内部审计风险管理范文1
[摘要]近年来,风险管理已成为内部审计的重要领域。本文在阐述了风险、风险管理的涵义的基础上,对内部审计参与风险管理的动因、内部审计如何参与风险管理进行了探讨。
近年来,有些内部审计组织开始介入风险管理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,以至于国际内部审计师协会在1999年通过的内部审计的最新定义把评价和改善组织的风险管理和控制的有效性作为内部审计的主要。本文将对此进行阐述。
一、风险、风险管理
(一)风险、风险因素、风险事故和损失
风险是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性(赵曙明、杨钟,1998)。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中,要涉及到风险因素、风险事故和损失三个方面。
风险因素,是指能够引起或增加风险事件发生机会或损失的严重程度的因素。风险因素可分成三类:(1)物理因素,是指增加风险发生机会或损失严重程度的直接条件;(2)道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素;(3)心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素。
风险事故,是指在风险管理中直接或间接造成损失的事故,因此可以说它是损失的媒介物。
损失,是指非故意的、非计划的和非预期的价值的减少,通常以货币单位来衡量。损失分为直接损失和间接损失两种。直接损失是实质性的损失,间接损失则包括额外费用损失、收入损失和责任损失三种。额外费用损失措必须修理或重置而支出的费用;收入损失指由于该设备损毁以至无法生产成品而减少的利润;责任损失指由于过失或故意致使他人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。
对于风险因素、风险事故和损失之间的关系,有两种解释:一是亨利希(H.W.heinrich)的骨牌理论;二是哈同(W.Haddon)的能量释放论。他们都认为风险因素引发风险事故,而风险事故导致损失,但侧重点不同。前者强调三张骨牌之所以相继倾倒是由于人的错误所致。后者则认为之所以造成损失是由于事物所承受的能量超过其所能容纳的能量所致,物理因素起主要作用。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的成就而起来的一门新的管理科学。对什么是风险管理,一些学者提出了自己的看法,美国学者克里斯蒂(JamesC.Cristy)认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯(C.Arthur Williams.Jr.)和理查德。汉斯(Richard M.Heins)认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理;我国的陈佳贯认为,风险管理是企业通过对潜在意外或损失的识别、衡量和,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或效果;(3)风险管理是一种管理方法。
二、内部审计参与风险管理的动因
内部审计之所以涉足风险管理领域,主要有以下几个原因:
1、企业面临的风险日益增大
近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。
2、内部审计对的渴求
内部审计部门为了不断地发展,为了在中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
3、内部审计能够在风险管理中发挥独特的作用
内部审计在风险管理中的独特作用有三:
(1)能够客观地、从全局的角度管理风险
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过渡道德风险,因为风险不是由你们来承担(至少不是单独承担),如,采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗藏的风险会在生产车间或销售部门反映出来,最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
(3)内部审计部门的建议更易引起重视
有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
4、外部审计的
近年来,注册师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计部门和内部审计人员对企业面临的风险更了解;内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
三、内部审计如何参与风险管理
与一般的风险管理部门进行的风险管理相比,内部审计部门所进行的风险管理既与其有紧密的联系,又有区别。他们的联系表现在,两者的目的是统一的,都是为了降低企业的风险;两者的区别在于他们在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:(1)评估风险识别的充分性;(2)评价已有风险衡量的恰当性;(3)评估风险防范措施的充分性,并提出改进措施。
(一)评估风险识别的充分性
所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
(二)评价已有风险衡量的恰当性
风险衡量是指各种管理技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否信当,对不恰当的估计予以更正。采用的主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法、蒙特卡罗模拟方法等。
(三)评估风险防范措施的充分性,并提出改进措施
内部审计风险管理范文2
[关键词]风险导向内部审计;企业风险管理;联系
企业经营环境的不断变化,在成长发展和经营管理过程中的种种不适应都可能导致企业风险的发生。因此。企业必须根据自身特点、不同时期风险的不同状态,抓住重要环节和主要风险。围绕总体经营目标推行企业风险管理。同时,企业面临的风险不断增多,组织机构的重整愈加频繁。对内部审计在参与风险管理、完善治理结构以及加强内部控制等方面的需求也日益高涨。内部审计部门顺应时势,在越来越多的领域发挥着积极的审查、评价和促进作用,工作目标从过去的查错纠弊变为主动地帮助企业增加价值。此时,风险导向内部审计概念的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。而在风险管理实践中,一个机构健全的企业除设置内部审计部门外,往往还专门组建了一个由风险管理专业人员构成的部门,即风险管理职能部门。由于内部审计部门和风险管理职能部门都要关注企业所面临的风险,却又在企业推行风险管理实践中扮演不同的角色,故两部门在开展各自业务时工作职责虽有不同,但必然会有一定的交叉和联系。文章首先对风险导向内部审计在企业风险管理中的作用进行剖析,在此基础上,就内部审计部门在开展风险导向审计业务时如何与风险管理职能部门进行协调与联系进行探讨。
一、风险导向内部审计和企业风险管理的概念
风险导向审计是把风险为导向的思想运用到内部审计领域,即内部审计人员在审计全过程中自始至终地关注风险,根据风险大小选择项目,以降低风险为导向,开展内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,最终提出建设性意见和建议的审计方法。
而在企业风险管理方面,根据2004年9月颁布的ERM框架,“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”
二、实务中风险导向内部审计与企业风险管理的联系
风险导向内部审计既是基于降低内部审计人员的审计风险,同时又是为了降低企业经营风险、进行风险管理的一种有效工具。而企业开展风险管理目的也是全面识别企业风险并及时采取有效控制手段。两者有着十分紧密的联系,下面首先理清风险导向内部审计在企业风险管理中的作用。
(一)帮助企业直接有效地防范与规避风险
