【关键词】 内部审计; 风险管理; 角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。iia在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
coso在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
iia2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按iia的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1] 刘德运.内部审计原理与技术[m].北京:中国经济出版社,2006(6):25.
【关键词】 内部审计; 风险管理; 角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。WWw.133229.CoM国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。iia在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
coso在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
iia2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按iia的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1] 刘德运.内部审计原理与技术[m].北京:中国经济出版社,2006(6):25.
【关键词】企业管理,内部审计,风险管理
随着企业内外部环境的不断变化,企业在寻求自身发展和经营管理的过程中,面临的风险因素不断增多且更加复杂多变,这些风险成为企业深入发展和提高竞争力的制约因素。因此,风险管理越来越受到企业的重视。内部审计是企业内部控制的一个重要组成部分,在企业中具有独特的地位和作用。随着审计创新,一些内部审计组织开始介入风险管理,并将其作为内部审计的重要领域。内部审计参与企业风险管理不仅可以推动企业建立有效的风险管理体系,使企业在竞争中处于有利地位,同时,也拓展了内部审计的工作范围,促使内部审计人员提高自身素质,有效防范内部审计工作风险。
一、内部审计和风险管理概述
(一)内部审计的相关概念
内部审计之父索耶关于内部审计的定义是:对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济的使用了资源,是否在实现组织目标。在2011年1月国际内部审计师协会(IIA)的新版的《国际内部审计专业实务框架》中,内部审计全新定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。
内部审计和政府审计、外部审计并列为三种主要审计业务之一。内部审计作为企业内部的经济监督机构,虽然不参与企业内部的经营管理活动,但主要对各项经营管理活动是否达到预定目标、是否遵循了单位的规章制度等进行监督,属于单位内部控制体系的一个组成部分。
(二)风险管理的相关概念
风险是指可能发生的损失、失败或伤害的意思。它是不以人的意志为转移的,在一定环境和期限内客观存在的,导致费用、损失与损害的产生,能够用科学的定量和定性方法进行的不确定性管理,具有客观性、普遍性、必然性、可识别性、可控制性和多样性等特点。
企业风险管理是一个过程,它由一个主体的董事会、管理者和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。确切地讲,风险管理通过了解企业及其市场情况,辨识风险,分析风险,评估风险,设计并实施风险管理解决方案,并不断监测风险管理过程而使企业达到其战略目标。一般情况下,企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等八个方面组成。
二、内部审计和风险管理的关系
内部审计与企业风险管理有着紧密的联系,风险管理是公司治理的核心,内部审计作为公司治理的自我调控机制,与风险管理密不可分。
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际内部审计师协会(11A)自1941年成立至今总共发表了7个内部审计定义,这些定义的修改和发展,记录了内部审计职能的发展过程,在内部审计史上具有重要意义。1947年国际内部审计史协会在首次公布的《内部审计师职责说明书》中将内部审计第一次定义为:“内部审计师建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题。”这个定义首次将内部审计定位为“独立评价活动”,也首次提出了为管理服务的方向。1957年国际内部审计师协会对定义作出了修改,首次提出了内部审计“是一种衡量、评价其他控制有效性的管理控制。1971年、1978年、1981年、1990年与1999年,国际内部审计师协会又分别对内部审计的定义进行了修改,内部审计的职能由经营审计扩大到管理审计阶段,表明内部审计师管理的延伸,是管理活动的重要组成部分。在风险导向审计阶段,将变化的风险管理模式融入内部审计程序,使内部审计更加注重风险管理,注重组织经营的未来前景。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
(三)内部审计在风险管理各阶段中的作用
1、对风险管理的环境进行分析。主要包括内部审计师评价、分析企业内部环境和企业外部环境的发展情况和趋势、企业的优势和劣势、外部的机会和威胁,并在此基础上结合企业风险偏好来制订经营目标。对内外环境信息进行评价,最大限度减少由于信息的不准确、不及时、不完整所造成的决策失误。通过内部审计,对敏感信息的接触进行授权限制,保证来自企业内部和外部的相关信息以一定标准进行确认和传递,维护信息渠道畅通。
2、对企业经营战略、经营目标的风险管理提供建议。协助企业建立风险管理的决策机构,将其纳入内部控制制度的范畴,尽可能地提高该机构的专业化程度,以提高决策的科学性、准确性。
3、对风险事件进行识别。内部审计部门通过运用决策分析、统计预测分析、可行性分析、流程图分析、资产负债分析,对原有的已识别风险是否充分进行评价。主要风险有:财务和经营管理信息不对称导致决策错误、资产流失、资源浪费和无效使用、顾客不满意、企业信誉受损等。
4、积极参与风险评估。内部审计部门应用各种管理科学技术,采用定性与定量相结合的方式,估计风险大小,找出主要的风险源,并评价风险的可能影响,对风险采取相应对策。
5、指导实施科学的风险反应。内部审计以其独立性、全局性在风险事件发生时,指导企业实施科学有效的风险反应。对已识别的经营风险,企业如果认为该风险已经超出企业承受能力,企业会采取措施转移或避免这些经营风险。内部审计部门的责任是对有关部门采取的应对措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制的情况,内部审计部门和人员应提出指导性措施和建议,强化企业的风险管理,降低风险损失。
6、跟踪与评价风险控制活动。内部审计的重要职能是通过对企业风险活动的评估和检查,发现企业风险控制活动的缺陷和漏洞,分析经营管理过程中的偏差和失误,改善企业经营管理,提高经济效益。
(四)内部审计与风险管理目标上的一致性
内部审计部门作为企业的一个职能部门,与企业其他职能部门一样,都应服务于企业的增值目标。内部审计的目标是为了对企业所有者、其他利益方、顾客和客户创造价值和谋取利益,并提高企业的运营效率。内部审计部门在收集资料、识别和评价风险的时候可以为企业管理者提供有用建议,和企业其他部门一起增加企业价值。风险管理是通过对面临的各种风险的识别、评估,采取适当的内部方法,用最低的成本获得最高的安全保障,从而达到企业效益的最大化。从这个意义上来说,内部审计和风险管理的目标是相一致的,都是为了实现企业利润最大化。
三、结语。风险管理是企业管理的重要内容,是一个把内部审计作为有机组成部分的大管理系统行为,而内部审计是企业管理的子系统,企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。内部审计与企业管理的目标均是力争实现企业价值最大化。内部审计参与风险管理是新形势下企业生存与发展的客观需要,也是企业管理层的内在需要。内部审计通过发挥其在风险管理中的作用帮助企业改进风险管理,从而为企业增加价值。
参考文献:
[1]石涛. 浅议内部审计与企业风险管理.中国管理信息化,2011年1月第14卷第2期.
