内部审计风险管理范例(3篇)
内部审计风险管理范文
关键词:会计风险管理工作;方法;内部审计
伴随着全球经济化的趋势,世界经济呈现出多元化的发展趋势,我国企业面临的外部风险和内部风险愈来愈多。要使得企业在国际全球化的趋势中能够有一席之地,就应该做好企业的风险预算工作,深入加强企业内部审计工作和风险预算工作,才能够促进企业的发展,从而使得企业能够可持续的健康发展。但是企业在做会计风险管理工作过程中存在许多不确定因素导致的问题,这就需要企业做好风险管理工作,需要提出切实有效的解救方法,从而使得企业的风险管理水平和效率提高,最终使得企业更好更快发展。
一、企业内部会计审计风险管理
(一)风险识别
在企业的会计审计风险管理工作的过程中,首先要做的是正确清晰认识企业内部会计风险。一般而言,企业内部的审计工作人员主要的审计工作重点是企业财务与运营情况的真实有效性,资源浪费程度风险,国家政策执行情况,企业固有资产流失现象。与此同时,在企业审计工作的具体进行过程中,应该做到这些方面,企业内部体系现状的实时更新,经济发展过程中企业新发现的风险情况,企业实际审计过程中情况分析,在做好的基础上再具体结合企业的实际情况,提出适合自身企业的有效措施。这样便可以在企业内部审计风险管理工作的进行中,发现遇到的情况并针对该情况做出合理的解决。
(二)企业内部合理管理
企业在运营过程中,企业内部审计风险部门具有一定的协调管理功能,在企业内部审计工作和内部风险管理过程中发挥重要的作用。一方面的作用体现在企业内部审计部门站在专业的角度分析,能够客观的对企业内部管理工作提出更好的建议,并提出具体的预防措施和整改方向,另一方面,通过对企业内部的发展方向的企业内部风险管理状态的分析,来促进企业内部审计管理工作的进一步完善。在企业的各个部门中,内部审计部门能够降低企业的投资风险和做好企业内部的协调发展工作。
(三)企业管理咨询工作
在企业对内部审计工作进行过程中,也需要做好会计风险管理方面的工作,企业内部审计部门通过对企业的发展进行全面和系统的认识,来落实企业内部员工的具体工作。因此,企业内部审计部门拥有特殊的咨询服务功能,能够对内部风险管理工作进行整改,并提出切实有效的风险方法。
二、企业内部审计会计风险管理存在的问题
(一)不完善的内部审计体制
在做企业内部审计工作时,可以通过企业内部审计评估制度来对内部管理工作以及管理效果进行评估。但是,由于我国不完善的企业内部审计制度,将致使企业内部管理评估缺乏支持。在企业具体的审计工作中,审计工作人员往往通过企业自身制定的审计评估制度来进行评估,可能导致企业审计管理工作评估标准的不同。此外,在企业内部对内部审计工作的执行情况方面,有局限性,由于对自身企业内部情况没有完全掌握,致使企业内部审计工作难度增大和审计风险预算不准确,从而将会制约企业的发展空间。
(二)缺乏准确的审计目标
由于我国针对企业内部审计工作的标准不统一,这导致了在开展企业内部审计工作时,没有确定的审计对象和审计标准,更有甚者,没有深入了解审计企业内部控制工作,致使存在很多的问题。在对企业进行审计工作时,要明确一个概念,那就是企业内部审计工作并不是简单的核对企业账本工作,还要做好对企业内部情况的全面了解,否则就不能顺利完成企业审计工作,也不能使得企业顺利发展,更不能使企业适应全球化的经济变化过程,最终可能导致企业无法正常运转。因此,要想提高企业内部审计工作的工作效率和效果,做好企业内部情况了解必不可少。
(三)缺少对企业内部审计的了解
