基于整体化风险管理的内部审计研究

来源:用户上传      作者: 谌小红 刘正军

　　摘要：本文认为，内部审计尽管已将风险识别、风险评估、风险控制等技术融入审计方法，但在整体化风险管理方式下，其面临着委托责任更大、专业要求更高、审计技术和方法落后等新的挑战。因此，内部审计还需在风险理念培育、审计目标起点改进、风险数据库与风险信息系统的建立、企业危机预警管理系统的构建以及风险专业判断能力提高等方面作出创新，以适应整体化风险管理这一新的变化。
　　关键词：整体化 风险管理 内部审计
　　
　　自20世纪90年代起，西方国家许多大型企业内审部门便开始逐步介入企业风险管理这一领域，对企业的风险管理进行评估与监督，以维护本企业经营目标实现的安全性、效率性和效果性。随着经济一体化和全球化的进程加快，企业面临的各种风险亦日益增多。这就迫使企业必须不断创新风险管理技术，降低风险管理成本，提高风险管理收益。作为风险管理体系的重要组成部分，内部审计也必须积极做出相应创新，以适应这一变化趋势，更为主动地参与整体风险管理，以促进企业目标的实现。
　　一、整体化风险管理的客观背景
　　（ 一 ）现行风险管理模式的局限性进入20世纪90年代后，人们逐渐认识到传统的风险模式所表现出来的一些局限性：（1）传统风险管理模式下，管理范围是局部的，管理过程是分离式的。不同类型风险的管理方法存在很大差异。人人厌恶纯粹风险，因此，风险回避、风险转移或损失控制是管理风险的基本方法。其中，保险是转移纯粹风险的手段，资产组合理论是回避不带来回报的非系统风险的风险管理方法，衍生工具是用于转移投机风险、投机获利的风险管理手段。在同一企业，即使对于纯粹风险也是不同部门、不同管理者负责不同风险的识别、控制和管理决策，各部门一般也缺乏沟通和交流，缺乏以企业整体价值为分析基础的全盘考虑。（2）传统风险管理模式下，管理成本偏高而效率偏低。由于传统风险管理下分离式的管理，需要大量人力、物力和财力的投入，导致许多不必要的成本和费用开销，造成资源的浪费。同时，分离式管理还可能因为不同管理部门之间的不协调，或因利益和权限的冲突，不但使风险控制不力，还可导致其他风险和损失负担。此外，分离式管理一般中只注重风险的控制而无视风险的利用。实际上，不同风险彼此之间并不是完全独立的，可能会具有某种相关性，一种事故或事件的发生可能导致一系列其他的事故发生。而传统风险管理不能充分把握和有效利用不同风险之间的内在联系，或者说不能利用不同风险具有此消波长、相互关联的性质，管理效果经常是顾此失彼。
　　（ 二 ）整体化风险管理的优势特征 整体化风险管理在实践应用中有以下明显优势：（1）降低企业总体风险水平，减少出现财务困境的可能性。在目前的市场上，即使是经营非常成功的企业也很容易遭受财务方面的压力，而通过实施整体化风险管理，企业将可以对自身面临的风险有一个全面的把握，并充分利用各个风险因素之间的负相关性，使得企业的总体风险程度显著降低，从而减少出现财务困境的可能性。（2）可以提高企业风险管理效益。从理论上讲，如果将企业由于对风险的无知或者有意识的风险自留而产生的“拟保险成本”考虑在内，那么，整体化风险管理不仅可以降低企业的总体风险程度，而且能够大幅度节约风险管理成本。特别是企业在实施整体化风险管理中一般都要利用多重保险计划，这种多重保险计划使用的保险单比一般的总括保单或者综合保单所涉及的范围都要大。它所承保的是由多种不同类型风险组成的风险组合，保险免赔额则根据各单个风险的免赔额的总和而确定。显然，这种方式能够有效避免为过度而不必要的保险活动支付费用。（3）可以获取税收减负效应。具有累进性质的税负结构使得企业有动机去平滑各年度的收益水平，以便尽可能地合理避税，而有效的风险管理则能够帮助企业平滑各年度的收益。整体化风险管理还可能通过增强企业的举债能力而减少税收负担。在既有的风险管理能力条件的约束下，每个企业都存在一个最优的债务比率，而通过举借债务获得的营运资金具有增加税后现金流的作用，这就是所谓的债务的税收盾牌的边际作用。新的风险管理技术与工具的出现为那些目前盈利状况很好的公司重新规划自身的资本结构提供了方便。每个公司的债务比率应当随着公司的发展而不断调整，为适应公司过去情况而确定的目标债务率在今后的情况下未必是最优的。公司如果具备足够的风险管理能力的话，它完全可以将自身的目标债务率适当提高而不用担心引发财务风险。
