摘要:該文從公司治理和內部審計的核心——風險管理的角度出發,探討內部審計在公司治理中的作用及實踐。
關鍵詞:風險管理;公司治理;內部審計
2006年7月15日起,所有在美國上市的外國企業必須執行《上市公司會計改革與投資者保護法案》(亦稱作《薩班斯-奧克斯利法案》)。該法案在會計職業監管、公司治理等方面作出了許多新的規定,要求公司管理層必須對與財務年報相關的內部控制系統進行評價與報告。紐約證券交易所已經規定每一家上市公司必須設置內部審計功能。顯而易見,公司只有建立一個完整的治理系統,才能徹底解決舞弊、腐敗和管理不當的問題。內部審計是這一治理系統中的重要一環。本文試從風險管理的角度出發,探討內部審計在公司治理中的作用。
一、 公司治理的核心是風險管理
公司治理,從狹義的角度理解,是指企業所有者對經營者的一種監督與制衡機制,即通過一種制度設計,合理配置所有者與經營者之間的權利與義務。從組織機構的設置上看,公司治理的范圍包括:股東會、董事會、監事會、經營層、作業層。對內部審計機構應該設在董事會下還是設在監事會下進行討論的文章很多,從眾多公司的實際情況看,內部審計機構對監事會負責更能體現其獨立性與客觀性。
風險直接影響企業目標的實現,而決策層對風險的控制和管理直接決定目標是否能夠實現及實現的程度,治理結構中各部分人員需要承擔所分配的一定風險并取得相應的利益。公司治理是組織應對風險的戰略反應,其職責核心就是確保有效的風險管理方案的適當性,因此公司治理過程中包含一些戰略性的風險管理因素,如董事會設定的公司經營管理基調是風險偏好型還是風險規避型,高層管理當局在經營風格、理念中包含的風險態度等,這些戰略性風險管理因素就是公司治理與風險管理的交叉點。所以說,風險管理是公司治理的核心。
二、 風險導向內部審計是內部審計的發展方向
長期以來,制度基礎審計是內部審計工作的基點。隨著風險導向內部控制時代的來臨,內部審計的工作重點也隨之發生了變化。現代內部審計除了關注傳統的內部控制之外,更關注有效的風險管理機制和健全的公司治理結構。在風險導向內部審計觀念下,年度審計計劃依據公司最高層的風險戰略制訂,內部審計人員通過風險分析確保審計計劃與經營計劃相一致,使用風險管理原則改變審計實施過程。風險管理導向促使內部審計的工作重點不再是測試控制,而是確認風險及確認風險的方法。在風險導向內部審計中,評估內部控制依然重要,但分析、確認、揭示關鍵性的經營風險,更是內部審計的重點。
目前我國大部分企業的內部審計尚未與公司治理有機結合,管理審計尚未廣泛開展。為順應時發表展的要求,應在實踐中有意識地推動內向性管理審計,從強調確認和測試控制的完整性,逐步轉向強調確認和測試企業風險是否得到有效管理。內部審計的建議不再僅是強化控制、提高控制效率和效果,應該轉向規避風險、轉移風險和控制風險,通過風險管理的有效化,提高企業整體管理效率和效果。
三、內部審計在風險管理中的作用
1、公司尚未建立風險管理機制,內部審計應積極向管理層建議建立風險管理制度,提請管理層注意這種情況,并同時提出建立風險管理過程的相關建議。審計人員只有通過周密詳細的審前調查,收集到大量的第一手資料,從中發現存在風險的隱患問題,進行風險分析,才能根據重要性和成本效益原則制定出全面而且符合實際的審計工作計劃。管理層如果采納了內審人員的建議,那么來源于綜合性風險管理過程的信息,則更有助于內部審計人員更快地制定審計工作計劃,提高工作效率。因此,內部審計人員可以促進風險管理過程的建立或使風險管理過程的建立成為可能。
2、內部審計可以通過咨詢服務的方式,積極協助公司風險管理過程的建立。風險管理是一個復雜的系統工程,在一個組織內部應當明確職責分工,各司其職。董事會負責制定戰略目標,高層領導各負責一個方面的風險管理責任,其他管理人員由管理層分配給一部分工作,作業人員負責日常監控,而內部審計人員則負責定期評價和保證工作。如果管理層提出建立風險管理系統的要求,內部審計部門可以協助,但不能超出正常的保證和咨詢范圍,以免損害獨立性。需要指出的是,內部審計師可以促進、協助風險管理過程的建立,但不對風險管理的負責。