企业在运营过程中,注重的是企业经营情况和收入效益,可能会存在对企业内部审计工作的疏忽或者忽视,导致企业内部审计工作不能落实,不能有效执行,将会导致审计工作的停滞。在另外一个角度,企业内部审计工作需要独立于企业的其他方面,但是由于企业错综复杂的部门和关系网络,导致一些企业非审计管理人员对企业内部审计工作的干预,致使企业审计的独立性的缺失,不能准确的了解企业内部情况,就不能使审计部门发挥职能,不能做好企业审计管理工作。
(四)企业内部审计方式的落后
在我国,由于缺乏相对健全的标准,导致了企业的审计工作的落后,部分地区的审计方法已经不能适应当前的快速发展的经济,应该做出大的改变。通过了解发现大多数的内部审计人员是在20世纪的统一培训下的会计人员,虽然具有正规学历,但是缺乏工作经验,并且从前的岗位培训只能够适应以前的社会经济形式,现代社会经济发展瞬息万变,以前的审计人员不能够满足现代审计工作的需求,急需培养出一批新型的审计人员或者在原人员的基础上进行进一步的培训,来适应当前社会的经济发展。审计人员由于不能适应现代经济发展的进程,再加上缺少工作经验、缺乏基本的现代经济审计工作技能、不能熟练掌握会计报表等情况,最终导致企业内部审计工作不能高效进行,使得企业的发展受到制约。
三、企业内部审计工作问题的解决方法
(一)建立完善的企业内部会计风险评估制度
在做好企业内部会计风险管理工作过程中,要做好企业的风险评估和风险控制,可以通过以下两部分来具体落实,一方面是加快建设企业内部会计风险评估体制,针对自身企业实际情况,制定出适合企业发展的科学的措施,来加强企业会计风险管理工作。在对企业内部审计工作进行分析时,要从企业内部和企业外面两方面去分析,找到存在的具体问题,并结合实际情况制定一系列的解决措施。第二个方面,加快企业内部风险管理工作的进行。在对企业内部进行审计工作时加强全面企业的风险管理工作,得出完善的措施,来加强企业审计工作的管理。此外,还可以通过制定应急处理方案,来解决工作中的紧急情况,避免紧急情况的发生,提高企业审计管理工作的效率。
(二)加强企业内部审计工作
在企业内部审计工作进行的过程中,以增大审计工作范围和增强审计工作氛围为主要工作重点。在工作中要做到加快制度建设工作和落实企业人员市场工作能力,从而营造出好的企业文化,使得企业员工能够增强对内部管理工作的控制。对于内部审计工作人员来说,通过培训新的现代化审计人员和对老审计人员的培训,来加强审计人员的工作水平和业务能力,要使得审计人员内心存在一种良好的审计工作观念,落实具体的工作,加强企业内部审计工作的管理,使得企业有序的发展。
(三)加强企业对审计工作的认知
在企业内部运营管理进行过程中,管理人员往往只重视企业的利益方面,缺乏对管理工作的认识,也缺乏对企业内部审计工作的认识,很难保证具体工作的进行。在进行管理工作的同时也要保证企业内部审计工作独立性的特性,通过合适的审计机构来确保企业内部审计工作的合理进行,来完善企业内部会计管理工作。
四、结语
通过以上文章的内容,可以很清楚的发现,企业内部的会计风险管理工作是企业运营发展过程中的重要部分,是企业管理的基础部分之一,始终存在整个企业管理工作中,应该高度重视。通过收入了解企业内部审计工作的特点来增强对企业内部审计管理工作的认识,使得企业内部审计机制不断完善,企业内部会计风险评估机制也趋于完善,增强企业内部管理人员对企业的控制,增强现代信息化企业建设工作,降低企业内部会计管理工作的风险,为企业的长久发展做好铺垫工作,使得企业建设工作拥有更坚实的基础。
作者:董雯董春英单位:大连易才人力资源顾问有限公司安徽淮北煤电技师学院
参考文献:
[1]张锐.浅谈内部审计特征对内部控制质量的影响[J].财会学习,2017(04).
