有的针对十三种风险采取的防范措施几乎全部可归结为抑制与控制策略,以期降低损失发生的可能性、频率,缩小损失程度。这十三种风险范围之外的风险可以说是采取了风险接受策略。而对于风险规避策略、风险转移策略、风险利用策略则极少采用。在风险管理策略与方法的选择上显得比较保守,缺乏灵活性。而对于机会,则没有明确的策略进行利用。
2.对策建议。在对公司面临的风险进行重新识别、评估后,在风险规避、风险转移、风险抑制与控制、风险接受、风险利用等策略上灵活选择,可通过保险、契约、合同、金融工具等形式将风险转移出去。同时要对机会加以利用,并反映到战略目标、经营目标的制定上。
(五)风险管理监控与检查
1.存在的问题。公司目前没有专职人员对风险管理进行监控,对风险管理的监控依赖于对日常经营活动进行监控的日报、月报系统,而在日报、月报内容中并无专门对风险管理情况进行报告。内部审计系统在执行审计任务时,偏重于财务审计、舞弊审计、经营管理审计,而对于风险管理审计尚处于探索阶段,尚未全面开展风险管理专项审计。高级管理层则没有对风险管理进行专门的监控与检查。
2.对策建议。内部审计部门开展风险管理专项审计,研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。可结合例行审计、任期审计或专项审计工作一并开展风险管理审计;在日报、月报系统中增加对各单位风险管理状况自查报告的内容。高级管理层每年至少一次对风险管理状况进行评估。
(六)风险管理沟通与咨询
1.存在的问题。公司缺乏专业的高水平的风险管理师,缺少专门的风险管理沟通渠道,而沟通与咨询存在于风险管理的各个环节当中,这也是风险管理难以有效开展的重要原因。
2.对策建议。公司公开招聘风险管理师,或聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告,培训风险管理人员;在现有的信息系统中开辟专门的风险管理沟通渠道。
三、结语
一、企业风险审计的内涵
风险审计是一种职业工作, 它是企业内部审计师通过测试风险管理的有关方面, 对风险程度及管理情况做出鉴别、评价, 以实现企业运营目标。风险审计肩负着为战略决策及战略目标的实现提供信息保证的重任, 所以要求审计人按照审计准则、职业道德进行执业, 注意控制审计质量, 降低审计风险。
二、企业风险审计的目标
审计目标的确定受几个因素的影响, 按照刘明辉教授的观点:“需求是影响审计目标的根本因素”;“审计能力是影响审计目标确定的决定性制约因素”;“环境的制约使审计目标成为现实的目标纵¨。企业首席审计执行官 (CAE) 及有关审计师在确定风险审计目标时, 应该结合组织需要的重要程度、迫切程度, 从企业实际环境条件出发, 参考企业自身的能力和资源, 合理安排。
(1) 企业风险审计的总目标
总目标是指审计主体通过审计活动所期望达到的境地或最终结果。企业风险审计的总目标是审计部门和审计师按照组织风险管理方针和策略的部署, 以风险管理目标为标准, 审核被审计部门在风险识别、评价、管理等方面的合理性和有效性, 于损失发生之前能作出最有效安排, 使损失发生后所需要的资源, 与保持有效经营必要的资源, 能达成适度平衡, 帮助组织实现目标。
(2) 企业风险审计的具体目标
审计具体目标是总目标的具体化, 并受到总目标的制约。审计具体目标包括一般审计目标和项目审计目标。一般审计目标是进行所有项目审计均必须达到的目标;项目目标是按每个风险管理项目分别确定的目标。一般审计目标适用于所有项目的审计, 项目审计目标则只适用于某一特定项目的审计。
(3) 企业风险审计的一般审计目标
1.风险范围确定的合理性:包括战略范围、组织范围、业务范围、风险范围;2.风险评价标准与指标体系的科学性:评价基础、评价方法、评价内容、指标计算;3.风险识别、评价的科学性:主要审核如下方面:按照审计确定的风险范围, 核实风险识别是否全面;风险各级分类的合理性;可控风险、不可控风险确定的科学性;4.风险管理措施、方法与程序的合理性;5.风险实际处理的合理性。
三、企业风险审计的意义
关于风险审计的意义, 人们进行了有益的探索。《企业风险审计》指出:一项研究对内部审计人员提供的910份调查报告进行了分析, 结果发现, 63%的报告都把以下四点作为最常见的风险因素: (1) 没有对经营的业绩进行定期的、独立的审查; (2) 内部控制方法不当; (3) 授权与分工的方法不恰当; (4) 对资产、记录、计算机程序及数据文件等的接触缺乏权限控制。
由于这些风险因素的存在, 定期监督审核是必要的。对风险和控制有效性的持续审核应是适当的, 由于经营及人员都会发生变动, 风险以至随之的后果和可能性也要变动, 最为有效的控制能随时间的变动而改变。对于变动最多、风险最大的地方要对风险管理全过程施行严密、频繁的监测和评价。IIA《内部审计实务标准》新近增加了内部审计对风险管理的风险识别、分析评价、措施与方法等信息提供“保证”的功能。
内部审计是风险管理的一种方法、一种手段, 而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势来看, 内部审计不仅越来越关注风险, 同时, 也是风险管理的重要组织部分。内部审计更强调确认经营风险是否得到有效管理, 由对交易事项和政策的遵循的评价, 转变为对目标、战略和风险管理程序的关注;内部审计的建议更加强调风险的规避、风险转移和风险控制, 通过有效的风险管理提高组织整体管理的效果和效率。对于现代企业来说, 风险无处不在。内部审计的责任就是找出组织的主要风险。内部审计介入风险管理的主要原因: (1) 内部审计机构有独特的位置; (2) 内部审计师更了解组织的高风险领域; (3) 内部审计师对于组织目标的实现有更强的责任感。
IIA将“评价和改进风险管理、控制和治理过程的效果”作为内部审计的重要职责, 视风险管理为内部审计的推动力, 是国际内部审计几十年苦苦探索的经验总结, 更为内部审计未来发展指明了方向。
四、操作企业风险审计策略研究
操作风险的审计有其自己的特点, 因为任何一家企业在开展新业务或新系统刚上线时, 由于规章制度不完善、员工操作经验不足、管理上的漏洞等因素, 都会使得出现操作风险的概率较高。如果这些问题逐步解决, 就会使操作风险的频率降低。不过, 当已有的系统开始老化和现有的市场经济环境发生变化后, 原有的规章制度与系统已经不适用已经发生新变化的运营环境, 此时的操作风险又可能重新上升。
(1) 能够客观地、全面地管理风险
风险在企业内部有一定的复杂性与综合性特征, 即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担, 而是传递到其他部门, 最终可能使整个企业陷人困境。因此, 有些部门可能会出现过度道德风险。如采购部门为降低采购成本, 就会忽视对材料品质、使用效果等方面的检查, 或者有意购买残次品。这种隐蔽的风险最后会在产品生产或消费过程中反映出来, 最终给企业造成巨大损失, 因此对风险的防范、控制需要从整个系统进行综合考虑。但各部门受专业的局限较难做到, 而内部审计部门不从事具体业务活动, 可以从全局出发, 从客观的角度对风险进行识别, 及时预警管理部门采取措施规避风险。
(2) 控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、管理层和各职能部门之间, 能够充当企业长期风险策略和各种决策的协调人, 通过参与计划编制与实施过程的监督, 可以调控、指导企业的风险管理策略。内部审计通过将风险管理评价作为审计工作的重点, 以检查、评价风险管理过程的充分性和有效性。
