審計與風險管理
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇審計與風險管理范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
審計與風險管理范文第1篇
[摘要]近年來,風險管理已成為內部審計的重要領域。本文在闡述了風險、風險管理的涵義的基礎上,對內部審計參與風險管理的動因、內部審計如何參與風險管理進行了探討。
近年來,有些內部審計組織開始介入風險管理,并將其作為內部審計的重要領域,這一做法得到了國際內部審計職業界的普遍認可,以至于國際內部審計師協會在1999年通過的內部審計的最新定義把評價和改善組織的風險管理和控制的有效性作為內部審計的主要。本文將對此進行闡述。
一、風險、風險管理
(一)風險、風險因素、風險事故和損失
風險是在一定環境和限期內客觀存在的,導致費用、損失與損害產生的,可以認識與控制的不確定性(趙曙明、楊鐘,1998)。它具有客觀性、普遍性、必然性、可識別性、可控性等特點。在風險的形成過程中,要涉及到風險因素、風險事故和損失三個方面。
風險因素,是指能夠引起或增加風險事件發生機會或損失的嚴重程度的因素。風險因素可分成三類:(1)物理因素,是指增加風險發生機會或損失嚴重程度的直接條件;(2)道德因素,是指由于個人不誠實或不良企圖,故意使風險事件發生或擴大已發生風險事件的損失程度的因素;(3)心理因素,是指由于人們主觀上的疏忽或過失而導致增加風險事件的機會或擴大了損失嚴重程度的因素。
風險事故,是指在風險管理中直接或間接造成損失的事故,因此可以說它是損失的媒介物。
損失,是指非故意的、非計劃的和非預期的價值的減少,通常以貨幣單位來衡量。損失分為直接損失和間接損失兩種。直接損失是實質性的損失,間接損失則包括額外費用損失、收入損失和責任損失三種。額外費用損失措必須修理或重置而支出的費用;收入損失指由于該設備損毀以至無法生產成品而減少的利潤;責任損失指由于過失或故意致使他人遭受體傷或財產的侵權行為而依法應當擔負的賠償責任。
對于風險因素、風險事故和損失之間的關系,有兩種解釋:一是亨利希(H.W.heinrich)的骨牌理論;二是哈同(W.Haddon)的能量釋放論。他們都認為風險因素引發風險事故,而風險事故導致損失,但側重點不同。前者強調三張骨牌之所以相繼傾倒是由于人的錯誤所致。后者則認為之所以造成損失是由于事物所承受的能量超過其所能容納的能量所致,物理因素起主要作用。
(二)風險管理
風險管理作為一種特殊的管理功能,它是為人類追求安全和幸福的目標,結合前人的經驗和近代的成就而起來的一門新的管理科學。對什么是風險管理,一些學者提出了自己的看法,美國學者克里斯蒂(JamesC.Cristy)認為風險管理是企業或組織為控制偶然損失的風險,以保全所得能力和資產所做的一切努力;另外兩位美國學者威廉斯(C.Arthur Williams.Jr.)和理查德。漢斯(Richard M.Heins)認為,風險管理是通過對風險的鑒定、衡量和控制,以最低的成本使風險所造成的損失控制在最低程度的管理;我國的陳佳貫認為,風險管理是企業通過對潛在意外或損失的識別、衡量和,并在此基礎上進行有效的控制,用最經濟合理的方法處理風險,以實現最大的安全保障的科學管理方法。根據以上風險管理的定義,我們可以得出以下幾點認識:(1)風險管理是一個系統過程,包括風險的識別、衡量和控制等環節;(2)風險管理的目標在于控制和減少損失,提高有關單位或個人的經濟利益或效果;(3)風險管理是一種管理方法。
二、內部審計參與風險管理的動因
內部審計之所以涉足風險管理領域,主要有以下幾個原因:
1、企業面臨的風險日益增大
近年來,隨著社會經濟的發展,特別是經濟全球化及國際化程度的加深,使企業經營環境變得日趨復雜,企業經營風險也大大增加。知識經濟的到來,更使企業的風險雪上加霜。因此,減少企業面臨的風險是組織實現目標的關鍵,也是企業的管理人員十分關心的問題。內部審計的目的在于增加組織的價值和改善組織的經營,內部審計人員是企業的管理咨詢師,因此,內部審計部門和內部審計人員參與企業的風險管理也就順理成章了。
2、內部審計對的渴求
內部審計部門為了不斷地發展,為了在中擔當更重要的角色和發揮更重要的作用,總是不斷尋找新的對企業又十分重要的領域,企業經理人員對風險的空前重視,為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入,將會使內部審計在企業中成為一個重要的角色,并將其在企業中的作用推向一個新水平。正因如此,內部審計師的職業組織——國際內部審計師協會才不遺余力地倡導內部審計師進軍這一領域,把風險管理作為內部審計的重要領域直接寫入了內部審計的定義。
3、內部審計能夠在風險管理中發揮獨特的作用
內部審計在風險管理中的獨特作用有三:
(1)能夠客觀地、從全局的角度管理風險
風險在企業內部具有感染性、傳遞性、不對稱性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而是會傳遞到其他部門,最終可能使整個企業陷入困境。正因為如此,有些部門可能會出現過渡道德風險,因為風險不是由你們來承擔(至少不是單獨承擔),如,采購部門為節約采購成本,就會忽視對材料規格、型號、質量方面的檢查,或者有意購買殘次品,這種暗藏的風險會在生產車間或銷售部門反映出來,最終給企業造成巨大損失。因此對風險的認識和防范、控制需要從全局考慮,而各業務部門又很難做到這一點。