内部审计风险管理范文篇2
关键词:内部审计现代企业风险管理
中图分类号:F239.45文献标识码:A
文章编号:1004-4914(2010)08-256-02
随着经济全球化及国际化程度的加深,企业经营环境日趋复杂,经营风险大为增加。企业、行业之间的竞争日益加剧,如何防范风险,加强风险管理,已成为企业经营者面临的重要课题,建立和完善风险管理体系已成为企业生存发展的重要而紧迫的任务。作为内部审计,由于其在企业董事会及其审计委员会和加强企业内部控制的特殊性,在风险管理、内部控制以及公司治理、组织运营中的地位与作用日趋突出,成为关系企业成败兴衰的重要因素。内部审计具有相对独立性,更能从企业全局角度,清醒识别与评估风险,比外部审计更能切实地提出防范风险的有效建议。本文从内部审计参与企业全面风险管理的几个方面进行探讨。
一、内部审计参与企业风险管理定位概述
1.内部审计是组织内部的一种独立客观的监督和评价活动,通过审查和评价经营活动及内部控制的适当性、合法性和有效性,来促进组织目标的实现。
2.风险管理是对影响到策略或目标达成的风险进行辨识、分析,并作出应对和决定愿意接受的风险程度。企业风险管理是一个过程,决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确地评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
3.企业对于风险的管理应该从总体上来考虑。风险管理部门是企业的专职部门,隶属于管理部门,独立性不够强,而现代企业中的内部审计部门独立于管理部门,可以更独立地对风险进行评估,并将建议直接报送董事会,所以提出的建议会更有权威性。因此内部审计随着我国企业风险管理规范的逐步完善,参与企业风险管理已经成为趋势,二者的有效融合使企业能够有效地应对不确定性以及由此带来的风险和机会,增强企业创造价值能力。
二、内部审计参与企业风险管理的现状
当前,内审部门的作用还仅仅停留在查错防弊,集中在财务领域中,未有效深入到管理和经营领域,只强调确认和测试控制完整性,而不重视强调确认和测试风险是否得到有效管理。审计建议侧重于强化控制、提高控制效率和效果,很少涉及规避风险、转移风险和控制风险,内部审计无法做到通过有效的风险管理,提高企业整体管理效率和效果。
企业对企业风险管理的认识,不全面,不深入,没有形成较系统的风险管理体系和科学的风险管理策略。管理层对风险管理工作的滞后和不正确的认识严重影响了企业的长远发展和战略目标的实现。
风险管理机制需要内部审计参与到管理及经营中,进行全面、及时的接触、交流和沟通,有效开展风险管理审计。
三、内部审计参与企业风险管理的发展趋势
1.内部审计部门自身发展的需要。由股东投资形成的企业资产的受托责任,向来就是重要的审计问题。对出资人负责必然导致企业风险的大小成为所要关注的重要信息,对风险管理进行审计成了必不可少的内容。
内部审计通过参与风险管理,可以全面评估企业的机会和风险,甚至可以在董事会允许的情况下制定风险管理战略,这样就会使内部审计部门从传统的被动服务方式向主动服务方式转变,进而使内部审计部门成为企业中的一个重要的角色。
由于内部审计部门更熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等,对于参与风险管理、实现企业目标会有更强烈的责任感,这些差异会弥补其在经验上的不足。因此,内部审计部门更适合参与本企业的风险管理。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
2.现代企业内部控制建设的需要。随着经济全球化及国际化程度的加深,企业面临的经营风险大大增加。减少企业面临的风险是组织实现目标的关键。没有良好的激励、约束机制,没有健全的公司治理结构,不仅使企业生存危机加重,也会使审计风险增大。内部审计作为企业内置的一个职能部门,必然应当成为企业风险管理的有效组成部分,风险管理审计会从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全,关键的控制点、执行是否有效,控制薄弱环节的治理和改进措施的可行性等提出认定,评价风险管理与控制对企业目标实现的影响程度。
四、内部审计参与企业风险管理的作用分析
1.检查与评价。内部审计可以通过运用风险管理方法,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层或审计委员会提供帮助。其中包括确定风险领域,评价风险控制程序的有效性,检查风险管理过程的效果。
2.管理与协调。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,清醒地识别和评价风险,提出防范风险的有效建议。内部审计可以凭着其对组织全面而深入的了解,对风险管理过程进行管理和协调,促进被审计部门经营和管理的改善,赢得他们的信任和尊重。
