当前公司内部审计参与公司风险管理的路径探索,本文主要内容关键词为:公司论文,风险管理论文,路径论文,内部审计论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、全面提升内部审计的法律地位,为内部审计在现代公司风险管理中发挥更大作用奠定基础
在我国,内部审计事业随着国家审计机关的诞生而萌芽,随着审计机关的成长而壮大。基本上是依附行政管理模式而运作。2003年国家审计署发布4号令,中国内部审计协会颁布了基本准则、具体准则、职业道德规范。内部审计初步有了自己的行业规章,对我国内部审计事业的发展起了至关重要的作用。两年来,随着审计风暴的洗礼,内部审计出现了前所未有的良好发展态势。但笔者认为,4号令毕竟是部门规章,准则和规范是行业自律规定,其法律地位远不能适应内部审计在现代公司风险管理中的要求。
综观我国现行法律体系,行业性的法律法规不少,如注册会计师有注册会计师法,律师有律师法。而内部审计工作在审计法中仅有一条提及。去年有关部门征求拟修改审计法的意见,并在其中为内部审计独著一章。这当然是一大进步,至少说明人们开始关注内部审计工作和内部审计人员的法律地位。但是内部审计的定位是对单位主要负责人和权力机构负责,内部审计人员受单位负责人的领导,故无论是工作职责、范围,还是内审人员的权利,义务都与国家审计机关和国家审计人员有很大的不同,加之,现代内部审计涉及各种经济性质的公司,一部法规显然难以囊括这些内容。同时随着现代内部审计要求加快内部审计队伍的职业化进程,内部审计必然走注册会计师面向社会,面向市场的行业管理道路,这种趋势也要求单独立法。
1.建议出台《内部审计师法》,提升内部审计的法律地位。以国家审计署4号令为基础,对国家机关、金融机构、事业组织、社会团体和各种经济性质的公司及其他单位实行内部审计制度,开展内部审计工作进行法律规范。设想如下:
第一,内部审计环境。按照与国际惯例接轨和我国国情的要求,对内部审计定义;内部审计机构的设立;内部审计工作的独立性、客观性;单位主要负责人和权力机构对内部审计工作的组织保障、法律保障、经费保障、人身安全保障等方面为内部审计师营造良好的审计环境,其中尤其要明确设立审计委员会和配备总审计师。
第二,内部审计管理体系。按照政企分开,政府不再直接管理公司的原则。内部审计师在单位主要负责人和权力机构的领导下开展工作。明确国家审计机关、内部审计师协会、内部审计师之间的相互关系。内部审计师协会对内部审计师实行行业自律管理,对内部审计工作质量进行检查和评估;国家审计机关对内部审计师协会进行指导和监督,通过对各单位的日常审计情况评估内部审计工作质量。
第三,内部审计师。根据内部审计师面向市场的客观要求,明确他们应享有的法律地位和权利;明确他们的职责范围;要求他们必须具备内部审计师上岗资格和接受内部审计师协会组织的后续教育,掌握现代内部审计必备的生产、经营、管理、风险控制、防范评估等专业知识和技能,要求他们遵守内部审计师职业道德规范和行为准则并应承担相应的法律责任。
2.建议架构董事会领导下的审计委员会和审计工作部门相结合及与各职能机构通力合作的风险管理保障体系。
现代公司要加强风险管理,必须从立法的高度架构风险管理保障体系,从而为全面风险管理提供法律保障和制度保障。
第一,设立审计委员会。我国有关公司治理准则要求现代公司在董事会下设审计委员会,但执行的较少,有些即使设立了机构也只是流于形式,没有真正发挥作用。所以我们建议现代公司应在董事会下设立审计委员会,由总审计师、独立董事和相关人员指挥本单位内部审计人员在风险管理中发挥重要作用。如审议年度风险管理计划,监督内部审计制度及实施;审查内部控制制度,对有效性和执行情况进行评价;审核财务信息和披露,保证财务信息的合法、真实性;审核全面预算;建立内部审计在风险管理中的工作程序和作业标准;组织对高管人员的经济责任审计;监督内部审计机构负责人的任免,为保证内部审计师的独立性提供保障。同时为了规避利用外部审计成果带来的风险,要审核中介机构的资格,并对其独立性进行评价,提议聘请外部审计机构,要组织内审工作部门对外部审计成果进行评价。
第二,配备总审计师。现代公司风险管理涉及生产、经营、投资等多个领域,是一项系统工程,没有高素质的人才和强有力的组织保障是难以奏效的。建议在设立审计委员会的基础上配备总审计师,全面负责审计委员会的工作,并对董事会负责。总审计师应熟悉国家的相关法律法规,熟悉生产、经营活动,具有较高的组织领导才能、敏锐洞察力、判断分析能力和现代公司管理科技知识,并有中级以上专业技术职称和大学本科以上文化程度。
第三,建立独立的内部审计机构。按照现代公司风险管理的要求,应建立独立的内部审计工作部门,具体从事风险的预警、测试、检查、评估等工作,向审计委员会负责。该部门负责人由审计委员会监督任免。工作部门要配备懂法律、懂经济、懂审计的各种专业人才以适应现代公司风险管理工作的需要。
