时间:2023-12-26 10:37:10
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇内部审计与风险管理的关系,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织――国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理――整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告――“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1] 刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
关键词:企业风险管理 内部审计 关系
随着市场竞争的日益激烈,特别是经济全球化程度的加深,企业所面临的市场竞争环境更加激烈,企业运营过程中面临着大量的风险:战略风险、市场风险和经营管理风险,这些潜在风险逐渐成为企业深入发展和提高竞争力的制约要素,风险管理越来越受到企业的重视。如何对企业风险进行管理和控制是企业管理者面临的主要问题。企业的内部审计为企业风险管理状况的审查和评定提供了依据,在企业风险管理中起到了重要作用。
一、风险管理的概念
风险管理是一种特殊的,涉及多层次、多方面的企业管理职能。企业风险管理通过对影响企业目标实现的各种不确定性事件进行识别和评估,采用科学合理的管理方法对其进行有效地管理和控制,将其影响控制在可接受范围内,从而合理的保证企业目标的实现。由此,我们可以认识到,企业的风险管理一种管理方法,是一个包括风险分析、风险识别以及风险控制的系统的过程,其目的在于帮助管理者有效地应对不确定性以及由此带来的风险和机会,提高企业的经济效益或者社会效益。
二、内部审计与风险管理的关系
内部审计是企业内部具有监督和评价功能的部门,它通过对企业经营活动以及内部控制的适当性、真实性、合法性和有效性进行审查和评价,促进企业经营目标的实现。因此,内部审计参与企业的风险管理是必然的结果。
(一)内部审计参与企业风险管理是其自身发展的需要
国际内部审计师协会对内部审计重新进行了定义:“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制及治理过程的效果,帮助组织实现其目标。”这一定义把风险管理写入了内部审计的范畴,内部审计是企业管理的咨询师,由于它了解企业的发展方向,能够有效的帮助企业对风险进行控制和管理。内部审计介入风险管理使之成为企业发展中的一个重要角色,在企业的管理中也占据着不可替代的重要地位。
(二)内部审计参与企业风险管理是企业完善内部控制的需要
由于市场经济的全球化以及国际化的发展越来越迅速,企业面临着日益增加的风险,有效的降低风险是企业实现发展目标的基础和前提。作为企业中存在于管理部门之外的独立部门,内部审计具有能够纵观全局的视角。内部审计从影响企业实现经营目标的实现的各种风险出发,对企业内部的控制制度、执行力度以及控制薄弱环节等方面作出客观公正的评价和认定。所以,从发展趋势来看,内部审计是企业风险管理的一个重要组成部分,是企业风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。
三、内部审计参与企业管理的方式
内部审计通过自身具有的以下职能参与到企业日常经营管理之中:
(一)评价职能
内部审计从企业的根本利益和实际情况出发,通过对企业管理过程进行充分和有效的调查、评估,不仅要针对管理事项合理性进行评价,对政策的遵循性进行评价,还需要对企业目标、企业战略和风险管理程序进行评价,从而对企业风险作出客观的识别和评定。
(二)监督职能
内部审计通过对存在的缺陷和漏洞,产生的偏差和失误,发现的损害公司利益的行为,可以及时的予以制止、纠正和查处,促使企业内部各单位、各部门依法经营,堵塞漏洞,提高效益。
(三)参谋职能
内部审计对检查发现存在的问题,依据有关政策、法规和经验,向单位领导和有关方面提出相应的审计建议,提出相应的风险防范措施,为企业管理层的决策提供可靠的参考依据。目前,内部审计的建议已经变得更加强调风险规避、风险转移和风险控制等风险应对措施,使企业风险得到有效的预防和控制。
(四)咨询职能
内部审计可以利用其对企业情况熟悉、了解政策法规和具有综合知识等特点为被审单位的相关内容提供咨询服务,使得内部审计由原来的监督者逐步转变为控制者、协调者、参与者和服务者。
四、内部审计在企业风险管理中起到的作用
(一)内部审计能够发挥反馈作用,对企业的风险管理起到预警的作用
内部审计在企业风险管理中起到反馈的作用,能够有效的对企业的风险管理进行预警。企业的风险是相对于未来发展而言的,与企业的战略目标以及决策规划都有直接的关联。因此,以风险管理和控制为核心的内部审计能够将风险事后的反馈提前到风险发生前进行预警,从而实现更高效率的风险控制。另外,内部审计的咨询职能也能充分利用其主观能动性,帮助企业管理层对企业的风险管理进行控制、改进和完善。
(二)内部审计能够对企业的风险控制策略进行指导
内部审计是企业内部控制中的再控制,企业根据发展战略目标以及自身所能够承受的风险范围,来制定内部控制制度。内部审计人员对企业内部风险控制的焦点在于对企业风险加以强调,并对企业进行的具体的风险控制活动进行评估,从而实现企业价值的增加。但是,企业过度进行风险控制或者控制力度不足都很容易造成舞弊行为的发生。内部审计通过长期的对企业的风险策略和各种决策进行指导,通过对企业风险管理长期计划和短期任务的调节,实现内部审计在企业风险管理中的指导作用。
(三)内部审计能够对企业整体的风险管理进行客观的审查和评定
企业的风险具有感染性、传递性和破坏性等特点。由一个部门的疏忽而造成的风险后果往往会对企业的其他部门产生消极的影响,严重的甚至能够导致整个企业都处于瘫痪状态。因此,风险的防范和控制需要从企业的各个方面进行考虑。在现实经营中,很多部门由于其自身的局限性而不能掌控全局。内部审计部门由于不参与企业的业务活动,具有较强的独立性,因此它能够很好的统筹全局,从客观的角度对企业的风险进行辨识,提醒管理部门及时采取风险控制措施。
