风险导向内部审计及其在企业风险管理框架构建中的应用_风险管理论文

风险导向内部审计及其在企业构建风险管理框架中的应用,本文主要内容关键词为:风险管理论文,导向论文,内部审计论文,框架论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

一、风险导向内部审计:内部审计与风险管理的结合

内部审计的新发展是将评价和管理风险作为重要服务领域。本文所指风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险,根据风险度选择项目,以降低风险为导向,以对整个组织的风险进行评估与改善为最终目的的一种审计理念。内审人员在对被审单位的内部控制充分了解和评价的基础上,分析、判断风险程度,针对不同风险因素状况采取相应的审计策略,将内部审计的风险降低到最低水平。企业内部审计师通过测试风险管理的有关方面(风险管理方针、策略和风险评价指标体系),对风险程度及管理情况作出专业判断,提出审计评价与建议,以实现企业运营目标。其根本目标是通过将风险与企业目标的实现直接联系起来,为公司治理层及管理层提供有价值的服务(杨爱群,2007),是企业进行风险管理的一种有效工具。

借鉴了风险管理的风险导向内部审计重心将从“控制”转向“风险管理”。在风险导向观念下,内部审计除了关注传统的内部控制外,更关注有效的风险管理机制。

二、风险管理理念的发展与风险管理框架的提出

美国Treadway委员会下属赞助委员会(COSO)2004年在已有的内部控制框架概念(1992)的基础上,提出了《企业风险管理框架》(Enterprise risk management,ERM)的讨论稿,使内部控制研究发展到一个新的高度。在该讨论稿中,风险管理被定义为:“企业风险管理是一个过程,受组织的董事会、管理层和其他人员影响,风险管理应用于战略制定,贯穿整个企业。企业风险管理旨在识别影响组织的潜在事件,在组织的风险偏好(risk appetite)范围内管理风险,为组织目标的实现提供合理的保证”(张翠华、牛成喆,2005)。

从美国COSO委员会的《内部控制框架》报告,再到新近颁布的《企业风险管理框架》报告,可以清楚地看到,风险是一个比内部控制更为广泛的概念,内部控制是企业风险管理框架必不可少的组成部分。并指出,企业风险管理框架扩展了内部控制,对于企业风险管理提供了更加稳健和广泛的关注。但是,企业风险管理框架并不能取代内部控制框架(以下简称IC-IF),而是把内部控制框架包括进来,企业可以用企业风险管理框架来满足内部控制的需要并且推进企业的全面风险管理流程。

总的来讲,新的框架扩大了风险管理的广度、深度,加强了企业管理层次控制风险的地位和职责,把风险评估在企业经营中提到十分重要的高度。强调企业的风险管理应针对企业目标的实现,在企业战略制定阶段就予以考虑,而企业在对其下属部门进行风险管理时应对风险进行加总,从组织的顶端、以一种全局的风险组合观来看待风险。此外,根据风险管理的需要,对企业目标进行重新分类,明确战略目标在风险管理中的地位(吴秀波、张舒华、魏伟,2005)。

COSO委员会认为企业风险管理框架应为企业的董事会和管理者提供合理保证,提出风险管理应在整个企业范围内应用,并应以一种企业的总体风险组合的观点来管理风险。在此基础上进一步提出企业的风险管理框架由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控八个要素构成(毛敏,2004)。另外,提出了四个目标和四个层次(如图1所示)。八要素与企业目标和企业各层次之间是一个三维交错,相互作用的关系。风险管理框架整合了公司治理和内部控制,关注了公司治理领域和内部控制环节的风险,而这些风险也正是风险导向内部审计的对象。

图1风险管理框架三维结构

三、基于风险导向内部审计的企业风险管理框架的构建

综合上述内容,结合风险导向内部审计与企业风险管理框架的论述,构建基于风险导向内部审计的企业风险管理框架,如图2所示。

图2 基于风险导向内部审计的企业风险管理框架

(一)了解外部环境风险

企业的外部环境是企业生存的基础,外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况,还要了解:(1)同行业其他企业的经营情况;(2)市场波动风险;(3)政策环境变动的风险;(4)科技进步风险;(5)自然灾害带来的风险等。