二、积极培养公司管理者的竞争意识与风险意识,尽快形成内部审计需求市场和加速内部审计职业化进程
现代公司风险管理这门学科在我国起步较晚,与国际先进知名公司相比,我国公司管理者的竞争意识与风险意识较薄弱。加之,我国现代公司前身大部分是国有公司,计划经济体制中,国有公司有国家财力做坚强后盾,风险意识较薄弱。尽管改制后公司发生了质的变化,但是公司与政府仍有千丝万缕的联系和依存关系。所以积极培养公司管理者的竞争意识和风险意识至关重要。要使他们意识到现代公司风险无处不在,必须加强控制和管理,识别那些可能影响公司的潜在事件,在组织的风险偏好范围内管理风险,为组织目标的实现提供合理的保证。
有了这些认识和理念,现代公司管理者会由衷的在公司内部锻造一支风险管理团队。加之,在公司的外部有法律保证的氛围和环境,自然形成了内部审计在现代公司风险管理中的沃土,每个公司部有这种自发要求后,内部审计的需求市场也就应运而生。
笔者认为,问题的关键在于内部审计队伍如何适应这种市场需求的变化而加速职业化进程。
纵观我国内部审计队伍,乃是藏龙卧虎之地。集结了一批道德素质好,专业技术精的中、高级审计师、造价师、工程师、律师、经济师、国际注册内部审计师等专业人才。他们在各自的岗位上为现代公司风险管理作出了卓越贡献。但是随着科技时代的到来,现代公司风险管理赋予了新的内涵,急需要复合型的人才。从全局上看,内审队伍现状与市场需求有较大差距。因此一是各级内部审计师协会要抓好行业管理,建立人才库,为内审人员职业化做好服务工作。要对现有人员进行有计划的高水平的后续教育,学习国际流行的现代公司风险管理技术方法,提高工作水平。二是公司管理者要充分认识人才就是财富的理念,要从战略高度积极培养复合型年轻人才,充实内部审计队伍。用优越的薪酬和公司文化广纳人才,留住人才。三是内部审计人员要迎接市场挑战,认清优胜劣汰的形势,不断学习,增长才干,使自己成为合格的内部审计师。
三、认真推进风险管理控制方法在实践中的运用,扎实提高内部审计工作水平
1.设立风险导向的内部审计程序
第一,明确审计总体目标。内部审计活动总的目标是“评价并帮助改进机构的风险管理控制和治理系统”(IIA《标准62100》工作性质),具体审计活动围绕更为具体的风险管理目标进行。在开展咨询业务时,内部审计师应根据业务目标解决风险方面的问题,还应对其他的严重风险保持警惕;内部审计师应结合开展咨询服务时了解到的风险情况,查找、评价机构的重大风险因素。
第二,编制审计计划。《内部审计实务标准》要求,内部审计部门的计划应该反映机构的风险战略。因此内部审计部门应根据机构的目标结合风险分析制定计划,确定符合机构目标的内部审计工作重点。内部审计部门在制定审计计划时应采用综合风险管理办法,将公司面临的关键商业风险划分类别,为全公司每个经营单位描绘“风险识别图”;内部审计部门与其他部门积极合作,共同制定风险审计计划;以风险导向审计计划代替轮流审计计划。
内部审计部门应随时关注机构管理层的方针、目标、工作重心的变化,相应调整更新审计计划和相关审计计划中的内容。
第三,制定审计方案。内部审计师应该编制有助于实现审计目标的审计工作方案。审计目标和程序应该针对与被审活动有关的风险。内部审计部门应考虑的风险因素有:金额的重大性;资产的折现力;管理能力;内部控制的质量;变化或稳定程度;上次审计业务开展的时间;复杂性;与雇员及政府的关系等等。
审计风险=固有风险×控制风险×检查风险
由于这一步依赖内部审计师主观的专业判断,所以它是影响内部审计师审计风险高低的关键一步,是内部审计师检查风险大小的起因。审计方案确定的检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率。
第四,出具审计报告。内部审计师通过分析汇总审计发现编写的审计报告,应该传达对风险管理的结论和建议,以降低风险。为了让管理层充分理解风险的程度,在报告中应特别提出风险活动对于实现目标的关键性与后果。
内部审计部主任应该每年至少准备一份关于内部控制充分性的声明,以减少风险。此声明也应该对未防范风险的重大性及管理层对此风险的接受情况发表意见。
第五,后续审计。风险是决定后续审计本质和范围的重要因素。风险越大,后续审计的范围就可能越广。后续审计应该将注意力集中于最严重的或潜在的问题上,对一般事项的后续审计可仅限于询问和简短的讨论。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正:若不予纠正,责任和原因到底在那儿。若总审计师认为高级管理层接受的剩余风险对于机构无法接受,应该上报董事局加以解决。
2.健全内审与公司的各级风险管理组织相配合的综合风险管理体系。
公司风险管理是一个系统工程,这种管理要求内审工作发挥自己的独特优势,与各级风险管理组织通力合作,超越公司内部各职能部门之间的隔阂,实现全体的综合的和全员层次的行动进行综合的风险管理。