风险导向内部审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。在风险导向内部审计实施过程中,内部审计人员首先对企业的经营战略进行分析。确定战略风险和重大交易;之后通过定量和定性结合的方法,进而评价企业风险管理中风险衡量的准确性:最后通过专门程序,审查企业职能部门采取的措施是否已将风险控制在可接受的范围内。对于不同类型的风险,向决策层建议采取风险回避、风险转移、风险降低等不同的策略和措施,从而帮助企业直接有效规避和防范风险。
(二)促进企业不断完善风险管理制度
风险导向内部审计是一种系统、规范的方法,对企业的风险管理体系及其运作进行监督和评价。通过定量与定性相结合的方法,就改进管理控制风险向决策层提出具体可行的建议和措施,并对企业生产、经营、管理的体制和机制提出调整,将这些建议和措施系统化、规范化,最终形成企业新的规章制度,进而周而复始地循环,使企业风险管理制度不断完善。
(三)为企业强化和规范风险管理运行机制提供重要支持
风险导向内部审计是企业风险管理运行机制的重要一环。一方面,风险导向内部审计的特定内容和方法有助于全面地识别风险,强化和规范企业风险管理。另一方面,风险导向内部审计关注会计报告的重大错报风险,对企业所处的宏观经济社会环境和行业环境、企业战略目标进行深入地了解和综合评估,落实实质性测试的范围和重点,这些都为企业强化和规范风险管理运行机制提供了重要的支持。
企业风险管理职能部门的主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。反过来,内部审计也是内部控制或者整个风险管理过程中不可或缺的重要组成部分。它既是内部控制的一种特殊形式,也是实现内部控制目标的重要手段。现实中的一些企业,董事会往往下设审计委员会、风险管理委员会,企业内部审计部门对审计委员会负责,风险管理职能部门对风险管理委员会负责。企业其他职能部门及各业务单位在全面风险管理工作中,同时接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。
企业的风险管理职能部门所开展的风险管理实践可简要概括为四个步骤:第一步是风险识别;第二步是风险评估;第三步是风险应对;第四步是风险监察。而内部审计部门在开展风险导向审计业务时,相应的也要经过风险识别、评估、应对和监察阶段。其联系如图1所示。下面就各个阶段分别论述两部门的内在联系。
1 风险识别与评估阶段
根据ERM框架要求,企业风险管理职能部门在风险管理工作中,首先要识别出所有可能发生并对企业目标实现产生不利影响的重要情况;之后对风险发生的可能性及相对重大程度进行评估。而内部审计部门在开展风险导向内部审计业务时,首先要实施风险评估程序,通过分析性程序初步确定企业的风险,建立风险评估框架,对重要性做出初步判断并编制出整个审计计划;之后根据量化的风险水平确定审计项目的优先顺序,合理分配内部审计资源,目的是将有限的资源集中于高风险的领域,找出风险存在的根本原因,以寻求最好的解决方案。因此,内部审计人员为减少工作冗余,避免工作重复,可以先对风险管理职能部门的风险识别与评估报告的有效性和充分性进行审查和评价,并结合自身工作特点,有选择地加以利用。
2 风险应对阶段
在经过对企业风险的识别和评估后,企业风险管理职能部门都要对风险与收益进行权衡。当风险超出了企业的风险偏好,企业不能接受且无法经济有效地加以抑制,则须放弃该项目或计划,
从而避免风险带来的负面影响。对于大部分风险,需要企业采取一定的行动,转移或分散风险,以达到企业可接受的水平。为此。企业风险管理职能部门需要对风险进行控制。即将不可接受的“固有风险转化为可接受的“剩余风险”。而在内部审计部门开展风险导向内部审计业务时,内部审计人员通常要根据风险评估结果,设计与评估的重大错报风险相关联的、进一步的审计程序,开展控制测试与实质性测试,评估控制活动的有效性,使风险得以管理。由此可见,两部门都要在识别与评估风险之后,对重大风险及时做出回应,只是关注点和工作任务有所不同。风险管理职能部门需要根据企业总体目标,衡量风险的成本与收益,运用风险管理方法针对已评估的关键性风险予以控制。而风险导向内部审计要求内部审计人员运用审计抽样等技术,更加关注内部控制的测试与各个交易循环的实质性测试。
3 风险监察阶段
企业的生存发展是处在一个不断变化的竞争环境中的,故其所面临的风险也会不断变化,随时可能会有新的风险出现,也可能预期的风险会消失。根据ERM框架,风险管理职能部门要对风险进行监察,并根据风险变化情况及时采取相应策略进行风险管理。而在开展风险导向审计业务时,出具最终审计报告之后,内部审计人员还要进行后续的风险监控。一是为检查风险管理的效果,通常要开展跟踪审计活动,对需要管理层或风险管理职能部门马上采取纠正措施的事项进行适当的监督,以保证实现业务目标。降低组织风险;二是要对审计业务开始时所进行的风险评估结果持续关注,根据企业不断变化的内、外部环境随时进行调整,以帮助日后制定审计计划,确定审计重点。可见,两部门在风险监察阶段,都要对企业所面临的风险进行不断地监督。在实务操作中,两部门可以针对各自的工作侧重点,相互配合,紧密合作。
三、实务中风险导向审计业务与企业风险管理的协调
通过分析实务中内部审计部门在开展风险导向内部审计业务时与企业风险管理职能部门的联系,可知,无论是风险导向内部审计业务,还是风险管理部门进行风险管理实践,其根本目标都是为降低企业风险,维护企业利益,为企业的总体战略目标而服务。因此,内部审计部门在开展风险导向审计业务时需注意与风险管理职能部门及时协调、相互配合,最终形成合力,共同为企业服务。
(一)加强部门间合作,有效减少工作冗余
风险导向内部审计之所以要将审计资源集中于高风险的审计领域,对高风险点进行详细的实质性测试,原因在于审计资源是有限的,必须要将其优先使用在高风险领域,这也是它的本质要求。而企业风险管理职能部门的主要职责就是识别企业所面临的各种风险,并运用不同的风险管理策略开展风险控制活动,故内部审计部门在开展风险导向审计业务时,应充分考虑与风险管理部门的合作,积极应用风险管理部门的工作成果和专业意见,注意与其协调。以提高审计业务工作效率、完善审计工作成果。例如,风险管理部门每年组织开展的风险识别和评估可以帮助管理层识别想要实现组织目标所应关注的领域,在开展风险导向审计时,可以对此类信息有选择地加以利用,从而确认高风险领域,进而确定审计重点。此外,风险导向内部审计和企业风险管理根本目标都是要将企业所面临的风险降到最低,维护企业合法利益,故在很多时候,对某些重大风险领域,部门间应加强合作、联合调查。内部审计部门根据风险管理部门提供的风险评估报告进行进一步地分析复核,通过采取控制测试和实质性测试等程序来最终确定风险大小以及所带来的损失;之后。风险管理部门再根据内部审计部门最终出具的审计报告针对风险因素采取相应的措施。这样可以更加有针对性地对风险进行控制,从而将其降低到企业可接受的水平。
(二)要注意结合本部门工作特点对所取得的资料进行分析复核
虽然已经说明内部审计部门在开展风险导向内部审计业务时可以积极应用风险管理职能部门的专业成果,如其每年的风险评估报告,但必须强调的是,内部审计部门在应用其工作成果时必须要对其进行分析复核。对资料有选择地使用。因为风险导向内部审计最本质的要求是内部审计人员对企业的高风险领域进行识别和分析,进而采取有效的控制,而企业的风险多种多样,且随时随刻变化,风险管理职能部门有时难免由于某些原因导致其未能准确地识别企业的某一高风险点。这时如果内部审计部门在开展风险导向审计业务时也没有对其关注,即企业的风险识别出现了“盲点”,则很可能对企业的发展产生极大的冲击。这样,内部审计部门所开展的风险导向审计业务也就没能充分发挥其审计监督的作用。因此,在开展风险导向审计业务时,提倡借鉴风险导向职能部门的工作成果,减少工作冗余,但内部审计人员一定要对其工作成果进行再审查、再评估。
(三)分清职责,到位不越位
首先需要认清风险管理是管理层一项主要职责,通常由企业的风险管理职能部门具体负责实施,而对组织的风险管理过程进行评估和报告才是内部审计部门的工作内容。在企业风险管理框架下,内部审计是对风险管理的再管理,即内部审计人员并不参与风险管理的建立和运行过程,而是在企业已有风险管理的基础上实施再监督,以促进风险管理过程的建立健全或使风险管理的有效性成为可能,但是。不应该“拥有”已确认的风险或负责对这些风险的管理。风险管理的建立和运行过程应由管理层下设置的风险管理部具体负责,而内部审计在这一框架中应作为“监控活动”的角色而存在。此外,IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证。以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理框架中首要角色是监督者。包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,而不是风险管理的创建者或实施者。在开展风险导向内部审计中,内部审计人员一定要在协调、合作的同时分清职责,到位不越位。