(四)内部审计有利于企业治理和管理现状的改善
日益加剧的市场竞争使得企业更加重视对企业的整治和管理,以增强自身的竞争力,促进企业目标的实现。内部审计不仅能对企业的风险管理的充分性和有效性提供参考依据,还能对企业的经营管理提出意见和建议,对企业的发展具有积极地促进作用。
五、总结
现代企业内部审计,需要以风险管理为核心。在企业风险管理过程中,内部控制审计主要是以影响和控制企业经营目标实现的各种内部控制制度为依据确定审计项目,以企业内部控制、经营风险控制制度的建设和执行情况为检点,认定内部控制设计和运行中存在的缺陷,评价内部控制体系建立的合理性、完整性及实施的有效性,并提出恰当的完善和健全内部控制体系建议。
总的来说,内部审计参与企业的风险管理与控制是市场环境因素和其自身的因素决定的,具有一定的客观性和必然性。从目前的发展状况来看,我国在风险管理上的研究还远远落后于西方发达国家,我国政府部门也缺乏相应的政策或者规章制度的制定,导致一些企业对企业的风险管理力度不够,风险抵抗能力下降,甚至在风险来临时可能面临倒闭的危险。因此各个企业都要充分利用内部审计的职能作用,积极加强企业风险管理的控制,提高企业自身的竞争力,以使企业在激烈的市场竞争中立于不败的地位。
参考文献:
[1]王虹.内部审计如何参与企业风险管理[J].会计之友(中旬刊).2009(10)
[2]宣金雷.论中国内部审计在风险管理应用中的不足及对策[J].经济研究导刊. 2011(09)
[3]李艺君,赵建虹.论内部审计参与风险管理的路径[J].中国商界(上半月).2010(02)
[4]石涛.浅议内部审计与企业风险管理[J].中国管理信息化.2011(02)
[5]李建文.对内部审计参与企业风险管理的认识[J]. 经济师. 2010(08)
关键词:金融企业;内部审计;风险管理
Abstract: As one kind of independent, objective monitoring and evaluation activities, internal audit in financial enterprise's development has very important significance. This paper trough described the modern internal audit in financial enterprise risk management's roles, to the internal audit in the risk management of China's financial enterprises in the status and direction of development.
Key words: financial enterprises; internal audit; risk management
中图分类号:E232.6
1.金融企业审计概述
随着国家对国有资产监管制度的日趋完善,各地方政府更加重视资产管理,以及不断健全的公司治理结构,使得金融企业的审计工作越来越被重视,审计的方法也不断更新。
1.1金融企业审计的基本对象
按照《金融企业绩效评价办法》的分类标准,我国的金融企业主要包括四种类型,第一,执业需要取得银行业务许可证的各类银行及企业;第二,执业需要取得保险业务许可证的各类保险企业;第三,执业需要取得证券业务许可证的各类企业;第四,从事金融相关业务的企业。这四类企业也就是金融审计的对象。
1.2金融企业审计的主要类型
总体来看,当前金融企业的审计包括内部审计和外部审计。内部审计是指金融企业通过在企业内部设立审计机构,通过独立、客观、公正的审计行为对企业进行监督和评价。内部审计的方法有很多,但总体来看主要包括审查、复核、盘点、测试与抽样、评价等,对于一个管理规范的金融企业而言,内部审计是不可或缺的一个部分。外部审计是指外部审计机构如会计师事务所接受委托对金融企业的财务报告等进行审计,并提供相应的审计报告,对有关的财务状况等做出客观公正的评价。外部审计的方法主要是外部审计机构通过审查金融企业原始账簿、抽查会计凭证等,对企业的财务报告进行分析和评价。
1.3我国金融企业审计的发展趋势
总体来看,当前国家对金融企业审计的重视程度不断提升,颁布了《金融企业财务规则》、《银行业金融机构外部审计监管指引》、《银行业金融机构内部审计指引》等法规制度,并对制度执行过程中的一些问题做出了相应的制度安排,如颁布了《金融企业选聘会计师事务所招标管理办法(试行)》,这些制度的颁布实施,将使得金融企业审计走向规范化。而对于金融企业自身而言,随着其理念的更新,目前已经将审计工作摆在更加突出的位置,这将推动金融企业审计工作的进一步发展。
2.内部审计在金融业风险管理中的作用
内部审计与企业风险管理有着紧密的联系, 内部审计是风险信息沟通和监控检查的重要措施, 与风险管理密不可分。在现代金融业经营管理中, 随着内外部环境的变化, 各种风险因素增多, 内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用, 同时, 内部审计也被赋予了更多的职责和使命。
2.1内部审计在金融业风险管理中的识别和检查作用
内部审计人员可以通过分析环境和风险的变化, 检查内部控制系统是否已经更新, 是否能控制新的风险; 还可以通过后续跟踪管理层对审计中发现的问题以及对例外事项的整改情况, 检查新采取的控制措施是否奏效, 将分析结果和建议提交给管理层以便评估和改进控制措施。内部审计人员可以运用自己在风险管理方面的专业知识和经验, 从独立、客观的角度发现问题为管理层和审计委员会提供有价值的信息, 从而提高公司整体的风险管理水平。
2.2内部审计在金融业风险管理中的管理与协调作用