3.顾问与咨询。由于内部审计人员对本组织的情况最为熟悉,对其提供咨询有独特的优势。内部审计可以通过发现评估并运用风险管理的方法,帮助组织解决风险问题,通过咨询积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能。内部审计可以在改善管理层的风险管理流程的效果和效率方面,协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。
4.报告与防范。审计发现如何传递,审计成果如何利用,舞弊风险如何防范,所有这一切将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。一方面,内部审计要与相关部门进行沟通,对风险管理过程的充分性和有效性进行检查、评价并报告,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;另一方面,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
五、内部审计参与企业风险管理的流程
风险环境分析。通过评价企业的发展战略、经营计划以及宏观经济政策的变化和行业政策的变化等到影响企业的经营风险、财务风险,内部审计人员作出风险分析,并进一步考虑企业的风险管理措施能否适应形势,同时将分析的结果报送相关部门。
风险确认。风险确认就是在各种风险发生之前对这些风险的类型及发生的原因作出判断,以便实现对风险的估价和处理。内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出这些风险的原因。要区别不同情形,不仅关注企业内部风险,还要充分考虑企业外部风险。比如:财务和经营信息的不真实、不完整;各种规章制度及标准执行不到位;资产流失、浪费;影响企业的战略重组等,这些都要经过仔细甄别,按照风险水平得到有序确认。
风险评估。风险评估就是对已识别的风险事件进行定性分析或定量分析,来评价某一事件发生的可能性以及产生的影响。很多情形下的风险是不容易计量的,它可以采用概率和统计的方法进行风险估价,也需要主观判断不同结果发生的可能性,这就要求审计人员需要利用自己的经验,从客观的角度分析评价风险,进而提出专业的意见。
风险控制。风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业正常的生产经营。企业可以根据不同的风险来选择要采取的策略和方法,决定应该避免风险、接受风险还是降低风险。内部审计人员可以通过评价风险回报的合理性以及减少风险的有效性,来测试企业风险控制程序的有效性,并提出建议和改进措施,将风险降低至可以接受的水平。
风险监控。环境的变化会导致风险的变动,企业通过对内部控制系统运行的监控以及风险处理结果的评价,对风险管理进行持续的监控,保证风险管理的持续有效。内部审计人员通过对新的环境和风险的分析,来评价企业内部控制制度是否适应新的风险。
信息沟通。内部审计部门还需要将风险管理的相关信息及时告知管理层和相关部门及组织,通过信息的传递,可以使董事会和审计委员会等监督者了解风险管理的情况,使内部相关部门意识到存在的问题以及改进的方法,使外部相关利益主体对企业的风险管理产生信任。
六、内部审计参与企业风险管理的具体思路
1.明确内部审计的定位。实践中,企业应当将内部审计部门参与风险管理写入内部审计的章程,以正式的书面文件来进行规定,并得到企业高层的批准,就会使内部审计部门有了一个崭新的定位,新的定位有利于内部审计部门参与企业风险管理,进而提供独立的建议和评价。
2.营造良好的风险管理审计环境。要想有一个良好的风险管理审计环境,首先要求建立健全风险管理审计制度体系。制度体系的健全和完善,是降低审计风险的关键。企业应树立全面风险管理的新理念,根据自身情况制定符合自身特点的风险管理评价标准体系,规范管理部门、经营部门业务流程责任人的监督行为,在实际运用中还应进一步改进、深化风险管理审计的内容,并随着企业内外环境的变化而作出相应调整,持续不断地保证营造良好的风险管理审计环境。
3.内部审计应向风险导向内部审计方向发展。根据国际内部审计协会对内部审计的最新定义,内部审计是通过评估和改善组织的风险管理和控制的效果,为组织增加价值、促进其实现目标的。传统的控制导向的内部审计已经远远不能满足需要,现代内部审计除了关注传统的内部控制之外,更关注有效的风险管理机制和健全的公司治理结构。在风险导向为基础的内部审计观念下,年度审计计划与管理最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,分析、确认、揭示关键性的经营风险,成为内部审计的焦点。通过实现从“控制导向型”向“风险导向型”的转变,特别关注企业重大风险并且控制薄弱的领域,以此来加强风险管理与内部控制。进一步通过对风险的把握来评价企业风险管理和内部控制,提高整体管理效率和效果。