(四)交流沟通,促进双方共同进步
内部审计部门所开展的审计业务几乎都是以风险为导向。将有限的审计资源集中到高风险领域,而企业的风险管理职能部门又对企业的风险因素进行专业化的识别、评估、控制和监察。因此,及时建立两个部门之间的交流、沟通机制,促进双方共同进步。可以更加有效地为企业总体战略目标服务。在具体实施过程中,两部门可以通过开展集中讨论会、建立风险信息库等方式进行相互交流。而且。两部门工作所需的知识结构也存在互补关系,可以互相学习。内部审计人员通过学习风险管理知识,可以更加专业地识别和评估企业风险因素,从而更有侧重地设计审计程序;而风险管理部门学习审计知识,也能够了解风险导向审计工作的重点。从而相互配合,减少重复工作,确保风险管理活动的经济性和有效性。
[参考文献]
[1]吴容,风险导向整合型内部审计模式探究[J],中国内部审计,2009(9)
[2]王学龙,郝斯佳,论风险导向型内部审计在企业风险管理中的作用[J],中国内部审计,2010(2)
[3]中国内部审计协会,内部审计在治理、风险和控制中的作用[M],西苑出版社,2008
内部审计风险管理范文3
关键词:会计风险管理工作;方法;内部审计
伴随着全球经济化的趋势,世界经济呈现出多元化的发展趋势,我国企业面临的外部风险和内部风险愈来愈多。要使得企业在国际全球化的趋势中能够有一席之地,就应该做好企业的风险预算工作,深入加强企业内部审计工作和风险预算工作,才能够促进企业的发展,从而使得企业能够可持续的健康发展。但是企业在做会计风险管理工作过程中存在许多不确定因素导致的问题,这就需要企业做好风险管理工作,需要提出切实有效的解救方法,从而使得企业的风险管理水平和效率提高,最终使得企业更好更快发展。
一、企业内部会计审计风险管理
(一)风险识别
在企业的会计审计风险管理工作的过程中,首先要做的是正确清晰认识企业内部会计风险。一般而言,企业内部的审计工作人员主要的审计工作重点是企业财务与运营情况的真实有效性,资源浪费程度风险,国家政策执行情况,企业固有资产流失现象。与此同时,在企业审计工作的具体进行过程中,应该做到这些方面,企业内部体系现状的实时更新,经济发展过程中企业新发现的风险情况,企业实际审计过程中情况分析,在做好的基础上再具体结合企业的实际情况,提出适合自身企业的有效措施。这样便可以在企业内部审计风险管理工作的进行中,发现遇到的情况并针对该情况做出合理的解决。
(二)企业内部合理管理
企业在运营过程中,企业内部审计风险部门具有一定的协调管理功能,在企业内部审计工作和内部风险管理过程中发挥重要的作用。一方面的作用体现在企业内部审计部门站在专业的角度分析,能够客观的对企业内部管理工作提出更好的建议,并提出具体的预防措施和整改方向,另一方面,通过对企业内部的发展方向的企业内部风险管理状态的分析,来促进企业内部审计管理工作的进一步完善。在企业的各个部门中,内部审计部门能够降低企业的投资风险和做好企业内部的协调发展工作。
(三)企业管理咨询工作
在企业对内部审计工作进行过程中,也需要做好会计风险管理方面的工作,企业内部审计部门通过对企业的发展进行全面和系统的认识,来落实企业内部员工的具体工作。因此,企业内部审计部门拥有特殊的咨询服务功能,能够对内部风险管理工作进行整改,并提出切实有效的风险方法。
二、企业内部审计会计风险管理存在的问题
(一)不完善的内部审计体制
在做企业内部审计工作时,可以通过企业内部审计评估制度来对内部管理工作以及管理效果进行评估。但是,由于我国不完善的企业内部审计制度,将致使企业内部管理评估缺乏支持。在企业具体的审计工作中,审计工作人员往往通过企业自身制定的审计评估制度来进行评估,可能导致企业审计管理工作评估标准的不同。此外,在企业内部对内部审计工作的执行情况方面,有局限性,由于对自身企业内部情况没有完全掌握,致使企业内部审计工作难度增大和审计风险预算不准确,从而将会制约企业的发展空间。
(二)缺乏准确的审计目标
由于我国针对企业内部审计工作的标准不统一,这导致了在开展企业内部审计工作时,没有确定的审计对象和审计标准,更有甚者,没有深入了解审计企业内部控制工作,致使存在很多的问题。在对企业进行审计工作时,要明确一个概念,那就是企业内部审计工作并不是简单的核对企业账本工作,还要做好对企业内部情况的全面了解,否则就不能顺利完成企业审计工作,也不能使得企业顺利发展,更不能使企业适应全球化的经济变化过程,最终可能导致企业无法正常运转。因此,要想提高企业内部审计工作的工作效率和效果,做好企业内部情况了解必不可少。
(三)缺少对企业内部审计的了解
企业在运营过程中,注重的是企业经营情况和收入效益,可能会存在对企业内部审计工作的疏忽或者忽视,导致企业内部审计工作不能落实,不能有效执行,将会导致审计工作的停滞。在另外一个角度,企业内部审计工作需要独立于企业的其他方面,但是由于企业错综复杂的部门和关系网络,导致一些企业非审计管理人员对企业内部审计工作的干预,致使企业审计的独立性的缺失,不能准确的了解企业内部情况,就不能使审计部门发挥职能,不能做好企业审计管理工作。
(四)企业内部审计方式的落后
在我国,由于缺乏相对健全的标准,导致了企业的审计工作的落后,部分地区的审计方法已经不能适应当前的快速发展的经济,应该做出大的改变。通过了解发现大多数的内部审计人员是在20世纪的统一培训下的会计人员,虽然具有正规学历,但是缺乏工作经验,并且从前的岗位培训只能够适应以前的社会经济形式,现代社会经济发展瞬息万变,以前的审计人员不能够满足现代审计工作的需求,急需培养出一批新型的审计人员或者在原人员的基础上进行进一步的培训,来适应当前社会的经济发展。审计人员由于不能适应现代经济发展的进程,再加上缺少工作经验、缺乏基本的现代经济审计工作技能、不能熟练掌握会计报表等情况,最终导致企业内部审计工作不能高效进行,使得企业的发展受到制约。
三、企业内部审计工作问题的解决方法
(一)建立完善的企业内部会计风险评估制度
在做好企业内部会计风险管理工作过程中,要做好企业的风险评估和风险控制,可以通过以下两部分来具体落实,一方面是加快建设企业内部会计风险评估体制,针对自身企业实际情况,制定出适合企业发展的科学的措施,来加强企业会计风险管理工作。在对企业内部审计工作进行分析时,要从企业内部和企业外面两方面去分析,找到存在的具体问题,并结合实际情况制定一系列的解决措施。第二个方面,加快企业内部风险管理工作的进行。在对企业内部进行审计工作时加强全面企业的风险管理工作,得出完善的措施,来加强企业审计工作的管理。此外,还可以通过制定应急处理方案,来解决工作中的紧急情况,避免紧急情况的发生,提高企业审计管理工作的效率。
(二)加强企业内部审计工作
在企业内部审计工作进行的过程中,以增大审计工作范围和增强审计工作氛围为主要工作重点。在工作中要做到加快制度建设工作和落实企业人员市场工作能力,从而营造出好的企业文化,使得企业员工能够增强对内部管理工作的控制。对于内部审计工作人员来说,通过培训新的现代化审计人员和对老审计人员的培训,来加强审计人员的工作水平和业务能力,要使得审计人员内心存在一种良好的审计工作观念,落实具体的工作,加强企业内部审计工作的管理,使得企业有序的发展。
(三)加强企业对审计工作的认知
在企业内部运营管理进行过程中,管理人员往往只重视企业的利益方面,缺乏对管理工作的认识,也缺乏对企业内部审计工作的认识,很难保证具体工作的进行。在进行管理工作的同时也要保证企业内部审计工作独立性的特性,通过合适的审计机构来确保企业内部审计工作的合理进行,来完善企业内部会计管理工作。
四、结语
通过以上文章的内容,可以很清楚的发现,企业内部的会计风险管理工作是企业运营发展过程中的重要部分,是企业管理的基础部分之一,始终存在整个企业管理工作中,应该高度重视。通过收入了解企业内部审计工作的特点来增强对企业内部审计管理工作的认识,使得企业内部审计机制不断完善,企业内部会计风险评估机制也趋于完善,增强企业内部管理人员对企业的控制,增强现代信息化企业建设工作,降低企业内部会计管理工作的风险,为企业的长久发展做好铺垫工作,使得企业建设工作拥有更坚实的基础。
作者:董 雯 董春英 单位:大连易才人力资源顾问有限公司 安徽淮北煤电技师学院
参考文献:
[1]张锐.浅谈内部审计特征对内部控制质量的影响[J].财会学习,2017(04).
