企业风险管理与风险导向内部审计关联性研究,本文主要内容关键词为:关联性论文,风险管理论文,导向论文,内部审计论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、企业风险管理与风险导向内部审计
(一)企业风险管理的现实需求
根据COSO的企业风险管理框架,全面风险管理架构是三维立体矩形:第一维是企业目标,包括战略目标、经营目标、报告目标和遵循性目标;第二维是全面风险管理要素,包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督:第三维是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。这三个维度的关系是:全面风险管理的八个要素都是为企业的四个目标服务的:企业各个层级都要坚持同样的四个目标:每个层次都必须从以上八个方面进行风险管理。
ERM体现的是内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,内部审计人员在企业风险管理的监控中占有重要地位。内部审计人员通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告,并提出建议来帮助管理者、董事会或审计委员会,以咨询顾问的身份介入风险管理的过程。这也相应的促进了内部审计理论与实务的发展,从客观上促进了风险导向内部审计的深层次发展。
(二)连接风险导向内部审计与ERM的必要性
风险在企业内部具有感染性、传递性、不对称性等特征,即部门所造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
风险导向内部审计部门从事具体业务活动,独立于业务管理部门,这使得可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险,控制、指导企业的风险策略。由于风险导向内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
风险导向内部审计注重以风险为导向,突出了对整个企业进行风险识别、评估和应对,使企业可以更好的避免风险以实现可持续的健康发展不仅是在内部控制系统中分析业务活动,而是要站在风险的高度,在风险环境中观察经济业务的发展过程,从而规避风险,防患于未然。内部审计人员对企业面临的风险了解的相对较多,对防范企业风险、实现企业目标有着更强烈的责任感,在这种新的风险导向模式的指导下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程,二者连接在一起能更好地发挥彼此内在的作用,有利于企业整体目标的实现。
二、CSA方法下实现二者有效连接的具体分析
(一)CSA方法作为连接点的合理性分析
1.连接方式——全员参与,风险导向内部审计与ERM要求全员参与,CSA方法的核心理念就是全员参与的双向沟通机制。
企业风险管理是一个由人参与的过程,应用于企业内部每个层次和部门,从企业总体的轰动到业务部门的活动再到业务流程都要考虑所面临的风险,整个过程涉及一个企业各个层次员工,需要彼此不断的沟通和协调,形成一个比较有序的管理机制。
2.连接路径——风险评估,风险评估既是CSA方法的核心,又是风险导向内部审计与ERM的共同流程。
以风险为导向内部审计部门考虑了风险评估,并将它们系统地与企业目标联系起来(贝利等,2006)。内部审计部门和人员在企业风险管理中的作用主要体现在风险评价上,对原有的已识别风险是否充分进行评价,找出未被识别的主要风险;并要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正;最后提出改进措施和建议,以强化企业的风险管理,降低风险损失。
企业风险管理已经成为组织中的关键流程,而风险评估又是贯穿ERM整个过程始终的一环,需要不断的修正,随着ERM的进程发生着动态的回应,影响着ERM的其他管理环节。
CSA方法注重内部控制以风险管理为导向进行合理的设计,聚焦于目标、策略及风险与控制管理程序,采用持续式由管理层主导的风险重新评估,风险评估是CSA方法的一个关节点,影响着CSA方法的实施成效。通过风险评估这个关键环节,CSA可以体现风险导向内部审计和ERM的共同基点,其关系如图1所示:
ERM促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,以风险评估为主要职责才是内部审计的焦点。CSA是一种基于风险评估实现价值增值的有效方法。目前,企业风险管理的重要性已不言而喻,风险导向内部审计运用CSA方法实现与ERM的有机衔接,将是其进行价值创造的有效途径。
(二)CSA方法下内部审计角色的定位分析
国际内部审计师协会(IIA)主席伍顿·安德森博士在2004年5月25日的上海报告会中指出,IIA《内部审计实务标准》认为内部审计在风险管理中的角色和作用有两个方面:一是协助风险估算程序;二是对风险管理程序的评价,对风险管理的恰当程度作出保证。
在风险导向内部审计参与风险管理的前提下,内部审计人员成为企业决策过程中必不可少的参谋人员,内部审计将不再作为监督者的身份出现,而是定位为“风险咨询者”的新角色。
风险导向内部审计在风险定义、风险评估和风险报告等方面扮演着中心角色,内部审计人员通过对在CSA结果中注意到的高风险和非正常项目进行复核力气确定审计工作目标,通过把纠错行动从所有者方面向雇员面转移的办法来提高纠错行动的有效性,使其成为股东大会、董事会、高级管理层及职能部门之间沟通的桥梁,注意力从过去的结果转向关注未来的风险领域而为组织增加价值。
图1 以风险评估为中心的管理结构
CSA方法下可以满足企业风险管理对内部机制的要求,同时要求转换内部审计的角色——风险咨询师,有利于发挥出内部审计独特的优势;此外,CSA方法强化了风险意识,将ERM真正纳入了企业的整体管理中,形成新的管理理念,推动整个企业管理的全方位进展。
图2 CSA方法下风险导向内部审计与ERM的对接
(三)CSA方法下双方对接的有效性分析
CSA是一种自发的自我评估程序,它把传统的只由内部审计人员从事内部控制评价转由公司各部门参与作业的人员亲自评估,帮助他们认识到内部控制评价不只是内部审计工作的责任,也不仅仅是管理层关心的问题,相反,应该把它是组织所有成员的事。通过内部控制自我评价,及时发现内部控制中需要改进的地方并加以改进,通过内部控制自我评价的长期开展,能够有效降低企业风险,促进企业持续健康稳定的发展。通过CSA方法连接风向导向内部审计与企业风险管理的流程如图2所示:
实施CSA方法对于一个组织加强管理,提高劳动生产率,改进内部审计程序和业务经营程序,控制风险都有着积极的作用。在已经成功实施了控制自我评估的单位中,内部审计部门和高层管理部门不再说“这是控制,这是政策和程序,这是你要做的事,你就做吧。”而是说,“让我们听听职员说的话,让我们利用他们的专业,让他们参与进来。”这种变化事实上是从有限的职员参与变为广泛的职员参与,从“审计师对控制负责”变为“所有的职员都对控制负责”(拉里·L.贝克,1997)。
风险导向审计,要求内部审计人员不但要检查本企业的风险情况,还要观察同行业内其他企业的经营情况及整个市场的经营风险水平,站在一个较高的角度识别企业风险。企业风险无处不在,不但各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。运用CSA方法从评价各部门内部控制制度入手,在各领域查找管理漏洞,帮助企业管理当局识别并防范风险,并采取更加的内控制度来管理企业的风险。通过实施全员参与的CSA方法,可以把风险导向内部审计与企业风险管理紧密的联系在一起,通过风险评估过程,不仅可以充分体现出风险导向内部审计“为企业增加价值”的作用,还可以为企业的风险管理提出改进意见。
通过运用CSA方法,在企业风险管理中引入风险导向内部审计的力量,以风险为基点,进行风险评估、识别和应对,不仅可以提高内部审计部门的凝聚力,提升全员的工作积极性,还有助于企业实现在风险环境下的协调与长远的发展。
标签:风险管理论文; 内部审计论文; 风险评估论文; 企业内部控制与风险管理论文; 内部控制论文;