内部控制审计的内容主要包括五方面的内容,一是控制环境审计,主要是指对被审计单位的内部控制环境情况进行评价,包括企业经营活动的复杂性、管理权的集中性、企业文化、法人治理结构、各层次人员知识水平、员工聘用程序、绩效考核和激励机制等。二是风险管理审计,主要是对被审计单位的风险管理机制及其运行情况的审查,包括可能引发风险的各种因素,风险发生的概率和可能的后果,企业对风险的识别、防范能力、应对策略等。三是控制活动审计,审计的对象是对各生产经营业务的控制活动,如控制活动中业绩评估系统的运行情况、授权审批控制执行的有效性、对可能发生的重大风险和突发事件的识别和防范情况等。四是信息与沟通审计,主要是对企业的信息系统进行审计,对企业获取、传递、处理内外部信息的及时性、便捷性、安全可靠性等进行审查和评价。五是内部控制监督审计,主要对内部控制监督机制、监督活动实施情况等进行审计。由于内部控制审计的内容复杂,范围涉及广泛,随着内部控制审计各项业务的开展,内部控制审计风险也相伴而来。
二、内部控制审计风险构成
为促进企业建立健全内部控制,规范审计人员对内部控制的审计业务,监管部门制定了《企业内部控制审计指引》。依据《企业内部控制审计指引》的界定,内部控制审计风险是指“内部控制存在重大缺陷而审计人员出具了不恰当的意见的风险”,即企业内部控制存在重大缺陷而未被审计人员有效识别,而发表不恰当的审计意见和结论,给使用者带来损失所需要承担的责任。所谓内部控制存在重大缺陷包括三个方面,一是内部控制设计的不充分或者不合理;二是设计合理的内部控制没有按照要求被充分执行;三是设计合理并且表面执行充分的内部控制由于缺乏必要的授权或资格而在实质上不符合规范,或是没有对内控的执行进行恰当的监督,导致内部控制无法真正有效的运行。在对内部控制进行审计时,需要充分考虑这三方面的因素,只有三方面内容均不存在时,审计人员才能发表无保留意见。内部控制审计风险主要包括三方面的风险:固有风险、内部控制设计和运行有效性风险、内部控制评价风险,具体来看:
(一)固有风险
内部控制审计的固有风险是由内部控制本身决定的,内部控制是一个过程,是实际目的的手段,它受人的影响,涉及企业各层次的人员,因此只能提供合理的保证,而非心绝对的保证。在固定风险比较低的前提下,即使内部控制设计不合理或者执行缺乏有效性,内部控制审计风险也可能是比较低的。一般而言,审计人员需要通过分析收集到的各种信息,来评价内部控制的固定风险。影响固定风险的因素主要发生于被审计单位内部,如其所处的外部环境、自身具备的竞争能力、企业文件、管理人员及员工的能力和素质等。此外,会计期末发生的复杂交易或者异常情况、在会计核算中容易被忽略的交易或者事项等都是产生固有风险的因素。注册会计师在对被审计单位的内部控制固有风险进行评价时,需要全面考虑这些因素,得出综合结论。
(二)内部控制设计和运行有效性风险
内部控制设计和运行有效性风险是指存在内部控制的前提下,内部控制本身设计的不合理或者设计合理的内部控制制度没有被有效执行,从而导致内部控制重大缺陷的可能性。如果拥有授权和专业能力的人员按照程序和要求执行,内部控制目标能够实现,则表明内控设计是有效的。如果内部控制正在按照设计运行,并能实现预期目标,则说明内控运行是有效的。注册会计师在判断内部控制是否存在内部控制设计风险时,需要考虑是否存在应有的内部控制,如果没有,可能会存在哪些差错。注册会计师在判断内部控制是否存在内部控制运行有效性风险时,需要考虑设计合理的内控是否得到执行以及结果是否有效。
(三)内部控制评价风险
内部控制评价风险是指被审计单位内部控制存在重大缺陷,但审计人员出具不恰当审计报告的可能性。它类似于财务报表审计中的检查风险。一般而言,内部控制评价风险是必然存在的。因为注册会计师在审计时,会受到审计期限、审计方法、审计资源、自身专业知识和经验判断等要素的制约,所以这种风险不能根除,并且与被审计单位不存在关系。审计人员需要科学合理的设计内部控制审计的程序、时间和审计范围并严格执行,才能尽可能的降低评价风险。
三、内部控制审计风险的防范
从构成因素上看,要做好企业的内部控制审计,审计人员应当准确识别和评估内部控制的固有风险、设计和执行有效性风险,防范评价风险,才能尽可能的降低内部控制审计风险。为确保将内部控制审计风险控制在较低水平上,需要采取各种措施,如全面掌握被审计单位的情况、严格按照审计程序进行审计、明确测试对象等,来防范和规避内部控制的审计风险。
(一)全面掌握被审计单位的情况,防范了解不全风险
在对企业内部控制进行审计之前,注册会计师需要全面了解被审计单位的基本情况和内部控制环境等,这是内部控制审计的重要前提和首要环节。为全面掌握被审计单位的情况,审计人员应该重点了解一下几个方面:一是被审计单位所处的行业发展前景、法制监管环境及产业政策、单位性质、组织架构、对会计政策的选择与运用、经营目标、战略及风险、业绩考评等基本情况;二是被审计单位的高层管理人员的理念和经营风格、经历与胜任能力等相关信息、高层管理者对控制制度的重视程度、以前年度对内部控制有效性的评价等总体控制环境;三是企业风险评估过程、内部信息传递流程、内部控制的自我监督和自我评价等企业层面的内部控制;四是各类业务特点、流程等具体业务层面的内部控制执行情况。
(二)严格按照审计程序进行审计,防范评价不当风险
内部控制审计的目标是对单位内部控制的有效性发表意见,为防范做出不当评价,发生评价风险,注册会计师首先应当在审计之前充分准备,根据对内部控制风险的评估,制定详细的审计方案,比如审计目标和审计的重点内容、审计具体方法、实施审计的程序、审计期限及时间分配、审计范围及审计人员任务安排等。其次,审计人员应广泛收集准确、真实的资料和证据,运用观察、查阅、询问等方法,对被审计单位的各种情况进行了解,对内部控制有效性做出初步判断。再次,在初步判断的基础上,运用审查、分析等方法,对内部控制的合理性、有效性进行测试,形成总体评价意见和整改建议等。由于审计人员的业务素质、专业知识、判断水平等直接关系到审计结论的有效性,因此要求注册会计师恪守职业道德水准、不忘风险意识,不断提高自身专业知识、阅读相关业务的专业书籍、提高判断分析和预测的能力,不断提高业务水准,按照确定的审计技术和方法圆满完成审计工作,将内部控制的评价风险降到最低。
(三)明确测试对象,防范测试失效风险