内部审计风险管理范文4
关键词:内部审计 现代企业 风险管理
中图分类号:F239.45 文献标识码:A
文章编号:1004-4914(2010)08-256-02
随着经济全球化及国际化程度的加深,企业经营环境日趋复杂,经营风险大为增加。企业、行业之间的竞争日益加剧,如何防范风险,加强风险管理,已成为企业经营者面临的重要课题,建立和完善风险管理体系已成为企业生存发展的重要而紧迫的任务。作为内部审计,由于其在企业董事会及其审计委员会和加强企业内部控制的特殊性,在风险管理、内部控制以及公司治理、组织运营中的地位与作用日趋突出,成为关系企业成败兴衰的重要因素。内部审计具有相对独立性,更能从企业全局角度,清醒识别与评估风险,比外部审计更能切实地提出防范风险的有效建议。本文从内部审计参与企业全面风险管理的几个方面进行探讨。
一、内部审计参与企业风险管理定位概述
1.内部审计是组织内部的一种独立客观的监督和评价活动,通过审查和评价经营活动及内部控制的适当性、合法性和有效性,来促进组织目标的实现。
2.风险管理是对影响到策略或目标达成的风险进行辨识、分析,并作出应对和决定愿意接受的风险程度。企业风险管理是一个过程,决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确地评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
3.企业对于风险的管理应该从总体上来考虑。风险管理部门是企业的专职部门,隶属于管理部门,独立性不够强,而现代企业中的内部审计部门独立于管理部门,可以更独立地对风险进行评估,并将建议直接报送董事会,所以提出的建议会更有权威性。因此内部审计随着我国企业风险管理规范的逐步完善,参与企业风险管理已经成为趋势,二者的有效融合使企业能够有效地应对不确定性以及由此带来的风险和机会,增强企业创造价值能力。
二、内部审计参与企业风险管理的现状
当前,内审部门的作用还仅仅停留在查错防弊,集中在财务领域中,未有效深入到管理和经营领域,只强调确认和测试控制完整性,而不重视强调确认和测试风险是否得到有效管理。审计建议侧重于强化控制、提高控制效率和效果,很少涉及规避风险、转移风险和控制风险,内部审计无法做到通过有效的风险管理,提高企业整体管理效率和效果。
企业对企业风险管理的认识,不全面,不深入,没有形成较系统的风险管理体系和科学的风险管理策略。管理层对风险管理工作的滞后和不正确的认识严重影响了企业的长远发展和战略目标的实现。
风险管理机制需要内部审计参与到管理及经营中,进行全面、及时的接触、交流和沟通,有效开展风险管理审计。
三、内部审计参与企业风险管理的发展趋势
1.内部审计部门自身发展的需要。由股东投资形成的企业资产的受托责任,向来就是重要的审计问题。对出资人负责必然导致企业风险的大小成为所要关注的重要信息,对风险管理进行审计成了必不可少的内容。
内部审计通过参与风险管理,可以全面评估企业的机会和风险,甚至可以在董事会允许的情况下制定风险管理战略,这样就会使内部审计部门从传统的被动服务方式向主动服务方式转变,进而使内部审计部门成为企业中的一个重要的角色。
由于内部审计部门更熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等,对于参与风险管理、实现企业目标会有更强烈的责任感,这些差异会弥补其在经验上的不足。因此,内部审计部门更适合参与本企业的风险管理。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
2.现代企业内部控制建设的需要。随着经济全球化及国际化程度的加深,企业面临的经营风险大大增加。减少企业面临的风险是组织实现目标的关键。没有良好的激励、约束机制,没有健全的公司治理结构,不仅使企业生存危机加重,也会使审计风险增大。内部审计作为企业内置的一个职能部门,必然应当成为企业风险管理的有效组成部分,风险管理审计会从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全,关键的控制点、执行是否有效,控制薄弱环节的治理和改进措施的可行性等提出认定,评价风险管理与控制对企业目标实现的影响程度。
四、内部审计参与企业风险管理的作用分析
1.检查与评价。内部审计可以通过运用风险管理方法,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层或审计委员会提供帮助。其中包括确定风险领域,评价风险控制程序的有效性,检查风险管理过程的效果。
2.管理与协调。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,清醒地识别和评价风险,提出防范风险的有效建议。内部审计可以凭着其对组织全面而深入的了解,对风险管理过程进行管理和协调,促进被审计部门经营和管理的改善,赢得他们的信任和尊重。
3.顾问与咨询。由于内部审计人员对本组织的情况最为熟悉,对其提供咨询有独特的优势。内部审计可以通过发现评估并运用风险管理的方法,帮助组织解决风险问题,通过咨询积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能。内部审计可以在改善管理层的风险管理流程的效果和效率方面,协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。
4.报告与防范。审计发现如何传递,审计成果如何利用,舞弊风险如何防范,所有这一切将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。一方面,内部审计要与相关部门进行沟通,对风险管理过程的充分性和有效性进行检查、评价并报告,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;另一方面,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
五、内部审计参与企业风险管理的流程
风险环境分析。通过评价企业的发展战略、经营计划以及宏观经济政策的变化和行业政策的变化等到影响企业的经营风险、财务风险,内部审计人员作出风险分析,并进一步考虑企业的风险管理措施能否适应形势,同时将分析的结果报送相关部门。
风险确认。风险确认就是在各种风险发生之前对这些风险的类型及发生的原因作出判断,以便实现对风险的估价和处理。内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出这些风险的原因。要区别不同情形,不仅关注企业内部风险,还要充分考虑企业外部风险。比如:财务和经营信息的不真实、不完整;各种规章制度及标准执行不到位;资产流失、浪费;影响企业的战略重组等,这些都要经过仔细甄别,按照风险水平得到有序确认。
风险评估。风险评估就是对已识别的风险事件进行定性分析或定量分析,来评价某一事件发生的可能性以及产生的影响。很多情形下的风险是不容易计量的,它可以采用概率和统计的方法进行风险估价,也需要主观判断不同结果发生的可能性,这就要求审计人员需要利用自己的经验,从客观的角度分析评价风险,进而提出专业的意见。
风险控制。风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业正常的生产经营。企业可以根据不同的风险来选择要采取的策略和方法,决定应该避免风险、接受风险还是降低风险。内部审计人员可以通过评价风险回报的合理性以及减少风险的有效性,来测试企业风险控制程序的有效性,并提出建议和改进措施,将风险降低至可以接受的水平。
风险监控。环境的变化会导致风险的变动,企业通过对内部控制系统运行的监控以及风险处理结果的评价,对风险管理进行持续的监控,保证风险管理的持续有效。内部审计人员通过对新的环境和风险的分析,来评价企业内部控制制度是否适应新的风险。
