企业内部审计可以达到的风险管理
摘 要:文章通过分析风险管理的发展过程,说明企业风险管理是由内部控制、管理层识别、评估风险信息的职业判断和必要的技术构成。内部审计师可以起到监控、检查、评估、报告企业风险管理过程的作用,并提出建议,实现其增加企业价值和改善企业经营的目的。
关键词:风险管理 内部审计 内部控制
古典经济学家在19世纪就提出了风险的概念,认为风险是经营活动的副产品;20世纪以来,风险定义可分为两类:狭义风险和广义风险。狭义风险是指损失的不确定性;广义风险不仅指损失的不确定性,还包括盈利的不确定性。风险与收益是共生的,获得收益就必须承担风险。然而从众多风险定义来看,人们倾向于狭义定义,这是因为与收益相比,人们更警惕损失。越来越复杂的环境与激烈竞争,使企业现在面临的风险比以往任何时期更大。因此,如何控制风险成为企业管理层必须考虑并掌握的问题。审计论文
一、企业风险管理的构成内容
(一)风险管理与内部控制的关系
内部控制最初的思想———内部牵制产生于古埃及的国库管理,目的是防范财产风险。内部控制的现代思想是企业组织规模扩大和资本大众化的产物,在其发展过程中,企业风险管理的思想始终贯穿在内。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。一种观点认为内部控制存在于协助企业进行风险管理的程序之中,是风险管理的方式之一。另一种观点是将风险管理纳入内部控制体系,认为控制包含了风险。
以英国的卡德伯利报告(1992)、拉特曼报告(1994)、哈姆佩尔报告(1998)和特恩布尔报告(1999)的发展过程为例,说明内部控制与风险管理的融合日趋紧密。卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制、保护资产的安全、保持正确的财务会计记录以及确保企业内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则认为很难将财务控制与其他控制区分开来,鼓励董事对有效经营、遵守法律法规等方面进行复核,扩大了内部控制的范围,并在内部控制环境下提及风险管理。特恩布尔报告再次扩大内部控制的范围,将其与风险管理联系起来,认为企业经营目标、内部控制组织和环境处于不断变化之中,作为结果,其面临的风险也在不断变化。健全的内部控制可以对企业所面临风险性质和程度给予全面、综合的评价。内部控制的目的就是帮助正确管理和控制风险,而非减少风险。
2003年7月COSO委员会颁布了《企业风险管理框架(讨论稿)》,该讨论稿是在1992年COSO委员会颁布的《内部控制—整体框架》基础上,吸收各方风险管理研究成果基础上提出。COSO在其中明确说明,风险管理框架建立在内部控制框架基础上,内部控制是企业风险管理必不可少的一部分。在ERM框架中,企业风险管理被定义为,企业风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业各项活动中,用于识别那些可能影响企业的事件并管理风险,使之在企业风险偏好之内,从而合理确保企业取得既定目标。而在《内部控制———整体框架》中对内部控制的描述是,内部控制是由企业董事会、经理层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。从定义来看,都有以下关键词:(1)是一个过程;(2)受董事会、管理层和其他人员的影响;(3)被设计来提供合理保证。#p#分页标题#e#
(二)企业风险管理的其他构成部分
《企业风险管理框架(讨论稿)》和《内部控制———整体框架》相比,风险管理框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。企业风险管理框架中涉及的八个要素,除了包括内部控制的五个要素———内部环境、风险评估、控制活动、信息与沟通和监控以外,还增加了目标设定和风险对策两个要素。内部控制要素之一风险评估在企业风险管理框架中被分为事件识别和风险评估。其它相同要素也有不同程度的扩展。
1.目标设定的新发展。内部控制框架将企业的目标分为经营、财务报告和合法性;企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标覆盖了企业编制的所有报告。此外,企业风险管理框架还增加一个目标———战略目标。该目标的层次比以上三个目标更高,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现,在企业战略制定阶段就考虑一系列备选方案的风险因素。战略目标的设定,需要董事会和管理层事先识别、评估相关信息。
2.事件识别的新发展。事件识别扩展了原有范围,提出潜在事件的概念,指出管理层需要识别那些影响企业战略和目标的潜在事件,并对其中带有负面影响的事件进行风险评估、选择对策。
3.风险对策的主要内容。风险对策是在评估了相关风险后,管理层需要考虑对那些带有负面影响的事件采取对策。对策的种类一般有规避、减少、分散和接受风险。作为风险管理的一部分,管理者应在企业风险容忍度范围内的假设下,比较不同方案的潜在影响,评估风险对策方案。在分别考虑了风险对策后,企业管理层应从总体角度考虑企业选择的所有风险对策方案组合对企业的总体影响。
从以上列举的三个要素的内容看,都涉及到识别、评估信息。这一过程仅在内部控制框架中是无法完成的,因为它是只能由人的职业判断完成。例如,在企业采购中货物运输发生意外,调度员了解到此信息后,应该立刻进行材料调拨或采取其它应急策略,保证企业顺利生产。采取怎样的应急措施是由该管理人员识别到风险并评估了风险对策后选择的,这个过程的顺利实施是因为人具有主观能动性,内部控制本身是不具备这种能力的。由此可知,企业进行风险管理,除了完善内部控制和掌握必要的技术以外,还需要管理者识别、评估风险信息的职业判断。
