内部审计 现代内却审对的风险管理 法 一、现代内部审计与风险管理的融合 后,内部审计部门比企业管理层及其他职能部门的见解 1.将风险管理思想引入现代内部审计。从内部审计 更为深刻,将这些有价值的见解以咨询、建议等形式反馈 产生和发展的历史来看.不同时期的内部审计有不同的 给管理层,不仅可以借此适时进行风险管理、弥补控制漏 内涵和外延。就现代内部审计的发展而言,国际内部审计 洞、完善治理缺陷,而且可以将这些有价值的信息应用于 师协会(IIA)对内部审计的定义就在不断变化。IIA理事 经营管理活动中,从而创造出超过预期的价值。可见,内 会在1990年对《关于内部审计职责的申明》修订后重新 部审计部门在帮助高级管理层、董事会等充分了解企业 定义了内部审计,认为内部审计既是管理的延伸.也是一 的风险特征方面扮演着重要角色。 种评价活动,它要对有关活动进行分析、评价,提出 3.风险管理离不开内部审计部门。对企业的风险管 建议和咨询意见。1993年,IIA提出的内部审计的定义认 理进行监督和评价是现代内部审计发展的结果.因此风 为内部审计既是一项综合工作.也是一种的评价活 险管理部门离不开内部审计部门。企业的风险管理组织 动。它要对所审查的活动进行有关的分析、评价,目的是 结构应设置为:内部审计部门与企业的各级风险管理部 协助组织的管理者有效地履行他们的职责。建立有效的 门相配合,开展企业全面风险管理,既包括企业整体层面 内部控制系统。IIA在1999年对内部审计的定义认为内 的风险管理,也包括各职能部门的风险管理。这要求内部 部审计是一种、客观的确认与咨询活动,目的是为组 审计部门打破企业内部各职能部门之间的隔膜.从企业 织增加价值和改善组织运营。它通过系统、规范的方法, 整体层面进行全面风险管理 . 评价并改善风险管理、控制和治理过程的效果,帮助组织 大多数现代企业在进行风险管理时一般均设立三级 实现其运营目标。 风险管理部门,第一级是由企业高级管理层组成的风险 从内部审计定义的发展可以看出,风险管理不仅是 管理委员会:第二级是在企业风险管理委员会领导下的 企业的一项职能,更是一种理念。内部审计将帮助企业发 内部审计部门及风险管理部门,内部审计部门通过定期、 现并评价重要的风险因素,促进企业改进风险管理体系。 不定期的审计来评估企业风险.对企业风险管理制度的 此时的内部审计人员是风险管理专家。通过对风险的把 设计以及对各职能部门执行风险管理制度的有效性进行 握来评价内部控制,加强内部控制。从而实现对风险的控 定期检查。及时揭示和报告潜在风险.并提出防范风险及 制与管理。 改进工作的建议.各级职能部门承担一线的风险管理职 2.使风险管理的目标与内部审计的目标一致。风险 能。各部门负责人直接负责风险监控:第三级是的内 产生的原因是不确定因素的存在。由于企业经营环境的 部审计部门,内部审计部门对企业总裁负责,其工作主要 不确定性,导致企业目标的实现具有不确定性。要想确保 是对企业风险管理机制的运行进行监管.并对监管结果 企业目标的实现,必须对风险进行有效管理。美国反虚假 进行评估。 财务报告委员会下属的发起组织委员会(COS0)于1992 尽管大多数现代企业的风险管理组织在管理中发挥 年提出的《内部控制整体框架》和2004年颁布的《企业风 了一定的作用,但是上述设置在有效防范企业风险方面 险管理框架》中均有风险评估的内容,规定组织必须认识 仍然存在一定的缺陷。首先,将内部审计部门设置在风险 到其所面临的风险.并能对其加以控制和管理,同时还必 管理委员会下不合适。因为企业能否有效控制风险,不仅 须建立确认、分析和管理相应风险的机制。《内部控制整 关系到经营者的业绩,而且更关系到债权人、投资者、企 体框架》规定的风险评估内容包括风险识别、风险分析及 业员工等利益相关者的利益。内部审计部门作为企业的 对变革期间的风险管理;《企业风险管理框架》规定的有 监管部门.