
[摘要] 內(nèi)部審計是企業(yè)自我約束和監(jiān)督機制的重要組成部分,它在企業(yè)風險管理中的職責與作用是企業(yè)轉(zhuǎn)化經(jīng)營機制、建立現(xiàn)代企業(yè)制度的客觀需要。文章從內(nèi)部審計與企業(yè)風險管理之間的關(guān)系著手,探討了內(nèi)部審計在企業(yè)風險管理中的職責與作用,以及如何增強企業(yè)抵御風險能力等問題。
[關(guān)鍵詞]內(nèi)部審計;風險管理;職責;作用
[中圖分類號]F239.45[文獻標識碼] A[文章編號]1002-736X(2009)03-0162-03
The Responsibility and Function of Internal Audit in Modern Enterprise Risk Management
Chen Jiansong
(Wenzhou Vocational & Technical College, Wenzhou, Zhejiang 325035)
Abstract: Internal audit is an important part of the self-restrain system and censorship of enterprises. Its responsibility and function in the risk management is the necessity of establishing modern enterprise system. This paper first analyzes the relations between internal audit and risk management, then discusses its responsibility and function and its efforts for risk-preventing.
Key words: internal audit; risk management; responsibility; function
內(nèi)部審計是企業(yè)自我約束和監(jiān)督機制的重要組成部分,履行、發(fā)揮內(nèi)部審計在企業(yè)風險管理中的職責與作用是企業(yè)轉(zhuǎn)化經(jīng)營機制、建立現(xiàn)代企業(yè)制度的客觀需要。內(nèi)部審計應(yīng)有機融入企業(yè)風險管理過程中,充分發(fā)揮其在風險管理中的重要作用,為企業(yè)提高風險管理能力做出貢獻。
一、現(xiàn)代企業(yè)風險管理與內(nèi)部審計的關(guān)系
風險是指發(fā)生對目標的實現(xiàn)可能產(chǎn)生影響的事件的不確定性。風險的衡量標準是后果與可能性。風險管理則指采取一定的措施對風險進行檢測評估,使風險降低到可以接受的程度,并將其控制在某一可以接受的水平上。風險管理一般包括風險識別、風險衡量、風險防范、風險監(jiān)控等環(huán)節(jié)。
根據(jù)《內(nèi)部審計實務(wù)標準》規(guī)定,內(nèi)部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證與咨詢活動,它以系統(tǒng)化、專業(yè)化的方法對風險管理、控制及治理過程的有效性進行評估和改善,幫助組織順利實現(xiàn)目標。根據(jù)這一定義,現(xiàn)代內(nèi)部審計的范圍已從傳統(tǒng)上的財務(wù)(控制的一方面)擴大到風險管理和公司治理層次上,有效的風險管理機制和健全的公司治理結(jié)構(gòu)已成為現(xiàn)代內(nèi)部審計關(guān)注的焦點。
內(nèi)部審計作為內(nèi)部控制的重要部分,與風險管理的聯(lián)系日趨緊密。風險管理作為管理層一項關(guān)鍵責任,企業(yè)管理層對其負有不可推卸的責任。內(nèi)部審計師則有職責定期評價并協(xié)助其他部門進行風險管理,在改善管理層的風險管理流程效果和效率方面進行檢查、評價、報告和提出審計建議,幫助企業(yè)識別、評價風險以及實施風險管理方法。
二、內(nèi)部審計在現(xiàn)代企業(yè)風險管理中的職責
