(一)风险、风险管理
1.风险、风险因素、风险事故和损失
风险是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中,要涉及到风险因素、风险事故和损失三个方面。
2.1.2风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。对什么是风险管理,一些学者提出了自己的看法,美国学者克里斯蒂(JamesC.Cristy)认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯(C.ArthurWilliams.Jr.)和理查德。汉斯(RichardM.Heins)认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国的陈佳贯认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法。(4),这里的风险管理的概念已经被泛化,任何企业潜在的以外损失(隐患)都已被纳入其中。
2.2内部审计参与风险管理的动因
内部审计之所以涉足风险管理领域,主要有以下几个原因:
2.2.1企业面临的风险日益增大
传统意义的企业只是生产,销售与扩大再生产的往复而已。而时代已经赋予了企业更大的内涵。企业如何在竞争中生存取决于它的风险管理水平
近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。企业对外经营运作过程中,面临各种经营风险,包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险,如国家法律、政策的变化。而在内部的运营过程中,企业也面临运作效率低下所带来的损失风险等等。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。
2.2.2内部审计对发展的渴求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,内部审计师的职业组织--国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域。企业的内部审计:重点放在收入最大化,减少成本和提高效率;专门关注经营审计;极少甚至从未进行与财务相关的风险管理审计。当前,我们推进内部审计由财务审计为主逐步向以内部控制和风险管理审计为主转变,既是我国内部审计发展的结果,更是受托责任关系发展变化的体现。1999年国际内部审计师协会通过的内部审计新定义,内部审计被界定为“一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统的、规范的方法,评价并改善风险管理、控制和治理程序的效果,帮助组织实现其目标。”这一新定义对内部审计的定位为“评价并改善风险管理、控制和治理程序的效果,帮助组织实现其目标”
2.2.3内部审计能够在风险管理中发挥独特的作用
内部审计在风险管理中的独特作用有三:
(1)能够客观地、从全局的角度管理风险
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过渡道德风险,因为风险不是由你们来承担(至少不是单独承担),如,采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗藏的风险会在企业的其他部门反映出来,通过年终的资产清查,可以发现购买的设备从未使用,在仓库堆放等待报废,无人追究的现象,最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
(3)内部审计部门的建议更易引起重视
有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资,而相关领导好大喜功,他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估的意见可以直接报给董事会进行综合评估、考察决定取舍,这会加强管理当局对内部审计部门意见的重视程度。简而言之,企业需要一个独立而强大的,直接服务于最高决策层的内部审计部门。这样才能最大效率的发挥其功能,规避风险。在下面关于世通公司的例子中,我们可以清楚的看到。一个不完全的内部审计部门是怎么样拖跨一个超级公司的。
2.3内部审计如何参与风险管理
与一般的风险管理部门进行的风险管理相比,内部审计部门所进行的风险管理既与其有紧密的联系,又有区别。他们的联系表现在,两者的目的是统一的,都是为了降低企业的风险;两者的区别在于他们在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:(1)评估风险识别的充分性;(2)评价已有风险衡量的恰当性;(3)评估风险防范措施的充分性,并提出改进措施。
2.3.1评估风险识别的充分性
所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