关键词:企业管理 内部审计 风险管理
2004年COSOH布了《企业风险管理――整合框架》,该框架将风险管理和内部审计进行了整合,扩大了内部审计的范围和领域,使内部审计真正参与到企业管理中来。在研究企业管理与内部审计的关系时发现,企业管理与内部审计通过共同参与风险管理,使内部审计将其工作范围扩大到了企业管理的全部领域和过程,巩固和提高了其在组织中的地位和发展。而管理层则通过设定战略和目标有效地应对了不确定性及与之相随的的风险,并在增长收益目标和相关风险之间取得最佳平衡,增强了企业风险应对决策,使企业高效率地配置资源,减少营运意外,降低损失。最终增强企业创造价值的能力并帮助企业实现绩效目标和盈利目标,使企业价值达到最大化。
一、企业管理与内部审计的研究现状
(一)企业管理研究现状 (1)企业管理现状。在企业经营管理过程中,各个企业都面临不确定性,管理层的挑战在于努力增加利益相关人价值的同时要确定应承受多大的不确定性。这个不确定性即为风险。风险在一定环境和限期内客观存在,它能导致费用损失和损害产生。它具有客观性、普遍性、必然性、可识别性、可控性等特点。近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险成为组织实现目标的关键,也成为企业的管理人员十分关心的问题。这些年来,一系列财务失败事件的发生以及对企业风险的关注,使人们越来越清楚地认识到需要一个强有力的管理框架来有效地识别、评估和控制风险。普华在最近的一份报告中提出了一个GRC(Governance,Risk,Compliance)模型。该报告认为,组织可以把GRC战略性地整合进它们的经营中,以形成一个可以对企业进行管理的道德和经营框架。这个框架包括治理(Governance)、企业风险管理(Enterprise Risk Management)和遵守(Comphanee)三个组成部分。在这个框架中,风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动。在这个框架中我们看出风险管理可以帮助企业管理层实现组织的绩效目标和盈利目标,防止资源损失;有助于保证有效的信息报告及更好地遵循法律法规,从而避免组织受损及其他相关后果。(2)企业管理中的风险管理。2003年颁布了《内部审计实务准则》,该准则指出风险管理是管理层的主要职责。管理人员应该保证机构拥有健全的风险管理过程并使其发挥作用。2004年9月,COSO了《企业风险管理一整合框架》,COSO在界定风险管理时,明确指出企业风险管理是企业管理过程的一个组成部分。所谓风险管理,是对影响公司目标实现的各种不确定事件进行识别和评估,并采取应对措施将其影响控制在可接受范围内的过程,风险管理旨在为公司目标的实现提供合理保证。风险管理活动已经成为国际性大公司管理活动的重点,一些国家和组织也在致力于研究如何防范企业风险。风险管理理念是一套共享的观念和态度,它标志着企业考虑风险时的特征,反映了企业的价值观,影响着企业的文化和经营方式。企业风险管理包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起。其分别是:内部环境,管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性。包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础;目标设定,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应;事项识别,必须识别可能对主体产生影响的潜在事?它包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程;风险评估,要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响;风险应对,员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应;控制活动,制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施;信息与沟通,主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动;监控,整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
(二)内部审计研究现状 (1)企业内部审计的现状。衍生于授权管理需要的企业内部审计,根植于传统企业环境,经过几十年的发展,已经基本形成了固有的模式和完整的体系格局。但当传统企业演变为现代企业时,原有的内部审计理论和实务发生了碰撞。许多既定的内部审计内容和方法,显得难以适应新的企业环境。内部审计的本质和基本功能是对经济活动的监督和控制。20世纪40年代,随着企业规模扩张、管理层次的增多和管理人员经济责任的加重,现代内部审计应运而生。内部审计产生的理论基础源于两权分离下的受托经济责任理论。内部审计最初在财务领域开展,主要是监督、鉴证受托财务责任,审计目的是查错防弊;20世纪60年代至80年代,由于市场竞争加剧和大型跨国公司兴起,企业管理者对于降低成本、提高经济效益的要求更加迫切,迅速发展起经营审计和经济效益审计,以实现帮助组织提高经营效率和经营效果的兴利目标;随着内部审计范围向管理领域的延伸,1993年版的IIA内部审计实务准则将内部审计职能定义为监督和评价;而2001年根据最新版的《内部审计实务标准》规定,内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动,它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善,帮助组织实现目标。根据这一定义,现代内部审计的范围已从传统上的财务收支审计扩大到风险管理和公司治理层次上来,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的焦点。内部控制与风险是我国《内部审计准则》的两个核心概念,内部审计不仅是内部控制的重要组成部分同时也是风险管理的重要组成部分,它与风险管理的联系日趋紧密。风险管理作为管理层的一项关键责任,企业管理层对其负有不可推卸的责任。内部审计部门则有职责定期评价并协助企业管理层进行风险管理,
在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理,从而为企业增加价值。(2)内部审计注入风险管理的内容。现代企业风险管理贯穿在企业生产经营的全过程,渗透到企业的各个部门各个环节。内部审计作为现代企业的重要管理部门之一,对企业的风险管理也承担着重要的责任。国家审计署在2003年5月修订生效的《审计署关于内部审计工作的规定》中对内部审计的基本职责作出明确规定,其中就包括“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审”。国际内部审计师协会也在关于内部审计的新定义中明确:“内部审计是一种旨在增值和改善机构运营状况的独立的、客观的保证和咨询活动。它通过引入系统化、严谨方法来评价和改善风险管理、控制和治理程序,帮助所在机构实现其目标。”从这些规定和定义及内部审计的职责和监督服务的基本功能可以看出,内部审计注入了企业风险管理的内容。一是在企业风险管理中担负监督、评价责任。监督、评价是内部审计的一项基本职责,也是内部审计传统的看家本领。企业风险管理过程也存在监督、评价职责,而且监督、评价是风险管理的起始和基础。要管理风险,必先识别风险。企业的风险在哪里,形成风险的相关因素有哪些?内部审计在履行风险管理监督责任时,首先要学会分析判断企业风险所在,在准确识别风险的基础上,要坚持原则,勇于发现反映企业存在的风险,切实体现监督责任,因为许多企业的风险是同各级管理人员甚至领导人员的工作缺陷分不开的。企业风险管理中的监督和风险管理中的各项处置与承受也需要在不同的职能部门间分开,才能使风险得到充分的反映。因此内部审计往往成为体现企业风险管理监督责任的主要部门。企业风险在识别的基础上需要进一步评价。内部审计应当掌握企业风险评价的系统方法,对企业风险形成因素、影响后果、发生频率、损失程度等等作出分析,根据不同的指标对企业的风险级次进行排序,为进一步的风险处置提供决策基础。这里值得强调的是,内部审计要承担好风险评价责任,必须具备专业的系统化严谨评价方法,而不是简单的主观经验判断。无疑这对许多内部审计机构来讲仍然是一个薄弱的环节,需要相应的专业人才配备和学习培训,才能担负起风险评价的责任。二是在企业风险管理中担负咨询服务责任。咨询服务是现代企业内部审计体现创新和大力发展的新的功能,也是现代新型内部审计的重要责任。企业风险管理最终的目的是要对风险的相关因素采取措施,规避风险,化解和转移风险,或权衡利弊分担和降低风险损失的影响。内部审计应当对企业风险管理需要采取的措施提出建议,尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见。咨询服务是企业环境变化给内部审计带来增加价值的极好机会,是内部审计提升地位和作用的崭新平台,而风险管理正是提供咨询服务最多机会的重要管理活动。内部审计应抓住这个机遇,作到急企业所急,想企业所想,积极主动地在风险管理中开展帮助、促进健全管理活动,才能履行好咨询服务责任。内部审计要在企业风险管理中尽其责任,是必须通过内部审计的具体工作来体现的,通过涉及风险管理的有关审计活动发挥其作用。在企业风险管理中,内部审计的本质特征并不发生改变。为了保证其独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制施行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。