4.增强审计风险意识,建立健全审计内控管理制度。加强审计风险理论体系的研究,强化审计风险教育,增强审计风险意识。首先,审计机构和审计人员主观上必须高度树立风险意识,审计计划的安排要以风险导向为基础,要以满足审计质量要求为前提。其次,要建立健全审计内控管理制度。良好的审计内控管理制度是降低审计风险的有效保证。审计内控应贯穿企业风险管理审计的全过程,即从风险管理审计立项到审计终结,形成一个比较全面的审计质量保障体系,从制度上规范审计主体的行为。出台具体的风险管理审计操作规定,指导审计人员规范操作。实行审计资料承诺制、审计复核稽查制和审计责任追究制等到内控管理制度,尽力规避审计风险。此外,内部审计还应借鉴当前国际上先进的内部控制研究的经验,对机构的内部控制进行有效监督,不断改善企业的内部控制制度,为企业开展风险管理奠定良好的基础。
5.创新风险审计技术和方法。先进的审计技术和方法的运用,有利于提高审计效率,保证审计质量。针对企业风险管理审计有别于常规的财务收支审计,因此要加大审计技术方法的创新力度,建立与风险管理审计相适应的现代审计技术和方法体系,强化以电子计算机技术为核心的现代技术与方法在风险管理审计中的应用,以审计方法的高技术含量达到提高审计质量、防范与降低审计风险的目的。
6.培养、造就一批胜任审计工作的审计人员。审计人员的审计工作扩展到风险管理审计,审计范围拓宽了,风险管理工作的复杂性决定了内部审计人员知识的全面性。所以,企业开展风险管理审计在很大程度上取决于审计人员职业道德素质的高低,具有良好素质和技能的审计人员能够较好地完成审计任务,降低审计风险。审计人员应当强化风险意识,保持较高的职业道德水准,树立严谨踏实的工作作风,以确保审计质量;审计人员还要定期接受培训,只有不断更新知识,提高分析、判断、解决问题的能力,才能保证审计工作质量和审计工作效率。
参考文献:
1.王晓霞.企业风险审计.中国时代经济出版社,2005
2.罗秀然.企业内部审计职能探究.审计文汇,2006(9)
3.孟英姿.内部审计在企业风险管理中的角色定位.集团经济研究,2006(9Z)
4.刘秀梅.浅议单位内部审计与风险管理.商业会计.2006(5)
5.王亚琴.内部审计参与企业风险管理研究.当代经理人,2006(11)
6.松岩.强化内部审计,完善公司治理.财会通讯,2004(10)
内部审计风险管理范文
关键词:风险;风险管理;内部审计
中图分类号:F830文献标识码:A文章编号:1672-3309(2008)0203-0055-05
一、引言
自从英国巴林银行、美国安然公司、世通公司等相继暴露出财务丑闻后,更多人意识到,公司治理的问题很多出自高层管理者、总经理身上,董事会质疑能力薄弱;管理当局在风险管理方面没有能做到预先防范,风险的控制严重失效。除了对管理层的质疑外,内部审计没有能做到及时评估及改善组织风险管理、控制及治理相关流程,其在组织中的作用也受到了质疑。美国在很短时间内出台的萨班斯法案指出,董事会、高层管理者、外部审计师和内部审计师作为有效公司治理的基石,成为展开公司治理、内部控制必须职责的重要组成部分;COSO组织在2004年了《企业风险管理框架》,表明从内部控制走向全面风险管理是必然趋势。IIA针对其的以《全面风险管理的内部审计角色》为题的职位说明书指出,为风险管理提供保证、确保风险得到正确评估、评价风险管理流程等是内部审计须具有的核心职能。
在我国,随着中行、建行等国有银行多次重大的贷款舞弊以及新加坡中航油破产案件的发生,如何加强中国企业的全面风险管理也成为国人关注的热点。我国内部审计协会于2005年3月了《内部审计具体准则第16号――风险管理审计》,于2005年5月1日起施行。国务院国资委2006年6月20日公布了《中央企业全面风险管理指引》。上证所和深交所与2006年6月及9月份分别公布了《上市公司内部控制指引》,从而明确了内部控制在公司治理中的地位。从规章制度出台的紧凑程度看,我国在制度的层面上已经开始重视风险管理对企业的作用。但是目前的情况是大多数企业未设专门的风险管理机构及人员;企业内部审计主要属于财务导向内部审计,管理审计包括风险管理审计尚未与公司治理相结合,成为公司治理的有机部分。
二、风险、风险管理与风险管理审计
对风险有开拓性研究的是美国经济学家弗兰克・奈特,他在1921年出版的《风险,不确定性和利润》中对风险作了经典的定义――“可测定的不确定性”。即把可以估计概率的不确定性称为风险。但在本文所论述的风险管理中不对风险和不确定性进行区分,这是由于无论是可测定的风险还是不可测定的不确定性都与企业损失的可能性相关联,都会引起经营决策者对风险进行管理的动机,因此将风险定义为:损失的不确定性。而企业风险管理是指企业通过对潜在的意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大安全保障的科学管理方法。风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。美国学者克里斯蒂(James・C・Cristy)认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯(C.ArthurWilliamsJr.)和理查德・汉斯(Richard・M・Heins)认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国的陈佳贵认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法。
