时间:2024-04-19 10:18:50
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇风险评价的定义,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
1 风险管理概念解析
风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(risk management)是指在风险方面,指导和控制组织的协调活动。
与风险管理定义密切相关的,还有“风险管理框架”和“风险管理过程”两个词汇。
风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(be embedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。
风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。
风险管理过程才体现了信息安全应该如何做(how)的问题。
严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出: 风险管理的阶段划分仅作示意。
2 风险评估及其过程
在GB/T 23694—2013 / ISO Guide 73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。
风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。
为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。
无论如何划分,风险评估都要完成下面这些活动:
在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。
3 区分风险评估与风险管理
我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。
风险管理是一个持续循环,不断上升的过程,它被定义为一个持续的周期,每隔一个阶段就开始新的循环,这些循环要贯穿组织的始终,是组织管理的一部分。风险评估则更像“搞运动”,其一般按照一定的时间间隔进行,但是如果发生组织业务变化、出理新的漏洞或基础机构变化等,都可能启动新的风险评估过程。
风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。
这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估,在每一次风险评估中都会发现潜在的问题,并在接下来的风险应对过程中加以解决,从而使组织管理风险的能力得到提升。
4 风险应对概念解析
无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。
风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73:2009中,对这个定义也有详细的注解,包括:
“风险应对”定义的注1较为详细,其中给出了可能的应对措施,其中1)规避风险,6)分担或转移风险以及)接受风险,与ISO/IEC 27001:2005的描述基本类似,)为寻求机会而承担或增加风险更偏重组织业务角度视角,3)、4)与5)则是降低风险的基本途径,这三项的任何之一都可以改变目前的风险状况。
【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。
【关键词】内部审计;风险管理;角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
[关键词]内部审计;内部控制;战略审计;风险管理
[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)44-0077-02
1 内部审计的发展历程
1.1 国际内部审计的发展历程
1978年,国际注册内部审计师协会(IIA)正式颁布了《内部审计实务准则》,认为“内部审计是建立在以检查、评价为基础上的独立评价活动,并为组织提供服务”。这个定义强调了内部审计为组织提供服务,并且强调了内部审计的独立性。
国际注册内部审计师协会(IIA)在1993年颁布的《内部审计实务标准》中提出,“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。这个定义仍然强调了内部审计对组织管理的服务职能。
国际注册内部审计师协会(IIA)在2001年出版的《内部审计实务标准》中规定:“内部审计是一种旨在增加组织价值和改善组织价值及经营状况的客观的保证和咨询活动,它通过引入系统化的方法来评价并改进组织风险管理、控制和治理效率,以帮助组织实现目标。”这个定义引入了“风险管理”一词,内部审计的目标是为组织管理提供服务,但此时它的视角更广了。
2004年,IIA颁布《国际内部审计专业实务标准》,规定“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营,它通过引入系统化、规范化的方法来评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。”这个定义在2001年定义的基础上,强调采用系统化的方法,也使得内部审计更加科学,反映了内部审计的发展趋势和客观要求。更重要的是,这个定义强调了内部审计的职能由管理职能向治理职能的转变。此时,内部审计的目标可以分为两类:一是要实现组织价值的增值,改善组织的经营状况;二是要提供与风险管理、内部控制和公司治理程序相关的确认和咨询服务。
1.2 国内内部审计的发展历程
我国于1984年在部门、单位内部成立了审计机构,实行内部审计监督。
1985年我国了《审计署关于内部审计工作的若干规定》,提出“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分”。这个定义强调了内部审计主要行使监督职能。
2003年,审计署在《审计署关于内部审计工作的规定》中指出:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的活动”,这个定义增加了内部审计的评价职能。
2003年,中国内部审计协会颁布的《中国内部审计准则》规定:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。这个定义强调了监督和评价职能并重,而且关注经营活动和内部控制的适当性、合法性和有效性,主要是为组织管理服务。
通过国内外对内部审计定义的比较,可以发现,内部审计的发展大致上经过了三个阶段:第一个阶段,内部审计的主要目标是防止组织内部的舞弊行为和检查组织内部的财务差错,这是一种比较初级的审计;第二个阶段,内部审计的主要目标是加强控制、改善经营,内部审计的职能有所加强;第三个阶段,内部审计的主要目标是风险防范和价值增值。内部控制和风险管理也成为了内部审计关注的重点。
2 内部审计在内部控制中的作用
《萨班斯―奥克斯利法案》规定:每份年度报告的文件中都应该包含一份内部控制报告,同时公司管理层在年度报告之日前对内部控制的有效性进行过评估。2006年7月15日,中国内部控制标准委员会成立,标志着我国企业内部控制正式提上日程。由此可见,随着经济发展水平的不断提高和企业管理思想的不断完善,内部控制也越来越受到企业的利益相关者的关注。那么,内部审计在内部控制中又发挥着什么样的重要作用呢?