评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势, 确定是否可能存在影响企业发展的风险;检查公司的经营战略, 了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险以及对降低风险和加强控制的活动评价及有效性;评价风险监控报告制度是否恰当;评价风险管理结果的充分性和及时性;评价管理层对风险的分析是否全面等。
评价管理层选择的风险管理方式的适当性。每个公司应根据自身活动来设计风险管理过程。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(3) 树立风险管理理念
对企业操作风险进行审计要树立正确的操作风险管理理念。风险管理理念就是以什么样的思想来指导操作风险管理, 因此, 对操作风险有怎样的认识, 就会有怎样的操作风险管理理念。对操作风险片面、错误的认识只能造成企业在进行审计时偏离正确的方向, 弱化审计在操作风险管理中的作用。
企业高级管理层要对操作风险审计认识到位。企业业在操作风险管理上存在一个错误理念, 即重视对基层操作人员的管理, 轻视对高级管理人员的管理。在他们看来, 只有基层操作人员才有发生操作风险的可能, 因此, 企业内部审计部门的主要精力放在了基层操作人员身上, 而对高层管理人员仅有离任审计, 没有日常的稽核监督。但从企业业的现实来看, 高层管理人员引发的操作风险要远远大于基层操作人员引发的操作风险。企业高级管理人员要摆正业务拓展与执行制度之间的关系, 拓展业务要以依法合规经营为前提。
企业的高级管理人员要遵守法律和各种规章制度, 摆正权力与制度的关系, 权力不能凌驾于制度之上。企业高级管理人员在经营管理过程中要对照制度对自己的决策进行自查, 及时修正, 不断检查自己的行为。在此基础上, 企业高级管理人员要加强对企业员工的教育, 定期组织企业员工学习岗位操作规程和各项规章制度, 让企业员工掌握各项制度, 理解操作规程和规章制度的内涵, 增强执行制度的自觉性和必要性, 使每个企业员工都对操作风险有正确的认识, 尽量从人的因素方面减少企业操作风险发生的可能性。
企业要强化内部审计, 充分发挥内审部门的作用。内审部门针对企业操作风险的特点, 确定审计目标, 通过自律监管审计和内部控制审计, 采用排查法, 开展重点审计。内审部门要运用常掌握的信息和非现场审计发现的疑点, 对企业具体操作岗位和企业员工进行定期排查, 及时掌握具体业务部门的动态, 对可疑岗位和人员进行重点审计, 发现问题及时采取措施, 防范操作风险。
企业的内审部门在实行日常审计监督的基础上, 还要开展突击审计。内部审计部门要有效利用电脑审计软件, 利用计算机定期对企业的业务部门进行非现场审计。对Et常开展的审计项目分单位建立审计档案, 实行El常审计监督后, 综合分析可能存在操作风险的具体业务部门和员工, 开展突击审计, 以解决操作风险防范隐蔽性、预警性差的问题。此外, 企业内部审计部门还要建立举报制度, 适时开展审计。由于操作违规事件具有偶然性、隐蔽性的特点, 因此, 要把实行举报制度作为企业正常内部审计的补充形式。建立举报制度就是要公开举报电话, 设立举报箱, 实行举报保密制度, 对敢于举报违规行为的举报人在进行保护的同时, 给予表彰奖励。审计部门要充分运用这一手段, 及时查处和发现可能给企业带来的操作风险。总之, 企业的内部审计部门要建立起与企业面临的操作风险相适应的内部审计的具体程序和规则, 及时发现和防范企业操作风险。
五、结语
目前, 我国对风险管理、企业风险审计的实施还处于初级阶段, 很多企业并未真正实施风险管理审计, 但风险审计对企业的作用却日益突出, 把风险审计纳入审计工作范围中, 这就需要我们内部审计积极投入到这一领域的探索与实践之中!
摘要:风险审计不同于审计风险, 是随着企业内、外环境的变化, 竞争的日趋激烈及审计学科自身发展的需要而应运而生的。风险审计的定义、目标、意义、策略是风险审计研究的主要内容。
关键词:企业,风险审计,研究,策略
参考文献
[1]杨玉华.内部审计的新发展——风险审计[J].商业会计.2006 (03) [1]杨玉华.内部审计的新发展——风险审计[J].商业会计.2006 (03)
[2]曾伟.论企业经营管理活动中的风险审计[J].当代经济.2006 (06) [2]曾伟.论企业经营管理活动中的风险审计[J].当代经济.2006 (06)
[3]刘慧芬.新审计准则中现代风险审计的优势体现[J].当代经济.2006 (12) [3]刘慧芬.新审计准则中现代风险审计的优势体现[J].当代经济.2006 (12)
[4]郭伟昌, 刘金凤.企业风险审计模型研究与应用[J].审计研究.2008 (06) [4]郭伟昌, 刘金凤.企业风险审计模型研究与应用[J].审计研究.2008 (06)
[5]王志强.企业内部控制风险审计[J].科技资讯.2008 (13) [5]王志强.企业内部控制风险审计[J].科技资讯.2008 (13)
[6]盛喆.企业内控风险审计创新模式探讨——顶岗审计模式[J].当代经理人.2005 (05) [6]盛喆.企业内控风险审计创新模式探讨——顶岗审计模式[J].当代经理人.2005 (05)
[7]曾繁荣, 郑毅.论风险审计[J].求索.2004 (10) [7]曾繁荣, 郑毅.论风险审计[J].求索.2004 (10)
【关键词】企业审计;风险管理;规避方式
内部审计以系统化、专业化的方法对企业的经营活动和投资行为做系统的财务分析、详实的风险评估与预测,同时有效对经营的风险等进行治理、控制及防范的整体过程。其是企业规避风险的重要手段,在划分风险管理范围,识别和分析企业风险以及风险的评估、处理和反馈中发挥重要的作用。
一、企业审计风险要以企业的战略发展为目标
虽然说企业战略发展目标的制定是由企业的高层管理阶层,比如股东或者董事会来商议决定,但是并不意味着企业审计就可以事不关己高高挂起。企业审计必须针对领导者的决策分析推测出可能会出现的风险,并制定出风险防范、规避和控制的措施。这就要求企业审计构建风险分析矩阵,一方面要分析出企业可以实现战略目标的关键性因素,强化企业优势;另一方面要判断出可能阻碍战略目标实现的风险,也就是说风险分析矩阵要围绕着企业的战略发展,以企业的战略发展为目标,从企业各个不同的角度分析和判断风险因素对战略目标的影响程度,进一步明确企业的经营目标和目标,汇总企业各方面因素,防范、控制和规避企业的潜在风险。
二、企业审计风险要密切监控企业环境
如今全球联络日益紧密,蝴蝶效应越来越明显,企业所处的环境也越来越复杂。企业环境一般而言既包括企业的外部环境也包含企业的内部环境,此处指的是企业的外部环境。风险对于企业的影响大小甚至风险的性质都不是一成不变的,尤其是天灾或者人祸,一旦发生对于企业的打击有时候是毁灭性的。风险审计对于企业环境的监控主要体现在几个方面,首先是决定明确企业的风险偏好,风险偏好是企业风险管理中的一个重要环节,决定着企业能够承受风险的程度;其次,要定期对风险进行评估,以保证风险在可控的范围之内,对于有可能对企业经营产生重大不利的风险及时发现和规避;再次,要对企业的外部环境变化进行持续的跟踪和监控,比如分析供应商的状态,分析客户购买行为的变化等,才能明确影响企业营运的环境因素。当外部环境与企业运营不相容时及时反馈并加以分析和判断,以及预测不良环境的未来发展趋势,为管理阶层调整经营目标提供准确的数据依据。