企业风险管理的实践和理论起始于20世纪30年代的美国保险业,在20世纪50年代后美国工商企业界发展成为一门管理科学。随着经济技术的迅速发展,到20世纪70年代后,逐渐传播到欧洲、日本及其它地区,兴起了全球性的风险管理运动。至20世纪90年代,发达国家风险管理已普及到许多企业,企业增设了风险管理机构,专门配备风险管理经理、风险管理顾问,由他们负责企业的风险识别、风险测定和风险处理等工作。经济学家彼得・F・德鲁克曾说过,保险和风险管理对促进西方世界经济进步所起的作用与企业和商业起到的作用同等重要。在经营实践中,企业风险管理的好坏对企业的稳健成长至关重要,始终决定企业的生死存亡。风险管理理论于20世纪80年代中期被介绍到我国,首先在金融企业得到运用和发展,但尚未受到其它企业的运用和重视。我国的巨人、爱多、三株等公司,它们陷入困境的原因虽然千差万别,但企业内部缺乏风险管理的专业人员和职能部门,对风险认识不足、管理不力,则是它们受困的重要原因。随着我国加入WTO,企业面临着更加激烈的竞争环境,但是目前我国大多数企业未设专门的风险管理机构及人员。
风险管理审计始于20世纪末21世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。以毕马威为代表的国际大会计事务所联合学术界对审计基本方法进行研究,开发出风险管理审计,这是一种新的审计模式,也有学者称之为风险审计或现代风险导向审计。它不仅关注传统的内部控制,而且更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。
从国际上看,风险管理成为企业组织中的关键流程,促使内部审计的工作重点不再是测试控制,而是确认风险及测试管理风险的方法。顺应于内部审计理论及实务的变化,在1999年IIA对内部审计做出了一个具有变革意义的新定义:“内部审计是一种独立、客观的确认与咨询活动,它的目的是为组织增加价值并提高组织的运营效率。它通过采取系统化、规范化的方法,评价风险管理、风险控制及其治理程序,提高它们的效率,从而帮助实现组织的目标。”2001年的IIA修订版《内部审计实务标准》对内部审计的界定是:“内部审计是一种独立、客观的保证与咨询活动;其目的是为机构增加价值并提高机构的运作效率,它采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标”。2004年IIA重新修订的《国际内部审计专业实务标准》中规定内部审计是“一种独立、客观的确认和咨询活动,在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。从对2004年与2001年的定义比较可以看出,审计的工作范围扩大为“评价和改进风险管理、控制和治理过程的效果”,反映了内部审计的发展趋势和客观要求。IIA多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
原安达信公司专业人士保罗・J・索贝尔,在其于2003年所著的《审计人员风险管理指南:审计与企业风险管理的结合》一书中的概括,现代审计方法在过去50年中经历了四大阶段,其分别是:控制基础审计;流程基础审计;风险基础审计(又称风险导向审计);风险管理基础审计,又称风险管理审计。书中对风险管理的涵义归纳为:风险管理审计可以说是风险基础审计的一种延伸,其基本吸收了风险审计各种特点,只是在此基础上扩大审计关注点到企业的主要战略目标(keybusinessobjectives),管理层对风险的容忍度,主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化(optimizingkeyrisk),如企业对哪些固有风险可以实行避免,转移或接受并予以控制的风险管理策略。因此,对企业而言,风险管理审计本身已经成为企业整体风险管理的重要组成要素。他认为,风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更进一步地从审计师及企业管理层双方面确保审计资源的分配及审计的有效性。
三、我国实施风险管理审计存在的问题
尽管中国内部审计职业规范体系的框架已基本建立,有些企业在内部审计实务中也已运用西方先进内部审计理论、方法和技术,但是我国大多数企业的内部审计依然存在问题。
(一)审计职业人员的学历层次较低