内部审计的审计风险是指内部审计人员未能发现被审计单位经营活动以及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计中审计人员只有把握了项目审计风险的特点,才能在宏观上对审计实施有清醒的认识,这是保证审计质量的必要前提。就基建项目审计而言,主要有四个方面的因素影响审计风险:
(一)审计内容具有较强的专业性基建内部审计所涵盖范围十分广泛,它既涉及到决策、规划、设计、概预算、招投标、物资采购、施工、监理等一切与建设项目有关的管理活动,又涉及到建设单位的资金管理、会计核算的方方面面。审计内容一般可分为两个方面:一是工程管理审计,主要审计项目是立项、概预算、设计、招标、施工、监理、材料采购、质量验收、工程造价、项目决算过程和结果的合规性;二是财务审计,主要审查资金来源、运用、会计核算以及基础财务工作的合规性。这不仅要求审计人员具备的一般审计基础知识和经验,还要求具备一定的工程设计、施工、采购、验收等方面的专业知识,否则将直接影响审计质量。实践中常由于审计人员对工程项目管理缺乏专业知识和经验,往往偏重于财务审计,造成财务审计与工程管理审计的脱节。
(二)可能存在舞弊行为基建项目从立项到施工到竣工使用整个过程涉及诸多的利益主体,其中的一方或多方都可能在某个过程或程序中获得利益,因此极易导致舞弊行为。根据不同的行为主体,可以将舞弊行为分为三种:一是内部舞弊,表现为内部机构的人员利用工作职务便利或所获悉的信息获取不正当利益,如在材料采购、合同订立中收回扣、佣金等商业贿赂行为;二是外部舞弊,表现为与基建项目有关的外部机构人员利用工作职务的便利或所获悉的信息非法获利,比如招标机构或受托委托编制招标文书机构人员向参与投标单位透露其已获悉的工程标的等重要信息;三是内外勾结,表现为内外部机构人员相互串通,如共同编造虚假信息、签定虚假合同等。基建项目中的舞弊手段可能多种多样,但通常在形式上却较难发现漏洞,有“规范”的程序、“规范”的操作、“规范”的合同,但这些“规范”的外在表现形式下其实隐藏着违法舞弊的事实。揭露舞弊行为,是基建内部审计中的难点,也带来了高审计风险。
(三)大量信息的收集、分析与判断恰当的审计结论以充分的审计证据为基础,各种信息和资料则是审计证据的表现形式。内部审计目标具有多样性,包括评价程序的合规性、发现风险隐患、提供决策依据等,与偏重于财务审计的外部审计相比,内部审计需要收集的信息和资料更广泛和复杂,这些信息和资料既包括执行、操作方面,也包括管理、控制方面的,甚至还包括市场信息、公众信息。审计人员需要通过收集各种工程技术资料,咨询图纸设计、施工、监理等人员,查阅会议记录、会计凭证和账簿,必要时还可作一些调查,多方位、多渠道地去获取审计证据。如果这些信息和资料不完整或不真实,即使审计人员保持了高度职业谨慎,以此为基础做出的审计结论也会是不恰当的,由此必然带来审计风险;同时,由于审计人员所收集信息和资料内容丰富,数量庞大,对这些信息和资料进行综合、归纳和分析时,需要审计人员的丰富经验和恰当的职业判断,难免出现不恰当的审计结论而导致审计风险。
(四)审计人员本身的审计能力欠缺从内部审计的职能来说,它具有监督、评价、控制的职能,有的组织机构的内审部门还有一定建议或处理的权利,不仅要求审计人员具备一定专业能力,而且要有分析、论证和判断的综合能力。就基建审计而言,从实践来看主要表现在审计过程中审计人员不能从投资管理、资金管理、造价管理、质量管理全方位评价基本建设项目,在审计评价时对存在问题的宏观把握和分析驾驭能力不够,从而可能做出不恰当或不全面的审计结论,背离了审计目标。笔者认为,要规避上述因素对内部审计风险的影响,在审计策略上应注重从四个方面着手:
(一)注重内外部的沟通与合作基建项目内部审计工作涉及面广、专业性强,审计实施中要充分重视与外部有关部门的合作。随着内部审计职能的不断延展,内部审计部门与外部有关部门相互配合、相互协调,共同完成单位的内部审计工作,这一内部审计外部化趋势在基建内部审计方面显得尤为明显。与外部机构的合作包括:与工程审价机构的合作,如有的还可委托具有相应资质的中介机构进行审价;与工程监理部门的合作,内审人员应充分利用监理人员的工作,遇到专业问题时可向他们请教;与工程验收部门的合作,获知验收的重要信息和查阅验收资料,有助于审计的开展。在审计隐蔽工程时,部分审计内容难以直接验证,此时应该考虑与外部审价机构、监理机构以及验收机构的合作,咨询参与人员并适当利用其成果,这些外部证据有利于对隐蔽工程作出恰当的审计结论。有的单位同级内审、纪检等监督部门在事前、事中也参与到决策过程中,上级部门审计时与这些部门合作,更有利于掌握情况,也使同级监督更能发挥效能。
(二)工程管理审计与财务审计相结合工程管理审计与财务审计相结合是指以立项为起点,以工程项目的建设程序为主线,以财务审计和工程造价审计为分枝,以工程竣工决算审计为封闭终点形成闭合审计回路。财务审计是以资金走向为线索,注重对基建资金来源与分配的分析,成本审计时大都需要工程造价审计资料来验证成本列支的真实性。工程造价审计以工程量入手,同时需结合图纸、标的、合同、现场,核实工程量计算的准确性,需要调研和掌握建筑材料、设备的市场价格,需要注重研究现行定额,严格界定定额适用范围,看有无高套、重套的现象,这是工程造价审计的主要范围。工程造价审计应与基建财务审计相互佐证,要对资金到位时间、资金运用情况对工程造价的影响作客观分析。
(三)合理运用职业判断一是要把握重要性性原则。基建项目审计需要收集大量的信息和资料,对于这些信息和资料及其所反映的问题,审计人员要充分考虑重要性水平,抓住数额大、影响大的事项跟踪审计、详细审计;而对数额小、影响小的,采取点到为止的方式,能放就放。二是要把握谨慎性原则,保持适当的职业警觉。对怀疑存在的舞弊行为或事项、对一些隐蔽性较强的项目进行审计时,要对证据的真实性、可靠性保持谨慎态度,不仅要注重外在形式的合规性,还要注意事物本质的合法性。对审计过程中可能存在的虚假信息和资料,审计人员要提高警惕,加强分析和识别,始终保持职业怀疑,提高内部审计工作的准确性。对有疑问之处要采用顺藤摸瓜的方法,循序渐进地将情况逐个了解清楚,使原本隐蔽的信息明朗化、清晰化,积极揭示可能存在的舞弊行为,在进行专业判断与分析时要保持独立性,不受外部因素的干扰。