2.3.2评价已有风险衡量的恰当性
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否信当,对不恰当的估计予以更正。采用的方法主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法、蒙特卡罗模拟方法等。
2.3.3评估风险防范措施的充分性,并提出改进措施
风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,已强化企业的风险管理,降低风险损失。采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
综上所述,内部审计涉足风险管理领域有其客观必然性,是环境因素和其本身因素使然。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督。但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要的情况下,它可以直接进行风险管理。很多企业对风险管理还没有引起足够的重视,对内部审计介入风险管理要得到普遍的认知,还需要一个过程,当然这只有在内部审计的价值被充分的认可,内部审计的重要性被大家所接受,内部审计参与风险管理才有可能实现。
3世通公司审计失败的教训与启示
3.1内部审计的教训
在世通公司破产审查报告中,审查人员描述该公司的内部审计极为糟糕。该公司的内部审计成立于1993年,随着公司的发展,其职责、规模和范围得到扩张,公司聘用了专职的内部审计人员。在取得的成功经验之外,破产审查者发现的问题是:
内部审计机构缺乏独立性。内部审计对董事会和首席财务官有双重报告责任,但“从来不是真正意义上的独立部门”,内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年内部审计政策和程序都是有局限性的。
管理层对内部审计的实施、范围和结果报告施加了太多的影响。高级管理人员对内部审计的接受程度是有限的,对内部审计的支持也是不一致的。“必须有人说服,才能认识到内部审计的价值”。首席执行官与首席财务官给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间,内部审计机构专职负责企业资源规划(ERP)的执行项目,直到晚上才做审计工作。
局限于增值服务而将财务控制排除在外。内部审计得到管理层批准的工作事项:重点放在收入最大化,减少成本和提高效率;专门关注经营审计;极少甚至从未进行与财务相关的审计。这是导致其无法在早期发现会计处理不当的主要原因。对于世通这样庞大复杂的公司,把内部审计工作只局限在经营审计方面显然是不恰当的。“
与外部审计师缺乏沟通。内部审计师与外部审计师、极少沟通,二者就象黑夜里驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。
内部审计资源不足,缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下,审计委员会批准计划流于形式,对内部审计从事非审计项目一无所知,在被告知审计师的平均工资只是同类公司内部审计师的一半时,也没有采取任何措施。
内部审计计划的制定有缺陷。由于多种的原因,内部审计年度计划过程是低效不足的,没有采用风险评估的定量分析系数来衡量风险,内部审计师对会计电算化系统的接触也是有限的。
3.2世通公司申报破产以来发生的显著变化如下:
3.2.1内部审计机构增加了12-15名审计师;
3.2.2除继续从事经营审计外,还从事财务审计,强调财务专业知识的重要性;
3.2.3内部审计师与外部审计师(毕马威会计公司)密切协作;
3.2.4内部审计改善了风险评价方法,并加强与外部审计师、公司管理层、审计委员会和董事会的沟通,听取他们的意见。
3.2.5补充
此外,世通公司的内部审计机构充分认识到来自咨询和非审计服务的风险;将先进的审计技术结合到内部审计的范围和过程中;首席审计执行官具有多种职能,如首席风险官、首席道德官等;内部审计外包业务继续存在,但增加了“纯”内部审计服务内容,如财务审计、内部控制评价等。
3.3小结
世通公司规模庞大,关系复杂,当风险的种子发芽时,没有好的审计体系是很难察觉的。在上案中,管理层显然没有对内部审计部门引起足够的重视,而风险评估也只是停留在形式上,可以看到,如果公司在经营方面存在问题,管理层为了股价等原因必然会阻挠、压抑内部审计部门。如果不能阻止此类事件的发生,那么公司的破产将只是时间的问题。但是,在它申请破产后所采用这种系统的审计模式是很科学的,可以对我国企业带来很大的参考价值的。但是痛定思痛,痛何如哉。为什么不能在之前就防患于未然呢?作为一个移动人,强烈的感觉到,前事莫忘,后事之师。
4.我国内部审计的改革方向
