现代内部审计的风险管理方法,本文主要内容关键词为:风险管理论文,内部审计论文,方法论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、现代内部审计与风险管理的融合
1.将风险管理思想引入现代内部审计。从内部审计产生和发展的历史来看,不同时期的内部审计有不同的内涵和外延。就现代内部审计的发展而言,国际内部审计师协会(IIA)对内部审计的定义就在不断变化。IIA理事会在1990年对《关于内部审计职责的申明》修订后重新定义了内部审计,认为内部审计既是管理的延伸,也是一种独立评价活动,它要对有关活动进行分析、评价,提出建议和咨询意见。1993年,IIA提出的内部审计的定义认为内部审计既是一项综合工作,也是一种独立的评价活动,它要对所审查的活动进行有关的分析、评价,目的是协助组织的管理者有效地履行他们的职责,建立有效的内部控制系统。IIA在1999年对内部审计的定义认为内部审计是一种独立、客观的确认与咨询活动,目的是为组织增加价值和改善组织运营。它通过系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其运营目标。
从内部审计定义的发展可以看出,风险管理不仅是企业的一项职能,更是一种理念。内部审计将帮助企业发现并评价重要的风险因素,促进企业改进风险管理体系。此时的内部审计人员是风险管理专家,通过对风险的把握来评价内部控制,加强内部控制,从而实现对风险的控制与管理。
2.使风险管理的目标与内部审计的目标一致。风险产生的原因是不确定因素的存在。由于企业经营环境的不确定性,导致企业目标的实现具有不确定性。要想确保企业目标的实现,必须对风险进行有效管理。美国反虚假财务报告委员会下属的发起组织委员会(COSO)于1992年提出的《内部控制整体框架》和2004年颁布的《企业风险管理框架》中均有风险评估的内容,规定组织必须认识到其所面临的风险,并能对其加以控制和管理,同时还必须建立确认、分析和管理相应风险的机制。《内部控制整体框架》规定的风险评估内容包括风险识别、风险分析及对变革期间的风险管理;《企业风险管理框架》规定的有关风险管理的内容包括目标设定、事项识别、风险评估及风险应对。从上述两个框架中有关风险管理内容的比较不难看出,《企业风险管理框架》更加注重总体的风险组合。企业风险的管理者是管理层,高级管理者支持并需要承诺在企业中恰当地选择风险管理方案,以确保业务目标能够实现。内部审计执行主管是企业风险管理的倡导者,应当利用与企业目标一致的风险管理审计计划,帮助企业实施风险管理方案。
IIA在1999年对内部审计的定义已明确指出内部审计部门具有帮助组织实现整体目标的责任,其目的是帮助组织管理风险。实现整体目标和增加企业价值的工作应由企业的各个职能部门来共同完成,内部审计部门和企业其他职能部门一样,也应该努力提升企业的价值。内部审计部门通过采取系统化、规范化的方法来开展确认和咨询活动,经过收集资料、识别并评价风险的过程之后,内部审计部门比企业管理层及其他职能部门的见解更为深刻,将这些有价值的见解以咨询、建议等形式反馈给管理层,不仅可以借此适时进行风险管理、弥补控制漏洞、完善治理缺陷,而且可以将这些有价值的信息应用于经营管理活动中,从而创造出超过预期的价值。可见,内部审计部门在帮助高级管理层、董事会等充分了解企业的风险特征方面扮演着重要角色。
3.风险管理离不开内部审计部门。对企业的风险管理进行监督和评价是现代内部审计发展的结果,因此风险管理部门离不开内部审计部门。企业的风险管理组织结构应设置为:内部审计部门与企业的各级风险管理部门相配合,开展企业全面风险管理,既包括企业整体层面的风险管理,也包括各职能部门的风险管理。这要求内部审计部门打破企业内部各职能部门之间的隔膜,从企业整体层面进行全面风险管理。
大多数现代企业在进行风险管理时一般均设立三级风险管理部门,第一级是由企业高级管理层组成的风险管理委员会;第二级是在企业风险管理委员会领导下的内部审计部门及风险管理部门,内部审计部门通过定期、不定期的审计来评估企业风险,对企业风险管理制度的设计以及对各职能部门执行风险管理制度的有效性进行定期检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议,各级职能部门承担一线的风险管理职能,各部门负责人直接负责风险监控;第三级是独立的内部审计部门,内部审计部门对企业总裁负责,其工作主要是对企业风险管理机制的运行进行监管,并对监管结果进行评估。