(四)确保审计程序、审计依据和审计行为的规范化基建项目审计是一项政策性强、专业水平高的系统性工作,审计程序、方法与技巧是否得当,既是审计人员政策水平的体现,也是审计人员综合能力的反映。审计人员在整个审计实施过程中,要严格按照内部审计的有关操作规程展开审计,审前要制定详细的审计计划和审计方案,选择有经验和具备专业能力的人员组成审计组,要对审计对象的情况作必要的了解,掌握一些基本信息,并初步分析是否存在重大风险点。现场要实施必要的询证、检查、观察、分析性复核等程序,并要确保审计人员之间能够及时沟通和信息共享。对审计揭示的问题,要以政策为准绳,做到有理有据,使主动权掌握在自己手中,在与被审计单位内外部进行接触时要注意方法和技巧,不卑不亢,注重沟通和尊重,要做到消除分歧,以理服人。
参考文献:
论文提要:本文分析了企业内部审计风险的成因并提出一些控制风险的措施。随着经济的发展,内部审计不可避免地出现了一些松弛,其产生的原因有主观和客观两个方面的原因。主观方面主要有内部审计独立性的缺乏、素质不高、审计程序不合理等,法律规范的不完善以及环境方面的差异等客观原因使得内部审计风险错综复杂。基于以上原因,本文提出了控制的措施,以使得内部审计更有效率,更大限度地规避风险。
一、内部审计概述
随着经济一体化的进程,审计在维护市场秩序、提高经济效益方面发挥着越来越重要的作用。内部审计指部门或单位内部独立的审计机构和审计人员,依照国家法律、法规、政策、程序和方法,对本部门、本单位的财务收支及其经济活动进行审核,查明其真实性、合法性和有效性,并提出建议和意见的一种经济监督活动。内部审计风险是指财务报告事实上存在重大错报、漏报,或者企业经营管理上存在的弊端,或内控制度存在重大漏洞缺陷,内部审计人员经过审计未能发现或失察,而提出不正确或不恰当的审计意见,审计对象及其相关方面遭受损失或损害,并由此引起审计主体承担责任的风险。为了有效地防范和避免审计风险,应对内部审计风险进行科学的分析和深入研究,从而保证内部审计事业健康发展。
二、内部审计风险的成因
(一)内部审计的主观风险
1、内部审计机构缺乏相对独立性。内部审计机构是单位内设机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性不如外部审计,不可避免地受本单位的利益限制。内部审计的组织形式也反映出其独立性的弱化,有的单位把审计机构设在财务部门中,有的把审计机构和监察部门合并在一起,有的单位由分管钱财物资及账目的人员兼任审计岗位,有的单位领导既领导财会工作,又领导审计工作。因此,企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公允的评价。
2、内部审计人员的综合素质不能适应目前的工作需要。审计人员的素质包括思想政治素质、职业道德素质、业务技能素质、工作态度及心理素质,内部审计人员素质不像专业的审计人员那么高,很难客观地做出公正和无偏见的判断;另外,内部审计人员配备普遍不足,有的人员缺乏专业培训,人数也难以满足审计业务的需要。同时,相当一部分审计人员改革创新意识比较弱,审计理念还停留在传统审计上,大局意识和风险意识不强。
3、内部审计程序和方法本身隐含的审计风险。许多企业内部审计制度不完善,如审计机构缺少事前的审计计划,事中的审计程序和报告前的审计复核,审计工作底稿不完整,一般只记录审计问题事项,而未记录审计人员认为正确的审计事项,使得审计复核、审计质量控制无从入手,这都使内部审计质量得不到保证,风险防范意识薄弱。
(二)内部审计的客观风险
1、内部审计法律制度不健全。内部审计目前只有20世纪八十年代审计署颁布的《关于内部审计工作的规定》(1989年制定,2003年修订),法律级次明显偏低,可操作性差,存在着滞后现象。这样,内审人员在进行审计时,只有依据经验和知识进行分析判断,在某种程度上严重影响了审计结论的权威性和正确性,因而大大增加了审计风险。
2、审计对象的复杂及审计范围的扩展,加大了内审风险。现代组织由于经营规模的扩大,经营业务的日趋复杂,使得内审对象的范围逐步扩展,为内部审计带来了更多的困难。这里差错和虚假的会计资料掺杂其中,失察的可能性也随之增大;内部审计业务也已不再局限于财务收支审计,还包括经济责任审计、内审业务的拓展、使审计人员承担更多责任和风险。3、企业的外部环境导致的审计风险。近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。经营风险的存在往往引发更大的审计风险,对内部审计人员提出了更加严峻的挑战,加剧审计风险的产生。
三、内部审计风险的控制
现代内部审计不再是监督检查式审计,而是参与式审计,审计人员不仅要善于发现问题,而且更要善于解决问题,提出相应的建议和改进措施,帮助经营管理人员加强内部控制,改善经营管理,以完成所负经济责任。要做好内部审计工作,应针对以上原因做好如下几点:
(一)提高内部审计的地位,增强其独立性。内部审计的独立性是内部审计质量成败的重要因素,企业在设置内审机构时应坚持两条原则:一是独立性原则。这是设立在内部审计组织机构最重要的原则。在这个原则指导下,内审组织机构在组织人员、工作和经费等方面应独立于被审计单位,独立行使审计职权。不受股东、总经理、其他职能部门和个人的干预,以体现审计的客观性、公正性和有效性。二是权威性原则。这是内审工作充分发挥作用的另一个关键因素,主要体现在内审组织机构的地位和设置层次上。内审组织机构的组织地位和设置层次越高,权威性越大,内审的作用就发挥得越充分。
(二)不断提高审计人员素质,增强其风险意识。各内审部门要制定长远的培训计划,加大培训力度,培养内审人员坚持实事求是、客观公正、廉洁奉公的职业道德,并使其不断更新知识,提高内审人员的审计查证能力、审计协调能力及表达能力,提高分析、判断和预测经济活动的能力,以适应新形势的需要。最后,还应强化审计人员的风险意识,在审计工作中始终将审计风险作为确定审计项目、审计重点、审计程序、审计结论的判断基础。
(三)加快有关审计法规制度建设。国家应抓紧制定、颁布内部审计法规和内部审计业务准则,以统一内部审计执业规范,降低审计风险。在中国经济走向世界的同时,内部审计还要借鉴国外的先进经验,尽快同国际惯例接轨,以谋求长足的发展。
(四)建立健全审计组织自身的内部控制制度
1、建立全面质量控制制度。全面质量控制是内部审计机构合理保证所有内部审计活动符合内部审计准则的要求而制定的控制政策和程序。主要包括职业道德原则、专业胜任能力、工作委派、业务操作规程、考核与评价、监控等。
关键词:风险管理;风险管理审计;内部审计;职能
1内部审计职能转变中风险管理审计的发展