在金融业的组织架构中, 内部审计机构一般都处在金融业的董事会、总经理和各职能部门之间的位置, 正是由于这种特殊的位置使得内部审计人员能够充当金融业长期风险策略和各种战略决策的协调人。内部审计可以客观地从企业全局的角度进行分析和管理风险; 可以从金融业的利益和实际情况出发, 清醒地识别和评价风险,提出防范风险的有效建议, 调控、指导企业的风险管理策略。内部审计人员通过评价报告系统证明风险信息被准确、及时地传递给相关人员, 内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息, 而内部审计职能的设立对债权人和其他外部利益相关者来说也是公司具备有效的风险管理的一个证明。在监控活动中, 公司要对风险管理进行持续监控,通过对内部控制系统运行的监控和定期检查结果以及意外事项处理结果的评价, 确认公司对风险的管理是一直有效的还是控制系统存在一定的问题。内部审计人员从公司整体利益的角度出发积极参与公司的风险管理, 有效地与相关部门进行沟通协调 , 这些工作得到了公司领导层的高度赞赏, 内部审计在全公司的地位也得到了大大提高。
2.3内部审计在金融业风险管理中的顾问与咨询作用
由于内部审计人员对本组织的情况了解的比较全面, 也比较深入, 对提供咨询服务工作有着独特的优势。内部审计可以通过评估并运用风险管理的方法, 帮助组织解决风险问题; 通过咨询工作积极协助金融业风险管理过程的建立。在改善管理层的风险管理流程的效果和效率方面, 内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议。内部审计机构独立于管理部门, 其风险评估的意见可以直接报给董事会, 这会加强管理当局对内部审计机构意见的重视程度。内部审计人员由于特有的独立地位, 可以从客观的角度分析风险的假设条件、通过科学的计算方法来评价风险, 提供专业意见。内部审计的顾问与咨询作用的及时发挥往往能帮助企业化解极大的经营风险。
2.4内部审计在金融业风险管理中的报告防范作用
审计发现如何传递, 审计成果如何利用, 舞弊风险如何防范, 这都将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。首先,内部审计要与相关部门进行沟通, 对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告, 使风险及时得到控制和防范; 其次,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊, 可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
3.强化金融企业内部审计实施效果的有效途径
伴随近年来审计体制改革深入推进,金融企业内部审计独立性、重要性、权威性日益增强,内部审计监督、评价及建设职能越发显现,从实际操作角度讲,金融企业内部审计不断深化、提升水平的重要举措在于:
1)革新理念,以风险为导向,以审计创新为动力,以创造价值为核心,完善内部审计功能与目标。提升金融企业经营管理能力、更好更快实现金融企业经营管理目标。在工作对象上,内部审计必须从传统的判断对错、查询错弊等内容向解决经营管理矛盾问题、发现并规避风险、觉察并抓住机遇等内容转变,同时还要擅长综合分析诊断、积极寻找对策、主动求证解决方案,既要履行监督职能,又要做管理层的智囊团和参谋长,以创造性的工作状态提高内部审计的层次和价值。
2)改进策略,致力于建设性的经营审计和管理审计。首先要完善审计报告、提高审计报告质量,向企业管理层、决策性传递高质量的金融营运优质信息,维护内部审计工作声誉、 形象,在创新审计工作的同时,提升内部审计建议价值含量。其次要拓展审计领域、开发审计项目,着眼于改善内部审计方法和操作程序,本着看重事实、依据、风险的原则,以管理风险为导向,将内部审计工作重点设定为分析问题产生的原因、解决问题的可能性与有效措施,开展经营绩效、网络安全市场营销、业务流程与风险控制等新型审计项目,为企业管理层决策提供更好的咨询信息。
【关键词】 广西高校 风险管理 内部审计 分析
随着社会主义市场经济和高等教育改革的不断深入发展,广西高校的生存发展环境发生了变化,体制结构、经费来源、校际竞争、办学主体等各方面都展现了新的特点。日益复杂的外在及内在环境使广西各高校办学风险越来越突出,想要高校持续健康发展,必须有效的管理和控制相关风险。作为广西高校专门监督、鉴证和评价的职能部门,广西高校内部审计发挥着十分重要的作用。
一、高校风险管理审计的概念界定
国家教育部于1985年12月31日《国家教育委员会关于直属高等学校内部审计工作的暂行规定》,到现在将近30年。在此期间,很多高校也先后设置了内部审计部门,在高校的建设发展过程中发挥了一定的作用。2004年1月1日开始实施《内部审计实务标准》,2005年5月1日《内部审计具体准则第16号――风险管理审计》颁布,这些条文都要求内部审计必须涉足本单位的风险管理领域。但是,从全国高校的总体情况来看,关于高校风险管理审计方面的研究和实践,仍然处于起步阶段;广西高校对风险管理审计的研究和实践,更是当前所面临的一个全新领域。
广西高校近年来发展迅速,大量建设资金的投入不可避免地带来各种风险,如何有效开展风险管理审计工作,构筑风险管理审计体系,是值得广西高校内部审计部门思考和研究的课题。高校风险管理审计的最终目的是为了改善高校风险管理的水平,应用系统和规范的方式方法,对学校的管理活动进行监督,对其评价,提出整改的意见,帮助高校实现既定目标。所以,选择高校风险管理审计作为研究课题,有着重要的意义和价值。
二、广西高校管理的风险类型
1、经营风险