(二)确定风险容忍度

风险容忍度是企业在实现其目标的过程中对差异的可接受程度,是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大,说明企业承受风险的能力较强。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定风险容忍度,在风险事件来临时采取不同的措施加以应对。

(三)识别风险

风险识别是风险管理框架中的关键。是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险并充分征求各方意见以形成风险监控列表。

可以根据自身的实际情况,制定风险管理审计计划,包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。最后,审计委员会还要关注已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。定性的方法有以下几种:调查问卷表、SWOT分析、流程表、事件树等。

其次是对识别出的风险进行定量评估,定量分析可以借助计算机分析和统计分析模型,通过对所收集的大量的详细损失资料,应用各种管理科学技术,采用定性与定量相结合的方式,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低。针对企业制定的详细风险管理审计计划,分别评估每一计划的风险,再综合各方面因素,确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计。

在此过程中,内部审计委员会要对已有的评估结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况,提出改进措施和建议,以强化企业的风险管理,降低风险损失。风险分析中不仅要关注风险的数量方面,而且要关注风险的属性方面或其他承载价值的后果(李瑛、李阳,2008)。

(四)应对风险

根据本企业的风险容忍度,制定风险应对策略:可规避性、可转移性、可缓解性、可接受性。内审委员会对有关部门针对风险所采取的行动进行检查,检查其是否充分、得当。对于风险缺乏充分控制措施的情况,内审委员会可以根据不同的情况,提出避免风险、接受风险还是降低风险的具体措施和建议,协助完善风险的反应方案,以强化企业的风险防范管理,降低风险损失。内部审计人员在评价风险应对措施的适当性和有效性时,还应当考虑以下因素:(1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;(2)采取的风险应对措施是否适合本组织的经营管理特点;(3)成本效益的考核与衡量等。

(五)监督风险发展状况

风险是动态的,风险的数量和可能性会随环境的变化而变化,持续的监控对有效地管理风险是最基本的。内审委员会可以通过持续的监控,使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值,了解风险评估的正确性,为下次评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。

(六)评价风险带来的影响

一个风险事件结束后,审计委员会应将此次事件所带来的影响进行归纳、总结,成为以后风险管理的经验。在风险总结中应包含对以下内容的评价:(1)风险识别是否完整;(2)风险衡量是否准确;(3)应对措施是否有效;(4)监控手段是否合理;(5)风险事件的后果。经过这个环节,可以总结工作的经验与教训,使风险管理框架更加完善。

本文提出企业风险管理框架是一种以风险导向内部审计为指导思想的企业风险管理方法,同时明确了内部审计在风险管理过程中所负担的职责,为内部审计的发展提供了指导方向。总之,一个理想的建立在风险导向内部审计基础上的企业风险管理框架能够有效地控制和管理企业风险,在现有的条件下使企业风险达到最小。

四、企业风险管理框架对我国的借鉴意义

我国企业风险管理普遍处在比较低的水平上,虽然近年来取得了长足的进步,但就总体而言,与飞速发展的客观经济形势仍不相适应,呈滞后状态。现在国内大多数企业之所以没有进行风险管理,是因为缺乏一种与企业整体状况相适应并指导企业进行风险管理的系统框架。这种框架可以帮助企业在事件发生前预测风险,事件发生时应对风险,事件发生后评估与监控风险。

(一)在组织机构上,内审工作要与企业的各级风险管理组织相配合,开展企业综合风险管理

根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理(EWRM,Enterprise Wide Risk Management)的概念,这种管理要求内审工作超越企业内部各职能部门之间的隔离,实现全体的综合的和全员层次的行动,进行综合的风险管理。

(二)提高企业风险意识,培育全面风险管理理念

开展企业风险管理审计,首先要求企业决策层彻底转变观念,增强风险意识,提高对风险管理审计的重要性的认识,切实把风险管理审计摆在重要位置上,正确、合理地处理风险与效益的关系,把企业长远利益作为企业的根本目标。内部审计人员作为风险管理的倡导者和推行者,首先自身要树立风险意识,还可以通过事前、事中、事后的评估和对内咨询服务向企业其他成员灌输风险意识,使其认识到企业所面临各种风险的利弊,并自觉地参与风险管理。只有真正树立了企业全员的风险管理意识,才能实现企业的全面风险管理。