內部審計部門不從事具體業務活動,獨立于業務管理部門,這使得它們可以從全局出發、從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。
(2)控制、指導企業的風險策略
由于內部審計部門處于企業的董事會、總經理和各職能部門之間的位置,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節,內部審計人員可以調控、指導企業的風險管理策略。
(3)內部審計部門的建議更易引起重視
有些企業盡管也有風險管理部門,但它屬于管理部門的一個職能部門,向總經理報告,不具有獨立性,其意見有時會屈服于管理當局的壓力。如風險管理部門對某投資項目后發現風險太大不適合投資,而總經理好大喜功,他會力促項目的實施。這使得風險管理部門的作用受到限制。內部審計部門獨立于管理部門,其風險評估的意見可以直接報給董事會,這會加強管理當局對內部審計部門意見的重視程度。
4、外部審計的
近年來,注冊師的業務領域不斷擴展,在其所擴展的新的保證服務業務中就包括了風險評估,且是主要業務之一。這不能不對內部審計界產生影響,因為,內部審計部門和內部審計人員在風險管理方面擁有注冊會計師無可比擬的優勢,比如:內部審計部門和內部審計人員對企業面臨的風險更了解;內部審計部門和內部審計人員對防范企業風險、實現企業目標有著更強烈的責任感。既然外部審計可以從事此項業務,內部審計就更可以從事這一工作。
三、內部審計如何參與風險管理
與一般的風險管理部門進行的風險管理相比,內部審計部門所進行的風險管理既與其有緊密的聯系,又有區別。他們的聯系表現在,兩者的目的是統一的,都是為了降低企業的風險;兩者的區別在于他們在風險管理中的角色不同。正是上述的聯系和區別,導致了內部審計部門進行的風險管理過程與一般風險管理過程具有相同點和不同點。
內部審計部門所進行的風險管理是在一般部門所進行的風險管理基礎上的再監督,其風險管理過程應包括三個方面:(1)評估風險識別的充分性;(2)評價已有風險衡量的恰當性;(3)評估風險防范措施的充分性,并提出改進措施。
(一)評估風險識別的充分性
所謂風險識別是指對企業所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程,換言之,就是要確定企業正在或將要面臨哪些風險。內部審計部門和人員要對原有的已識別風險是否充分進行評價,即企業所面臨的主要風險是否均已被識別出來,并找出未被識別的主要風險。采用的包括決策分析、可行性分析、統計預測分析、投入產出分析、流程圖分析、資產負債分析、因果分析、損失清單分析、保險調查法和專家調查法等。
(二)評價已有風險衡量的恰當性
風險衡量是指各種管理技術,采用定性與定量相結合的方式,最終定量估計風險大小,找出主要的風險源,并評價風險的可能,以便以此為依據,對風險采取相應對策。內部審計部門和人員要對已有的風險的衡量結果進行再檢驗,以確定其是否信當,對不恰當的估計予以更正。采用的主要有:調查和專家打分法、風險報酬法(又稱調整標準貼現率法)、風險當量法、解析方法、蒙特卡羅模擬方法等。
(三)評估風險防范措施的充分性,并提出改進措施
審計與風險管理范文第2篇
關鍵詞:企業風險;風險管理;內部審計
中圖分類號:F239.45文獻標志碼:A文章編號:1673-291X(2010)25-0078-02
近年來,隨著經濟的發展,特別是全球經濟金融一體化程度的加深,企業面臨的經營環境日趨復雜,企業風險無時不在,無處不在。市場化程度越高,企業風險的表現和影響就越普遍,尤其一些大型企業的管理高層面對企業快速擴張的勢頭,面對多變的市場環境和繁重的經營管理問題,深深感到企業面臨的各種風險也在與日俱增,因此,越來越多的企業開始重視風險管理,也迫切需要內部審計通過一套系統、規范的方法來評價和改進風險管理及控制、治理過程的效果。
一、 企業風險及風險管理概述
1.風險。風險一詞源自西方,是指可能發生的損失、失敗或傷害的意思。它是不以人的意志為轉移的,在一定環境和期限內客觀存在的,導致費用、損失與損害的產生,能夠用科學的定量和定性方法進行的不確定性管理,具有客觀性、普遍性、必然性、可識別性、可控制性和多樣性等特點。
2.風險管理。2004年COSO(Committee Of Sponsoring Organizations OfThe Tread-way Commission)的《企業風險管理――整合框架》認為,企業風險管理是一個過程,它由一個主體的董事會、管理者和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。確切地講,風險管理通過了解企業及其市場情況,辨識風險,分析風險,評估風險,設計并實施風險管理解決方案,并不斷監測風險管理過程而使企業達到其戰略目標。一般情況下,企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等八個方面組成。
二、中國企業風險管理現狀
1.風險管理意識有待進一步增強。長期計劃經濟體制的影響,大部分企業風險意識薄弱,風險管理理念比較陳舊,風險管理意識沒有貫穿到企業全體員工以及經營管理的全過程,沒有積極主動地進行風險管理工作。
2.風險管理體制有待進一步建立。中國現代企業制度還未真正確立,國內大多數企業對風險管理沒有明確的定位,在企業的組織結構設置上未考慮風險管理部門和職能,缺乏專職部門和人員來履行風險管理職責。中國很多企業沒有制定一套科學的、合理的風險管理規劃,因此化解、抵御風險的能力差。
3.外部環境有待進一步完善。目前,中國有關內部控制以及風險管理的指導原則、指引、 規范很多出自不同的政府部門,存在互不兼容的情況。法律法規的不健全,政府的多頭管理,導致企業無所適從,失去了積極性,從而被動執行甚至不執行。
