企业风险管理的现状与风险导向审计的模式

来源:用户上传      作者: 李巧云

　　摘要：为有效管理企业面临的风险,增强竞争力，在国家宏观政策和行业规范的指引和指导下，大中型企业不断探索全面风险管理，实施风险导向内部审计。本文分析了企业风险管理的现状，剖析了造成目前这种状况的深层次原因,探讨了企业风险管理与风险导向内部审计的联系，提出了风险导向内部审计的概念，揭示了风险导向内部审计与风险导向外部审计的差异，在此基础上建立了风险导向内部审计的模式。
　　关键词：企业风险管理；风险导向审计；风险导向内部审计
　　
　　一、企业风险管理的现状
　　近年来，一系列重大事件的发生，使世界范围内对风险管理的呼声越来越高。先是2001年11月，安然公司爆发财务丑闻；接着在2002年6月，世通公司爆出会计舞弊；加之其他一系列的会计舞弊事件，直接导致了2002年7月美国《萨班斯-奥克斯利法案》的出台，旨在减少不准确甚至是欺诈的财务报告。从企业风险管理的角度，COSO委员会于2004年9月颁布了《企业风险管理-整体框架》，对企业推进风险管理的实践提出了很多具体的建议。
　　在我国，同样存在类似安然事件的丑闻。例如中航油（新加坡）公司的破产，伊犁股份高管挪用公款，四川长虹大量货款难以收回等。在此背景下，我国国务院国有资产监督管理委员会于2006年6月正式颁布了《中央企业全面风险管理指引》，要求中央企业根据自身实际情况予以贯彻执行和落实。
　　根据2004年美国COSO委员会颁布的《企业风险管理框架》（ERM），企业风险管理是一个由企业的董事会、管理层和其他员工共同参与，应用于企业战略制定和企业内部各个层次和部门，旨在识别可能对企业造成潜在影响的事项并在有关人员风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。
　　然而，在我国，除了金融、保险等行业已经开始重视风险管理并积极推行信用和市场等风险管理之外，大部分企业尚处于专家管理风险的个人时代――认识到某些高风险领域，企业的业务专家针对这些高风险提出自己的认识和建议，采取保险等工具对重要资产的风险进行转移。这离国资委要求的全面风险管理尚有不小的差距，更难以让员工参与到风险管理中来。
　　湘钢对风险的管理不乏成功的例子：我们利用边设计边施工加快新建项目的投产进度来应对市场瞬息万变的战略风险；利用优化筹资结构应对财务风险；利用锁定低价位应对海运费上涨的经营风险等等。特别是在2008年初南方遭遇罕见冰雪灾害面前，克服电力紧张、保供困难的不利影响，追补欠产，确保了年初制定的上半年利润目标的超额实现。但不可否认的事实是湘钢风险管理尚属于由某一业务责任部门牵头的针对某一具体风险实施的管理，还没有上升到全面风险管理的高度。
　　产生差距的主要原因是建立整体的风险管理框架面临着诸多困难与挑战：
　　困难1：对风险管理的认识
　　风险管理究竟是什么？与现行的管理手段有什么不同？完整的风险管理框架能给企业带来什么？实施风险管理之后的企业管理水平能得到哪方面的提升？风险管理对我们的日常行为有何影响？诸多的问题，让风险管理活动很难得到经理人的赞同。同时，员工尚缺乏自觉的风险管理意识，风险文化的建立需要一个较长的过程。
　　更为严重的是，对企业风险管理尚存在较突出的以下两个方面的认识误区：
　　1、企业风险管理没有价值，因为我们已经在企业中管理风险。
　　多数企业已经用某种方法管理风险，但还没有形成一套系统和完整的方法。财务部门管理诸如汇率和利率等财务风险，保险部门管理那些可保险风险，其他业务部门考虑了各自负责领域的特殊风险。这种彼此独立的单个的风险管理方法，不同于企业风险管理。企业风险管理寻求企业内部所有被识别出来的风险以及它们的相互联系，并采取完整和系统的应对措施，保护现有的资产，并管理那些追求新机会的风险。
　　2、企业风险管理将增加成本。
　　这种观点来源于只看见了正在实施的风险管理工作所消耗的资源成本（比如内部审计），却忽略了应该管理的风险却没有管理好、造成了巨大的损失成本（比如舞弊或产品开发失败）。企业风险管理重视成本和收益，它分析所有与风险相关的成本，包括风险管理、不利事件中的收益、投资的机会和潜在的回报。按照减轻的损失来计算承担风险的报酬。通过这些成本与收益的分析，证明有效管理风险的积极收益。
　　困难2：业务与管理的复杂性
　　有的企业工序多，业务链条较长，业务本身复杂，不同业务环节的业务运作模式和价值增值模式不同，潜在的风险不同，就算是同样的业务环节，所表现的风险内涵也存在差异。如果再跨地域、跨国别经营，各经营点管理水平的高低、地域文化的差异，道德法律的不同，均给企业的风险管理增添了难度。