二、企业管理和内部审计及其与风险管理的关系
(一)企业管理与内部审计的交叉点――风险管理 风险管理是企业管理的一项职能,更是一种管理理念,它贯穿于企业管理的各个方面。在一个大型企业内,不同部门面临的风险表现和种类存在显著差别。这些来自企业内部的风险常常是由于内部控制系统有缺陷或虽有良好的管理控制系统却未得到认真的贯彻执行而产生。在企业内部,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门隶属于管理部门,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。(1)企业管理与风险管理的联系。2004年,COSO在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,COSO在界定企业风险管理时,明确了所属关系:企业风险管理是企业管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是,并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理行为中应用的许多判断,尽管是管理过程的组成部分,但不是企业风险管理的组成部分。例如,确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素,而管理层选择的特定目标不是企业风险管理的组成部分;在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分,而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分;确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分,而所选择的特定控制活动不是企业风险管理的组成部分。(2)内部审计与风险管理的联系。从上述企业管理与内部审计的研究中我们发现风险管理是企业管理的一种管理方法,它渗透到管理的各个环节,而内部审计也参与企业风险管理。二者都和风险管理相关,风险管理就是二者的交叉点。在市场经济条件下,风险是普遍存在的,风险是企业的一种特殊资源,可以给企业带来巨大市场商机,也可以给企业带来巨大灾难,关键是企业如何识别风险、评估风险、应对和规避风险(回避风险、防范风险、分散风险和转移风险),从而实现企业目标。为了实现企业目标,需要制定发展战略、人才战略、营销策略、改革措施等等,同时需要建立内部控制制度,加强企业风险管理。在企业风险管理中,企业管理层负责确定可接受的风险范围,建立健全风险管理机制并使之有效运行。企业管理层对待风险的态度将直接决定企业风险管理的程度,什么情况下采用激进的冒险策略,什么情况下采用稳健的避险策略,是企业管理层的责任。尽管风险管理是全员的,但是风险管理的责任主体是企业管理层。现在风险管理已成为内部审计的重要领域。内部审计涉足风险管理领域是社会发展的客观必然。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要的情况下,它可以直接进行
风险管理。内部审计介入风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要进一步深入探讨的课题。
(二)风险管理对企业管理和内部审计的影响 (1)风险管理对企业管理的影响。全面风险管理对现有的企业管理起到的是提升、整合、强化的作用。现有的管理体系基本是对业务流程的管理,而所有的业务流程的管理中都应当有风险管理的内容。也就是说,全面风险管理为现有管理体系提供了基础和操作平台。从全面风险管理的角度审视现有的各种管理体系,可以看到许多应当改进的地方。因此,全面风险管理对现有的各种管理体系有提升的作用。现有的企业中的管理体系往往是互相重叠的、关系不清的。而全面风险管理体系的系统性强,覆盖了企业管理的各个方面,表现了现代企业管理的核心内容。所以,实施全面风险管理能够将现存的管理功能联系起来,协调相互不一致、不连贯的地方,将其去粗取精。因此,在企业现有的管理体系中进行风险管理有利于提高企业的管理水平。在企业中,现有的管理体系中风险管理功能欠缺及整个企业层面上控制风险功能欠缺,我们通过实施全面风险管理来强化企业管理的功能,弥补现有管理体系的缺陷和不足。(2)风险管理对内部审计的影响。内部审计参与企业风险管理,是由企业经营管理环境变化和对内部审计的需求变化决定的。对内部审计而言,选择积极参与企业风险管理,也是内部审计自身发展的需要,这一选择对内部审计带来了深远的影响。一是参与风险管理,对拓展内部审计工作范围的影响。内部审计参与企业风险管理必然会突破传统的财务审计范围,向企业管理的各个重要风险存在领域实施审计检查,审计的对象会发生很大变化,会超越财务会计范畴,更多涉及生产经营业务的操作管理。这为内部审计向更高层次、更大范围的发展提供了广阔的舞台。发达国家的企业内部审计已较早涉足企业的风险管理。内部审计参与企业风险管理涉足的宽广范围,使内部审计人员开阔了视野,丰富了知识,对提升内部审计的综合性管理层次具有重要意义。二是参与风险管理对提升内部审计工作价值的影响。为企业提供增值服务是现代内部审计发展的重要方向之一,而参与企业风险管理就为内部审计实现增值服务创造更多机会。对于一些可以量化的风险,通过审计准确的检查评价,揭示具体的风险并使企业及时采取措施,避免了风险和损失的发生,就可以直接为企业增加价值。对于制度、管理活动中的缺陷可能造成的风险,审计也应发挥建设性作用,帮助改善企业的内控管理系统,这也是一种间接的或难以量化的增值服务。内部审计切实在参与风险管理中为企业提供有效的帮助,它不仅会受到企业高层管理的重视,而且会得到广大被审计单位的欢迎和支持,内部审计的价值就会得到进一步提升和体现。三是参与风险管理对防范内部审计工作风险的影响。风险导向审计方法在现代独立审计业界普遍流行和得到重视,正是因为这种方法可以有效控制审计风险。它以审计风险评估为中心,哪里可能产生较大的审计风险,就在哪里投入较多的审计资源,进行详细的审计检查,使审计结果减少虚假错漏的风险。内部审计参与风险管理也有助于审计在反映问题的方向和准确性方面防范审计风险。因为企业的风险是客观存在的,通过审计如不能准确地反映企业的风险,事后企业的风险暴露造成损失,内部审计也会因失查而承担一定责任,这也是审计的风险所在。再此,企业的风险和审计的风险是密切相关的,关注和化解了企业风险也就减少了审计的风险。现代企业管理是一种系统性社会行为。它必然是一个以领导行为为主导,领导、经营、管理、治理相互交叉、相互统一的行为过程;也一定是一个以绩效为导向,结果、过程和目标相互交叉、相互统一的行为过程;是―个把内部审计作为有机组成部分的大管理系统行为。风险管理是企业管理的重要内容,内部审计参与风险管理是新形势下企业生存与发展的客观需要,也是企业管理层的内在需要。而企业内部审计是企业管理的子系统,企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。
参考文献:
[1]张健刚等:《论现代内部审计与风险管理的协调整合》,《山东财政学院学报》2007年第1期。
【关键词】内部审计 风险管理 融合
一、内部审计与风险管理的关系
现代企业受内外环境的影响不断加深,企业必须谨慎地识别各种潜在风险,加强风险管理,风险管理成为企业管理的核心。而在整个风险管理过程中涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
(一)内部审计定义中包含有风险管理的内容
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版内部审计标准的序言中对内部审计概念的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计的表述如下:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。2001年版的定义与1993年版的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,2001年版的定义中提及的控制及经营活动要更为广泛和深入。2001年版的定义认为,只有在风险管理框架中实施的内部审计才能称之为风险管理审计。新定义将“评价和改善风险管理”作为内部审计的重要工作领域,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,是内部审计的新发展,对修订内部审计准则、重整内部审计流程、提高审计服务质量都提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新水平。正因如此内部审计师的职业组织――国际内部审计师协会(以下简称IIA)才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