三、內部審計參與企業風險管理的必要性
1.內部審計自身的發展要求。國際內部審計師協會在2004年《內部審計實務標準》中關于內部審計的定義是:“內部審計是一種獨立客觀的保證與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采取系統化、規范化的方法對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現它的目標。”該定義將內部審計的范圍延伸到風險管理和公司治理領域,認為內部審計是針對風險管理、控制及治理過程的有效性進行評價和改善所必需的。這是內部審計部門不斷適應經濟社會發展,在企業中擔當更重要的角色和發揮更重要作用的要求。
2.企業風險管理發展的要求。作為高層次的監督部門,內部審計機構相對獨立,不同于其他風險管理部門,其風險評估意見直接報告給董事會、審計委員會,足以引起管理當局的重視。在現代企業經營管理中,隨著內外部環境的變化,各種風險因素增多,內部審計工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用,因此,內部審計也被賦予了更多的職責和使命。
3.內部審計與風險管理目標的一致性要求。內部審計的目標是為企業增加價值并為提高企業的運營效率。風險管理是采取適當的內部方法,以最低的成本獲得最高的安全保障,將損失降到最低,達到企業效益的最大化。從這個意義上來說,內部審計和風險管理的目標是相一致的。
四、內部審計如何參與企業風險管理
1.內部審計在現有各類審計中發現和反映企業存在的風險,促進企業采取措施進行風險管理。內部審計是在經營管理部門基礎上的再監督,內部審計工作成為企業風險管理的一個組成部分,整個審計工作根植于以未來為導向的風險分析。內部審計人員應就戰略規劃、企業并購、合資經營、戰略聯盟及環境保護等重大問題,建立相應的風險評估模式,強調確認經營風險,并測試這些風險管理政策是否適當,是否得到有效執行。
2.內部審計是防范經營風險,促進企業各項工作規范運行,增加效益的有效保障。通過內部審計,對企業內部控制存在的薄弱環節和經營活動中存在的弊端,及時提出切實可行的建設性措施,增加企業的經濟效益。實施內部審計在防范風險方面的作用表現在:一是通過檢查各項業務活動的合法性及合規性,及時發現背離法規和監管措施的問題,保證業務經營活動在法規和監管措施允許范圍內進行,降低業務經營風險。二是通過對財務數據進行日常監控,及時發現異樣情況,防止財務風險。三是通過評價企業的內部控制制度、管理制度,以及各種章程的合理性、完備性和有效性,找出其中的管理缺陷和控制弱點,防范因缺乏控制而產生的風險。四是全方位、全過程地參與企業管理,特別應加強事前審計和事中審計,真正形成一套對風險的預警系統,時時防范風險的發生。
3.內部審計提供咨詢服務,評價并實施針對風險管理的方法和控制措施。審計還可提供咨詢服務,包括促進對風險的識別和評估、指導和協調風險管理活動、加強對風險的報告、保持和發展風險管理框架、支持建立風險管理、參與制定風險管理戰略等。具體包括進行控制和風險評估培訓,實施企業全員、全過程、全方位、全天候的風險管理;召開控制和風險評估專題討論會,針對重大風險隱患,要集合企業內外部的專家進行專題研討;開發自我評估工具,對風險管理進行深入研究,利用現代技術開發適合本企業的評估工具。
五、內部審計在企業風險管理中存在的困難與問題
1.內部審計的獨立性不夠強。許多企業內部審計機構極不穩定,力量單薄,沒有受到企業領導層的足夠重視,而且內部審計作為企業中的一個職能部門,其人員配置!職務升遷、工作地位等都由本企業領導決定,導致內部審計在組織、工作、經濟等方面都不獨立。
2.內部審計人員本身的素質有待加強。開展風險管理審計,對審計人員的素質要求還是挺高的,涉及的知識面比較多,除了政治素質要求比較高以外,業務上還要學習財務知識以外的更多東西,需具備一定的經營銷售知識,法律知識、企業自身需要運用的管理知識以及控制理論與實踐、風險管理、經濟預警等方面的知識。
六、如何加強內部審計在企業風險管理中存在的問題和困難
1.增強內部審計的獨立性。制定相關的實施細則和行業、部門內審規章制度,從法律上規定內審機構的地位、層次、結構,將內部審計納入法制化軌道,用法律保障內部審計的獨立性。合理設置保證內部審計機構,由企業的最高權力機構領導內部審計機構,有利于保持內部審計獨立性、權威性和高層次地位。
2.提高內審人員素質,建立專業結構合理的審計隊伍。在風險導向階段,內部審計人員必須具有廣博的知識,具有多元化的專業技能,做到訓練有素,審計人員必須注重知識的更新和知識面的擴展,不僅要精通財會、審計知識,還要具有經濟管理、金融、統計、工程技術、法律、信息和計算機等方面的專業知識;要不斷通過后續教育,培養審計人員的專業勝任能力,通過審計實踐,提高審計人員敏銳的洞察力、判斷力和組織協調能力等;要加強內部審計人員的職業道德教育,逐步建立起一支具有現代知識素養和職業道德水準的內部審計隊伍。
除此之外,應結合企業生產技術的特點,增加具備經濟學和企業管理學知識的專家以及其他專業人員,包括內部控制專家、風險管理專家、公司治理專家和信息系統專家,以組成有各方面綜合能力的內部審計項目組,逐步改善內部審計隊伍的專業結構,使內部審計人員的專業結構趨向合理,以適應現代內部審計發展的要求。
參考文獻:
[1]美國COSO制定.企業風險管理――整合框架 [M].方紅星,王宏,譯.大連:東北財經大學出版社,2005.
