企业风险识别机制研究——基于审计免疫论视角,本文主要内容关键词为:视角论文,免疫论文,机制论文,风险论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1 问题的提出
免疫学是研究肌体免疫系统结构与功能的科学,包括免疫系统的组织结构、免疫系统对自体与异体的识别及应答、免疫系统对异体的排异效应及其机制、免疫耐受的诱导、维持、破坏及其机制等。到目前为止,国内外学者将免疫学理论与其他领域相结合,先后形成了人工免疫系统、组织免疫系统和审计免疫系统等几个新的研究领域。二十世纪八十年代,Farmer等人率先提出免疫网络学理论,首次探讨了免疫系统与人工智能方法的联系,从而开创了人工免疫系统的研究。目前,人工免疫系统已在系统异常检测、数值优化、模式识别、故障诊断等领域得到了广泛应用。在组织免疫系统研究领域,Holyoak、Hesket等认为,组织免疫力体现了组织对外界环境变化相适应的一种专长;国内学者吕萍、王以华等利用免疫学研究成果研究了企业的适应性问题,并对组织免疫的理论基础、运行机制及相关影响因素进行了科学阐释;程国平等利用免疫学研究成果对企业免疫系统应答机制进行了相关研究;许晖等借鉴组织免疫思想,以科技型中小企业为研究对象,对企业风险应对机理及模型进行了研究。在审计免疫系统研究领域,2007年,国家审计署刘家义审计长在全国审计工作会议上首次提出了审计免疫系统论,他认为“审计本质上是一个国家经济社会运行的‘免疫系统’”。之后,学术界对审计免疫系统的功能、理论的本质以及相关应用等方面进行了广泛的探讨,并取得了许多成果。
企业作为一个组织严密的系统,其生产经营环境与生物体生存的自然环境极其相似,充满着复杂性和多变性。如果把企业看作一个生物体,把企业生产经营环境看做是生物体的生存环境,则企业在生产经营活动中所遭遇的各种风险因素相当于企业的“异体”,而内部审计就好比是企业的免疫系统。在这样一个背景下研究企业对风险的免疫识别及其工作机制,对于揭示企业内部审计的“经济卫士”功能、保证企业健康发展具有十分重要的现实意义。但是,我们发现,目前国内外学者针对这方面的研究还鲜见文献报道。另一方面,从审计免疫系统论的研究现状看,由于审计免疫系统是我国审计界就审计功能定位提出的一种全新理论,在国外尚无相关的理论研究。国内学者的研究大多将免疫学有关原理引入到国家审计领域,针对企业内部审计研究的文献很少见。总体而言,目前对审计免疫系统的研究尚处于起步阶段。鉴于此,本文尝试借鉴免疫学的有关原理,从审计免疫系统论视角对企业风险的识别机制进行分析,以此来丰富和完善审计免疫理论的研究,旨在帮助企业提高在复杂环境中的生存能力。
2 企业风险
所谓企业风险,是指企业在其生产经营过程中遇到的诸多不确定性。企业风险有多种表现形式。从企业内部审计视角看,企业风险的类型可以有两个划分维度:从内部审计的组织边界看,可以分为外部风险和内部风险;从风险对企业内部审计造成的效果看,可以分为有益风险和有害风险。如图1所示。
外部风险主要指来源于企业内部审计组织的外部,影响内部审计功能、职责等发挥的因素,包括:(1)法律法规因素,如当前指导内部审计工作的法律法规尚不完善,立法存在滞后现象,致使审计过程中遇到新情况、新问题时出现无法可依、难以定性的风险。(2)机构设置因素,如不少企业内部审计部门独立性不够,致使内部审计屈服于经营者长官意志,从而大大降低审计的公正性、客观性。(3)审计职能变化,如现代企业制度要求内部审计从传统的财务审计转为效益审计、管理审计、风险审计、投资审计等,使得内部审计在审计对象、审计内容等方面的风险大大增加。(4)技术环境变化,如随着计算机和网络技术的发展,信息系统在企业经营管理中被广泛应用,信息系统架构的日趋复杂使内部审计在审计环境、审计目标、审计证据的获取等方面面临新的挑战。(5)文化因素,包括董事会的道德氛围、企业道德环境、员工价值准则、行为规范等,这对内部审计功能的认知、目标实现、任务安排、实施效果等都会产生潜移默化的影响,是一种比较隐蔽的外部有害风险。
