内部审计与风险管理的关系
【摘要】随着经济全球化和资本市场自由化的发展,企业所面临的经营环境日趋复杂,各类风险不断涌现。为有效避免企业战略风险和经营风险,在内部审计实践中研究并应用好风险管理显得尤为重要。本文对内部审计和风险管理的概念、内容及其内在联系进行了阐述。结合风险识别、分析、规划应对措施和管理控制等环节阐明内部审计的职责,科学运用风险识别和风险分析的方法充分发挥内部审计的作用。并提出了在内部审计工作中强化风险管理的建议。
【关键词】内部审计 风险管理
在全球经济日益发展变化的新形势下,内部审计在风险防范和决策管理中的作用越来越明显,在企业发展中的职能正在逐渐增强。同时,随着管理层风险意识的转变,内部审计也实现了在企业管理中角色的转变,这对企业来说变得更具战略意义。内审部门作为公司决策层的参谋和助手,以风险导向审计理念为指导,开展监督和评价工作,为企业有效规避经营管理风险提供咨询和服务,从而为增加企业价值服务。
一、 内部审计与风险管理的内涵及联系
(一) 内部审计的概念及涵义。
内部审计经过几十年的发展,经历了以财务审计业务为主再到以管理审计为主的几个重要的发展阶段。2001年国际内部审计师协会(IIA)发布的新版的《国际内部审计专业实务标准》将其定义为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。”该标准在2009年第四次颁布的《国际内部审计专业实务框架》中进一步确认并强制推行。此次定义,以帮助企业增加价值为目标,以紧密联系企业风险为主线,把内部审计业务拓展到企业的风险管理、内部控制与企业治理三大领域,表明了内部审计的职能是站在企业整体利益的立场上,发挥着增加企业价值和提高组织运作效率的作用。
我国内审协会(CIIA)于2003年颁发了我国第一套内部审计准则,其《内部审计基本准则》第二条将内部审计描述为:内部审计是指组织内部的一种独立客观的监督和评价活动,他通过审计和评价经营活动和内部控制的适当性、合法性和有效性来促进组织目标的实现。明确了内部审计活动范围是“经营活动和内部控制活动”,内部审计的职责是监督和评价,目的是促进企业整体目标的实现。
针对内部审计的主要内容之一——内部控制,COSO在1992年发布的《内部控制一体化构架》报告中给出了明确的定义:内部控制是受企业董事会、管理层和其他人员的影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。其控制要素包括控制环境、风险评估、控制活动、信息与沟通、监督等五大方面。而我国五部委制定的《企业内部控制基本规范》也规定了相应的五大要素,其中的“监督”就明确为内部监督,指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
可见内部控制是内部审计的主要内容之一,内部审计又是内部控制的重要环节和手段,二者密不可分。
(二) 风险管理的概念及涵义。
IIA2001年新颁发的《国际内部审计专业实务框架》将风险定义为:“指对实现目标有影响的事件发生的可能性,风险通过影响程度和发生的可能性来衡量。”风险管理是指围绕企业风险去管理策略目标,即:针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、质量、安全生产和环境保护等各项业务及流程可能存在的风险,制定并执行规范的风险管理流程和配套的规章制度,为实现组织的既定目标提供合理保证。
2004年9月COSO发布了《企业风险管理框架》的研究报告将风险管理的内容确定为八大主要部分,即:内部环境、目标设定、时间辨认、风险评估、风险回应、控制活动、资讯与沟通、监督。可见,风险管理几乎涵盖了内部控制的所有内容,只是双方的关注角度不同而已。对一个企业而言,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理的范围都是企业管理的范围,内部控制是企业的管理职能,当然也是风险管理的主要手段,当合理舞弊时内控无效,就需要风险管理来辅助,此时内部审计将成为有力的保障和推手。
(三)内部审计与风险管理的联系。