[2]呂永紅,夏亨峰.中國內部審計獨立性問題探討[J].中國集體經濟:上旬刊,2009,(11).
[3]毛敢杰.關于強化企業內部審計和風險管理的幾點看法[J].科學咨詢導報,2007,(6).
[4]王國盛.企業風險管理和舞弊的防范與檢查[J].中國內部審計,2005,(10):41-42.
[5]徐海根.試論內部審計與風險管理之間的關系[J].會計之友:中旬刊,2009,(12).
[6]宋東紅,朱秀霞.風險管理視角下的內部審計職能探析[J].經濟研究導刊,2009,(31).
[7]范太艷,王彬彬.淺議內部審計的咨詢服務功能[J].網絡財富,2008,(6).
Brief Analysis On Internal Audit and Rsik Management
LIANG Rui-hu
(Audit Hunan Coal Group Co.,Ltd,Changsha 410001,China)
審計與風險管理范文第3篇
(一)企業風險管理框架
美國反虛假財務報告委員會管理組織fcOSO)針對企業界頻繁發生的高層管理人員舞弊現象,頒布了全新的COSO報告,即《企業風險管理――整合框架》(Enterprls-eRiskManagement-Integrated Framework,簡稱ERMl。這個框架是在原《內部控制――整體框架》的基礎上,結合《薩班斯一奧克斯利法案》(Sarbanes-Oxley Act)的相關要求展開研究得到的。根據ERM框架,“全面風險管理是一個過程,這個過程受董事會、管理層和其他人員的影響,這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標”。ERM框架有三個維度:第一維是企業的目標,包括戰略、經營、報告和合規性目標;第二維是全面風險管理要素,包括內部環境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監控等要素;第三維是企業內部各個層次,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是:全面風險管理的各要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從上述方面進行風險管理。企業風險管理是一個過程,企業風險管理的有效性是某一時點的一個狀態或條件。決定一個企業的風險管理是否有效,是基于對風險管理要素設計和執行是否正確的評估基礎上的主觀判斷。企業的風險管理要有效,其設計必須包括所有的要素并得到執行。
(二)我國企業風險管理規范
近年來我國有關部門和很多企業也逐步認識到風險管理對企業經營的重要性,為了指導企業開展全面風險管理工作,進一步提高企業管理水平,增強企業競爭力,促進企業穩步發展,國務院國有資產監督管理委員會2006年6月了《中央企業全面風險管理指引》。該指引指出,全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。財政部、證監會等部門也于2008年5月了《企業內部控制基本規范》。該規范指出,企業應當根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況及時進行風險評估。企業開展風險評估,應當準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。企業應當根據風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。
(三)企業風險分析
風險產生于不確定性因素的存在,企業運行環境的不確定性帶來了企業運行結果的不確定性。企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:(1)企業的戰略風險,是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。(2)企業日常經營管理風險,是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。(3)財務風險。包括籌資風險、資金投放的風險及企業其他財務活動風險。
二、企業風險管理審計的作用
對企業風險管理進行監督和評價是現代內部審計發展的結果,風險管理審計是內部審計的主要職責,分析、確認、揭示關鍵性的經營風險,才是內部審計的焦點。隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。企業進行風險管理審計可以起到以下幾方面的作用:
一是全面識別企業風險,風險在企業內部具有感染性、鑄遞性、不對稱性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承扭,而是會傳遞到其他部門,最終可能使整個企業陷入困境。因此對風險的認識、防范和控制需要從全局考慮,而各業務部門又很難做到這一點。內部審計具有相對的獨立性,受單位主要負責人的直接領導,這就使其可以從全局出發,從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。