风险管理指人们对风险的认识、控制和处理的主动作为。它要求人们研究风险发生和变化规律,估算风险对社会经济生活可能造成损害的程度,并选择有效的手段、用最小的成本代价,获得最大的安全保障。所谓风险管理审计是指组织内部采用一种系统化、规范化的方法来进行以测试管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对组织的风险管理、控制及监督过程进行评价而提高过程效率,帮助组织实现目标。它的总目标是:以风险管理为标准,审核被审计部门在风险识别、评价和管理等方面的合理性和有效性,于损失发生之前能作出最有效安排,使损失发生后所需要的资源与保持有效经营必要的资源能达到适度平衡,帮助组织实现目标,因此内部审计是对风险管理、控制过程的有效性进行评价和预警,它既是风险管理的最后一道防线,又是风险管理的倡导者,它通过风险管理为组织创造价值,成为内部审计的首要使命,对组织的可持续发展发挥着至关重要的作用。
财务丑闻的频发致使2002年美国国会通过《萨班斯一奥克斯利法案》(以下简称“SOX法案”)。SOX法案对美国上市公司的内部审计人员产生了重要影响,鉴于美国商业对全球的深刻影响,SOX法案事实上已影响到全球的内部审计人员。SOX法案特别强调了内部审计在企业风险控制和管理、公司治理中的不可替代作用,使得内部审计在参与到企业价值增值活动方面获得了前所未有的良机。2004年,美国COSO委员会在原有“内部控制整体框架”的基础上,颁布了“企业风险管理框架(ERM)”,为内部审计参与企业风险管理提供了指南,这也必将促进内部审计由以内部控制评估为基础向以风险管理评估为基础转变。
内部审计的职能从最初的监督职能,经历了以消极防弊为主、以积极兴利为主以及为组织增加价值三个阶段,发展到今天已经是集经济监督、经济评价和管理咨询职能于一身。准确的职能定位是充分发挥内部审计作用的前提。国际内部审计师协会(IIA)2001年在其的《内部审计实务标准》中对内部审计的定义是:“内部审计是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。它采用系统化、规范化的方法,来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现它的目标。”由此可见,现代内部审计是建立在两项基本职能基础上的:一是内部审计要识别企业所面对的战略风险、经营风险和财务风险,这些风险包括关联交易、合资以及合伙风险,企业重组、包括合并和购置风险,新业务、产品和系统的风险,适应汇率变化或现金流量变化的能力、信息系统风险以及声誉风险等等。二是内部审计要评价管理部门为减少风险而设置的控制是否适当、有效,最终目的是帮助组织实现它的目标。
所以,以上定义通过强调内部审计范围包括独立性和咨询活动,突出了内部审计要积极主动关注内部控制、风险管理和治理程序的关键问题。内部审计的范围延伸到风险管理、内部控制和公司治理,内部审计的重心由事后评价控制转向事前风险管理和过程控制。其中,风险管理又是公司治理和内部审计的焦点与核心问题。
2内部审计职能转变中进行风险管理审计的现状及原因
2.1职能转变中风险管理审计现状
目前,从世界范围看,企业的风险管理审计尚处在发展阶段,还有相当一部分的企业还没有实行,风险管理审计的理论研究方面的工作及成果还比较少,风险管理审计的发展还存在着若干问题。
(1)法律法规及相关政策有待改善。
在西方发达国家,由于安然事件、世通事件及安达信危机发生后,美国审计行业才注重风险管理审计的内容。我国风险管理审计刚起步,相关法律法规政策相当缺乏,不能很好的规范保障风险管理审计的开展,使审计人员在开展工作时束手束脚,不利于开展风险管理审计。
(2)企业组织机构及各项制度不健全。
我国的大多数企业存在较为严重的企业治理结构问题,使得我国企业的风险管理始终停留在以眼前利益为目的的决策层次上,而不能像西方一些企业将风险管理上升到企业发展的战略高度。企业的组织架构还不完善,缺乏独立的风险管理部门,风险承担的主体不明确,当风险发生时,各职能部门间互相推卸都在想方设法逃避风险的责任。
(3)企业领导班子还没有意识到开展风险管理审计的重要性。
企业领导层他们大多认为只要把企业的风险防范工作管理好,就可能达到风险管理的目的,并没有意识到内审机构开展风险管理审计的重大意义。但是内审机构开展风险管理审计更能促进风险管理的进行,更系统全面的对风险进行分析与评价,提出更合理的风险防范建议,以达到降低风险损失。
(4)经验不足,创新能力不足阻碍内部审计开展风险管理审计。
风险管理是内部审计的一项新的内容,一个新的领域。风险管理审计工作刚刚起步,缺乏相应的规章制度,更缺乏相关的审计工作经验,这就是内审人员开展风险管理审计的最大弱点和挑战,在现阶段,就要求内审人员在工作中不断的创新,在实际工作中不断积累和丰富工作经验,开拓风险管理审计的新工作局面。
(5)企业风险管理审计人才严重匮乏。
目前,由于企业缺乏独立的风险管理机构,导致风险管理人才严重匮乏,再延伸的风险管理审计人才更加严重匮乏。由于目前内部审计人员综合素质不高,主要表现在计算机操作能力不够,知识结构单一,风险意识不强,工作创新能力差等,将严重影响风险管理审计的有效开展和质量控制。
2.2内部审计职能转变中进行风险管理审计的原因
风险管理审计之所以逐步成为一种重要的、全新的审计模式,其主要原因是:
(1)受托责任多极化的需要。
利特尔顿教授在他的《会计理论结构》中说“审计职能就在于研究、审计和评价受托人对委托人所赋予之受托的履行情况;审计应对受托责任报告加以测试;应审核包括现金要素在内的许多要素的综合受托责任;由股东投资形成的公司资产的受托责任,向来就是重要的审计问题”。历史地看,受托责任从最初的仅仅要求报告已取得和处理资源的种类和数量保管责任演进到含义颇宽的管理业绩概念,充分显示了受托责任从简单到复杂,从低级到高级的发展过程。随着受托责任的要求越来越多,企业风险的大小自然成为委托人所关注的重要信息,相应的内部审计的内容也要进行拓展和延伸,风险管理审计则是必不可少的。
(2)市场经济环境下强化企业管理控制的需要。
随着全球经济的一体化,企业之间的竞争日益剧烈。在激烈的竞争中,如何尽可能多地占有市场份额,使企业保持竞争优势,是每个企业所面临的不可回避的问题。为了解决这个问题,企业必须不断地改善管理工作,而管理控制的一种方法就是企业进行内部审计。因此,减少企业面临的风险是组织实现目标的关键,风险管理审计的目的在于增加组织的价值和改善组织的经营,更好地对企业进行管理控制。