我国从事内部审计职业人员的学历层次整体不高,审计人员的学历和专业构成了内部审计机构的整体素质。现在我国从事内部审计的人员中研究生的比例为1.1%,本科生为15.56%,大专生为73.89%。这相对于我国整体国民教育情况来看,还是比较高的。但是内部审计人员中真正具有正规院校审计、会计专业的大学本科学历的较少。虽然,有一部分人通过自己刻苦学习审计理论业务,确有一定的真才实学,但也有为数不少的人员,尽管从事审计工作很多年,但审计理论水平、业务技能很一般,对于下基层审计时,不能很好胜任工作,提出问题不能切中要害,使审计工作失去威慑力。
(二)内部审计机构中专业构成单一
在西方发达国家一般认为内部审计人员的理想构成:经济管理专业占1/3,工程技术专业的占1/3,其他专业的占1/3;从我国内部审计人员的专业结构来看:会计(审计)学专业占绝对统治地位大约在70%左右,工程技术专业、法律专业等其他专业比例很小,从现代内部审计的观点来看,这样的专业构成极为不合理。因为这种人员构成只能够适应开展财务审计和其他以企业的会计资料为基础的审计咨询服务,不能适应审计日益发展和扩大的择业范围。结果是限制了内部审计的工作范围,影响了内部审计职能全面发挥。
(三)内部审计机构缺乏独立性
在国际内部审计师协会的《内部审计实务标准》中指出:审计委员会是负责监督机构的审计和控制工作的治理层。评估内审工作是否与最先进的实务保持一致、负责起草日程安排、“审计委员会考核和定期以及评价审计人员的业绩。”内部审计委员会关系到内部审计机构及其人员的独立性问题。所以,内部审计委员会是内部审计工作是否独立的首要屏障。而内部审计委员会的人员构成则是其发挥作用的关键所在。当前,我国内部审计委员会构成层次过于单一,人员之间没有相互制约关系。内部审计委员会人员构成多由企业内部管理层或是大股东把持,没有体现多元治理的理念。所以,审计委员会虽然在上市公司内部已经开展起来,但多是流于形式,没有起到应有的作用。
(四)内部审计人员缺少完整的独立性
内部审计人员作为单位的一名成员,他们的工作、工资、其它福利等受本单位企业有关负责人的支配,这就使得内部审计人员在履行其监督和评价职能时有很多的顾虑,当企业领导授权、批准的经营行为违反有关法律法规,或不符合经济效益原则时,内部审计人员出于自身的利益考虑,往往表现得无能为力,影响了内部审计人员的独立性。而且,目前内部审计机构中的审计人员很大一部分由会计或管理人员兼任,这种状况导致内部审计人员在制定审计计划、实施审计程序、出具审计报告时往往受到各方面利益的牵制,难以开展独立的审计活动。另外,由于领导的重视程度不够,内部审计被不切实际的精简,人员队伍不稳定,从而使内部审计人员认为在审计部门的前途缺乏信心,严重影响了内部审计人员的独立性。
(五)相应的规章制度不详尽
我国内部审计协会于2005年3月了《内部审计具体准则第16号――风险管理审计》,于2005年5月1日起施行。不足的是,该准则仅阐述了风险管理审计的一般原则及对风险管理进行审查和评价的具体准则,怎么实行,如何实行均未给出详细指导。这对于想实施风险管理审计的企业来说,没有较强的指导作用,也不利于其推行。
四、相应的解决建议
(一)明确我国内部审计的定位
作为现代审计体系的两大组成部分――独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物。目前,企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差。
企业内部审计定位的偏差,产生了一系列不良后果,导致内部审计缺乏独立性。内部审计地位不明确,而且内部审计工作范围往往局限于财务审计,重在进行财务收支的合法性与合规性审计;在人员配置上,较少重视自身发展的内在要求,行政配置较多,造成人员素质较差,结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥,甚至直接影响了内部审计的发展。我国加入WTO已有几年,内部审计的发展无论是从与国际内部审计接轨,还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲,我国的内部审计事业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确,只有搞好定位,一系列问题才能得以解决,才能应对国际内部审计和惯例要求的挑战。
(二)高度重视国际内部审计的发展对我国内部审计的影响
中国已经加入WTO,加入到世界的经济链竞争中,因此,企业效益全靠自身努力,在企业竞争中效益不好的就会破产倒闭,竞争的风险不断扩大,从而促使企业经营者重视内部审计的参与作用。为适合企业这一需要,我国内部审计的中心也需要从以内部评审为中心转向以风险管理为中心。我国内部审计参与风险管理,首先需要帮助企业建立起风险管理系统,包括帮助企业建立和健全风险管理组织并就企业经营管理的各个环节制定相应风险管理规章制度。在此基础上,通过对企业风险管理组织活动的评价和监督,帮助企业不断完善其风险管理系统。同时,内部审计要不断识别企业的风险并制定管理措施,这就使得内部审计的服务延伸到企业经营过程中的任何一个领域并以风险管理为中心开展业务活动,如财务风险审计、经营风险审计、生产风险审计、信息系统风险审计等。
