爱华网【摘要】以风险管理为基础的内部审计理论,提升了内部审计的价值,明确了企业内部审计的发展目标和方向。本文从内部审计与风险管理的关系入手,系统地阐述了风险管理是企业治理和内部控制系统的核心,风险管理是贯穿内部审计工作的一条主线,检查评估和改进风险管理是内部审计的一项重要职责,并对当前中央企业内部审计如何开展风险管理审计进行了有益的探索。【关键词】内部审计 风险管理 风险导向继国际内部审计师协会(IIA)于2001年修订内部审计定义之后,《审计署关于内部审计工作的规定》(审计署第4号令)、《中国内部审计准则》(中内协发[2003]20号)以及《中央企业内部审计管理暂行办法》(国资委令第8号)均把企业风险管理与内部审计联系在一起。以风险管理为基础的内部审计理论,提升了内部审计的价值,明确了内部审计对企业风险管理、控制和治理程序的贡献(服务)职能和发展方向。围绕风险管理开展内部审计,对当前中央企业如何通过加强内部管理,迎接经济全球化挑战,增强核心竞争力具有一定的现实意义。一、风险管理是企业治理和内部控制系统的核心1、企业风险。企业经营管理的目标是实现价值最大化, 这种价值包括经济价值和信誉价值。按照COSO(the committee of sponsoring organizations的缩写,是一个由IIA和AICPA在内的众多组织组成的专业联盟)理论,风险(risk)是指可能对企业或组织目标的实现产生影响的事件发生的不确定性。在市场经济条件下,由于资本价值等于风险和报酬组合的函数,而风险是可能给投资人带来的预期损失,所以风险管理控制的成功与否,直接影响企业效益。企业之所以存在风险,是因为企业在生产经营过程中存在着许多可能导致损失发生的不确定因素。这种不确定因素主要包括:因使用不正确、不及时、不完整、不可靠的资料而导致决策失误;记录有错误、会计核算资料不真实、不完整、财务报告有欺诈行为以及发生财务损失;资产保护不当;顾客不满意,企业信誉受损;执行企业决策、计划、程序不力或有违法违规行为;不经济地获取或无效地利用资源;没有完成企业的任务和目标(《内部审计实务标准导读》2003年修订本,李学柔)。由此可见,企业风险具有客观性、可识别性和可控性的特点,风险的评估、预警、防范与控制是企业治理和内部控制的重要内容。2、风险管理。企业作为市场竞争的主体,在其生产经营活动中,客观地存在着风险。因此,企业必需始终关注风险,规避和控制风险,将风险降低到企业可接受的水平。所谓风险管理是指企业采取一定的措施对风险进行检测、分析和评估,并在此基础上控制风险可能造成的损失,以保证企业目标实现的科学管理方法。不同企业风险管理的方法不尽相同,但在风险管理过程中的目标是一致的。一般包括:研究界定影响企业经营战略及业务活动的各类风险,并按影响大小或程度进行排序;确定企业在各项经营战略及业务活动中能够接受的风险水平;制定并实施风险控制计划,以尽可能地减少风险造成的损失;定期对风险及控制计划进行检查评估,改进风险管理措施;定期了解风险控制结果,确保企业经营战略目标的实现。企业风险管理的策略和方法主要有:风险回避,保留或承担,预防与治理,风险中和,风险转移,保险等。不同的风险需要采取不同的风险管理方法。风险管理体系包括风险管理组织体系、风险评估体系和风险防范体系。企业应当建立风险管理控制体系,将风险管理的职责落实到企业经营管理活动各个环节,使风险管理中的风险识别、风险评估、风险反应、控制措施、信息沟通、监督等各要素有机结合,形成企业决策层、高级管理层、各职能部门和各生产组织及作业人员各负其责的风险管理体系和风险管理控制机制,以保证企业经营战略目标的实现。3、风险管理是企业治理和内部控制的核心目标。COSO委员会的《内部控制管理框架》中认为:内部控制是一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障。