3内部审计职能转变中进行风险管理审计需采取对策
3.1转变传统观念,重视风险管理审计
随着市场经济的发展,市场竞争异常激烈,企业面临的风险范围大幅扩大,风险随时随地都可能发生,并且影响着企业的生死存亡。要求企业管理层要彻底转变观念、增强风险意识,把风险管理审计作为企业管理的重要工作,与此同时审计人员也要转变观念,尽快实现从传统的账账基础审计、绩效审计、制度基础审计向风险管理审计转变,突出风险管理审计的重要性。
3.2培养一批高素质的审计人才
内审人员要想成为风险管理专家,不仅懂得财务会计及相关法律法规,具有扎实专业技能,还要精通现代管理信息技术和先进的管理技术手段,具备相应的风险管理素质,熟练地运用内部审计标准、程序和技术开展风险管理审计。企业应该花大力气培养一批高素质的审计人员,为开展风险管理审计奠定基础,主要做法:一是对现有的审计人员进行定期的培训,提高他们的专业素质水平;二是选拔优秀审计人才出国学习现代风险管理审计技术。
3.3创新工作能力,发挥内部审计人员的能动性和积极性
任何工作中,人的因素是最具有影响、最具有决定性作用的因素,只要能够发挥人的积极性和能动性,任何难事都会迎刃而解。中国及世界企业界当中,目前由于风险管理审计刚刚起步,相关的政策法律法规并没有完善,工作也还是探索摸索当中,还没有什么经验及范本供大家遵循和参照,在这种情况之下,这就要求内审人员不断创新工作能力,发挥人的积极性和能动性,开拓企业风险管理审计的新局面。
3.4企业风险管理审计要做到经常化
由于风险随时随地都会发生的,而且是不断变化的,幻想一次、两次风险管理审计就能解决根本问题是荒谬的、不现实的,因此风险管理审计必须做到经常化、制度化,要定期地或不定期地开展风险管理审计审查评估。经常性地开展风险管理审计,不断的总结和积累工作经验,提高审计的质量,最终能够把握风险管理的精髓,把自己变成风险管理的权威性专家,提高内审机构的地位。
参考文献
[1]孙素清.企业风险管理审计的应用初探[J].山东教育学院学报,2006,(5):25-29.
审慎选择被审计单位,选择一个好的企业进行审计在很大程度上可以部分降低审计风险。在决定承办后,为了做好审计计划工作,注册会计师必须充分了解被审计单位经营的业务及所属行业的基本情况,以便弄清楚对会计报表具有重大影响的事项、交易和惯例。认真了解被审单位的内部控制制度,对被审计单位的内部控制制度进行研究和评价时,首先要调查了解被审计单位的内部控制制度的执行情况,并做相应的记录;其次,实施符合性测试程序,证实有关内部控制制度的设计和执行的效果;最后,评价内部控制制度的强弱,即评价被审计单位的控制风险水平的高低。
若内部控制制度执行得好,相应的控制风险也较低。了解被审单位内部控制制度的实施情况,可以确定在内部控制薄弱的领域扩展审计程序,以便在实质性测试过程中采取相应的对策来降低审计风险。与业务委托人签订明确的业务约定书,并取得其管理当局声明书。业务约定书具有法律效力,它是确定会计师事务所与委托人之间权利和义务的重要文件。它规定了所执行业务的性质、审计对象、双方的责任即会计责任和审计责任等事项。被审计单位管理当局声明书是一份表明其对所提供的会计报表及相关资料的真实性负责,且对审计工作不加以限制的书面证明,这对减轻审计人员的审计风险十分重要。
审计实施阶段审计风险控制
根据审计计划确定的范围、要点、步骤、方法,进行取证、评价,借以形成审计结论,这是实现审计目标的中间过程。它是审计全过程的中心环节,其主要工作包括:对被审计单位内部控制制度的建立及遵守情况进行符合性测试,根据测试结果修订审计计划;对会计报表项目的数据进行实质性测试,根据测试结果进行评价和鉴定。在这一阶段中,不可能要求注册会计师把所有的错误事项都审查出来,而且这也是不现实的,所以审计风险总是存在。这只有靠注册会计师自己严格遵循专业标准的要求执业,时刻保持高度的警惕,尽量降低审计风险。
在审计过程中我们要特别注意以下几点:注册会计师对于接近资产负债表日的大量产品销售收入必须特别加以注意,注册会计师必须对资产负债表日后一段时间的有关业务执行必要的审计程序。公司的经营突然与一贯方式不同,可能有其实际上的需要,因为企业经营必须适应环境变化,但审计人员必须谨防经营者借改变经营方式创造虚无的利润。对于收益的确认必须注意有无其他附带条件存在。注册会计师对于不寻常或不合常规的交易,应保持谨慎态度,单凭合同上的法律文字或条款是不够的,注册会计师需凭其敏锐的专业嗅觉,对这些条款加以仔细查核。对于合同上未列示的可能附带的约定,尤其应保持警觉。
当注册会计师注意到表明可能存在违法行为的迹象时,他应获取对这种行为及其产生环境的了解,并获取充分且适当的审计证据来评价它对财务报表的可能影响。在做这种评价时,注册会计师应考虑:(1)潜在的财务后果。如罚款、刑事处罚、被没收财务的损失、强制停业及诉讼
等;(2)是否要求揭示潜在的财务后果;(3)潜在的财务后果是否严重,以致对财务报表的真实性和公允性产生了影响。此外,注册会计师在发现被审计单位内部控制制度存在重大缺陷时,应将他的发现记录于工作底稿中(包括取得记录和文件的副本),并与管理部门交换意见。甚至,在认为必要时,应向管理当局出具管理建议书。
审计终结阶段审计风险控制
出具审计报告、作出审计结论和决定是审计的终结阶段,即审计的最后阶段。因为会计师事务所不同于一般的公司、企业,审计质量是会计师事务所的生命线。如果一个会计师事务所质量管理不严,很有可能因某一个人或一个部门的原因导致整个会计师事务所遭受灭顶之灾。所以,在审计工作底稿编制完成后,在签发审计报告前,通过一定的程序、经过多层次的复核显得十分必要。通过对审计工作底稿的复核,可以减少或消除人为的审计误差,可以降低审计风险,提高审计质量。另外,在出具审计报告之前还应与客户交换意见、进行沟通,使双方达成共识,减少矛盾的发生。