(三)企业风险管理与企业管理的关系。#p#分页标题#e#
企业风险管理属于企业管理的一部分,但并不是所有的管理活动都是风险管理。《企业风险管理框架(讨论稿)》中列举了四项不属于风险管理的管理活动,即确定战略、选择相应目标、业绩评价、选择并执行风险对策。根据风险评估,列出各种风险对策是属—152—于风险管理的一部分;而选择特定的风险对策则不是,它应属于决策的职业判断。因此,对企业风险管理进行审计的范围不包括对决策系统进行审计。
二、内部审计在企业风险管理中的作用
正确管理和控制面临的风险是企业实现目标的关键,也是管理层十分关心的问题。内部审计的目的在于增加企业价值和改善企业经营,内部审计部门应当参与企业的风险管理。另外,内部审计为了不断发展,为了在企业中担当更重要的角色、发挥更大作用,总是不断寻找新的对企业来说是十分重要的领域。2004年6月国际内部审计师协会(IIA)第63届国际大会讨论的三个热点问题是公司治理、风险管理和企业文化。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要角色;同时它是企业组织结构的一部分,有利于促进企业风险管理制度与政策的贯彻执行。
(一)内部审计与企业风险管理的关系
IIA在其颁布的《关于内部审计责任的声明》中指出:“内部审计是一个组织内部为检查和评价其活动和为本组织服务而建立的一种独立评价功能,它要提供有关检查活动的分析、评价、建议、咨询意见和信息,以协助本组织成员有效地履行其职责。”IIA《内部审计专业实务标准》的工作标准第2100条规定,“内部审计活动应当采用系统而科学的方法,评价并帮助改进机构的风险管理、控制和治理过程。”由内部审计的定义能够看出,内部审计师可以支持董事会和管理层对企业风险管理的合理性和有效性进行监控、检查、评估、报告和建议,尤其是对影响战略和目标的重要风险进行评估。内部审计师通过应用专业知识和技能,为本企业提供实现目标、增加价值的保证;通过咨询建议,使管理部门采纳更好的政策和控制程序,防范风险,提高效益。
(二)内部审计在企业风险管理中的工作程序
1.内部控制过程的审计程序。
(1)确定内部控制审计方案。方案包括此次内部控制审计的目的、时间、范围、方式、内容、人员的分工等。审计的内容包括合规性审计、内部牵制及不相容审计、成本效益审计、可操作性审计等方面。
(2)了解内部控制系统。首先了解内部控制环境,包括咨询高管人员对内部控制制度的认识、管理层的经营理念和组织文化、企业的法人治理结构、各项职责的分工。其次了解内部控制的制度和程序,内部审计师根据以往的知识和经验,通过询问被审计单位或部门的有关人员、查询相关内部控制的资料及文件、检查内部控制的执行记录和纠正备忘录、观察或浏览业务活动以及内部控制运行状况、选择代表性的交易或事项进行符合性测试。最后内部审计师通过查阅外部审计师保留在企业的历次审计档案以及文件,可以了解外审的程序、范围和深度,管理当局对外部审计的回复或反馈等内部控制的相关信息。#p#分页标题#e#
(3)描述内部控制系统。内部审计师按照内部控制中规定的各业务流程步骤和控制程序,将需要调查的内容事先编制成问卷调查表,调查对象是被审计部门或单位的人员。问卷要覆盖内部控制的主要问题,包括组织结构、经营范围、信息系统的可靠性、制度规范的适当性等。内部审计师整理问卷后,对照内部控制确定审计重点。
(4)测试内部控制系统。内部审计师按照内部控制审计方案中确定的审计方法和步骤、范围及分工,采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法,根据现场确定的审计重点,对照内部控制规定的业务流程步骤、控制点和监督检查方法,抽取一定的经济业务对被审计单位或部门的内部控制进行测试,检查内部控制是否执行以及执行的程度。
2.对管理层识别、评估风险信息过程进行审计。
(1)对环境预测过程的审计。分析决策实施前所预测的发展情况、趋势、行业信息以及其他信息,是否有根据;识别出可能面临的风险因素的准确率如何。
(2)对评估可选择方案过程的审计。检查管理层对那些可选择方案是否进行了认真分析和考察;是否通过分析和计算的方法,选取一些比较恰当的方案,以备进一步分析、选用;是否根据目标条件来权衡各种有利或不利因素;并作出对方案的客观评价;是否对方案中可能影响目标结果的风险因素实施了相关控制程序。
3.内部审计在企业风险管理中的其他程序。
(1)监控企业风险管理的质量是内部审计师的日常工作。内部审计师为企业风险管理设计适当的政策、程序和处理方法,并监督其有效运用。此外还要在企业中进行风险教育,参与开发风险管理技术。
(2)定期编写风险管理报告。内部审计师应分析企业面临的风险,特别是灾难性风险,以及产生新风险的环境因素,使管理层明确企业风险管理的关键领域,敦促其对风险作出有效管理。提出防范风险的建议,让董事会和管理层识别风险,确认接受风险的程度,制定风险对策,指导企业有效地利用资源。评价企业管理层制定的风险控制程序是否适当和有效,是否能满足董事会接受风险的程度,提出改进风险控制程序的建议。评价风险管理过程的效果,提出如何改进风险管理的建议。审计论文
参考文献:
1.杨有红.企业内部控制框架———构建与运作[M].杭州:浙江人民出版社,2001
2.王光远,刘秋明.公司治理下的内部控制与审计———英国的经验与启示[J].中国注册会计师,2003(2)
3.刘秋明.论企业风险管理 内部控制 内部审计[J].交通会计,2003(11)