信息沟通。内部审计部门还需要将风险管理的相关信息及时告知管理层和相关部门及组织,通过信息的传递,可以使董事会和审计委员会等监督者了解风险管理的情况,使内部相关部门意识到存在的问题以及改进的方法,使外部相关利益主体对企业的风险管理产生信任。
六、内部审计参与企业风险管理的具体思路
1.明确内部审计的定位。实践中,企业应当将内部审计部门参与风险管理写入内部审计的章程,以正式的书面文件来进行规定,并得到企业高层的批准,就会使内部审计部门有了一个崭新的定位,新的定位有利于内部审计部门参与企业风险管理,进而提供独立的建议和评价。
2.营造良好的风险管理审计环境。要想有一个良好的风险管理审计环境,首先要求建立健全风险管理审计制度体系。制度体系的健全和完善,是降低审计风险的关键。企业应树立全面风险管理的新理念,根据自身情况制定符合自身特点的风险管理评价标准体系,规范管理部门、经营部门业务流程责任人的监督行为,在实际运用中还应进一步改进、深化风险管理审计的内容,并随着企业内外环境的变化而作出相应调整,持续不断地保证营造良好的风险管理审计环境。
3.内部审计应向风险导向内部审计方向发展。根据国际内部审计协会对内部审计的最新定义,内部审计是通过评估和改善组织的风险管理和控制的效果,为组织增加价值、促进其实现目标的。传统的控制导向的内部审计已经远远不能满足需要,现代内部审计除了关注传统的内部控制之外,更关注有效的风险管理机制和健全的公司治理结构。在风险导向为基础的内部审计观念下,年度审计计划与管理最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,分析、确认、揭示关键性的经营风险,成为内部审计的焦点。通过实现从“控制导向型”向“风险导向型”的转变,特别关注企业重大风险并且控制薄弱的领域,以此来加强风险管理与内部控制。进一步通过对风险的把握来评价企业风险管理和内部控制,提高整体管理效率和效果。
4.增强审计风险意识,建立健全审计内控管理制度。加强审计风险理论体系的研究,强化审计风险教育,增强审计风险意识。首先,审计机构和审计人员主观上必须高度树立风险意识,审计计划的安排要以风险导向为基础,要以满足审计质量要求为前提。其次,要建立健全审计内控管理制度。良好的审计内控管理制度是降低审计风险的有效保证。审计内控应贯穿企业风险管理审计的全过程,即从风险管理审计立项到审计终结,形成一个比较全面的审计质量保障体系,从制度上规范审计主体的行为。出台具体的风险管理审计操作规定,指导审计人员规范操作。实行审计资料承诺制、审计复核稽查制和审计责任追究制等到内控管理制度,尽力规避审计风险。此外,内部审计还应借鉴当前国际上先进的内部控制研究的经验,对机构的内部控制进行有效监督,不断改善企业的内部控制制度,为企业开展风险管理奠定良好的基础。
5.创新风险审计技术和方法。先进的审计技术和方法的运用,有利于提高审计效率,保证审计质量。针对企业风险管理审计有别于常规的财务收支审计,因此要加大审计技术方法的创新力度,建立与风险管理审计相适应的现代审计技术和方法体系,强化以电子计算机技术为核心的现代技术与方法在风险管理审计中的应用,以审计方法的高技术含量达到提高审计质量、防范与降低审计风险的目的。
6.培养、造就一批胜任审计工作的审计人员。审计人员的审计工作扩展到风险管理审计,审计范围拓宽了,风险管理工作的复杂性决定了内部审计人员知识的全面性。所以,企业开展风险管理审计在很大程度上取决于审计人员职业道德素质的高低,具有良好素质和技能的审计人员能够较好地完成审计任务,降低审计风险。审计人员应当强化风险意识,保持较高的职业道德水准,树立严谨踏实的工作作风,以确保审计质量;审计人员还要定期接受培训,只有不断更新知识,提高分析、判断、解决问题的能力,才能保证审计工作质量和审计工作效率。
参考文献:
1.王晓霞.企业风险审计.中国时代经济出版社,2005
2.罗秀然.企业内部审计职能探究.审计文汇,2006(9)
3.孟英姿.内部审计在企业风险管理中的角色定位.集团经济研究,2006(9Z)
4.刘秀梅.浅议单位内部审计与风险管理.商业会计.2006(5)
5.王亚琴.内部审计参与企业风险管理研究.当代经理人,2006(11)
6.松岩.强化内部审计,完善公司治理.财会通讯,2004(10)
内部审计风险管理范文5
关键词:内部审计 企业风险管理
现阶段,我国的社会经济发展已经逐渐步入了“新常态”,从增长速度上来看,已经从高速增长转变为了中高速增长;从发展方式层面出发,已经从依靠资源要素以及投资驱动转变为了创新驱动。目前的经济发展“新常态”促进了企业管理工作的“新常态”,内部审计作为现代企业管理的重要组成部分,应找准与现代企业管理的结合点,积极主动适应经济发展新常态。随着内外部环境变化,企业经营环境变得日趋复杂,各种风险日益增多,正确认识风险和风险管理的意义,寻找风险管理的有效途径,帮助企业及时、有效地预防和应对风险,是推进内部审计工作创新发展的途径之一。本文从内部审计参与企业风险管理的意义出发,指出内部审计参与企业风险管理的途径和方法,并进一步探讨了内部审计与风险管理结合在企业中的应用和实践。
一、企业风险管理的概念
2004年9月,美国COSO委员会在《内部控制整合框架》的基础上扩展形成了《企业风险管理整合框架》(COSO-ERM),为现代化企业风险管理工作提供了一个相对全面的指南。基于COSO框架,企业风险管理主要是由企业中的董事会、管理人员以及其他工作人员在计划方案制定的时候以及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织目标的实现提供合理保证的过程。
二、内部审计参与企业风险管理的意义
从企业内部管理来看,内部审计是企业风险管理中的关键性组成部分,充分发挥着提升风险管理水平的重任;从内部审计发展进程来看,参与企业风险管理逐渐发展为内部审计工作的专业化发展方向与业务拓展的主战场。此外,内部审计工作作为企业内部有着相对超脱以及独立身份的专业化机构,能以更加全面、深刻和专业的视角仔细观察分析以及评价企业发展期间所面临的多种内部风险因素与外部风险因素。内部审计可以充当现代化企业风险控制管理的最后屏障,发挥安全网的作用。具体来说,内部审计不仅能够凭借监督身份实施独立性企业风险评估,而且还能够凭借服务职能上的优势全面参与到相应的风险管理建设中去,最终实现内部审计工作健康发展以及大胆创新,从根本上提升审计地位。此外,风险管理方面的专业化理论与实践的发展同样可以促进企业内部审计在价值层面的保值增值,创造更大的业务空间以及发展平台,实现内部审计逐渐从传统财务向非财务领域的科学化过渡发展。
三、内部审计参与企业风险管理的途径和方法
(一)协调组织风险管理决策
内部审计在企业中具有的独特组织地位,大多数企业的内部审计分布于各个组织系统和各个基层单位的内部,对企业的业务接触全面,能够在企业企业风险管理以及改进等环节发挥组织协调的作用。其次,内部审计人员跟其他具体的业务职能人员相比,更能避免逆向利益驱动、环境影响、反道德行为等可能导致风险管理失效或不彻底等情况的发生,有助于其发表专业、客观的意见,协助设计和实施企业风险管理。再次,内部审计可以协助企业中的不同部门对各种风险进行不断完善,制定出合理化的处置方案,致力于优化企业的风险应对措施,日益完善风险防范管理方案,从根本上减少由于风险而造成的企业损失。但是,内部审计执行协调角色职能时,应避免承担相应的管理职责,且不能因协调业务而损害其独立性。
(二)提供咨询服务
内部审计针对企业风险管理开展咨询业务的深入程度取决于企业风险管理的成熟度。当企业尚未建立全面风险管理框架时,内部审计应该作为企业风险管理的推动者,将企业风险管理的意识引入到企业文化当中,从而使每个岗位上的员工都形成风险意识。当企业逐步建立全面风险管理框架时,内部审计人员应充分发挥自身具备的全局视野和专业技能,适时根据企业战略目标、经营策略的调整以及自身财务知识结构、所处外部经济环境的变化,不间断地改进和完善企业风险管控的组织结构和业务流程,使之能持续符合企业的风险承受能力,为企业长期发展保驾护航。此外,需要引起注意的是,当内部审计机构开展咨询服务工作的时候,必须要充分考虑自身的专业化胜任能力。具体来说,内部审计的相关工作人员必须要有着相对较强的风险管理知识以及操作技能,而且应经过专业化培训教育,可以清楚了解风险识别情况、风险评估情况、风险监控情况等。