它是指教学、科研方面的原因给高校的办学质量和办学效益带来的风险。(1)教学、科研风险。在高校进行教学、科研过程中,制定某一教学科研目标,组织教学科研资源(如教学科研人才、资金、设备和信息等),都有可能发生风险。(2)仪器设备、图书教材等采购过程风险。在市场经济条件下,高校在采购仪器设备、图书教材等过程中,有可能发生价格风险、道德风险、验收风险等。(3)人事风险。人的因素是最不可预见的因素,对于高校的生存和发展,人员素质起到决定性的作用。教学科研人员素质决定了一个高校的专业水平和学术结构,行政管理人员素质决定了一个高校管理工作的效率和效果。执行人的道德和行为会使其执行的业务产生风险。
2、财务风险
是指由于贷款而给高校财务带来的风险。财政拨款及学费收入远远不能满足高校提高办学层次、扩大办学规模的需求,因此必然会通过多种渠道筹集资金。而借款需要偿还本金支付利息,一旦债务到期无力偿还,高校财务就会陷入困境。
3、会计风险
是指会计信息和会计管理的不确定性给高校及其他有关方面带来的风险。(1)会计信息风险。是指会计信息在生产、传递、流通和使用过程中,对会计目标发生偏移,导致会计信息发生风险。原始凭证数据的初始录入带来的风险,经过记账凭证和会计账簿单向、等量地传播至会计报表,会计人员对会计准则的执行情况又会导致会计信息在流通和使用的过程中发生风险。(2)会计管理风险。会计信息系统运行的制度、规则存在缺陷,内部控制系统未能发挥其应有的作用,导致会计信息失实;或是会计从业人员因对自身利益的追求而违背职业道德原则,提供虚假的会计信息、进行不实的会计处理,以上这些都会使会计管理产生风险。
4、国有资产管理风险
是指对国有资产管理的认识不清晰,职责不清,缺少相应的规章制度所带来的风险。目前仍有些高校存在固定资产管理制度不完善,在房屋建筑、设备等固定资产建设项目完成后,没能及时进行竣工决算和办理固定资产验收登记入账手续。资产报废时,也没有能及时办理相关的审核报废手续。这就容易造成了固定资产的帐帐、帐卡、帐实不符等风险。此外,教学、科研用的低值易耗品的采购和管理、往来账务清理等方面也存在一定的管理风险
5、基建投资风险
是指新建、扩建的基建项目,由于对项目优化设计、筹资方式、工程质量等方面的忽视,影响了基建投资的整体效果。(1)投资立项决策的风险。没有根据自身的发展规划和市场要求,进行充分的调查研究和技术论证,从而产生不合理的决策,导致了投资的立项风险。(2)项目前期准备不足产生的管理风险。建设项目前期工作包括编制可行性研究报告、初步设计、安全和环评报告、城市规划审批等。如果前期工作没有完成就贸然开工建设,将不能对所投资的项目面临的风险进行系统的分析,就有可能给学校带来巨大的风险损失。
6、法律风险
是指由于高校在对外民事活动和内部管理活动中,依法承担民事责任所带来的风险。如目前广西的各高校与大学生之间没有签订契约,缺乏合同保障,一旦学生在校期间发生意外事故,导致伤亡,学校将面临法律的纠纷;另外如签订了不合理的合同等,学校也有可能承担责任。
三、广西高校风险管理审计的研究背景
自1999年开始,我国在高校的招生、教学等多方面逐步进行了改革。至2005年,全国普通高校的数量比改革前增加了738所,招生数量增加396.1万人,在校学生数量增加1220.9万人,标志着我国高等教育进入快速发展阶段。在此背景下,广西高校的规模迅速扩张,
师生数量大幅增加,广西各高校在人才、科研、资源等领域的竞争不断加剧。相比之下,各高校应对经营管理风险的经验显得十分匮乏,缺少现代高校管理所必须的资产所有制、经营机制以及运行体制,高校管理者的观念、素养、能力等也达不到要求,这就加剧了高校自主管理的风险。另外,由于受经费投入不足及传统办学思路的影响,高校“重钱轻物、重采购轻管理”的惯性思维依然普遍存在,加上高校内部控制的制度还不够完善,执行力不足,对投资、采购、基建等重点经济活动缺乏有效控制,有可能会导致领导干部腐败、会计信息不实、国有资产流失等风险的产生。
四、高校风险管理与内部审计的关系
近年来,广西高校不断深化教育改革,学校规模、招生人数等都有了较大的发展。伴随着高校快速发展而来的是经济活动的越发频繁,高校管理的风险和难度也随之增大。为了让改革与稳定协调发展,就必须加强自身的管理和风险的控制,合理制定风险管理的方案,确保风险管理的正确执行。这个过程就需要有内部审计这样的一个机构来沟通和协调各管理部门,及时给予管理部门合理的建议。
1、风险管理是内部审计的一项重要职责
高校内部审计的最终目的是改善高校风险管理的效果,帮助高校实现其制定的目标。以风险管理审计为主的内部审计,从被动查找问题转变为主动提出解决问题的建议,使内部审计的作用更具有前瞻性,能够更合理的帮助高校提高风险管理的效率,促进了高校风险管理流程的正常运转。由此可以看出,风险管理是内部审计的一项重要职责。
2、风险管理审计是内部审计功能的拓展
风险管理审计是运用系统的方法和措施对风险管理的过程进行检查,对其有效性进行评价,并有针对性地提出建议的一项工作。高等教育领域的市场化逐步提高,高校的内部审计除了过去单一的财务监督职能外,还要对学校的风险管理进行监督和评价。内部审计职能的转变,使其在高校中的作用得到了重新定位,工作的内容得到延伸,把审计工作推向了更高的层次。因此,开展风险管理审计是内部审计功能的一种拓展。
3、内部审计为风险管理提出改进措施
内部审计可以为高校的风险管理手段提出改进的措施。首先,内部审计根据学校的内部及外部环境,分析可能面临的风险,针对不同的风险采取相应的审计策略,通过加强对高风险点的实质性测试与监控,努力把风险控制在可以接受的范围内。其次,通过内部审计的评价,分析风险控制程序的合理性,判断其是否有效,能否满足学校对管理风险控制的要求,检查在风险管理过程中是否存在欠缺,以促进高校加强和改善风险管理能力,实现内部审计增加价值的目的。
4、内部审计在高校风险管理中具有独特优势
高校内部审计在高校的管理中,具有得天独厚的优势,具体表现在两个方面。
第一,内部审计人员经常接触高校的日常管理工作,能够及时发现高校管理工作中存在的风险。同时,高校内部的审计人员通过对关键、重要的风险领域保持长时间连续性的关注,有利于对高校风险管理措施执行的有效性进行检查和评价,对于存在的不足提出改进意见并做出相应调整,以达到防范和有效控制风险的作用。
