风险管理与内部审计

摘 要:风险管理在国际上已成为内部审计的重要领域.我国企业普遍存在风险管理观念淡薄,内部审计尚处于账项基础审计阶段.为提高我国企业风险管理水平,实现我国内部审计的发展,本文在梳理和分析我国理论界和实务界对风险管理审计认识的基础上,提出我国实施风险管理审计存在的问题,最后探讨了相应的解决方法.

关 键 词:风险;风险管理;内部审计

中图分类号:F830文献标识码:A文章编号:1672-3309(2008)0203-0055-05

一、引言

自从英国巴林银行、美国安然公司、世通公司等相继暴露出财务丑闻后,更多人意识到,公司治理的问题很多出自高层管理者、总经理身上,董事会质疑能力薄弱;管理当局在风险管理方面没有能做到预先防范,风险的控制严重失效.除了对管理层的质疑外,内部审计没有能做到及时评估及改善组织风险管理、控制及治理相关流程,其在组织中的作用也受到了质疑.美国在很短时间内出台的萨班斯法案指出,董事会、高层管理者、外部审计师和内部审计师作为有效公司治理的基石,成为展开公司治理、内部控制必须职责的重要组成部分;COSO组织在2004年发布了《企业风险管理框架》,表明从内部控制走向全面风险管理是必然趋势.IIA针对其发布的以《全面风险管理的内部审计角色》为题的职位说明书指出,为风险管理提供保证、确保风险得到正确评估、评价风险管理流程等是内部审计须具有的核心职能.

在我国,随着中行、建行等国有银行多次重大的贷款舞弊以及新加坡中航油破产案件的发生,如何加强中国企业的全面风险管理也成为国人关注的热点.我国内部审计协会于2005年3月发布了《内部审计具体准则第16号――风险管理审计》,于2005年5月1日起施行.国务院国资委2006年6月20日公布了《企业全面风险管理指引》.上证所和深交所与2006年6月及9月份分别公布了《上市公司内部控制指引》,从而明确了内部控制在公司治理中的地位.从规章制度出台的紧凑程度看,我国在制度的层面上已经开始重视风险管理对企业的作用.但是目前的情况是大多数企业未设专门的风险管理机构及人员;企业内部审计主要属于财务导向内部审计,管理审计包括风险管理审计尚未与公司治理相结合,成为公司治理的有机部分.

二、风险、风险管理与风险管理审计

对风险有开拓性研究的是美国经济学家弗兰克奈特,他在1921年出版的《风险,不确定性和利润》中对风险作了经典的定义――“可测定的不确定性”.即把可以估计概率的不确定性称为风险.但在本文所论述的风险管理中不对风险和不确定性进行区分,这是由于无论是可测定的风险还是不可测定的不确定性都与企业损失的可能性相关联,都会引起经营决策者对风险进行管理的动机,因此将风险定义为:损失的不确定性.而企业风险管理是指企业通过对潜在的意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大安全保障的科学管理方法.风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学.美国学者克里斯蒂(JamesCCristy)认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯(C.ArthurWilliamsJr.)和理查德汉斯(RichardMHeins)认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国的陈佳贵认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法.根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法.

企业风险管理的实践和理论起始于20世纪30年代的美国保险业,在20世纪50年代后美国工商企业界发展成为一门管理科学.随着经济技术的迅速发展,到20世纪70年代后,逐渐传播到欧洲、日本及其它地区,兴起了全球性的风险管理运动.至20世纪90年代,发达国家风险管理已普及到许多企业,企业增设了风险管理机构,专门配备风险管理经理、风险管理顾问,由他们负责企业的风险识别、风险测定和风险处理等工作.经济学家彼得F德鲁克曾说过,保险和风险管理对促进西方世界经济进步所起的作用与企业和商业起到的作用同等重要.在经营实践中,企业风险管理的好坏对企业的稳健成长至关重要,始终决定企业的生死存亡.风险管理理论于20世纪80年代中期被介绍到我国,首先在金融企业得到运用和发展,但尚未受到其它企业的运用和重视.我国的巨人、爱多、三株等公司,它们陷入困境的原因虽然千差万别,但企业内部缺乏风险管理的专业人员和职能部门,对风险认识不足、管理不力,则是它们受困的重要原因.随着我国加入WTO,企业面临着更加激烈的竞争环境,但是目前我国大多数企业未设专门的风险管理机构及人员.

风险管理审计始于20世纪末21世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点.以毕马威为代表的国际大会计事务所联合学术界对审计基本方法进行研究,开发出风险管理审计,这是一种新的审计模式,也有学者称之为风险审计或现代风险导向审计.它不仅关注传统的内部控制,而且更加关注有效的风险管理机制.内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致.