(三)评价企业风险管理过程
内部审计应从以下几个方面对企业风险管理过程进行评价:一是评价企业风险管理组织结构是否充分、适当和有效,对于其设计和运行存在的缺陷和不足提出针对性改进措施,充分发挥内部审计的咨询职能,使风险管理组织结构更具有合理性。二是在熟悉企业战略目标和经营业务的基础上,针对不同项具体评价其风险识别是否全面,风险等级划分是否合理。
(四)跟踪风险控制活动
从实际操作来说, 企业风险管理框架的执行远比框架的设计重要,一个设计完美的管理框架可能因判断错误、执行人的胜任能力和内外部境变化等因素而失去其应有的作用。因此,内部审计人员应当对风险所处环境及其他相关因素开展持续性监测和分析,动态关注企业风险监控体系是否健全及执行效果,也可以通过对内部审计揭示披露风险或问题的处理情况开展后续跟踪检查,检查所实行的控制措施是否及时有效或产生新的风险,并将检查结果及建议提供给企业管理层以便改进风险控制措施。
四、内部审计与企业风险管理结合在企业的应用和实践
根据国资委《中央企业全面风险管理指引》以及《关于2012年中央企业开展全面风险管理工作有关事项的通知》要求,中国铁路总公司及其所属铁路局已经在探索如何将内部审计与企业风险管理进行有益的结合,并针对高风险领域及管理层关注的问题开展了一系列专项审计和调查,提高了内审的效率和效果,也证明了与企业风险管理的整合是内部审计发展的主要方向之一。例如,中国铁路总公司对铁路基建项目建设情况进行跟踪审计,就工程的立项、预算、招标、合同、实施、验工计价、验收、竣算、付款等各环节进行审计,对发现的问题及时提出管理建议并协助整改,保证了工程项目优质高效快速的建成;南昌铁路局内部审计部门根据与企业风险管理战略目标匹配的业务重点,开展了全局非运输企业物资贸易经营风险防控管理情况、职工保障性住房建设资金管理情况等专项审计,为管理层的后续决策提供了依据,促进了企业风险管理的持续改进。这些专项审计和调查对现阶段国有企业内部审计工作的开展无疑有着很好的示范作用,但是铁路企业因其特殊的历史原因和体制问题,长期以来将安全风险管理作为企业风险管理的主要目标,缺乏将战略风险、财务风险、市场风险、运营风险和法律风险整合的全面风险管理体系,还处于风险管理的初级阶段,不够系统和规范。笔者尝试根据企业风险管理流程,设计了风险管理基础审计的一般程序,希望能起到抛砖引玉的作用。
(一)计划阶段
内部审计部门制定年度审计计划时,应对识别出的风险事件评估后进行风险排序,确定审计先后次序。审计计划制定后并非一成不变,当管理层的目标、方针和关注点发生变化时,应对审计计划进行适时调整,重新分配审计资源。其次,在执行审计业务计划的过程中,如果出现内部审计资源不足或审计范围受到限制的情况,内部审计部门负责人应及时向企业管理层报告,以避免无法获取充分、适当的审计证据,导致审计结果出现偏差。
(二)准备阶段
风险管理审计的准备阶段是进行风险管理审计的基础,这一阶段所需进行的准备工作主要包括:了解企业的风险偏好和战略目标、业务层面目标的风险承受度;在审计业务范围内实施初步调查后,确定审计目标和审计领域相关风险、控制程度及可利用的内审资源;审计方法的选择等。
(三)实施阶段
1、根据审计范围选取合适的风险评价标准
内部审计人员在选取风险评价标准时,应考虑该风险评价标准是否符合被审计单位的实际情况;是否涵盖大部分的风险领域;风险特征是否鲜明清晰,对环境的变化是否具有弹性。
2、对审计范围内的风险进行分析和评价
内部审计人员结合企业经营战略制定和部署,采取定量分析与定性分析相结合的方法对风险实施综合性评估。通常情况下,风险评估坐标图属于相对常见的分析方法,属于定性分析法,主要是借助对风险带来影响大小的反映,将此结论与风险可能出现的情况进行密切关联,从根本上为明确业务风险次序提供合理化框架。定量分析方法则可以通过采集足够多的风险样本,利用专业工具和技术建立概率模型量化风险来确定风险评级;再按照初始设定的影响程度和可能性估值,计算风险评分,将评分较高的风险列作主要风险,评分较低的风险列作次要风险,然后对风险进行优先次序的排列。
3、对风险应对措施进行评价
在确定了风险的范围、发生的可能性、可能造成的损失等因素后,是否正确地选择了风险应对策略,最大限度地降风险是内部审计人员的重点关注点。风险应对策略一般来说有规避、控制、转移、承受四种,每种策略的使用是有条件的,否则将认为措施不当。内部审计人员应结合被审计单位的风险偏好、企业所处的环境特征、风险程度以及企业管理人员的经验等,来判断企业风险应对措施选取是否适当。
4、对风险管理框架进行评价
内部审计部门应在众多单项风险评估的基础上,评价企业风险管理框架的充分性和运行的有效性。包括:评价风险控制体系所具有的有效性特点,也就是说风险控制体系的应用是否可以获得相应的预期效果,最终实现预期的实际控制目标;科学评价风险控制体系是否存在重大差异和缺陷,发现后是否及时进行了纠正或改进。
(四)报告阶段
风险管理审计报告就是内部审计的工作人员针对审计过程中所发现的相应风险水平以及对于组织目标所产生的影响作出的评价结论和控制过程评价报告,除具备内部审计报告的要素外,还应简明易懂、有建设性意见。可以三种形式发表评价结论:一是无保留意见,即经过审计没有发现风险管理体系存在普遍的相对严重的薄弱环节;二是保留意见,也就是审计可以发现风险管理体系当中存在的相关管理漏洞或者是薄弱环节,然而整体上是不至于失效的;三是否定意见,也就是风险管理体系有重大漏洞或严重的薄弱环节,风险管理体系整体上作用很小甚至失效。
(五)审计后续阶段
内部审计部门应对审计结果进行跟踪检查,监督管理层已采取有效措施,确保审计建议能够得到有效落实;或管理层针对审计中发现的问题,决定接受不采取行动所带来的风险。
参考文献:
[1]内部审计在治理、风险和控制中的作用[M].西苑出版社,2008年
[2]中央企业全面风险管理指引,2004年
内部审计风险管理范文6
关键词:风险;风险管理;内部审计
中图分类号:F830文献标识码:A文章编号:1672-3309(2008)0203-0055-05
一、引言
自从英国巴林银行、美国安然公司、世通公司等相继暴露出财务丑闻后,更多人意识到,公司治理的问题很多出自高层管理者、总经理身上,董事会质疑能力薄弱;管理当局在风险管理方面没有能做到预先防范,风险的控制严重失效。除了对管理层的质疑外,内部审计没有能做到及时评估及改善组织风险管理、控制及治理相关流程,其在组织中的作用也受到了质疑。美国在很短时间内出台的萨班斯法案指出,董事会、高层管理者、外部审计师和内部审计师作为有效公司治理的基石,成为展开公司治理、内部控制必须职责的重要组成部分;COSO组织在2004年了《企业风险管理框架》,表明从内部控制走向全面风险管理是必然趋势。IIA 针对其的以《全面风险管理的内部审计角色》为题的职位说明书指出,为风险管理提供保证、确保风险得到正确评估、评价风险管理流程等是内部审计须具有的核心职能。
在我国,随着中行、建行等国有银行多次重大的贷款舞弊以及新加坡中航油破产案件的发生,如何加强中国企业的全面风险管理也成为国人关注的热点。我国内部审计协会于2005年3月了《内部审计具体准则第16号――风险管理审计》,于2005年5月1日起施行。国务院国资委2006年6月20日公布了《中央企业全面风险管理指引》。上证所和深交所与2006年6月及9月份分别公布了《上市公司内部控制指引》,从而明确了内部控制在公司治理中的地位。从规章制度出台的紧凑程度看,我国在制度的层面上已经开始重视风险管理对企业的作用。但是目前的情况是大多数企业未设专门的风险管理机构及人员;企业内部审计主要属于财务导向内部审计,管理审计包括风险管理审计尚未与公司治理相结合,成为公司治理的有机部分。