去年六月,李金华审计长在中国内部审计协会第五次会员代表大会上强调指出,“内部审计在促进提高单位管理水平和内部控制建设方面,应该说是大有可为的”。而其中的“管理”指得就是什么呢?那绝对不可能是以单纯的计算为主的收支管理。而是风险管理。今年一月,在中国内部审计协会第五届理事会第二次会议上又进一步强调:要“把内部审计作为一个控制系统,而不是一个检查系统”,“内部审计要以效益审计和管理审计为主”,“内部审计要以事前、事中审计为主”,“内部审计要以体现中国特色为主”。这是在全面落实科学发展观、加快小康社会建设的新形势下,对内部审计做出的与时俱进的定位,为在社会主义市场经济条件下推动我国内部审计事业的发展明确了目标、指明了方向。深刻认识和准确把握内部审计的这一最新定位,积极开展以内部控制和风险管理为导向的管理审计,努力推进内部审计全面转型与发展,对逐步实现我国内部审计事业法制化、规范化、现代化具有非常重要的意义。
5.结束语
在政策上,内部审计的推进道路已经被铺平了。但是如何让内部审计更好的溶入到风险管理,内部效率评估中会是一项烦琐而庞大的工程,但也是时代赋予我们的责任——给企业一颗更健康的心。
一、企业财务风险分析
企业的财务风险主要可以分为四大类型:一是内部风险;二是外部风险;三是税收风险;四是投资风险。本文主要针对企业的内部风险进行了具体的分析,一旦企业财务内部控制制度缺失,则必然会导致较大的内部财务风险的出现。通常来说,企业财务内部管理的主要风险点表现为三个方面:一是预算,预算即为计划,一旦预算不够精确则必然会导致企业后期经营活动运行不善;二是运营资金调度,在企业的财务管理中,运营资金调度是一项即为重要的任务,一旦对其管控不到位,则极易导致企业资金链产生问题;三是财务政策安排,财务政策在一定程度上能够直接决定企业的财务状况。
二、企业财务管理中的内部控制的意义
(一)有效保证财务信息安全,降低风险
对于现代企业而言,保证财务信息的安全具有十分重要的意义,其是降低风险的重要措施。对此,相关企业必须重视财务管理中的内部控制问题,根据企业自身运营情况,有效整合、构建合理的内控制度。例如:企业应构建完善的财务计划管理系统、财务监督体系,从而实现对财务活动的有效管理,形成规范化的会计体系,有效保护财务信息安全,降低财务风险。
(二)促进企业经济效益的提高
在企业的发展过程中,构建良好的财务内部控制体系有利于控制运营成本,从而实现企业经济效益的大幅提高。对于企业而言,其财务管理的基础即为会计归集、核算,因此报表数据的真实性直接影响财务分析的准确性。此外,企业的一系列的经营活动均会反映在财务数据上,因此是否构建完善的内部控制制度,是否实现了对采购、销售、报销等业务的有效控制,直接影响到企业成本的合理管控。对此,必须重视企业财务管理中的内部控制工作,有效提高企业经济效益。
(三)实现现代企业的健康发展
对于企业而言,若是缺少一定的内控制度,无论是其管理干部还是基础员工均会存在一些腐败行为,从而影响到企业的健康、稳定发展。对此,企业必须重视企业财务管理中的内部控制构建的作用,通过建立科学的财务信息公告制度、监督制度,有效控制物资采购、存储、接收等一系列的流程,使得企业的资产更为安全,避免财务人员出现违规操作导致企业资产受损,进一步营造出一种公正、廉洁的工作作风。
三、企业财务管理中的内部控制与风险管理
(一)增强企业管理层的风险意识和内控意识
首先,企业的管理人员必须认识到财务管理风险防范的重要性,强化风险分析以及控制意识。其次,相关管理人员还需明确财务管理中内部控制制度的建立对于风险管理的重要作用,其应树立现代化的管理理念,通过构建完善的内部控制体系,进一步实现会计人员的规范化工作。在实际工作中,应邀请专家对企业管理层及一线员工进行讲课,宣传内部控制意义所在,使得每一名员工都能够认识到内部控制与财务风险管理的重要性,并能够将其融入自身的日常工作中标,例如:普通员工因具有较高的监督意识,在工作中自觉监督财务人员的行为,从而进一步确保财务信息的真实、准确性,以确保企业决策的科学性;财务人员能够意识到自身工作的神圣使命,并具有较高的责任感,保证每一步工作的科学、有序。
(二)完善企业财务风险评估体系,为财务内控提供科学依据
企业财务风险评估体系主要分析的是企业内部控制实施情况和影响内部控制目标实现的因素,在明确主要影响因素后制定针对性的处理方法。因此,在内部控制系统中,财务风险评估体系的建立具有十分重要的意义。具体来说,企业财务风险评价体系也可以称为企业财务风险评价指标体系,其主要可以分为两大指标:一是财务指标;二是非财务指标。其中,财务指标主要指的是对企业财务和经营情况的评价指标,当前使用较为广泛的有四种指标:一是营运能力风险评价指标;二是偿债能力风险评价指标;三是盈利能力风险评价指标;四是成长能力风险评价指标。总而言之,该系统的应用有利于实现企业内部数据的周期性评价,从而为企业财务的内部控制提供科学依据,最大限度地防范财务风险。
(三)做好预算管理,有效落实预算目标
在企业的财务内部控制中,预算管理是一个十分重要的内容。首先,企业的管理人员必须重视预算工作,合理确定财务预算目标,并从现金流量、利润等多个方面出发,做好各个方面预算工作,提高企业预算可行性。其次,对于管理结构而言,其必须明确自身的职责所在,明确预算目标以及管理权限,遵循“上下结合、逐级汇总、全员参与、分级编制”的原则,开展预算管理的编制工作,确保其能够有效落实到各个部门中。
