随着企业经营的各种不确定性增加,信息的不对称而导致的逆向选择与道德风险的存在,使企业管理中风险加大,因而研究风险管理就很有必要。当前,发达国家和部分发展中国家的许多先进企业突出了在风险管理方面的内部审计实践。因此,分析企业内部审计与风险管理的关系,具有非常现实的意义。 一、风险管理简述 风险是指损失的不确定性。企业风险管理是指企业通过对潜在的意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。企业风险的分类方法很多,按企业业务类型分类,企业风险可分为如下几类业务风险:生产风险、营销风险、新产品开发风险、投资风险、组织风险和财务风险等。 风险管理产生于20世纪30年代,现已成为世界各国普遍重视和推广的管理学科。在西方发达国家中,风险管理已普及到大、中、小企业,各企业均建立了风险管理机构,专门设立风险管理人员、风险管理顾问等,由他们专门负责企业各种风险的识别、测定和处理等方面的工作。 风险管理是企业管理的一项职能,更是一种管理理念,它贯穿于企业管理的各个方面。在一个大型企业内,不同部门面临的风险表现和种类存在显著差别,如果没有设立专门的风险管理部门,则以下三类部门共同承担着企业风险管理的职能: 第一,战略管理与规划部,负责管理战略性风险,即对企业的长期经营和竞争战略构成影响的综合性风险,这种风险通常从企业赖以生存的市场中表现出来。这些年在企业风险管理领域的一个新的突破是企业在利用传统的保险市场和金融衍生市场进行经营风险管理之外,开始积极地实施所谓战略风险管理活动,即对影响市场环境的经济、社会或其他种种因素,例如因为社会阶层和收入变化所导致的消费偏好、口味的变化;宇宙空间、大气和地球物理的环境变化;社会发明和技术进步对市场运行环境的影响等一系列深远的、长期的风险因素进行系统化的战略综合管理。 第二,安全保卫部门,负责由于自然灾害和人身伤亡等因素可能给企业造成的损失。分为防损和减损两个方面,防损旨在减少损失发生频率,或消除损失发生的可能性。减损旨在尽可能减少损失后果和提供损后救助。 第三,企业内各职能部门和管理部门,负责管理部门风险。部门风险主要是指各部门在经营运作过程中由于管理不善造成的损失风险。主要由相关程度最高或风险暴露可能概率最大的部门如财务部门、销售部门、生产部门等,根据自身运作状况采取措施加强管理。但由于经营指标的压力或企业激励机制的作用,各部门有关人员有一种为追求突出业绩或完成目标任务内承担风险的冲动。此时,风险因素及潜在的损失往往被忽略和低估。因此,风险管理监督和风险承受部门必须有效分离,这已成为现代经营风险管理的一项重要原则。在部门风险管理中,内部审计逐步担负起风险管理的职能,在许多世界知名跨国集团,内部审计的风险管理职能正逐步在广度和深度上得到有效的发挥。 二、现代内部审计在风险管理中的作用 对我国企业来说,风险管理作为一种管理理念是一个新鲜事物,如何在企业中进行风险管理的运作还处于探索阶段,但内部审计作为风险控制的一项有效工具在风险管理中发挥的重大作用正逐步为人们所认识。许多人认为,审计是对会计账目的审核,内部审计就是对组织内所属独立核算单位的财务状况和经营成果的审核。这种观点大大限制了内部审计在组织管理中的职能,忽视了内部审计预防风险的作用。来自企业内部的风险常常是由于内部控制系统有缺陷或虽有良好的管理控制系统却未得到认真的贯彻执行。内部审计以企业各运营环节风险评价为起点,以评价内部控制和对内部控制合规性审查为主要内容,在风险识别、衡量和风险防范中发挥了重要的作用。 (一)内部审计有助于识别组织风险 风险管理的首要环节是对风险的识别,识别了风险,才谈得上下一步的管理。内部审计正是以风险敏感兴分析为起点开展工作。内部审计人员通常关注的风险主要有:财务和经营信息不足,政策、计划、程序、法律和标准贯彻失败,资产流失,资源浪费和无效使用,不能达到一定的目的。在决定所要审计的内容之前,内部审计师不仅要评估和备选内容相关的风险的类型,还要评估当前有多少风险。 (二)内部审计有助于进一步确定并防范风险 组织的风险有来自外部的,也有来自内部的。一个组织可以通过建立健全的内部控制系统规避大部分内部风险和部分外部风险。内部审计的核心工作就是对内部控制系统的核查,既要评估内部控制本身有无缺陷,又要核查一个完善的内部控制系统是否得到有效的贯彻,通过检查内部控制系统,挖掘隐患,及时提醒其他管理人员减小或防范风险。 (三)内部审计有助于识别并防范雇员不忠诚带来的风险 由于组织成员的舞弊给整个组织造成灭顶之灾的事件时有发生,对于组织成员不忠诚造成的风险可通过内部审计识别和预防。内部审计师通过相应的分析对舞弊的可能性做出估计,如现有内部控制环境下招致重大违法行为的风险;组织内拥有权利和责任的个人或集体出于某种原因和动机从事违法活动的可能性;组织内拥有权利和责任的个人和集体工作态度和道德观念有问题,以致进行违法活动的可能性。 (四)内部审计在部门风险管理中的协调作用 组织内部不仅有内部风险,还有各管理部门共同承担的综合风险。例如在货源基地建立投资企业是前几年外贸企业的惯常做法,在投资立项时财务部门要考虑财务融资风险,销售部门要考虑投产后产品是否有市场,人力资源部门要考虑是否有合适的人才对投资的企业进行有效管理。在投资立项审计中,内部审计师作为第三方,可协调各部门共同管理这一投资决策带来的风险。 三、企业风险管理活动实施内部审计时注意抓好五个要点#p#分页标题#e# 借鉴西方风险管理和内部审计理论成果及实务经验,研究我国企业的具体情况,对照国际内部审计师协会的要求,企业内部审计人应当对企业的风险管理活动实施定期审计,并注意抓好以下五个要点。 首先,应评估并认定企业的严重风险。例如,杜邦(DoPont)公司内部审计人利用战略经营机构网络进行全球性风险评估和认定。该公司有20个战略经营机构,分布在世界的6个地区。对于每个战略经营机构网络,杜邦公司的内部审计人都有一个战略经营机构网络,而且这6个地区性的审计部门都有一名小组领导和一名审计师。内部审计人的战略经营机构网络成员的主要任务是与所在地区的战略经营机构网络管理当局保持联系。通过被邀请参加由这些管理当局召集的关键员工会议和研讨会等活动,从中了解情况。再利用风险模型的分析结果,与这些管理当局讨论实际的风险情况。 其次,应认定企业的风险管理是否着眼于5个主要目标,并用充足的证据认定这5个风险管理目标是否得以实现,进而从总体上对风险管理的充分性发表意见。这5个主要目标是,找出业务战略与活动领域的风险并进行优先排序;管理当局和董事会的次级委员会已经确定了企业可以接受的风险水平,包括为实现机构的战略计划而接受的风险;设计、实施了降低风险活动,把风险降低在管理当局和董事会可以接受的水平上;开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险;董事会和管理当局定期收到风险管理活动的结果报告,企业定期向利益关系方传达风险、风险战略和控制情况。 第三,应认定风险管理措施是否符合本企业的文化、管理风格和工作目标。如果企业利用金融衍生工具,就必须使用定量的风险管理工具。规模小且不太复杂的企业,则可以通过非正式的风险管理委员会来讨论如何管理本企业的风险。 第四,应研究、评价风险管理方法的参考资料和背景信息,借此评价有关管理当局所实施的风险管理是否适当,是否达到了本行业风险管理的先进水平。 第五,如果管理当局尚未对某些重要风险采取管理措施,应提请其注意并提出对这些风险应如何管理的建议。由于风险遍布企业的各个领域,对已经发现的每个风险的管理有效性都进行审计,是内部审计资源和成本效益原则所不允许的,只能有重点地开展审计。而审计重点的确定,一般采用风险导向审计模式。常见的审计重点为战略目标的确定与落实风险管理、投资风险管理、虚拟企业风险管理、资源风险管理、信息系统风险管理、新产品开发风险管理、生产风险管理、营销风险管理、采购风险管理、政治与经济环境风险管理等领域。