第二,内部审计对高校有着更强的责任感和义务感,有利于加强风险管理,实现高校目标。内部审计作为高校的重要组成部分,学校的整体利益与其休戚相关,对高校的风险防范有着更为强烈的责任感和使命感。因此,作为内部审计部门必然会积极主动的协助学校防范风险,加强管理,协助高校实现组织目标。
五、结语
风险管理审计的引入,通过科学检测、监控、评价等手段有效防范、化解学校各项管理工作中的风险,防止资源的浪费和损失,帮助学校提升各项管理工作的质量和效率。广西高校内部审计应明确自身定位,将审计关口前移,充分发掘自身优势,利用先进的管理思想和技术手段,促进整体管理效率和经营效果的提升,为实现广西高校风险管理的最终目标提供保证。
(注:本文系“广西教育科学”十二五”规划”2013年度广西教育财务管理研究专项课题”《广西高校风险管理审计调查与研究》成果之一,课题编号:2013ZCW005。)
【参考文献】
[1] 石泉贵、王凡杯:现代内部审计:理论与务实[M].山东人民出版社,2006(6).
[2] 中国内部审计协会:内部审计具体准则第16号――风险管理审计[S].2005.
[3] 田丽云、尹钧惠:内部审计从那与风险管理的动因及其运作探讨[J].现代财经:天津财经学院学报,2004(8).
[4] 韩理安、张斌:高等教育教学质量监控体系的总体设计[J].中国高教研究,2002(10).
[5] 李望平:国内高校风险管理研究述评[J].教育管理研究,2009(12).
[6] 赵玉琳、吴妍:政府对高等教育要“少保多放”[J].中国远程教育,2007(7).
[7] 孟焰、潘秀丽:企业风险管理审计研究[J].审计研究,2006(3).
[8] 冯晶:内部审计参与风险管理的动因及其运作探讨[J].商业经济,2008(9).
论文摘要:目前,我国内部审计一般尚未与公司治理相结合,成为公司治理的有机部分.对风险管理也不够关注。为此,要逐步完善企业法人治理结构,明确企业外部和内部的委托关系.培养管理者的竞争意识和风险意识,形成内部审计的需求市场,为内部审计的发展创造良好的环境。笔者就风险管理下公司治理与内部审计的整合方面等内容进行了探讨。
1风险管理是公司治理的核心
1.1风险管理的概念
风险管理是指识别风险并设计控制风险的方法,其核心是将没有预计到的未来事项的影响控制在最低程度。首先,风险管理要求在组织中发现那些高风险暴露的领域,对高风险暴露点的识别要通过对组织的分析进行,这种分析既包括审计人员客观的测试,也包括主观的判断。其次,将分析的结果与认为可接受的风险水平相比较;最后,实施必要的变革,使组织的风险暴露水平与其所设定的目标相一致。
1.2公司治理的概念
公司治理从狭义的角度进行理解,是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解,是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排,其决定企业目标的实现。
从主要功能上来说,公司治理的范围可以包括:股东、董事会—决策者;管理阶层—执行者;审计人员(包括内部审计人员及外部审计人员)—监督者;其他利益关系人(例如:顾客、供应商、债权人及员工等)—影响者等。从这个角度来讲,内部审计人员应该在公司治理中占有一席之地。因为内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理都有透彻深人的了解,与外部审计人员相比,内部审计对公司治理发挥的作用在层面上更为深人,在范围上更为广泛。
1.3公司治理的核心是风险管理
公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,因此公司治理中包含一些战略性的风险管理的因素。例如,公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理当局(CEO)在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交、汇点。因此,风险管理是公司治理的核心。
2内部审计与风险管理密不可分
2.1内部控制与风险管理的联系日趋紧密
在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理同题进行深人思考。例如,公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的可能性;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责.在履行其职责的过程中.管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
2.2风险管理是内部审计的主要职责
随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:
(1)能够从客观的、全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局的客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。
(3)内部审计部门的建议更易引起重视。内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理层对内部审计部门意见的重视程度。
3内部审计对健全公司治理结构的意义
内部审计是在公司权力部门的领导下,依据国家相关法律、行政法规以及公司的规章制度,独立监督和评价公司及所属单位(含占控股地位或者主导地位的单位)经济活动合法合规、效益、效率及内部控制健全有效的行为。在公司经营管理工作中,内部审计主要发挥着维护内部控制、支持业务创新、辅助领导决策等重要作用。
站在公司治理的角度看,内部审计作为监督和评价机制的主要手段,在平衡不对称信息,使合同有效执行和促进股东与经理人利益最大化等方面发挥着不可替代的重要作用,是公司治理结构的重要组成部分。主要表现在:
(1)内审部门的隶属关系体现所有权监督的性质,通过审计协助所有者平衡不对称信息,使合同有效执行。
审计产生的前提是两权分离条件下(即财产所有权和经营权的分离),财产所有者为保护财产的安全和完整,确保经济信息的真实可靠而建立的监督机制。在现代授权经营管理体制中,由于内审部门大都采取董事会(监事会)直接领导或者是董事会(监事会)和经营管理层双重领导的模式,使内审部门具有所有权监督的性质,决定了其接受所有者授权对经营者进行监督评价的现实关系。
因此,为确保受托方充分履行受托责任.如实报告经营信息.就需要有专门的机构对其经营履约情况进行检查和评价,而内部审计由于熟悉公司政策和内部体系,并拥有专业知识的优势,通过稽核检查,可以协助所有者平衡不对称信息,评价履约责任,为委托合同的有效执行提供必要的条件。
(2)内部审计不仅是所有者进行监督的有效手段,也是经营者经营业绩报告的重要鉴证方式,为激励和考核经营者能力提供必要的依据。
企业经营者能否获得企业所有者给予的报酬,取决于经营者的综合管理能力和实际经营效果。企业经营者为向企业所有者证明其经营能力,获得所有者的信任,就必须定期向企业所有者汇报其工作成果,传递经营管理信息。而内部审计的存在就为经营者的业绩报告提供鉴证帮助,为经营者迎接企业所有者的激励与考核提供必要的依据。
公司治理的实践证明,对内部审计的要求已不仅仅是资本所有者单方面的需求,而且是资本所有者与经营者的共同意愿,主要目的就是维护公司治理结构的有效运行,并服务于治理结构下各权利相关者的利益最大化。需要特别指出的是,不论是监督手段,还是鉴证手段,内部审计的结果都是体现治理结构下恰当的权利分配关系和相关利益各方的利益平衡和约束,达到多赢的效果。
4在风险管理目标下,公司治理与内部审计的整合
美国COSO报告委员会于2001年起着手进行企业风险管理研究,并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架,其在为企业风险管理研究项目制定的目标中明确指出::风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌人到某种形式的风险管理过程中去。而在内部控制方面,将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证,同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约,减轻信息不对称的影响,并对人形成一定的控制约束.因此从一定程度上说内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计,也不可避免地在风险管理的基础上,与公司治理的目标交汇。
关键字:内部审计;风险管理;有效途径;防范措施
一、内部审计风险产生原因及职能定位
内部审计风险是一种具备不可避免性、广泛性、潜伏性、持久性、偶然性、可控可测性的更其趋向于对企业进行控制经营的评价和改善风险管理活动。究其产生原因主要涵盖客观和主观两方面,客观原因体现为被审计企业内部不协调、审计业务复杂化拓展引起的审计风险、内部审计具体事项难以细节面面俱到统筹兼顾、内部控制体系不完善无有效执行力度;主观原因体现在未严格按照内部审计实务标准执行、审计程序紊乱、决议层的风险意识淡薄、内部审计人员专业素养层次不齐、内部审计质量把控过松。不同企业的内部审计职能定位不同,华西能源工业股份公司(以下简称“华西”)作为制造业的领头羊,有规范的自主组织生产经营套路,屋企人财务会计制度、利润分配制度都依照国家行政标准制定实施,尤其内部审计制度有专职审计人员监督华西财务收支和经济活动。以往国有企业内部审计仅基于委托-理论即评价职能来定义,而华西内部审计职能有重新概念,包括监督职能、评价职能、咨询职能三方面,最终治理目标是将公司整体效益最大化为核心进行。
二、内部审计结合风险管理的有效途径及框架模型
(一)内部审计结合风险管理的有效途径
风险管理审计在于预估、评价所有诉讼风险、重大报错风险、检查风险、经营风险,具体涵盖财务报表层次、认定层次等方面。首先,关于风险管理审计程序开展,是周转于企业、部门、事业单位、分公司四基点,并且总体流程为有效风险管理的设计风险管理活动执行力效果高层管理风险报告汇总董事会商量确认风险标准制定及传达核实有无遗漏,继而有效内部控制。再次,风险管理基础审计是90年代末新出现的审计方法,较之风险基础审计更纳入战略目标、风险容忍度、管理层监控计量三种为审计计划的编制工作。然后,控制自我评估(CSA)在西方使用更为广泛,因其基本特征是由管理层与员工共同进行,且以结构化方式开展自我评估来关注业务流转和控制成效。基本上是从软控制评价、控制环境、预测控制风险开展内控评价改革。接而,咨询管理为受委托后会提供相关资讯服务,内部审计人员有一定技能和专业素养才可提供咨询服务。最后,协调管理是由于风险战略、评估、分析并不是独立的,它需要彼此渗透,比如内部审计师对企业风险管理活动设计,才能合理分配审计资源,接而基于风险基础审计由专业人员担任咨询,并将相关风险情况整合来助于审计师识别风险。
(二)内部审计结合风险管理的框架模型
内部审计结合风险管理的框架模型有5个子系统,是战略规划、业务流程、组织结构、风险评估、抽样技术的结合。整体可分为三个,关于高层风险管理框架模型是站在高级管理者层面定位的,由于华西的运营必须有较强的针对性目标,才能顺利拓展业务,其中对职员、成本、系统、预算都能按部就班达到标准方可利于战略执行,且对员工适当放权,形成巴塞尔协议中的“高级管理者应负责执行委员会比准的经营风险管理框架”。关于战略业务单元的风险管理框架模型,此部分基于占据积极的利益相关者,包括股东、董事会、执股员工等,战略风险、经营风险、报告风险、合规风险都是值得注意问题,这关系到华西制定目标能否实现,会影响整个组织运行,战略业务单元的风险管理框架模型需要上述4类风险。关于职能部门的风险管理框架模型,考虑到风险容量的本质在于组织与利益相关者的非书面合约,那么华西职能部门需要充分介入控制风险,核心价值,企业文化,毕竟硬指标和软指标完成离不开风险意识培养以及华西文化的驱动作用。
