内部审计与风险管理结合实现价值增值,本文主要内容关键词为:风险管理论文,内部审计论文,价值论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、价值链的含义及其基本构成
1985年美国哈佛商学院教授迈克尔波特(Michael E Porter)在其所著《竞争优势》中首次提出“价值链”一词。价值链是企业为客户、股东、企业职员等利益集团创造价值所进行的一系列经济活动的总称。在价值链中,价值的概念可以从内外两个视角来理解,对外针对企业客户,指产品的使用价值;对内针对企业自身及其内部流程等,指产品能为企业带来销售收入的特性,其数量表现就是顾客在特定时间、特定地点支付的产品价款。企业创造价值的过程一般可以分解为产品开发、设计、生产、营销以及对产品起辅助作用的一系列互不相同但又互相联系的经济活动(如产品的售后服务等),或称之为“增值作业”,其总和即构成企业的价值链。(如下图)
图1 价值链基本构成
在《竞争优势》中,企业价值活动分为基本活动和辅助活动两大类。基本活动是涉及产品物流过程中的各种活动,如产品制造及销售、转移给买方和售后服务的各种活动。任何企业中,基本活动都可以划分为图1所示的五种基本类别。辅助活动是辅助基本活动并通过提供外购投入、技术、人力资源以及各种公司范围的职能以相互支持,大体可分为企业基础设施、人力资源管理、技术开发、采购四种类型。其中,企业基础设施由大量活动组成,包括总体管理、计划、财务、会计、审计、法律、政府事务和质量管理。可见,基础设施与其他辅助活动不同,它通过整个价值链而不是单个活动起辅助作用。
内部审计作为企业基础设施的一项重要内容,属于价值链中的辅助活动。其为企业增加价值的特点表现为:一是方式上,内部审计增加价值是通过关注企业存在的问题,揭露漏洞,提出意见和建议的方式来实现的,当内部审计成本小于挽回的损失或创造的效益时,企业的价值也就相应的增加。二是结果上,增值结果的形式具有无形性、潜在性和长效性。增值结果除少数外(如增收节支的结果),一般难以用数字计算,多数迅速转化为管理成果,最终以“内部控制改善、风险降低、信息渠道畅通、管理水平提高”等形式表现。三是企业环境上,内部审计的存在,客观上对企业内的经营管理者和其他职能部门具有一定的威慑作用,不断地接受监督检查和评价,不断改进工作效率。这些特点表明内部审计的增值结果对企业产生的影响是重大的、长远的。
现代企业管理制度日趋成熟,内部控制制度也越来越完善,内部审计的价值如何体现也成了内部审计人员高度关注的问题之一。从国际内部审计协会对内部审计最新定义中可以看出,内部审计要帮助组织完成组织目标并实现价值增值,必须要从风险管理角度着手,发挥保证和咨询服务的作用。
二、内部审计与企业风险管理结合的意义
从现代内部审计的职能、地位和内容来看,内部审计已经远不止我们从前所认识的查错防弊工具,其重心已经逐渐转向以风险导向审计为基础的管理服务,以适应组织内外部环境的变化和技术的飞速发展。国际内部审计协会多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。早在1999年制定的内部审计定义中就将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修订的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。
内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率、创造价值。
首先,内部审计可以通过参与风险管理巩固自身地位,获得独特优势。随着民间审计业务领域不断的扩展,注册会计的保证服务业务中已经包括风险评估,且成为主要的业务之一,基于成本等问题的考虑,越来越多的企业也开始倾向内部审计外包。危机感促使内部审计人员必须开辟新的途径为组织提供独特的增值服务。参与风险管理就是途径之一。因为内部审计部门和内部审计人员在风险管理方面拥有注册会计不可比拟的优势,作为企业的内部员工,内部审计人员具有对企业的高度忠诚度,对企业面临的风险更了解,可以提出更具针对性和及时性的风险管理服务,提升其在企业价值链中的地位。
其次,内部审计参与风险管理,可以保证审计目标与企业目标相契合。(图2)
图2 新旧内部审计范式思路图
传统的内部审计方法采用从右到左的路线,即直接测试内部控制,考虑内部控制是否有效,而风险的大小仅用于表明控制的薄弱与健全环节,其结果是向管理层建议增加控制点或加强控制。这样,随着时间的推移控制点越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况。毫无疑问,传统的内部审计是在递减地增加组织的价值。当内部审计采取的路线是从左到右,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议。最后,通过后续审计测定风险是否得到有效防范和控制。这样,审计建议可以直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。