现代内部审计之父Lawrence Sawyer(2005)认为,控制评价是内部审计人员的“执业秘诀”,内部审计人员要通过评价内部控制制度和指出需要加强的内部控制的弱点,成为有力的管理工具。这反映出了内部审计在内部控制中的评价职能,而且,是内部控制评估的主力。王光远教授(2005)指出内部审计准则的最核心概念有两个,即内部控制和风险。内部审计与内部控制之间是相互依存的,内部审计是内部控制的要素之一,而内部控制又是内部审计的直接对象。内部审计在内部控制中的职能包括:评价内部控制;参与重大控制程序的制度与修订;监督内部控制的运行;提供管理咨询等。
3 基于内部控制下的内部审计的新发展
3.1 由基础审计向高层次审计的发展
内部控制强调全过程控制,同样,内部审计也应该是“全过程审计”。按照内部审计进行的时间,又可以把审计分为事前审计、事中审计和事后审计。事后审计是我国传统内部审计的方式,侧重于事后的监督和评价,起到一个查漏补缺的作用;事中审计实时跟踪审计内部控制制度建立的执行情况;事前审计是一种“防范于未然”的审计方式,它强调在内部控制制度建立和执行前就进行风险评估。这样的内部审计贯穿于战略审计、经营审计和作业审计的全过程。
企业内部控制从控制主体可以分为三个层次:一是以董事会等高层管理者为主体的战略控制;二是以经营者为主体的经营控制;三是以员工为主体的作业控制。这三个层次对应的内部审计分别为战略审计、经营审计和作业审计,它们的审计流程、重点与评价内容不同,但三者是紧密相关,相互作用的有机整体。
战略审计是企业内部审计部门对各层次的战略管理活动及战略管理的全过程所作的分析、评价和监督。战略审计是公司制定战略前必须完成的工作,主要包括:企业内外部经营环境分析、对已实施的战略效果进行评估、对现行战略的适当性和战略执行的有效性进行评价,这些是事前审计;此外,还要对战略的执行过程进行监督,监督有关责任人认真履行与战略管理有关的受托责任,这些属于事中审计;最后,要对企业的管理绩效进行评估、对战略的执行结果进行总结评估和反思,这就属于事后审计。
经营审计是内审部门对经营循环的全过程,包括投入、运作、产出、分配等各个环节的效率和效果进行评价、确认和监督。经营审计主要审查经营者是否努力改善和充分利用了企业的物质条件和技术条件,审查利用生产力各要素的具体方式方法的有效性。如审查经营决策的科学性是事前审计;而对决策的落实和执行情况进行审查是事中审计;最后,对决策执行所带来的结果进行评估总结,形成书面报告则是事后审计。
作业审计是内审部门对内部控制的业务层面和工作环节进行监督检查,并提交相应的检查报告、提出有针对性的改进措施。作业审计主要包括对作业控制的评价、确认和监督。在作业审计中,如评估具体业务层次上的可接受风险水平、评价员工的专业胜任能力、为管理层提供实行风险回避还是风险分担的咨询建议等这些就属于事前审计;而监督员工在开展业务活动中没有非法使用企业资产牟取不当利益、监督员工没有单独或者串通舞弊给企业造成损失,则属于事中审计;对各部门和员工当期业绩进行考核和评价等属于事后审计。
在我国,目前大多数企业的内部审计仍然停留在作业审计和经营审计的阶段,内部审计也往往只是在事后进行,这样的内部审计工作往往难以发挥应有的作用。内部审计由基础审计向高层次审计发展,由作业审计和经营审计向战略审计发展,由事后审计向全过程的审计发展,是内部审计的必然趋势,也是企业加强经营管理的内在要求。
3.2 内部审计职能由监督向风险管理的转变
IIA在1999年对内部审计的重新定义也提到了,内部审计是用来增加企业组织价值和改善组织运营的独立、客观的保证和咨询活动,它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。企业开始注重风险管理,同样,内部审计的重心也应向风险审计转移,是企业进行风险管理的重要组成部分,前文所提到的事前审计也正是出于对企业进行风险管理的需要。
根据IIA的定义,基于风险管理的内部审计有两个目标――增加组织的价值和改善组织的营运状况。内部审计人员要根据对企业风险管理过程的审查,评价其适当性和有效性,提出建设性的意见和建议,不断完善企业的风险管理,最终才能实现两个基本目标。
基于风险管理的内部审计的内容既包括企业风险管理的设计,也包括企业风险管理的实施。首先,内部审计部门要根据企业的行业特征、生产经营的性质、企业规模、企业管理水平和企业文化特征设计出适合企业的规范化风险管理的组织体系。通过风险管理的制度建设,让企业的每个部门和员工明确风险管理中的权责关系,使企业的风险管理既分工明确,又是一个有机整体。其次,内部审计部门要明确企业的战略和目标,并且保证其具有合理性。企业的战略可以分为公司战略、业务单位战略和职能战略,内部审计部门要审查企业的各个层次的战略是否明确并且合理。只有在明确而合理的战略指导下,企业的风险管理才能行之有效。最后,内部审计部门要在风险管理的过程中,全面跟踪审计,做到事前预测风险,事中控制风险,事后对风险管理的过程进行总结,提出更好的改进方案。
关键词:效用理论;投资决策;风险
1、风险效用理论
在工程项目的风险评价中有多种评价模式,这些评价方法所选择的指标多为期望值。但以期望值作为评价指标的主要缺点是没有充分考虑到项目决策者的决策偏好和承担风险的能力。效用理论作为一种投资项目的一种评价方式,其主要的决策依据和标准是效用最大化原则,并且将决策者的主观决策偏好引入决策中。这一决策方法的理论依据是现代效用理论。在这一理论体系中,把某个具有不确定的建议或决策的效用定义为在偶然事件中获得标准价值的概率相等。同时引入平衡点的概念,即期望得到某种预期值和接受偶然事件的态度无差异的某个数值,并把预期值和平衡点之间的差异定义为风险费用。效用值具有无量纲的特点,一般将决策者最满意的方案效用值定义1,最不满意的方案效用值定义0。即以[0,1]区间来描述和量化对各类待决策方案的效用值。
2、风险效率