二是調控和指導企業的風險策略內部審計部門處于企業量事會、總經理和各職能部門之間的位置,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節,可以調控和指導企業的風險管理策略。
三是內部審計部門的建議更易引起企業領導的重視一些企業盡管設立了風險管理部門,但不具有獨立性,其意見往往會屈服于管理層的壓力,這使得風險管理部門的作用受到一定程度的限制。而內部審計部門獨立于其他管理部門,其風險評估的意見可以直接向董事會匯報,這樣可以加強管理層對內部審計部門意見的重視程度。
三、企業風險管理審計的內容
企業運營狀況審查。確定風險是否像所預計的一樣,能減輕至可接受的程度以及在可控的范圍內,并確定審核程序可以有效且低成本運作。監督和評價一個部門內的業務流程是否存在風險,或者一個流程能夠同時對諸多部門同時進行管理。
企業信息系統風險審查。內部審計人員參與系統開發及方案制訂,尤其關注流程的改進、數據傳遞、系統的執行計劃及測試計劃。對應用系統執行前及執行后的狀況進行評估。對信息安全問題進行評估。
遵從國家法規政策審查。對企業的各項經營活動進行全面分析和評估。通過評估并糾正程序,確保遵守國家相關法律及政策。
風險管理流程控制審查。為實現企業經營目標,評估現行流程,保證其對可能事件與可能情況能進行有效識別、評估、管理和控制。協助風險管理機構落實有關措施。
風險應對措施適當性和有效性審查。內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。內部審計人員在評價風險應對措施的適當性和有效性時,應當考慮以下因素:采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內;采取的風險應對措施是否適合本組織的經營、管理特點;成本效益的考核與衡量等。
審計與風險管理范文第4篇
風險管理是指識別風險并設計控制風險的方法,其核心是將沒有預計到的未來事項的影響控制在最低程度。對風險管理,首先,要求在組織中發現那些高風險暴露的領域,對高風險暴露點的識別要通過對組織的分析進行,這種分析既包括審計人員客觀的測試,也包括主觀的判斷。其次,將分析的結果與認為可接受的風險水平相比較。最后,實施必要的變革,使組織的風險暴露水平與其所設定的目標相一致。風險管理所涉及的范圍是十分廣泛的,包括投資風險管理、外匯風險管理、利率風險管理、商品價格風險管理等。
二、風險管理是公司治理的核心
1、公司治理的概念。公司治理,從狹義的角度進行理解,是指所有者主要是股東對經營者的一種監督與制衡機制。即通過一種制度安排,來合理地配置所有者與經營者之間的權利與責任關系。若從廣義角度進行理解,是指包含法律、文化等在內的有關企業控制權和剩余索取權分配的一整套制度安排,其決定企業目標的實現。
從主要功能上來說,公司治理的范圍可以包括:股東、董事會——決策者;管理階層——執行者;審計人員(包括內部審計人員及外部審計人員)——監督者;其他利益關系人(例如:顧客、供應商、債權人及員工等)——影響者等。從這個角度來講,內部審計人員應該在公司治理中占有一席之地。因為溝通公司治理各功能主體的重要工具就是會計信息系統。因此,會計信息系統本身是公司治理結構的組成部分,而且會計信息更嚴重地制約和影響著公司治理結構中其他制度安排效用的高低。會計信息系統提供的會計信息的真實可靠是內外部激勵機制正常運行的前提條件,而有效的審計監督制度是確保這一前提條件實現的關鍵。外部審計對公司財務報表進行審計,并對其公允性發表審計意見,從而起到增強會計信息可信性的作用。而內部審計處于公司內部,對于公司內部控制、管理經營活動、風險管理都有透徹深入的了解,與外部審計人員相比,內部審計對公司治理發揮的作用在層面上更為深入,在范圍上更為廣泛。
2、公司治理的核心是風險管理。在上述公司治理定義中,我們可以看到,公司治理這一制度安排所決定的企業目標、決策人及風險和收益的分配都圍繞風險展開;風險直接影響目標的實現;而決策人對風險的控制和管理直接決定目標是否能夠實現及實現的程度;治理結構中各部分的人員需要承擔所分配的一定風險并獲得相應的收益。另外,從解釋公司治理問題產生的經濟學觀點來看,無論是契約理論中提及的不完備契約,還是信息經濟學中提及的信息不對稱,以及理論中提及的問題,這些引發公司治理產生的因素究其實質都屬于風險,都是使企業目標無法實現的各種潛在的、可能發生的事件。公司治理是組織應對風險的戰略反應,其職責核心就是確保有效的風險管理方案的適當性,因此公司治理中包含一些戰略性的風險管理的因素。例如:公司董事會所設定的公司經營管理基調是風險偏好型或是風險規避型;再如公司高層管理當局(CEO)在經營風格、理念、管理哲學中包含的風險態度等。這些戰略性風險管理因素就是公司治理與風險管理的交匯點。因此,風險管理是公司治理的核心。