(三)优化内部审计组织模式,提高内部审计人员素质

全面风险管理强调整体性和全局性,决定了内部审计部门在企业中需保持一定的超然性和权威性。IIA认为内部审计在职能上向董事会下设的审计委员会报告,在行政上向CEO报告是一种理想的结构。这种报告关系既可保证内部审计参与风险管理的权威性,也有利于整个企业内部风险管理措施的互补。改善内部审计人员的知识结构,提高其胜任能力,是内部审计实现参与风险管理的关键所在。内部审计人员不仅应成为一名合格的审计监督管理者,更应是一名优秀的风险管理者,既要掌握和了解企业内部的经营管理运作状况,又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等要求。

(四)及时沟通信息,确保风险处置时效

沟通应该贯穿整个审计过程。在审计实施前,内审人员应就审计报告的提交日期、各审计阶段的进度安排、应提供的资料、人力和物力协助、各重要审计程序的执行日期等方面与被审计单位充分协调、沟通,避免可能产生的一些矛盾。在审计实施过程中,对审计发现的问题及所提出的建议,审计人员要与被审单位或个人进行商谈。讨论审计结果有两种方式,一是面对面的口头交换意见;二是通过编制和答复书面的“审计备忘录”进行。通常,“审计备忘录”应包括现状、标准或期望、原因、影响、评价、建议等部分,并要求指定的人员在规定时间内给予正式的书面答复,以免事后产生不必要的争议。在审计报告发出前,不仅要征求被审计单位的意见,还应考虑相关部门的意见。关于发布审计结果,IIA2001《标准》第2440款指明“为使公认风险范围以外的‘例外’情况受到重视,风险得到管理和控制,审计执行主管应负责将发现的风险管理、控制及治理方面的问题,报告给那些能保证对审计结果进行应有考虑的人员”。

(五)对原有内部控制系统与风险管理系统进行整合

我国企业内部控制系统还不够完善,对风险的控制与管理关注较少,与COSO报告所提出的先进的评估风险和应对风险的方法相差较远。我国企业应该参照国际先进的风险管理理念和模式,对原有的内部控制系统和风险管理系统进行整合。当然,如果企业没有风险管理系统,也可以借鉴风险管理框架所提出的先进的风险管理理念、方法来建立本单位的风险管理系统,并注意与原有的内部控制体系进行整合,使之在一体化的框架下运作(李正,2005)。

(六)重视后续审计,形成风险管理回路

由于种种原因,被审计单位有可能表面上认可审计结果,却没有采取任何实质性的改进措施,这不仅无法进行有效的风险管理,也会动摇内部审计在企业中的威信和存在价值。所以,后续审计就成了内部审计工作中的关键程序。后续审计是指在审计报告发出后,内审人员仍然要为报告中所涉及的审计结果和审计建议进行跟踪,以审查和监督被审计单位是否采取了风险防范和控制措施。后续审计应该跟踪到:对于重大的审计发现,相关部门和环节是否予以纠正;若不予纠正,责任和原因到底在哪里。为了便于企业高层理解审计部门的工作,保证审计建议有效落实,后续审计也必须有具体、详细的跟踪记录。跟踪记录应反映:审计结果和建议、责任人、截至目前采取的纠正措施、未纠正的原因、计划采取的措施等。后续审计仍然必须坚持风险导向和成本效益原则。如果风险较大或是潜在性的,不仅高层管理层要重视后续审计,内部审计人员也要投入时间、精力,拓展后续审计项目的深度和广度。反之,后续审计可仅限于询问和简短的讨论,以节约审计成本。

在当前金融危机席卷全球的大背景下,企业风险管理正展现出前所未有的重要价值,同时也给企业风险管理提出了更高的要求。企业更要做到内部控制以风险管理为导向,树立正确的风险管理态度,建立和强化风险预警系统。同时,国家有关部门应加强对行业的监管力度。此次金融危机的实质是信贷泡沫,是信贷生产过剩,是社会信用风险总量超过了金融系统可接受的程度的结果。因此,企业要更加重视信用风险管理,深化对信用风险管理内涵的认识,认真评估市场风险、信用风险,充分认识全球经济形势的变化,及时调整企业目标。

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  

风险导向内部审计及其在企业风险管理框架构建中的应用_风险管理论文
下载Doc文档

猜你喜欢