《基于内部审计企业全面风险管理研究》由会员分享,可在线阅读,更多相关《基于内部审计企业全面风险管理研究(6页珍藏版)》请在金锄头文库上搜索。
1、基于内部审计的企业全面风险管理研究 摘要:本文在总结内部审计理论和全面风险管理理论的基础上,对内部审计在企 业全面风险管理中的作用以及改善进行了研究,提出了内部审计在企业全面风 险管理中发挥认定、评价、指引职能的措施和建议。 关键词:内部审计 风险管理 内部审计职能 随着经济全球化及国际化程度的加深,企业经营环境日趋复杂,经营风险大为 增加。企业、行业之间的竞争日益加剧,如何防范风险,加强风险管理,已成为企 业经营者面临的重要课题,建立和完善风险管理体系已成为企业生存发展的重要而 紧迫的任务。作为企业董事会及其审计委员会和最高管理层控制手段的内部审计, 在企业管理尤其是风险管理、内部控制以及公
2、司治理、组织运营中的地位与作用日 趋突出,成为关系企业成败兴衰的重要因素。内部审计具有相对独立性,其更能从 企业全局角度,清醒识别与评估风险;与外部审计相比,内部审计更能从企业利益 与实际出发,积极主动地提出防范风险的有效建议。本文在总结内部审计理论和全 面风险管理理论的基础上,对内部审计如何在企业全面风险管理中发挥认定、评价 、指引职能进行探讨。一、内部审计与企业风险管理评述(一)内部审计职能内部审计是组织内部的一种独立客观的监督和评价活动, 通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的 实现。内部审计具有认定、评价和指引三项职能。认定职能表现在企业内部审计人 对
3、受托人履行受托管理责任的过程或结果进行核实,并予以认定,认定职能是一切 审计结论和审计意见、审计建议的基础与前提。评价职能表现在审计人对受托人履 行受托管理责任的行为和结果的评价,具体来讲是对受托人某些方面管理活动的过 程、结果与既定目标、决策等一系列标准的符合性进行评价;指引职能是当代企业 内部审计的重要职能,其表现在审计人员针对管理层涉及企业局部甚至整体的显现 与潜在的管理负偏差,提出纠正和预防等改进管理的建议。(二)企业风险管理框架2004年美国反虚假财务报告委员会管理组织(COSO )针对企业界频繁发生的高层管理人员舞弊现象,颁布了全新的COSO报告,即 企业风险管理整合框架(Ente
4、rpriseRiskManagementIntegrated Framewo rk,简称ERM)。这个框架是在原内部控制整体框架的基础上,结合萨 班斯一奥克斯利法案(SarbanesOxley Act)的相关要求展开研究得到的。根据ERM框架,“全面风险管理是一个过程,这个过程受董事会、管理层和其他人员 的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可 能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企 业取得既定的目标”。ERM框架有三个维度:第一维是企业的目标,包括战略、经 营、报告和合规性目标;第二维是全面风险管理要素,包括内部环境、目标设定
5、、 事项识别、风险评估、风险对策、控制活动、信息和沟通、监控等要素;第三维是 企业内部各个层次,包括整个企业、各职能部门、各条业务线及下属各子公司。ER M三个维度的关系是:全面风险管理的各要素都是为企业的四个目标服务的;企业 各个层级都要坚持同样的四个目标;每个层次都必须从上述方面进行风险管理。企 业风险管理是一个过程,企业风险管理的有效性是某一时点的一个状态或条件。决 定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确的评 估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到 执行。(三)我国企业风险管理的规范近年来我国有关部门和很多企业也逐步认识到
6、风险管理对企业经营的重要性,为了指导企业开展全面风险管理工作,进一步提高 企业管理水平,增强企业竞争力,促进企业稳步发展,国务院国有资产监督管理委 员会2006年6月发布了中央企业全面风险管理指引。该指引指出,全面风险 管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风 险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而 为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会等部门也 于2008年5月发布了企业内部控制基本规范。该规范指出,企业应当根据设 定的控制目标,全面系统持续地收集相关信息,结合实际情况及时进行风险评估。 企业开展风险
7、评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确 定相应的风险承受度。企业应当根据风险分析的结果,结合风险承受度,权衡风险 与收益,确定风险应对策略。上述指引和规范的发布将会促进我国企业实施全面风 险管理,使管理层能够有效地应对不确定性以及由此带来的风险和机会,增强企业 创造价值能力。二、内部审计在企业风险管理中的作用分析(一)客观全面的识别风险风险在企业内部具有感染性、传递性、不对称性等 特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担 ,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防 范和控制需要从全局考虑,而各业务部门又很难做到
8、这一点。内部审计具有相对的 独立性,受单位主要负责人的直接领导,这就使其可以从全局出发,从客观的角度 对风险进行识别,及时建议管理部门采取措施控制风险。 (二)调控和指导企业的风险策略内部审计部门处于企业董事会、总经理和各 职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调 人。通过对长期计划与短期实现的调节,可以调控和指导企业的风险管理策略。(三)内部审计部门的建议更易引起企业领导的重视一些企业尽管设立了风险 管理部门,但不具有独立性,其意见往往会屈服于管理层的压力,这使得风险管理 部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评 估的意见可以直