三、內部審計作為內部控制的重要部分,與風險管理密不可分
1、內部控制與風險管理的聯系日趨緊密。在決定內部控制政策,并在此基礎上評估特定環境中內部控制的構成時,董事會應對諸多風險管理問題進行深入思考。比如:公司面臨風險的性質和程度;公司可承受風險的程度和類型;風險發生的可能性;公司減少事故的能力及對已發生風險的影響;實施特殊風險控制的成本,以及從相關風險管理中獲取的利益。執行風險控制政策是管理層的職責,在履行其職責的過程中,管理層應確認、評價公司所面臨的風險,并執行董事會所設計、運行的內部控制政策。
2、內部審計理論的新發展。順應內部審計理論及實務的變化,國際內部審計師協會(IIA)在1999年對內部審計重新定義,即“內部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統的、專業的方法對風險管理、控制及治理過程的有效性進行評價和改善,幫助組織實現其目標。”這一新定義將內部審計的范圍延伸到風險管理和公司治理,認為內部審計是針對風險管理、控制及治理過程的有效性進行評價和改善所必需的。
3、風險管理是內部審計的主要職責。隨著風險管理導向內部控制時代的來臨,內部審計的工作重點也發生了變化,現代內部審計除了關注傳統的內部控制之外,更加關注有效的風險管理機制和健全的公司治理結構。在風險導向內部審計的觀念下,年度審計計劃與公司最高層的風險戰略連接在一起,內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致,使用風險管理原則改變審核過程。風險管理成為組織中的關鍵流程,促使內部審計的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。在風險導向的內部審計中,控制仍然重要,但分析、確認、揭示關鍵性的經營風險,才是內部審計的焦點。
內部審計作為內部控制的重要組成部分,其在風險管理中發揮不可替代的獨特作用,主要有以下幾方面:(1)能夠客觀地、從全局的角度管理風險。風險在企業內部具有感染性、傳遞性、不對稱性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而會傳遞到其他部門,最終可能使整個企業陷入困境。因此對風險的認識、防范和控制需要從全局考慮,而各業務部門又很難做到這一點。內部審計人員不從事具體業務活動,獨立于業務管理部門,這使得他們可以從全局出發、從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。(2)控制、指導企業的風險策略。由于內部審計部門處于企業的董事會、總經理與各職能部門之間,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期計劃的調節,內部審計人員可以調控、指導企業的風險管理策略。(3)內部審計部門的建議更易引起重視。內部審計部門獨立于管理部門,其風險評估的意見可以直接上報給董事會,這會加強管理當局對內部審計部門意見的重視程度。
四、在風險管理目標下,公司治理與內部審計的整合
美國一個專門研究內部控制的發起人企業委員會(COSO)于2001年起著手進行企業風險管理研究,并力圖建立一個類似于內部控制框架的、具有理論與實踐意義的風險管理框架,其在為企業風險管理研究項目制定的目標中明確指出:風險管理框架必須和內部控制框架相協調,把控制目標的建立嵌入到某種形式的風險管理過程中去。而在內部控制方面,將領域擴展到控制環境等“軟控制”要素上時,就決定了公司治理與內部控制的相互交匯。在COSO報告的內部控制定義中,特別提出“內部控制過程受組織的董事會、管理層和其他人員影響”,由此可見“軟控制”因素對組織內部控制的影響是深遠的。而內部控制對公司治理的影響也是巨大的。內部控制為組織的經營目標、財務目標及遵循性目標的實現提供合理保證,同樣為公司治理機制的運行提供了保障。良好的內部控制有助于完善契約,減輕信息不對稱的影響,并對人形成一定的控制約束,因此從一定程度上說,內部控制與公司治理的相關內容可以整合一致。而作為內部控制重要組成部分的內部審計,也不可避免地在風險管理的基礎上,與公司治理的目標交匯。
在新的內部審計范式下,內部審計參與到公司治理與風險管理中,幫助組織發現并評價重要的風險因素,促進組織改進風險管理體系;評價并改進組織的治理程序,為組織的治理做貢獻;同時繼續原有的對控制效率和效果的評價作用,幫助組織保持有效的控制。此時的內部審計人員是風險專家,通過對風險的把握來評價公司治理及內部控制,并促進公司治理和內部控制的改善,從而實現對風險的掌握與駕馭。在風險管理這一統一的核心下,公司治理與內部控制實現了一定程度的整合,為組織增加了價值;同樣,在風險管理這一統一的核心下,內部審計與公司治理實現了整合。在公司治理中,內部審計發揮著越來越重要的作用。