(三)内部审计与风险管理目标上的一致性
从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平,直接服务于企业目标的。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的内部审计实务标准中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻。而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述这些因素使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。许多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的作用。
二、内部审计在风险管理中的作用
(一)内部审计在风险管理中的角色定位
COSO的企业风险管理框架中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任,其他人员负责按照制定的指令和协议执行全面风险管理。这表明,内部审计对全面风险管理的建立并没有基本责任,其主要责任是帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
另外,2001年IIA颁布的内部审计实务标准,其实务公告――“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,内部审计人员以咨询顾问身份协助机构确定、评价并实施针对风险的管理方法和控制措施。
由此可见,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者。除了作为监督者,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。图1说明了组织风险管理水平和报告关系对内部审计角色定位的影响。
从图1可以看出,内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展的过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在组织实施风险管理的初期,内部审计能够发挥很大的协调作用,即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。
内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
特别需要强调的是,为保证独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险管理提供保证、对风险问题进行决策,内部审计对企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应认为与此有关领域的审计客观性受到了损害,内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
(二)内部审计在风险管理中的职责作用
一般认为,内部审计在风险管理中的作用主要有两个方面:一是协助风险估算程序;二是对风险管理程序的评价,对风险管理的恰当程度作出保证。
1.以咨询顾问的身份协助管理层建立风险管理制度
(1)内部审计在公司尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果公司尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合。
(2)内部审计可以通过咨询服务的方式协助公司建立风险管理系统。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导负责风险管理,而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求,内部审计部门可以协助,但不能超出正常的保证和咨询范围,以免损害独立性。内部审计师可以促进、协助风险管理系统的建立,但不负风险管理的责任。
2.对企业风险管理效果进行再评价
对于已经建立风险管理制度的企业,内部审计部门所进行的风险管理主要是在已有风险管理基础上的再监督,是对风险管理过程的充分性和有效性进行评价并提出改进意见。
(1)评价风险管理主要目标的完成情况。内部审计应采取科学的标准评价企业以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险。检查公司的经营战略,了解企业能接受的风险水平,与相关管理层讨论部门的目标、存在的风险以及管理层采取的降低风险和加强控制的活动,并评价其有效性,评价风险监控报告是否恰当,评价风险管理结果报告的充分性和及时性,评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效。
(2)评价管理层选择风险管理方式的恰当性。由于每个公司的文化氛围、管理理念和工作目标都不一致,风险管理的实践有很大差别。每个公司应根据自身活动来设计风险管理过程。一般来说,上市公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的公司,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
主要参考文献:
[1]刘德运编著.内部审计原理与技术[M].北京:中国经济出版杜,2006.6:25-26.
[2]方红星译.企业风险管理――整合框架[M].大连:东北财经大学出版社,2005.9:109-111.
关键词:内部审计 风险管理 协同效应
随着现代企业规范程度的提高和各个行业监管力度的加强,内部审计、风险管理等工作受到了越来越多的重视,国资委有《中央企业全面风险管理指引》,许多行业都先后了行业风险管理指引,可见监管部门对此的重视。而就世界范围而言,美国《萨班斯――奥克利斯法案》颁布、COSO框架体系建立,也都是对企业内部风险管理的加强。那么,什么是内部审计,什么是风险管理,两者的关系如何, 两者结合的意义有哪些,本文将就这些方面作进一步探讨,并在此基础上研究企业如何发挥两者的协同效应。
■一、内部审计与风险管理的关系
要理顺内部审计与风险管理的关系,首先要清楚内部审计、风险管理的概念。所谓内部审计,国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。而企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。
内部审计、外部审计、董事会以及高层管理人员被称为有效公司治理的四大基石。内部审计师的作用是检查、评估和分析组织的风险,审查公司对法律法规的遵守情况,促进公司在风险管理、治理结构以及内部控制等方面的提高,向董事会、审计委员会以及高层管理人员负责提供保证――风险已被分散、公司治理是有效的、内部控制是健全的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。因此,内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。
■二、内部审计与风险管理结合的意义
国际内部审计师协会多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。
■三、内部审计在风险管理中的角色和地位
国际内部审计师协会在2004年发表的《内部审计在企业风险管理中的角色》意见书中指出:内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按国际内部审计师协会的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。
内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
■四、企业如何发挥内部审计与风险管理的协同效应
按照审计署颁发的《审计署关于内部审计工作的规定》中的有关规定以及法人治理的有关要求,内部审计要相对独立。因此,通常情况下,内部审计部门独立于公司经营管理层,在业务上直接向董事会下属的审计委员会汇报,但这并不等于内部审计部门与企业的风险管理相脱节,事实上,如果内部审计能够充分利用风险管理的相关信息,最大限度发挥与企业内部风险管理的协同效用,无论是审计计划的制定还是审计范围的确定都将更具有针对性,审计的效果也会更好。那么,如何充分发挥内部审计与风险管理的协同效应呢?
