家族企业的内部风险管理审计,本文主要内容关键词为:风险管理论文,家族企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着家庭企业规模的扩大,发展环境发生的根本变化,为了能在家族企业更好地开展内部风险管理审计,加强对家族企业的风险管理,本文就家族企业的内部风险管理审计展开探讨。
一、风险管理和风险管理审计
1、风险管理
美国COSO(Committee of Sponsoring Organization)委员会于2004年9月颁布的《企业风险管理框架》(COSOERM),中指出“企业风险管理(Enterprise Risk Management,ERM)是一个过程,它由董事会、管理当局和其他人员执行,应用
我国内部审计协会2005年发布的内部审计具体准则16号——《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,其过程包括以下三个主要阶段:第一,风险识别,即根据组织目标、战略规划等识别所面临的风险;第二,风险评估,即对已识别的风险,评估其发生的可能性及影响程度;第三,风险应对,即采取应对措施,将风险控制在组织可接受的范围内。企业风险管理的最终目标是为企业目标的实现提供合理的保证。
2、风险管理审计
风险管理审计是内部审计实施的一种类型,是内部审计的一种职能体现,企业的内部审计机构和人员应充分了解本企业的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。所以风险管理审计的重点是对企业各级管理部门在风险管理过程中职责的履行情况进行的审查和评价。由于风险管理包括企业整体及职能部门两个层面,所以内部审计人员既可对企业整体风险管理进行审查与评价,也可对职能部门风险管理进行审查与评价。
二、风险管理审计是家族企业内部审计的首要使命
1、家族企业及其内部审计的特点
由于家族企业的范围广,种类多,涉及的因素复杂,所以迄今没有一个关于“家族企业”公认的定义。在本文中,我们认为家族企业是指企业的经营权或所有权的控制权归属于一个或数个家庭或家族所有,而且能将所有权或所有权的控制权合法传于后代的企业组织。在这类企业组织形式中,一个家庭(家族)掌握着一个企业的主要所有权或控制权,并实际掌握着企业的经营管理,特别是掌握着有关财务政策、资源分配和经理选拔权等最高决策权。
图1 内部风险管理审计的主要内容
当前我国家族企业普遍推行的是一种单边治理结构,家族企业的老总既拥有企业所有权,也拥有经营管理权和收益分配权等企业重要权力。家族成员也常被安排到企业各重要岗位。在这种单边治理结构下,企业的权、责、利高度统一,不存在所有者与经营者之间的委托代理关系,从而也避免了由于信息不对称所带来的代理人的道德风险问题。另外,家族企业家由于受各方面知识的限制,对内部审计的认识普遍不够深刻,没有认识到内部审计对加强企业管理的重要性;对审计范围的认识也局限于传统的财务收支审计。所以大多数家族企业的内部审计基本停留在财务审计,即对企业资产、负债、所有者权益和收入、费用、损益的真实性和合规性审计上,目的是为了查错防弊,保证公司资产安全,却没有进行风险审计和企业经营管理审计的意识。
综上所述,家族企业内部审计不同于现代企业制度下非家族企业的内部审计,相比于现代企业制度下的内部审计,家族企业对内部审计的需求不够强烈,很难真正发挥好内部审计的应有的作用。尤其是家族企业内部审计的定位,如果仍象现代企业制度下将内部审计定位于对企业财务报表的查错防弊、对企业的内部控制和经济效益进行评价,势必会导致家族企业老总认为内部审计无足轻重。因为总体来看,家族企业的“人治”高于内部控制,各个关键岗位都是家族成员担任,并由于整个家族经济利益的一致性,使得家族企业在一定程度上
能够高效率运作,于是进一步限制了内部审计发挥作用。
2、风险管理审计是家族企业内部审计的首要使命
笔者认为,当前家族企业内部审计不能有效发挥作用的深层次原因是家族企业内部审计的定位不准确,不符合家族企业的特点,故不足以吸引家族企业主的注意力。随着经济全球化和一体化速度的加快,企业竞争的全球化、经营的战略化,风险管理则比以前任何时候更显得重要了,对家族企业管理者和决策者而言,其地位也越发的举足轻重,企业风险管理审计应该成为家族企业内部审计的首要使命,并上升到影响企业发展的战略高度,对企业的可持续发展发挥着至关重要的作用。
