< 返回
现代企业风险管理与内部审计

提要加强企业风险管理已成为当前企业规避风险以求生存发展的一项重要举措,而内部审计在企业风险管理中的作用也越来越受到人们的重视。本文从分析企业风险管理入手,列举企业风险的主要类型,对内部审计在企业风险管理中的地位和作用进行阐述,明确提出加强企业风险管理是内部审计的主要职责,并对如何更好地发挥内部审计在企业风险管理中的作用提出建议。

一、现代企业风险管理及其类型

风险是指损失的不确定性,它是普遍存在的,任何经济组织,不论其规模、结构、性质或所处产业如何,其运营及组织内的不同层级都会面临来自内部或外部的不同风险。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:1、国家法律、法规及政策的变化;2、经济环境的变化;3、科技的快速发展;4、行业竞争、资源及市场的变化;5、自然灾害及意外损失;6、其他。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:1、组织治理结构的缺陷;2、组织经营活动的特点;3、组织资产的性质以及资产管理的局限性;4、组织信息系统的故障或中断;5、组织人员的道德品质、业务素质未达到要求;6、其他。

对于一家公司而言,风险既预示着机遇,又会影响其维持融资的能力以及保持和提高其产品与服务质量的能力。因此,在公司运作过程中,必须将风险限定在可接受的范围内,充分谨慎地利用风险,以减少在风险真正发生的情况下对持续经营产生的影响。可以说,这就是所谓的风险管理。

二、内部审计及其在风险管理中的地位和作用

由于客观条件的综合作用,各种风险因素首先会表现为一定的风险征兆,利用内部审计手段,强化风险管理,对各种风险进行识别、评估并采取应对措施,建立风险控制体系,转化风险因素,争取有利成果,显得十分必要。内部审计是企业自我约束和监督机制的重要组成部分,履行、发挥内部审计在企业风险管理中的职责与作用是企业转化经营机制、建立现代企业制度的客观需要。目前,内部审计组织已经开始介入风险管理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,国际内部审计师协会已把评价和改善组织风险管理和控制的有效性作为内部审计的主要内容。内部审计作为内部控制的重要组成部分,其在风险管理中发挥着不可替代的作用,主要有以下几个方面:

(一)指导企业的风险策略。一方面内部审计拥有独特的位置,它处于企业的董事会、总经理和各职能部门之间,能够充当企业长期风险策略与各种决策的协调人;另一方面内部审计人员更了解组织中的高风险领域。因此,内部审计人员能够比较准确地确定组织中高风险的领域,协助管理部门制定适合企业自身特点的风险策略。

(二)参与风险管理过程。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理极细微的环节上查找问题,分析其合理性。再次,内部审计在部门风险管理中还起着协调作用。不仅各职能部门有内部风险,而且组织整体还有共同承担的综合风险,内部审计人员作为独立的第三方,可以协调各部门共同管理企业,以防范宏观决策带来的风险。

(三)评价风险管理。对企业风险管理过程进行审查和评价是内部审计工作的重点。

1、评价风险识别。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认,并找出未被识别的主要风险。

2、评价风险评估。内部审计部门和人员要对已有的风险评估结果进行再检验,以确定其是否得当,对不恰当的估计予以更正。风险分析中,审计师不仅要关注风险的数量方面,而且要关注风险的属性方面或其承载价值的后果。

3、评估风险应对。内部审计部门对有关部门针对风险所采取的防范措施进行检查,检查其是否得当、充分。对于风险缺乏充分控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。

4、评价风险监控。内部审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。

(四)传递反馈风险管理信息。在风险信息沟通活动中,内部审计人员要将掌握的风险信息及时、有效地传递给内部相关人员,以便及时采取相应的控制措施。风险管理的某些信息还要传递给其他有关方面,比如董事会和审计委员会等监督者要了解风险管理的情况,供应商、债权人等也需要对企业的风险管理有一定的信任。内部审计人员可以通过评价报告系统证明风险信息被准确、及时地传达给相关人员,如内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息,而内部审计职能的设立对债权人和其他外部利益相关者来说,也是企业具备有效风险管理的一个证明。

三、如何更加有效地发挥内部审计在企业风险管理中的作用

目前,我国大部分大中型现代企业都设置了内部审计部门,但存在着一些突出的问题。比如,内部审计部门不能向股东大会、董事会或监事会独立提交审计报告;内审部门的隶属关系、角色、职责不明确,缺乏独立性;内部审计工作范围局限于核实财会方面的交易,较少触及现代企业业务流程方面的风险管理和监测,从而未能就现代企业风险管理担起监督作用;内部审计人员的水平和内审方法有待提高,缺乏一套系统化和科学化的内审程序,等等。为解决这些问题,更有效地发挥内部审计在企业风险管理中的作用,提出以下建议:

(一)企业要提高对内部审计部门的定位。内部审计参与风险管理,其功效如何,关键在于内部审计机构的归属。内部审计部门应在企业高层管理当局的领导下发挥作用,这样对风险管理的目标有更深的认识,其审计建议被采纳的可能性更大,风险管理的作用也就能够得到更好地发挥。企业内部审计部门的宗旨、职责与权限都应以正式的书面文件(简称章程)来规定,并取得高层管理当局的批准。明确内部审计组织架构和管理体制,确定内部审计在公司的重要地位,将其职责通过章程加以保护,有利于内部审计更好地发挥在企业风险管理中的作用。

(二)内部审计部门应将风险管理放到重要位置。使内部审计由过去的控制导向审计向现代风险导向审计过渡,主要程序转向“确定组织目标、评估风险、管理风险”,审计人员由被动地承受审计风险到主动地控制审计风险。内部审计部门应将参与风险管理写入内部审计章程,明确内部审计人员应当关心组织所面临的风险,使审计人员必须根据风险评估的思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接起来,有效地管理组织风险。

(三)加强对内部审计人员的督导。内部审计工作是由不同层次的人员共同完成的,为了提高内部审计工作质量,内部审计机构负责人和项目负责人必须对审计人员的工作予以指导、监督和复核,这就是督导。内部审计机构应根据审计工作的具体情况,建立内部审计督导制度,明确督导的目的、范围及各级督导人员的责任。同时,必须强调督导是贯穿于审计项目全过程的,包括审计准备、审计实施和审计终结三个阶段。因此,督导必须包括对审计方案的制定及修订、审计程序的实施、审计工作底稿的编制、审计证据的性质、审计报告的撰写以及审计目标的实现等内容的监督与指导。审计机构负责人应采取适当的措施,尽可能减少内部审计人员的专业判断风险。在督导工作中,应遵循重要性、谨慎性和客观性原则。

(四)优化内部审计人员组合,并培养高素质审计人才。内部审计人员不仅应成为一名合格的审计监督管理者,而且应是一名优秀的风险管理者,既要掌握和了解企业内部的经营管理运作状况,又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等。因此,一方面企业应优化内部审计人员组合,吸收市场专家、计算机专家、管理顾问、工程师、舞弊检查专家等多种专业人才加入审计队伍,而不仅仅局限于会计专业;另一方面企业应该花大力气培养一批高素质的审计人员,为开展风险管理审计奠定基础。社会的竞争、风险的防范关键是人才,只有造就一批与内部审计事业相适应的,具有较高思想素质、业务素质和文化素质的内审队伍,才能起到有效防范风险的作用。■