1、以企业整体的战略目标为基础,进行风险分类,合理分配审计资源
企业在不同时期,其战略目标是不同的,风险分布、风险偏好以及风险应对策略都相应有所差异,保险企业亦如此。作为内审部门参与风险管理,应以公司整体的战略目标为基础,分析公司当前的风险分布,了解公司当前的风险应对策略和风险承受能力,并对这些风险进行分类,有针对性地制定审计计划,分配审计资源。同时,作为一个全国性的保险公司的内部审计部门,在参与风险管理的时候,要清楚不同层级机构风险分布是不同的,在总公司层面,主要是决策风险,在分公司层面,主要是控制风险,在中心支公司及以下机构,主要是经营风险。
2、充分获取风险管理部门的意见,按风险管理的要求开展内部审计
风险管理部门是风险管理的专业部门,其对于公司风险分布的了解最全面、最准确,内审部门应主动与风险管理部门沟通,了解目前公司风险管理的基本情况,以及其对于目前公司风险的看法和意见,并要求其对待定的审计项目提出有针对性的建议。同时,由于目前大部分公司风险管理都还比较薄弱,无论是人员配备、人员的专业能力,还是公司的重视程度都还不够,风险管理部门也要依赖内审部门通过现场审计来验证、评价其风险评估、风险分析的合理性、有效性。因此,对于风险管理部门提出的审计要求,内审部门在条件允许的情况下,应及时予以合理安排。
3、与风险管理部门进行信息共享
毫无疑问,内部审计部门与风险管理部门是掌握公司风险信息最全面、最准确的两个部门,但掌握的情况却又有所区别。风险管理部门是在既定的风险承受能力和风险应对策略的基础上,注重对风险整体情况的识别、评价和分析,并对出现的重大风险提出可行的解决方案。因此,无论是其风险评级报告还是其风险分析报告,着眼点都是一个组织单位(全系统、分公司、甚至中心支公司)整体风险是否在合理、可控的范围内。而内审部门是通过必要的审计程序、有针对性的审计方法对公司经营过程的记录、结果等进行验证、核对、测试,以了解其合规性、合理性和发现其是否存在风险,因此,内审部门对于风险的了解更具体、更有说服力。因此,如果内审部门能与风险管理部门进行信息共享,实现整体与具体的结合,则对于提高风险管理的水平和风险信息的有效性都具有重要意义。
4、利用自身优势,实现内部审计与风险管理的有机整合
一、风险导向内部审计的内涵
王晓霞对风险导向审计的定义为“企业内部审计部门采用一种系统化、规范化的方法来进行,以企业风险管理信息系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动,对机构的风险管理、控制及监督业务进行评价进而提高业务效率,帮助机构实现目标。”靳建堂(2005)在《风险导向审计初探》一文中指出,风险管理审计是建立在全面风险管理基础上的一种内部审计技术方法,这种方法作为成功的全面风险管理规划的一个重要组成部分,更加关注企业的经营目标、管理层的风险承受度、关键风险衡量指标以及风险管理能力。高岩芳、魏哲妍(2005)等在《新coso报告影响下的内部审计的新发展—风险导向审计内容与方法的构建》中指出风险导向审计的主体可以是国家审计机关,也可以是社会审计组织,还可以是内部审计机构,相比较而言,内部审计机构实施风险管理审计有着得天独厚的优势。
纵观上述学者对风险导向审计定义的研究,比较一致的认为风险导向审计是审计技术的革新,是一种新的审计模式,但更多的是从审计技术、流程和内容来阐述风险导向审计的定义。李璇(2007)指出基于全面风险管理的整合型内部审计模式是指在公司治理结构的框架内,企业各层级审计主体在优化配置基于全面风险管理内部审计的责、权、利,高效地实现审计目标的视角下,以全面风险管理为导向,以企业内部审计资源、能力合理配置为基础,以公司各职能机构的有机协调为路径,以内部审计的管理机制创新为手段,以促进全面风险管理企业文化在公司内的传播为核心,以实现企业可持续价值创造能力最大化为终极目标的一种内部审计模式,它是企业内部审计系统的资源、能力、战略、环境、公司治理结构相互作用、结构优化、目标协调的集成系统化的结果。简言之,基于全面风险管理的整合型内部审计模式是对企业全面风险的一种管理监控模式。它既是公司治理结构的重要组成要素和核心内容,也是其在当代时代背景下企业内部审计系统发展方向的集成表征,更是企业公司治理效率的结果。它不仅具有内在的逻辑结构,生成和运行机理,而且特征显著。笔者认为,风险导向审计是企业整体风险管理系统中的重要组织部分,它以管理层的风险承受水平为出发点,以优化企业关键风险管理、确保风险控制在企业风险承受水平之内为目标,通过一套系统的、规范的方法,来确保经营者履行受托风险责任。风险导向审计的本质是确保受托风险责任全面有效履行的控制机制。
二、风险导向内部审计的特征
风险导向审计方法吸收了其他几种审计方法的优点,同时也考虑了关键经营目标、管理层风险承受水平以及关键风险计量和绩效指标。
1.系统性
风险导向内部审计是一个相对独立的系统,同时也是企业管理系统中的一个重要组成部分,是优化企业风险管理的关键部分,在企业核心能力的生成和运行中具有重要的不可替代的作用。它的生成是企业内部审计资源、能力和环境有效整合的连续一体化过程。风险导向内部审计本身有其组成要素、结构及目标,具有复杂系统的显著特征。跨职能合作的需要以及内部审计能力各要素相互作用机制的复杂性,导致风险导向内部审计生成和运行就更加复杂,因此,在其系统运行业务中,不仅要借助复杂系统理论和方法进行指导,而且要重视其复杂性,注重内部审计资源、能力有效配置,结构优化,目标可协调,及时发现问题、分解问题和解决问题,以确保系统目标的实现。
2.增值性
风险导向内部审计作为一种新的内部审计模式,它能充分调动全体员工的积极性来发现风险事件或潜在机会,将风险转移或控制在企业风险承受水平内或对潜在的机会加以利用,这种从下至上的合作能为企业减少损失甚至带来收益,直接带来企业价值增值。风险导向内部审计整合了全面风险管理和内部审计职能,从上至下,从企业董事会到各子公司或各分部风险管理小组,明确责权利配置,可以监管、激励和约束内部审计行为,协调内部审计关系,优化审计资源的配置,提高内部审计效率,最终保证企业内部审计战略的实现,实现内部审计的价值增值作用,提升企业价值。