3、內部審計通過將風險管理評價作為審計工作的重點,以檢查、評價風險管理過程的充分性和有效性,主要應從以下兩個方面進行評估:
(1)評價風險管理主要目標的完成情況。主要表現在評價公司以及同行業的發展情況和趨勢,確定是否可能存在影響企業發展的風險;檢查公司的經營戰略,了解公司能夠接受的風險水平;與相關管理層討論部門的目標、存在的風險,以及管理層采取的降低風險的措施和加強控制的活動,并評價其有效性;評價風險監控報告制度是否恰當;評價風險管理結果報告的充分性和及時性;評價管理層對風險的分析是否全面,為防止風險而采取的措施是否完善,建議是否有效;對管理層的自我評估進行實地觀察、直接測試,檢查自我評估所依據的信息是否準確,以及其他審計技術;評估與風險管理有關的管理薄弱環節,并與管理層、董事會、審計委員會討論。如果他們接受的風險水平與公司風險管理戰略不一致,應進行報告。
(2)評價管理層選擇的風險管理方式的適當性。由于各個公司的文化氛圍、管理理念和工作目標不同,風險管理的實施也有很大差別。每個公司應根據自身活動來設計風險管理過程。一般說來,規模大的、在市場籌資的公司必須用正式的定量風險管理方法;規模小的、業務不太復雜的,則可以設置非正式的風險管理委員會定期開展評價活動。內部審計人員的職責是評價公司風險管理方式與公司活動的性質是否適當。
4、內部審計應積極支持并參與風險管理過程,對風險管理過程進行管理和協調。在現代企業制度下,公司全面建立了風險管理過程,內部審計因此能夠擔負起風險管理的職能。首先,內部審計從評價各部門的內部控制制度入手,在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞,識別并防范風險,做出相關評價。其次,內部審計可以深入到企業管理的極細微的環節上查找問題,分析其合理性。內部審計人員更多的是以風險發生可能性大小為依據,深入到經營管理的各個過程,查找并防范風險。再次,內部審計在部門風險管理中還起著協調作用,不僅各部門有內部風險,而且各管理部門還有共同承擔的綜合風險,內部審計人員作為獨立的第三方,協調各部門共同管理企業,以防范宏觀決策帶來的風險。
四、風險導向審計在內部審計實踐中的具體應用
現在以至將來,風險管理都是內部審計的重要組成內容,內部審計人員要開發技能,理解風險,隨后評價風險,以作為整個審計活動的組成部分。
1、依據風險評估機制,制訂審計計劃。在編制年度審計計劃、確定審計項目和審計頻率時,要對企業面臨的經營風險進行全面評估,以確定主要經營風險因素。風險因素是指用于對企業產生不利影響的情況或事項的重要性、可能性進行判斷的標準。在確定審計工作周期時,風險因素主要包括金額的重要性、資產的變現能力或流動性、機構人員的穩定性、執行審計工作的復雜性、企業政策的穩定性、控制環境。
2、依據風險評估結果,確定審計重點。在編制審計工作方案時,要根據風險評估的結果確定審計的重點內容,并將風險評估的過程及結果形成文字記錄。在確定審計重點時,風險因素主要包括指標執行效果如何、企業內部機構設置及人員分工是否明確、企業內部控制制度是否健全有效、授權是否明確、資產控制是否安全等。通過項目內容評估所確定的審計重點,作為審計執行過程編寫審計工作方案、開展外勤審計工作的重要依據。在當前形勢下,內部審計應著重關注企業所面臨的檢查風險、經營風險、涉稅風險、內控缺失風險。
3、依據審計事項,提出風險管理的審計建議。審計建議要從內部控制的健全有效性逐步轉變為對企業存在風險、規避風險、風險管理的建議,切實提高內部審計為企業服務的水平,真正做到為企業提供增值服務。
參考文獻:
[1]陳錦烽,蘇淑美.內部審計新紀元[M].大連:大連出版社,2006.
[2]羅伯特·莫勒爾.布林克現代內部審計學[M].北京:中國時代出版社,2006.