　　二、整体化风险管理下内部审计面临的挑战
　　（ 一 ）内部审计承担的受托责任更加广泛内部审计的产生缘由于受托责任关系的存在，其不同阶段的发展也体现了受托责任的发展。奴隶社会与中世纪内部审计确保的是内部受托财务责任的合法性。在财务导向阶段，股份公司制度的形成更凸显了受托责任的重要性，内部审计关注的依然是内部受托财务责任。但是公司规模的扩大，已使该责任在公司内部分为多个层次。在业务导向阶段，内部审计从关注内部受托财务责任转向了受托管理责任，特别是低层的受托管理责任，主要指企业业务经营和内部控制的效率。在管理导向阶段，受托管理责任层级逐步提高，同时由于审计委员会制度的建立，内部审计要向其报告高级管理层的外部受托管理责任。内、外受托责任在此阶段都是内部审计关注的对象。而在进入风险导向阶段后，特别是企业风险管理发展到整体化风险管理后，内部审计承担的受托责任便与风险结合起来，表现出更为广泛的内涵。首先，委托人的广泛性带来了外部受托责任的多样化。和强调股东利益的狭义受托关系相比，此阶段更加强调各种利益相关者的利益，包括顾客、员工甚至社会等。其次，由于股权的分散，企业规模的扩大，企业内部管理层次的增多，导致了内部受托责任的多层性。最后，整体化风险管理强调系统性和从企业整体出发，从而对其有效性进行评估时会牵涉到各部门之间的协调作用，体现管理责任的复杂性。因此，面对更为广泛的受托责任，内部审计如何去全面履行是一个新的挑战。
　　（ 二 ）内部审计人员具有更高的素质内部审计形成职业化以后，对内部审计人员的专业素质和综合能力的要求便越来越高。要求从事内部审计的人员必须通过统一考试，以检验是否具有相应的专业知识储备和能力。在整体化风险管理条件下，其要求的知识结构和综合能力明显要高于过去。例如在对内部审计人员的知识结构和专业背景方面，要求他们必须具有扎实的管理学理论基础，同时还须具备风险、系统论、控制论等方面的专业知识，这样才能对企业的风险管理系统作出全面合理的评估，而且对内审人员的专业背景要求也更具综合性。再如在内部审计人员的综合能力方面，更加强调其沟通协调能力。因为整体化风险管理的综合性和系统性，要求内部审计人员在评估过程中必须能把握好和每一个部门环节的沟通细节，这样才能针对风险系统存在的缺陷获取有用的信息，并能最终提出有价值的改进建议。因此，整体化风险管理所要求的高标准，对广大内部审计人员提出了新的挑战。
　　（ 三 ）内部审计机构在组织中具有更超然的地位 与传统风险管理相比，整体化风险管理系统的某一项风险控制往往都会涉及到两个以上部门，而涉及到风险的利用时，往往还会造成部门之间相关风险措施的冲突。内部审计作为管理系统中对风险管理效率性、效果性和经济性的评估者，以及作为风险控制的最后一道防线，其承担的责任也是巨大的。而此时，承担此一职能必然需要独立于各个部门之上，以超然的视角对各项风险控制和风险利用措施进行评估。同时，整体化风险管理的宏观性也要求内部审计必须能着眼于企业的长远利益和经营目标，这也需要内部审计在组织结构中具有超然地位。此外，内部审计在向董事会或审计委员会提高评估报告的客观性，也要求内部审计站在独立、超然的角度来对组织风险管理体系作出客观评估。因此，面对整体化风险管理的这一要求，内部审计如何增加自身的价值创造能力，提升自身在组织结构中的地位，也是内部审计需解决的一个难题。

　　（ 四 ）内部审计过去的目标起点受到挑战内部审计的目标起点决定了其审计内容的确定和审订程序的制订。企业的经营目标一般表现为实现企业价值的最大化，这正同整体化风险管理的目标保持了一致。过去的内部审计均是以审计目标为起点，如内部审计产生的初期是以查错防弊为目标，后发展为以企业资产经营的真实性、合法性和完整性为目标，再后来发展为以内部控制的完整性和有效性为目标。内部审计以审计目标为起点，一是容易使内部审计成为单纯的监督者，而忽视了其应有的管理职能；二是由于过于关注对内部控制的完整性、效益性的评估，会不断要求增加内部控制组织和规章制度，易导致企业组织结构的不断细化和复杂化；三是以审计目标为起点，往往是依据过去制定的一套规则或制度来进行评估，难以发现企业当前所面临的风险，因此与环境变化不相适应。整体化风险管理要求各参与部门以企业的经营目标为起点，更多地考虑企业的长远利益和战略安排，关注风险之间的关联性，从而制定出最优的风险管理方案。显然，内部审计过去的目标起点已不能适应这一新的要求。