特征是一事物不同于其他事物的特质,对于审计风险的特征,大致可归为以下几点:(1)审计风险存在的客观性审计风险的存在是客观的,它不随主观意识的改变而改变。当代审计采用抽样的方法,即从全体资料抽取一部分比较有代表性且能覆盖信息使用者要求的样本,分析审计样本的特点,以样本推断总体特征。但是样本与总体的特征难免存在差异,误差在合理范围内也合情合理。但是以抽样样本的审计结果来推断总体的特征,总是会产生一定程度的差异,同时审计人员要承担一定程度的作出错误审计的风险。若采取详审的方法,由于企业的经营活动错综复杂,审计和管理人员的职业道德等问题,也不能避免审计风险的存在。因此,通过对审计风险的调查研究表明,审计风险不能避免,它客观存在,我们只能采取防控结合的方式避免由于审计风险而导致审计失败的发生。(2)审计风险的隐蔽性由于审计风险客观存在,平时很难发现它具体存在的形式,大多数情况是在风险发生并导致不良后果,才被人们所注意。审计风险是一种不确定性的风险,在实务中,若审计人员作出偏离事实的审计行为,并且没有造成严重后果,也没有引起相应的责任,那么这种风险就不会被人们知道,这就体现了它的隐蔽性。审计人员也可能只是下意识的去防范,它就没有转化为真实的风险。审计过程受到法律环境、执业人员品质和执业水平等诸多因素影响,人们只能在思想上认识它的存在,而不能确切的定性和定量了解。(3)审计风险的偶然性根据审计风险隐蔽性特点可知审计风险隐藏在审计人员没有留意到的地方,并且它的存在是不定时的,它必然存在,但偶然发生。审计人员无意识接受了这种风险,并可能在无意中承担了这种后果,因此,它具有偶然性,不固定性。(4)审计风险的可控性审计风险不能避免,也不能事先定性定量的做好策划,它的偶然性和隐蔽性特征表明审计风险具有可控制性,根据对以往审计经验以及真实案例的分析,审计人员可以总结归纳风险的类型、特点,以此进行控制,用科学的方法把它控制在一定水平之下。
2审计风险研究意义及国内研究现状
审计质量的好坏是审计工作的最终目的和结果,随着经济形式和内容的多样化,审计工作也日渐丰富,审计人员的工作任务和责任不断加大,这就导致审计风险日趋增大。审计风险问题不仅关系审计质量的好坏,也影响独立审计事业的发展,目前,已成为审计业界密切关注的话题之一。审计风险是现代审计工作必须考查的要点之一,加强对审计风险的理论和案例研究,对促进和保证审计质量具有重要意义。20世纪80年代后,随着我国对外改革开放的加深,我国从事类似职业者逐渐对审计工作有了一个模糊的认识,并且随之加深其认识。1981———1986年是我国审计界对审计风险缺乏研究的阶段,不论是政府审计机构还是民间审计组织,都对审计风险没有一个正确全面的理解。因此,在审计实务中,也就忽略了这个问题,导致我国对此研究发展缓慢。从1987———1991年,我国对审计风险有了初步的探索,在这一时期,我国审计体系初具规模,出现了大量的注册会计师和会计师事务所,并对审计理论的研究也开始了初步发展,这是我国审计界对审计风险的研究比较活跃的阶段,主要表现为我国在一些专业出版物上发表了一定数量的对审计风险的研究成果,这就标志着审计风险已成为理论界重要研究课题之一。从1992年到现在,我国审计界对审计风险的研究又进入了新的阶段,大量的研究成果问世。
3审计风险形成的原因
审计风险形成的原因是各种各样的,并且在各个因素的相互影响和作用之下,又形成多种复杂的问题。但是我们可以将审计风险的形成原因大致分为三个方面:客观因素;主体因素;社会环境因素。审计风险的客观因素,即该因素是由被审计单位造成的。主要包含:被审计单位的会计制度是否完整、会计工作人员是否真正遵守会计规范;被审计单位内部控制制度是否健全、经营状况是否稳定。审计人员不直接参与被审计单位的经济活动,且对于被审计单位所提供的会计资料以及相关的其他资料的真实性并不清楚,而是以这些资料为载体进行间接审计。因此,审计结果的质量水平完全依靠这些资料的真实性和可靠性。一些被审计单位为了达到某种经营目的,很有可能虚报财务状况,偏离真实,最常见的就是账账、帐实、帐物不符,这就会导致会计信息失真,审计人员难免会产生错判。另一方面,被审计单位的内部控制制度是审计人员实施审计和监督的基础,若内部控制不完善,就会直接提升风险指数。企业经营状况稳健,内部机构设置明朗,经济活动规范,其审计风险则相应减少。审计风险的主体因素:(1)审计人员的个人理论知识、审计技能和工作经验等是制约和检查审计风险的重要因素。在实务中,对审计事项的判断、审核依赖于审计人员的知识水平和业务经验,业务越熟练,经验越多,对审计程序越了解,就越能发现和规避审计风险。如果审计人员的知识水平和业务经验欠缺,就有可能做出不适当的审计意见,不能揭示被审计单位的会计资料的虚假内容,不能有意识的发现审计风险存在的地方。(2)审计人员的职业道德问题不仅表现了个人道德品质,更代表了审计行业的形象。现代社会有着各种不同的诱惑,特别是金钱诱惑。一个审计人员如果不能坚守职业道德,为了一己之利而营私舞弊,那么只会导致审计失败,失去客户的信任,并对其所在的会计师事务所造成不良影响。(3)审计主体所选择的审计方法有缺陷。目前,审计人员基本采取电算化方式,审计方法也大多采取抽样。由于被审计单位会计资料的复杂化,导致审计人员取证困难,审计工作受到限制。同时,抽样方法也受到审计人员本身的业务水平限制,工作中难免会出现漏洞,这也是审计风险存在的形式之一。审计风险的社会环境因素包括经济、法律、政治等影响。这是几个宏观因素,也是审计存在的前提。在法制上使审计工作更严谨,职责分明;经济发展带来审计电算化的发展,使审计工作进行的方便和准确;随着国际化发展,审计事业也日渐与国际趋同,使审计准则更加规范化。因此,为审计工作提供一个良好的社会环境,对其风险控制也有重要意义。
4审计风险的防控
关键词:内部审计、风险管理、职责、作用
一、目前我国企业存在的风险因素及表现形式
企业的风险是指未来的不确定因素,并可能给企业造成损失。现代企业风险因素很多,包括外部风险和内部风险。外部风险是指外部环境对企业目标产生影响的不确定性,主要表现在国家的法律法规及政策的变化、经济环境的变化、科技快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等;内部风险是指内部环境对企业目标产生影响的不确定性,主要表现在组织治理结构的缺陷、组织经营活动的特点、组织资产结构的性质及资产管理的局限性、组织信息系统的故障或中断、组织缺乏保密意识、泄密事件频发、组织人员的道德品质和业务素质未达到要求等。
二、目前我国企业在风险管理方面存在的问题
目前我国企业在风险管理方面存在的问题主要表现在企业内部缺乏包括决策层、管理层、执行层在内的完整的风险管理组织,降低了企业应对风险的能力;缺乏正确的业务流程,影响管理层识别和评估风险;缺乏风险意识,没有积极、主动、系统地进行风险管理工作,无法进行风险预警,在企业迅速扩张的过程中管理失控;缺乏规范的法人治理结构,使企业的目标发生偏移;缺乏岗位责任考核制度,工作效率低下;缺乏业务操作规程,存在事故隐患;缺乏对企业内控制度执行情况的检查和监督,内部控制失效。