所以,在企业面临的经营风险不断加剧的前提下,以识别风险、评估风险和应对风险为核心理念的企业风险管理审计必将是家族企业内部审计发展的必然趋势,并成为家族企业内部审计的首要使命,这同时也会大大促进家族企业主对内部审计的需求,使得家族企业的内部审计蓬勃发展。
三、风险管理审计的内容和方法
根据COSO于2004年颁布的《企业风险管理框架》,企业风险管理的构成要素有八个:(1)内部环境;(2)目标设定:(3)事件识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个要素相互关联,贯穿于企业风险管理的过程中。所以,内部风险管理审计也围绕着这些要素进行审计,并主要围绕事件识别、风险评估、风险应对、控制活动、信息与沟通展开。如图1所示。
(一)风险事件识别
为了从总体上管理家族企业的风险,风险管理人员应该针对现有环境与经营过程,采用模板、分析、链接等工具和方法描述企业的战略和商业模式,推断既定环境下企业(或者某一职能部门)所有潜在的重大风险,并列出所面临风险的完整列表,以使家族企业主了解所有威胁目标实现的因素。
内部风险管理审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注企业面临的所有潜在重大风险是否已得到充分、适当的确认。这些重大风险包括企业内部风险和外部风险。外部风险是指外部环境中对企业目标的实现产生影响的不确定性,其主要来源于以下因素:(1)国家法律、法规及政策的变化;(2)经济环境的变化;(3)科技的快速发展;(4)行业竞争、资源及市场变化;(5)自然灾害及意外损失等。内部风险是指企业内部环境中对企业目标的实现产生影响的不确定性,其主要来源于以下因素:(1)企业治理结构的缺陷;(2)企业经营活动的特点;(3)企业资产的性质以及资产管理的局限性(4)企业信息系统的故障或中断;(5)企业人员的道德品质、业务素质未达到要求等。从某种意义上说,由于家族企业的性质、经营等方面的特点,使得家族企业面临风险比现代企业的风险大,所以对家族内部审计人员的要求也更高。
(二)风险评估
识别了所有重大潜在风险以后,风险管理人员必须采用定性的方法和定量的方法,对风险发生的可能性加以评估,评估其量值(货币损失或事件发生可能带来的不利影响)以及不利事件发生的概率。
内部风险管理审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,充分了解风险评估的方法,评价风险评估方法的适当性和有效性。评价风险评估方法的恰当性时,审计人员应考虑定性方法是否已充分考虑相关部门或人员的意见;在风险能量化、定量评价所需数据能获取时,是否采用了定量方法,因为一般情况下定量方法会比定性方法提供更为客观的评估结果。
(三)风险应对经过识别和评估了重大风险后,风险管理人员会将风险划分为三类:一些风险在现有的量值和概率水平上是可以接受的;一些风险的量值或概率非常大,超出了企业的风险偏好,是不能接受的,必须规避;还有一些风险是可以通过采取一定的行动减少风险并最终接受的。
内部风险管理审计人员应当实施适当的审计程序,对风险应对措施进行审查,并评价风险应对措施的适当性和有效性。在评价风险应对措施的适当性和有效性时,应重点考虑:(1)采取风险应对措施之后的剩余风险水平是否在企业可以接受的范围之内;(2)采取的风险应对措施是否适合本企业的经营、管理特点;(3)风险应对措施的成本效益衡量。
(四)控制活动
上文提到有些风险是可以通过采取一定的行动减少的,这些行动限制或减少所面临风险的可能性或者量值,控制活动就是家族企业管理层设计的这些用以合理缓解风险的政策和程序。
内部风险管理审计人员应当实施适当的审计程序,对控制活动的措施进行审查,并评价其政策和程序的适当性和有效性。
(五)信息与沟通
企业内部有多个主体都需要获取风险评估和风险管理过程的相关信息,管理层也希望员工能够适当获取其所面临风险的信息,并将日常经营中的例外情况报告管理层。通常,风险信息在企业内部采用信息技术手段和定期的内部报告形式列报。
内部风险管理审计人员应该验证列报是否准确、及时,是否能被适当主体所获取;要评估风险信息传递的有效性,在评估风险信息传递的有效性时,内部风险管理审计人员可能要审查员工培训项目和风险信息的列报技术。
标签:风险管理论文; 家族企业论文; 内部审计论文; 企业内部控制与风险管理论文; 风险评价论文; 审计方法论文; 审计目标论文; 审计准则论文; 风险评估论文;