由于外界环境可能随时发生变化,因此项目的投资决策会不可避免的面临一定程度风险。为便于研究,一般都把这类风险转化为实际成本的增加来进行量化,即认为未来可能发生的风险事件都可以用追加成本的方式来加以克服。在这种思路下,可将项目的投资风险定义为发生超出能接受的预期成本超支的可能性,与之对应的概率即为项目投资的风险水平。
因此在考虑项目投资的风险评价时,就需要从降低预期成本和降低风险水平这两个角度来进行分析。显然,在预期投入成本为定值的前提下,应当使得该项目的风险水平最低;反之,在风险水平确定后,可确定最优的投资计划所需的预期成本。在这二者之间就存在一个最优组合的问题,实现风险和投资成本同时得到控制,即体现项目投资的效率。这个效率将其定义为风险效率。
3、项目效用的确定
根据前文对于效用的定义,显然效用可绘制成0-1之间变化的曲线的形式,简称为效用曲线。确定效用曲线的方法主要有两种:直接提问法和对比提问法。直接提问法是通过让决策者回答和项目有关的一系列问题,并对这些问题做出主观性的量化,由决策者绘制出让自己满意的效用曲线。对比提问法则是通过让决策者对不同方案间的两两比较来确定在何种情况之下这两类方案具有等效性。当存在多个待考虑因素时,则是固定其他因素,只考虑一个可变因素,以提问的方式来确定该可变因素的效用曲线。在实际应用中,直接提问法因主观性太强而回答的结果往往比较模糊,因此采用较少,更多的是利用对比提问法。
4、0-1规划模型
从本质上看,0-1规划属于整数规划的范畴。在实际应用中,0-1规划既可用于单指标的项目投资决策,也可用于多指标的项目投资决策。这一决策模型的基本步骤和必要的假定为:
(1)同时存在个待决策的投资项目,相应的决策向量为。(2)各待决策的投资项目的效益向量为,其中 为第 个方案的效益。(3)确定各投资项目在资源使用方面的约束条件向量。(4)确定各待决策项目所消耗的资源向量,以矩阵表示。(5)在需要同时进行考虑的 个指标中,有 个属于越大越优型,其他为越小越优型。(6)令第 个待决策项目的第 个指标的效益为,并将各个待决策方案指标进行归一化后再带入模型进行计算。(7)设定各参考指标的权重向量。(8)决策模型:
如在上式中加入约束条件,即可实现从多指标决策模型切换到单指标决策模型。
5、风险与效益综合平衡模型
上一节的模型中考虑的因素为经济利益,而在实际操作中还面临着众多不可确知的随机因素,并带来一定的风险。因此在制定投资决策时还需要将风险因素纳入到决策环节中,同时兼顾到投资项目所可能产生的经济效益和与之伴随的风险,力求在二者之间达到一种最佳的平衡。先假定以项目的预期投入成本和伴随的风险的度量作为投资决策的控制性因素。依据风险效率曲线,在追加预期投入成本的前提下,投资项目的风险水平会有所降低。这样就可能存在两种具有代表性的投资方案,即预期投入最低,但风险很高方案和预期成本最高但风险水平很低的方案。投资者必然会依据企业对风险的承受能力选择在这两个方案之间的某种折中投资方案,从而出于一种本能在风险和效益之间寻求一种平衡。从理论上讲,当风险效率曲线是可靠的前提下,可以通过理论求解的方法以精确的方式寻找到一种最优的风险效率组合投资方案。而实际上,由于受到投资者承受风险的能力的限制,只能选择一种最接近最优解的投资方案。因此投资项目未来的净收益和风险效用是紧密联系的,投资者在风险和效益之间做出的选择实质上反应的是在同等条件下决策者对风险的认知和承受能力。若将风险效用作为正向指标,则可把它作为投资项目利益最大化的一个控制因素。具体讲,可建立如下数学模型:
(1)设投资者拥有的资金总量为 ,各待决策的可行投资方案和利润分别为和。(2)以各可行决策方案中成本最低者作为基准成本,其他投资方案超出该基准成本的部分和风险成本之和为,其下限为,总成,可计算各投资项目的回报率。(3)令风险效用函数和各投资项目的预期效用分别为和,在此基础上以投资回报率和风险效率均取得最优作为优化目标,建立如下模型:
6算例
本例中有三个可供决策的投资项目,各项目的控制参数分别如下。1项目A 基本成本100万元,风险概率0.2,风险结果50万元,预期总利润138万元。2项目B 基本成本105万元,风险概率0.2,风险结果30万元,预期总利润130万元。3项目C 基本成本110万元,风险概率0.2,风险结果10万元,预期总利润135万元。效用函数为,此处 为投资者为降低成本而投入的费用,表示风险容忍度,此处取为25万元。
依据效用理论并结合决策树法,可得到如图1的决策结果:
由图1可见,项目C的预期效用最大。再利用效用函数可计算项目C成本与风险的平衡点为12.35万元,也优于其他投资方案(项目A的平衡点为20.58万元,项目B的平衡点为14.53万元)。因此应当选择项目C作为投资方案。
再用风险与效益综合平衡模型来求解该问题。可得,,。将以上数据带入模型,可解得如下结果:
7、结语
项目投资决策是一项复杂的过程,受到很多实际因素的影响。在决策中引入风险因素是让投资决策更加合理的必然手段。本文引入效用理论的基础上,构建了0-1规划模型和考虑风险与效益的综合平衡模型,给出的实例概要说明了该方法的使用。
参考文献
【关键词】环境风险;环境风险评价
一、背景
环境风险是指在自然环境中产生的或通过自然传递的,对人类健康和幸福产生不利影响同时又具有某些不确定性的危害事件。由于环境风险区别于传统环境问题,具有巨大的不确定性,逐渐发展出一种新的针对环境风险的环境风险评价制度。环境风险评价是指由一定的机关或组织,对具有不确定性的环境风险可能对人体健康、生态安全等造成的环境后果进行识别、度量、评估的过程或环境管理活动。
从20世纪90年代开始,我国的一些法律规范中提出了环境风险评价的内容。1993年,国家环保局颁布的《环境影响评价技术导则》规定:对于风险事故,在有必要也有条件时,应进行建设项目的环境风险评价或环境风险分析。同年的《基因工程安全管理办法》要求对基因技术进行安全评价。1996年,《农业生物基因工程安全管理实施办法》对农业转基因生物安全评价作了规定。2001年,《职业安全健康管理体系指导意见》对职业安全评价作出规定。2004年的《建设项目环境风险评价技术导则》明确指出:将建设项目环境风险评价纳入环境影响评价管理范畴。2011年公布的《外来物种环境风险评估技术导则》规定了外来物种环境风险评估的原则、内容、工作程序、方法和要求。2015年,环保部批准《尾矿库环境风险评估技术导则(试行)》,要求对运行期间的尾矿库进行环境风险评估。2014年修订的新环保法第39条规定“国家建立、健全环境与健康监测、调查和风险评估制度”,虽然只是国家建立、健全相关制度的义务的概括规定,但同时也使得环境健康风险评价制度第一次进入环保基本法。