应保持充分的性,保护企业利益相关者的 关风险管理的内容包括日标设定、事项识别、风险评估及 利益。其次.上述设置没有涉及企业基层员工.基层员工 风险应对。从上述两个框架中有关风险管理内容的比较 是风险管理制度的具体执行者,企业的风险管理机制设 不难看出,《企业风险管理框架》更加注重总体的风险组 计得是否合理,他们最有发言权。最后,中国内部审计协 合。企业风险的管理者是管理层,高级管理者支持并需要 会于2加5年发布的风险管理审计准则第三章规定:内部 承诺在企业中恰当地选择风险管理方案,以确保业务目 审计人员应当实施必要的审计程序。对风险识别过程、风 标能够实现。内部审计执行主管是企业风险管理的倡导 险评估过程、管理层所采用的风险评估方法、风险应对措 者,应当利用与企业目标一致的风险管理审计计划.帮助 施进行审查与评价:内部审计机构和人员应当充分了解 企业实施风险管理方案 组织的风险管理过程。审查和评价其适当性和有效性.并 IIA在1999年对内部审计的定义已明确指出内部审 提出改进建议。风险管理包括组织整体及职能部门两个 层面。内部审计人员既可对组织整体的风险管理进行审 查与评价,也可对职能部门的风险管理进行审查与评价。 基于以上考虑。笔者建议将内部审计部门设置在董事会 下设的审计委员会的下面.帮助总裁进行风险管理机制 的设计和监督各职能部门、企业员工对风险管理机制的 执行情况。以企业整体风险管理为中心的内部审计工作 计部门具有帮助组织实现整体目标的责任.其目的是帮 助组织管理风险。实现整体目标和增加企业价值的工作 应由企业的各个职能部门来共同完成.内部审计部门和 企业其他职能部门一样,也应该努力提升企业的价值。内 部审计部门通过采取系统化、规范化的方法来开展确认 和咨询活动,经过收集资料、识别并评价风险的过程之 Audit Digest 1 Jan.2009 NO.I 团 内部审计 和机会,并对两者加以权衡。在企业经营活动和经营环境 极其复杂的情况下,按照企业价值创造过程进行管理,考 虑经营活动之间的联系,不仅可以让企业保持活力,提高 顾客的满意度,而且能够促进企业价值增值。内部审计部 门依价值创造过程对信息进行评估,就能够为企业提供更 可靠、更相关的信息,对识别、评估和应对影响企业战略目 标实现的所有风险很有帮助。因此,按照来源不同可将风 险分为来自企业外部的风险和来自企业内部的风险。 (1)来自企业外部的风险可以归纳为以下内容:国家 政治、经济、法律制度的稳定性,国际金融市场的变化,竞 争对手的变化.股东的变动.自然灾害.立法机关对有关 问题的态度变化等风险。 (2)来自企业内部的风险可以归纳为业务风险、财务 风险、诚信风险、战略风险、信息处理与技术风险等。业务 风险包括经营业务风险和投资业务风险。经营业务风险 包括产品售后服务不到位、材料供应商不稳定、产品过 时、研发能力不足、从业人员素质不高、生产效率不高、不 相容职务的划分不清、越位行使职权、临时授权的控制流 于形式等引发的风险:投资业务风险包括投资目的不明 确、投资战略不符合企业的实际、对投资项目的论证不充 分、决策程序不科学、对投资合同和协议的执行疏于管理 等引发的风险。财务风险包括经营过程中产生的债务风 险、担保风险、价格变动风险、财务信息披露风险、现金流 的运作流程可用上图表示。 二、基于内部审计职能的风险管理方法 1.按业务全过程管理的方法。中国内部审计协会于 2o05年对风险管理下的定义是:对影响组织目标实现的 各种不确定性事件进行识别与评估.并采取应对措施将 其影响控制在可接受范围内的过程。风险管理过程包括 风险识别、风险评估、风险应对。美国学者S.拉奥・瓦莱布 哈内尼为风险管理下的定义是:风险管理是识别、控制和 量风险、流动性风险、会计信息偏差风险等。诚信风险包 括企业违法违规行为、从业人员违法违规行为、管理层违 法违规行为、披露虚假会计信息、不及时行使债权或履行 债务等引发的风险。