三、企业审计风险规避方式研究
1.保证风险事件甄别的完整性
风险鉴别就是通过对企业的各项信息进行研究和分析,甄别出企业面临的各项风险因素,除了上文中对企业的外部环境进行密切监控之外,还要全面科学的分析和研究企业的内部环境,保证风险事件鉴别的完整性,找出潜在的风险,尽可能降低对企业的负面影响。企业审计人员要以企业的战略发展为目标,研究企业的战略经营,对于风险事件可以在获取相关资料后采用风险分析调查表、风险问卷分析、流程图分析等模板来表现和鉴别。
2.对风险进行确认和评估
甄别出企业的各类风险之后,企业审计人员就要采用一定的风险分析管理技术来对这些风险进行分析、评估、测量和等级确认,利用定量和定性风险分析方法对已被识别的风险事件进行评估和计量。比如香港首富李嘉诚在我国房地产鼎盛时期从内陆撤资,就是通过对大数据的分析预测到未来的风险过大。
3.制定出应对风险的措施
通过对风险进行评估和确认,认识到风险活动对企业的影响程度,企业必然要采取一定的措施把风险控制在企业可承受的范围之内。一般而言企业会依据风险偏好来采取风险应对措施,如同样是意识到了我国房地产的未来风险,李嘉诚是选择撤离资金转站欧洲,而王健林的萬达则是选择进入文化产业。对于风险企业一般有几种应对措施:一是风险处理,风险处理最为常见,是相对积极的风管管理战略,针对风险的成因来源采取积极有效的应对措施来控制风险降低损失,企业选择风险处理意味着是对风险能够承受的风险偏好,企业管理者没有转移风险的意愿。二是风险转移,风险转移是既不能用抑制或控制的手段避免风险发生,也没有办法降低风险的损失,这种时候也往往是企业的生死关头,如果处理不妥就有可能使企业元气大伤甚至遭受灭顶之灾,企业面临此种境地则会采用风险转移,常见的有控制性非保险转移或者投保的形式来转移风险。
四、结束语
企业审计风险规避方式研究,首先要保证风险事件甄别的完整性,科学分析企业的内外环境,利用相关模板来找到和甄别潜在的危险;其次,要对风险进行确认和评估,对已被识别的风险运用相关的风险管理技术进行计量评估,确认其对企业的影响程度;最后,要制定出应对风险的措施,针对风险评估结果采取相应的措施积极或是消极的把风险控制在企业可承受的范围之内。
参考文献:
[1]周谦.谈风险基础审计在高校的应用[J].南华大学学报(社会科学版)2012.05(02).
[2]周景冉.浅析审计风险控制[J].合作经济与科技,2013.10(05).
[3]胡钊涵.浅析内部审计风险与控制[J].科技创新导报,2013.12(30).
作者简介:
读书报告
正如《现代企业风险管理审计》所述,审计业界并非尚未认识到其面临风险的真正根源,目前需要做的是研究并实施如何在审计行为中识别,控制风险,并使该理念和模式体现在审计各阶段具体的审计程序中,而不是仅仅在审计计划阶段对固有风险进行简单的分析。要做到这一点,传统的审计理念和模式,由于其更多的是为了关注财务报表风险而关注报表和企业帐目,而不是从企业经营风险,管理层风险管理的角度来关注财务报表,因而无法实现审计风险控制的有效性,也使审计在为整个财富价值链中的价值无法进一步得到体现。传统的审计方法除了在理念存有不足外,还欠缺足够的可以用来识别现代企业经营风险及其控制的审计工具,模型和方法;而企业风险管理审计模式,正是从企业经营风险,风险管理角度分析审计风险,实施审计程序,从财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。
《现代企业风险管理审计》是CPA视角的中国第一部现代企业风险管理著作。《现代企业风险管理审计》借鉴国内外风险管理方面的知识,在风险审计的概念、目标、程序以及专业判断等方面有一定创新和突破;在具体风险的审计上,精心编制国内外企业典型案例,具有可操作性。并提出了企业风险管理审计模式,从企业经营风险,风险管理角度分析审计风险,实施审计程序,财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。书中提供了大量的风险管理审计工具,模型和方法以使新的审计理念可付诸实践。
一、《现代企业风险管理审计》强调内部审计在企业风险管理中角色和作用
《现代企业风险管理审计》第2页对内部审计在企业风险管理中角色和作用
引用了《内部审计实务标准》的观点认为,内部审计在企业风险管理中角色和作用有两个方面:一是协助风险估算程序;二是对风险管程序的评价,对风险管理的恰当程度作出保证。这一观点在书中多次出现,反复强调。作者则认为“内部审计师通过对主体企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会。内部审计师协会的准则还强调内部审计的适当作用,清楚地指出内部审计师应该对他们所审计的活动持客观的态度。”
我认为内部审计在企业风险管理中应当保持客观的态度,通过评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会;在评价企业风险管理的有效性方面起着关键性作用。而不赞同《内部审计实务标准》对内部审计角色和作用的观点,内部审计要保持客观,就需要相对独立,不能又当裁判又当运动员,不能直接参与企业风险管理的风险估算程序。同时内部审计的资源难以实现“对风险管程序的评价,对风险管理的恰当程度作出保证”的作用。特别是“作出保证”更是不现实的;如果作为理论上的追求,也是无意义的。能作出“保证”的观点只能误导管理当局和董事会或审计委员会赋予内部审计不恰当的地位和权限,占用更多的资源。正如作者在书第3页的表述:客观地讲,要求每一位审计师者成为风险管理等各个方面的专家是不现实的。
二、企业风险管理模型
《现代企业风险管理审计》大都采用了澳大利亚—新西兰联合委员会的风险管理模型。在读了卓继民所著《现代企业风险管理审计》后,作为CPA的我比较认同《现代企业风险管理审计》选用的风险管理模型,即《现代企业风险管理审计》第77页所述的原安达信咨询公司经营风险管理框架图。
三、含混的风险审计重要性概念
《现代企业风险管理审计》第121页提出的风险审计重要性概念。“风险审计重要性是指被审计单位所处的环境、管理和业务活动,风险识别、分析评估及风险处理方法的任何方面,若存在影响组织基本目标实现的潜在可能,审计师则可判定该风险是重要的,否则,则可判定为不重要或判定为保留风险或剩余风险。”这一概念可能是由审计重要性在风险审计中的运用。审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。我认为风险审计重要性概念是含混的,将“重要性”定义为“潜在可能”很难理解。我认为,风险审计重要性是指被审计单位潜在的可能负面影响目标实现的严重程度,这一程度可以通过估计损失额、发生概率和发生频率进行界定。
四、具体风险管理审计
原安达信将风险定义为,环境风险、过程风险和决策所需信息风险三大类,细分七十三种常见的风险。《现代企业风险管理审计》在第三篇介绍了风险审计的理论与专业判断、规划策略和审计框架,第四至八篇介绍了营销风险、产品开发与品牌创立风险、企业财务风险、企业组织风险和企业内部控制系统风险等5种具体风险的审计,其审计思路受束于前述所选用风险管理模型和第42页所述的风险适管理的前提与基础研究:
《现代企业风险管理审计》,在了解企业经营识别经营风险时,提供了一个整体框架用于了解企业风险管理行为的有效性,并且分析企业的情况和信息流程。使用的主要分析工具包括:(1)企业分析框架;(2)企业风险模型;(3)企业信息流程;(4)企业绩效评价分析;(5)企业整体风险管理有效性评价。在企业风险控制评价时,提供了一个完整的框架用于评估管理层如何对信息流程和特定估计的相关风险进行控制。使用的主要工具包括:(1)风险控制流程框架;
关键词:黄金企业;企业管理;管理审计
(一)黄金企业的生产经营
黄金企业的生产是建立在地质探矿基础之上的,生产前先进行探矿,探明经济储量后方可进行采矿作业。采矿过程又由采场设计、矿石崩落、出渣运矿、充填胶结等环节组成。采出的矿石经过破碎进入选矿流程。为了提高经济效益,这一阶段降低生产成本是十分重要的。要降低采掘比,使采矿成本降低,减少损失率以减少资源浪费,降低贫化率尽可能地提高出矿品位。采矿阶段技术经济指标的控制对经营管理起着决定性作用。在选矿流程中,矿石首先被磨碎,磨成200~400目的矿粉,矿粉经过浮选开成金精矿,金精矿具有一定的价值,对此,加强生产管理非常关键。金精矿进入氰化流程,经过浸出、置换、洗涤、压滤工序制成金泥,金泥含量达到30%,具有很高价值。金泥出柜需要保卫部门参与,生产部门、财务部门、质量计量部门共同完成。金泥进入炼金室实行全封闭生产作业,经过冶炼和电解形成金块。降低药剂消耗、提高选冶总回收率、防止金属流失是选冶过程生产经营的重点。由此看出黄金企业生产阶段的经营管理决定整个企业经营管理。黄金企业不存在市场竞争、产品销售问题,那么降低成本、提高回收率、增加产量、减少流失、搞好生产管理,就是黄金企业搞好经营、提高经济效益的关键。
(二)黄金企业管理审计的重点
管理审计是帮助管理人员改进决策、提高获利能力和经营能力的活动。管理审计的重点是度量评价经营管理的经济性、效率性和效益性。黄金企业的经济性是由一系列相互联系的生产管理活动构成,效率性、效益性由密切关联的生产经营活动构成,通过一系列技术经济指标反映。这些技术经济指标归纳起来有损失率、贫化率、采掘比、出矿品位、浮选回收率、氰化回收率、尾砂品位、冶炼回收率、全员劳动生产率、克金成本等。由此可见,选择和断定一些反映经济性、效率性、效益性的,影响企业效益、具有较高风险的审计对象,是黄金企业管理审计的重点。
确定黄金企业管理审计的重点是由审计对象确定的原则决定的。确定审计对象的基本原则就是企业中的风险。风险是指控制无效(或降效)导致损失发生的可能性乘以潜在损失,用数学方程式表示如下:
R代表风险;E代表用货币表示的潜在的损失金额;pr代表用于控制失效(或降低效率)导致产生损失的可能性。
黄金企业生产环节风险是最高的。一方面因为黄金在产品价值高,潜在的损失较大;另一方面它处于现场当中,管理难度大,控制容易失效,导致损失的可能性大。因此,生产环节中存在的风险较高。确定黄金企业管理审计重点不仅由黄金企业特征决定,同时还是由黄金企业经营管理现状所决定的。就黄金企业来讲,一是组织机构比较完善,质量计量监督部门、保卫部门、财务部门一应俱全,能够相互协调相互配合;二是职责明确,企业管理的各项制度比较完善;三是财务管理十分规范,职责落实,财务审计由上级指定的会计师事务所承担,涉及资金财务方面风险较低。这些都决定了黄金企业管理审计重点不在采购、销售、资金、财务等方面,而在生产管理环节当中。黄金企业,黄金生产集中于一线和基层,处于控制的末梢,容易形成空区和盲点,因此应当强化管理,重点进行审计。
(三)实施管理审计的几个要点
那么,如何实施管理审计呢?笔者认为应当抓好以下几点:
1、选准审计对象。实施管理审计,首先要选准审计对象,它既是实施管理审计的第一步,也是管理审计成效的关键。在选择审计对象时既要看到现实的风险,又要看到潜在的风险。风险已经显现出来的,说明问题已经存在;问题没有暴露出来的,风险潜伏在管理过程当中,这就需要审计人员甄别筛选。比如,2003年5月份,三山岛金矿一度出现出矿品位低下的问题。审计发现出矿品位低的影响因素有损失和贫化两项,而损失和贫化既有与设计有关的一次损失和一次贫化,又有与出矿有关的二次损失和二次贫化,选择哪一项内容进行审计呢?我们经过初步调查,确定将采矿车间铲运机出矿作为审计对象。我们按采场、按单车进行审计排查,发现在铲运机出矿过程中有废石混入的情况,最后确认出矿品位低是由二次贫化造成的。对此,我们提出了整改意见,被采纳后出矿品位很快得到改善。
2、要有一套完整的审计工作程序和工作思路。审计工作要有计划性,应按一定步骤进行。要制定出年度、季度或月份工作计划,指导阶段性的审计工作。
开展审计工作不但要严格按照程序进行,同时头脑中还要有一套完整的工作思路。进行审计时,首先,要看是否建立控制制度,制度规定是否严密,有无漏洞。其次,要看人员、职责是否落实。第三,审查制度、职责是否被有效(严格)执行。第四,发现的问题是否与审计目的相一致。第五,掌握的审计证据是否可靠、有力,能否说明存在的问题。第六,提出的建议、措施是否具有可操作性,能不能被管理者所接受。第七,所撰写的报告是否恰如其分。
3、采取有效的审计方法。管理审计的方法很多,但对比测试和现场观察两种方法简单而有效。对比测试可以从总的方面发现带有倾向性的问题,现场观察可以发现实质性的问题。很多时候通过询问或听取当场人员的反映是得不到真实情况和审计证据的,只有经过对比分析和亲自到现场查看,才能掌握真凭实据。比如,我们在对金属平衡问题审计时,经过对同组数据的对比测试,发现个别人在不同班次形成的数据有雷同现象。经过分析,我们认为取样可能存在问题,于是针对取样进行现场详细观察,从取样数量、取样时间到取样频率一一观测,结果发现操作人员有延误取样时间问题,有的干脆一样多代,化验结果与实际指标不相符,造成理论产金与实际产金的差异。
摘要:风险管理与内部审计是企业管理必不可少的内容,完善的内部审计制度能够改善企业经营状况,优化内部控制环境,而健全的风险管理体系能够规避企业经营风险,提升企业风险防范能力。本文在分析企业内部审计与风险管理关系的基础上,构建起基于风险导向的内部审计质量控制体系,期望对提高内部审计工作质量,加强企业风险管理,提升企业风险防范能力有所帮助。
关键词:企业 控制体系 风险管理 内部审计
一、企业内部审计与风险管理的关系
内部审计与风险管理都是企业内部控制的重要内容,对于规范企业经济活动,减少经营风险,实现资源高效配置有着积极作用。在企业管理中,内部审计与风险管理存在着必然联系,具体表现为:
(1)内部审计在风险管理中的地位
对于企业而言,其在经营过程中不可避免地会面临各种风险,通过内部审计能够对经营风险起到一定的防控和治理,可见,内部审计在企业风险管理中有着非常重要的地位。在市场经济的背景下,企业的内部审计将各项经营及投资活动一并纳入到了市场竞争环境当中,借助专业、系统的审计方法,对企业的经营和投资进行全面、具体的财务分析以及详实、可靠的评估与预测,并针对企业经营与投资中可能面临的风险进行防控与管理,由此不但可以使企业的各项经济活动的成效性有所增加,而且还能进一步提升企业的总体收益和利润。
(2)内部审计在风险管理中的作用