从国际上看,风险管理成为企业组织中的关键流程,促使内部审计的工作重点不再是测试控制,而是确认风险及测试管理风险的方法.顺应于内部审计理论及实务的变化,在1999年IIA对内部审计做出了一个具有变革意义的新定义:“内部审计是一种独立、客观的确认与咨询活动,它的目的是为组织增加价值并提高组织的运营效率.它通过采取系统化、规范化的方法,评价风险管理、风险控制及其治理程序,提高它们的效率,从而帮助实现组织的目标.”2001年的IIA修订版《内部审计实务标准》对内部审计的界定是:“内部审计是一种独立、客观的保证与咨询活动;其目的是为机构增加价值并提高机构的运作效率,它采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标”.2004年IIA重新修订的《国际内部审计专业实务标准》中规定内部审计是“一种独立、客观的确认和咨询活动,在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”.从对2004年与2001年的定义比较可以看出,审计的工作范围扩大为“评价和改进风险管理、控制和治理过程的效果”,反映了内部审计的发展趋势和客观要求 .IIA多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务.

原安达信公司专业人士保罗J索贝尔,在其于2003年所著的《审计人员风险管理指南:审计与企业风险管理的结合》一书中的概括,现代审计方法在过去50年中经历了四大阶段,其分别是:控制基础审计;流程基础审计;风险基础审计(又称风险导向审计);风险管理基础审计,又称风险管理审计.书中对风险管理的涵义归纳为:风险管理审计可以说是风险基础审计的一种延伸,其基本吸收了风险审计各种特点,只是在此基础上扩大审计关注点到企业的主要战略目标(keybusinessobjectives),管理层对风险的容忍度,主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度.而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化(optimizingkeyrisk),如企业对哪些固有风险可以实行避免,转移或接受并予以控制的风险管理策略.因此,对企业而言,风险管理审计本身已经成为企业整体风险管理的重要组成要素.他认为,风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更进一步地从审计师及企业管理层双方面确保审计资源的分配及审计的有效性.

三、我国实施风险管理审计存在的问题

尽管中国内部审计职业规范体系的框架已基本建立,有些企业在内部审计实务中也已运用西方先进内部审计理论、方法和技术,但是我国大多数企业的内部审计依然存在问题.

(一)审计职业人员的学历层次较低

我国从事内部审计职业人员的学历层次整体不高,审计人员的学历和专业构成了内部审计机构的整体素质.现在我国从事内部审计的人员中研究生的比例为1.1%,本科生为15.56%,大专生为73.89%.这相对于我国整体国民教育情况来看,还是比较高的.但是内部审计人员中真正具有正规院校审计、会计专业的大学本科学历的较少.虽然,有一部分人通过自己刻苦学习审计理论业务,确有一定的真才实学,但也有为数不少的人员,尽管从事审计工作很多年,但审计理论水平、业务技能很一般,对于下基层审计时,不能很好胜任工作,提出问题不能切中要害,使审计工作失去威慑力.

(二)内部审计机构中专业构成单一

在西方发达国家一般认为内部审计人员的理想构成:经济管理专业占1/3,工程技术专业的占1/3,其他专业的占1/3;从我国内部审计人员的专业结构来看:会计(审计)学专业占绝对统治地位大约在70%左右,工程技术专业、法律专业等其他专业比例很小,从现代内部审计的观点来看,这样的专业构成极为不合理.因为这种人员构成只能够适应开展财务审计和其他以企业的会计资料为基础的审计咨询服务,不能适应审计日益发展和扩大的择业范围.结果是限制了内部审计的工作范围,影响了内部审计职能全面发挥.

(三)内部审计机构缺乏独立性

在国际内部审计师协会发布的《内部审计实务标准》中指出:审计委员会是负责监督机构的审计和控制工作的治理层.评估内审工作是否与最先进的实务保持一致、负责起草日程安排、“审计委员会考核和定期以及评价审计人员的业绩.”内部审计委员会关系到内部审计机构及其人员的独立性问题.所以,内部审计委员会是内部审计工作是否独立的首要屏障.而内部审计委员会的人员构成则是其发挥作用的关键所在.当前,我国内部审计委员会构成层次过于单一,人员之间没有相互制约关系.内部审计委员会人员构成多由企业内部管理层或是大股东把持,没有体现多元治理的理念.所以,审计委员会虽然在上市公司内部已经开展起来,但多是流于形式,没有起到应有的作用.

(四)内部审计人员缺少完整的独立性

内部审计人员作为单位的一名成员,他们的工作、工资、其它福利等受本单位企业有关负责人的支配,这就使得内部审计人员在履行其监督和评价职能时有很多的顾虑,当企业领导授权、批准的经营行为违反有关法律法规,或不符合经济效益原则时,内部审计人员出于自身的利益考虑,往往表现得无能为力,影响了内部审计人员的独立性.而且,目前内部审计机构中的审计人员很大一部分由会计或管理人员兼任,这种状况导致内部审计人员在制定审计计划、实施审计程序、出具审计报告时往往受到各方面利益的牵制,难以开展独立的审计活动.另外,由于领导的重视程度不够,内部审计被不切实际的精简,人员队伍不稳定,从而使内部审计人员认为在审计部门的前途缺乏信心,严重影响了内部审计人员的独立性.