　　（ 五 ）传统的审计方法受到挑战过去的内部审计大多以事后评估为主，事前和事中的评估只占少部分。这一方面是由于内审资源比较紧张，另一方面也是由审计内容决定的。过去的审计内容多以财务事项和内部控制为主，因此事前审计的意义相对事后审计来说相对较弱。进入风险管理系统后，由于风险代表着不确定性，其一旦发生就可能意味着巨大的无可挽回的损失，因此事后进行评估的意义就不大，而需要在事前作好充分的评估。在整体化风险管理条件下，有些风险是既可能带来损失，也可能带来收益的，这就需要进行综合管理，在事前就收集充分的管理信息，然后对风险发生的频率和程度、范围进行合理的分析，以争取最小的成本来实现最大的风险管理效益。即要求内部审计具备一定的预测职能。如果仍坚持以事后评估为主，将难以使得整体化风险管理系统的管理效应得到最大发挥。
　　三、整体化风险管理下内部审计的创新
　　（ 一 ）加强整体化风险管理理念的培育 要使内部审计在风险管理中发挥积极作用，首先就应着重培育内审人员的风险管理理念。2003年，美国反虚假财务报告委员会下属的COSO组织在其公布的“企业风险管理（ERM）框架”草案中提出了一个新概念―“风险组合观”，即要求管理者用风险组合的观念去分析管理风险。这就为风险管理理念的培育提供了更高的标准――整体化风险管理理念。内部审计是企业自我约束机制的重要组成部分，是风险管理的倡导者和推动者，也是风险管理的最后一道防线。内审人员要正确地认识企业组织所处的环境，加强与企业风险管理部门的合作与交流，并时时保持适度的危机感。风险管理是企业组织全体成员参与的管理，包括每个职能部门和生产环节，因此，风险管理理念也应是全体成员的风险管理理念。内审人员除了要求自己站在全局、整体的角度充分认识企业风险外，还需通过事前、事中、事后的评估和对内咨询服务，向企业组织其他成员灌输风险意识，使其认识到组织所面临各种风险的利弊，并自觉地参与管理。只有真正树立了全员的风险管理意识，才能实现企业的整体化风险管理。
　　（ 二 ）以经营目标为内部审计起点在整体化风险管理环境下，企业内部审计必须改变过去以事先确立的审计目标为起点的审计方式，而转向以企业的经营目标为起点。内部审计选择以企业经营目标为起点，首先会将自身关注的范围与职责扩大，以更加充分的体现自身的管理和价值增值功能，促使自身更加全面地辩识风险；其次，由于其他职能部门也普遍关注企业经营目标的最终实现，因此为内审部门与其他职能部门平等交流提供了基础，从而改变以前双方的监督与被监督的关系。还会促使内部审计站在企业宏观的角度时刻关注企业环境的变化，并在风险管理、内部控制措施与企业整体目标不一致时能提出合理化建议。
　　（ 三 ）建立企业风险危机预警管理系统 内部审计开展审计和评估活动必须有一套评估标准，如评价合法性和真实性时，往往以财经法规、审计准则和历史资料为标准。在评价风险管理的合理性、有效性时，内部审计也必须有一套评估标准。这一标准并不是统一的，而是因行业而异、因企业而异。企业内部审计部门作为风险管理系统中处于独立地位的评估者，需要事前建立一套自身的评估标准，而建立危机预警管理系统则是较好的选择。所谓危机预警管理系统，即是通过将组织的各项危机进行分类，并分别确定各类危机的预警指数和信号征兆，从而对危机进行适时预告并采取措施的管理系统。企业的危机一般包括财务危机、营销危机、人力资源危机、公共关系危机以及产品创新危机等，或者也可根据风险管理部门确定的企业风险分类进行划分。企业危机表现的一般预警信号有：竞争对手日益强大，库存增加，产品积压；客户投诉索赔增加；财务指标恶化；人力资源费用负担过重等。建立危机预警系统的程序包括：确定需要发出危机警报的对象；建立危机监测指标和预警的临界点；准备危机预警系统所需要的资源；评估危机预警系统的性能；安排专人负责实施并维护预警系统。建立危机预警系统后，内部审计人员还应确立各种危机处理计划，建立危机处理框架和流程，同时还需充分考虑设立消除危机负面影响的危机恢复系统。这样，危机预警信号系统、危机处理框架和危机恢复系统三者相对应地便可分别作为风险识别、风险处理和风险控制三个过程的有效性的标准。如以财务危机预警为例，内审部门可同时综合企业风险管理部、财务部等职能部门各自的风险管理体系，来主导建立企业财务危机预警系统。具体可根据各风险事件的重要性、发生可能性和检测风险三个因素来量化风险事件的风险水平，计算出风险值，即：风险值=风险事件的重要性×发生可能性×检测风险。然后，根据企业的风险偏好和风险容忍度来确定预警线。在企业风险达到预警时，应及时报告相关部门利用保险模型、套期保值等风险管理方法进行风险消化。这样，内部审计一方面为自身的评估和咨询服务工作提供了依据，另一方面也实施了对企业风险的动态监控。