风险存在于企业经营、投资的全过程当中,风险管理的最终目的就是预防和控制风险,而内部审计在企业风险管理中的作用具体体现在如下几个方面:一是在风险管理范围确定中的作用。企业的主要风险来源于经营和投资活动,这种风险具有一定的可控性。内部审计是企业把控全局的重要方式之一,其除了能真实反映出企业的经营与财务状况外,还能通过对内部经济活动各个环节的控制,对企业的风险问题进行正确评估,并就风险可能存在的范围及其影响程度进行预测,从而提高企业的风险管理水平,降低经营成本。二是在风险识别与分析中的作用。内部审计可以通过不同的风险分析方法对企业的内外部风险因素进行识别,为风险管理层应对风险提供依据。三是在风险评价中的作用。内部审计能够对企业经营管理层制定的政策进行风险预测与评估,有助于经营决策的完善。四是在风险处理中的作用。内部审计是风险处理过程中的关键环节之一,可对风险处理方法进行监督评价,并提出改进建议,有助于企业风险处理水平的提升。五是在风险反馈中的作用。内部审计是控制企业管理的一种有效方式,它可以反馈各种风险信息,对企业经营活动的有序进行具有积极的促进作用。
(3)内部审计与风险管理的融合
随着全球经济一体化进程的不断加快,使得企业间的竞争日趋激烈,由于受各种因素的影响,导致企业经营、投资活动的不确定性有所增加,在这一前提下,为确保企业稳定、持续发展,就必须加强企业内部审计与风险管理的融合。从目前的总体情况上看,企业内部审计与风险管理之间的联系越来越紧密,实践证明,行之有效的内部审计能够减轻审计委员会的工作压力,其立足于企业战略和经营风险的管理,并通过风险识别、分析、评估、处理等环节,将审计的协调、监督作用融入风险管理的审计程序当中。
二、构建基于风险导向的内部审计质量控制体系
企业应构建起基于风险导向的内部审计质量控制体系,明确内部审计的职能,强化对风险管理过程的检查、监督和评价,一方面完善内部审计机制;另一方面加强企业风险防范。
(1)设立内部审计委员会
企业应当设置独立的内部审计委员会,并由其全权负责外部审计师的聘任和解聘,同时辅助外部审计师开展相关工作。可由审计委员会对企业内控制度、风险管理制度以及财务报告进行全面审查,并对审计工作进行监督、指导,协调内审与外审之间的关系,为董事会使用和披露财务信息提供可靠保障。企业在设立内部审计委员会的过程中,应当本着成本费用合理、工作过程独立的原则,这样能够使内部审计委员会在企业风险管理中的作用得以充分发挥,从而为企业创造出一个良好的内部环境,有助于提升企业抵御风险的能力。
(2)确定风险容忍度
所谓的风险容忍度具体是指企业经营、投资时,在实现预定目标的过程中对存在风险的接受程度。相关研究结果表明,企业对风险的容忍度越大,对风险的承受能力就越强。企业的内审人员可按照本企业当前所处的经营环境、资本结构等条件,对风险容忍度进行确定,同时找出可能会给企业经营带来威胁的所有风险,分析风险的权重,确定出威胁最大的风险,针对这些风险进行容忍度量化分析,进而确定出企业可接受的风险范围,并采取有针对性的措施应对风险,降低风险对企业经营投资活动的影响,提高企业效益。
(3)加强风险识别与评估分析
在风险管理中风险识别是关键环节,它是对企业潜在风险的判断及对风险性质的鉴定。在风险识别过程中,先要对风险进行定性,这就要求内审人员应当熟悉企业的经营管理过程,并以风险的评估分析为立足点开展具体工作,从而有效地对风险进行识别。企业可结合自身的实际情况,合理制定风险管理审计计划,该计划中应当包括以下内容:财务风险管理审计计划、市场风险管理审计计划、人事风险管理审计计划、会计风险管理审计计划以及其它风险管理审计计划。此外,审计委员会应当对风险识别的完整程度加以关注,具体而言就是企业经营投资过程中所面临的.主要风险是否全部被识别出来,确认没有遗漏后,便可通过收集资料,运用科学技术,采取定性与定量相结合的方式,对这些风险的发生的可能性、频繁度以及影响程度进行评估,并对相关的风险管理审计计划进行分别评估,进而确定出企业总体风险的大小。内部审计委员会还应当对评估结果进行复验,看结果是否恰当,并对不恰当的情况进行更正,提出相应的改进建议,提升风险管理水平,降低风险给企业造成的损失。
(4)做好风险应对与监督
企业的内部审计人员应当做好风险的应对与监督工作。首先,内审人员可依据企业的风险容忍度,制定合理可行的风险应对策略,确保制定出来的策略能够有效规避、转移、缓解风险。其次,审计委员会应当认真检查各部门针对风险采取的行动,看是否充分、得当,如果发现某些风险缺乏控制措施时,应按照具体情况提出相应的措施和建议,借此来强化风险管理防范,从而降低企业的风险损失。再次,由于风险本身具有可变性的特点,其数量及发生的可能性会随着企业内部和外部环境的变化而改变,为此,应当对风险进行持续监控,这是提升风险管理水平较有效的途径之一。审计委员会可通过对各类风险的持续监控,使企业明确风险处理中应重点加强的环节,由此能够使企业进一步明确风险管理的作用和价值,这不但能够为风险评估提供依据,而且还有利于成本费用的控制。
三、案例分析
A公司为股份有限公司成立于1993年2月2日,主要经营业务为建设与维修电厂、电力行业技术服务、生产销售电力与热力、生产销售电力仪器等。9月,A公司进行股权分置改革,由B集团公司持有21.15%的A公司股本。A公司于设立了审计委员会,由董事会选举产生委员会委员,明确了审计委员会的职责权限,但是未将风险管理纳入到内部审计范围内,使得A公司在经营管理中面临着较大风险。为此,应当建立起基于风险导向的内部审计质量控制体系,具体措施如下:
(1)完善A公司内部审计组织模式
从A公司内审委员会的人员结构、规模设计以及任职条件等方面来看,全部符合内审委员会的设立要求,但从具体职责和权限上看,仍需要进一步完善。可将企业风险管控加入到内审委员会的职责权限当中,并赋予其一定的权利,确保相关工作的有序开展。在A公司审计委员会下设内部审计部门,负责对公司经营面临的风险进行识别、分析,并提出应对建议。
(2)识别A公司风险
通过风险调查法和财务报表法,审计部门对A公司当前面临的风险因素进行识别,从而得出企业面临的主要风险有以下几种:一是外部经济形势。因中央政府实施了紧缩货币政策,从而给企业资金流量带来了压力,影响了企业对长期项目的投资计划。二是原材料价格。电煤价格上涨导致经营空间缩小,同时煤电价格联动政策未再实行使企业经营面临更大的困难。三是电力产品销售。由于煤电联动政策没有实施,致使煤炭涨价增加的成本全部由企业自行承担,导致企业经营业绩下滑。
(3)确定A公司风险容忍度
审计部门在对A公司面临的主要风险因素进行分析后,结合企业当前所处的经营环境,将企业目前的风险容忍度确定为较低水平,企业面临的风险较高,已经无法再容忍错报的发生。于是向审计委员会建议A公司必须进一步提升风险管理水平,并规避和转移风险,审计委员会采纳了审计部门的这一建议。
(4)落实A公司风险应对措施
通过风险识别和容忍度的确定,审计部门针对风险点,采取相应的措施,使识别到的风险降至可接受的水平。其一,在外部经济风险的应对中,在审计部门的建议下A公司采取了缩短应收电热费的回收期;减少陈欠电费积压;多举借短期借款,抛售中长期借款;创新融资渠道等措施。其二,在原材料价格风险的应对中,审计部门建议实施一把手工程,对燃料管理体系进行了规范,同时加强与煤矿和铁路运输部门的协调,并加大对来煤结构的调整,确保了充足的煤量,煤价上涨得到了有效控制。其三,在产品销售风险的应对中,审计部门建议企业加大市场开拓力度,争取发电量计划,落实电量指标转移,向有关部门反映电价偏低等问题,争取提高电价。
四、结论
企业应深入研究内部审计与风险管理之间的联系,结合风险管理理论和内部审计框架,构建起基于风险导向的内部审计质量控制体系,既有利于丰富内部审计内容,提高内部审计工作效率,充分发挥内部审计在风险管理中的作用,又有利于提升企业风险管理水平,强化对风险的监督控制,提高企业风险防范能力。
参考文献:
[1] 栾姗迟.审计风险产生的原因及风险防范[J].现代经济信息,2013(9):121-123.
