摘要:近年来一些内部审计组织开始介入企业风险控制与管理,并将风险控制与管理作为内部审计的重要领域。西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。而我国内部审计参与风险管理都不尽成熟。内部审计与风险管理的结合正是企业提高经营管理效率的客观需要和追求自身发展的必然结果。本文论述了风险管理理论,分析了我国企业内部审计参与风险管理的必要性,内部审计在企业风险管理中的角色定位,内部审计参与风险管理的具体途径及措施。
关键词:内部审计 风险管理 角色定 位途 径措施
一、问题提出
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号―《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而,我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题:(1)内部审计人员对风险及风险管理不甚了解。28.05%的被调查内部审计人员认为风险不会影响企业价值,7.32%的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解,限制了内部审计对风险和风险管理的关注,制约了内部审计在风险管理中的应用。另外,内部审计人员缺乏风险管理知识,对于风险管理的先进理论―全面风险管理不甚熟悉。8.54%的被调查的内部审计人员没听说过“全面风险管理”,只有3.66%的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论,又从何谈起协助管理人员进行风险管理。(2)内部审计的独立性不足。内部审计部门只有独立于其它职能部门,才能独立、客观、公正地发挥其职能。62.32%的被调查单位的内部审计部门都是独立设置的,这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53%的被调查单位的内部审计隶属于行政正职或分管副职,而只有19.82%的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足,影响了内部审计在风险管理中应有作用的发挥。(3)内部审计人员结构不合理。我国内部审计的人员结构比较单一,绝大部分是会计、审计人员。在被调查的内部审计人员中,48.43%出身于会计专业,27.99%出身于审计专业,只有10.13%出身于管理专业,以及0.74%出身于计算机专业。人员结构不合理,使得内部审计难以履行监控风险管理的职能,更别说为风险管理提供咨询服务。(4)内部审计范围狭小。内部审计人员结构的不合理,导致了内部审计范围的狭小。在被调查单位中,69.57%经常进行财务收支审计,66.67%经常进行经济效益审计,72.46%经常进行经济责任审计,只有7,25%曾经开展过风险管理审计,没有一家单位对风险管理经常进行审计。(5)内部审计方法落后。内部审计在开展审计业务时,使用的审计方法比较落后。66.67%的被调查单位采用账项基础内部审计24.64%的被调查单位采用控制基础内部审计,只有8.69%采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。
二、我国企业内部审计风险管理的意义及定位
(一)企业内部审计风险管理的意义主要体现在以下方面:(1)有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释,但无论是契约理论提及的不完备契约,还是信息经济学提及的信息不对称,或是委托代理理论提出的代理问题,其实质都属于风险问题,都是使企业目标元法实现的各种可能性事件。而针对这些可能性事件的管理,即风险管理,可以被认为是公司治理的核心。而从内部审计来看,通过加强对风险管理的评估和咨询,为审计委员会、董事会提供真实有力的报告证据,使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能一改进公司治理。因此,内部审计与风险管理的有效结合必将进一步改进公司治理,提高企业管理效率。(2)内部审计自身生存和发展的渴求。内部审计对风险管理的介入,使内部审计在企业中成为一个特别重要的角色,也将其在企业中的作用推向了一个新水平。同时,内部审计采用关注风险的审计方法,其报告更容易被接受,管理部门也更容易理解内部审计存在的价值,它可以帮助内部审计渡过正在影响整个职业的价值危机(Value Crisis)。正因为如此,IIA才一直积极倡导内部审计参与风险管理,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。(3)内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置,是不直接参与经营活动的高层次监督部门,因而在企业风险管理中具有独特的优势。第一,能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。第二,控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节,可以调控、指导企业的风险管理策略。第三,内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门,但它属于管理部门的一个职能部门,向总经理负责和报告,不具有独立性,其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施,这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门,其风险评估的意见可以直接报告给董事会,这自然会加强管理当局对内部审计部门意见的重视程度。(4)能保证审计目标与企业目标相契合。传统内部审计通常采用“控制-风险÷目标”的路线,即直接测试内部控制,考虑内部控制是否有效,而风险的太小仅用于表明控制的薄弱与健全环节,从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制,随着时间的推移,控制点会越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况,因而无法与企业目标直接相关联,导致内部审计无法证明其价值所在。内部审4t@与风险管理后,采取的是“目标一风险_控制”的路线,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标,并且将事后的反馈 扩展到内部控制建立前及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,保证审计目标与企业目标相契合。
(二)内部审计风险管理的定位 coso报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法规)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),在企业的四个层次开展(企业级、部门级、事业单位级、分公司级)。内部审计在这一框架中作为监控活动存在,即由内审机构对企业风险管理进行独立评估。内部审计师协会(IIA)在2004年9月发布的《内部审计在企业风险管理中的角色》意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键商业风险被正确管理及内控系统有效运转。因此,内部审计在企业风险管理框架中首要角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥很大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化成监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。(图1)说明了组织风险管理水平和报告关系对内部审计角色定位的影响。为保证独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、质询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动。内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应认为与此有关领域的审计客观性受到了损害,内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