通过对内部控制的监督和评价,可以反映风险管理是否有效和完整,通过对风险管理的审计可以发现内部控制是否有效和健全,二者是相辅相成又相互补充的。而这些监督和评价需要内部审计来完成,有效的内部审计不会将内部控制和风险管理单一地分别开,而是以经营目标为主线,以业务发生为切入点,针对业务发生的流程和特性,检查经营的效率效果、财务报告的可靠性、相关法规的遵循性,同时揭示其存在及潜在的风险,从而体现内部审计的监督和增加企业价值等作用。内部审计是监督的主要方式之一,它通过独立监督评价其内部控制的适当性、合法性和有效性,促进内部控制的完善。并能从中发现风险,揭示风险,促进对风险的规避和管理。既然监督是风险管理的重要构成要素,那么在风险管理系统中内部审计也是最为重要的一项内容。因此,中石化内部审计部门采取了以风险为导向、以内控为主线的审计模式,并在整合以上概念的基础上,提出了“大审计”、“免疫系统”功能、“审计监督与服务并重”、“审计增加价值”四大审计理念,将风险管理和内部控制有机地融入内部审计工作中。
二、 内部审计在风险管理中的职责及现状
随着内部审计从最初的查错纠弊到帮助管理者更好的履行职责,再到为企业增值提供服务。它将内部审计的职责由财务遵循性控制转变为企业的管理控制,公司管理层越来越期望内部审计能够参与内部控制流程改进、企业的创新发展、及关键业务的风险识别与控制等管理工作。国际内部审计师协会(IIA)颁布的《内部审计实务标准—专业实务框架》认为,内部审计计划应反映组织的风险战略,组织的风险管理与内部审计程序应该协调一致,并产生协同增效的作用。实务标准指出内部审计部门要依据风险评估制定内审计划,并建议对审计范围至少每年要进行一次评估,以反映组织的最新战略和方针,以及要在评估风险优先次序的基础上确定内部审计工作重点等。可见,内部审计部门将是风险管理的重要参与者,风险管理将是内部审计工作的重要内容,内部审计承担全面风险管理的监督职责,将成为风险管理的重要手段。但是,为保持内部审计的独立性和客观性,内部审计不应承担应属于管理层的风险管理责任。
国际上一些著名企业已经意识到将风险管理和内部审计相结合来治理企业、以满足企业的战略需求的必要性。比如:沃尔玛公司在董事会下设审计委员会,专门负责管理风险管理事务;Entergy公司(美国最大的电力公司之一)让内部审计部门和风险管理部门合署办公;GE公司将其内部审计的职责重新定义为“为支持企业风险管理提供独立的评价和建议服务”;中国石化和中国石油等国内大型企业都已初步建立了自己的风险数据库矩阵,开始用于内部控制和日常管理中。这些公司都将通过内部审计将日常的风险控制和风险战略规划有机的结合起来,以促进公司战略目标的实现。
尽管如此,内部审计在风险管理过程中的作用仍有相当大的提升空间。2008年安永会计师事务所全球内部审计调查显示:即使审计委员会和管理层已经认识到了对企业关键风险进行评估和管理的重要性,仍有三分之一的受访者表示尚未在企业内部开展全面的风险管理工作;约一半的受访者表示其内部审计目前只是有限地参与或尚未参与企业的风险管理;受访的大部分企业除内部审计之外还有其他风险管理部门。调研结果显示在风险评估的流程中,风险管理职能部门之间整合度很低;有20%的受访者表示其企业的风险评估活动进行了很好的一体化,19%的受访者表示完全没有进行过协调与整合。几年过去了,在风险管理方面可供大家借鉴的先进经验还相对较少,企业在此方面仍有很大的改进空间。风险管理工作未能有效开展的主要原因包括:1.管理层对风险管理和内部审计如何有效的协调统一还处在意识形态阶段,还没有成型的方法和模式;2.现有人员缺乏风险管理相关的专业知识和经验,缺乏对行业知识和领先实践的了解,缺乏专业的工具和技术手段。
三、内部审计在风险管理过程中的作用
对于内部审计,为了能够更好地监控风险,应当认知企业的风险,掌握企业的风险,从而能够更好的参与风险管理,为控制风险提出切实可行的建议和措施。即内部审计要参与风险的识别、分析、管理和控制的全过程,以了解企业的风险所在和存在问题的关键环节,从而起到更好地监督服务作用。
(一) 识别风险。