[2] 孙宝厚.关于全面审计质量控制若干关键问题的思考[J].审计研究,2012 (8):39-42.
[3] 杨莉.风险导向内部审计在我国企业风险管理中的应用研究[J].长沙理工大学学报,2012(10):84-86.
[4] 张秀英.内部审计参与风险管理的动因及其运作探讨[J].赤峰学院学报 (自然科学版),2011(2):124-126.
由于各种不确定性因素, 企业面临着各种风险, 能否对风险进行有效的管理和控制, 是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号—《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而, 我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题: (1) 内部审计人员对风险及风险管理不甚了解。28.05%的被调查内部审计人员认为风险不会影响企业价值, 7.32%的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解, 限制了内部审计对风险和风险管理的关注, 制约了内部审计在风险管理中的应用。另外, 内部审计人员缺乏风险管理知识, 对于风险管理的先进理论—全面风险管理不甚熟悉。8.54%的被调查的内部审计人员没听说过“全面风险管理”, 只有3.66%的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论, 又从何谈起协助管理人员进行风险管理。 (2) 内部审计的独立性不足。内部审计部门只有独立于其它职能部门, 才能独立、客观、公正地发挥其职能。62.32%的被调查单位的内部审计部门都是独立设置的, 这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53%的被调查单位的内部审计隶属于行政正职或分管副职, 而只有19.82%的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足, 影响了内部审计在风险管理中应有作用的发挥。 (3) 内部审计人员结构不合理。我国内部审计的人员结构比较单一, 绝大部分是会计、审计人员。在被调查的内部审计人员中, 48.43%出身于会计专业, 27.99%出身于审计专业, 只有10.13%出身于管理专业, 以及0.74%出身于计算机专业。人员结构不合理, 使得内部审计难以履行监控风险管理的职能, 更别说为风险管理提供咨询服务。 (4) 内部审计范围狭小。内部审计人员结构的不合理, 导致了内部审计范围的狭小。在被调查单位中, 69.57%经常进行财务收支审计, 66.67%经常进行经济效益审计, 72.46%经常进行经济责任审计, 只有7.25%曾经开展过风险管理审计, 没有一家单位对风险管理经常进行审计。 (5) 内部审计方法落后。内部审计在开展审计业务时, 使用的审计方法比较落后。66.67%的被调查单位采用账项基础内部审计24.64%的被调查单位采用控制基础内部审计, 只有8.69%采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。
二、我国企业内部审计风险管理的意义及定位
(一) 企业内部审计风险管理的意义
主要体现在以下方面: (1) 有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释, 但无论是契约理论提及的不完备契约, 还是信息经济学提及的信息不对称, 或是委托代理理论提出的代理问题, 其实质都属于风险问题, 都是使企业目标无法实现的各种可能性事件。而针对这些可能性事件的管理, 即风险管理, 可以被认为是公司治理的核心。而从内部审计来看, 通过加强对风险管理的评估和咨询, 为审计委员会、董事会提供真实有力的报告证据, 使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能—改进公司治理。因此, 内部审计与风险管理的有效结合必将进一步改进公司治理, 提高企业管理效率。 (2) 内部审计自身生存和发展的渴求。内部审计对风险管理的介入, 使内部审计在企业中成为一个特别重要的角色, 也将其在企业中的作用推向了一个新水平。同时, 内部审计采用关注风险的审计方法, 其报告更容易被接受, 管理部门也更容易理解内部审计存在的价值, 它可以帮助内部审计渡过正在影响整个职业的价值危机 (Value Crisis) 。正因为如此, IIA才一直积极倡导内部审计参与风险管理, 把风险管理作为内部审计的重要领域直接写入了内部审计的定义。 (3) 内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置, 是不直接参与经营活动的高层次监督部门, 因而在企业风险管理中具有独特的优势。第一, 能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征, 即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担, 而是会传递到其他部门, 最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑, 而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动, 独立于业务管理部门, 这使得它们可以从全局出发、从客观的角度对风险进行识别, 及时建议管理部门采取措施控制风险。第二, 控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置, 内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节, 可以调控、指导企业的风险管理策略。第三, 内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门, 但它属于管理部门的一个职能部门, 向总经理负责和报告, 不具有独立性, 其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资, 而总经理好大喜功, 他会力促项目的实施, 这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门, 其风险评估的意见可以直接报告给董事会, 这自然会加强管理当局对内部审计部门意见的重视程度。 (4) 能保证审计目标与企业目标相契合。传统内部审计通常采用“控制→风险→目标”的路线, 即直接测试内部控制, 考虑内部控制是否有效, 而风险的大小仅用于表明控制的薄弱与健全环节, 从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制, 随着时间的推移, 控制点会越来越多, 审计业务越来越繁琐缓慢, 甚至出现多余控制阻碍各项程序正常运转的情况, 因而无法与企业目标直接相关联, 导致内部审计无法证明其价值所在。内部审计参与风险管理后, 采取的是“目标→风险→控制”的路线, 首先确认企业目标或某项交易的目标, 然后分析对这些目标产生影响的风险, 确定审计风险水平和审计重点, 提出风险防范和控制建议, 最后通过后续审计, 测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标, 并且将事后的反馈扩展到内部控制建立前及实施时的协助与促进, 帮助管理层对风险管理进行持续改进与完善, 保证审计目标与企业目标相契合。
(二) 内部审计风险管理的定位
