基于内部审计视角的全面风险管理审计探讨,本文主要内容关键词为:风险管理论文,视角论文,内部审计论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
内部审计工作的成效是反映公司治理机制运行效果的重要指标。从国内外企业的公司治理机制实际成效来看,内部审计往往能够及时有效地审计、察觉、发现出公司存在的重大经营活动中的合规性问题。然而现在企业经营环境越来越复杂化,战略问题现已成为决定企业生死存亡的关键因素。如何控制与规范企业战略风险,并通过建立一个风险规范机制来识别与控制这些重大风险,已成为现代内部审计及内审人员迫切需要解决的关键问题。而传统内部审计只关注企业经营方面的风险,难以识别和控制企业战略层面风险,因此有必要转换内部审计工作思路,从战略视角分析与考虑内部审计工作。鉴于此,本文拟从战略视角重新审视内部审计工作,探讨基于战略基础的内部审计模式下,如何在审计工作中全面规范与管理企业战略风险与经营风险,以期为完善内部审计工作抛砖引玉。
1 全面风险管理审计:定义与特征
风险,通常是指一种未来的不确定性,主要用于衡量偏离期望值波动的程度,并非专门指未来可能出现的坏结果的状态。按照这一原则,COSO将企业面临的风险定义为,“风险是一个事项将会发生并给目标实现带来负面影响的可能性”(COSO,2004),从而正式将企业风险纳入企业经营管理决策中。
1.1 风险管理审计的含义
风险管理审计属于改善企业经营效率,提高企业价值的一项重要工作,而现代企业经营管理的重要发展是传统制度导向审计向基于风险考量与控制的风险管理审计转换。卓继民(2005)认为,风险管理审计吸收了风险审计各种特点,并且将审计的关注点扩大到企业的主要战略目标、管理层对风险的容忍度、主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。我国内部审计准则(2005)将风险管理审计界定为内部内部审计人员对企业风险进行审查和评价。而笔者认为:风险管理审计是在全面理解企业经营风险的前提下,识别出重大错报风险,并评价企业对这些风险的控制措施,而企业控制不足或无效的部分则形成剩余风险。针对剩余风险,内部审计人员应制定出相应的策略措施,对识别出的关键风险所存在的风险管理缺口提出管理建议,并将其降至可接受水平。
1.2 风险管理审计的特征
就性质而言,风险管理审计作为一种全新的审计模式,是以传统的审计方法为基础,并在此基础上将审计对象扩展到整个企业的风险管理范围。因此,风险管理审计作为内部审计模式的新发展,它具有与传统审计不同的特征:①将全面风险管理的理念融入各个步骤:②注重对被审计单位持续经营能力和经营计划进行分析,从宏观上把握审计面临的风险;③改进控制测试,以识别可能存在的重大错报风险;④扩大审计证据内涵,将了解企业及其环境获取的证据也作为形成审计结论的依据。
2 全面风险管理审计的风险要素整合
风险管理审计与传统风险导向审计在风险概念上的定义是完全不同的。由于现代企业的管理方法、组织架构、信息流程、全球化等因素直接影响到固有风险从而影响到检查风险的高低,因此风险管理审计中的风险,不但吸收了风险基础审计的各种特点,还将眼光扩大到企业的主要战略目标和主要风险评价指标等;不单评价企业的内部控制,还关注并且管理企业固有风险中的战略风险和经营决策风险。鉴于此,管理层就必须考虑在没有采用任何措施来改变风险的可能性或者影响的条件下所存在的固有风险,还必须关注采取风险应对措施后所残存的其他风险——剩余风险。
当前被国外企业所广泛推崇的COSO系列报告正是基于此目的而研究与颁布的。COSO建议企业控制经营风险的方式是建立良好的内部控制制度,以期控制及管理企业经营决策风险,至于企业战略层面的风险应对与控制,COSO于2004年颁布了《企业风险管理——整合框架》报告,其宗旨是帮助企业识别、评估及控制企业战略层面的风险,以期弥补92版COSO报告的不足。COSO系列报告成功地将企业的战略层面风险与经营层面的风险都纳入企业全面风险管理框架体系中,为内部审计人员有效地进行企业各层面的风险识别与控制奠定了基础。
风险管理审计的一大创新在于成功地将COSO报告中界定的风险层次与种类纳入到新的审计风险体系中,主要体现为审计风险模式发生重大转变,由原来的制度导向型审计风险体系向风险管理型审计风险体系进行扩展,改变了原有的审计风险要素体系,由三要素转变为两要素,使得新的审计风险要素体系为:审计风险=重大错报风险×检查风险。
2.1 重大错报风险
重大错报风险包含来自战略的重大错报风险和来自经营决策的重大错报风险。战略的重大错报风险按照《企业风险管理——整合框架》报告中的内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控八个要素进行评估;而经营决策的重大错报风险,内部审计人员按照《内部控制整体框架》报告中的控制环境、风险评估、控制活动、信息与沟通和监控五个要素进行评价。