内部风险主要指来源于企业内部审计组织的内部,影响内部审计功能、职责发挥等的因素,包括:(1)风险意识不强,如部分审计人员简单地认为内部审计仅是奉命行事、履行手续而已,根据领导的要求来安排工作,不会出大问题,致使审计职责无法有效履行。(2)审计规范性不够,表现在审计取证随意性大、所取审计证据的证明力不够、发现问题得不到及时全面整改等。(3)审计范围不够全面,表现在不能对企业从遵守法律法规到企业经营决策、经济过程等全方位进行审计,使得许多环节的风险未能予以充分揭示。(4)知识结构不合理,如不少审计人员掌握的专业知识大多局限于财税方面,缺乏在IT环境下执行IT审计所需要的相关技能,“进不了电子门,打不开电子账”现象比较普遍。(5)审计方法落后,如不少员工还习惯于传统手工审计模式下的经验和判断抽样方法,而不会或不习惯运用IT技术、数据挖掘、统计模型等先进的方法,致使审计主观判断色彩比较重,而且还容易遗漏重大事项。
内部的有益风险可以看作企业内部审计改革的内在要求,有激励企业内部审计改革与创新的作用;外部的有益风险可以看作内部审计改革的外部机会,有改善内部审计外部环境的作用。内部的有害风险如同人体的肿瘤,会阻碍内部审计功能和职责的发挥;而外部有害风险则对企业内部审计形成阻碍和冲击,如同侵害人体的病毒。内部审计免疫系统如果不能对这些有害风险加以揭示,最终将影响企业的健康发展。
3 企业风险识别机制
3.1 免疫识别与企业风险识别
免疫学中,免疫是指生物体对自体与异体的识别并消除的能力。抗原(Antigen,Ag)则是一类能诱导免疫系统产生免疫应答的物质,如病毒、肿瘤等。当生物体遭受抗原刺激时,免疫系统能够及时识别出自体和异体,这个过程称为免疫识别;然后,免疫系统会产生一系列的免疫反应(免疫应答),进而使生物体产生免疫力,最终抑制或清除异体。可见,免疫识别是免疫系统发挥免疫作用、保障机体正常状态的基础,在保证生物体适应生存环境、确保肌体健康方面有着十分重要的意义。
企业作为一个经济体,在其经济运行过程中必然会遇到各种因素的干扰。如果将企业在经济运行过程中受到的诸多干扰看做是企业的“抗原”,这些“抗原”因素中一定包含有利于企业经济活动的“自体”(无害)因素,也会有不利于企业经济活动的“异体”(有害)因素。由于“内部审计作为企业的一个独立组织机构,能时刻关注企业内外部环境发生的变化,并能及时评价应对策略的规范性和有效性”;同时,“内部审计不仅能在第一时间感知企业经营过程中存在的问题,还能揭示企业经营管理的薄弱环节”。由此可见,内部审计具备识别“自体”和“异体”的功能,因而,内部审计从本质上讲就是企业经济活动的免疫系统。从这个角度看,所谓企业风险识别,就是指内部审计对企业各类干扰进行“自体”(无害)与“异体”(有害)识别,并建立企业风险数据库的过程。这为我们研究企业风险免疫识别及其工作机制提供了理论基础和有力的启示。
3.2 企业风险识别过程
生物体免疫系统的免疫识别是由抗原触发的,而企业风险识别则是由企业面临的内外部环境中蕴藏的各类风险(干扰)所触发,因此,企业内部审计要对经济活动中出现的各类风险(干扰)保持敏感和持续的关注。下面,从审计免疫论视角对企业风险识别过程进行说明。