　　困难3：缺乏可参考与借鉴的实践经验
　　尽管COSO为风险管理提供了框架，国资委也颁布了《中央企业全面风险管理指引》，但是，这些框架或指引尚需进一步细化。同时，尽管国内外类似公司有风险管理的经验，但也需要结合企业实际情况合理地加以借鉴。
　　困难4：与内部管控系统的结合
　　企业风险管理并非特立独行，如何与公司管控系统相结合，是公司推行风险管理需要考虑的重点。
　　困难5：风险的变化和风险管理手段的革新
　　企业内外部环境的不断变化，使企业所面临的风险处于变化当中。因此，企业应对风险的风险管理手段需要不断革新。
　　二、企业风险管理与风险导向内部审计的联系
　　企业风险管理框架（ERM）新定义的内部控制突出了对企业风险的高度关注,这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。
　　（一）风险导向内部审计的对象就是企业风险管理框架
　　ERM是一个包含四个目标、八个要素和四个层次的整合框架,四个目标、八个要素和四个层次相互交叉，和原来的ICIF（《内部控制整体框架》）相比，完全体现了管理者以企业风险管理为己任的理念。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；其次，在ICIF五要素的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见，ERM是一个整合公司治理和内部控制的企业风险管理框架，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节在内的所有风险正是风险导向内部审计的对象。所以，企业风险管理框架就可以被视为风险导向内部审计的对象。
　　（二）企业风险管理框架为实践风险导向内部审计提供了现实指导
　　风险导向内部审计为企业在高风险环境中的内部审计提供了一种新的理念，但是这种新的理念并没有为内部审计人员实践风险导向内部提供一个可以据以操作的具体思路。内部审计想要实践风险导向内部审计，就必须根据一般的风险管理模式开发与维护内部审计的风险管理审计程序。这就产生了以下问题：第一，开发与维护内部审计的风险管理审计程序需消耗额外的内部审计资源；其次，内部审计开发出来的风险管理审计程序可能和企业内部既有的风险管理程序发生冲突，在缺少权威性的专业指导时得不到重视。ERM的出台为风险导向内部审计提供了权威的工作依据。根据ERM，风险导向内部审计的工作就可以有条不紊地分解为：针对组织特定目标（战略目标、报告目标、经营目标与合法性目标）、特定的管理层次（组织整体层面、分部、经营单元、子公司）实施各自的风险审计程序（内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通），内部审计无须在目标制定环节之外另外寻求其它的目标分类标准，无须为确定审计范围进行太多的思考，更无须为风险导向审计程序本身的设计投入更多的资源。

　　湘钢监察审计部多年来立足于组织整体层面，利用ERP信息平台，不断提升自身业务素质（有5人通过了CIA考试），按照公司“流程唯一，责任唯一”的管控理念，一贯地坚持开展风险评估活动，帮助组织实现其目标。先后实施了投资项目审计、领导干部经济责任审计、子公司经济效益审计、经营管理审计等。揭示了利用材库存帐实不符、信息不准的报告风险；采购环节不按流程办事、绕流程办事造成库存资金长期大量积压的经营风险；部分投资项目立项后不实施、工程质量返工、工程物质积压浪费的投资风险；等等。这些风险的揭示和披露，有效地提高了公司的风险管理能力，也实现了审计价值，湘钢监察审计部连续两届成功地被评为全国内部审计先进单位。
　　三、企业风险管理框架下风险导向内部审计的模式
　　（一）风险导向内部审计的含义
　　随着管理理论和管理技术的发展，内部审计已发展到以风险管理为标志的风险导向内部审计。风险导向内部审计是以企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的确认和咨询活动。
　　（二）风险导向内部审计与风险导向外部审计的差异
　　虽然风险导向内部审计与外部审计都高度重视对审计客体的风险评估，但是风险导向的内涵、目标和范围在内部审计和外部审计中是完全不一样的。