3.依存性
风险导向内部审计依赖审计主体所依存的审计环境、资源、能力的状态水平,且随时空变化而变化,实现路径的不同而不同。风险导向内部审计必须保持与内部审计战略和风险管理战略一致的动态调整,尤其要关注企业内外审计资源、内部审计能力的变动和调整。风险导向内部审计的运行是一个适应性的业务,企业必须采取与时俱进的观念和不断修正的方式来制定战略,并力求与企业环境和谐一致,以确保内部审计战略的实现。风险导向内部审计要体现企业战略对审计行动的指导性,并充分发挥其长期效能;当内部审计环境出现较大变化并影响全局时,必须利用机会,甚至创造机会,内部审计战略也应随之调整。
4.创新性
风险导向内部审计是对审计技术和方法的创新。首先是将审计重心前移,从以审计测试为中心转移到以风险评估为中心,审计程序上包括风险评估程序、审计测试程序(包括符合性测试和实质性测试),重点是风险评估。其次,风险导向内部审计在以往内部审计的基础上大大加强了风险评估程序,真正体现了以风险管理为基础的审计理念。风险评估重心由内部控制向风险管理转移。风险导向审计对风险评估结构也进行了优化,使风险分析从零散走向结构化。风险分析结构化的最大好处是考虑了多方面的风险因素,便于做综合风险评估。此外,分析性程序成为了风险评估的中心。审计师将现代管理中的分析工具充分运用到风险评估中去,不仅包括财务数据的分析,还包括非财务数据的分析。这就要求审计师的专业知识结构要发生相应的改变。也就是说,审计师不仅要精通审计知识,还要掌握常用的现代管理学分析工具。此外,在流程上体现了“自上而下”与“自下而上”相结合。自上而下与自下而上,相互印制,有利于提高审计效率。
三、风险导向内部审计的目标
蔡春教授在其专著《审计理论结构研究》中指出:“审计的本质目标就是确保受托经济责任(accountability)的全面有效履行。按照各种审计类别所列示的审计目标都是这一本质目标的具体化。因此,笔者认为,风险管理导向内部审计的本质目标更加强调确保风险管理责任的全面有效履行。第一,受托经济责任关系是审计的历史起点与逻辑起点。风险管理责任是受托经济责任的重要内容,受托风险管理责任的履行是受托经济责任能够得到全面有效的履行重要保证。第二,由于受托经济责任的履行业务,特别是风险管理责任的履行业务有可值得怀疑之处,所以必须对其进行严格的控制。风险管理导向内部审计正是执行这种控制功能的一种特殊机制,它的存在就是为了保证受托经济责任,以及其中的风险控制责任的全面有效履行。第三,受托经济责任的履行状况是可以确认的,因而风险管理导向审计作为保证受托经济责任,以及其所包含的风险管理责任全面有效履行的控制机制是完全行之有效的。第四,审计师在对受托经济责任及其所包含的风险管理责任履行情况实施检查时,其自身必须具备一种超然态度,即不参与被审单位的经济业务活动;与被审单位不存在足以影响其独立行使权力的经济利益关系以及其主观意识必须客观公正、不偏不倚。审计师所具备的这种超然态度是使其行为活动区别于其他检查活动的重要的、根本性的特征。第五,为了确保受托经济责任及其所包含的风险管理责任的全面有效履行,审计机构和人员所实施的独立检查是充分有效的。因为审计机构和人员与被审单位之间不存在必然的利害冲突,即便偶有冲突,也是可以排除或避免的,不致妨碍独立审计的有效实施。因而,风险导向内部审计能够有效地保证受托经济责任及其所包含的风险控制责任的履行。综上所述,我们可以得出这样的结论,受托经济责任,特别是其所包含的风险管理责任的存在是风险导向内部审计存在的前提,而风险导向内部审计正是保证风险管理责任全面有效履行的一种特殊的风险控制手段和机制。因此,风险导向内部审计的本质目标是确保风险控制责任的全面有效履行。
四、风险导向内部审计的功能
前文已经论述了风险导向内部审计的目标是确保经营者受托风险管理责任的履行,其服务的对象主要是公司董事会和高层经营者,是以企业目标为出发点,对企业的风险管理进行评价和分析,以确保企业的关键风险控制在可接受水平之内。因此,风险导向审计功能是随着受托经济责任拓展到受托风险管理责任而拓展的具体功能。这一具体功能除了传统的审计功能之处,更加强调审计的保证和咨询功能。风险导向内部审计功能主要体现两方面的作用。
(一)风险管理效应
风险导向内部审计功能的风险管理效应是指内部审计对审计发现的关键风险,不是简单的被动确认,而是积极主动整合审计资源、发挥作用来调控、驾驭关键风险,实现审计目的。风险管理效应是基于vbm(value based on management)管理模式而产生的,风险导向内部审计要帮助企业实现风险管理目标,必须进行有效的路径选择。一要进行科学选择审计战略路径,这是进行风险导向审计的基础和战略手段;二要健全内部审计系统的风险管理组织体系,因为公司治理、组织结构是为风险价值目标服务的,是风险价值目标和战略实施的支持和保障;三要有效运用内部审计技术,进行审计资源平衡管理;四要建立内部审计风险预警与风险报告体系,以便为风险管理提供信息资源;五要完善绩效考评,落实风险价值贡献与风险损失责任制,为风险价值管理提供激励约束的制度保障。
【关键词】 高校 风险管理审计 动因 对策
近年来,随着市场经济发展和社会对人才需求的日益旺盛,我国高等学校的办学规模和资金规模迅速膨胀。与此同时,高校经营风险和财务风险也在不断增加,能否对这些风险进行有效的管理和控制,是高校能否持续健康发展的关键。高校风险管理的有效性在一定程度上取决于高校对风险管理工作的监督与评价。因此,内部审计作为高校专司监督职能的机构,在高校风险管理中扮演尤为重要的角色。我国从2005年5月1日起施行的《内
部审计具体准则第16号――风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、高校风险、风险管理及风险管理审计的内涵
1、高校风险和风险管理