鑒于內部審計在確保公司內部控制制度有效運轉及管理和控制風險等方面的獨特作用,
審計與風險管理范文第5篇
關鍵詞:內部審計 企業風險管理
現階段,我國的社會經濟發展已經逐漸步入了“新常態”,從增長速度上來看,已經從高速增長轉變為了中高速增長;從發展方式層面出發,已經從依靠資源要素以及投資驅動轉變為了創新驅動。目前的經濟發展“新常態”促進了企業管理工作的“新常態”,內部審計作為現代企業管理的重要組成部分,應找準與現代企業管理的結合點,積極主動適應經濟發展新常態。隨著內外部環境變化,企業經營環境變得日趨復雜,各種風險日益增多,正確認識風險和風險管理的意義,尋找風險管理的有效途徑,幫助企業及時、有效地預防和應對風險,是推進內部審計工作創新發展的途徑之一。本文從內部審計參與企業風險管理的意義出發,指出內部審計參與企業風險管理的途徑和方法,并進一步探討了內部審計與風險管理結合在企業中的應用和實踐。
一、企業風險管理的概念
2004年9月,美國COSO委員會在《內部控制整合框架》的基礎上擴展形成了《企業風險管理整合框架》(COSO-ERM),為現代化企業風險管理工作提供了一個相對全面的指南。基于COSO框架,企業風險管理主要是由企業中的董事會、管理人員以及其他工作人員在計劃方案制定的時候以及在整個企業中實施的、用于識別可能影響組織的潛在事件并根據風險偏好管理風險,為組織目標的實現提供合理保證的過程。
二、內部審計參與企業風險管理的意義
從企業內部管理來看,內部審計是企業風險管理中的關鍵性組成部分,充分發揮著提升風險管理水平的重任;從內部審計發展進程來看,參與企業風險管理逐漸發展為內部審計工作的專業化發展方向與業務拓展的主戰場。此外,內部審計工作作為企業內部有著相對超脫以及獨立身份的專業化機構,能以更加全面、深刻和專業的視角仔細觀察分析以及評價企業發展期間所面臨的多種內部風險因素與外部風險因素。內部審計可以充當現代化企業風險控制管理的最后屏障,發揮安全網的作用。具體來說,內部審計不僅能夠憑借監督身份實施獨立性企業風險評估,而且還能夠憑借服務職能上的優勢全面參與到相應的風險管理建設中去,最終實現內部審計工作健康發展以及大膽創新,從根本上提升審計地位。此外,風險管理方面的專業化理論與實踐的發展同樣可以促進企業內部審計在價值層面的保值增值,創造更大的業務空間以及發展平臺,實現內部審計逐漸從傳統財務向非財務領域的科學化過渡發展。
三、內部審計參與企業風險管理的途徑和方法
(一)協調組織風險管理決策
內部審計在企業中具有的獨特組織地位,大多數企業的內部審計分布于各個組織系統和各個基層單位的內部,對企業的業務接觸全面,能夠在企業企業風險管理以及改進等環節發揮組織協調的作用。其次,內部審計人員跟其他具體的業務職能人員相比,更能避免逆向利益驅動、環境影響、反道德行為等可能導致風險管理失效或不徹底等情況的發生,有助于其發表專業、客觀的意見,協助設計和實施企業風險管理。再次,內部審計可以協助企業中的不同部門對各種風險進行不斷完善,制定出合理化的處置方案,致力于優化企業的風險應對措施,日益完善風險防范管理方案,從根本上減少由于風險而造成的企業損失。但是,內部審計執行協調角色職能時,應避免承擔相應的管理職責,且不能因協調業務而損害其獨立性。
(二)提供咨詢服務
內部審計針對企業風險管理開展咨詢業務的深入程度取決于企業風險管理的成熟度。當企業尚未建立全面風險管理框架時,內部審計應該作為企業風險管理的推動者,將企業風險管理的意識引入到企業文化當中,從而使每個崗位上的員工都形成風險意識。當企業逐步建立全面風險管理框架時,內部審計人員應充分發揮自身具備的全局視野和專業技能,適時根據企業戰略目標、經營策略的調整以及自身財務知識結構、所處外部經濟環境的變化,不間斷地改進和完善企業風險管控的組織結構和業務流程,使之能持續符合企業的風險承受能力,為企業長期發展保駕護航。此外,需要引起注意的是,當內部審計機構開展咨詢服務工作的時候,必須要充分考慮自身的專業化勝任能力。具體來說,內部審計的相關工作人員必須要有著相對較強的風險管理知識以及操作技能,而且應經過專業化培訓教育,可以清楚了解風險識別情況、風險評估情況、風險監控情況等。
(三)評價企業風險管理過程
內部審計應從以下幾個方面對企業風險管理過程進行評價:一是評價企業風險管理組織結構是否充分、適當和有效,對于其設計和運行存在的缺陷和不足提出針對性改進措施,充分發揮內部審計的咨詢職能,使風險管理組織結構更具有合理性。二是在熟悉企業戰略目標和經營業務的基礎上,針對不同項具體評價其風險識別是否全面,風險等級劃分是否合理。
(四)跟蹤風險控制活動
從實際操作來說, 企業風險管理框架的執行遠比框架的設計重要,一個設計完美的管理框架可能因判斷錯誤、執行人的勝任能力和內外部境變化等因素而失去其應有的作用。因此,內部審計人員應當對風險所處環境及其他相關因素開展持續性監測和分析,動態關注企業風險監控體系是否健全及執行效果,也可以通過對內部審計揭示披露風險或問題的處理情況開展后續跟蹤檢查,檢查所實行的控制措施是否及時有效或產生新的風險,并將檢查結果及建議提供給企業管理層以便改進風險控制措施。