(三)基于华西能源内部审计的风险管理防范措施
内部审计风险管理是当企业面临市场开放、法规解禁、产品创新,均使变化波动程度提高,连带增加经营的风险性。良好的内部审计风险管理有助于降低决策错误之几率、避免损失之可能、相对提高企业本身之附加价值。一个完善现代内部审计风险管理具备全面性、一致性、关联性、集权性、互通性、创新性。华西内部审计风险管理不仅仅是对企业风险进行微观预测控制,更重要的是带领企业在风险中拽住发展机遇。华西整体指挥系统和子系统需要有良好沟通渠道,并在内部建立军事化的管理信念,借鉴国内外成功企业风险管理经验也大胆发散思维。
1.独立内部审计并建立完整法规制度
内部审计风险管理可以依据权利适度分离原则划分层次,最高决策层明确指出企业的风险阈值,即企业所能承受风险的最大值,一般是指财务风险的临界点,确立管理条框。其次经营层建立相互制约均衡的委员会,相互监督并严格执行管理政策,对风险由专门检测和分析部门。华西内部审计需要有完整的法规制度,因为内部审计风险是局限性的,对国家和单位持负责态度,没有政府行政法律支持是难以实现平衡的。独立内部审计则由于过于复杂工作属性,容易出现各种问题,不是只以查错纠弊的财务会计为主,现代华西规模的扩大对内部审计提出更高要求,故而独立出来,会有全面高效的提高。
2.健全审计风险意识及规避转移
我国1996年颁布《独立审计具体准则第9号-内部控制与审计风险》、2000年修订《会计法》到2001年以后陆续的内部控制规范性文件,昭示我国开始关注内部控制。财政部2007年重新内部控制基本规范和17项具体规范的征求意见稿,明确建立、完善企业内部控制的紧迫性和必要性。规避是控制风险最常用手段,基本上企业处于被动状态,即采取躲闪、回避或放弃方法来消除风险的危害,尽量避免给企业带来耗损。对我国企业而言,风险防范意识差是导致企业陷入经营与财务风险的导火索。华西同样应具备相关手段培养高层管理和员工的风险防范意识,且有专门的规避转移手段来调控内部审计风险。
三、结语
文章通过对华西内部审计风险管理分析、控制、防范进行研究,深入探讨我国国情下企业风险的应对方案,带动企业风险管理的防御性、平衡性职能,也充分展示风险意识培养的迫切性。企业风险管理应遵循四大原则:稳定性、适应性、合理性、低成本高收益。华西能源股份有限公司成员同样要求不断学习进步,力求在风险中取得主动权,培养内部审计员的分析能力与独立判断能力。选择投资项目时,企业加强对其预测分析及管理,准确利用风险管理方案实现防范风险、改善经营、增加价值的优质利益。总言之,内部审计风险管理与控制需要系统策划,也离不开人力、物力、财力的支持。牢记风险意识,启动预警方案,将风险变为机遇,华西能源股份公司才能立足社会,为自己谋福祉。
参考文献:
[1] 沈启凤. 浅析企业内部审计风险与控制[J]. 《新财经(理论版)》, 2013年12期.
[2] 姜鹏. 审计风险的成因及应对策略[J]. 《经济视野》, 2013年20期.
关键词:内部审计 风险管理 协同效应
随着现代企业规范程度的提高和各个行业监管力度的加强,内部审计、风险管理等工作受到了越来越多的重视,国资委有《中央企业全面风险管理指引》,许多行业都先后了行业风险管理指引,可见监管部门对此的重视。而就世界范围而言,美国《萨班斯――奥克利斯法案》颁布、COSO框架体系建立,也都是对企业内部风险管理的加强。那么,什么是内部审计,什么是风险管理,两者的关系如何, 两者结合的意义有哪些,本文将就这些方面作进一步探讨,并在此基础上研究企业如何发挥两者的协同效应。
■一、内部审计与风险管理的关系
要理顺内部审计与风险管理的关系,首先要清楚内部审计、风险管理的概念。所谓内部审计,国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。而企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。
内部审计、外部审计、董事会以及高层管理人员被称为有效公司治理的四大基石。内部审计师的作用是检查、评估和分析组织的风险,审查公司对法律法规的遵守情况,促进公司在风险管理、治理结构以及内部控制等方面的提高,向董事会、审计委员会以及高层管理人员负责提供保证――风险已被分散、公司治理是有效的、内部控制是健全的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。因此,内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。
■二、内部审计与风险管理结合的意义
国际内部审计师协会多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。
■三、内部审计在风险管理中的角色和地位
国际内部审计师协会在2004年发表的《内部审计在企业风险管理中的角色》意见书中指出:内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按国际内部审计师协会的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。
内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
■四、企业如何发挥内部审计与风险管理的协同效应
按照审计署颁发的《审计署关于内部审计工作的规定》中的有关规定以及法人治理的有关要求,内部审计要相对独立。因此,通常情况下,内部审计部门独立于公司经营管理层,在业务上直接向董事会下属的审计委员会汇报,但这并不等于内部审计部门与企业的风险管理相脱节,事实上,如果内部审计能够充分利用风险管理的相关信息,最大限度发挥与企业内部风险管理的协同效用,无论是审计计划的制定还是审计范围的确定都将更具有针对性,审计的效果也会更好。那么,如何充分发挥内部审计与风险管理的协同效应呢?