9、接向董事会汇报,这样可以加强管理层对内部审计部门意见的重视 程度。由此可见,内部审计在企业中发挥着重要作用,其更了解企业面临的风险因素 ,具有丰富的管理经验,有利于将内部审计的资源和成果与企业风险控制相结合, 并减少企业内部机构的重复设置,参与企业风险管理已成为内部审计人员义不容辞 的责任。三、基于内部审计的企业风险管理(一)改善风险管理的内部审计工作程序内部审计应以重大风险、重大事件和 重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管 理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、 返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效
10、性进行检验, 根据变化情况和存在的缺陷及时加以改进。具体来说,内部审计能够利用以下工作 程序改善企业风险管理:一是检查与评价。内部审计可以对企业风险管理体系的充 分性和有效性进行评估,主要包括:评价企业战略目标的制定是否在分析组织及行 业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自 身风险偏好来制订;与相关管理层讨论部门目标,评估分解到各部门的具体目标是 否与企业整体战略目标一致并拥有足够的支持;评价管理层对风险的识别与评估是 否适当;分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度 之内;评估风险监控程序是否得到持续、有效执行,监控报告及风险管理报告
11、是否 充分、及时。二是管理与协调。内部审计经过长期发展已成为一种专门职业。在企 业组织架构中,内部审计具有相对独立性,能够以客观开放的视角清醒地识别和评 价风险,并提出防范风险的有效建议;内部审计凭借对企业全面深入的了解以及能 够影响决策层的特殊地位,积极参与企业风险体系建设,对风险控制各要素进行组 织、管理和协调,推动各个部门乃至整个企业不断提高风险管理的效率和效果。三 是顾问与咨询。内部审计人员以咨询顾问身份协助企业确定、评价并实施针对风险 进行管理的方法和控制措施:内部审计对组织的了解以及对风险的洞察,具备他人 无法企及的优势,能够以建议或咨询的形式,积极协助企业建设风险管理体系或使 风
12、险管理体系的建立成为可能;内部审计在改善企业风险管理流程的效果和效率方面,能够集合企业内外资源,高效地协助管理层或审计委员会进行检查、评价并提 出建议;内部审计能够运用专业知识进行风险评估与控制培训,使风险意识贯穿于 企业各层面,逐步形成全员、全过程、全方位、全天候的风险管理;内部审计所处 地位有助其对企业整体风险进行深入研究,并利用现代技术开发适合本企业的风险 识别、评估工具和控制方法。四是报告与防范。内部审计能够在风险控制和改进组 织风险管理成效方面发挥关键作用。内部审计通过适时与相关部门就风险管理事项 进行沟通,检查、评价并报告风险管理过程的充分性和有效性,并按清晰传递的线 路对发现的重
13、大风险进行报告,对整改情况进行后续审计,使风险及时得到有效控 制和防范。此外,内部审计在运用技术手段评估风险控制程序的充分性和有效性的 同时,能够利用自身优势推动风险管理意识成为企业文化的一部分,从而为企业风 险防范构筑意识形态上的屏障。(二)改善风险管理的内部审计评价报告风险管理效果评价是分析、比较已实 施的风险管理方法的结果与预期目标的偏离程度,以此来评判风险管理方案的科学 性、适应性和收益性。由于风险性质的可变性、人们对风险认识的阶段性以及风险 管理技术处于不断完善之中,因此,需要对风险的识别、估测、评价及管理方法进 行定期检查、修正,以保证风险管理方法适应变化了的新情况。所以,可将风险
14、管 理视为一个周而复始的管理过程。风险管理效益的大小取决于是否能以最小风险成 本取得最大安全保障,同时还要考虑与整体管理目标是否一致以及具体实施的可能 性、可操作性和有效性。企业内部审计机构对企业全面风险管理工作进行评价,出 具风险管理评估和建议专项报告。内部审计可以通过对以下方面的实施情况和存在 缺陷进行评价并提出改善风险管理的评价报告:风险管理基本流程与风险管理策略 ;企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建 设;风险管理组织体系与信息系统;全面风险管理总体目标。(三)改善风险管理的内部审计方法与手段由于风险管理涉及企业各个部门和 各个环节,仅靠董事会及有关委
15、员会、最高管理层和风险管理、内部审计等职能部 门,难以实现对整个企业面临的所有风险进行有效管理,因而还必须组织企业内部 各级管理层及每个员工协同进行。在此过程中,内部审计人员通过向有关方面反映 风险管理的有效做法和负偏差,提出纠正与预防负偏差、激励与推动优良行为等改 进风险管理的建议,可以对有关方面开展风险管理起到一定指引作用。内部审计可 以采用以下方法改善风险管理:一是进行风险预测和识别。风险的预测和识别是指 对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程,以确定企 业正在或将要面临哪些风险。内部审计要对企业所面临的主要风险进行预测和识别 ,并找出未被识别的风险。采用的方法包
16、括决策分析、可行性分析、因果分析和专 家调查法等。二是对已经存在和将要发生的风险进行评估。企业的内部审计人员应 用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据提出对风险采取的相 应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法 等。三是提出改进和防范风险的措施。风险的防范措施是指企业为降低已识别出的 风险可能造成的损失所采取的措施。内部审计可以根据不同的情况,提出避免风险 、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险 损失,并对有关部门所采取的风险防范措施进行监督和检查。采用改进和防范的措 施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签 订免除责任协议、利用合同中的转移责任条款)和投保等。四是压力测试。压力测 试是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现问题 ,并制定改进措施的方法,目的是防止出现重大损失事件。其具体操作步骤如下: 针对某一风险管理模型或内部控制流程,假设可