(五)相应的规章制度不详尽

我国内部审计协会于2005年3月发布了《内部审计具体准则第16号――风险管理审计》,于2005年5月1日起施行.不足的是,该准则仅阐述了风险管理审计的一般原则及对风险管理进行审查和评价的具体准则,怎么实行,如何实行均未给出详细指导.这对于想实施风险管理审计的企业来说,没有较强的指导作用,也不利于其推行.

四、相应的解决建议

明确我国内部审计的定位

作为现代审计体系的两大组成部分――独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物.目前,企业内部都设置了专门的机构和人员实施内部审计.但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的.由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差.

企业内部审计定位的偏差,产生了一系列不良后果,导致内部审计缺乏独立性.内部审计地位不明确,而且内部审计工作范围往往局限于财务审计,重在进行财务收支的合法性与合规性审计;在人员配置上,较少重视自身发展的内在要求,行政配置较多,造成人员素质较差,结构不合理.所有这些都严重阻碍了内部审计职能的有效发挥,甚至直接影响了内部审计的发展.我国加入WTO已有几年,内部审计的发展无论是从与国际内部审计接轨,还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲,我国的内部审计事业都面临着大的挑战.而目前最关键的是内部审计的定位尚未明确,只有搞好定位,一系列问题才能得以解决,才能应对国际内部审计和惯例要求的挑战.

(二)高度重视国际内部审计的发展对我国内部审计的影响

中国已经加入WTO,加入到世界的经济链竞争中,因此,企业效益全靠自身努力,在企业竞争中效益不好的就会破产倒闭,竞争的风险不断扩大,从而促使企业经营者重视内部审计的参与作用.为适合企业这一需要,我国内部审计的中心也需要从以内部评审为中心转向以风险管理为中心.我国内部审计参与风险管理,首先需要帮助企业建立起风险管理系统,包括帮助企业建立和健全风险管理组织并就企业经营管理的各个环节制定相应风险管理规章制度.在此基础上,通过对企业风险管理组织活动的评价和监督,帮助企业不断完善其风险管理系统.同时,内部审计要不断识别企业的风险并制定管理措施,这就使得内部审计的服务延伸到企业经营过程中的任何一个领域并以风险管理为中心开展业务活动,如财务风险审计、经营风险审计、生产风险审计、信息系统风险审计等.

对我国内部审计组织及人员提出更高要求

首先,加强职业组织的引导.中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理,积极介绍国际上内部审计参与风险管理的经验和案例,提供可资借鉴和参考 的基础;积极制定与参与风险管理有关的准则和指南,以指导内部审计有效地介入风险管理,促进和推进内部审计人员的国际交流,选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习.

其次,内部审计的根本出路在于其模式由“监督”向“服务”的转变.内部审计人员首要的身份应该是企业的顾问,而不是.内部审计工作只有给企业带来价值才有意义,才能被企业领导所重视.由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路.“服务”导向性内部审计只能侧重于服务,内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外,更重要的任务是针对管理和控制的缺陷提出建设性意见和改进措施,协助管理人员更有效地管理和控制各类活动,合理使用资源,以提高经济效益,增加企业的价值.


最后,改善内部审计人员的知识结构,提高其胜任能力,是内部审计实现参与风险管理的关键所在.目前我国内部审计人员知识结构比较单一,严重缺乏风险管理方面的知识,要有效地协助企业进行风险管理,必须改善他们现有的知识结构.通过风险管理的培训,增加内部审计人员的风险管理知识,提高其专业胜任能力.

五、结语

风险与风险管理,已成为现代企业经营管理的现实.风险是一种存在危险的可能性,但也是一种机会.企业最高经营者必须面对现实,重视风险,把风险管理视为日常营运的一部分.内部审计介入风险管理,无论是从国际还是我国来说都是一个新的事物.如何使内部审计能够更有力地在风险管理中发挥作用,则是需要进一步探讨与研究的课题.

(责任编辑:吴之铭)

类似论文

公路运输行业风险管理与内部控制

摘 要:本文描述了国内外关于内部控制与风险管理的研究现状,对公路运输企业内部控制环境缺陷及风险管理进行了分析,对其风险管。
更新日期:2024-10-7 浏览量:19581 点赞量:5796

企业财务风险管理与内部控制

中图分类号:F275 文献标识:A 文章编号:1009-4202(2012)11-000-02摘 要 由于财务风险存在的客观必。
更新日期:2024-6-26 浏览量:82823 点赞量:18470

IT环境下企业风险管理与内部会计控制

摘 要:IT环境下企业风险管理与内部会计控制的关系极为密切,企业内部会计控制出现了新的特点,本文从内部会计控制௚。
更新日期:2024-1-4 浏览量:8818 点赞量:3808

内部审计视角下我国企业风险管理审计

摘 要:实施风险管理审计不仅有助于提高企业的风险管理能力,从而使企业可以更好地应对其内外部环境剧烈变化所带。
更新日期:2024-9-4 浏览量:18876 点赞量:5915

内部审计职能转变中风险管理审计

摘 要:当前很多大中型企业在经营管理上采用全面风险管理的模式,而作为审计部门来讲,也应针对企业&。
更新日期:2024-2-26 浏览量:34333 点赞量:8826