在風險導向內(nèi)部審計中,風險管理成為組織中的關(guān)鍵流程,分析、確認、揭示關(guān)鍵性的風險,成為內(nèi)部審計的主要職責。
(一)從實現(xiàn)企業(yè)目標和全局的角度看,內(nèi)部審計有職責融入企業(yè)風險管理
現(xiàn)代企業(yè)面臨的經(jīng)營環(huán)境日趨復雜,風險日益增大,減少面臨的風險是企業(yè)實現(xiàn)價值最大化目標的關(guān)鍵。內(nèi)部審計采取系統(tǒng)化、規(guī)范化的方法促進建立風險管理過程,通過內(nèi)控制度的評價,對公司經(jīng)營活動進行風險識別和評價,改進風險管理與控制體系,提請管理層關(guān)注風險,從而完善企業(yè)管理,轉(zhuǎn)化負面風險,提升企業(yè)競爭能力和應(yīng)變能力,最終實現(xiàn)企業(yè)目標。從實現(xiàn)企業(yè)目標方面看,內(nèi)部審計有職責參與企業(yè)風險管理。
企業(yè)是多個部門的集合,其中一點(一個部門)造成的風險會傳遞到另一點(另一部門),最終會使整個面(企業(yè)整體)陷入困境甚至于癱瘓。因此,對風險識別、防范和控制需要從全局考慮,而各業(yè)務(wù)部門又很難做到這一點。內(nèi)部審計在企業(yè)中的地位,決定其能站在全局的高度相對超脫地獲得企業(yè)內(nèi)部控制、經(jīng)營管理活動及風險管理等方面的信息,向管理層提供創(chuàng)造性思維,提出科學、合理的建議,避免風險帶來的損失。從全局角度看,內(nèi)部審計有職責融入風險管理。 (二)從自身優(yōu)勢和比較的角度看,內(nèi)部審計是構(gòu)成企業(yè)風險管理的重要機制
從企業(yè)內(nèi)部看,現(xiàn)代企業(yè)建立了各級風險管理組織層次,包括風險控制委員會、內(nèi)部審計部門、專職風險監(jiān)管部門。但風險監(jiān)管部門隸屬于管理部門,不具有獨立性,其意見有時會屈服于管理當局的壓力,這使得風險管理部門的作用的發(fā)揮受到限制。在現(xiàn)代企業(yè)中,內(nèi)部審計部門獨立于管理部門,其風險評估的意見可以直接報送給董事會,提出的意見與建議更具有權(quán)威性。
從企業(yè)外部看,外部審計從獨立、客觀的角度對企業(yè)的財務(wù)報表進行審計和對企業(yè)的內(nèi)部控制進行復核,經(jīng)常能提供一些有用的信息影響到企業(yè)風險管理。但他們更多地圍繞企業(yè)會計報表的合法、公允、一貫性開展工作,對企業(yè)管理環(huán)境和運作過程不十分熟悉,決定其提供的風險管理服務(wù)不能做到貼近內(nèi)部管理,不能對企業(yè)風險管理的有效性負責。而內(nèi)部審計部門對企業(yè)面臨的風險更了解,在風險管理方面擁有外部審計無可比擬的優(yōu)勢。
(三)從審計程序和過程的角度看,內(nèi)部審計是風險控制程序的有益補充
內(nèi)部審計師應(yīng)用現(xiàn)代風險導向?qū)徲嬆J?從整體上把握審計風險因素,合理整合審計資源,警惕可能影響目標、運營和資源的重大風險,最大限度地減少審計風險。在審計計劃、審計實施、審計報告階段,將風險作為重要考慮因素,在整個審計過程貫穿對風險的關(guān)注,充分考慮風險管理的充分性和有效性。具體講,在審計計劃階段,內(nèi)部審計應(yīng)該考慮企業(yè)活動存在的風險,在評估風險優(yōu)先次序的基礎(chǔ)上安排審計工作,按照風險大小分配審計資源;在審計實施階段,審計師通過檢查、評價風險管理過程的充分性和有效性,發(fā)現(xiàn)風險控制的漏洞和薄弱環(huán)節(jié);在審計報告階段,對風險管理狀況進行評價,對風險管理中存在的漏洞和不足提出改進建議,協(xié)助企業(yè)管理層確定、評價并實施針對風險管理的方法和控制措施。
三、內(nèi)部審計如何參與現(xiàn)代企業(yè)風險管理
內(nèi)部審計可以從風險識別、風險衡量、風險防范、風險監(jiān)控四個階段參與風險管理。識別、報告潛在重大風險,提出應(yīng)對措施,同時通過落實審計建議并督促采取有效的風險控制措施。
(一)評估風險識別
