[摘要] 內部審計是企業自我約束和監督機制的重要組成部分,它在企業風險管理中的職責與作用是企業轉化經營機制、建立現代企業制度的客觀需要。文章從內部審計與企業風險管理之間的關系著手,探討了內部審計在企業風險管理中的職責與作用,以及如何增強企業抵御風險能力等問題。
[關鍵詞]內部審計;風險管理;職責;作用
[中圖分類號]F239.45[文獻標識碼] A[文章編號]1002-736X(2009)03-0162-03
The Responsibility and Function of Internal Audit in Modern Enterprise Risk Management
Chen Jiansong
(Wenzhou Vocational & Technical College, Wenzhou, Zhejiang 325035)
Abstract: Internal audit is an important part of the self-restrain system and censorship of enterprises. Its responsibility and function in the risk management is the necessity of establishing modern enterprise system. This paper first analyzes the relations between internal audit and risk management, then discusses its responsibility and function and its efforts for risk-preventing.
Key words: internal audit; risk management; responsibility; function
內部審計是企業自我約束和監督機制的重要組成部分,履行、發揮內部審計在企業風險管理中的職責與作用是企業轉化經營機制、建立現代企業制度的客觀需要。內部審計應有機融入企業風險管理過程中,充分發揮其在風險管理中的重要作用,為企業提高風險管理能力做出貢獻。
一、現代企業風險管理與內部審計的關系
風險是指發生對目標的實現可能產生影響的事件的不確定性。風險的衡量標準是后果與可能性。風險管理則指采取一定的措施對風險進行檢測評估,使風險降低到可以接受的程度,并將其控制在某一可以接受的水平上。風險管理一般包括風險識別、風險衡量、風險防范、風險監控等環節。
根據《內部審計實務標準》規定,內部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證與咨詢活動,它以系統化、專業化的方法對風險管理、控制及治理過程的有效性進行評估和改善,幫助組織順利實現目標。根據這一定義,現代內部審計的范圍已從傳統上的財務(控制的一方面)擴大到風險管理和公司治理層次上,有效的風險管理機制和健全的公司治理結構已成為現代內部審計關注的焦點。
內部審計作為內部控制的重要部分,與風險管理的聯系日趨緊密。風險管理作為管理層一項關鍵責任,企業管理層對其負有不可推卸的責任。內部審計師則有職責定期評價并協助其他部門進行風險管理,在改善管理層的風險管理流程效果和效率方面進行檢查、評價、報告和提出審計建議,幫助企業識別、評價風險以及實施風險管理方法。
二、內部審計在現代企業風險管理中的職責
在風險導向內部審計中,風險管理成為組織中的關鍵流程,分析、確認、揭示關鍵性的風險,成為內部審計的主要職責。
(一)從實現企業目標和全局的角度看,內部審計有職責融入企業風險管理
現代企業面臨的經營環境日趨復雜,風險日益增大,減少面臨的風險是企業實現價值最大化目標的關鍵。內部審計采取系統化、規范化的方法促進建立風險管理過程,通過內控制度的評價,對公司經營活動進行風險識別和評價,改進風險管理與控制體系,提請管理層關注風險,從而完善企業管理,轉化負面風險,提升企業競爭能力和應變能力,最終實現企業目標。從實現企業目標方面看,內部審計有職責參與企業風險管理。