(三)对我国内部审计组织及人员提出更高要求
首先,加强职业组织的引导。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理,积极介绍国际上内部审计参与风险管理的经验和案例,提供可资借鉴和参考的基础;积极制定与参与风险管理有关的准则和指南,以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流,选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习。
其次,内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问,而不是警察。内部审计工作只有给企业带来价值才有意义,才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。“服务”导向性内部审计只能侧重于服务,内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外,更重要的任务是针对管理和控制的缺陷提出建设性意见和改进措施,协助管理人员更有效地管理和控制各类活动,合理使用资源,以提高经济效益,增加企业的价值。
最后,改善内部审计人员的知识结构,提高其胜任能力,是内部审计实现参与风险管理的关键所在。目前我国内部审计人员知识结构比较单一,严重缺乏风险管理方面的知识,要有效地协助企业进行风险管理,必须改善他们现有的知识结构。通过风险管理的培训,增加内部审计人员的风险管理知识,提高其专业胜任能力。
五、结语
风险与风险管理,已成为现代企业经营管理的现实。风险是一种存在危险的可能性,但也是一种机会。企业最高经营者必须面对现实,重视风险,把风险管理视为日常营运的一部分。内部审计介入风险管理,无论是从国际还是我国来说都是一个新的事物。如何使内部审计能够更有力地在风险管理中发挥作用,则是需要进一步探讨与研究的课题。
参考文献:
[1]安德鲁・D・钱伯斯等著,陈华等译.内部审计(第二版)[M].中国财政经济出版社,1995.
[2]阿伦斯著,石爱中等译.审计学――整合方法研究[M].中国时代经济出版社,2001.
[3]保罗・J・索贝尔.审计人员风险管理指南:审计与企业风险管理的结合[M].中信出版社,2004.
[4]BeasleyM・S,Clune・R・Hermanson.ERMastatusreport[M].InternalAuditor,2005,(02).
[5]陈锦烽、苏淑美.内部审计新纪元――风险管理、控制及治理[M].大连出版社,2006.
[6]CommitteeofSponsoringOrganizationsoftheTreadwayCommission(COSO),EnterpriseRiskManagement――IntegratedFramework[M].USA,2004.
[7]COSO(2004).EnterpriseRiskManagementFramework.省略
[8]DeloitteandToucheTohmastu.AchievingInternalAuditExcellence.Wellington,2000,(6).
[9]胡春元.风险基础审计[M].东北财经大学出版社,2001.
[10]何玉柱.欧美企业风险管理的机构化与启示[J].管理前沿,2003,(4).
[11]黄兵海.风险管理技术在内部审计中的应用[J].统计与决策,2004,(8).
[12]IIA报告.内部审计师在环境中的作用[J].审计研究资料,1997.
[13]靳建堂.风险管理审计初探[J].现代企业风险管理论文汇编,2005,(10).
[14]JamesPatton,JohnEvans.BarryLewisAuditAFrameworkofEvaluatingInternal.
[15][美]罗伯特・莫勒尔.布林克现代内部审计学[M].中国时代经济出版社,2005.
[16]廖洪、陈波.企业战略审计研究的回顾与展望:一个综述[J].审计研究,2005,(2)
[17]劳伦斯・B・索耶.索耶内部审计(第五版)[M].中国财政经济出版社,2006.
[18]刘明辉.审计学[M].东北财经大学出版社,2004.
[19]郦锡文.走进风险管理[M].中国财政经济出版社,2003.
[20]李三喜等.内部审计准则操作实务[M].中国时代经济出版社,2003.
[21]李维安.公司治理[M].南开大学出版社,2001.
[22]李嘉明、刘渝林等.论上市公司监督体系的理论框架――兼论上市公司内部审计机构的作用[J].审计研究,2004,(4).
[23]李凤鸣.内部控制学[M].北京大学出版社,2002.