尽管大多数现代企业的风险管理组织在管理中发挥了一定的作用,但是上述设置在有效防范企业风险方面仍然存在一定的缺陷。首先,将内部审计部门设置在风险管理委员会下不合适,因为企业能否有效控制风险,不仅关系到经营者的业绩,而且更关系到债权人、投资者、企业员工等利益相关者的利益。内部审计部门作为企业的监管部门,应保持充分的独立性,保护企业利益相关者的利益。其次,上述设置没有涉及企业基层员工,基层员工是风险管理制度的具体执行者,企业的风险管理机制设计得是否合理,他们最有发言权。最后,中国内部审计协会于2005年发布的风险管理审计准则第三章规定:内部审计人员应当实施必要的审计程序,对风险识别过程、风险评估过程、管理层所采用的风险评估方法、风险应对措施进行审查与评价;内部审计机构和人员应当充分了解组织的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。基于以上考虑,笔者建议将内部审计部门设置在董事会下设的审计委员会的下面,帮助总裁进行风险管理机制的设计和监督各职能部门、企业员工对风险管理机制的执行情况。以企业整体风险管理为中心的内部审计工作的运作流程可用上图表示。
二、基于内部审计职能的风险管理方法
1.按业务全过程管理的方法。中国内部审计协会于2005年对风险管理下的定义是:对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理过程包括风险识别、风险评估、风险应对。美国学者S.拉奥,瓦莱布哈内尼为风险管理下的定义是:风险管理是识别、控制和化解风险的总体过程。它包括:风险评估(风险分析),成本效益分析,安全保障措施(风险化解)的筛选、实施、测试和评价,风险融资(风险资金),风险监控(报告和反馈)。从上述两个定义不难看出,内部审计部门作为风险管理的监控者和指导者,应当充分了解企业的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。基于内部审计的确认和咨询职能,在企业的风险管理过程中,内部审计起着十分重要的作用。对具体业务的风险管理,内部审计要参与事前、事中和事后三个阶段的全过程风险审查。
内部审计针对各种业务进行全过程的风险管理,一是促进企业稳定而长足发展,提升企业价值,保护利益相关者的利益;二是打破职能部门各自管理的界限,将各职能部门面临的风险和机会加以集中化,有助于企业战略目标的顺利实现。
2.按风险来源管理的方法。传统的企业风险管理注重于风险的局部组合,特别是财务风险和冒险风险,只看到风险产生不利影响的一面,这样界定风险管理的直接结果就是导致企业忽视影响其战略目标实现的其他所有风险。而现代的企业风险管理注重的是组织整体的风险组合,既包括财务风险和冒险风险,也包括战略风险、经营风险、诚信风险、流动性风险、自然灾害风险、突发事件风险等,这一时期的企业风险管理将风险看做产生不利影响和有利影响的双刃剑,将所有风险进行了整合,其目的是保持和提升股东价值。
为了尽职地履行受托管理责任,管理层需要了解风险和机会,并对两者加以权衡。在企业经营活动和经营环境极其复杂的情况下,按照企业价值创造过程进行管理,考虑经营活动之间的联系,不仅可以让企业保持活力,提高顾客的满意度,而且能够促进企业价值增值。内部审计部门依价值创造过程对信息进行评估,就能够为企业提供更可靠、更相关的信息,对识别、评估和应对影响企业战略目标实现的所有风险很有帮助。因此,按照来源不同可将风险分为来自企业外部的风险和来自企业内部的风险。
(1)来自企业外部的风险可以归纳为以下内容:国家政治、经济、法律制度的稳定性,国际金融市场的变化,竞争对手的变化,股东的变动,自然灾害,立法机关对有关问题的态度变化等风险。
(2)来自企业内部的风险可以归纳为业务风险、财务风险、诚信风险、战略风险、信息处理与技术风险等。业务风险包括经营业务风险和投资业务风险。经营业务风险包括产品售后服务不到位、材料供应商不稳定、产品过时、研发能力不足、从业人员素质不高、生产效率不高、不相容职务的划分不清、越位行使职权、临时授权的控制流于形式等引发的风险;投资业务风险包括投资目的不明确、投资战略不符合企业的实际、对投资项目的论证不充分、决策程序不科学、对投资合同和协议的执行疏于管理等引发的风险。财务风险包括经营过程中产生的债务风险、担保风险、价格变动风险、财务信息披露风险、现金流量风险、流动性风险、会计信息偏差风险等。诚信风险包括企业违法违规行为、从业人员违法违规行为、管理层违法违规行为、披露虚假会计信息、不及时行使债权或履行债务等引发的风险。战略风险包括组织结构设置、重大决策、企业资源分配、对环境变化的应变能力、对企业的定位等方面产生的风险。信息处理与技术风险包括信息来源、信息技术和处理设施、信息加工和处理过程、信息利用、信息传递渠道等方面产生的风险。
