内部审计在现代企业风险管理中的作用
来源:用户上传
作者: 宋 哲 黄 婷
提要内部审计作为内部控制的重要部分,与风险管理的联系日趋紧密。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任。内部审计师则应定期评价并协助其他部门进行风险管理,在改善管理层风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。
一、现代企业内部审计与风险管理的关系
风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。风险管理则指采取一定的措施对风险进行检测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上。风险管理一般包括风险识别、风险衡量、风险防范、风险监控等环节。根据《内部审计实务标准》规定,内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动,它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善,帮助组织实现目标。根据这一定义,现代内部审计的范围已从传统上的财务(控制的一方面)扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的焦点。因此,内部审计作为内部控制的重要部分,与风险管理的联系日趋紧密。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任。内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。
二、内部审计在风险管理中的作用
在新的内部审计范式下,内部审计将参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改善风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时,继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险专家,通过对风险的把握来评价公司的治理与内部控制,并促进公司治理和内部控制的改善,从而实现对风险的掌握与驾驭。
检查与评价:内部审计可以通过运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层或审计委员会提供帮助。其中,包括确定风险领域:内部审计通过分析企业所面临的风险,特别是灾害性风险,以及产生新风险的环境因素,在了解风险的基础上,提出防范风险的建议,让董事会识别风险,确认接受风险的程度,制定风险政策,指导企业有效地使用内部资源。评价风险控制程序的有效性:内部审计通过评价企业高级管理层制定的风险控制程序是否适当和有效,是否满足董事会接受风险的程度,提出改进风险控制程序的建议。检查风险管理过程的效果:内部审计通过检查和测试财务、经营和合规性控制程序,发现持续存在的风险,评价风险管理过程的效果,提出如何改进风险管理,为企业提出增加价值方面的建议。
管理与协调:内部审计具有相对的独立性。内部审计经过长期发展已经成为一种专门职业,它有自己的职责说明、职业道德规范和专门的实务标准,并得到社会的承认。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,清醒地识别和评价风险,提出防范风险的有效建议。内部审计可以以其对组织全面而深入的了解、客观而开放的视角以及可以影响管理高层的特殊地位,积极地支持和参与风险管理过程,对风险管理过程进行管理和协调,促进被审计部门经营和管理的改善,赢得他们的信任和尊重。
顾问与咨询:由于内审人员对本组织的情况最为熟悉,对内提供咨询有独特的优势,内部审计可以通过发现评估并运用风险管理的方法和措施,帮助组织解决风险问题。内部审计在企业尚未建立风险管理的过程中,可以积极向管理层提出建立风险管理过程的相关建议。通过咨询的方式,积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能。内部审计可以在改善管理层风险管理流程的效果和效率方面,协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。如果有关方面提出要求,内部审计可以积极协助组织进行风险管理过程的初步建立工作,但更为积极的作用是通过改善组织基本程序的咨询工作对传统保证业务进行补充。
报告与防范:审计发现如何传递,审计成果如何利用,舞弊风险如何防范,所有这一切将直接关系到内部审计在风险管理监督体系中的存在价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。一方面内部审计要与相关部门进行风险管理适时的沟通,对风险管理过程的充分性和有效性进行检查、评价并报告,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;另一方面内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文化建设方面发挥更大的作用,从而有利于舞弊的防范。
三、构建风险管理框架,增强企业抵御风险能力
企业内部不同部门或不同业务具有不同的风险,越来越多的企业信奉企业级的风险管理。因此,现代企业必须组合各种风险,内审部门应超越企业内部各职能部门之间的隔阂,拓展参与风险管理的深度与广度,对战略、财务和经营风险进行通盘考虑,帮助企业管理层管理风险,增强抵御风险能力。
(一)构建战略信息网络,增强抵御战略风险能力。建立、实施良好的战略信息管理网络,采用科学手段量化风险、预计后果,可推动企业变革,增强应变能力,取得竞争优势。为保证战略决策的科学性,确立正确的战略目标与发展方向,所依据信息必须真实、及时、完整。企业应加强信息的监督、治理力度,对敏感信息的接触进行授权限制,保证来自于企业内部和外部的相关信息以一定标准进行确认和传递,维护信息网络渠道畅通,使信息既能涵盖企业全部重要活动,又能满足决策层掌握、了解与企业战略相关的综合状况。
(二)健全财务管理系统,强化财务风险控制。财务风险与企业资金的筹措、管理及安全息息相关。由于各种难以预料或控制的因素影响,企业的财务状况具有不确定性,从而使企业有蒙受损失的可能性。企业应了解财务风险的来源和特征,正确预测、衡量财务风险,进行适当的控制和防范,将损失降至最低程度,为企业创造最大的收益。
内部审计部门和审计师应评价企业管理财务风险措施的充分性和有效性,帮助企业建立健全的财务风险机制,以防范因财务管理系统不适应环境变化而产生的财务风险,真正体现财务风险控制和管理的有效性。对那些能够在计划阶段进行预测、控制的风险,内审部门应通过实际与计划比较,来分析控制效果。对那些突发、未能预测到的风险,内部审计部门应查明风险的来源及性质,找出最优方案来控制或削弱风险。
(三)建立经营预警机制,加强经营风险监控。经营风险指企业在生产与销售过程中所面临的由于管理、市场与技术变化等引起的种种风险。企业经营风险是时时存在的,企业要积极面对,对于影响企业的资产和经营状况的各类政治、经济、社会、市场因素及其变化趋势等,进行研究和预测。对于经营预警指标的异常变化,要及时对相关经营风险进行重新分析评估。特别是新的经营计划制定、实施之前,要对其可能带来的风险进行全面、深入的分析评估,并制定配套措施。
内部审计师应借助于管理层经营能力分析,采用价值链分析技术、波士顿分析技术和机会、威胁、优势与劣势分析技术,剖析经营中潜在的风险,查找可能对企业经营业绩产生不利影响的各种因素,真实、完整地披露企业经营风险,坚持不懈地做好风险因素的监控工作,协助企业规避经营风险。以正确评价企业经营业绩,为管理者提供决策依据。■
转载注明来源:https://www.xzbu.com/2/view-412841.htm