一、風險控制內部審計產生的背景條件
(一)產生基礎企業內審由“監督和服務導向型”向“管理導向型”發展需要為更好地配合管理者經營目標的實現,內審應充分分析、估計經營風險,及時提出預防風險的對策建議;做好內控制度的測試和評估,檢驗關鍵控制點設置的恰當性以及有效性、完整性,分別予以補設、重建和改進,使得內控制度得以健全并有效運行。由此,在現代內審工作中,企業內審必將由“監督和服務導向型”向內部“管理導向型”發展。
(二)產生間接原因企業面臨的風險日益增大減少企業面臨的風險是組織實現目標的關鍵,也是企業的管理人員十分關心的問題,企業經理人員對風險的空前重視,為內審發展提供了一個絕好的機會,內審對風險管理的介入,將會使內審在企業中成為一個重要的角色,并將其在企業中的作用推向一個新水平。
(三)產生直接原因風險控制內審新思維傳統內審采用的是從控制一風險一目標被動的風險控制審計模式,使得內審只能對企業存在的控制缺陷做出被動反應,其必然結果就是對發現的控制缺陷提出建議,以不斷地增加控制點或者是加強控制,最后就會出現控制點越來越多,越來越煩瑣的局面;很可能會造成多余的控制阻礙各項正常程序的運轉和效率。課題組調研中發現廣西企業普遍存在這樣的問題:07年得到確實有效落實的審計意見和建議僅占企業審計項目總數的65%;內部控制的完善和控制點的增加導致運營成本的增加和辦事效率的降低,部分審計意見操作起來困難,不符合企業實際情況,部分不斷完善的內部控制制度和流程并未得到有力的執行,存在書面與實際操作兩種流程,最終導致內審的整改建議過于理想化,執行起來難度較大,致使審計意見很難被落到實處,或者只得到了被審計單位表面上的敷衍,其結果使內審的作用無法充分發揮。風險導向理念下,風險控制內審模式采取的是從企業目標一風險一控制的主動控制內審模式。它首先要確認企業的目標或者是某件事項的目標,然后分析要實現這些目標會生產什么樣的風險,以確定審計風險水平和審計重點,安排審計步驟,以此來提出風險防范和控制建議,并通過后續審計來測試風險是否得到有效的防范和控制。實施風險管理最大的挑戰正是要變被動反應為主動控制,風險控制內審模式為我們內審工作帶來了新思維。只有積極轉變我們的工作思路,企業內審各種直接考慮企業實現目標過程中面臨的主要問題和風險,使得風險控制與企業目標的實現直接聯系起來。這樣的風險管理和控制,對公司治理層和管理人員而言才是非常有價值的,審計意見和建議才能得到認可和高度的重視,內審才能成為企業價值鏈環節中的重要組成部分。
二、風險控制內部審計模式實施的理性思考
(一)企業風險管理的再認識企業風險管理是指企業為了長遠發展,達到經營管理的預期目標以及為此而擬定的制度或程序能夠得以實現,在企業內部實施的各種制約和調節的組織、計劃、方法和程序,其目的在于防止目標的偏離或降低風險管理成本,并把風險控制在風險容量之內,增加企業價值的過程,也是將風險意識轉化為全體員工的共同認識和自覺行動。COSO發布的《企業風險管理框架》描述了企業風險管理定義為:企業風險管理是一個過程,受企業的董事會、管理層和其他人員的影響,應用于企業的戰略制定及各個方面,旨在確定影響企業的潛在重大事件,將企業的風險控制在可接受的程度內,從而為實現企業的目標提供合理保證。我們研究認為:該《框架》拓展了企業的內部控制,對企業風險管理這一更寬泛的主題作了更全面的關注,企業可以借鑒該《框架》向更完善的風險管理進程推進;企業風險管理也是一個立體框架模式的組織體系,在這個組織架構中,合規、風險、內控和內部審計成為一個不可分割的整體,共同筑起企業風險管理的三道防線。
(二)企業風險管理框架企業風險管理框架可以解剖為一個基礎,三道防線(如圖1)。