風險識別是指對企業(yè)所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質(zhì)的過程。也就是說,從潛在的事件及其產(chǎn)生的原因和后果來檢查風險,收集、整理可能的風險并充分征求各方意見以形成風險列表。風險識別實質(zhì)上是對風險進行定性研究,內(nèi)部審計熟悉公司的經(jīng)營管理過程,以風險敏感性分析為起點開展工作,有效識別風險。內(nèi)部審計部門要關(guān)注已識別風險的完整性,即企業(yè)所面臨的主要風險是否均已被識別出來,并找出未被識別的主要風險。通常要關(guān)注的主要風險有:財務(wù)和經(jīng)營信息不足而導致決策錯誤;資產(chǎn)流失,資源浪費和無效使用;顧客不滿意,企業(yè)信譽受損。
(二)評估風險衡量
風險衡量是指應(yīng)用各種管理科學技術(shù),采用定性與定量相結(jié)合的方式,找出主要的風險源,并評價風險的可能影響,最終定量估計風險大小。風險衡量的目的是確定每個風險要素的影響大小,一般是對已經(jīng)識別出來的風險進行量化估計,從風險發(fā)生的可能性和影響兩方面對風險進行評估,通過公式:風險值=風險概率×風險影響,計算出風險值。內(nèi)部審計部門和內(nèi)部審計師要對已有風險的衡量結(jié)果進行再檢驗,以確定其是否恰當,對不恰當?shù)墓烙嬘枰愿?。在風險分析中,審計師不僅要關(guān)注風險的數(shù)量,而且要關(guān)注風險的屬性或其承載價值的后果。
(三)評估風險防范
完成風險衡量后,確定存在的風險以及其發(fā)生的可能性,排列出風險的優(yōu)先級。根據(jù)風險性質(zhì)和承受能力制定相應(yīng)的防范措施,即風險的防范。制定風險防范策略主要考慮以下四個方面的因素:可規(guī)避性、可轉(zhuǎn)移性、可緩解性、可接受性。內(nèi)部審計部門和內(nèi)部審計師對有關(guān)部門針對風險所采取的防范措施進行檢查,檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況,內(nèi)部審計部門和內(nèi)部審計人員應(yīng)提出改進措施和建議,協(xié)助完善風險反應(yīng)方案,以強化企業(yè)的風險防范管理。
(四)評估風險監(jiān)控
企業(yè)風險并非一成不變,隨著時間的推移,風險有可能會增大或者減小。因此,需要時刻監(jiān)控風險的發(fā)展與變化情況,并確定隨著某些因素的出現(xiàn)或消失而帶來的新的風險。風險監(jiān)控包括兩個層面的工作。一是跟蹤已識別風險的發(fā)展變化情況,關(guān)注風險產(chǎn)生的條件和導致的后果變化,衡量風險減緩計劃需求。二是根據(jù)風險的變化情況及時調(diào)整風險應(yīng)對措施,并對已發(fā)生的風險及其遺留風險和新增風險及時識別、分析,并采取適當?shù)膽?yīng)對措施。對于已發(fā)生過和已解決的風險也應(yīng)及時從風險監(jiān)控列表調(diào)整出去。內(nèi)部審計可以通過持續(xù)監(jiān)控、個別評估來監(jiān)控企業(yè)的風險管理持續(xù)執(zhí)行。 四、構(gòu)建風險管理框架,增強企業(yè)抵御風險能力
企業(yè)內(nèi)部不同部門或不同業(yè)務(wù)具有不同風險,越來越多的企業(yè)信奉企業(yè)級的風險管理。因此,現(xiàn)代企業(yè)必須組合各種風險,內(nèi)審部門應(yīng)超越企業(yè)內(nèi)部各職能部門之間的隔閡,拓展參與風險管理的深度與廣度,對戰(zhàn)略、財務(wù)和經(jīng)營風險進行通盤考慮,幫助企業(yè)管理層管理風險,增強抵御風險能力。
(一)構(gòu)建戰(zhàn)略信息網(wǎng)絡(luò),增強抵御戰(zhàn)略風險能力
建立、實施良好的戰(zhàn)略信息管理網(wǎng)絡(luò),采用科學手段量化風險、預計后果,可推動企業(yè)變革,增強應(yīng)變能力,取得競爭優(yōu)勢。為保證戰(zhàn)略決策的科學性,確立正確的戰(zhàn)略目標與發(fā)展方向,所依據(jù)信息必須真實、及時、完整。企業(yè)應(yīng)加強對信息的監(jiān)督、治理力度,對敏感信息的接觸進行授權(quán)限制,保證來自于企業(yè)內(nèi)部和外部的相關(guān)信息以一定標準進行確認和傳遞,維護信息網(wǎng)絡(luò)渠道的暢通。使信息既能涵蓋企業(yè)全部重要活動,又能滿足決策層掌握、了解與企業(yè)戰(zhàn)略相關(guān)的綜合狀況。