COSO报告指出企业风险管理有四个目标 (实现战略、高效运作、客观报告、遵守法规) 、八个要素 (内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动) , 在企业的四个层次开展 (企业级、部门级、事业单位级、分公司级) 。内部审计在这一框架中作为监控活动存在, 即由内审机构对企业风险管理进行独立评估。内部审计师协会 (IIA) 在2004年9月发布的《内部审计在企业风险管理中的角色》意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证, 以帮助确信关键商业风险被正确管理及内控系统有效运转。因此, 内部审计在企业风险管理框架中首要角色是监督者, 包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准, 内部审计的服务种类可以划分为保证服务和咨询服务, 前者是一种独立评价的活动, 后者是提供建议及咨询的活动。在企业风险管理中, 内部审计的本质特征并不发生改变, 因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外, 内部审计还可提供咨询服务, 包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应, 内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的, 而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下, 内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期, 内部审计能够发挥很大的协调作用, 甚至直接担任项目经理;而当企业风险管理逐步成熟, 运作稳定以后, 内部审计就从建议者、协调者转化成监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色, 报告关系层次越高, 独立性越强, 内部审计就越能够从全局和战略角度参与企业风险管理;反之, 则从局部和流程角度参与企业风险管理。 (图1) 说明了组织风险管理水平和报告关系对内部审计角色定位的影响。为保证独立性和客观性, 内部审计并不对建立企业风险管理体系承担主要责任, 风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、质询和支持, 但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动, 内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外, 在实践中, 应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责, 就应认为与此有关领域的审计客观性受到了损害, 内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
三、我国企业内部审计风险管理的思考
(一) 内部审计参与风险管理的具体途径
与一般的防范、控制管理部门的风险管理相比, 内部审计部门所进行的风险管理, 既与其有紧密的联系又有较大的区别。“紧密联系”表现在, 两者的目的是统一的, 都是为了降低企业的风险;区别在于它们在风险管理中的角色不同。正是由于上述的联系和区别, 决定了内部审计部门的风险管理主要是履行以下再监督责任: (1) 评估风险的“三性”特征。一是评估风险识别的充分性。有效的风险防范体系要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息, 包括历史数据和未来预测, 以达到识别风险的目的。为了及时地获取资料, 并保证资料的真实可靠, 企业应当把收集初始信息的职责落实到各有关职能部门和业务单位。内部审计部门应实施相关审计程序, 对企业部门和单位风险识别程序进行评价, 重点关注企业面临的内外部风险是否已得到充分、适当的确认。二是评价已有风险衡量的恰当性。内部审计部门应当对已有风险衡量进行评价, 并重点关注风险发生的可能性和风险对企业目标的影响程度。同时, 内部审计部门应当充分了解已有风险衡量的方法, 应对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计部门对管理层所采用的风险评估方法进行审查应重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的衡量等。三是评估风险防范措施的充分性。内部审计部门应当实施适当的审计程序, 对风险防范措施进行审查, 内容包括:采取风险防范措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险防范措施是否适合本组织的经营、管理特点;风险防范措施是否有效涵盖重大风险等。 (2) 对企业风险管理结果进行评价。根据企业外部经营环境和内部管理环节的变化, 及时提出改进意见。内部审计部门对企业风险管理结果的评价内容是企业风险管理目标的完成情况, 具体包括:企业阶段性风险控制目标与实际结果的相符程度, 确认两者之间的重大差异, 并加以分析;从上述分析的结果出发, 持续评估公司既定的风险防范体系的完备性;与相关管理层定期讨论部门的目标及其存在的风险, 以及管理层采取的降低风险、加强控制的措施, 并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否有效;对管理层的自我评估进行实地观察、直接测试, 检查自我评估所依据的信息是否准确;评估与风险管理有关的管理薄弱环节等。 (3) 将企业风险管理融入内部审计程序。在风险管理中, 内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此, 内部审计部门应将日常审计工作与企业的风险管理协调一致, 将风险管理纳入日常审计范围。包括:在编制审计计划时, 应在对企业风险进行评估的基础上, 制定内部审计部门的审计计划, 确定审计项目;确定审计范围时, 要考虑企业的战略性风险计划目标, 并每年对审计范围进行一次评估, 以涵盖企业最新战略所面临的风险;编制审计方案时, 应通过风险因素分析来确定审计业务工作重点;在审计实施过程中, 应通过评价内控制度, 验证风险控制的有效程度;在选择检测风险的技术与方法时, 应如实反映风险的重大性与发生的可能性;在编制审计报告时, 应对风险管理状况进行评价, 指出风险管理中存在的漏洞和不足之处, 提出加强管理的建议;在追踪审计时, 应将风险确定为决定追踪审计范围的重要因素。
(二) 内部审计参与风险管理的措施
具体措施如下:首先, 明确我国内部审计的定位。作为现代审计体系的两大组成部分-独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的, 是经营管理分权制的产物。目前, 企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下, 在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足, 因而内部审计的建立缺乏内在需要, 定位上存在偏差。企业内部审计定位的偏差, 产生了一系列不良后果导致内部审计缺乏独立性。内部审计地位不明确, 而且内部审计工作范围往往局限于财务审计, 重在进行财务收支的合法性与合规性审计;在人员配置上, 较少重视自身发展的内在要求, 行政配置较多, 造成人员素质较差且结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥, 甚至直接影响了内部审计的发展。我国加入世贸组织已有几年, 内部审计的发展无论是从与国际内部审计接轨, 还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲, 我国的内部审计事业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确, 只有搞好定位, 一系列问题才能得以解决, 才能应对国际内部审计和惯例要求的挑战。其次, 理顺内部审计管理体制。企业内部审计机构应坚持两条原则:一是独立性原则。这是设立内部审计组织机构最重要的原则。在这个原则指导下, 内部审计组织机构独立行使审计职权, 不受任何人员和有关职能部门的干预, 以体现审计的客观性、公正性和有效性。国际内部审计师协会在《内部审计实务淮则》的一开始就强调:内部审计师“必须独立于他们所审核的活动”, “独立性可使内部审计师提出公正的不偏不倚的鉴证和评价, 这对于正确的审计工作实施是必不可少的”。二是权威性原则, 主要体现在内部审计组织机构的地位和设置层次上。实践表明, 内部审计的组织地位和作用的发挥是相辅相成的。