企業是多個部門的集合,其中一點(一個部門)造成的風險會傳遞到另一點(另一部門),最終會使整個面(企業整體)陷入困境甚至于癱瘓。因此,對風險識別、防范和控制需要從全局考慮,而各業務部門又很難做到這一點。內部審計在企業中的地位,決定其能站在全局的高度相對超脫地獲得企業內部控制、經營管理活動及風險管理等方面的信息,向管理層提供創造性思維,提出科學、合理的建議,避免風險帶來的損失。從全局角度看,內部審計有職責融入風險管理。 (二)從自身優勢和比較的角度看,內部審計是構成企業風險管理的重要機制
從企業內部看,現代企業建立了各級風險管理組織層次,包括風險控制委員會、內部審計部門、專職風險監管部門。但風險監管部門隸屬于管理部門,不具有獨立性,其意見有時會屈服于管理當局的壓力,這使得風險管理部門的作用的發揮受到限制。在現代企業中,內部審計部門獨立于管理部門,其風險評估的意見可以直接報送給董事會,提出的意見與建議更具有權威性。
從企業外部看,外部審計從獨立、客觀的角度對企業的財務報表進行審計和對企業的內部控制進行復核,經常能提供一些有用的信息影響到企業風險管理。但他們更多地圍繞企業會計報表的合法、公允、一貫性開展工作,對企業管理環境和運作過程不十分熟悉,決定其提供的風險管理服務不能做到貼近內部管理,不能對企業風險管理的有效性負責。而內部審計部門對企業面臨的風險更了解,在風險管理方面擁有外部審計無可比擬的優勢。
(三)從審計程序和過程的角度看,內部審計是風險控制程序的有益補充
內部審計師應用現代風險導向審計模式,從整體上把握審計風險因素,合理整合審計資源,警惕可能影響目標、運營和資源的重大風險,最大限度地減少審計風險。在審計計劃、審計實施、審計報告階段,將風險作為重要考慮因素,在整個審計過程貫穿對風險的關注,充分考慮風險管理的充分性和有效性。具體講,在審計計劃階段,內部審計應該考慮企業活動存在的風險,在評估風險優先次序的基礎上安排審計工作,按照風險大小分配審計資源;在審計實施階段,審計師通過檢查、評價風險管理過程的充分性和有效性,發現風險控制的漏洞和薄弱環節;在審計報告階段,對風險管理狀況進行評價,對風險管理中存在的漏洞和不足提出改進建議,協助企業管理層確定、評價并實施針對風險管理的方法和控制措施。
三、內部審計如何參與現代企業風險管理
內部審計可以從風險識別、風險衡量、風險防范、風險監控四個階段參與風險管理。識別、報告潛在重大風險,提出應對措施,同時通過落實審計建議并督促采取有效的風險控制措施。
(一)評估風險識別
風險識別是指對企業所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。也就是說,從潛在的事件及其產生的原因和后果來檢查風險,收集、整理可能的風險并充分征求各方意見以形成風險列表。風險識別實質上是對風險進行定性研究,內部審計熟悉公司的經營管理過程,以風險敏感性分析為起點開展工作,有效識別風險。內部審計部門要關注已識別風險的完整性,即企業所面臨的主要風險是否均已被識別出來,并找出未被識別的主要風險。通常要關注的主要風險有:財務和經營信息不足而導致決策錯誤;資產流失,資源浪費和無效使用;顧客不滿意,企業信譽受損。
(二)評估風險衡量
風險衡量是指應用各種管理科學技術,采用定性與定量相結合的方式,找出主要的風險源,并評價風險的可能影響,最終定量估計風險大小。風險衡量的目的是確定每個風險要素的影響大小,一般是對已經識別出來的風險進行量化估計,從風險發生的可能性和影響兩方面對風險進行評估,通過公式:風險值=風險概率×風險影響,計算出風險值。內部審計部門和內部審計師要對已有風險的衡量結果進行再檢驗,以確定其是否恰當,對不恰當的估計予以更正。在風險分析中,審計師不僅要關注風險的數量,而且要關注風險的屬性或其承載價值的后果。
(三)評估風險防范
完成風險衡量后,確定存在的風險以及其發生的可能性,排列出風險的優先級。根據風險性質和承受能力制定相應的防范措施,即風險的防范。制定風險防范策略主要考慮以下四個方面的因素:可規避性、可轉移性、可緩解性、可接受性。內部審計部門和內部審計師對有關部門針對風險所采取的防范措施進行檢查,檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況,內部審計部門和內部審計人員應提出改進措施和建議,協助完善風險反應方案,以強化企業的風險防范管理。
(四)評估風險監控