二、从一个实践案例看我国环境风险评价制度的实施
(一)湖北荣成纸业有限公司热电联产工程简介
湖北荣成纸业有限公司拟建设一座热电联产中心,为公司生产和和临港工业园区企业供热,于2015年6月初通过环评。环评报告的环境风险评价包括五个部分。第1部分为环境风险评价的目的:分析和预测建设项目存在的潜在危险、有害因素、建设项目建设和运行期间可能发生的突发性事件或事故(一般不包括人为破坏及自然灾害),引起有毒有害和易燃易爆等物质泄漏,所造成的人身安全与环境影响和损害程度,提出合理可行的防范、应急与减缓措施,以使建设项目事故率、损失和环境影响达到可接受水平。
第2部分为环境风险评价程序图,主要包括风险识别、源项分析、后果计算、风险评价、风险可接受水平、风险管理、应急措施预案。第3部分为环境风险评价,报告指出,拟建工程环境风险主要包括:原煤堆场火灾风险事故、燃料油火灾爆炸、氨水罐泄露、粉尘爆炸、锅炉故障导致二f英增加外排。以事故发生原因为基础,将项目环境风险分为火灾爆炸、不可抗力、设备故障和人员管理四类。根据相关规定确定项目环境风险评价工作等级为二级。对项目的主要环境风险进行分析,主要对每类风险的发生原因进行了介绍,仅对二f英的事故排放可能对人体健康造成的影响进行了简要介绍。第4部分围绕原煤堆场火灾、油库、氨水罐、粉尘、锅炉、事故池、事故废水处理规定了环境风险事故防范措施。第5部分事故应急反映方案规定了预案的启动、职责与任务、现场警戒与疏散措施、事故上报程序与内容和善后处理。
另外,根据相关规定,建设项目环境风险评价是作为环境影响评价的一部分而存在的,所以环境风险评价部分没有独立的公众参与部分,项目环评的公众参与主要包括两种方式,一是媒体公示即两次在湖北省环保厅网站上进行了项目公示;二是公众参与调查表,对松滋市陈店镇全心村的83位居民和附近的3家单位进行了问卷调查。公众参与的结果显示,当地公众对建设项目的了解程度一般,部分人担心项目的运行会对生活环境和身体健康造成不利影响,大部分人认为该项目可以带动当地经济的发展,解决当地农民的就业问题,被调查者全部支持该项目的建设,无人反对该项目的建设。
(二)分析
从上文介绍的环境风险评价实例可以看出:1、我国建设项目环境风险评价将环境风险仅仅简要的分为火灾、爆炸和泄露三类,并局限在项目的突发性事件或事故可能造成的环境风险,并不对项目正常工作过程中的环境风险进行考量;2、环境影响评价对可能造成的人体健康和生态系统的不利影响的阐述不充分,从而环境影响评价的结论即风险是否达到可接受水平让人产生不信任感;3、环境风险评价的过程缺乏互动,不能体现评价结论对项目实施方案的具体影响,公众参与形式化、途径单一,公众意见对项目实施缺乏影响力;4、环境风险评价中仅规定了一些事前的预防措施,缺乏事中和事后监督和必要措施。
三、美国环境健康风险管理框架及其启示
(一)美国环境健康风险管理框架的基本内容
环境风险管理框架已成为国际上环境风险评价制度的发展趋势,在众多已制定的环境风险管理框架中,美国总统/国会风险评价和风险管理委员会的《环境健康风险管理框架》(1997)是最具影响力的框架,为多国制定框架时参考和借鉴。在1990年的清洁空气法修正案中,国会要求组成一个风险评价与风险管理委员会,委员会认为,应改变传统评价与降低风险的方法,以降低风险和改善健康状况为总体目标。委员会希望框架指导公共部门和私营机构有价值的资源投资在研究、评估、表征和降低风险中。
框架包括六个阶段:
1.定义问题并把它放在背景下
对科学的风险管理决策而言,首先需要正确界定问题。通过在复杂背景中识别和表征环境健康风险问题并描述它的特征,仔细考虑问题的背景,确定风险管理的目标和有权或有责任采取行动的风险管理者,并让利益相关者参与到过程中。
2.联系问题背景分析风险
阐明问题引起的事实和科学基础,在数量和质量上处理健康和生态风险,描述负面影响的特性、严重性、可逆性或可预防性。把问题引起的风险放在多源头、多媒介、多种化学物质和多风险背景下。了解利益相关者对问题引起的风险的认识。把问题引起的科学和背景方面的信息结合成问题对人类健康或环境产生的风险进行定性,同时考虑利益相关者的认识和其他社会文化的影响。
3.检查处理风险的选择
这一阶段包括确定可能的风险管理选择,评价选择的效果、可行性、成本收益、非计划中的结果和文化社会影响。这个过程可以在界定问题和考虑背景之后任何合适的时间开始。风险管理者和利益相关者获取了关于可行性、成本与效益分析和减少暴露、降低风险对改善人类和生态健康的贡献的正确评价之后,风险管理目标可能会被重新定义。利益相关者在确定和分析选择阶段发挥重要作用。
4.做出实施何种选择的决策
在框架的这一阶段,决策者基于最佳可得科学、经济和其它技术信息,确保决策考虑了问题的多种来源、多种媒介、多种化学物质、多种风险背景,做出符合成本收益具有可行性的风险管理选择。另外,优先预防风险,而不仅仅是控制风险,可能的话,使用命令―控制管理的替代性方案。一个富有成效的利益相关者参与过程可以对决策产生重要指引作用。
5.采取行动来实施决策
传统上,一直是管理机构的要求推动实施,工厂和市政当局通常是实施者。然而,当其他的利益相关者也能扮演重要角色时,成功的可能性会显著提高。利益相关者可能会包括:公共健康机构、其他公共机构、社区团体、市民、工厂、人和技术专家等。
6.对行动作出评价
在风险管理的这个阶段,决策者和利益相关者评价实施的风险行动以及它们的效果。评价工具包括环境健康监测、研究、疾病监管、成本收益分析和与利益相关者的讨论。在大多数情形,应定期评价。就像风险管理过程其他的阶段,利益相关者参与会让评价更有益。另外,评价中可能出现新信息,评价对了解框架的哪一部分需要被重复非常重要。