国际内部审计协会(IIA)2003年版的《内部审计实务标准》将风险定义为,“可能对目标的实现产生影响的事件发生的不确定性”,并指出风险的衡量标准是后果与可能性。这是广义的风险定义。广义的风险观认为,风险既包括正面的风险,即机会;也包括负面风险,即狭义风险。本文中所指的风险就是广义的风险。
对于高校来讲,高校目标是高校期望达到的一种结果状态,但由于相关因素的持续不断的变化,即风险的存在,高校目标的实现具有不确定性。因此,高校的风险可以描述为高校目标不能得以实现的可能性。具体而言,高校中存在的风险主要包括以下方面。
第一,财务风险。如高校资金收支失衡风险和投、筹资等经济活动中未能按期收回投资、实现预期收益以及无法偿还负债等给高校造成的可能损失。
第二,规模化风险。规模化风险是指高等学校根据教育主管部门的安排进行学校之间的合并造成的职工、学生管理以及新校区发展而进行的购地、建设等所产生的风险。
第三,学生教育和管理风险。即指对在校学生进行日常管理和教育过程中,由于受社会和经济环境、师资力量、管理人员素质等因素的影响,学生能否按预定的教学计划培养毕业被社会顺利接受而产生的风险。
第四,校办产业风险。如编造虚假利润、会计监督失控造成的风险,以及校企产权关系不清、日后形成的资产损失难以划清使学校利益受到损失的风险。
至于风险管理的概念,我国内部审计协会2005年的《内部审计具体准则第16号――风险管理审计》中指出,“风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出,高校风险管理的最终目标是为高校目标的实现提供合理保证。
2、高校风险管理审计的内涵
按照《内部审计具体准则第16号――风险管理审计》对风险管理审计的界定,“风险管理审计是指企业内部审计部门采用的一种系统化、规范化的方法,对企业风险管理信息系统和各业务流程进行风险识别、分析、评价及处理的一系列审核活动。”从该定义可以看出,风险管理审计,首先“风险因素”是风险管理审计的出发点和归宿点;“风险管理信息系统和各业务流程”是审计的内容;“系统化、规范化”是审计方法的特征,针对于风险管理活动,作用于组织的战略决策、高层管理和业务循环等各个层次,对其进行评价,进而实现目标。
综观以上观点,高校风险管理审计应该是以风险为考虑核心,采用系统化、规范化的方法,从高校组织战略层次到运营层次,对高校的全面风险管理活动进行监督和评价,提出改进意见,来改善高校风险管理,帮助实现高校战略目标的一系列审计活动。
二、内部审计介入高校风险管理的动因分析
1、高校面临的风险日益增大
近几年,高校在不断深化改革的进程中取得了可喜的成绩。如办学规模不断扩大,学生人数逐渐增加,基础设施得到较大改善。然而,随着经济活动的日趋频繁,管理难度及高校风险也随之加大。因此,高校要正确处理好改革、发展与稳定的内在关系,就必须强化自身风险管理,谨慎地识别各种潜在风险,加强风险控制,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在高校中的超然地位以及独立评估和监督的特殊职能,恰好满足了这一要求,使其能够客观地、从全局的角度出发对风险进行识别,及时建议管理部门采取措施控制风险。因此,高校风险管理必然要将内部审计纳入全面风险管理的框架,贯穿整个风险管理过程,使其在评估组织风险管理过程的充分性和有效性、保证高校风险管理工作顺利开展等方面发挥重要作用。
2、风险管理审计是内部审计功能拓展的内在需要
高等教育领域市场化程度的提高,使内部审计所依赖的内外环境发生了根本性的变化,这些变化使内部审计从最初的以查错防弊为主的财务审计发展到了对风险管理战略测试与评价的风险管理审计阶段,开展风险管理审计成为内部审计功能发展的必然。内部审计的风险管理审计功能主要包括:运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查和评价,提出改进建议,为管理层和审计委员会提供帮助,内部审计人员应负责定期评价风险管理过程。风险管理审计将内部审计在组织中的作用推向一个新的更高层次,也使内部审计进行了重新定位,改变了过去单一的财务监督者角色,将自身的目标确定为向组织提供保证和咨询服务,评估和改善风险管理、控制和治理程序。
3、内部审计在高校风险管理中具有独特的优势
高校风险管理审计的主体可以是国家审计机关,也可以是社会审计组织,还可以是内部审计机构,相比较而言,内部审计机构实施风险管理审计有着得天独厚的优势。
第一,从工作环境来讲,内部审计人员通过参与有关会议或经济决策,能够在日常工作中及时发现、获悉潜在风险和风险管理状况,从而达到实时监控的目的。同时,由于内部审计人员来自于高校内部,对高校环境、经营目标、经营方针等有深刻理解,对于关键、重要的风险领域能够保持持续的关注,故内部审计在风险管理审计中更具连续性和服务性强的特点。
第二,内部审计对加强风险管理、实现高校目标有着更强的责任感和义务感。内部审计作为高校内部治理的重要组成部分,更能从高校整体利益和实际出发,积极主动地实施风险管理审计工作,在帮助高校防范风险、加强风险管理及实现组织目标等方面有着较外部审计机构更强烈的紧迫感和风险意识。所以,内部审计更应该参与到高校的风险管理评价和审查过程中。
第三,内部审计可以控制、指导高校的风险管理策略。内部审计部门处于管理层和各职能部门之间,因而是系统内部相对独立的较高层次的经济监督,能够充当高校长期风险管理策略和各种决策的协调人,通过对风险管理实施过程的监督,可以调控、指导高校的风险管理策略。并且,内部审计部门的建议容易引起重视,可利用其独立性和权威性的特点将风险管理的评价及审查意见直接报告给高校决策层,进而提高高校的风险意识和风险管理效果。
三、高校风险管理审计中存在的问题
从现状来看,风险管理审计在我国有些高校已经起步,但仍处于初步探索阶段,在相当一部分高校中还没有得到施行,高校风险管理审计理论研究方面的工作及成果还比较少,高校风险管理审计的实践仍面临诸多问题。具体表现在以下方面。