戰(zhàn)略分析是現(xiàn)代風險導向?qū)徲嬆J降暮诵沫h(huán)節(jié),戰(zhàn)略分析主要是對企業(yè)外部環(huán)境和內(nèi)部條件的分析,內(nèi)部審計師評價企業(yè)戰(zhàn)略目標的制定是在分析組織內(nèi)部和企業(yè)外部的發(fā)展情況和趨勢、企業(yè)的優(yōu)勢和劣勢、外部的機會和威脅的基礎(chǔ)上結(jié)合企業(yè)風險偏好來制訂,在企業(yè)做出科學戰(zhàn)略決策之前作好預測評估風險因素、量化風險影響。
(二)健全財務(wù)管理系統(tǒng),強化財務(wù)風險控制
財務(wù)風險與企業(yè)資金的籌措、管理及安全息息相關(guān)。由于各種難以預料或控制的因素影響,企業(yè)的財務(wù)狀況具有不確定性,從而使企業(yè)有蒙受損失的可能性。企業(yè)應(yīng)了解財務(wù)風險的來源和特征,正確預測、衡量財務(wù)風險,進行適當?shù)目刂坪头婪?將損失降至最低程度,為企業(yè)創(chuàng)造最大的收益。
內(nèi)部審計部門和審計師應(yīng)評價企業(yè)管理財務(wù)風險措施的充分性和有效性,幫助企業(yè)建立健全財務(wù)風險機制,以防范因財務(wù)管理系統(tǒng)不適應(yīng)環(huán)境變化而產(chǎn)生的財務(wù)風險,真正體現(xiàn)財務(wù)風險控制和管理的有效性。對那些能夠在計劃階段進行預測、控制的風險,內(nèi)審部門應(yīng)通過實際與計劃比較,來分析控制效果。對那些突發(fā)、未能預測到的風險,內(nèi)部審計部門應(yīng)查明風險的來源及性質(zhì),找出最優(yōu)方案來控制或削弱風險。
(三)建立經(jīng)營預警機制,加強經(jīng)營風險監(jiān)控
經(jīng)營風險指企業(yè)在生產(chǎn)與銷售過程中所面臨的由于管理、市場與技術(shù)變化等引起的種種風險。企業(yè)經(jīng)營風險是時時存在的,企業(yè)要積極面對,對于影響企業(yè)的資產(chǎn)和經(jīng)營狀況的各類政治、經(jīng)濟、社會、市場因素及其變化趨勢等,進行研究和預測。對于經(jīng)營預警指標的異常變化,要及時對相關(guān)經(jīng)營風險進行重新分析評估。特別是新的經(jīng)營計劃制訂、實施之前,要對其可能帶來的風險進行全面、深入的分析評估,并制定相應(yīng)地配套措施。
內(nèi)部審計師應(yīng)借助管理層的經(jīng)營分析能力,采用價值鏈分析技術(shù)、波士頓分析技術(shù)和機會、威脅、優(yōu)勢與劣勢分析技術(shù),剖析經(jīng)營中潛在的風險,查找可能對企業(yè)經(jīng)營業(yè)績產(chǎn)生不利影響的各種因素,真實、完整地披露企業(yè)經(jīng)營風險,堅持不懈地做好風險因素的監(jiān)控工作,協(xié)助企業(yè)規(guī)避經(jīng)營風險。以正確評價企業(yè)經(jīng)營業(yè)績,為管理者提供決策依據(jù)。
[參考文獻]
[1]曹艷萍.如何防范企業(yè)內(nèi)部審計風險[J].經(jīng)濟技術(shù)協(xié)作信息,2006,(30):55.
[2]何萍.論如何控制內(nèi)部審計風險[J].現(xiàn)代審計,2006,(7):40.
[3]劉實.論企業(yè)管理變革對內(nèi)部審計的影響[J].審計研究,2004,(2):60-63.
[4]劉瑜.內(nèi)部審計職能轉(zhuǎn)變中的風險管理審計[J].中國內(nèi)部審計,2006,(11):26-27.
[5]李欣梅.防范現(xiàn)代企業(yè)內(nèi)部審計風險的思路[J].現(xiàn)代審計,2007,(2):43-44.
[6]張偉.基于治理層次的內(nèi)部審計[J].審計研究,2004,(4):85-88.
[7]趙金芳,黃元喜.對企業(yè)風險管理實施內(nèi)部審計的思考[J].商業(yè)會計,2007,(1):27-28.