所谓企业内部控制系统,是指企业内部为实现经营目标,保护资产安全完整,保证遵循国家法律法规,提高组织运营的效率及效果,而采取的一系列政策、规章、制度、标准和程序。它由控制环境、风险评估、控制活动、信息与传达、监控五个内在相关的要素组成。这些要素间存在着协同作用和密切联系,共同形成一个与条件变化能动的相互作用的整体系统。由此可见,内部控制与风险管理紧密相连,内部控制的目标在于有效控制风险造成的损失。现代企业普遍采用公司制治理结构,这种治理结构是建立在所有者与经营者之间、经营者与下属管理人员之间、管理人员与一般员工之间的各层次经济责任受托关系。企业治理就是寻求各层次制衡关系的统一,以实现股东利益最大化。一般而言,股东和股东大会代表机构对公司经营状况的了解,以防范决策风险;管理层对管理、控制薄弱环节的客观反映,以规避经营风险;外部审计和监管机构对公司内部控制状况的评估,以降低审计风险和监管风险;潜在投资者对公司经营业绩和发展潜力的客观评估,以减少投资风险。可见,风险管理作为实现内部控制的关键因素,是企业治理结构的有机组成部分。企业风险管理的水平离不开企业治理的推动,企业治理的优化也离不开有效的内部控制作保障。二、风险管理是贯穿内部审计工作的一条主线1、内部审计是企业风险管理的重要组成部分。企业风险管理是一个复杂的系统工程,在这个系统中,一般由董事会负责制定风险管理战略目标,由高级管理层负责风险管理目标的综合控制实施,由各职能部门负责专项风险业务的控制管理,由所属子、分公司具体组织落实风险管理的具体措施。内部审计部门在企业风险管理中,只是对企业风险管理的充分性和有效性进行检查、评价、评估、报告并提出改进意见。国际内部审计师协会(IIA)在其制定并修订的《内部审计实务标准》及《职责说明》(2001年修订本,以下简称IIA《标准》)中指出:内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。国资委颁发的《中央企业内部审计管理暂行办法》中也提出了制定“办法”的目的之一是“为加强对国务院国有资产监督管理委员会履行出资人职责企业的内部监督和风险控制”。由此可见,风险管理是企业出资人或权利机构的一项重要职责,而内部审计是企业风险管理体系的重要组成部分。2、风险管理是内部审计工作的一项重要内容。IIA《标准》对内部审计的新定义为“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化和规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”2003年5月1日起施行的《审计署关于内部审计工作的规定》之第九条内部审计机构应履行的职责中规定:内部审计机构应当“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。”《中央企业内部审计管理暂行办法》之第三章内部审计机构主要职责中规定,内部审计机构应当“对本企业及其子企业的物资(劳务)采购、产品销售、工程招标、对外投资及风险控制等经济活动和重要的经济合同等进行审计监督”;“对本企业及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈,对企业有关业务的经营风险进行评估和意见反馈”。上述标准和规定,确立了内部审计在企业风险管理中的地位,明确了风险管理是内部审计工作的一项重要内容。3、风险管理是贯穿内部审计工作的一条主线。内部审计是围绕风险开展的审计,在制定审计计划、实施审计业务、报告审计结果以及后续审计的内部审计活动全过程中,风险是一个主要的决定因素。这一观点,不仅在IIA《标准》中得到了详细阐述,而且在《中国内部审计基本准则》及具体准则(以下简称CIA《准则》)中也进行了规范和要求。