基于发展风险管理的内部审计角色探析

来源:用户上传      作者: 孙　立

　　现代内部审计是一种独立、客观的保证与咨询活动，使传统内部审计在广度和深度上实现了重大突破，使之从管理的范畴上升至治理的高度。就风险管理而言，内部审计应帮助机构发现并评价重要的风险因素，帮助改进风险管理与控制体系。美国COSO委员会2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM)。COSO-ERM框架是一个指导性的理论框架，为公司董事会提供了有关企业所面临的重要风险以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面，流程化的风险控制过程，为企业目标的实现提供合理保证。内部审计凭借其在组织中的独立地位和风险控制方面的能力，在企业整体风险管理中发挥重要作用。
　　
　　一、发展风险管理的主要内容
　　
　　发展风险管理是企业风险管理(ERM)的一个子系统，其目标是保证董事会、管理当局以及其他有关人员在寻求组织发展时，对组织发展中所要经受的种种风险应给予适度关注。组织中的每个成员对包括发展风险在内的企业风险管理或多或少地负有一定的责任。其中，首席执行官(CEO)和高管层要对控制和管理风险承担主要责任，而内部审计主管(CAES)则通常负有关键的支持责任，组织中的其他人员负责按照既定的指引和规程去实施企业发展风险管理。内部审计师通过督促最高管理当局在执行组织整体战略计划时关注发展风险控制问题，提供对正在实施中的相关控制和监督过程的客观评价，提出加强风险控制的设计理念和增进控制有效性的具体措施，从而支持和帮助最高管理当局有效地改善发展风险控制过程的质量和效果。一个组织不管准备采取何种发展战略，为提高成功的机率，有三个要件是必备的：一是充分理解和把握市场需求的动态；二是精心制定既具有挑战性又具有可行性的组织发展战略；三是确保组织已经做好了实施发展计划的充分准备。内部审计主管应着眼于三个要件中最基本问题的探讨，提出恰当的质疑，从而使CEO的目光聚焦于每个要件可能产生的主要风险上。
　　(一)管理人员对市场需求的理解是否确切、稳妥和全面内部审计师只需分析管理人员在其制定的发展计划中是否考虑了市场风险及其对市场风险认识的透彻程度便可清楚地回答上述问题，对市场需求状况和顾客偏好缺乏客观理性的认知将形成组织一项主要的发展风险。许多组织发现其发展战略最终遭到失败的根本原因是对市场潜力做出了错误的估计。分析竞争者的实力和弱势，了解市场准入的屏障应构成市场发展战略的一部分。不仅如此，企业现有产品或服务的质量低下往往也会成为新产品或服务被市场接纳的一种障碍。所以管理人员必须考虑价格策略，选择溢价提供新产品或维持价格不变以保证足够的市场竞争力。
　　(二)组织的发展计划是否兼具挑战性和可行性组织中战略是面向未来的选择，是一种思维方法和价值观念。组织战略是风险企业在市场经济激烈竞争的环境下，在总结历史、调查现状，预测未来的基础上的全局性谋划方案，是企业经营人员思想的体现，表现出一系列战略性决策的结果，又是制定中长期计划的依据。发展战略能激励人们努力实现组织目标，当员工策划和参与类似于投放新产品、抢占新市场等商业活动时，通常能迸发出高度的热情，但组织的发展目标也不能太高或不切实际，以免挫伤员工的积极性。所以，在制定发展战略时一定要经过深思熟虑，并建立在对市场需求有全面理解、周密思考和合理预期的基础上，以避免犯错误，并阻止各种败德行为的泛滥和滋长，尽量减少组织的风险。需要强调的是，发展战略必须明确清楚地加以表达，并传递给每一位组织成员，从而确保每位员工都能理解和自觉执行组织的发展战略。