　　1、两者的内涵不同。风险导向内部审计是以内部审计的主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这里的风险突出的是审计对象的含义。而风险导向外部审计是指审计主体在进行审计程序时，首先评估企业的风险，然后依据风险评估的结果来确定审计的重点，从而决定审计资源的分配，进而确定余额测试和交易测试的内容。这里的风险导向实质是一种审计策略。
　　2、两者的目标不同。风险导向内部审计的目标在于通过对风险评估来提出风险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部审计的作用。而风险导向外部审计的目标则在于通过提高审计效率、降低审计风险来服务于审计主体，维护审计主体自身的利益。
　　3、风险范围不同。风险导向内部审计中的风险是针对组织所有目标、所有管理层次的各种性质的全部风险，即ERM中关注的全部风险，包括战略风险、报告风险、遵循风险和经营风险。而风险导向外部审计中的风险只是与企业报告的编制流程相关的、影响企业报表公允性的内部控制失效风险，即ERM关注的报告风险中的财务报告风险。
　　（三）风险导向内部审计模式的构建
　　审计模式是审计导向性目标、范围和方法等要素的组合，它规定了如何分配审计资源，如何控制审计风险、规划审计程序，如何搜集审计证据，如何形成审计结论等问题。
　　1、风险导向内部审计的目标
　　作为企业的一个职能，内部审计要成为企业价值链上一个必要的环节，其目标就应当与企业的目标保持一致。国际内部审计师协会通过并于2004年1月1日实施的《内部审计实务标准》导言中关于内部审计定义是：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”从这一定义中可以认识到内部审计是一项确认和咨询活动，是为增加价值和改善运营、实现组织的目标服务的。
　　与传统的企业内部审计目标不同，风险导向内部审计目标更注重与企业目标的直接关联，在创造价值的企业目标作用下，内部审计目标是降低风险，增加价值。不仅仅是降低审计风险，而且通过企业自身的风险管理活动及审计师的风险导向内部审计，降低企业在创造财富中所面临的风险。与风险降低相对应的是企业创造出更多的财富，同时提升审计价值。
　　2、风险导向内部审计的对象
　　风险导向内部审计的对象是企业风险，所对应的审计类型是集金融风险管理、公司治理和内部控制审查于一体的综合审计。与传统的财务审计、业务审计、管理审计相比，综合审计更强调关注公司治理框架中风险发现与风险管理，关注管理者及其经营者管理行为可能出现的风险，关注组织在整个治理过程中的决策风险与经营风险。
　　3、风险导向内部审计的方法
　　风险导向内部审计的方法是：确定组织目标、评估企业风险、决定应设计的控制、发现企业管理中存在的问题或可能发生的问题并提出建设性的建议。它从确定目标开始，到帮助组织提出合理化建议结束，即审计人员首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险以及能够管理这些风险的控制，最后测试实际的控制，考虑其能否切实管理这些风险。
　　4、风险导向内部审计的程序
　　与审计目的、对象和方法相对应，风险导向内部审计过程包括：了解企业经营风险和识别风险→评价企业风险控制→确定剩余风险→剩余风险管理等几个环节。风险导向内部审计的程序应自始至终贯穿风险管理的主导思想。在编制审计计划时，内部审计师应该在对可能影响机构的风险进行了解、识别、评估的基础上，制定内部审计部门的审计计划。在选择被审计项目时，应该在评估风险优先次序的基础上安排审计工作。在开展审计业务时，用于检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率。在审计报告时，应该传达对风险管理的结论和建议，以降低风险。为了让管理层充分理解风险的程度，在报告中应特别提出风险活动对于实现目标的关键性与后果。IIA《内部审计实务标准》要求，若审计执行主管认为高级管理层接受的剩余风险对于机构无法接受，应该上报董事会加以解决。
　　参考文献：
　　①中国内部审计协会.内部审计实务标准――专业实务框架.北京：中国时代经济出版社，2005.
　　②杜杰.风险管理智慧.北京：机械工业出版社，2008.
　　③郑小荣.风险导向内部审计若干理论问题探讨.审计与经济研究，2006;1
　　（作者单位：湘潭钢铁公司监察审计部）

转载注明来源:https://www.xzbu.com/3/view-1340958.htm