战略风险包括组织结构设置、重大决 化解风险的总体过程。它包括:风险评估(风险分析),成 策、企业资源分配、对环境变化的应变能力、对企业的定 本效益分析.安全保障措施(风险化解)的筛选、实施、测 位等方面产生的风险。信息处理与技术风险包括信息来 试和评价,风险融资(风险资金),风险监控(报告和反 源、信息技术和处理设施、信息加工和处理过程、信息利 馈)。从上述两个定义不难看出,内部审计部门作为风险 用、信息传递渠道等方面产生的风险。 管理的监控者和指导者.应当充分了解企业的风险管理 风险、战略与内部审计不可避免地被联系在一起。在 过程,审查和评价其适当性和有效性,并提出改进建议。 基于内部审计的确认和咨询职能。在企业的风险管理过 治理过程中。内部审计部门发挥着独特的作用。企业管理 程中,内部审计起着十分重要的作用。对具体业务的风险 层经常要求内部审计部门帮助有效识别和监控风险、评 管理.内部审汁要参与事前、事中和事后三个阶段的全过 价经营效率并激励组织行为。在内部审计工作中,对于来 自企业内部和外部的风险。内部审计人员应当从帮助管 程风险审查。 内部审计针对各种业务进行全过程的风险管理,一 理层实现企业战略目标的角度着手.识别影响战略日标 是促进企业稳定而长足发展。提升企业价值。保护利益相 实现的风险类型及潜在的风险因素。深入分析风险产生 关者的利益:二是打破职能部门各自管理的界限,将各职 的根源及其对战略目标的现实影响程度和潜在影响程 确定应对风险的策略, 能部门面临的风险和机会加以集中化.有助于企业战略 度。定性和定量地评估风险水平,关注新的风险环境,监控现行风险控制措施的执行,为风 目标的顺利实现。 2.按风险来源管理的方法。传统的企业风险管理注 险防范、控制和应对提供帮助。 3.按风险性质管理的方法。企业在经营过程中面临 重于风险的局部组合.特别是财务风险和冒险风险,只看 到风险产生不利影响的一面,这样界定风险管理的直接 的风险多种多样,为了有效管理和控制风险,需要内部审 结果就是导致企业忽视影响其战略目标实现的其他所有 计人员了解可能威胁企业战略目标实现的风险或未能被 风险 而现代的企业风险管理注重的是组织整体的风险 企业识别的风险。为了全面评估企业的风险,内部审计部 组合.既包括财务风险和冒险风险,也包括战略风险、经 门需要运用一种被整合的、以经营过程为导向的方法评 营风险、诚信风险、流动性风险、自然灾害风险、突发事件 估风险,区别不同性质的风险,分别设计、采取不同的方 风险等,这一时期的企业风险管理将风险看做产生不利 法进行风险管理。 影响和有利影响的双刃剑。将所有风险进行了整合,其目 按照风险性质的不同。可以将风险分为经营风险和 的是保持和提升股东价值。 舞弊风险。经营风险是企业的决策层与管理层在经营管 为了尽职地履行受托管理责任,管理层需要了解风险 理过程中出现失误而导致企业价值变化的可能。如决策 审计文摘・2009年1月1日・第1期 内部审计 风险、财务风险、风险、市场风险(如原材料供应链中 胜任能力;员工聘用程序及培训制度;员工业绩考核与激 断、销售渠道不畅、市场萎缩、新竞争对手的出现、替代产 励机制。 品的出现、新监管要求的出现、资金链出现问题、库存积 作为企业内部管理人员的内部审计人员的职责包 压过多、突发危机事件处理不当、高级管理人员离职、商 括:①预防舞弊。根据被审计事项的重要性、复杂性以及 业机密泄漏等引发的风险)。舞弊风险是企业内外部人员 审计的成本效益要求,合理关注和检查可能存在的舞弊 采用欺骗等违法违规手段损害企业的利益。同时为个人 行为;适当进行审计职业判断,确定审计范围和审计程 带来不正当利益的行为所产生的风险,如对财务信息造 序,以发现、检查和报告舞弊行为;当发现舞弊迹象时.应 假导致的错报、侵占资产导致的错报等引发的风险。