当企业经济活动遭遇风险,即遭遇“抗原”刺激时,审计人员根据“抗原”刺激所产生的现象(症状),对企业“抗原”进行特征分析,为后续风险识别和评估做好准备;然后,审计人员根据法律法规、知识经验、审计方法和工具等,对企业“抗原”的类型、危害等进行进一步识别和评估,最终形成企业“抗原”库(风险列表),为今后企业实施免疫应答(风险应对措施)做准备。这就是企业风险识别的全过程,如图2所示。
与图2相关的企业风险识别流程描述如下:
(1)企业遭遇“抗原”刺激(风险干扰)。
(2)审计人员利用“风险库”对“抗原”进行分析。如果识别出入侵“抗原”为“自体”(合法、合规行为或不影响企业正常运营的行为),则转入第(3)步;否则,进入第(4)步。
(3)不需要进行风险控制,企业正常运营。
(4)识别出“抗原”为“异体”,则评估其危害性;然后,转入风险处理阶段;最后,抑制/消除风险。对一时无法确认的可疑“抗原”,进入第(5)步。
(5)通过讨论、协商、会诊等专家知识工程机制,对可疑“抗原”进行进一步识别。如果确认是一个新的风险,则转入第(4)步;否则,转入第(3)步。
(6)对确认的新风险进行特征和危害分析(特征提呈),同时更新风险库。
至此,企业风险识别的流程结束。企业风险识别流程如图3所示。
需要注意的是,图3中所提及的风险库是标识企业若干风险特征的典型案例集合,包括企业风险产生的历史背景、作用条件、对企业的危害形式及影响程度,等等。风险库来源于审计实践、专家知识工程等,对于企业在今后的经济活动中及时感知和识别风险有着十分重要的意义。
3.3 企业风险识别的“学习一记忆”机制
生物体免疫系统的免疫识别具有“学习一记忆”功能,即当抗原初次入侵生物肌体时,生物体免疫系统一时无法及时识别它们,但在抗原的不断刺激下,生物肌体内部产生出新的抗体,最终完成对初次入侵抗原的识别、应答、直至将抗原消除;当抗原被消除后,在生物肌体内总存有一定数量的抗体(记忆细胞),当同类抗原再次入侵肌体的时候,记忆细胞会根据抗原特征进行快速匹配,在比初次识别短得多的时间内对入侵抗原进行有效识别。这就是生物体免疫系统的“学习—记忆”机制。
从审计免疫论角度看,企业风险识别也有类似的“学习—记忆”机制。由于企业面对的社会、经济环境以及市场情况复杂,新情况、新问题不断出现,内部审计不可能感知和识别所有的风险。对于首次入侵企业的风险(抗原),审计人员会花费相当的时间和精力对这类风险进行取证、分析、研究,最终完成对新风险(抗原)的识别、应答。在这过程中,审计人员通过组织学习、经验交流、专家知识工程等形式,最终产生类似于生物体新记忆抗体的风险特征库等,而且,这些新记忆抗体(风险特征库)会被保留在企业内部并为整个组织所共享,当企业今后遭遇同类风险的时候,内部审计会根据该风险的特征库,在比初次识别短得多的时间内完成对该风险的识别,并能快速提出风险应对的措施(风险处理)。这就是企业风险识别的“学习—记忆”机制,如图4所示。企业风险识别的“学习—记忆”机制对于企业不断适应外部不断变化的复杂环境有着十分重要的现实意义。
4 企业风险识别机制对构建审计免疫系统的启示
4.1 更新观念,树立科学的审计理念