(二)美国环境健康风险管理框架的主要特点与启示
1.在更广泛的背景下定义风险
一个风险问题的背景的全面理解对于有效进行风险管理是非常有必要的,因为问题狭窄的背景无法反映风险情况的真实复杂性,造成风险管理决策和行动相比不是很有成效。
2.基于科学信息和最佳判断进行风险评价
风险评估者尊重在缺乏充分数据的情况下得到结论时风险和程序的客观科学基础非常重要。风险评估者应该向风险管理者和其他利益相关者提供看起来合理的,含有支撑不确定性和供选观点的具有证明力的评估,从而可以在可得信息的基础上作出风险结论。
3.利益相关者全过程参与
整个风险管理过程的利益相关方参与被认为是至关重要的。通过全过程参与,不同利益相关方全面沟通与合作,最终平衡各方的意见和观点以做出体现公众价值观的风险决策。
4.重复和评估
公众评论、协商、信息收集、研究或风险与选择的分析可能澄清或重新定义问题,使重心改变到一个不同的问题上,由于重要的新信息、观点和看法出现,风险管理过程会灵活而经常重复。评估对充分地履行职责和理智地利用稀缺资源至关重要。
四、完善建议
(一)在更广泛的背景下定义环境风险
当前我国环境风险评价制度的规定主要集中在建设项目、外来物种、尾矿库、基因工程和职业安全领域。其中,建设项目环境风险评价仅适用于涉及有毒有害和易燃易爆物质的项目,排除了有巨大环境风险的核建设项目,而且因为它是以环境风险事故的防范为导向,导致它对环境风险的定义过于狭窄,仅对突发性事件或事故引起的有毒有害、易燃易爆等物质泄漏进行风险评价,排除了非事故情形下,项目正常运营下可能产生的环境风险。《尾矿库环境风险评估技术导则(试行)》适用于运行期间的尾矿库,不适用于贮存放射性尾矿、伴有放射性尾矿的尾矿库环境风险评估,同建设项目环境风险评价,它也只考量尾矿库可能引发突发环境事件的危险因素。《外来物种环境风险评估技术导则》主要适用于规划和建设项目可能导致的外来物种造成的生态危害的评估。《基因工程安全管理办法》和《职业安全健康管理体系指导意见》分别对遗传工程产品和职业安全风险评估进行了初略的要求性规定。整体来说,从我国环境风险评价的各个分散规定可以看出,我国环境风险的范围相对狭窄,而且一般孤立地考虑单一的化学物质在单一的环境媒介中引起的单一风险进行评价,从而也限制了我国全面、综合的环境风险评价。应改变以事故为导向的环境风险定义,逐步扩大我国环境风险评价范围,在更广泛的公共健康和生态背景下进行环境风险评价。
(二)明确环境风险评价的目标
环境风险评价的目标不应停留在防范风险层面上,而应进一步把环境风险评价的目标明确为保障人体健康和生态健康。防范风险虽然是环境风险评价的直观起点,但忽视人体健康和生态健康目标的环境风险评价是有违环境保护的根本宗旨的。实践中的环境风险评价正是因为缺乏对人体健康和生态健康的要求而导致实施的结果难以让人满意。为了配套环境风险评价保障人体健康和生态健康的目标,国家应积极开展环境健康与环境生态监测、调查与研究,为环境风险评价提供科学和数据支撑。
(三)保障利益相关方的参与
我国现有的利益相关者参与主要在建设项目(包括尾矿库)环境风险评价中得到一定的保障,因为环评对公众参与的要求,公众在其中可有享有一定的环境知情权、发表环境意见权和环境监督权等,但是,在实践中利益相关方的参与有走过场的倾向,处于弱势的利益相关方的环境知情权常常受到侵害,意见不能被充分的考虑,对环境风险评价的进程与结论不能产生实质影响。在外来物种、基因工程和职业安全领域,没有要求利益相关方的参与,利益相关方的环境知情权也难以得到保障。环境风险是一个多维的概念,还必须包括受影响方的观点。环境风险评价只有兼顾各方观点和需求,考虑不同群体的价值观、知识和认知,才能做出更好的风险管理决策,而在决策行动的过程中也不易受到利益相关者的反对和抵触。
(四)构建适合我国的环境风险管理框架和方法
关键词:内部审计;金融企业;改进
伴随着金融市场的日益一体化进程,金融风险随之不断增大,一直以来受到广泛的关注。金融业的不断发展和创新使金融企业面临越来越复杂的风险,金融企业尤其是银行的风险管理成为日益重要的课题。而内部审计作为一项独立、客观、公正的约束与评价机制,在现代企业风险管理中正发挥着越来越重要的作用,而如何针对金融业的特色和特点,完善内部审计机制成为金融业内部审计部门日益重要的课题。
一、内部审计简介
内部审计是相对于注册会计师事务所对企业所进行的外部审计而言的,它无论在机构设置上还是在人员配备上都是企业内部的。有关内部审计的定义,国内外有很多种表述。国际内部审计师协会 IIA 最新修订的《内部审计实务标准》是内部审计的权威标准,其最新的定义为:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为组织增加价值并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织目标。
中国内部审计师协会于2003 年的《内部审计基本准则》中对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性,合法性和有效性来促进组织目标的实现。”
通过对国内外的内部审计定义的介绍,本文认为,国际注册内部审计师协会的最新定义是较为恰当的,该定义明确了内部审计的原则、内容和目的,它充分体现了内部审计的发展方向。我国内部审计的定义是与我国内部审计的发展状况紧密相关的。对我国的大多企业来说,风险管理作为一种管理思路尚是一个新鲜事物,如何在企业运行中进行风险管理的运作还处于探索阶段,内部审计作为风险控制的一项有效的工具在企业风险管理中发挥的重大作用才逐步被人们所了解,来自企业内部的风险常常是由于内部控制系统有缺陷或虽有较好的管理控制系统却未得到有效的贯彻、执行。内部审计以企业各运营环节风险评价为起点,以评价内部控制和对内部控制合规性审核为主要手段,在风险识别、风险衡量和风险防范中发挥了积极、重要的作用。
二、金融风险的定义以及表现
(一)金融风险的定义