企業風險并非一成不變,隨著時間的推移,風險有可能會增大或者減小。因此,需要時刻監控風險的發展與變化情況,并確定隨著某些因素的出現或消失而帶來的新的風險。風險監控包括兩個層面的工作。一是跟蹤已識別風險的發展變化情況,關注風險產生的條件和導致的后果變化,衡量風險減緩計劃需求。二是根據風險的變化情況及時調整風險應對措施,并對已發生的風險及其遺留風險和新增風險及時識別、分析,并采取適當的應對措施。對于已發生過和已解決的風險也應及時從風險監控列表調整出去。內部審計可以通過持續監控、個別評估來監控企業的風險管理持續執行。 四、構建風險管理框架,增強企業抵御風險能力
企業內部不同部門或不同業務具有不同風險,越來越多的企業信奉企業級的風險管理。因此,現代企業必須組合各種風險,內審部門應超越企業內部各職能部門之間的隔閡,拓展參與風險管理的深度與廣度,對戰略、財務和經營風險進行通盤考慮,幫助企業管理層管理風險,增強抵御風險能力。
(一)構建戰略信息網絡,增強抵御戰略風險能力
建立、實施良好的戰略信息管理網絡,采用科學手段量化風險、預計后果,可推動企業變革,增強應變能力,取得競爭優勢。為保證戰略決策的科學性,確立正確的戰略目標與發展方向,所依據信息必須真實、及時、完整。企業應加強對信息的監督、治理力度,對敏感信息的接觸進行授權限制,保證來自于企業內部和外部的相關信息以一定標準進行確認和傳遞,維護信息網絡渠道的暢通。使信息既能涵蓋企業全部重要活動,又能滿足決策層掌握、了解與企業戰略相關的綜合狀況。
戰略分析是現代風險導向審計模式的核心環節,戰略分析主要是對企業外部環境和內部條件的分析,內部審計師評價企業戰略目標的制定是在分析組織內部和企業外部的發展情況和趨勢、企業的優勢和劣勢、外部的機會和威脅的基礎上結合企業風險偏好來制訂,在企業做出科學戰略決策之前作好預測評估風險因素、量化風險影響。
(二)健全財務管理系統,強化財務風險控制
財務風險與企業資金的籌措、管理及安全息息相關。由于各種難以預料或控制的因素影響,企業的財務狀況具有不確定性,從而使企業有蒙受損失的可能性。企業應了解財務風險的來源和特征,正確預測、衡量財務風險,進行適當的控制和防范,將損失降至最低程度,為企業創造最大的收益。
內部審計部門和審計師應評價企業管理財務風險措施的充分性和有效性,幫助企業建立健全財務風險機制,以防范因財務管理系統不適應環境變化而產生的財務風險,真正體現財務風險控制和管理的有效性。對那些能夠在計劃階段進行預測、控制的風險,內審部門應通過實際與計劃比較,來分析控制效果。對那些突發、未能預測到的風險,內部審計部門應查明風險的來源及性質,找出最優方案來控制或削弱風險。
(三)建立經營預警機制,加強經營風險監控
經營風險指企業在生產與銷售過程中所面臨的由于管理、市場與技術變化等引起的種種風險。企業經營風險是時時存在的,企業要積極面對,對于影響企業的資產和經營狀況的各類政治、經濟、社會、市場因素及其變化趨勢等,進行研究和預測。對于經營預警指標的異常變化,要及時對相關經營風險進行重新分析評估。特別是新的經營計劃制訂、實施之前,要對其可能帶來的風險進行全面、深入的分析評估,并制定相應地配套措施。
內部審計師應借助管理層的經營分析能力,采用價值鏈分析技術、波士頓分析技術和機會、威脅、優勢與劣勢分析技術,剖析經營中潛在的風險,查找可能對企業經營業績產生不利影響的各種因素,真實、完整地披露企業經營風險,堅持不懈地做好風險因素的監控工作,協助企業規避經營風險。以正確評價企業經營業績,為管理者提供決策依據。
[參考文獻]
[1]曹艷萍.如何防范企業內部審計風險[J].經濟技術協作信息,2006,(30):55.
[2]何萍.論如何控制內部審計風險[J].現代審計,2006,(7):40.
[3]劉實.論企業管理變革對內部審計的影響[J].審計研究,2004,(2):60-63.
[4]劉瑜.內部審計職能轉變中的風險管理審計[J].中國內部審計,2006,(11):26-27.
[5]李欣梅.防范現代企業內部審計風險的思路[J].現代審計,2007,(2):43-44.
[6]張偉.基于治理層次的內部審計[J].審計研究,2004,(4):85-88.
[7]趙金芳,黃元喜.對企業風險管理實施內部審計的思考[J].商業會計,2007,(1):27-28.