三、内部审计与风险管理结合的途径
(一)开展风险管理基础审计。
上世纪90年代末,伴随着企业风险管理发展起来的风险管理基础审计强调在考虑审计风险的同时更加重视经营风险,很好地运用了企业风险管理的核心理念与传统审计方法。它提出(1)在制订审计计划时考虑组织的战略和目标;(2)通过综合评估经营风险以确定实质性测试的范围、时间和程序;(3)把董事会设定的风险容忍度作为审计判断标准之一;(4)关注与特定审计领域相关的风险管理活动;(5)注重对组织生存能力和经营计划进行分析评估。有效地把内部审计和企业风险管理结合在一起,从整体上考虑企业和环境,切合了企业风险管理综合管理的理念。
(二)对企业内部控制进行自我评价检测。
内部控制的自我评价由内部审计人员与被审计单位管理人员一同进行,管理人员在审计人员的协助下,对本部门的内部控制制度及其执行得恰当性和有效性进行评估,可以从自我控制评价项目中获得风险管理的相关信息,然后根据评估的结果提出审计报告,由管理者实施改进,与操作部门的管理人员建立起良好的合作关系,并协助管理人员履行其在企业风险管理框架中的职责,保证内部审计人员和管理人员共同对风险进行控制。
(三)提出管理意见和进行管理咨询。
内部审计根据组织的内部环境、拥有的资源、面临的风险和内部审计报告的关系来决定提供风险管理咨询服务。在尚未建立企业风险管理时,内部审计机构应该就执行审计项目时发现的风险问题提请管理层和董事会注意,并提出相关建议。在组织开始建立企业风险管理体系并雇佣风险管理专家协助的情况下,内部审计可以提供有价值的咨询意见。当企业风险管理逐步成熟以后,内部审计可以接受委托提供专项的风险管理咨询服务,也可以在提供保证服务的同时以管理建议书形式就发现的问题提出管理建议。当然,提供管理咨询服务需要充分考虑专业胜任能力,内部审计人员应当具备一定的企业风险管理知识和技能,并经过相应的培训,能够充分理解风险识别、评估、监控的方法和程序,为了进行风险管理审计,内部审计师必须准确的理解企业风险管理流程并相应计划审计活动,来自企业风险管理的过程信息有助于内部审计师规划审计工作和根据风险的重要性分配审计资源,如果内部审计没有采用风险管理基础审计就不太可能担任咨询角色。
四、内部审计与风险管理相结合在企业中的具体应用
(一)战略管理审计在风险管理中的运用。
就风险管理而言,战略管理审计着重于对组织目标实现有重大影响的领域进行风险评估,通常关注的风险有:政策、计划、程序、法律和标准贯彻失误;资产流失;资源浪费和无效使用;不能达到目的和目标。内部审计师要从企业整体价值链,乃至整个产业价值链的角度,分析企业的风险类型并评估风险的大小,进而提出相应的风险处理意见,供企业最高管理当局参考。
(二)管理控制审计在风险管理中的运用。
任何企业的价值链都包含三种基本运动,即物流、资金流和信息流。以制造业为例,如图3所示。
图3 企业价值链物流、资金流和信息流示意图
管理控制主要是依托资金流、物流实施管理控制的,因此管理控制审计着重对财务管理、运作管理(包括采购、生产和销售)和人力资源管理等方面进行评价,其审计的内容主要包括计划预算、组织人事、绩效评价、物流生产、客户关系、营销管理等。在风险管理中,管理控制审计主要是通过对内部控制系统的该查,即要评估内部控制本身有无缺陷,又要核查一个完整的内部控制系统是否得到有效贯彻。通过检查内部控制系统,发觉隐患,及时提醒相关部门的管理人员改进内控,防范或减少风险。
(三)作业审计在风险管理中的运用。
作业审计注重对特定作业任务效益与效率性进行审计,显示出具体性与短期性的特征。传统作业管理是基于部门的,而现代作业管理却是基于业务流的。对流程作业审计不同于对部门作业审计,业务流程再造强调流程协调性、畅通性,而部门设计强调职位分工性和职能划分明确性;流程作业审计目标是客户价值最大化,而部门作业审计目标是组织成本最小化。根据价值链的五个作业环节,作业审计应当分别就各个作业环节上可能发生的风险进行识别与评价。作业审计在风险管理中的运用,是内部审计深入到企业价值链的细微环节进行风险管理的一种管理方式、是其风险管理职能的深度体现。
同时,内部审计与企业风险管理的整合也可以在以上这三个层面上展开,通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
内部审计三个不同层次在风险管理中的运用,使内部审计的风险管理职能在广度和深度上得到了有效发挥。通过内部审计在企业风险管理中作用的发挥,在内部审计与风险管理的互动中,实现两者的相互促进和共同发展。
标签:风险管理论文; 内部审计论文; 内部控制论文; 企业内部控制与风险管理论文; 风险价值论文; 审计计划论文; 企业价值链论文; 管理审计论文; 会计与审计论文; 审计方法论文; 内部控制缺陷论文; 审计目标论文; 审计流程论文; 财会论文;