企业风险识别机制能很好地诠释内部审计作为企业组织识别“抗原”(风险)入侵的过程和工作机理。这要求审计人员及时更新观念,树立科学的审计理念,转变传统的思维方法和方式,以科学发展观为指导,从宏观层面来认识内部审计免疫系统,感知风险、发现问题、提出建议,这是促进企业健全机能的职责所在;并从全局角度对内部审计工作的对象、关键环节、方法手段等进行分析和研究,实现以财务审计为主向风险导向审计为主、由“把关型审计”向“管理型审计”的职能转变,重点加强对企业风险的预警和防范,以便及时发现隐患,使审计免疫系统的预防功能得到充分发挥。
4.2 工作重心前移,适时调整审计工作内容
企业风险识别机制要求审计人员在审计实践中将工作重心前移,调整与审计免疫系统要求不相适应的工作内容。为此,一是关注企业经济发展的外部环境,包括宏观经济环境、法律环境、监管环境、所处行业等,要由过去仅关注企业内部管理拓展到关注外部环境的变化,并对外部环境的变化深入研究,以便及早感知风险;二是高度关注企业经营中的内部风险,如一些企业存在自主创新能力脆弱、产品单一、市场定位不清等问题,这些都将成为阻碍企业可持续发展的风险点。审计人员有必要提前介入、重点关注,及时分析和发现企业经营中的现实风险和潜在风险,积极主动地向决策者提供化解风险的意见和建议,只有这样才能充分发挥免疫防御功能。
4.3 加强学习,提高识别“自体”与“非体”能力
企业风险识别机制的核心内容是内部审计对企业所受的各类干扰中的“自体”与“异体”进行有效识别。这要求审计人员要加强学习,提高对企业所受风险的识别能力。目前多数审计人员知识结构比较单一,知识更新慢,基本技能不足,不能较好地适应内部审计事业发展的需要。为此,要加大对现有人员的培训力度,既要加强对审计专业知识、相关业务知识和计算机知识的学习,又要培养对企业经营管理情况和风险状况进行综合评价分析的能力;另一方面,由于企业经营环境多变,内部审计应当充分利用对本单位业务熟悉、政策变化掌握及时的优势,通过组织学习和研讨,实现对新情况下可能出现的新问题、新风险进行“自体”与“异体”的主动识别。
4.4 固化成果,形成免疫“记忆力”
企业风险识别的“学习—记忆”机制可很好地帮助企业形成免疫“记忆力”。为此,企业内部审计部门要改进工作方式,加强与企业各部门之间的合作,做好对审计成果进行收集整理、加工提炼,对典型案例以及危害性进行分析、总结和通报工作;对以前审计中已经发现并通报的风险,除了要求相关部门有针对性地建立健全相应内部控制制度外,还可以通过跟踪审计的方式,对审计所发现的问题逐一检查改进情况,统计相关部门对审计问题的改进率,并形成专项的审计跟踪报告;对改进不力或不断出现的类似风险则需要开展专项审计,研究问题发生的深层次原因与解决方法,并将成果固化,为今后有效识别风险类型提供参考。
5 结束语
现代企业正面对日趋复杂的内外部环境。随着市场竞争激烈及经济环境的变化,企业传统的外延式发展模式难以承受住经济环境变化所带来的冲击,在如此复杂的经济环境下,企业要能更快更准确地对内外部环境的变化做出快速反应,企业风险识别就是保证企业快速感知内外部环境所蕴藏的各类风险,并为企业及时应对风险做好铺垫的一种科学机制,也是企业走内涵式发展模式的必然之路。
本文借鉴组织免疫系统和审计免疫论的有关研究成果,通过对企业风险类型的分析,分析了生物学免疫识别和企业风险识别的相似性,系统研究了企业风险识别的过程以及“学习—记忆”机制,并在此基础上对当前构建企业内部审计免疫系统提出了几点启示。本文进一步完善审计免疫系统论的研究,以充分发挥内部审计的功能与职责,增强企业自身的风险感知能力,使得审计免疫系统的相关理论真正服务于实践,从而保证企业的健康发展等方面起到促进作用。
标签:风险识别论文; 内部审计论文; 组织环境论文; 审计方法论文; 审计目标论文; 审计流程论文; 审计准则论文; 免疫学论文;