(1)一個基礎:公司治理,公司治理是涉及公司高層人員,它隱含著~家企業如何得到有效的管理,從而使其發揮最佳表現。公司治理是涉及責任的問題,它關系到董事會及管理層如何向股東負責,而使股東能從公司的表現中得益,公司治理是風險管理的一個必要的組成部份,因為它提供了對風險由上而下的監控與管理。如何構建一個有利風險管理的公司治理結構?就是需要建立一個健全的、以董事會為首的公司治理結構;訂立企業的目標和戰略,包括企業的風險政策和極限;貫徹一套重視風險管理的企業文化和價值觀。(2)第一道防線:業務單位防線。企業業務單位管理與控制著企業大部分的資產和業務,它們在日常工作中面對各類的風險,是企業的前線;企業必須把風險管理的手段和內控程序融入到業務單位的工作與流程中,才能建立好防范風險的第一道防線。如何建立第一道防線?了解企業戰略目標及可能影響企業達標的風險;識別風險類別;對相關風險作出評估;決定轉移、避免或減低風險的策略;設計及實施風險策略的相關內部控制。企業建立的第一道防線,就是要各業務單位就其戰略性風險、信貸風險、市場風場和操作風險等等,系統化地進行分析、確認、度量、管理和監控;企業需要把評估風險與內控措施的結果進行記錄和存檔,對內控措施的有效性不斷進行測試和更新。(3)第二道防線:風險管理部門防線。第二道防線是在業務單位之上建立一個更高層次的風險管理功能,它的組成可能包括風險管理部門、信貸審批委員會、投資審批委員會;風險管理部的責任是領導和協調公司內各單位在管理風險方面的工作,它的職責包括:編制規章制度,對各業務單位的風險進行組合管理,度量風險和評估風險的界限,建立風險信息系統和預警系統、確定關鍵風險指標,負責風險信息披露、溝通、協調員工培訓和學習的工作,按風險與回報的分析,為各業務單位分配經濟資本金。(4)第三道防線:內審審計防線。第三道防線涉及一個獨立于業務單位的部門,監控企業內控和其他企業關心的問題。內部審計在企業風險管理中的職責:一是要對整個系統的管治、風險管理和控制體系進行獨立評估,以確保的董事會及管理層所制定的準則、流程及內控得到遵循;二是要擔當董事會及高級管理層的顧問角色,提高風險管理系統的運作能力。
(三)企業風險控制與制度基礎及內部控制三種內審模式融合新審計模式的產生,并不意味著原有審計模式的淘汰和消亡,而是意味著我們在實施審計時有了更多的審計模式可供選擇,尤其是把防范風險的意識貫穿于內審全過程的主導思想,應是十分值得提倡的。如企業責(離)任審計、經營指標真實性審計等主要是采用制度導向內審模式,而一些專項審計則是在制度基礎與內部控制內審模式基礎上融合了風險控制內審方法。
(四)企業內部審計方法應用與審計環境相適應風險控制審計是一種較為科學的審計新理念,但任何方法都有其獨特指向,其運用也均有其必備條件,必須遵照實事求是的原則,視不同的具體對象及審計環境選用不同的審計方法,依不同的審計層次及審計目標選用不同的審計方法。
(五)企業內部審計技術與審計人員素質相配套從當前我區內審人員的素質來看,內審人員的知識水平及業務能力存在參差不齊現象,內審人員的素質、閱歷、判斷力、偏好等將直接影響審計方法的運用,在企業運用風險控制審計技術與方法時,不僅要求內審人員掌握工程、會計、中間業務等業務知識,而且要求內審人員孰悉管理知識、精通企業業務、具備內審人員獨特的敏銳性和判斷力。因此,在企業實施風險控制內審應遵循循序漸進原則,審計技術方法選擇要與內審人員素質相適應,才能保障我們內部審計質量。
風險控制內審是將企業置于一個大的經濟環境中,運用系統理論和戰略管理論,采取立體觀察的方式來控制企業各種風險因素,從企業所處的行業狀況,監管環境,經營目標,戰略規劃、經營方式、業務流程等內外部各個方面來分析評估企業風險水平,把企業風險水平植入到企業的風險管理中,并貫穿于內審工作的全過程,從而把重點放在控制企業風險水平上。然而,風險控制內審并不排除制度基礎審計或者賬項基礎審計的融合,但是,風險控制內審關注的是企業戰略風險并始終為企業所采用的風險管理框架提供合理有效保證,風險控制內審可以讓內審和風險管理框架直接聯系起來,實現杠桿協同效應。具體表現在企業內審要在企業風險管理的風險環境分析、風險事件識別、風險評估、風險反應和控制、風險信息溝通和管理系統監控環節中發揮重要作用。因此,風險控制內審模式是企業內審發展的必然趨勢,代表了企業內審未來的發展方向,開創了中國內審的新紀元。