1、以企业整体的战略目标为基础,进行风险分类,合理分配审计资源
企业在不同时期,其战略目标是不同的,风险分布、风险偏好以及风险应对策略都相应有所差异,保险企业亦如此。作为内审部门参与风险管理,应以公司整体的战略目标为基础,分析公司当前的风险分布,了解公司当前的风险应对策略和风险承受能力,并对这些风险进行分类,有针对性地制定审计计划,分配审计资源。同时,作为一个全国性的保险公司的内部审计部门,在参与风险管理的时候,要清楚不同层级机构风险分布是不同的,在总公司层面,主要是决策风险,在分公司层面,主要是控制风险,在中心支公司及以下机构,主要是经营风险。
2、充分获取风险管理部门的意见,按风险管理的要求开展内部审计
风险管理部门是风险管理的专业部门,其对于公司风险分布的了解最全面、最准确,内审部门应主动与风险管理部门沟通,了解目前公司风险管理的基本情况,以及其对于目前公司风险的看法和意见,并要求其对待定的审计项目提出有针对性的建议。同时,由于目前大部分公司风险管理都还比较薄弱,无论是人员配备、人员的专业能力,还是公司的重视程度都还不够,风险管理部门也要依赖内审部门通过现场审计来验证、评价其风险评估、风险分析的合理性、有效性。因此,对于风险管理部门提出的审计要求,内审部门在条件允许的情况下,应及时予以合理安排。
3、与风险管理部门进行信息共享
毫无疑问,内部审计部门与风险管理部门是掌握公司风险信息最全面、最准确的两个部门,但掌握的情况却又有所区别。风险管理部门是在既定的风险承受能力和风险应对策略的基础上,注重对风险整体情况的识别、评价和分析,并对出现的重大风险提出可行的解决方案。因此,无论是其风险评级报告还是其风险分析报告,着眼点都是一个组织单位(全系统、分公司、甚至中心支公司)整体风险是否在合理、可控的范围内。而内审部门是通过必要的审计程序、有针对性的审计方法对公司经营过程的记录、结果等进行验证、核对、测试,以了解其合规性、合理性和发现其是否存在风险,因此,内审部门对于风险的了解更具体、更有说服力。因此,如果内审部门能与风险管理部门进行信息共享,实现整体与具体的结合,则对于提高风险管理的水平和风险信息的有效性都具有重要意义。
4、利用自身优势,实现内部审计与风险管理的有机整合
(一)对内部审计的认识。
内部审计是一种旨在增加价值和改善组织的运营的独立、客观的确认和咨询活动,它通过系统规范的方法来评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。新定义将内部审计的范围延伸到风险管理和公司治理。明确指出风险管理是内部审计工作的一项重要内容。随着经济发展,内部审计成为企业全面风险管理体系的关键环节。内部审计参与企业风险管理是顺应形势发展、适应环境变化、应对职业危机、促进自身发的一种全新的审计理念,其取代传统的审计模式已是必然。审计风险管理是规避企业风险的必然要求,是内部审计自身生存、发展的需要。
(二)对内部审计风险管理的认识。
从事任何一项挑战性的工作,都会存在着风险,审计工作也不例外。审计风险指的是审计人员对实质上误报的财务资料可能提供不适当意见带来的风险。内部审计围绕风险开展的审计,在制定计划、实施业务、报告结果以及后续审计的全过程活动中,风险是一个非常重要的决定因素。由于存在人员素质以及制度不完善等原因,审计风险是客观存在的。
二、内部审计和企业风险管理的关系
内部审计是企业风险管理的重要组成部分,风险管理是内部审计的一项重要内容。二者之间存在相互依存,联动发展的关系。内部审计全面参与公司治理与风险管理,除关注内部控制之外,内部审计应该更加关注风险管理机制是否有效和公司治理结构是否健全,即通过对企业风险管理的监督来促进企业的风险管理。同时企业的风险管理也有利于内部审计的发展。
(一)内部审计是企业风险管理的重要组成部分。
风险管理是通过风险识别、估计、驾驭、监控等一系列活动来防范风险的管理工作。企业风险管理组织体系,主要包括规范的法人治理结构,风险管理部门、内部审计部门及其他有关职能部室、业务单位的组织领导机构及其职责。设立内部审计部门是企业风险管理中自我监督、自我约束、自我控制的需要。内部审计人员如果要更加注重审计质量和审计风险问题,终将延伸到企业战略决策的层面,因而,从客观上来说,内部审计责任有所增大。企业要想进一步加强管理,必然要对内部审计的期望增大。因而,作为企业管理的监督机制之一的内部审计如何在防止企业舞弊问题中发挥重要作用,实质上就是一个企业管理的问题。
(二)内部审计在企业风险管理方面拥有的独特优势。
作为企业内部一种独立客观的确认与咨询活动,内部审计能够在风险管理方面拥有不可替代的独特优势。一是通过日常审计了解企业整体运营情况和各个业务环节的运作状况,内部审计能够更加准确地认识到存在的风险,可以从全局出发、从客观的角度对风险进行识别与评估;二是内部审计机构的人员构成来自企业内部,大家的根本利益同企业的发展与兴衰是息息相关的,内部审计人员对防范好企业风险、更好实现企业目标有着更强烈的责任感,必然会激发其通过努力工作促使企业目标的实现;三是内部审计作为企业内部机构和人员,可以通过检查帮助企业解决风险问题,通过咨询服务协助企业建立风险管理体系,通过集合企业内外资源,协助管理层改善管理流程的效果和效率。因此,内部审计能够积极主动、多角度、全方位地评估企业风险,协助管理层降低风险水平,从而确保企业目标的实现。
(三)内部审计是风险管理的最后一道防线。
购物车(0)