在现代公司的风险控制方面,一般建立三级的风险管理组织,即由公司高级管理层组成的审计委员会作为公司风险管理的最高决策机构;审计委员会领导下的内部审计专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及各业务部门执行风险控制制度的有效性进行定期的检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议。内审部门对审计委员会负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能,各部门负责人直接负责风险监控,内审部门要对其监控情况组织指导、监管和控制质量进行评估。
具体设计为:
(1)首先,成立以审计委员会为风险管理的最高决策机构;
(2)将公司所面临的各种风险分为若干个类别,为每一类风险作出书面定义,在公司内部统一风险语言,附建一种风险管理文化;
(3)内部审计部门为各下属经营单位指派“教练”。各经营单位负起全面的风险管理责任(评估及识别风险,对风险进行分等排序,制定行动计划并跟踪执行情况);而内部审计部门则扮演平等的顾问角色,主要指导和影响各经营单位风险管理;
(4)各业务经营单位的负责人每年初向审计委员会提交风险管理责任书,声明对其自身业务的风险管理负责并且积极采用综合风险管理战略;
(5)内审部门通过两类信息系统驱动风险管理过程:“公司风险管理信息系统”及“内部控制信息系统”;
(6)内审部门为各下属单位提供风险管理训练,大部分精力用于指导这些单位的员工预防及检查风险、监督及设计适当的控制。
以公司综合风险管理为中心的内部审计工作,可用图1表示其运作关系。
3.实现全面预算与风险管理整合的模式
全面预算管理与风险管理都服务于公司,全面预算管理体系中需要全面系统地考虑风险因素的影响,并且预算管理体系本身就是一个风险控制体系,它们有着天然的联系,所以,全面预算管理体系和风险管理体系相互融合既是必要的也是可能的。
下面将设想一种有效的实现全面预算与风险管理整合的模式(如图2所示):
图1 以公司综合风险管理为中心的内部审计运作图
图2 内部审计参与全面预算对风险控制过程示意图
第一,组织架构设想。将风险管理组织架构的模式分为三个相互关联而又相互制约的层次:决策层,执行层和监督层。决策层专门负责风险管理策略政策的制定,主要风险指标的设定,风险管理目标的确定,重大风险事件的决策,全面预算审核等。执行层,具体都由子公司或分公司负责,职能由相互独立而又有机结合的三个部分组成:一是根据风险管理政策进行客户关系,销售商信誉评价,供应商资质管理等职能;二是对风险进行监控、分析及汇总;三是负责具体的业务。监督层,由分、子公司负责人、各委员和职能部门负责。具体职能:负责风险管理流程的设计,风险预警体系设计,日常的风险决策,风险资金的分配、考核等。
第二,程序与政策设想。风险管理的程序和全面预算管理过程完全融合起来,预算编制过程同时也是风险识别过程。预算执行过程也是风险控制过程,风险的决策、分析、调整、考核与预算管理过程一并进行。
第三,风险识别过程设想。审计委员会是风险管理的决策层,根据公司面临的系统性风险,确定影响本公司战略目标实现的主要风险因素,制定针对主要风险因素的管理策略制定目标风险标准,风险指标预警范围,风险控制的方法。将要控制的主要风险因素作为预算管理的考核指标分解到个业务部门,随同预算的执行进行动态监控,业务单位根据预算编制指南编制本单位的预算草案,同时分析预测影响指标完成的引致原因、可能原因、可能结果,有条理,合乎逻辑地把致损原因分析到最小因素。
第四,风险控制设想。预算控制过程也就是风险控制过程,业务部门定期将预算执行结果及偏差分析和风险情况汇总分析,下期情况预测上报经营层负责人与审计委员会,经营层和审计委员会在各自的授权范围内进行决策,如需调整现行预算,按规定程序进行审批,借助强大的信息管理系统,采用先进有效的风险控制措施,预算与风险管理完全可以实现实时控制。
第五,风险处理设想。公司的风险无处不在,尽管采取多种风险防范措施也无法绝对避免公司风险的发生。因而,一旦发生风险,就必须启动应急机制妥善处理,迅速查明公司风险的范围,损害的程度和事态发展动向,判明风险的性质,及时对风险损失进行有效的补救。以便在最短的时间内,用最少的成本排除风险对公司的干扰,最大限度地避免和减轻因损失而导致公司陷入困境的可能性。通过实时监控,风险指标的预警,风险应急机制,高效的预算控制体系可以做到风险的及时处理,必要时可以起用风险基金,保证公司的正常运转。
标签:风险管理论文; 内部审计论文; 审计委员会论文; 审计计划论文; 审计质量论文; 审计目标论文; 过程管理论文; 审计方法论文; 管理审计论文; 审计流程论文; 审计准则论文; 工作管理论文;