　　（ 四 ）建立企业风险数据库和信息共享系统风险管理信息的交流与共享，是实施整体化风险管理的必要条件之一。在COS组织公布的“企业风险管理（草案）”中，将“信息与沟通”列为其八大要素之一。其功能是将企业内外部的相关风险管理信息进行确认和传递，以保证企业成员能有效履行各自的职责。信息技术的发展，为企业组织内部实现资源共享和信息传递提供了充分条件。国际注册内部审计师协会也正努力建设风险管理数据库，为全球内部审计师参与风险管理提供许多共享的重要信息和数据。企业内部审计部门也应结合自身过去的执业经验和行业内外信息，参与建立企业风险数据库。风险信息传递与共享不仅在内部审计师之间进行，同时也还在部门与部门之间、企业与企业之间，特别是同行业的企业之间进行。内部审计师通过建立风险信息共享系统，一方面充实了企业的危机预警管理系统，为自身的危机预警提供依据，另一方面将本企业相关风险信息传递给其他企业，可使所有参与风险评估的内部审计师能获得更充足的本企业之外的风险管理信息，拓宽了风险管理视角，更容易从整体出发，从宏观出发来评估整体化风险管理的效率和效果。
　　（ 五 ）提高内部审计人员的专业判断能力内部审计工作如同会计一样，既是一门科学，也是一门艺术。内部审计既有一套统一的规范标准作为执业指南，同时内部审计人员在执行审计过程中又需要充分运用自身的实践经验和专业知识进行灵活判断，这就是所要求的审计专业判断能力。而所谓风险审计专业判断，则是指内部审计人员根据风险导向内部审计的重要性理论，依照风险管理方针、政策，按照风险管理目标的要求，运用专业方法对机构风险的范围、识别、评析、管理和处理方法等等而进行查证与鉴别，对风险管理及处理方法的合理性和有效性作出评价，捕捉风险征兆，对风险程度作出预警，为管理当局提出建议，帮助机构实现目标。风险审计专业判断的内容会涉及到经理人的风险偏好、风险预警指标体系中的定性因素条件、定量的计算方法、风险范围、风险类别、风险因素、风险事故、时间、损失额、发生的可能性、频率、征兆、风险状态、管理方法、成本与效果等。这些内容的判断需要内部审计人员充分地灵活运用自身专业知识和经验去进行。而显然，内部审计人员在这方面能力的提高，必然会促进整体化风险管理效果的提升。这就需要内部审计人员之间进行充分的沟通和交流，互相扬长补短，共同提高专业判断能力。
　　（ 六 ）改进内部审计组织模式和人员结构整体化风险管理强调整体化和全局性，决定了内部审计部门在企业组织中需保持一定的超然性和权威性。因此本文建议应在大中型企业里模仿“会计委派制”形式，推广总部垂直领导的集中式内部审计模式，即企业下属的各级审计主管或主要内审人员由总部直接委派垂直管理，这样既可保证内审部门参与风险管理行为的权威性，也有利于整个企业组织内部风险管理措施的互补。而内审人员结构既包括人员构成结构，也包括人员知识结构。在人员构成方面，不强调内部审计工作的完全职业化和专业化，而应实行弹性人员编制，以少数职业内审师为主，辅以更多的其他职能部门的内部协审员参加。在进行专项风险评估和审计时，可临时雇请生产、市场、质量等部门的专业人士共同参与，以“作业组”的方式进行审计，这样可保证内部审计职能的职业化。在人员知识结构方面，则必须认识到内部审计师是复合型的专业人才，要求综合能力较强，知识面较广，因此需定期加强对内审人员关于信息技术、风险管理技术、金融创新等方面的教育，以保持知识面的不断更新。
　　
　　*本文系湖南省哲学社会科学基金项目“企业风险管理视角下内部审计的若干问题研究”（项目编号：09YBB443）的阶段性成果
　　参考文献：
　　［1］陈秉正：《企业整体化风险管理》，清华大学出版社2003年版。
　　［2］严晖：《风险导向内部审计整合框架研究》，中国财政经济出版社2004年版。
　　（编辑 聂慧丽）

转载注明来源:https://www.xzbu.com/3/view-800924.htm