一方面, 作用的扩大为内部审计赢得较高的组织地位创造了机会;另一方面, 组织地位的提高, 独立性的增强, 又为内部审计人员卓有成效地履行职责, 发挥内部审计的职能作用提供了条件。另外, 内部审计机构要有一定的处罚权, 这样才能充分体现内部审计的权威性。第三, 扩大内部审计的领域。传统的内部审计擅长于企业经营过程中内部控制的测试, 然而, 风险管理要求内部审计部门关注企业运作中最为复杂的、风险最大的方面, 如战略计划、重要投资决策、兼并收购、合资经营、新产品开发等管理当局关心的问题。强调全局观念并突出重点, 综合考虑企业面临的全部风险, 包括当前的风险和未来的风险, 用内部审计的服务推动企业管理当局对风险暴露和管理的理解和关注, 为风险管理和控制系统的完善作出贡献。第四, 加强职业组织的导引作用。IIA确定每年5月份为“国际内部审计关注月”, 其开展这一活动的一些新观点和理论, 对指导我国内部审计很有借鉴价值。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理, 积极介绍国际上内部审计参与风险管理的经验和案例, 提供可资借鉴和参考的基础;积极制定与参与风险管理有关的准则和指南, 以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流, 选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习。内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问, 而不是警察。内部审计工作只有给企业带来价值才有意义, 才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。最后, 提高内部审计人员的素质。在人员知识结构方面, 必须认识到内部审计师是复合型的专业人才, 要求综合能力较强、知识面较广。要有效地协助企业进行风险管理, 必须改变他们现有的知识结构。因此, 应定期对内部审计人员进行信息技术、风险管理技术、金融创新等方面的培训, 以保持其知识的不断更新。主要途径有:我国内部审计协会应积极举办与风险管理有关的培训班, 增加内部审计人员风险管理的知识;企业内部管理部门应积极组织内部审计人员学习风险管理知识;参与企业的风险管理, 在实践中学习和积累风险管理的经验;鼓励更多的内部审计人员参加IIA举行的国际注册内部审计师考试 (CIA) 。
摘要:近年来一些内部审计组织开始介入企业风险控制与管理, 并将风险控制与管理作为内部审计的重要领域。西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督, 以实现企业经营目标的安全性、效率性和效果性。而我国内部审计参与风险管理都不尽成熟。内部审计与风险管理的结合正是企业提高经营管理效率的客观需要和追求自身发展的必然结果。本文论述了风险管理理论, 分析了我国企业内部审计参与风险管理的必要性, 内部审计在企业风险管理中的角色定位, 内部审计参与风险管理的具体途径及措施。
关键词:内部审计,风险管理,角色定位,途径,措施
参考文献
[1]乔瑞红:《内部审计参与风险管理研究》, 《交通财会》2006年第2期。
[2]王骥:《内部审计参与风险管理的路径》, 《企业改革与管理》2007年第6期。
关键词:企业;增值型;内部审计;管理系统
企业内部审计具有差错防弊与增加企业价值的功能,随着企业经营环境的改变,原来内部审计已不适合企业发展的需要了,以内控、风险管理与公司治理为一体,增值型为主的内部审计管理,成为内审行业发展必然的趋势,加强企业的增值功能,形成科学的内审管理系统,可有效促进企业持续健康发展。
一、价值链及内部审计定位
价值链是由Michael E.Porter首先提出来的,并将其作为企业竞争优势获得的重要手段,企业经营过程包含设计、生产及销售等活动,价值链所表示的是有关活动间的联系,列示企业总价值。从价值实现方式看,企业价值分成直接、间接活动与质量保证。企业价值链是个完整的链,各项活动均在价值链当中,内部审计人员通过参与组织的战略规划、经营管理、风险管理和营销等来实现内部审计自身的价值升值。内部审计作为企业组织管理的控制环节,具有支持企业价值活动及确保工作质量的双重作用。增值型的内部审计以提高机构运作效率、降低运营成本、增强企业综合竞争势力为主要目的,运用内审的特殊资源、方法与地位,能为价值链上的各环节工作顺利进行提供良好的保证功能,有效实现内审的增值。IIA协会指出,内审部门的价值就在于满足企业价值增加及机构运营改善,内审工作要围绕企业增加价值的目标进行工作,通过企业资产保护、组织风险减少与审计成本降低等活动增加企业价值,推动增值型的内审管理发展。内审管理中的增值型、治理型及风险导向型相结合的模式,成为内审发展的方向。
二、增值型内审管理系统策略
1.树立增加价值目标,重视风险治理
企业内部审计管理应将增加价值当作关键目标,让企业内审活动更为贴近企业价值链。增值型内审增值方法主要有企业价值与审计价值增值,以及两者共同作用下产生的附加增值。内审创造价值来自成本降低创造的直接价值,以及提升企业经营运作与效果创造的间接价值。内部审计应重视内审监督的价值定位、导向、调控及转化增值等的作用,积极更新内审理念、调整工作方式及思维转变,强化质量控制与资源配置优化,畅通内审监督程序,最大化的发挥企业的整体价值。企业内审管理应重视内控及风险治理,内审治理活动为风险监控与控制确认,公司治理过程存在风险,内审通过收集资料,认识并评价风险过程,围绕风险监管来服务公司治理,以实现企业的价值增值。企业内审由事后向事前、事中审计发展,更多财务数据、财务收支、财务报表审计转向风险治理审计发展,企业内审通过评估风险管理、完善公司治理与提高内控效率来实现企业增值目标。
2.完善确认、咨询服务职能
增值内审由原来监督评价转变为确认、咨询职能,内审的确认咨询职能是在内审增值目标中发展而来的,依据客户需求进行内审服务调整,以实现增值目标。企业内审确认服务可称之为保证服务,业务类型主要包含业绩、财务、系统安全、遵循谨慎性审计,审计者经过合理保证辅助改善管理工作,实现战略目标,其内容主要是确保有关法律法规及政策遵守,保证资产安全,并充分利用资源,使得内控结构更为合理有效,风险能充分合理控制。内审中的咨询服务是内审人员依据企业目标实现要求,结合价值链基本、间接活动当中的问题,提供恰当解决方法,并提出改善意见,达到改善企业经营管理及活动效率提高,竞争优势加强。咨询服务的业务类型主要是内控培训、政策起草、质量附案例参与及控制意见提供等,内审的咨询服务主要是基于战略、风险及内控管理,为信息管理决策层提供可靠参考依据,并协助检查企业的管理情况,评价企业的管理效果,加强措施完善,预防企业出现大的经营波动和管理漏洞,加强确认咨询职能的完善。
3.多样化服务及先进管理方式应用
为提高内部审计生存发展,其必须满足不同客户需求,在保持原有审计服务同时,还应主动依据客户要求,研究开发新型服务项目,内部审计所涉及服务客体包括董事会、股东、审计委员会、监管者、管理者及投资者、顾客等,不同客户群体,内审增值形式是不一样的,企业管理层要求内审应提高企业经营效果方法,顾客与供应商要求内部审计及有关系统能提供安全可靠的信息,而基层管理者要求内审能带来创新或者最优实务指导,内审人员把内审作为特别的内控,企业内控有效,能够减小内审工作的范围,内审部门充分运用自身优势,加强不同客户群体增值服务开发,企业会有更大作为。先进管理观念与方法的运用,能全面梳理塑造内审工作的思路、流程与内容,把内审理论及组织实际进行结合,寻找最佳的结合点,加强内部审计的实际指导工作,充分发挥内审的参谋作用。
三、结束语
内部审计作为企业经营管理重要构成,在企业经营管理发展下,企业内部审计已由传统审计向增值型内审转变,内审管理系统中,应用多样化产品服务,先进管理方法,充分发挥内审的价值增值、风险治理与确认咨询功能,不仅能有效提高内审管理质量,还能促进企业效益实现。
参考文献:
[1]钟黎明 钟 源:基于企业价值增值的内部审计研究[J].价值工程,2008(01).
【企业风险管理审计研究】推荐阅读:
企业内部审计与风险管理的关系毕业论文10-25
审计风险及其控制研究01-17
我国商业银行内部审计的风险和对策研究11-02
企业法律风险管理07-06
企业风险管理报告10-23
企业风险管理制度07-19
企业物资管理风险控制07-27
创业企业法律风险10-18