三、内部审计在企业风险管理中的职责
在风险导向内部审计中,风险管理审计成为内部审计的关键程序,分析、确认、揭示风险已成为内部审计的主要职责。
(一)实现企业目标,内部审计有责任参与企业的风险管理
现代企业的经营环境日趋复杂,风险日益增大,降低风险是实现企业目标的关键因素。内部审计站在独立、客观、公正的立场,采取系统化、规范化的方法,促进企业建立规范的法人治理结构,建立风险管理过程,形成良好的法人治理环境。向管理层提供创造性思维,提出科学合理的建议。通过内控制度的评价,对企业经营活动进行风险识别、评估和防范,改进风险管理与控制体系,从而完善企业管理,降低、转移或化解风险,提高企业整体抗风险能力,最终实现企业目标。
(二)内部审计是构成企业风险管理的重要机制
目前,国有企业建立的各级风险管理组织都隶属于管理部门,不具有独立性,其意见有时会屈从于管理部门的压力,使风险管理部门的作用受到限制。在现代企业中,内部审计独立于管理当局,其意见可以直接报送董事会,具有独立性和权威性。
从企业外部看,外部审计站在独立、客观的角度,关注企业财务报表的合法性、公允性、一贯性,对企业的内部控制进行复核、测试,提供一些有用的信息影响企业的风险管理。但他们对企业的经营环境和运作过程不十分熟悉,提供的风险信息不能贴近内部管理,不能对企业风险管理的有效性承担责任。而内部审计对企业的经营环境和运作过程更了解,在风险管理方面比外部审计更具优势。
(三)内部审计是风险控制程序的重要补充
内部审计人员应用现代风险导向审计模式,分析企业存在的风险因素,警惕影响企业目标的重大风险。在审计计划阶段,内部审计应考虑企业活动存在的各种风险,在评估风险优先次序的基础上,按照风险的大小分配审计资源;在审计实施阶段,通过检查、评价风险管理过程的充分性和有效性,发现风险管理的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和薄弱环节提出改进的建议。
四、内部审计在企业风险管理中的作用
内部审计从风险识别、风险评估、风险应对、风险防范和监控等方面参与风险管理,报告企业潜在的重大风险,提出应对措施。通过落实审计建议,督促企业采取有效风险控制措施。
(一)识别风险
识别风险实质上是对风险进行定性研究,收集、整理可能发生的风险,形成风险列表。从评价企业的内部控制制度入手,在信息管理、采购、生产、销售、财务、人力资源管理等各个领域查找管理漏洞。通常要关注的主要风险有:信息量不足或不真实导致决策错误;信息系统故障或中断;自动付款系统设计存在缺陷,未设计供应商的身份验证控制,不能识别虚假供应商;随意对外担保,存在或有负债;资产流失、资源浪费和无效使用;客户投诉率增高,企业信誉受损;年终未对所有的应收款项进行询证;大宗采购业务未按程序招标,合同签定、付款审批、验收保管未做到职责分离等。
(二)评估风险
评估风险是对企业经营管理过程可能遇到的各种风险进行确认和分析。采用定量或定性的方法,分析判断风险发生的可能性,评估风险对实现企业目标产生影响的严重程度。定量分析方法是对已被识别的风险进行量化估计,通过公式:风险值=风险影响×风险概率,计算出风险值。例如,内部审计人员调查了某施工企业四项业务:(1)对外投资350万元,失败的可能性为80%;(2)对外借款1000万元,不能收回的可能性为60%;(3)应收的工程款3000万元,出现坏账的可能性为40%;(4)对外担保金额2000万元,承担连带清偿责任的风险50%。根据前述公式计算的风险损失排序为:(3)1200;(4)1000;(2)600;(1)280。由此可见,第(3)项业务可能造成损失的金额最大,应优先列入审计日程。在风险难以量化、定量评价所需的数据难以获得时,应采用定性方法。定性分析方法的复杂性和困难在于主观判断结果发生的不准确性,不同背景、不同经验、不同职位的人对同一风险的判断可能不同。比如,上级主管出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。采用定性方法需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。内部审计人员处于特殊的独立地位,可以从客观的角度分析风险的假设条件,对风险进行评价,提出专业意见。
(三)应对风险
内部审计在识别风险并进行相应的评估以后,根据风险的影响程度采取应对措施。风险应对措施主要包括以下四个方面:
1、回避风险,即采取措施回避可能发生的风险。例如,在工程承包合同签订前,审计人员进行程序评审和合同文本评审,保证合同的合法性与合规性;对合同条款评审,尤其是合同价款、工程材料、工程期限、工程质量、工程进度、安全保证、工程款拨付、质保金等敏感条款,要经过仔细商榷,杜绝合同管理失误的经济责任。
2、降低风险,即采取措施将风险降低到企业可接受的范围。例如,在签订对外担保合同时,审计人员根据担保法的有关规定,检查企业是否对被担保人经过详细的资信调查,对被担保的项目是否经过仔细的研究,是否经过民主决策,有无因程序不当造成的连带责任。
3、转移风险,即通过转嫁或与他人共担将风险转移。例如,承包工程垫资和工程款回收。对工程分包商和材料供应商落实招投标,在签订分包和采购合同时在条款中写明,业主付款后,再按业主付款的比例支付分包工程款和材料款,合理转移风险。
4、接受风险,即风险已经在企业可接受的范围之内,不必采取任何措施。例如,在汇率波动较大的时期,大额进出口贸易会导致较大的汇率风险,企业一般会采用外汇期货来保证将汇率损失控制在可接受的范围之内;企业在可承受的范围之内向银行贷款等。
(四)防范和监控风险
风险管理部门根据风险性质和企业的承受能力制定相应的防范措施,内部审计对制定的风险防范措施进行评价和检查。评价风险防范措施主要考虑风险的可回避性、可降低性、可转移性、可接受性,检查风险防范措施是否充分、得当。例如,审计人员通过询问控制计算机资料室的人员,确定是否有未经授权的人员接触系统文件;企业的内部控制执行情况,总要在会计资料文件中表现出来,审计人员抽取一定样本量的原始凭证、账簿、报表等书面文档,检查内部控制是否得到有效的贯彻执行;向客户询证应收账款余额、对存货进行实地盘点、审查银行存款对账单以核实银行存款期末余额等,对账户余额进行实质性测试,以检查企业对外提供的财务报表的真实性和公允性等。对于存在的风险缺乏充分的控制措施的情况,内部审计人员应提出改进措施的建议,协助企业完善风险反映方案,强化企业的风险防范管理。企业的经营风险并非一成不变,随着时间的推移,风险有可能增大或减小,因此,内部审计要时刻监控风险的发展变化情况,并确定随着某些因素的消失或出现而带来新的风险。