二、风险、风险管理与风险管理审计
对风险有开拓性研究的是美国经济学家弗兰克・奈特,他在1921年出版的《风险,不确定性和利润》中对风险作了经典的定义――“可测定的不确定性”。即把可以估计概率的不确定性称为风险。但在本文所论述的风险管理中不对风险和不确定性进行区分,这是由于无论是可测定的风险还是不可测定的不确定性都与企业损失的可能性相关联,都会引起经营决策者对风险进行管理的动机,因此将风险定义为: 损失的不确定性。而企业风险管理是指企业通过对潜在的意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大安全保障的科学管理方法。风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。美国学者克里斯蒂(James・C・ Cristy)认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯(C. Arthur Williams Jr.)和理查德・汉斯(Richard ・M・ Heins)认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国的陈佳贵认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法。
企业风险管理的实践和理论起始于20世纪30年代的美国保险业,在20世纪50年代后美国工商企业界发展成为一门管理科学。随着经济技术的迅速发展,到20世纪70年代后,逐渐传播到欧洲、日本及其它地区,兴起了全球性的风险管理运动。至20世纪90年代,发达国家风险管理已普及到许多企业,企业增设了风险管理机构,专门配备风险管理经理、风险管理顾问,由他们负责企业的风险识别、风险测定和风险处理等工作。经济学家彼得・F・德鲁克曾说过,保险和风险管理对促进西方世界经济进步所起的作用与企业和商业起到的作用同等重要。在经营实践中,企业风险管理的好坏对企业的稳健成长至关重要,始终决定企业的生死存亡。风险管理理论于20世纪80年代中期被介绍到我国,首先在金融企业得到运用和发展,但尚未受到其它企业的运用和重视。我国的巨人、爱多、三株等公司,它们陷入困境的原因虽然千差万别,但企业内部缺乏风险管理的专业人员和职能部门,对风险认识不足、管理不力,则是它们受困的重要原因。随着我国加入WTO,企业面临着更加激烈的竞争环境,但是目前我国大多数企业未设专门的风险管理机构及人员。
风险管理审计始于20世纪末21世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。以毕马威为代表的国际大会计事务所联合学术界对审计基本方法进行研究,开发出风险管理审计,这是一种新的审计模式,也有学者称之为风险审计或现代风险导向审计。它不仅关注传统的内部控制,而且更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。
从国际上看,风险管理成为企业组织中的关键流程,促使内部审计的工作重点不再是测试控制,而是确认风险及测试管理风险的方法。顺应于内部审计理论及实务的变化,在1999年IIA对内部审计做出了一个具有变革意义的新定义:“内部审计是一种独立、客观的确认与咨询活动,它的目的是为组织增加价值并提高组织的运营效率。它通过采取系统化、规范化的方法,评价风险管理、风险控制及其治理程序,提高它们的效率,从而帮助实现组织的目标。” 2001年的IIA修订版《内部审计实务标准》对内部审计的界定是:“内部审计是一种独立、客观的保证与咨询活动;其目的是为机构增加价值并提高机构的运作效率,它采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标”。2004年IIA重新修订的《国际内部审计专业实务标准》中规定内部审计是“一种独立、客观的确认和咨询活动,在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。从对2004年与2001年的定义比较可以看出,审计的工作范围扩大为“评价和改进风险管理、控制和治理过程的效果”,反映了内部审计的发展趋势和客观要求。IIA多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
原安达信公司专业人士保罗・J・索贝尔,在其于2003年所著的《审计人员风险管理指南:审计与企业风险管理的结合》一书中的概括,现代审计方法在过去50年中经历了四大阶段,其分别是:控制基础审计;流程基础审计;风险基础审计(又称风险导向审计);风险管理基础审计,又称风险管理审计。书中对风险管理的涵义归纳为:风险管理审计可以说是风险基础审计的一种延伸,其基本吸收了风险审计各种特点,只是在此基础上扩大审计关注点到企业的主要战略目标(key business objectives),管理层对风险的容忍度,主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化(optimizing key risk),如企业对哪些固有风险可以实行避免,转移或接受并予以控制的风险管理策略。因此,对企业而言,风险管理审计本身已经成为企业整体风险管理的重要组成要素。他认为,风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更进一步地从审计师及企业管理层双方面确保审计资源的分配及审计的有效性。
三、我国实施风险管理审计存在的问题
尽管中国内部审计职业规范体系的框架已基本建立,有些企业在内部审计实务中也已运用西方先进内部审计理论、方法和技术,但是我国大多数企业的内部审计依然存在问题。
(一)审计职业人员的学历层次较低
我国从事内部审计职业人员的学历层次整体不高,审计人员的学历和专业构成了内部审计机构的整体素质。现在我国从事内部审计的人员中研究生的比例为1.1%,本科生为15.56%,大专生为73.89%。这相对于我国整体国民教育情况来看,还是比较高的。但是内部审计人员中真正具有正规院校审计、会计专业的大学本科学历的较少。虽然,有一部分人通过自己刻苦学习审计理论业务,确有一定的真才实学,但也有为数不少的人员,尽管从事审计工作很多年,但审计理论水平、业务技能很一般,对于下基层审计时,不能很好胜任工作,提出问题不能切中要害,使审计工作失去威慑力。
(二)内部审计机构中专业构成单一
在西方发达国家一般认为内部审计人员的理想构成:经济管理专业占1/3,工程技术专业的占1/3,其他专业的占1/3;从我国内部审计人员的专业结构来看:会计(审计)学专业占绝对统治地位大约在70%左右,工程技术专业、法律专业等其他专业比例很小,从现代内部审计的观点来看,这样的专业构成极为不合理。因为这种人员构成只能够适应开展财务审计和其他以企业的会计资料为基础的审计咨询服务,不能适应审计日益发展和扩大的择业范围。结果是限制了内部审计的工作范围,影响了内部审计职能全面发挥。
(三)内部审计机构缺乏独立性
在国际内部审计师协会的《内部审计实务标准》中指出:审计委员会是负责监督机构的审计和控制工作的治理层。评估内审工作是否与最先进的实务保持一致、负责起草日程安排、“审计委员会考核和定期以及评价审计人员的业绩。”内部审计委员会关系到内部审计机构及其人员的独立性问题。所以,内部审计委员会是内部审计工作是否独立的首要屏障。而内部审计委员会的人员构成则是其发挥作用的关键所在。当前,我国内部审计委员会构成层次过于单一,人员之间没有相互制约关系。内部审计委员会人员构成多由企业内部管理层或是大股东把持,没有体现多元治理的理念。所以,审计委员会虽然在上市公司内部已经开展起来,但多是流于形式,没有起到应有的作用。
(四)内部审计人员缺少完整的独立性