金融风险有广义和狭义之分。广义的金融风险是指金融交易的各种可能值偏离其期望值和幅度。从广义的金融风险可以知道,可能值可能低于也可能高于期望值,因此风险绝不是亏损的同义词。风险既包含对市场主体不利的一面,也包含对主体有利的一面,也就是说,风险大的金融资产,其最终实际收益率并不一定比风险小的金融资产低,常常是风险大的收益也大。狭义的金融风险是指金融机构在金融动作的过程中可能遇到的障碍和遭受经济损失的可能性。狭义的金融风险仅仅表述了金融机构所遭受的损失。
(二)金融风险的类型和表现
在我国,金融风险主要分为:(1)信贷风险。当前部分企业趁兼并、分立等改革之机,采取各种方式逃债、废债,导致金融业特别是国有商业银行的资产信贷质量持续下降,成为当前最为突出、最为严重的风险;(2)信用风险。该风险是指借款人不能依约偿还借款本息的风险。目前银行信贷资产沉淀多、收益率低、保全难度大。主要表现是不良贷款比重高、收息率低、抵押担保难以落实,潜伏着巨大的风险;(3)流动性风险是指银行没有足够的现款清偿债务和保证客户提取存款,使银行信誉遭受损失而形成的风险。目前国有商业银行的流动性风险虽未显现,但潜在的支付困难因素日益增多;(4)经营风险。是指由于银行自身经营管理方面存在的问题而形成的风险;(5)汇率风险。由于宏观经济政策环境的变化、市场波动、汇率变动、金融机构自身经营管理不善等诸多原因,金融机构在经营过程中存在着在资金、财产和信誉方面遭受损失的可能性;(6)市场风险。是由于市场价格的变动,银行的表内和表外头寸会面临遭受损失的风险。近两年,金融业并购重组活动的逐渐增多以及金融业分业经营的模式在实践中逐步被突破,跨市场、跨行业金融风险正成为我国金融业面临的新的不稳定因素;(7)法律风险包括因不完善、不正确的法律意见、文件而造成资产价值下降或负债加大的风险;(8)金融国际化风险。
三、内部审计在金融业风险管理中的作用
内部审计与企业风险管理有着紧密的联系,内部审计是风险信息沟通和监控检查的重要措施,与风险管理密不可分。在现代金融业经营管理中,随着内外部环境的变化,各种风险因素增多,内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部审计也被赋予了更多的职责和使命。
1.内部审计在金融业风险管理中的识别和检查作用
内部审计人员可以通过分析环境和风险的变化,检查内部控制系统是否已经更新,是否能控制新的风险;还可以通过后续跟踪管理层对审计中发现的问题以及对例外事项的整改情况,检查新采取的控制措施是否奏效,将分析结果和建议提交给管理层以便评估和改进控制措施。内部审计人员可以运用自己在风险管理方面的专业知识和经验,从独立、客观的角度发现问题为管理层和审计委员会提供有价值的信息,从而提高公司整体的风险管理水平。
2.内部审计在金融业风险管理中的管理与协调作用
在金融业的组织架构中,内部审计机构一般都处在金融业的董事会、总经理和各职能部门之间的位置,正是由于这种特殊的位置使得内部审计人员能够充当金融业长期风险策略和各种战略决策的协调人。内部审计可以客观地从企业全局的角度进行分析和管理风险;可以从金融业的利益和实际情况出发,清醒地识别和评价风险,提出防范风险的有效建议,调控、指导企业的风险管理策略。内部审计人员通过评价报告系统证明风险信息被准确、及时地传递给相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息,而内部审计职能的设立对债权人和其他外部利益相关者来说也是公司具备有效的风险管理的一个证明。在监控活动中,公司要对风险管理进行持续监控,通过对内部控制系统运行的监控和定期检查结果以及意外事项处理结果的评价,确认公司对风险的管理是一直有效的还是控制系统存在一定的问题。内部审计人员从公司整体利益的角度出发积极参与公司的风险管理,有效地与相关部门进行沟通协调,这些工作得到了公司领导层的高度赞赏,内部审计在全公司的地位也得到了大大提高。
3.内部审计在金融业风险管理中的顾问与咨询作用
由于内部审计人员对本组织的情况了解的比较全面,也比较深入,对提供咨询服务工作有着独特的优势。内部审计可以通过评估并运用风险管理的方法,帮助组织解决风险问题;通过咨询工作积极协助金融业风险管理过程的建立。在改善管理层的风险管理流程的效果和效率方面,内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议。内部审计机构独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计机构意见的重视程度。内部审计人员由于特有的独立地位,可以从客观的角度分析风险的假设条件、通过科学的计算方法来评价风险,提供专业意见。内部审计的顾问与咨询作用的及时发挥往往能帮助企业化解极大的经营风险。
4.内部审计在金融业风险管理中的报告与防范作用
审计发现如何传递,审计成果如何利用,舞弊风险如何防范,这都将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。首先,内部审计要与相关部门进行沟通,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;其次,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。公司要根据不同的风险决定需要采取的策略和方法,决定是避免风险、接受风险还是降低风险。对于有相对的风险回报的风险,公司可以考虑接受,但要采取控制措施,才能将风险降到公司可以接受的水平,获得期望的回报。
参考文献:
[1]罗伯特.莫勒尔,布林克. 现代内部审计学[M].中国时代径济出版社,2006年,p60-110.
[2]亨利,范,格罗等(美).银行风险管理与分析[M].中国人民大学出版社,2006年,p 20-120.
[3]王周伟,邹展宜.银行内部审计与操作风险管理[J].新全触,2005年8月.
[4]孔合. 我国金融风险的成因及对策研究[J]. 开放导报,2006年2月.