识别风险是判断哪些风险会影响组织目标或企业战略,并记录其特征的过程;是对企业面临的以及潜在的风险加以判断、归类和鉴定的过程,需要对风险的载体--企业管理中每一个具体的“活动”加以分析和判断。风险存在于企业的经营活动和管理活动中,会随着企业运作的变化而变化,所以,识别风险应当是全面系统地、循环往复地工作。风险识别的参与者可包括企业的各级领导、风险管理团队、各个业务部门,更应当鼓励企业全员参与风险识别工作。风险管理部门对各部门采用统一的格式对各部门、各业务的风险进行描述和汇总,对各风险事件的影响进行比较,统筹关联,形成网络型的风险数据库,并随着业务的开展不断的变更和完善。内部审计应当是风险识别工作的重要参与者,最好是风险管理团队的核心力量,不仅要对本部门业务涉及的风险加以识别,还应当熟知所有已识别的风险,为更好的监督与服务提供先决条件。
识别风险的方法有很多,主要有如下几种:1.文档审查。即对企业各种项目文档(包括各种计划、假设条件、以往的项目档案和其他信息)进行结构化审查。企业目标、成本计划、质量规划、经营需求和假设条件等,都是风险的依存条件和载体。2.信息收集技术。即采用灵活多变的手段收集与风险相关的各种信息。可以是允许团队内外人员皆可参与的、大家畅所欲言的头脑风暴法;3. 德尔菲技术。即组织风险专家匿名参与问卷调查,就某个专题达成一致意见的。该技术通过对专家的答卷进行归纳,并把结果反馈给专家,请他们做进一步评论。重复几轮后,就可能取得一致意见;4.访谈。即通过访谈有经验的项目参与者、干系人或相关主题专家,识别出某些风险。5.核对表分析。根据以往类似项目或从其他渠道积累的历史信息与知识,编制风险识别核对表。运营过程中应不断地对核对表进行审查,并根据新的经验教训改进核对表,供未来的管理活动中使用。6.假设分析。每个项目和每个已识别的风险都是基于一套特定的假设,比如预算条件。假设分析是检验假设条件在项目中的有效性,并识别因其发生的错误、变化、矛盾或片面性所导致的风险。7.SWOT分析。这种方法从企业活动的每一个优势(Strength)、劣势(Weakness)、机会(Opportunity)、威胁(Threat)出发,对项目的优劣势和前景进行综合分析,先从企业组织或更大业务范围的角度,识别经营活动的优势和劣势,再识别出产生优势的各种机会,以及产生劣势的各种威胁。再分析优势和威胁的抵消程度,以及机会可以克服劣势的程度,从而更全面地考虑风险。在风险识别过程中,风险识别责任人可以根据自身的情况选用一种,或做组合选择。
(二) 实施风险分析。
首先,实施定性风险分析,即根据风险发生的相对概率或可能性、风险发生后对企业目标影响的重要程度等来评估已识别风险的优先级。这类评估往往会受管理层和项目团队等干系人的风险态度的影响,故需要清晰地识别关键参与者的风险态度,他们的风险偏好会导致风险评估的偏颇,分析时要对此加以考虑。通常用概率影响矩阵来评估每个风险的重要性和所需关注的优先级,即根据风险发生的概率及其影响的重要程度,分别针对每个目标(比如成本、进度和质量)评定风险等级,把风险划分为高、中、低档,数值最大区域代表高风险,数值最小区域代表低风险,数值介于最大和最小之间区域代表中等风险。同时,可以编制一个全面的项目风险评级方案,来反映组织对各个目标的偏好程度,风险发生的紧急程度等,并据此为各个目标分配风险影响的权重。最后,可以在同一矩阵中,分别列出机会和威胁的影响水平,从而有助于指导规划风险应对。
其次,实施定量风险分析。是对在定性风险分析过程中被认为对组织目标或管理存在或潜在重大影响的风险进行量化标定的过程,是在不确定情况下进行决策的一种量化方法。它可以为每个风险单独进行量化评级,也可以评估所有风险对项目的总体影响。在规划风险应对之后,应该随着监控风险过程的开展,重新实施风险定量分析,以确定项目总体风险的降低程度是否令人满意。通过反复进行定量风险分析,可以了解风险的发展趋势,并揭示增减风险管理措施的必要性。这也是内部审计在审计过程中所必须关注的重要内容。定量分析的方法很多,最常见的方法有:1.三点估算,此方法是利用经验和历史数据,收集最乐观(低)、最悲观(高)与最可能情况的信息,并根据“(最乐观的数据+4×最可能的数据+最悲观的数据)÷6”的公式得出估算的数据,从而来判断风险的大小。三点估算法常见于活动进度和成本的估算;2.概率分布。