(四)制定科学资金使用制度,提高资金使用安全性
在企业的财务内部控制中,应根据具体情况制定合理的资金使用制度,强化资金控制。特别是部分大额资金的收支,必须得到企业领导和财务人员的广泛重视,对此可采用领导联名签字的制度,提高资金使用的安全性。在进行支出资金时,需明确资金使用责任人,避免出现滥用的问题。除此之外,企业应严格按照战略发展需求制定相应的投、融资计划,避免出现盲目投资的现象,最大限度地减小企业资金利用风险,确保其使用安全。
(五)强化审计监督工作,确保企业资产活动合法性
在企业财务管理过程中,审计监督的主要作用在于检查内部控制制度的执行情况。当前,随着我国市场经济的发展,内部审计已经由财务审计逐渐转变为了经营审计,其不仅要求检查企业财务数据的真实性、完整性,还要确保企业资产活动的合法性。从目前的实际经验看来,在企业生产经营的一系列活动中,审计监督发挥着越来越重要的作用,也得到了越加广泛的重视。
(六)合理设置财务工作岗位,提高企业财务管理信息化水平
在财务内控管理的过程中,必须合理设置相应的财务工作岗位,确保每个岗位都有明确的责任与权限,对于部分不相容职务,应坚持分离原则,避免出现权利滥用的现象。对于企业而言,必须根据实际情况构建相应的财务管理权力制约制度,确保批准和执行工作分离、执行和审计监督工作分离,实现各个岗位的相互牵制、相互监督,进一步提高财务管理的科学性。此外,随着信息时代的到来,信息技术逐渐被广泛应用到了企业财务管理中,对此企业必须重视财务管理数字化平台的构建,其不仅有利于提高企业财务管理的效率,还有利于实现部分信息资源的有效共享,确保财务信息的准确、有效。
四、结束语
论文摘要:内部审计同样存在审计风险。本文分析了当前内部审计风险产生的原因,并从各种审计风险产生的原因出发提出了相应的防范和控制措施。
随着社会经济的发展,企业经营方式的复杂化和企业信息使用者的多元化,在企业内部审计工作中,内部审计风险日益增加。为了增强风险意识,防范和避免审计风险,应对内部审计风险的根本成因进行深刻、全面地认识,才能有效地促进企业内部审计事业的发展。
一、内部审计风险的涵义
关于审计风险的涵义,国内外学者作出了积极的探讨,目前理论界尚无准确的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”美国《审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号——内部控制与审计风险》认为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性”。
上述对审计风险的权威性的解释虽然表述不同,但均限于财务报表审计风险。但审计除了对财务报表进行审计外。还有相当丰富的工作内容。按照美国《审计准则说明》第47号,审计风险是审计师“无意地”产生的,再看我国《独立审计具体准则第9号—内部控制与审计风险》定义的审计风险,是会计报表存在重大的错报或漏报,同时结合我国《独立审计具体准则第8号—错误与弊端》第2号指出“本准则所称的错误,是指会计报表中存在的非故意的错误或漏报。”我们不难看出审计师有意发表错误意见的情况不属于所定义的审计风险,由此造成的全部责任,应由审计师承担。也就是说,审计风险产生于无意识之中。
由于企业内部审计的环境不同、审计所涉及的内容不同、审计的目标不同、内部审计所发挥作用的大小不同,对内部审计风险的认识也会有所不同。基于上述对审计风险的认识。笔者认为企业内部审计风险,是企业内部审计组织或人员在实施审计过程中无意地对存在重大的错报或漏报的会计报表以及对具有重要影响的经营活动审计后发表的不恰当的审计结论,造成审计对象和与之相关方面遭受损失或损害,并由此引起审计主体承担这种责任的风险。明确这一概念必须清楚,企业内部审计组织或人员是审计风险产生的主体,审计风险的本质表现为无意地发表错误审计结论的可能性。
二、内部审计风险产生的原因
内部审计与外部审计在审计风险的基本原理上是相同的,是指财务报告存在重大错报、漏报或企业经营管理上存在弊端和漏洞,而内部审计人员认为财务报告是合法、公允以及经营管理是健全的,并因此提出不恰当审计意见的可能性。通常人们认为审计风险主要是由于审计机构或审计人员主观判断错误所致,其实审计风险贯穿于整个审计过程之中。我们可以这样认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报、漏报或企业经营管理上存在弊端和漏洞的风险,另一方面是审计人员审计后表示该报表并不存在重大错报、漏报的风险。也就是说。审计风险的产生是客观的存在和主观的努力结合。笔者认为,内部审计风险产生的原因主要有以下几个方面:
(一)内部审计机构的相对独立性