[论文摘要]内部审计形成于20世纪20至30年代,其产生的真正动因是企业管理的需要。随着社会的发展,企业管理内外部环境处于不断的变化之中,内部审计其职能也随之从最初的监督延伸至咨询领域,它对公司治理中内部控制和风险管理起到再监督与再管理的作用。
内部审计形成于20世纪20至30年代,其产生的真正动因是企业管理的需要。随着社会的发展,企业管理内外部环境处于不断的变化之中。在当前公司价值最大化的目标下,内部审计扮演怎样的角色,其在公司治理中的功能如何,本文愿做一尝试性探讨。
一、内部审计的涵义及职能拓展
(一)内部审计的涵义
2001年内部审计师协会(IIA)对内部审计的定义为“内部审计是一种独立、客观的保证工作与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。”对于这个定义,我们可以从几个方面来理解:首先,我们不难发现内部审计最终的目标是帮助企业实现其目标,而企业的目标就是增加价值,结合两者,内部审计的最终目标就是为增加企业的价值而服务;其次,它所采用的手段主要是保证和咨询,这里的保证服务是一种为了机构的风险管理、控制或治理过程进行独立评价而客观地审查证据的行为,而咨询则是提供建议以及相关的客户服务活动;再次,内部审计应以风险管理、内部控制系统、企业治理结构为工作范围,用系统化、规范化的方法来评价和改进它们;最后,内部审计人员应该以独立、客观的工作态度完成其职责,其中独立性要求内部审计在确定活动范围、实施审计及报告审计时不应受到任何因素的干扰,客观性要求内部审计师在执行审计工作时,对他们的工作结果秉持诚信的原则,不与任何方面达成重大质量妥协。
中国内部审计协会在参考了IIA定义后,结合我国的现实情况,于2003年在公布的《内部审计基本准则》中,将内部审计定义为“内部审计师在组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。”这个定义明确了内部审计是由组织内设的机构所实施的一种独立、客观的活动,其目的是通过对组织的经营活动及内部控制的真实性、合法性和有效性进行审查和评价,使组织经营活动及内部控制中存在的问题得到认识和解决,从而促进组织目标的实现。中国内部审计协会的定义在结合我国实际情况基础上提出,尤其进步意义,但是与IIA的发展相比,还是有局限性。尤其是面对全球化的影响,将内部审计主体封闭在一个组织内将难以满足企业决策的信息需求。因此,笔者将按照IIA所提出的理念进行后续论述。
(二)内部审计的职能
在内部审计产生和发展早期,以查错防弊为主的监督职能是其主要职能,但随着社会经济的发展和进步,以及内部审计所承担的角色的增加,笔者认为,企业内部审计包括四个递进的职能:监督、评价、控制和咨询。
1.监督职能。内部审计首先是单位内部的一种经济监督活动,那么监督职能也应是内部审计最基本的一项职能。监督职能是指对被审计对象的财务状况等经济活动进行检查和评价,确定其会计资料是否正确、真实,反映的财务收支和经济活动是否合法、合规,有无违法违纪和浪费行为,从而督促被审计对象遵守财经纪律,改进经营管理水平,提高经济效益。
2.评价职能。评价职能是由经济监督职能派生出来的另一种职能,包括评定和建议两部分,也是内部审计的一项基本职能。通过内部审计可以全面了解部门、单位的真实的经营管理状况,并以此来来评价经营决策、计划、方案的合理性和可行性,评价其规章制度设置是否健全完善,是否正常运行,评价其经营管理水平及效益的优劣。
3.控制职能。现代企业已越来越多元化,层级化,跨国公司业务遍布全球,企业经营管理中的风险随之而增加,企业的高层管理人员不可能事无巨细地对每一项业务进行监督,必须委托一个独立于被审计部门的单位进行控制,以保证企业目标的实现。内部审计因其受企业高层的直接领导,对公司的决策层负责,能够站在企业发展的全局来分析和考虑问题,对企业经营活动的控制活动可以提供直接的技术支持,并检查控制程度和效果,提出控制中存在的不足和问题。
4.咨询职能。随着现代企业制度的建立,企业ERP系统及会计电算化的普及,账面资料的错误会越来越少,内部审计的工作重点必须从传统的“查错防弊”转为内部的管理、决策服务,内部审计的职能作用也已从监督评价向咨询方面延伸。另外,现代企业所面临的环境复杂且多变,经营风险增加,市场竞争激烈,这些导致包括各管理者层尤其是高级管理层迫切地需要有人以“顾问”的身份,对其制定的目标、决策、计划以及在经营过程中出现的错误和薄弱环节提出改进建议。内部审计人员熟悉企业整体情况,且独立于公司的其他部门,使内部审计人员较其他部门更易于提出较全面、客观、可行的建议。因此,内部审计人员承担了专业的咨询服务。咨询职能更能适应内部审计在现代公司治理中的发展,促进内部审计价值增值。
二、内部审计在公司治理中的作用
(一)内部审计与内部控制
关于内部审计与内部控制的关系,审计学家钱伯斯认为,内部审计所拥有的一套管理理论需要以内部控制概念为中心。1977年美国的《国外反贪污行贿法》确立了内部审计在内部控制方面的法定职责。内部控制已成为现代内部审计的主要产物。审计学家布林克在回首IIA50年时指出,内部审计最应该关注的是“内部控制”。根据《萨班斯-奥克斯利法案》框架中“监督”要素的要求,企业的监督可以分为持续性监督活动和内部审计定期的、相对独立的评估两部分。那么,可以将整个内部控制体系划分为三个相对独立的控制层次:第一个层次是经济业务发生部门严格按照企业内部设计的要求,相互牵制开展业务活动,建立起第一道监控防线;第二个层次,经济业务最终的流向都必将反映到财务报表中去,因此财务部门就要在事后建立起第二道监控防线;第三个层次,内部审计部门要建立起以查为主的监督防线,独立地按照法人要求,有选择地对内控的各方面行使检查功能,发现管理流程中的不足和风险,提出改进措施,并能够将这些评价结果反映到高层,高层同时也要赋权给内审部门督促改进措施的落实,促进内部控制体系建设趋于完善。对于风险较高的组织如金融机构来说,第三道防线更是必不可少。从监督职能来说,尽管内审监督检查的频率要比其他部门的自我监督检查和财会部门的管理监督要低得多,但是内部审计部门的独立性和在组织内应有的权威性,再加上直接由最高层领导,赋予该部门对内控具有再监督和再评价的特殊而又重要的职能。内部审计是企业内部控制的有效监督者,为了强化内部审计监察部门的监督职能,许多西方金融机构都成立了独立于经营管理之外的内审稽核部门。
当然,从组织结构上看,内审检查部门并非独立于内部控制整体框架之外的,它也属于控制的一部分,本身也需要对自身的各种内外部风险进行管理,和经营管理部门一样,也要采取自我控制措施,须注意自我检查和批评。
(二)内部审计与风险管理
关于风险管理,比较有代表性的说法是威廉与汉斯在1964年出版的《风险管理与保险》中所提出的,他们认为风险管理是通过对风险的识别、衡量和控制,以最低的成本使风险导致的各种损失减到最小程度的管理方法。从这个定义中我们可以得出,实现风险管理目标的主要手段是控制。
在充满不确定性的市场环境下,企业要实现目标,其管理者应该确保其拥有健全的风险管理过程,且这些过程发挥了应有的效用。高层决策者和审计部门应该在确定企业是否拥有健全的风险管理过程及这些程序是否有效运作等方面起监督作用,在此,内部审计人员作为高层机构下设的独立机构责无旁贷地承担起这一工作。正如本文开篇介绍的IIA对内部审计的定义中指出:内部审计需提高风险管理、控制与监管工作的有效性,使企业达到预定的目标。《IIA实物标准》(2001)实务公告2100-3中描述到:内部审计部门应该评价并帮助改进机构的风险管理、控制和治理体系。我国著名内部审计专家王光远认为:“内部审计人员是风险管理潜在的重要利益相关人和参与者。”“风险管理是内部控制的延伸,内部审计是风险管理的确认者,是对风险管理的再管理。”国内外许多审计实践表明,对风险管理审计的报告更容易被管理当局所接受,管理部门也容易理解内部审计存在的意义,风险管理可以帮助内部审计度过正在影响企业的价值危机。
那么,内部审计在风险管理中的作用有几何呢?