如:在制定审计计划时,IIA《标准》要求“审计执行主管应该以风险为基础,根据机构目标制定计划,确定内部审计部门的工作重点”;“内部审计活动的计划应当至少一年进行一次,并在评估的基础上制定”;CIA《准则》要求“内部审计人员应在考虑组织风险、管理需要及审计资源的基础上,制定审计计划,对审计工作做出合理安排”。在实施审计业务中,IIA《标准》要求 “审计业务的目标应是对被评价活动的风险、控制及治理过程提出意见。在制定审计业务计划时,内部审计师应发现、评价与被检查活动相关的风险。审计业务工作的目标应该反映风险评估的结果”;“内部审计师应考虑到存在严重错误、不合规、违规及其他风险的可能性”并要求“内部审计师应收集、分析、评价并记录足够的信息,实现审计业务目标”。在审计测试时,IIA《标准》要求“用于检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率”;在咨询业务中,IIA《标准》要求“咨询业务的目标是解决风险、控制与治理过程的有关事项,实现程度是以客户达成的协定为准”。在审计报告中,IIA《标准》要求“应该传达对风险管理的结论和建议”;在后续审计中,IIA《标准》要求“审计执行主管应规定后续审计过程,以监督保证管理行为能够得到有效落实,或高级管理层已接受了不采取行动所带来的风险。” CIA《准则》要求“内部审计人员应进行后续审计,促进被审计单位对审计发现的问题及时采取合理、有效的纠正措施”。关于剩余风险问题,IIA《标准》要求“在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下,审计执行主管应就此与管理管理层进行讨论。如果无法决定剩余风险问题,审计执行主管与管理管理层应就此事报告董事会加以解决”。由此可见,风险管理是贯穿内部审计工作的一条主线。三、检查评估和改进风险管理是内部审计的一项重要职责1、督促风险控制措施的有效实施。企业的经营战略目标与风险管理机制紧密相连。为实现经营战略目标,企业必须在充分评估的基础上制定风险防范和控制的具体措施,这些措施融入到企业内部控制系统的各个环节。在企业经营战略目标的实现过程中,不同的风险,由企业内部不同的组织或人员按其职责分工进行控制。所以,内部审计在日常的监督检查工作中,应督促企业内部各环节风险防范和控制措施的有效实施。内部审计监督评价范围主要包括:一是检查评价风险管理、控制和治理过程的充分性、有效性和经济性。所谓充分性是指企业根据经营战略目标和业务活动,对可能遇到的风险及风险造成的损失进行了充分的估计,并研究制定了合理的风险范防、控制和治理程序;所谓有效性是指企业针对特定风险所制定的防范、控制和治理措施能够准确、及时、有效地保证目标的实现;所谓经济性是指,企业根据风险程度,以最低的成本控制或降低风险,并把风险损失控制在一个可容忍的水平。二是检查评价企业内部各层次、各环节风险控制职责的履行质量。三是检查评价风险管理目标的实现情况。主要包括:审查财务和经营信息的可靠性和完整性;审查运营的效率和效果;审查资产质量;审查法律、法规和合同的遵守情况。2、检查发现潜在风险。上文中讲过,风险是由不确定因素导致的。在市场经济条件下,由于受内、外部环境变化的影响,企业在实现经营战略目标和业务活动过程,随时会受到内、外部不确定因素的影响。因此,风险也具有很大的偶然性。所谓潜在风险,是指企业风险管理战略中未予全面考虑的偶然性风险。内部审计通过检查运营项目的控制措施与既定目标的实现程度,以揭示控制中的薄弱环节和潜在风险,并在职业评估的基础上,对该运营项目的风险管理和控制提出改进建议,以有效避免或控制风险造成的损失。3、按评估结果提出改进风险管理建议。评估是手段,改进是目的。一是通过评估企业各项经营战略和业务活动中存在的风险因素,提出制定和完善企业风险管理、控制和治理的框架和建议,为企业确定风险领域、建立健全风险管理体系提供依据。