四、內部審計與企業風險管理結合在企業的應用和實踐
根據國資委《中央企業全面風險管理指引》以及《關于2012年中央企業開展全面風險管理工作有關事項的通知》要求,中國鐵路總公司及其所屬鐵路局已經在探索如何將內部審計與企業風險管理進行有益的結合,并針對高風險領域及管理層關注的問題開展了一系列專項審計和調查,提高了內審的效率和效果,也證明了與企業風險管理的整合是內部審計發展的主要方向之一。例如,中國鐵路總公司對鐵路基建項目建設情況進行跟蹤審計,就工程的立項、預算、招標、合同、實施、驗工計價、驗收、竣算、付款等各環節進行審計,對發現的問題及時提出管理建議并協助整改,保證了工程項目優質高效快速的建成;南昌鐵路局內部審計部門根據與企業風險管理戰略目標匹配的業務重點,開展了全局非運輸企業物資貿易經營風險防控管理情況、職工保障性住房建設資金管理情況等專項審計,為管理層的后續決策提供了依據,促進了企業風險管理的持續改進。這些專項審計和調查對現階段國有企業內部審計工作的開展無疑有著很好的示范作用,但是鐵路企業因其特殊的歷史原因和體制問題,長期以來將安全風險管理作為企業風險管理的主要目標,缺乏將戰略風險、財務風險、市場風險、運營風險和法律風險整合的全面風險管理體系,還處于風險管理的初級階段,不夠系統和規范。筆者嘗試根據企業風險管理流程,設計了風險管理基礎審計的一般程序,希望能起到拋磚引玉的作用。
(一)計劃階段
內部審計部門制定年度審計計劃時,應對識別出的風險事件評估后進行風險排序,確定審計先后次序。審計計劃制定后并非一成不變,當管理層的目標、方針和關注點發生變化時,應對審計計劃進行適時調整,重新分配審計資源。其次,在執行審計業務計劃的過程中,如果出現內部審計資源不足或審計范圍受到限制的情況,內部審計部門負責人應及時向企業管理層報告,以避免無法獲取充分、適當的審計證據,導致審計結果出現偏差。
(二)準備階段
風險管理審計的準備階段是進行風險管理審計的基礎,這一階段所需進行的準備工作主要包括:了解企業的風險偏好和戰略目標、業務層面目標的風險承受度;在審計業務范圍內實施初步調查后,確定審計目標和審計領域相關風險、控制程度及可利用的內審資源;審計方法的選擇等。
(三)實施階段
1、根據審計范圍選取合適的風險評價標準
內部審計人員在選取風險評價標準時,應考慮該風險評價標準是否符合被審計單位的實際情況;是否涵蓋大部分的風險領域;風險特征是否鮮明清晰,對環境的變化是否具有彈性。
2、對審計范圍內的風險進行分析和評價
內部審計人員結合企業經營戰略制定和部署,采取定量分析與定性分析相結合的方法對風險實施綜合性評估。通常情況下,風險評估坐標圖屬于相對常見的分析方法,屬于定性分析法,主要是借助對風險帶來影響大小的反映,將此結論與風險可能出現的情況進行密切關聯,從根本上為明確業務風險次序提供合理化框架。定量分析方法則可以通過采集足夠多的風險樣本,利用專業工具和技術建立概率模型量化風險來確定風險評級;再按照初始設定的影響程度和可能性估值,計算風險評分,將評分較高的風險列作主要風險,評分較低的風險列作次要風險,然后對風險進行優先次序的排列。
3、對風險應對措施進行評價
在確定了風險的范圍、發生的可能性、可能造成的損失等因素后,是否正確地選擇了風險應對策略,最大限度地降風險是內部審計人員的重點關注點。風險應對策略一般來說有規避、控制、轉移、承受四種,每種策略的使用是有條件的,否則將認為措施不當。內部審計人員應結合被審計單位的風險偏好、企業所處的環境特征、風險程度以及企業管理人員的經驗等,來判斷企業風險應對措施選取是否適當。
4、對風險管理框架進行評價
內部審計部門應在眾多單項風險評估的基礎上,評價企業風險管理框架的充分性和運行的有效性。包括:評價風險控制體系所具有的有效性特點,也就是說風險控制體系的應用是否可以獲得相應的預期效果,最終實現預期的實際控制目標;科學評價風險控制體系是否存在重大差異和缺陷,發現后是否及時進行了糾正或改進。
(四)報告階段
風險管理審計報告就是內部審計的工作人員針對審計過程中所發現的相應風險水平以及對于組織目標所產生的影響作出的評價結論和控制過程評價報告,除具備內部審計報告的要素外,還應簡明易懂、有建設性意見。可以三種形式發表評價結論:一是無保留意見,即經過審計沒有發現風險管理體系存在普遍的相對嚴重的薄弱環節;二是保留意見,也就是審計可以發現風險管理體系當中存在的相關管理漏洞或者是薄弱環節,然而整體上是不至于失效的;三是否定意見,也就是風險管理體系有重大漏洞或嚴重的薄弱環節,風險管理體系整體上作用很小甚至失效。
(五)審計后續階段
內部審計部門應對審計結果進行跟蹤檢查,監督管理層已采取有效措施,確保審計建議能夠得到有效落實;或管理層針對審計中發現的問題,決定接受不采取行動所帶來的風險。
參考文獻:
[1]內部審計在治理、風險和控制中的作用[M].西苑出版社,2008年
[2]中央企業全面風險管理指引,2004年