内部审计机构促进企业建立健全风险管理过程,完善风险管理体系,提供风险管理的组织保证。规范企业的经营行为,降低经营风险,为企业的科学快速发展扫除障碍,增强企业的竞争能力,为企业增加价值,是内部审计在企业风险管理方面的价值所在。
参考文献:
1、《审计探索与创新》中国财政经济出版社
(1)风险的分类
财务风险是指组织财务能力不济、收益下降、财务部门结构不合理、融资不当等影响企业实现目标的事项。针对财务风险,内部审计的监督控制就起到了很好的作用,让企业的财务活动尽量都维持在内部审计的监控范围内,督促具体业务部门按照制度执行工作,也能督促高管层做出更适合企业发展的决定。市场风险分为定价和促销政策两种风险来源。市场是时刻变化的,一个产品的定价或是促销活动也是需要根据市场的供求来做变化的。这时的内部审计就需要对市场有敏锐的判断力,帮助业务部门适应市场变化。运营风险就是指管理层在经营维护企业运营的过程中偏离预期目标的可能性,具体包括不安全因素、环境保护不力、人力资源不充足、价格谈判不合理等。由此看来,运营风险是多种多样的,可以详细到业务工作的每一个细节,这就对内部审计有更高的要求了,帮助企业管理层树立正确的运营理念,改善外部环境,建全管理制度,时刻掌握企业从上至下的运营信息等是做好内部审计的基本保障。企业内部的法律风险分为知识产权纠纷和员工纠纷两类,外部还有合规性、法律变更等。企业最容易被忽略,也就是最容易产生风险的就是法律改变,如果内部审计没有时刻关注相关法律的变化,就可能使企业走上违法的道路,而没有给予防范,法律风险就会产生。
(2)风险管理与内部审计的联系
风险管理即识别评估风险,并采取一定的措施将其造成的不良影响控制到可接受的范围内,使其发生的可能性降到最低,从而为更好地实现组织目标提供合理保证。一般企业的经营目标是实现企业利润最大化,而风险的存在对其目标的实现产生了不利影响,所以内部审计就需要采取系统化、规范化的方法对风险进行评价、监控和管理,并采取措施实施风险管理,降低风险的不利影响,提高风险管理的效率,实现组织目标。现在的内部审计作为风险管理实现目标的一个有效方法和手段,不再仅仅是对内部控制、财务管理、企业合规性等的审计,而越来越关注风险,它可以独立于其他职能部门,客观地对风险进行识别,强调风险管理是否充分有效、管理措施是否能合理地规避、转移和控制风险,这样一来,内部审计才能及时有效地向管理部门提出建议,引起管理部门的高度重视,同时实现自身的价值,从单一的监管部门向管理职能转化。也是因为如此,现在的大型组织都愿意建立起内部审计部门,帮助组织管理风险、实现目标,从而更加健康长久的发展下去。那么,内部审计作为风险管理的有效方法也是大势所趋了。
2内部审计在风险管理领域的作用
(1)监督和评价风险
评价工作对于风险管理来说,分为对风险识别的充分性、评估的恰当性、采取措施的有效性和风险管理活动的完成情况。对本企业的风险状况进行分析,结合内部审计的能力,确定一个合理的可以被接受的管理目标,之后的风险管理工作才能有据可依,那么评价企业已有的目标是否适合企业发展在这里就显得更为重要。
(2)管理和控制风险
一个企业,一个部门,甚至是一名员工的一念之差,或是为了短期业绩的提高,所做的错误决定都会形成风险,那么内部审计作为一个独立的、不进行任何具体业务活动的部门就可以客观地管理风险,协调各个部门对企业整体的利益做出最合适的方案,并适时提出建议以便有关部门采取措施改正,从而实现风险方案的最优组合,把企业风险降至最低。(3)报告和防范风险内部审计部门需要跟风险管理相关部门就风险管理的有效性和充分性进行沟通,并将重大的审计发现报告给相关部门和审计委员会,使他们能采取合适的措施对风险进行控制和防范,同时,内部审计部门要对这些措施进行验证,对于不充分不恰当的情况,提出改进建议,保证企业的防范措施有所涉及,长久以此也能够培养企业上下一个良好的风险防范意识。
3加强内部审计在风险管理作用的措施
(1)风险管理制度化
企业应当树立起重视风险管理的观念,上至管理层下至普通员工要改变传统观念,内部审计不仅仅是一个审查企业合规性的部门,同样也是给企业提供咨询和控制风险的部门。首先,管理层要把风险作为决策的一个重要依据,把风险管理的思想融入企业管理的整个过程中,以此来影响内部审计部门的工作开展,能够以风险为导向合理地安排审计工作的先后顺序。其次将风险管理制度化,具体做法就是将风险管理写进内部审计章程,这样做可以将内部审计的职责通过书面文件保护起来,更有利于内部审计部门的工作开展,这样一来,高管层将依照内部审计章程对风险管理工作予以关注和执行,促使内部审计部门提供独立客观的评价和建议。最后,完善风险管理制度,内部审计部门应帮管理层制定一套全面的、适合组织发展的制度,如果在执行过程中,企业有了新动态,从而产生了新的风险因素,那么内审部门就应及时对现有制度进行补充和完善,以确保在风险发生以前,所有可能发生的情况都被考虑进来,并采取了合适的措施来控制风险。
(2)合理定位内部审计在风险管理中的作用
如今的内部审计逐渐由原来的公司内部经济警察向顾问的角色转变,这样的转变赋予了内部审计更主动的地位,不再仅仅是原来的监督控制,而更多的是组织的智囊团,在防范、转移、降低风险上起了更大的作用,这样的内部审计更适合做管理层的伙伴,而不是原来的敌对关系,更便于内部审计开展工作,更有利于对风险的管理。
(3)建立风险预警系统,加强与公司各部门的有效沟通
现代企业通常会选择发达的信息技术来管理风险,这时就需要审计人员对企业潜在的风险进行分析判断和归类,并按照企业的风险偏好来建立风险预警系统,当风险达到预警线时,系统会整合信息报告给相关部门。这样来实现信息的交流和共享,保证了动态监控时也能进行风险评价。沟通是很多审计技术不能解决的时候最好的办法,风险管理在很大程度上要依靠人去做分析做判断,而现在的经济发展快速,有很多时候人们并不能单独做出恰当的结论,那么就需要沟通来解决问题,和相关业务部门沟通,和高管层沟通,都能获得可靠的信息,这对提高工作效率有着积极良好的作用。
(4)合理设置内部审计机构,确保组织内部的监督到位
购物车(0)