在创建模型和模拟技术中广泛使用的连续概率分布,代表着数值的不确定性,比如进度活动的持续时间有多重情况的发生,根据其发生的概率来量化分析存在的风险;3.敏感性分析。此方法是把所有不确定因素都与固定的基准值比较,来考察每个因素的变化会对目标产生多大程度的影响。用于比较很不确定的变量与相对稳定的变量之间的相对重要性,从而确定哪些风险对项目具有最大的潜在影响;4.预期货币价值分析。预期货币价值(EMV)分析是当某些情况在未来可能发生、也可能不发生时,计算平均结果的一种统计方法。机会的EMV通常表示为正值,而风险的EMV则表示为负值。EMV是建立在风险中立的假设之上的,既不避险,也不冒险。把每个可能结果的数值与其发生的概率相乘,再把所有乘积相加,计算出项目的EMV。通过对比不同决策的EMV来决定最终的选择。
(三)规划风险应对措施。
规划风险应对措施是根据风险分析的结果,针对企业目标和管理的需要,制定提高企业发展机会的方案和降低风险影响的措施的过程。在规划风险应对措施的过程中,需要根据风险的优先级来制定应对措施,并把风险应对所需的资源计入成本预算、进度计划和经营管理计划中。拟定的风险应对措施必须与风险的重要性相匹配,能经济有效地应对挑战,在当前运营情况下现实可行。针对不同的风险可以利用适当的风险分析方法,来选择最适当的应对策略,经常需要从几个备选方案中选择最佳的一项,也可以是若干种风险应对策略组合使用。风险应对措施必须是及时的、最有效的应对,要由专人具体负责,并能获得全体相关方的同意。然后,应制定具体行动去实施该策略,包括主要策略和备用策略。同时还应制定弹回计划,以便在所选策略无效时加以实施。还应该对次生风险(由应对策略导致的风险)进行审查。经常要为时间或成本分配应急储备,并注明动用应急储备的先决条件。
风险的应对措施一般包括回避、转移、减轻和接受。1.回避。风险回避是指改变计划,或改变受到威胁的目标,以完全消除风险威胁。如延长进度、改变策略或缩小范围等。最极端的回避策略是取消整个项目。对早期出现的某些风险,可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以回避;2.转移。风险转移是指把某风险的部分或全部消极影响连同应对责任转移给第三方。该策略对处理风险的财务后果最有效,发生风险转移几乎都需要向风险承担者支付风险费用。具体形式包括保险、履约保函、担保书等;3.减轻。是指提前采取行动把不利风险事件的概率和/或影响降低到可接受的临界值范围内。这比风险发生后再设法补救,往往要有效得多。例如,在一个系统中加入冗余部件,可以减轻主部件故障所造成的影响;4.接受。预计风险发生时几乎不可能消除其全部威胁,只有采用风险接受策略。最常见的主动接受策略是建立应急储备,即安排一定的时间、资金或资源,对某些特定事件没有有效的应对措施时设定应急储备,并规定只有在某些预定条件发生时才能动用。管理过程中应对触发应急策略的事件进行跟踪,适时监控风险的变化。
(四)监控风险。
监控风险是在整个项目中,实施风险应对措施、跟踪已识别风险、监测残余风险、识别新风险和评估风险管理过程有效性的工作。应该在经营管理活动中持续监督各项活动,以便发现新风险、风险变化和过时的风险,适时实施既定的风险应对措施。风险监控的主要内容包括:1.计划的假设条件是否仍然成立;2.某个已评估过的风险是否发生了变化,或已经消失;3.风险管理政策和程序是否已得到遵守;4.根据当前的风险评估,是否需要调整成本或进度应急储备;5.根据可能涉及的替代措施实施应急或弹回计划,并及时调整成本、进度等管理计划。风险应对责任人应定期向管理层汇报计划的有效性、未曾预料到的后果,以及为合理应对风险所需采取的纠正措施。