内部审计机构是单位内部设置机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性不如外部审计,在审计过程中,不可避免地受本单位的利益限制。就内部审计的实质而言,充其量是企业的管理手段之一,只是服务于企业管理当局的管理工具,是管理当局主观意志的体现。鉴于此,企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公正、合理的评价。特别是当面对领导参与或法人违纪时,内部审计往往无能为力。在这种情况下,作为企业的内审部门,如若服从于长官意志,不能对企业的财务进行有效监控,不能做出真实、客观的评价,听之任之,而出具虚假审计报告,就会埋下巨大的隐患。
(二)内部审计方法存在弊端
目前内部审计采用的审计方法是制度基础审计,这种审计方法的弊端日渐突出。已不能适应当今复杂的经营环境。因为它过分依赖被审计单位内部控制制度的测试,本身就蕴藏着巨大风险。(三)内部审计所处的外部审计环境不佳
具体表现为:(1)法制不健全。随着市场经济的发展和改革的深入,许多新情况、新问题不断出现,而目前我国内部审计的依据仅有一部1995年7月的《审计署关于内部审计工作的规定》,缺乏统一的内部审计准则。(2)审计对象的复杂性和隐蔽性。内部审计事项的复杂性和隐蔽性往往会增加审计难度,使审计人员对事实真相难以做出准确判断。由于内部审计事项一般与企业生产经营活动联系较为密切,涉及到企业生产经营的方方面面,一些敏感事项涉及人事关系复杂,舞弊手段隐蔽,内审人员取证难度较大,从而面临审计风险。(3)被审计单位内部控制制度较差,会计信息失真。使得内部审计风险增加。
(四)内审人员业务素质参差不齐
目前我国内部审计人员整体水平不高。综合素质较低。识别风险、判断正误的能力较差:有些人职业道德欠佳,不能经受各方面的诱惑;内审人员普遍缺乏计算机审计技能,不能适应新形势的需要;所有这些将给内部审计工作的质量、信誉带来负面影响,从而导致审计风险的出现。
三、内部审计风险的防范和控制
(一)提高内审人员的素质
加强内审行业的队伍建设,培养一批高素质的专业审计人才是推动我国内部审计事业发展的当务之急,也是防范审计风险的最有效措施。首先,必须改变目前的用人机制,选派那些具备相应的技术资格和业务能力的人员充实内审队伍:其次,要加强对内审人员的后续教育。使他们能熟练掌握审计的基本知识、基本技能和基本方法,熟悉会计、经济管理、经济法规等相关知识,提高内审人员的审计查证能力、审计协调能力及审计表达能力,以适应不断发展的新形势的需要。
(二)改进内部审计的方法,采取风险基础审计方法
风险基础审计是将审计风险观念全面应用于审计过程的一种审计模式,它通过对审计风险进行系统的分析和评价,来确定审计风险是否可以控制在可以容忍的范围内。它主要运用分析性复核的方法,不仅对客户的控制风险进行评价同时更要对产生风险的各个要素进行分析和评价,以确定实质性测试的范围和重点,这样就使审计风险与整个审计过程密切联系起来。风险基础审计依据下列基本模式进行审计决策,即:
详细检查风险=审计风险/(固有风险×控制风险×分析性检查风险)
内审人员首先研究确定审计风险可以接受的水平,然后评估固有风险、控制风险和分析性检查风险,最后根据各种风险水平参数计算检查风险水平。根据确定的详细检查风险水平及其他有关数据。运用统计抽样方法。即可确定详细检查需要抽查的经济业务或记录的数量。近几年来,风险基础审计在世界各国已广泛使用,其原因就在于它从审计准备阶段开始就考虑审计风险,并把它控制在最低水平,从而减轻审计人员的法律责任降低审计风险。内部审计也应尽快实现向这种审计模式的过渡以提高审计效果和质量。
(三)加快有关审计法规制度建设
当前,世界上许多国家对内部审计都有专门的法律、规范,国际内部审计师协会也制定有内部审计实务标准等。我国应抓紧制定、颁布内部审计法规和内部审计业务准则,以统一内部审计执业规范,降低审计风险。在中国经济走向世界的同
时,内部审计还要借鉴国外的先进经验。尽快地同国际惯例接轨,以谋求长足的发展。
(四)建立完善的内部质量控制制度
首先内审机构应建立健全各项规章制度并严格执行,尤其要严格审计工作底稿的分级复核制度(可根据本单位实际情况设立二级或三级复核制),减少或消除人为审计误差,及时发现和解决审计过程中遇到的问题。以保证审计计划的顺利进行,降低审计风险。其次,要建立一套审计质量指标体系,以加强对内审人员工作质量的考核,从而减少人为风险。
[关键词]内部审计内部控制风险管理
国际内部审计师协会(IIA)在1999年出版的《内部审计实务标准》一书中对内部审计重新进行了表述,它认为,内部审计是一种独立、客观的保证与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。这个描述第一次将内部审计从企业(机构)的普通经营管理活动的阵营中解放出来,第一次将内部审计的视角直接的对准了企业(机构)的内部控制、风险管理及治理程序。这无疑是内部审计理论的重大发展,也为内部审计工作开辟了更广阔的空间,与此同时,重新理解内部审计,特别是正确认识内部审计与内部控制、风险管理的关系也彰显出了重要的意义。
一、风险管理与内部控制的关系
在分析内部审计与内部控制、风险管理的关系之前,让我们沿着美国COSO委员会所发表的框架理论来回顾一下内部控制、风险管理的历史及两者的关系,这将有助于理解内部审计在其中的职责。