2.2 检查风险
检查风险是指某一认定存在错误,该错误单独或连同其他错误是重大的,但内部审计人员未能发现这种错报的可能性。在具体审计工作中,检查风险的实质是内部审计人员错误识别与评估剩余风险要素时所导致的实质性测试程序不当问题。Johens(2005)认为企业战略风险与经营风险的评估与控制效果直接影响到检查风险大小,因此,内部审计人员在对企业进行风险管理审计时,除了在制度层面与控制层面考虑企业的战略风险与经营风险,还必须将其思想用于指导具体的审计工作程序的设计和执行。
3 全面风险管理审计的功能价值
3.1 从企业全局和战略高度关注风险
在COSO的2004年《企业风险管理——整合框架》报告中,给出了企业风险管理的定义:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”风险管理审计在COSO的92版《内部控制整体框架》报告基础上,把审计关注点从企业的内部控制扩大到企业的主要战略目标、管理层对风险的容忍度、主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。
3.2 有效识别并管理企业的固有风险
国内现行的传统方法更多的是按照程序把握检查风险,而对形成审计风险的真正风险源头固有风险,即企业的经营风险,涉及甚少。现代企业的管理方法、组织结构、信息流程、全球化等因素都直接影响着固有风险,从而影响到检查风险的高低。传统的审计方法在识别固有风险方面缺乏有效性,而内部审计人员运用风险管理审计理念和模式有助于审计总体风险的识别,并且在此基础上,向管理层提供建议,更好地降低剩余风险。
3.3 降低内部战略审计的剩余风险,提升企业价值
风险管理审计的整体目标是降低风险,提升价值。也就是说,不仅要降低审计风险,更要通过企业自身的风险管理活动以及内部审计人员的风险管理审计从而降低现代企业在创造财富中所面临的风险,进而审计的风险也相应的降低到可接受水平;同时,与风险降低相呼应的是价值的提升:即企业创造出更多的财富。而在财富创造过程的价值链中,风险管理审计作为其中的一个环节,使审计价值也得到相应的提升。
4 风险管理审计的目标设定
基于《企业风险管理——整合框架》(COSO报告,2004)的风险管理审计,其目标是为了对企业所面临的经营风险(包括战略风险和经营决策风险)进行管理,并且对内部控制和治理过程进行评估,将评估的结果反馈给企业,从而帮助企业实现目标。具体表现为:在识别企业固有风险的基础上,分别按照《企业风险管理——整合框架》和《内部控制整体框架》原则对企业的战略风险和经营决策风险进行初步的管理,评估出剩余风险。而此时内部审计人员的前期工作并没有结束,他们将剩余风险主动向管理层反馈,并在管理层决定风险应对措施后,再根据成本效益原则,循环往复地对风险进行评估,并且有针对性地检查管理层的应对风险措施是否有效,并不断地修正企业的风险管理制度,降低企业的固有风险,从而不断降低最终的剩余风险。
4.1 评估企业全面风险管理框架,控制固有风险范围
全面风险管理审计应当依据COSO2004年的《企业风险管理——整合框架》和92的版COSO报告《内部控制整合框架》,帮助或判定企业是否根据相关要求建立了适合企业实际情况的全面风险管理框架,而后在此基础上将内部控制管理框架嵌入到企业全面风险管理框架中,将原有的内部控制目标提升到企业战略的层次,以扩展风险管理的广度和深度,提高企业管理层控制风险的功效。
通过《企业风险管理——整合框架》和《内部控制整体框架》原则,有利于分别对企业固有风险中的战略风险和经营决策风险进行初步的管理。而《企业风险管理——整合框架》相对于改进前的《内部控制整体框架》,加入了与高层次目的相关、协调并支持主体的战略目标,更加注重对企业的风险管理过程进行全面评估,尤其是评价固有风险的容量及容限,并发现剩余风险。风险管理审计的焦点体现在分析、确认和解释关键性的经营风险和战略风险,使审计和企业风险管理策略紧密联系,更好地实现企业的目标。
4.2 评价固有风险管理机制,识别与管理企业剩余风险
全面风险管理审计的核心价值在于“管理剩余风险”。与风险基础审计侧重内部控制不同,风险管理审计前提下的内部审计人员不单要评估企业全面风险管理框架,控制固有风险范围,还要在此基础上评价固有风险管理机制,测试出企业存在的剩余风险,并依据评价出的剩余风险容量与容限,向管理层提出管理意见,让企业对剩余风险进行再次管理,并且不断地修正在审计中发现的管理漏洞,以此来降低企业的固有风险,不断循环地进行风险评估和采取相应的风险应对措施,来帮助企业实现目标。
标签:风险管理论文; 内部审计论文; 内部控制论文; coso论文; 管理审计论文; 企业内部控制与风险管理论文; 固有风险论文; 审计计划论文; 审计报告论文; 审计方法论文; 战略控制论文; 管理控制论文; 审计准则论文; 审计目标论文;