二是通过检查评价风险管理过程的充分性和有效性,及时发现企业管理控制中的薄弱环节和潜在风险,提出防范或控制潜在风险的具体建议,为企业有效控制潜在风险提供依据。三是通过检查评价风险控制措施的适当性,以经济合理性为原则,提出改进风险控制措施的选择方案,为企业采取“风险回避、保留和承担、预防与抑制、风险中和、转移风险、保险”等风险管理策略提供依据。四是通过检查评价风险管理过程的效果,在企业合理利用资源、有效实施风险控制、增加价值方面提出建议,为企业不断改进风险管理、控制和治理程序发挥监督、评价的职能作用。四、内部审计工作如何贯穿风险管理这条主线1、以风险为基础制定审计计划,确定内部审计工作重点。审计计划是指内部审计部门为完成审计业务、达到预期目的而对一定时期内审计任务或具体审计项目所作的事先规划。审计计划一般包括年度审计计划、项目审计计划和审计方案三个层次。内部审计计划应该反映企业的风险管理战略,内部审计部门应以风险评估为基础,并结合企业管理的需要和审计资源,确定具体审计项目。风险评估是指对风险要素进行专业判断的系统过程。风险评估是安排审计对象或审计项目并确定先后顺序的重要手段。内部审计部门在制定年度审计计划时应该注意以下几点:一是坚持全面性原则,确定审计范围。审计范围应该反映整个企业的经营目标和风险战略。对纳入审计范围的项目进行风险评估,确定审计事项的相关风险因素,以保证审计范围的全面性。风险因素主要包括:管理层对完成目标的道德观念和紧迫感;人员的胜任能力、恰当性和完整性;资产的规模、流动性或经济业务设计金额;财务和资金状况;竞争条件;经营业务的复杂性和易变形;客户、供应商和政策法规的变动;信息系统电算化程度及变化;经营活动的地理分布;内部控制系统的恰当性和有效性;被审计单位经营、技术或经济变化;管理层的判断和会计预测,对审计结果的认可和采取的纠正行动;上次审计的日期和结果。二是坚持重要性原则,确定审计重点。在风险评估的基础上,按照重要性原则对审计范围确定的审计项目进行排序。对于可能出现损失和风险较大的项目、上次审计间隔期较长和问题较多的项目、财务问题涉及金额较大的项目、管理层要求审计的项目、经营方案、治理结构和控制系统有重大变动的项目、能使审计部门获得较大有益影响的项目要优先安排审计。三是审计计划应随风险评估的结果和管理层的需要进行调整,如果风险因素发生了重大变化,应适当调整审计优先顺序。2、评估审查揭示风险,是审计业务活动的主要内容。审计业务活动的目标是对被审计活动的风险、控制及治理过程提出意见。内部审计人员在实施具体项目审计时,应当采取必要的审计程序对被审计活动的风险、控制及治理过程进行检查和评估,并提出改进意见。对被审计单位或审计事项检查评估的内容主要有经营决策风险评估、管理控制风险评估、财务控制风险评估和电子商务风险评估等方面。经营决策风险评估的内容:经营战略的准确性,产品或投资决策是否符合方针政策和发展趋势;市场取向的合理性,产品或投资决策是否符合社会需要和实际情况;投入产出的效益性,产品或投资决策是否符合成本原则和价值规律。管理控制风险评估的内容:管理机制的健全性,是否有周密的计划,严密的组织,严格的领导和强有力的控制;内控制度的有效性,是否考虑了控制环境,建立了监督制度,采取预算控制、业务核算、质量管理、人员培训、信息沟通、请示报告等办法;内控评审的经常性,是否采取了监控措施,对内控制度的执行情况进行经常检查,整合负面条件,提出改进意见和建议。