美国COSO委员会于1992年发表并于1994年修订的《内部控制――整体框架》报告将内部控制定义为由董事会、管理层和员工共同设计并实施的,旨在为实现组织目标提供合理保证的过程;并设定了三类目标――经营的效果和效率、财务报告的可靠性、法律法规的遵循性;阐述了五项构成要素――控制环境、风险评估、控制活动、信息与沟通、监督。这个报告很快被世界上许多企业所采用,但同时人们也发现该报告存在着对风险强调不足等问题。COSO委员会针对这些问题,在原报告的基础上,结合《萨班斯――奥克斯利法案》的要求,扩展研究得出《企业风险管理――整体框架》报告(ERM报告),于2004年9月正式颁布。
ERM报告是对内部控制框架的新发展,与内部控制框架相比,风险管理框架在内容和范围上都得到了扩大和提高,讨论的范围扩大到包含内部控制系统的风险管理过程,侧重于用风险的理念来看待企业的管理和目标的实现。ERM报告指出,内部控制是企业风险管理不可分割的一部分,ERM报告包含内部控制,是一个更广泛的管理理念和管理工具。但也强调,由于“内部控制整体框架经受了时间的检验,并成为现行许多法律法规和制度的基础”,因此它依然是有效的、可以执行的。
二、内部审计与内部控制的关系
“现代内部审计之父”劳伦斯B.索耶在其名著《现代内部审计实务》中指出,(内部)控制对内审人员来说,既是一种机会,也是一种责任。内审人员不可能成为企业生产经营管理各方面的专家,但是,胜任的内审人员有一个“芝麻开门的秘诀”,运用这个秘诀,他们能打开通常只有技术专家才能打开的大门,运用这一秘诀,他们能帮助解决这些大门背后的许多问题。这一秘诀就是(内部)控制。可见,内部控制是内部审计关注的重点,也是实现审计目标的桥梁。事实上,内部审计与内部控制之间的关系是相互依存的,内部审计是内部控制系统的重要组成部分,是对其余内部控制要素的再控制;而内部控制又是内部审计的直接对象,通过内部审计的检查、评价而不断的促进内部控制的健全完善。内部审计对内部控制的关注远远超过了外部审计,可以说“内部审计就是通过对内部控制的审查和评价进而把握整个管理活动的,在我国当前的内部审计实务中尤为如此。”
内部审计与内部控制之间的关系也是相互作用的,两者都是企业经营管理的重要组成部分,都具有为企业目标的实现而服务的最终的、相同的目标。从系统论的角度分析,内部审计的有效实施将对内部控制的效率、效果产生积极影响,反之,将使内部控制的运行失去有效监督,产生消极影响;同时,内部审计作为内部控制系统的一部分也会受到整个系统的影响,一个健全、有效的内部控制系统无疑将为内部审计提供一个良好的审计环境,从而促进内部审计质量的提高。
三、内部审计与风险管理的关系
内部审计对风险管理的关注是在对传统的内部控制的关注基础上发展起来的,是与企业经营管理在更高层次上的融合,是风险理念与内部审计结合的成果,也是内部审计顺应时展的要求,不断发挥自身价值的必然选择。两者之间依然具有依存关系,从ERM报告可见,内部审计作为监督要素的重要内容是风险管理的一部分,随着内部审计范围的扩大,审计的对象不仅仅是内部控制,而是企业的风险管理过程,内审人员通过检查、评价、报告风险管理过程的充分性和有效性,并提出改进建议来协助管理当局将风险控制在可以接受的范围之内。这一点在我国企业界表现的尚不明显,但“许多西方发达国家的优秀企业已充分认识到内部审计对风险管理的重要意义,在继续开展内部控制审计的同时,把关注的重点转向了对企业各个领域风险管理的有效性。如美国通用电器(GE)公司的内部审计部门把为支持企业风险管理提供独立的评价和建议服务作为自己重要的职责。杜邦(DuPont)公司在全球六大地区设立了20个战略经营机构,其内部审计部门在这六个地区分别派驻一个审计小组,其主要职责是及时、准确的了解业务运做情况,找出固有风险,评估对这些风险所实施管理的有效性程度,进而向内部审计主管提出对哪些领域或项目开展风险审计的建议,以便及时的、有针对性的开展风险管理审计”。
内部审计与风险管理也存在着相互作用的关系。内部审计的目标之一是增加企业的价值,而增加价值的前提之一就是企业风险的管理――准确的识别、恰当的评估、合理的反映并将风险控制在可接受范围,而这个过程正是企业风险管理过程的核心所在,因此风险管理是否有效将决定着内部审计的目标能否实现。同时内部审计又是企业风险管理过程的重要组成部分,独立的对风险管理过程进行审查、评价和建议,维护着系统的正常、有效运行。
此外,风险管理还决定着内部审计的审计计划制定、审计资源配置、审计技术水平和审计报告内容等具体工作。IIA认为,审计执行主管应根据风险制定计划,确定符合机构目标的内部审计工作重点。应使机构的风险管理与内部审计程序之间协调一致,产生协同增效的作用。
四、内部审计、内部控制和风险管理三者的关系
内部审计、内部控制和风险管理三者之间相互依存,相互作用,形成一个有机的整体,贯串于企业经营管理的始终,共同服务于企业的战略、目标。风险管理为内部控制和内部审计提供了逻辑起点,也为内部审计和内部控制指明了努力的方向;内部控制为风险管理提供了控制机制,也为内部审计提供了审计对象;内部审计不仅直接以风险管理和内部控制作为检查和评价的对象,而且通过咨询服务帮助风险管理和内部控制的完善和优化。下图在要素层面描述了内部审计、内部控制与风险管理之间的关系。