三、我国企业内部审计风险管理的思考
(一)内部审计参与风险管理的具体途径 与一般的防范、控制管理部门的风险管理相比,内部审计部门所进行的风险管理,既与其有紧密的联系又有较大的区别。“紧密联系”表现在,两者的目的是统一的,都是为了降低企业的风险;区别在于它们在风险管理中的角色不同。正是由于上述的联系和区别,决定了内部审计部门的风险管理主要是履行以下再监督责任:(1)评估风险的“三性”特征。一是评估风险识别的充分性。有效的风险防范体系要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,包括历史数据和未来预测,以达到识别风险的目的。为了及时地获取资料,并保证资料的真实可靠,企业应当把收集初始信息的职责落实到各有关职能部门和业务单位。内部审计部门应实施相关审计程序,对企业部门和单位风险识别程序进行评价,重点关注企业面临的内外部风险是否已得到充分、适当的确认。二是评价已有风险衡量的恰当性。内部审计部门应当对已有风险衡量进行评价,并重点关注风险发生的可能性和风险对企业目标的影响程度。同时,内部审计部门应当充分了解已有风险衡量的方法,应对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计部门对管理层所采用的风险评估方法进行审查应重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的衡量等。三是评估风险防范措施的充分性。内部审计部门应当实施适当的审计程序,对风险防范措施进行审查,内容包括:采取风险防范措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险防范措施是否适合本组织的经营、管理特点;风险防范措施是否有效涵盖重大风险等。(2)对企业风险管理结果进行评价。根据企业外部经营环境和内部管理环节的变化,及时提出改进意见。内部审计部门对企业风险管理结果的评价内容是企业风险管理目标的完成情况,具体包括:企业阶段性风险控制目标与实际结果的相符程度,确认两者之间的重大差异,并加以分析;从上述分析的结果出发,持续评估公司既定的风险防范体系的完备性;与相关管理层定期讨论部门的目标及其存在的风险,以及管理层采取的降低风险、加强控制的措施,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分眭和及时性;评价管理层对风险的分析是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确;评估与风险管理有关的管理薄弱环节等。(3)将企业风险管理融入内部审计程序。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此,内部审计部门应将日常审计工作与企业的风险管理协调一致,将风险管理纳入日常审计范围。包括:在编制审计计划时,应在对企业风险进行评估的基础上,制定内部审计部门的审CtCt划,确定审计项目;确定审计范围时,要考虑企业的战略性风险计划目标,并每年对审计范围进行一次评估,以涵盖企业最新战略所面临的风险;编制审计方案时,应通过风险因素分析来确定审计业务工作重点;在审计实施过程中,应通过评价内控制度,验证风险控制的有效程度;在选择检测风险的技术与方法时,应如实反映风险的重大性与发生的可能性;在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议;在追踪审计时,应将风险确定为决定追踪审计范围的重要因素。
(二)内部审计参与风险管理的措施 具体措施如下:首先,明确我国内部审计的定位。作为现代审计体系的两大组成部分一独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的。是经营管理分权制的产物。目前,企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差。企业内部审计定位的偏差,产生了一系列不良后果导致内部审计缺乏独立性。内部审计地位不明确,而且内部审计工作范围往往局限于财务审计,重在进行财务收支的合法性与合规性 审计;在人员配置上,较少重视自身发展的内在要求,行政配置较多,造成人员素质较差且结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥,甚至直接影响了内部审计的发展。我国加入世贸组织已有几年,内部审计的发展无论是从与国际内部审计接轨,还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲,我国的内部审Ct*业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确,只有搞好定位,一系列问题才能得以解决,才能应对国际内部审计和惯例要求的挑战。其次,理顺内部审计管理体制。企业内部审计机构应坚持两条原则:一是独立性原则。这是设立内部审计组织机构最重要的原则。在这个原则指导下,内部审计组织机构独立行使审计职权,不受任何人员和有关职能部门的干预,以体现审计的客观性、公正性和有效眭。国际内部审计师协会在《内部审计实务淮则》的一开始就强调:内部审计师“必须独立于他们所审核的活动”,“独立性可使内部审计师提出公正的不偏不倚的鉴证和评价,这对于正确的审计工作实施是必不可少的”。二是权威性原则,主要体现在内部审计组织机构的地位和设置层次上。实践表明,内部审计的组织地位和作用的发挥是相辅相成的。一方面,作用的扩大为内部审计赢得较高的组织地位创造了机会;另一方面,组织地位的提高,独立性的增强,又为内部审计人员卓有成效地履行职责,发挥内部审计的职能作用提供了条件。另外,内部审计机构要有二定的处罚权,这样才能充分体现内部审计的权威性。第三,扩大内部审计的领域。传统的内部审计擅长于企业经营过程中内部控制的测试,然而,风险管理要求内部审计部门关注企业运作中最为复杂的、风险最大的方面,如战略计划、重要投资决策、兼并收购、合资经营、新产品开发等管理当局关心的问题。强调全局观念并突出重点,综合考虑企业面临的全部风险,包括当前的风险和未来的风险,用内部审计的服务推动企业管理当局对风险暴露和管理的理解和关注,为风险管理和控制系统的完善作出贡献。第四,加强职业组织的导引作用。HA确定每年5月份为“国际内部审计关注月”,其开展这一活动的一些新观点和理论,对指导我国内部审计很有借鉴价值。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理,积极介绍国际上内部审计参与风险管理的经验和案例,提供可资借鉴和参考的基础;积极制定与参与风险管理有关的准则和指南,以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流,选派具有一定风险管理知识的内部审计人员到内部审计介人风险管理比较成熟的企业去学习。内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问,而不是警察。内部审计工作只有给企业带来价值才有意义,才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。最后,提高内部审计人员的素质。在人员知识结构方面,必须认识到内部审计师是复合型的专业人才,要求综合能力较强、知识面较广。要有效地协助企业进行风险管理,必须改变他们现有的知识结构。因此,应定期对内部审计人员进行信息技术、风险管理技术、金融创新等方面的培训,以保持其知识的不断更新。主要途径有:我国内部审计协会应积极举办与风险管理有关的培训班,增加内部审计人员风险管理的知识;企业内部管理部门应积极组织内部审计人员学习风险管理知识;参与企业的风险管理,在实践中学习和积累风险管理的经验;鼓励更多的内部审计人员参加IIA举行的国际注册内部审计师考试(CIA)。
(编辑 聂慧丽)