财务控制风险评估的内容:财务计划的周密性,是否按经营目标编制财务计划,包括财务收支、成本费用和利润计划。资金运用的合理性,资金来源是否有道,资金使用是否符合规定。成本核算的真实性,是否执行成本核算办法和规程,有无虚列成本等弄虚作假的现象。会计记录是否真实、合法。资产、负债、损益是否准确。电子商务风险评估的内容:网上交易是否合法,有无合同或协议;网上结算是否严密,有无监控措施和办法;网上资金拨付回笼是否及时、安全。内部审计人员在实施审计业务中应当注意以下几点:一是坚持审慎性原则。充分考虑被审计事项可能存在的严重错误,影响经营目标、运行或资源的重大风险和潜在风险。二是按照风险因素分析的结果确定审计业务重点。这些因素包括金额的重大性、资产的折现力、管理能力、内部控制的质量、变化和稳定程度、上次审计业务开展的时间、复杂性、与员工及政府的关系等;三是选择恰当的审计技术和方法。审计技术和方法包括:审核法、观察法、监盘法、调查法、控制测试法、分析性复核法、逻辑推理法和风险模型测试法等。用于检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率。3、改进风险管理的意见和建议,是审计报告的核心内容。审计报告是审计工作的结果。企业领导(包括股东、董事会、高级管理层)最关心是企业风险管理的水平,因为风险管理和控制是企业治理的核心。所以,审计报告应当充分揭示风险的性质、大小、成因以及对实现既定目标的关键性与后果,并据此提出风险管理的建议。内部审计在提交涉及企业风险管理和内部控制内容的报告时,应该注意以下几点:一是审计报告的内容要重点反映被审计单位或被审计事项在风险管理、控制和治理方面存在的问题,风险评估结果(包括风险形成因素、风险性质、内容、风险涉及金额及应对风险的措施),并针对审计发现的问题提出风险控制的建议;二是积极与被审计单位沟通,即征求被审计单位的意见;三是要反映风险管理的结论和建议,为了让管理层充分理解风险的程度,在报告中应特别提出风险活动对于实现目标的关键性与后果。四是要表明审计报告的应用范围。4、重要风险因素是后续审计的重点。风险是决定后续审计必要性和范围的重要因素。风险越大,后续审计的范围就可能越广。后续审计的重点在于:对于重大的审计发现或潜在风险,被审计单位或相关部门是否采取了措施,是否予以纠正;若未纠正,要查明未采取措施的原因和责任。如果企业高级管理层接受的剩余风险对企业经营战略目标影响较大,审计部门负责人应该向企业董事会或决策层反映。IIA《标准》提出“审计执行主管应该每年至少准备一份关于内部控制充分性的声明,以减少风险。此声明也应该对未防范风险的重大性及管理层对此风险的接受情况发表意见”。目前,我国内部审计部门普遍采取年度和年中“审计工作总结报告”形式,向企业管理层报告企业内部控制和风险管理的情况。同时,也有部分上市公司、中外合资企业提交内部审计风险评估报告。《中国内部审计准则-风险评估准则》尚未发布实施。企业内部审计部门在开展风险评估审计中,建议采取以下步骤:第一,界定风险。制定内部审计风险评估计划,确定内部审计风险评估的位置和背景。第二,识别风险。对风险迹象进行深入了解并做好记录,确定是否有风险,并对风险进行分类。第三,分析风险。分析风险的成因及其影响,确定风险程度及等级。第四,评估风险。对风险进行综合评估,提出风险评估报告,报请企业董事会或审计委员会审议。第五,监控风险。根据风险评估报告及处理意见,对可能发生的风险和损失进行跟踪检查或后评估。第六,处置风险。建议有关方面对可能发生的风险和损失采取预防措施,将风险或损失降低到最低限度。 参考文献:1.《内部审计实务标准》IIA(2001年)修订本,中国内部审计学会编译,中国时代经济出版社出版,1999.12;2.《内部审计实务标准导读》2003年修订本,李学柔编著。3.《内部审计原理与技术》(上、下)理查德.L.莱特里夫、温特.A.华里丝、格兰恩.E.萨姆那、威廉.G.麦克弗兰特、吉姆斯.L.罗贝克编著,中国审计出版社1993.3 4. 《现代企业管理》王关义、刘益、刘彤、李治堂编注,清华大学出版社2004.35.《论风险导向的内部审计理论与实务》,王晓霞、孙坤、张宜霞撰文,《审计研究》2004年2期6. 《中国内部审计风险评估准则》 江苏省内部审计协会代拟的草稿。