内部审计人员作为单位的一名成员,他们的工作、工资、其它福利等受本单位企业有关负责人的支配,这就使得内部审计人员在履行其监督和评价职能时有很多的顾虑,当企业领导授权、批准的经营行为违反有关法律法规,或不符合经济效益原则时,内部审计人员出于自身的利益考虑,往往表现得无能为力,影响了内部审计人员的独立性。而且,目前内部审计机构中的审计人员很大一部分由会计或管理人员兼任,这种状况导致内部审计人员在制定审计计划、实施审计程序、出具审计报告时往往受到各方面利益的牵制,难以开展独立的审计活动。另外,由于领导的重视程度不够,内部审计被不切实际的精简,人员队伍不稳定,从而使内部审计人员认为在审计部门的前途缺乏信心,严重影响了内部审计人员的独立性。
(五)相应的规章制度不详尽
我国内部审计协会于2005年3月了《内部审计具体准则第16号――风险管理审计》,于2005年5月1日起施行。不足的是,该准则仅阐述了风险管理审计的一般原则及对风险管理进行审查和评价的具体准则,怎么实行,如何实行均未给出详细指导。这对于想实施风险管理审计的企业来说,没有较强的指导作用,也不利于其推行。
四、相应的解决建议
(一)明确我国内部审计的定位
作为现代审计体系的两大组成部分――独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物。目前,企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差。
企业内部审计定位的偏差,产生了一系列不良后果,导致内部审计缺乏独立性。内部审计地位不明确,而且内部审计工作范围往往局限于财务审计,重在进行财务收支的合法性与合规性审计;在人员配置上,较少重视自身发展的内在要求,行政配置较多,造成人员素质较差,结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥,甚至直接影响了内部审计的发展。我国加入WTO已有几年,内部审计的发展无论是从与国际内部审计接轨,还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲,我国的内部审计事业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确,只有搞好定位,一系列问题才能得以解决,才能应对国际内部审计和惯例要求的挑战。
(二)高度重视国际内部审计的发展对我国内部审计的影响
中国已经加入WTO,加入到世界的经济链竞争中,因此,企业效益全靠自身努力,在企业竞争中效益不好的就会破产倒闭,竞争的风险不断扩大,从而促使企业经营者重视内部审计的参与作用。为适合企业这一需要,我国内部审计的中心也需要从以内部评审为中心转向以风险管理为中心。我国内部审计参与风险管理,首先需要帮助企业建立起风险管理系统,包括帮助企业建立和健全风险管理组织并就企业经营管理的各个环节制定相应风险管理规章制度。在此基础上,通过对企业风险管理组织活动的评价和监督,帮助企业不断完善其风险管理系统。同时,内部审计要不断识别企业的风险并制定管理措施,这就使得内部审计的服务延伸到企业经营过程中的任何一个领域并以风险管理为中心开展业务活动,如财务风险审计、经营风险审计、生产风险审计、信息系统风险审计等。
(三)对我国内部审计组织及人员提出更高要求
首先,加强职业组织的引导。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理,积极介绍国际上内部审计参与风险管理的经验和案例,提供可资借鉴和参考的基础;积极制定与参与风险管理有关的准则和指南,以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流,选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习。
其次,内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问,而不是警察。内部审计工作只有给企业带来价值才有意义,才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。“服务”导向性内部审计只能侧重于服务,内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外,更重要的任务是针对管理和控制的缺陷提出建设性意见和改进措施,协助管理人员更有效地管理和控制各类活动,合理使用资源,以提高经济效益,增加企业的价值。
最后,改善内部审计人员的知识结构,提高其胜任能力,是内部审计实现参与风险管理的关键所在。目前我国内部审计人员知识结构比较单一,严重缺乏风险管理方面的知识,要有效地协助企业进行风险管理,必须改善他们现有的知识结构。通过风险管理的培训,增加内部审计人员的风险管理知识,提高其专业胜任能力。
五、结语
风险与风险管理,已成为现代企业经营管理的现实。风险是一种存在危险的可能性,但也是一种机会。企业最高经营者必须面对现实,重视风险,把风险管理视为日常营运的一部分。内部审计介入风险管理,无论是从国际还是我国来说都是一个新的事物。如何使内部审计能够更有力地在风险管理中发挥作用,则是需要进一步探讨与研究的课题。
参考文献:
[1] 安德鲁・D・钱伯斯等著,陈华等译.内部审计(第二版)[M].中国财政经济出版社,1995.
[2] 阿伦斯著,石爱中等译.审计学――整合方法研究[M].中国时代经济出版社,2001.
[3] 保罗・J・索贝尔.审计人员风险管理指南:审计与企业风险管理的结合[M].中信出版社,2004.
[4] Beasley M・S, Clune・R・Hermanson.ERM a status report[M].Internal Auditor,2005,(02).
[5] 陈锦烽、苏淑美.内部审计新纪元――风险管理、控制及治理[M].大连出版社,2006.
[6] Committee of Sponsoring Organizations of the Treadway Commission(COSO),Enterprise Risk Management――Integrated Framework[M]. USA,2004.
[7] COSO(2004).Enterprise Risk Management Framework.省略
[8] Deloitte and Touche Tohmastu.Achieving Internal Audit Excellence.Wellington,2000,(6).
[9] 胡春元.风险基础审计[M].东北财经大学出版社,2001.
[10] 何玉柱.欧美企业风险管理的机构化与启示[J].管理前沿,2003,(4).
[11] 黄兵海.风险管理技术在内部审计中的应用[J].统计与决策,2004,(8).
[12] IIA报告.内部审计师在环境中的作用[J].审计研究资料,1997.
[13] 靳建堂.风险管理审计初探[J].现代企业风险管理论文汇编,2005,(10).
[14] James Patton, John Evans.Barry Lewis AuditA Framework of Evaluating Internal.
[15] [美]罗伯特・莫勒尔.布林克现代内部审计学[M].中国时代经济出版社,2005.
[16] 廖洪、陈波.企业战略审计研究的回顾与展望:一个综述[J].审计研究,2005,(2)
[17] 劳伦斯・B・索耶.索耶内部审计(第五版)[M].中国财政经济出版社,2006.
[18] 刘明辉.审计学[M].东北财经大学出版社,2004.
[19] 郦锡文.走进风险管理[M].中国财政经济出版社,2003.
[20] 李三喜等.内部审计准则操作实务[M].中国时代经济出版社,2003.
[21] 李维安.公司治理[M].南开大学出版社,2001.
[22] 李嘉明、刘渝林等.论上市公司监督体系的理论框架――兼论上市公司内部审计机构的作用[J].审计研究,2004,(4).
[23] 李凤鸣.内部控制学[M].北京大学出版社,2002.