风险控制的方法主要有以下几种:1.风险再评估。即根据计划目标的进展情况,反复进行监控风险和识别新风险,并及时删除已过时的风险;2.偏差和趋势分析。即通过实际和计划对比来进行差别分析,得出计划偏差和发展趋势。分析的结果可以揭示计划在完成时可能偏离成本或进度目标的程度,能够表明威胁或机会的潜在影响;3.技术绩效测量。即把执行期间所取得的技术成果与计划所要求的技术成果进行比较,据此分析技术绩效的偏差,偏差值有助于揭示项目面临的技术风险程度;4.储备分析。指在项目的任何时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理;5.状态审查会。风险管理部门应当定期召开状态审查会,会议内容取决于已识别的风险及其优先级和应对难度。越经常开展风险管理,风险管理就会变得越容易,越能促使人们识别风险和机会;6.风险审计。通过内部审计(也可委托外部审计)来检查风险应对措施的有效性,以及风险管理过程的有效性。内部审计既可以在日常的状态审查会中进行风险审计,也可单独立项进行全面系统的风险审计,且以上风险控制的方法在风险审计中均可以使用。
四、关于内部审计在风险管理中能够发挥有效作用的几点建议
随着国际化进程的加快,企业面临着不断发展变化的各种局面,内部审计工作如何在审计实务中有效地识别并揭示企业面临的各类风险,如何提高审计效率与效果,帮助管理层有效控制、降低或消除经营风险,是目前内审部门亟待解决的问题。尤其是中央企业的内审部门需要更新观念统一思想,正确认识风险管理对有效开展内部审计具有重要指导意义。以下就内部审计在风险管理中能够发挥有效作用提出几点建议:
(一) 加强人才培养,提高对内部审计队伍的风险管理水平。
为了使内部审计能够有效地进行风险监督,专业人才的培养与合理的人员配备显得尤为关键。在所需技能上的投入将为有效的风险管理工作提供保障。目前就内审部门而言,具有丰富的风险管理相关专业知识和经验的人员还很缺乏,审计队伍仍缺少对企业风险的认识和有效的控制手段,最根本的原因是对企业的风险构成不甚了解,急需提升风险管理的整体水平。首先,应对企业的风险管理政策进行学习,关注其与企业经营管理和内部控制的结合程度,掌握企业战略意义及风险;其次,对企业已有的风险矩阵进行剖析,掌握其来源和内涵;第三,加强与专业部门的联系与沟通,必要时可以引入业务专家参与进来,从而带动审计人员对业务层面风险的认知和掌握;第四,学习的同时对现有矩阵进行补充和完善。
(二)适时的开展风险管理审计。
风险管理审计要求内审部门对企业的风险管理情况进行总体评价,判断企业风险管理系统是否存在并有效。在风险管理审计中应当审核的主要内容包括:1.企业战略是否已包括了管理层已识别的风险,是否与风险管理政策一致;2.企业战略是否在绩效和合规之间取得平衡,且充分考虑了利益相关者的责任;3.是否有适当的程序,使企业能够将目标分解到实施层,使其对相应的风险负责;4.是否建立了企业战略与员工沟通系统;5.是否考虑了风险应对策略;6.是否包含了战略目标、经营目标、报告目标和合规目标相对应的不同层次的目标等。通过适时开展风险管理审计使审计人员不断增加对风险的感性认识,从而在实践中不断增强监督力度,提高服务质量。
(三)内部审计机构要注意与管理层的沟通。
在适当情况下,内部审计部门应与管理层就风险和风险管理中的薄弱环节进行沟通,从而掌握管理层对风险容量的确定态度。掌握管理层在确定组织目标时,是否对不同利益相关者的期望做出反应;是否考虑企业的文化;是否考虑了员工的能力;是否考虑了来自高层的信息,特别是开拓创新相关的信息;是否考虑了企业的风险层次、授权水平、控制监督水平等;是否将应承受的风险传递给合作伙伴等,并清楚了解企业准备接受风险的程度。从而能够更客观了了解企业风险,评价企业风险,提出与企业战略,与管理层决策相适应的管理意见和建议。
风险管理审计过程固然重要,但它本身不是最终目标,而是实现企业目标的过程和工具。内部审计通过要切实利用好这个过程和工具,有效的提供监督和评价服务,辅助管理层实现企业的战略目标。
【参考文献】
(1)安永会计师事务所全球内部审计调查2008年
(2)IIA.《内部审计实务标准—专业实务框架》2010年
(3)《企业风险管理框架》2004.
(4)《国际内部审计专业实务框架》中国内部审计协会 译
(5)《内部审计实务标准》中国内部审计协会 译
(6)《内部审计学》时现编,中国时代经济出版社2009年08月出版
(7)《现代企业内部审计精要》尹维劼主编
(8)《项目管理知识体系指南》(第4版)(PMBOK®指南)(美)项目管理协会著 王勇张斌译
本文来源:https://www.2haoxitong.net/k/doc/1e3e6f929e314332396893b1.html
文档为doc格式