　　组织中的薄弱环节一般是财务发展规划，包括发展方式的确定。企业财务战略或财务规划是指在企业内外部环境分析的基础上，对企业的资金流动特别是营运现金流量进行长期性、整体性的谋划与设计。财务战略是企业总体发展战略系统中的一个子系统，是企业实现经营方针和经营战略的基本保证；财务战略决定着公司财务资源配置的取向和效率，财务战略为企业财务管理提供了基本框架，财务战略还是企业重大决策的重要内容，因此在企业发展中财务战略具有很重要的地位。在制定财务发展规划时，计划和预算的科学性和合理性经常被内部忽略。特别是当组织有多个业务部门，而每个业务部门分别作为一个独立的单元加以管理时，更可能蕴藏风险。因为各个部门之间的权力之争可能形成对预算、规划的冲击，并进而导致组织内部的地盘之争，但不切实际、过于空洞的预算显然无法立足于组织的最佳利益。
　　此外，组织还应该考虑运用适当的方式为其自身发展提供资金上的支持。仅仅依靠内部的资金积累可能对企业的现金流产生不利影响。而且对于那些需要筹集巨额资本却又无法从机构内部获得的公司来说，内部筹资基本是不现实也是行不通的。但若通过外部来源获取资金，显然风险加大，因为公司不得不竭力满足外部股东对于盈利增长和获得投资回报的预期。
　　(三)组织是否朝着设定的发展目标运行并处于良性发展轨道首先，一项旨在加速组织发展壮大的发展战略往往意味着需要加入一批训练有素的新员工，这可能导致组织培训资源的匮乏。但如果不吸收新的人才，而纯粹依赖于原有的未经过良好培训和后续教育的人员，将会逐渐损害和阻碍组织发展计划的实施。与此同时，公司还应从内部进行自上而下的涉及各个层次的变革以避免员工安于现状，不思进取。变革的方式包括设立新的业务单元或生产线，建立起新的质量控制程序以及拆除一些多余的功能性部门等。其次，建立相应的技术平台也是企业发展的必备条件，而技术的变革和创新又加大了组织在安全性方面所面临的风险，同时还存在着技术平台与现有体制如何契合的问题。电子商务是现代企业广泛使用的一种商业技术手段，交易的安全性能否得到保障是电子商务的核心问题。其中，技术是影响电子商务安全性的重要风险因素。由于网络的开放性、共享性和动态性，使得任何人都可以自由地接入互联网，导致以互联网为主要平台的电子商务的发展面临严峻的安全问题，主要的技术风险包括网络环境风险、数据存取风险和网上支付风险。因此，必须对电子商务系统的安全风险进行识别、衡量、分析，并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障科学管理，借助于先进的网络安全技术如防火墙技术，虚拟专用网技术，漏洞识别与检测技术等控制电子商务中潜在的各类风险。最后，组织的发展会对原有的等级制度和决策制度形成冲击。那些处于高速发展中的企业，要求具有更多的灵活性以及更快的应变能力。组织的灵活性主要体现为决策分散化，应授权给那些能针对客户需求的变化及时做出反应的一线员工，授权的结果虽然增加了组织的灵活性，但在缺乏相应的复核和审批程序的情况下，这种灵活性反而会削弱控制，因此必须在灵活性与适度控制之间寻找一个最

佳的平衡点，也就是考虑授权的“度”的问题。
　　
　　二、发展风险控制中内部审计的角色
　　
　　当组织的风险不断演变和升级，内部审计团队应对组织因发展所招致的各种风险和挑战进行适时评估，担负起风险评估师的角色。内部审计师应审查管理人员正在和已经实施的控制与监督活动，从而实现再控制和再监督。
　　(一)营销环境审计市场调查报告是全面反映管理人员对组织营销环境的理解是否准确到位的一个有力证明，内部审计师应该评估管理人员提供的市场调查报告的质量，以确定管理人员对市场需求的把握是否精确全面，进而对组织的营销环境作出客观评价。组织从设计产品开始，到定位、分销和促销活动的全过程，都必须深入市场，进行调查研究。通过市场的调研活动，掌握相关的情报资料信息，包括顾客需求信息、竞争者信息、国家宏观经济及相应的政策信息、国际政治与经济形势以及其他信息。企业的营销活动，必须在充分掌握了相关信息资料的基础上才能顺利展开，否则企业营销活动就会产生风险。市场需求变化的客观性，是导致市场营销风险客观存在的首要因素。加强市场营销环境的调查研究，是市场营销风险控制的根本性措施。而市场调查报告的质量取决于管理部门及有关研究机构的可信度、其所运用的方法以及结论的合理性。审计师通过和管理部门探讨计划中的销售活动以确定是否与市场研究结论相吻合，通过收集与现有客户就公司目前产品和服务质量进行对话的证据，以检验针对特定顾客群的新产品的销售状况是否令人满意。在营销环境审计的基础上，内部审计部门还应对组织的营销战略、营销部门、营销信息系统、营销职能和效率等加以综合审核和评价。
