以内部审计为基础的企业风险管理体系探析
一、风险管理与内部审计相关理论
1.风险及风险管理的界定。风险管理指人们对风险的认识、控制和处理的主动作为。它要求人们研究风险发生和变化规律,估算风险对社会经济生活可能造成损害的程度,并选择有效的手段以及最小的成本代价,获得最大的安全保障。它围绕企业分析、评估、应对风险的能力及其管理过程,以帮助企业成功化解风险、甚至将风险转化为机会、目标。因此,风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;其目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。 当然,随着内部审计职能范围的扩充和强化,内部审计也会在一定程度上反过来影响风险管理体系的改变,但在未来的相当一段时间内,这一反作用还将只会处于从属地位。 二、中国企业开展以内部审计为基础的风险管理现状分析 2.内部审计在风险管理中未能充分发挥作用。据有关调查,有18.29%的被调查单位的内部审计机构在风险管理中不发挥任何作用,少数被调查单位的内部审计机构会采取措施提醒管理层关注风险管理并建立了风险管理机构。当企业不存在风险管理机构时,有40.24%的被调查单位的内部审计机构会提醒董事会关注风险管理,从而建立风险管理机构;24.39%的被调查单位的内部审计机构会管理或共同管理风险管理活动;20.73%的被调查单位的内部审计机构会对风险管理人员进行培训;8.54%的被调查单位的内部审计机构设定了企业的风险偏好和风险容忍度;8.54%的被调查单位的内部审计机构监督风险管理活动。大部分被调查单位的内部审计人员认为,内部审计应在风险管理中扮演一定角色,而仍有4.88%的被调查单位的内部审计人员认为内部审计在风险管理中没有角色。 这说明少数内部审计人员对风险管理还不甚了解,缺乏风险管理意识,尚未认识到风险管理的重要性,这是内部审计未能在风险管理中发挥作用的一个重要原因。 3.风险管理方法落后。虽然《审计署关于内部审计工作的规定》能够对中国企业的内部审计工作进行一定指导,但是该规定的内容较泛,缺乏具体业务操作的指导,因此目前中国许多企业的内部审计方法技术较为简单、落后。首先,在审计项目的选择上有很大盲目性。中国企业内部审计选择项目时,管理层的要求是一个很重要的因素,有些甚至完全被动接受管理层的指示和安排。在调查中显示,有20.5%的企业内部审计完全是出于企业领导临时交办的,而25.7%的企业根据领导交办和企业生产经营计划制定两种并重的方法。其次,在审计技术和方式上比较落后。西方内部审计人员采用计算机辅助审计的技术已经比较普遍,而中国在这方面还不够成熟。郭化林(2009)等的调查显示,有61%的内部审计人员不能或不完全能够应用计算机开展审计工作。并且极少数的被调查单位采用定量分析方法进行风险管理,企业还是多采用定性分析方法,中国风险管理方法相对比较落后。 风险管理方法的落后源于缺乏成熟的理论指导,而落后的风险管理方法直接导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响企业目标的顺利实现。 三、构建以内部审计为基础的全面风险管理体系 1.转变企业观念,提高企业风险意识,将风险管理纳入企业的经营管理之中。开展企业风险管理审计,首先要求企业管理层要彻底转变观念、增强风险意识、把风险管理审计摆在重要位置上,正确合理地处理风险与效益的关系,把企业长远利益作为企业的根本目标,与此同时审计人员也要转变观念,尽快实现从传统的账项基础审计、制度基础审计向风险管理审计转变,突出风险管理的重要性。一方面要监督企业各职能部门认真贯彻各项内部控制制度,切实规范操作程序,防止操作过程中人为造成的风险;另一方面要认真落实风险管理审计提出的整改意见,克服专业管理部门的偏见,使风险管理审计能够真正发挥作用。
2.重视风险管理在企业可持续发展中的战略地位。进一步完善内部控制制度的建设,完善风险管理的组织架构,明确风险的承担主体,整合现有的风险管理部门,形成由最高管理层直接负责的、系统的、全面的风险管理系统,另外,企业要在充分利用内部的风险管理人员的基础上,充分利用“外脑”即利用企业外部的风险管理咨询公司专家的才能智慧,进行有效的企业风险管理。这就为审计人员开展企业风险管理审计提供明确的审计对象,使审计人员能够制定出更加有效合理的审计计划,节约了审计时间,提高了审计效率。3.中国要加强对企业风险管理审计的重视程度。自中国加入WTO以来,企业资本迅速积累,企业规模日益扩大,外部竞争日益激烈,能否有效开展企业风险管理审计与企业能否在竞争中取得成功息息相关。因此,不仅要求企业管理层高度重视内部审计工作,组织专门的风险管理部门,培养专门的风险管理人员。同时,还要求中国政府尽快出台与企业风险管理审计相关的比较完备的政策、法律法规,以规范、制约和保障企业风险管理审计工作,使其有效开展。
4.开展企业风险管理审计,需要培养一批高素质的审计人才。企业风险来自各方面,而且不是孤立存在的,受众多内在因素和外在因素的影响,这就对审计人员提出了更高的素质要求,要求审计人员不仅仅是一个合格的管理者,还要是一名优秀的审计人员,既要掌握了解企业内部的经营管理运作状况,又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等等。 这种多才多能的审计人员屈指可数,各单位领导应该花大力气培养一批高素质的审计人员,为开展风险管理审计奠定基础,一方面,可以选拔优秀审计人才出国进修现代风险管理审计技术,将国外的优良的审计技术和经验引入中国的风险管理审计的实践应用中;另一方面,对现有的风险管理审计人员进行定期的培训,让他们不断更新专业知识,提高他们的专业水平,同时,也要注意提高他们的计算机操作水平,以适应时代的发展。 5.企业风险管理审计要做到经常化、制度化。风险是随时随地都会发生的,而且是不断变化的,妄想一次、两次风险管理审计就能解决根本问题是荒谬的、不现实的,因此风险管理审计必须做到经常化,要周期性地或不定期地开展全面的风险审查评估,并在此基础上,对重点风险点及时开展专项风险审计,尤其是对内部控制制度评价中发现的重大失控点,应予以高度的重视,采取有效措施堵塞漏洞,减少或者消除风险点和失控点。 风险管理审计还应当做到制度化,因为风险管理审计是强化内部控制的重要手段,企业决策人或者企业管理层人员应对风险管理审计的范围、内容、方法及审计结果的利用等做出明确的规定,将其纳入内部控制制度,强制各部门执行,达到消除、防范风险的目的。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。