风险、战略与内部审计不可避免地被联系在一起。在治理过程中,内部审计部门发挥着独特的作用。企业管理层经常要求内部审计部门帮助有效识别和监控风险、评价经营效率并激励组织行为。在内部审计工作中,对于来自企业内部和外部的风险,内部审计人员应当从帮助管理层实现企业战略目标的角度着手,识别影响战略目标实现的风险类型及潜在的风险因素,深入分析风险产生的根源及其对战略目标的现实影响程度和潜在影响程度,定性和定量地评估风险水平,确定应对风险的策略,关注新的风险环境,监控现行风险控制措施的执行,为风险防范、控制和应对提供帮助。
3.按风险性质管理的方法。企业在经营过程中面临的风险多种多样,为了有效管理和控制风险,需要内部审计人员了解可能威胁企业战略目标实现的风险或未能被企业识别的风险。为了全面评估企业的风险,内部审计部门需要运用一种被整合的、以经营过程为导向的方法评估风险,区别不同性质的风险,分别设计、采取不同的方法进行风险管理。
按照风险性质的不同,可以将风险分为经营风险和舞弊风险。经营风险是企业的决策层与管理层在经营管理过程中出现失误而导致企业价值变化的可能,如决策风险、财务风险、政策风险、市场风险(如原材料供应链中断、销售渠道不畅、市场萎缩、新竞争对手的出现、替代产品的出现、新监管要求的出现、资金链出现问题、库存积压过多、突发危机事件处理不当、高级管理人员离职、商业机密泄漏等引发的风险)。舞弊风险是企业内外部人员采用欺骗等违法违规手段损害企业的利益,同时为个人带来不正当利益的行为所产生的风险,如对财务信息造假导致的错报、侵占资产导致的错报等引发的风险。管理层通过利润操纵误导财务报表使用者对企业业绩或盈利能力的判断,其动机主要分为:迎合市场预期或特定监管要求;谋求以财务业绩为基础的私人报酬最大化;偷逃或骗取税款;骗取外部资金;掩盖侵占资产的事实。侵占资产的手段主要包括:截留款项;盗取现金、实物资产或无形资产;使被审计单位对虚构的商品或劳务付款;挪用被审计单位的资产。侵占资产通常伴随着虚假或误导性的文件记录,其目的是隐瞒资产缺失或未经适当授权使用资产的事实。
内部审计人员应当保持应有的职业谨慎,关注企业内外部可能发生的经营风险和舞弊风险,切实发挥内部审计的确认和咨询服务职能,以协助企业管理层进行预防、检查和报告企业存在的风险。为此,内部审计人员应实施恰当的审查程序,以评价企业的经营风险水平,评价内容包括:经营活动的复杂程度;管理权限的集中程度;管理行为守则的健全性和有效性;企业文化的内容及企业成员对此的理解与认同程度;各层次人员的知识与技能;组织结构和职责划分的合理性;关键岗位人员的工作胜任能力;员工聘用程序及培训制度;员工业绩考核与激励机制。
作为企业内部管理人员的内部审计人员的职责包括:①预防舞弊。根据被审计事项的重要性、复杂性以及审计的成本效益要求,合理关注和检查可能存在的舞弊行为;适当进行审计职业判断,确定审计范围和审计程序,以发现、检查和报告舞弊行为;当发现舞弊迹象时,应及时向管理层报告,提出进一步检查的建议。内部审计人员在审查和评价内部控制时,为了协助企业预防舞弊,应当关注企业战略目标的可行性、控制意识和态度的科学性、员工行为规范的合理性和有效性、经营活动授权制度的适当性、风险管理机制的有效性、管理信息系统的有效性。②识别舞弊。内部审计人员应根据审查和评价内部控制时发现的舞弊迹象或从其他来源获取的信息,识别可能出现的舞弊行为,并向企业管理层报告,同时提出检查舞弊的措施。③舞弊检查。内部审计人员进行舞弊检查的内容包括:评估舞弊涉及的范围及复杂程度;评估舞弊检查人员的资格、技能和独立性;设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因。④报告舞弊检查结果。在舞弊检查工作结束后,内部审计人员应向管理层提交舞弊检查报告,报告的内容应包括舞弊行为的性质、相关人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施。
标签:风险管理论文; 内部审计论文; 企业内部控制与风险管理论文; 风险评价论文; 行为识别论文;