从上图可以看出,内部审计已不再是一个孤立的概念,而是与内部控制、风险管理密切相关,三者均是现代企业经营管理活动的重要组成部分,共同为实现企业既定的目标服务,三者关系密不可分,只有彼此的有效融合,才可充分发挥其效用。
参考文献:
[1]金李若山徐明磊:COSO报告下的内部控制新发展――从中航油事件看企业风险管理.会计研究,2005(2)
[2]国际内部审计师协会,中国内部审计协会编译:内部审计实务标准.2003年修订版,北京:中国时代经济出版社,2004
[3]王晓霞孙坤张宜霞:论风险导向的内部审计理论与实务――通过解读IIA2001版《内部审计实务标准》看内部审计的风险导向.审计研究,2004(2)
内部控制的重要性被越来越多的企业所重视,他们纷纷趋之若鹜地着手建立自己企业的内部控制系统,但是大多数人对内部控制都没有完整的认识,本文在深入探讨内部控制基本概念和回顾整理内部控制和风险管理相关文献的基础上为人们更清晰认识内部控制提供了研究结果。
内部控制基本概念
内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。控制环境是基础,包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等;风险评估是重要环节和内容,包括目标设定、风险识别、风险分析和风险应对;控制活动是具体方式和载体,包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制等;信息与沟通是重要条件,包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等;监测是重要保证,要进行持续性监督检查,提交检查报告并提出改进措施。
内部控制理论文献综述
吴水澎、邵贤弟、陈汉文等人探讨了企业内部控制理论的发展与启示。作者在研究了内部控制理论当时的最新进展,即COSO报告之后,提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面,即完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督;同时建议有关部门和团体制定企业内部控制准则或指南,为企业内部控制建设提供一个框架和参考依据。
陈关亭讨论了企业内部控制的假说,并着重分析了如下几个问题:第一,风险管理与管理的关系。作者认为管理包括机会管理和风险管理两个方面。机会管理主要是增加价值,而风险管理主要防止价值减少。第二,风险管理与内部控制的关系。作者认为风险管理与内部控制并不是包含关系,而是完全等价的。第三,内部控制与财务报告的关系。作者认为,既然企业可以作假帐,那么就同样可以超越内部控制,内部控制很难防止虚假财务报告。第四,企业层面控制与业务层面控制的关系。认为企业层面控制应贯通业务层面控制。第五,COSO框架与我国内部控制现状。在COSO框架评价下我国企业的内部控制远未取得预期的效果。
杨雄胜则指出传统的内部控制理论已面临来自研究对象、控制立足点及前提条件三方面的挑战。控制对象已不再是权力制衡、结构稳定的组织,内部控制成为组织全力制衡的机制,应使组织具有学习型特征。必须把基于权力控制的内部控制转变为基于信息观的内部控制。
潘琰与郑仙萍则注重对内部控制理论构建的基本假设进行了探讨。他们在界定内部控制基本假设的内涵和厘清内部控制基本假设的特征之后,提出内部控制的四个基本假设:控制实体假设、可控性假设、复杂人性假设和不串通假设。
谢志华则探讨了内部控制的本质和结构。作者指出企业组织关系包括设立关系和运行关系,这两种关系决定了企业内部控制的本质和结构。在企业组织关系中,在发起设立时会形成平等的契约关系,以此为基础所形成的企业内部控制的本质是制衡。而在运行时会形成科层的等级关系,以此为基础所形成的企业内部控制的本质是监督。制衡和监督既相互区别又相互联系。
[关键词]内部审计;风险管理;
近些年来,有些内部审计组织开始介入风险管理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,以至于国际内部审计师协会在1999年通过的内部审计的最新定义把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对此问题进行阐述。
一、风险、风险管理
(一)风险、风险因素、风险事故和损失
风险是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中,要涉及到风险因素、风险事故和损失三个方面。
风险因素,是指能够引起或增加风险事件发生机会或影响损失的严重程度的因素。风险因素可分成三类:(1)物理因素,是指增加风险发生机会或损失严重程度的直接条件;(2)道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素;(3)心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素。