1、风险管理审计环境方面存在的问题
第一,法律法规及相关政策尚不完善。我国目前关于风险管理审计的最主要的法规是2005年5月1日开始实施的《内部审计具体准则第16号――风险管理审计》,其他有关风险管理审计的法规政策则相当匮乏。由于缺少相关法律制度的保障和支持,使得风险管理审计工作开展不力,内部审计人员的风险管理审计过程缺乏明确的规范和指导。故不完备的法律法规及相关政策体系,构成了我国高校开展风险管理审计的薄弱环节。
第二,对风险管理审计的重要性认识不足。风险贯穿于组织存在的整个期间及其活动的各个方面,高校内部的所有成员都有包括接受、支持风险管理审计在内的履行防范风险的义务。但大部分高校尚未意识到风险管理审计的重大意义,从而忽略了内部审计机构开展风险管理审计更能促进风险管理的进行,提高风险管理的效果和效率的作用。
第三,高校治理结构及风险管理机制不健全。目前,我国高校存在较为严重的治理结构问题。首先表现在风险管理审计的领导主体缺位,使风险管理审计缺乏组织约束和工作指导;其次表现在绝大部分高校没有单独设置现代意义上风险管理部门,故造成风险管理主体缺失,风险承担的最终主体也不清晰。而且,多数高校未就风险的识别、评估和应对等形成一套完整的风险管理程序机制,使风险管理及其风险管理审计的实施缺乏有效的组织保障和制度支撑。
2、风险管理审计的实施主体方面存在的问题
第一,内部审计人员的素质有待提高。风险管理工作的复杂性决定了内部审计人员知识的全面性,而我国高校内部审计人员知识结构较单一,大多为财会、审计专业的人才,具备风险识别、风险评估和改善等能力,以及能有效履行评价职能、为组织治理提供咨询建议的复合型人才较少,并越来越难以满足现实的发展需要。
第二,内部审计人员的风险管理审计意识不强。目前,大多数内部审计人员对审计工作的认识还停留在监督资金运动、查处不规范行为的层次上,而对于尚未发生的,需要预测、分析和评价,且与组织战略目标的实现密切相关的风险的认识不够、关注较少,这种风险管理意识的淡薄阻碍了风险管理审计工作的开展。
第三,内部审计人员的经验和创新能力不足。风险管理审计是内部审计的一个新兴领域,在我国尤其是高校内部起步较晚,技术和方法都比较落后,又缺乏相应的规章制度和相关的审计工作经验,这对我们内部审计人员开展风险管理审计提出了严峻的挑战。在这种情况下开展风险管理审计,就要求内部审计人员在工作中不断的创新,在实际工作中不断积累工作经验,开拓风险管理审计的新局面。
四、完善高校风险管理审计的对策
1、健全风险管理审计职业化规范
完备的法律法规是保证风险管理审计高效执行的有力保障,风险管理审计职业化规范体系应包括内部审计法、内部审计准则以及相关的法律和规章制度。目前,中国内部审计协会已颁发了《内部审计人员职业道德规范》、《内部审计基本准则》和若干具体准则,上述规范和准则连同《审计署关于内部审计工作的规定》初步构成了我国内部审计的职业规范体系。但与风险管理审计密切相关的仅有《内部审计具体准则第16号――风险管理审计》。因此,我国的内部审计准则体系应借鉴国际内部审计理论的最新研究成果,关注国外先进的风险管理审计理念和方法,结合我国经济发展实际和内部审计现状,打造适合我国国情的风险管理审计体系,规范和保障高校风险管理审计工作,使其得以有效开展。
2、提高对内部审计在风险管理审计中作用的认识
内部审计在高校风险管理审计中具有得天独厚的优势,其作用主要体现在:对整个风险管理过程进行控制,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。此外,内部审计机构还协助管理层和审计委员会有效履行风险管理职责,并从高校战略、高校运营、高校财务报告和合规性等层面上对风险管理要素进行细划和分解,并提出改进建议。然而,上述作用的充分发挥主要取决于管理层对内部审计的重视和支持程度,以及对内部审计在高校风险管理中角色定位的理解。因此,高校各级领导应树立风险意识,重视风险管理,明确内部审计部门开展风险管理审计的重要作用,并对内部审计重新定位,为风险管理审计提供必要的支持和保障。
3、完善高校组织治理结构和风险管理体制
完善的治理结构是高校风险管理审计工作有效开展的组织基础,因此,应成立校董事会,并在董事会下设置审计委员会,由审计委员会负责对风险管理审计工作的领导,采取定期召开会议的方式,布置和协调风险管理审计工作。同时,内部审计部门要将风险管理审计的工作成果及时向审计委员会或校董事会报告,进而建立风险管理审计汇报制度。此外,高校内部还应成立单独的风险管理部门,就风险的识别、评价和应对等制定风险管理程序和风险管理制度,并通过对校内各单位的内部控制制度、业务复杂性、外部环境影响等风险因素进行评估和打分,确定出风险等级。最后,将评估结果与内部审计部门进行沟通,以便内部审计部门合理配置审计资源,确保对高风险部门优先审计、重点审计和实时监控。
4、提高内部审计人员的胜任能力
第一,改善内部审计人员的结构。我国高校的内部审计人员大多来自会计、审计岗位。因此,在经营管理等业务方面能力有所欠缺,知识结构也不很合理,应该逐步在内部审计机构中配备工程技术、风险管理、法律以及计算机等方面的专业技术人员,使内部审计队伍从由单纯的财务人员构成向具有综合知识和能力的多元化高素质人才结构转变。
第二,加强内部审计人员培训,提高其风险管理意识。市场经济的不断深化,复杂多变的经营环境,使各种风险蜂拥而入。为此,高校内部审计人员应该树立风险意识,掌握风险管理审计的技能,这可以通过对风险管理审计人员进行定期培训的方式实现,如加强内部审计人员对内部控制和风险管理理论的理解,提高其在实际评估操作上的技能,促进内控评审、风险评估等先进审计方法能够真正应用于风险管理审计实践。
(注:本文为中国教育审计学会《高校审计与财务监控机制研究》课题的阶段性成果。)
【参考文献】
[1] 孟焰、潘秀丽:企业风险管理审计研究[J].审计研究,2006(3).
[2] 冯晶:内部审计参与风险管理的动因及其运作探讨[J].商业经济,2008(9).
购物车(0)