　　(二)发展战略审计发展战略审计的范围应包括组织所有管理层次和所有重要经营事项，重点是评价发展战略制定所依据资料的可靠性和相关性以及评价既定战略执行的有效性，主要指向战略业务单元和各个职能部门，即公司总战略的执行部门。从内容上看，战略审计是对影响组织全局、重大、长远的具有战略意义的决策，如组织的发展战略、技术创新战略和市场营销战略等进行审计。从过程上看，为保证战略主观设想的科学性、可行性，要对战略的制定过程进行管理；为保证战略构想能有效地贯彻执行并达到预期目标，要对战略实施过程进行管理；如战略实施周期长，战略条件变化快，还要对战略条件进行监控管理，以便战略的调整和实施，因此要审计组织的战略管理体系、战略行为表现、战略条件变化和战略态势表现。发展战略审计是战略审计的重要内容之一，内部审计师有责任对管理人员制定的发展战略是否综合权衡了各种因素、是否清晰明确等方面作出客观公正的评价。此外，内部审计师在评价组织发展战略时还应审查该发展战略中是否容纳了其他与发展战略利害攸关的经理人员的参与，从而调动起各层次管理人员的参与热情。
　　在正式确定采用何种财务计划之前，发展战略计划中应该预先设计出多种财务计划备选方案，使发展计划获得广泛的认同。内部审计师首先要对发展战略计划在组织内的认同程度加以评估，确定是否存在着可以替换的发展计划；其次，内部审计师需要审核员工对发展战略中提出的发展目标、意图以及自己在发展战略中将扮演何种角色是否已经理解，以确定发展战略计划在组织内部各员工之间得以充分的交流以及交流的质量；最后，内部审计师还应该对管理人员建立的阶段性控制程序和实施过程加以及时评估，肯定取得的成绩并随时纠正出现的偏差。
　　(三)组织结构的评价组织结构作为企业资源和权力分配的载体，在人的能动行为下，通过信息传递，承载着企业的业务流动，推动或者阻碍企业使命的进程。组织结构对组织价值创造的所有功能，可以概括为效能、效率和安全。在组织中，管理层和董事会为有效的治理而建立整个公司层面的系统，并实施监控。内部审计师能够支持和改进这些活动。内部审计师对组织治理结构的适当性和特殊治理活动的经营有效性提供独立、客观的评价。现代内部审计是基于组织框架来对组织面临的不同战略和经营、财务、遵循性风险进行确认、反映和管理。最终，内部审计师能够提供包括管理层监管和保证活动的总体框架有效性，以及单个关键风险管理的客观保证。
　　对内部审计师而言，组织结构的建立必须着眼于实现组织的发展目标，因此，评价组织结构及其与发展目标的实现是否相容显得至关重要。内部审计师应该审查组织是否建立起一个安全和相称的技术平台，确定组织是否存在合理的程序或机制以扩大资源配置并能向员工提供充分的培训，是否存在相应的程序确保产品或服务质量，是否有相关机制应对顾客的询问、处理售后服务以及解决客户的投诉等。此外，内部审计师还应评价信息在组织内部各层次人员之间的传递以及高管层与一线员工之间的交流是否充分有效，从而保证组织已建立起强大的控制监管和反馈机制。
　　在帮助组织如何有效控制和管理发展风险的过程中，内部审计师扮演的是一个关键的角色。为完成这一使命，内部审计主管应该构建一个涉及多个学科领域的高效的审计梯队。对于内部审计主管而言，一个良好的起点就是向管理层和审计委员会提议，在每年制定批准的内部审计计划中加入发展风险及其控制的评估内容；在制定发展战略计划时，内部审计师有责任参与到组织发展战略计划制定和执行的各个阶段，即无论讨论还是正式制定，无论是执行还是监督，内部审计师的参与应该是全过程、全方位的。只有这样，内部审计师才能提供客观、全面、及时的评价和反馈，从而大大减少组织发展中的风险，增加组织成功的机率。
　　
　　(编辑　熊年春)

转载注明来源:https://www.xzbu.com/3/view-797491.htm