1.站在全局的角度上审视风险。企业是一个由各个单位有机结合起来的整体,每一个部门之间要么直接相关,要么间接相关,只要有一个单位发生风险就会或多或少传递至其他部门,并经常危及企业整体。而各部门都站在本部门的立场上处理风险,难免会一叶障目,考虑不周,内部审计则与之不同,它独立于企业经营管理部门,使得它可以从全局出发、客观地管理风险。
2.调控、指导企业的风险策略。内部审计部门处于董事会、总经理和职能部门之间,可在企业风险策略和各部门决策之间进行协调,通过这种协调,内审人员可以调控、指导企业的风险策略。
需要注意的是,内部审计虽然可以促进风险管理过程的建立或提高风险管理的有效性,但是它并不参与风险管理的设计和实施,而是管理层负责ERM的设计,所有员工协助贯彻实施,董事会监督管理层对企业风险管理的设计与实施,内部审计部门通过检查、评价、报告企业风险管理过程的适当性和有效性,并提出改进建议来协助管理层、董事会或审计委员会,而不是履行风险管理的受托责任(Bailey等,2006),否则将影响内部审计的独立性(作者单位:深圳纺织集团股份有限公司)。
参考文献
[1]Bailey,AndrewD,AudreyA.Gramling,SridharRamamoorti:内部审计思想,王光远等译[M],中国时代经济出版社,2006(5)
[2]RobertMoeller,SOA与内部审计新规则,刘霄仑译,[M],中国时代经济出版社,2007(1)
[3]张庆龙,内部审计价值[M],中国时代经济出版社,2006(10)
[关键词] 审计风险 内部控制 控制措施
近些年随着国内经济的快速发展,审计环境面临着较大的变化,同时也不断涌现出新的现象,而这些新事物的出现势必会增加审计的难度。所以我们有必要对审计风险进行再研究,不断加强企业的内部控制建设,以便于将审计风险控制在可以接受的程度。
一、审计风险、内部控制、审计控制风险定义
1、审计风险的定义
我国《独立审计具体准则第9号―内部控制与审计风险》将审计风险定义为:会计报表中存在重大错报或漏报,注册会计师审计后发表不恰当审计意见的可能性。而审计风险又由两方面风险构成:一方面是审计人员认为会计报表公允可以接受,但实际上会计报表却存在重大错报的风险;另一方面是审计人员认为会计报表存在重大错报而不能接受,但实际上是公允的风险。审计风险的产生既有注册会计师自身的主观原因,也存在审计方法的客观原因。因此,控制审计风险必须从注册会计师内部和其外部着手,并将两者有机地结合起来进行,才能取得良好的效果。
2、内部控制的定义
《独立审计具体准则第9号―内部控制与审计风险》将内部控制定义为:被审单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
3、审计控制风险的定义
审计控制风险是指被审计单位的业务和相应的会计处理发生重大错弊不能被内部控制防止和纠正的可能性。被审计单位建立内部控制的主要目的之一就是要防止错误和舞弊。如果被审计单位的内部控制制度存在重要的缺陷或者不能有效地工作,那么错误和舞弊就会进入被审计单位的财务报表系统,由此产生了控制风险。
二、审计风险的防范与控制措施
1、加强审计队伍建设,提高审计人员素质
审计风险的高低,在很大程度上都取决于审计人员个人素质的高低,因此审计人员应当强化风险意识,坚持实事求是,客观公正,并树立严谨踏实的工作作风,认真负责的对待每一项审计业务,严格按照独立审计准则进行审计,以确保审计质量,降低审计风险。加强基础建设,打造管理型、复合型的审计队伍,建立健全各项规章制度,抓好审计人员学习、培训工作,提高审计人员的实际应用能力,拓宽视野,更新知识面,掌握新业务的要点和风险点,提高工作效率。同时,加强理论与实践相结合,积极开展各项调研工作,为内控工作的开展奠定理论基础。
2、加强内部控制审计
内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效的使用资源,提高经济效率和经营效果等目标。由于被审计单位的内部控制制度存在一定的缺陷,所以被审计单位应从加强经济业务管理、内部控制制度与内部激励制度相结合、建立和完善内部控制评价体系三个方面完善内部控制制度,确保其经济活动经济资料合法性合理性。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准,实施适当的审查程序,以评价被审计单位的控制环境;评价企业风险管理机制的健全性和有效性;评价控制活动的适当性、合法性、有效性,控制活动对风险的识别和规避;评价企业获取及处理信息的能力,信息传递渠道的便捷与畅通,管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。
3、创新内部审计
随着现代企业制度的完善,以“查错纠弊,堵塞漏洞”为主要目标的传统内部审计,已远远不能适应现代经济体制的要求。在审计思路上,要努力实现由传统内部审计向现代内部审计的转变,从事后审计向事前事中审计转变;在审计模式上,应探索构建从风险分析入手确定审计目标、范围和程序,以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果,从以财务收支为主的审计,向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变;在审计目的上,从重视审计的独立性、权威性和强调审计监督,转为强调审计为企业服务,帮助企业实现其目标;在审计内容上,由财务控制向业务控制和信息系统转变,以审计经营活动为起点,以审计内部控制为主线,以审计会计核算、财务表现为终点,全面覆盖企业营运活动;在审计行为上,从不规范的随意性,向规范化、系统化和科学化方向转变。
4、内部审计要外部化
内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担,主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织,后者指企业在开展内部审计工作时,根据需要借助外部审计力量,共同完成内部审计工作。内部审计外部化具有一系列优点,可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成,它们独立于企业的所有者和经营者,有一套保证审计准则受到遵循的机制,从而能够客观公正地对企业的财务状况进行审计并报告审计结果。同时,还为企业降低成本,因具有比较高的专业化程度,拥有丰富的经验和广阔的知识,可以提高和稳定审计质量。
5、健全组织结构,授权明确
组织结构的好坏直接关系着审计客体的生存,也影响着审汁风险的高低。组织结构中的各个机构、部门都各有自己的职责,明确授权与责任的关系,采取必要的步骤,保证内部控制的有效性,从而降低审计风险。
三、结语
购物车(0)