风险事故,是指在风险管理中直接或间接造成损失的事故,因此可以说它是损失的媒介物。
损失,是指非故意的、非计划的和非预期的经济价值的减少,通常以货币单位来衡量。损失分为直接损失和间接损失两种。直接损失是实质性的损失,间接损失则包括额外费用损失、收入损失和责任损失三种。额外费用损失是必须修理或重置而支出的费用;收入损失指由于该企业设备损毁以至无法生产成品而减少的利润;责任损失指由于过失或故意致使他人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。
对于风险因素、风险事故和损失之间的关系,有两种解释理论:一是亨利希的骨牌理论;二是哈同的能量释放论。他们都认为风险因素引发风险事故,而风险事故导致损失,但侧重点不同。前者强调三张骨牌之所以相继倾倒是由于人的错误所致。后者则认为之所以造成损失是由于事物所承受的能量超过其所能容纳的能量所致,物理因素起主要作用。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。对什么是风险管理,一些学者提出了自己的看法,美国学者克里斯蒂认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯和汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国的陈佳贯认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法。
二、内部审计参与风险管理的动因
内部审计之所以涉足风险管理领域,主要有以下几个原因:
1、企业面临的风险日益增大
近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。
2、内部审计对发展的渴求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
3、内部审计能够在风险管理中发挥独特的作用
内部审计在风险管理中的独特作用有三:
(1)能够客观地、从全局的角度管理风险
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过渡道德风险,因为风险不是由你们来承担(至少不是单独承担),如,采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗藏的风险会在生产车间或销售部门反映出来,最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
(3)内部审计部门的建议更易引起重视
有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
4、外部审计的影响
近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计部门和内部审计人员对企业面临的风险更了解;内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
三、内部审计如何参与风险管理
与一般的风险管理部门进行的风险管理相比,内部审计部门所进行的风险管理既与其有紧密的联系,又有区别。他们的联系表现在,两者的目的是统一的,都是为了降低企业的风险;两者的区别在于他们在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:(1)评估风险识别的充分性;(2)评价已有风险衡量的恰当性;(3)评估风险防范措施的充分性,并提出改进措施。
(一)评估风险识别的充分性
所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
(二)评价已有风险衡量的恰当性
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法、蒙特卡罗模拟方法等。
(三)评估风险防范措施的充分性,并提出改进措施
风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,以强化企业的风险管理,降低风险损失。采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
综上所述,内部审计涉足风险管理领域有其客观必然性,是环境因素和其本身因素使然。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督。但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要的情况下,它可以直接进行风险管理。内部审计介人风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要进一步深入探讨的课题。
[参考文献]
1、张坤化学工业出版社《内部审计和风险管理》2004年10月
2、李三喜中国物价出版社《内部审计规范精要与案例分析》2006年1月