管 及时向管理层报告,提出进一步检查的建议。内部审计人 理层通过利润操纵误导财务报表使用者对企业业绩或盈 员在审查和评价内部控制时,为了协助企业预防舞弊.应 利能力的判断,其动机主要分为:迎合市场预期或特定监 当关注企业战略目标的可行性、控制意识和态度的科学 管要求;谋求以财务业绩为基础的私人报酬最大化;偷逃 性、员工行为规范的合理性和有效性、经营活动授权制度 或骗取税款;骗取外部资金;掩盖侵占资产的事实。侵占 的适当性、风险管理机制的有效性、管理信息系统的有效 资产的手段主要包括:截留款项;盗取现金、实物资产或 性。②识别舞弊。内部审计人员应根据审查和评价内部控 无形资产;使被审计单位对虚构的商品或劳务付款;挪用 制时发现的舞弊迹象或从其他来源获取的信息,识别可 被审计单位的资产。侵占资产通常伴随着虚假或误导性 能出现的舞弊行为,并向企业管理层报告,同时提出检查 的文件记录,其目的是隐瞒资产缺失或未经适当授权使 舞弊的措施。③舞弊检查。内部审计人员进行舞弊检查的 用资产的事实。 内容包括:评估舞弊涉及的范围及复杂程度;评估舞弊检 内部审计人员应当保持应有的职业谨慎.关注企业 查人员的资格、技能和性;设计适当的舞弊检查程 内外部可能发生的经营风险和舞弊风险.切实发挥内部 序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因。④报 审计的确认和咨询服务职能。以协助企业管理层进行预 告舞弊检查结果。在舞弊检查工作结束后.内部审计人员 防、检查和报告企业存在的风险。为此。内部审计人员应 应向管理层提交舞弊检查报告,报告的内容应包括舞弊 实施恰当的审查程序,以评价企业的经营风险水平。评价 行为的性质、相关人员、舞弊手段及原因、检查结论、处理 内容包括:经营活动的复杂程度;管理权限的集中程度; 意见、提出的建议及纠正措施。 管理行为守则的健全性和有效性:企业文化的内容及企 (作者:董丽英吴少卿,单位:武汉理工大学管理学院;河北省医 业成员对此的理解与认同程度:各层次人员的知识与技 疗器械与药品包装材料检验所1 能;组织结构和职责划分的合理性;关键岗位人员的工作 (摘自《财会月刊(理论)》(武汉),2008.11.68~70) 战略执行审计的程序与方法初探 l、确定战略执行审计对象。战略 对象。三是适应性原则。审计对象的 梳理企业战略的结果可作为最终审计 执行审计的目标是通过确认和评价 确立还应符合企业在特定时期内所 报告的内容之一。供各级机构人员参 企业内部各主体执行企业战略的充 面临的外部经营环境变化的需要。四 阅,进一步明确自身在企业战略执行 分性、完整性和有效性。帮助企业最 是成本效益原则。战略执行审计应在 过程中的定位、职能与任务.有效发挥 终实现战略目标。受限于企业内部审 成本效益相匹配的前提下。有重点地 内部审计增值作用。最大限度地实现 计资源的稀缺性。内部审计尚无法在 选择某项子战略作为审计对象。 战略执行审计项目的要旨和目标。 某一特定项目中实现对企业整体战 2、梳理企业战略。梳理企业战略 3、设定审计维度。企业战略涵盖 略(含多项子战略)执行情况的评价。 是战略执行审计有别于常规审计项目 内容较为丰富,内部审计在实施战略 因此,在确立战略执行审计对象时. 的重要特征之一。企业战略的提出是 执行审计前,应找准切入点。从不同 应遵循以下原则:一是服务性原则。 一个渐进式的过程.是一个从模糊到 角度评价各战略执行主体对企业战 董事会和高级管理层是企业战略的 清晰、从局部到整体的过程。同时又是 略(子战略)的执行效果。通常,可以 制定者,更加关注战略执行和落实的 一个在实践中逐步探索的过程。企业 从理念认识、运行机制、沟通协调和 具体情况,以便及时做出决策与调 战略存在于企业董事会和高级管理层 资源配置四个维度来开展审计工作。 整。作为服务董事会和高级管理层的 对企业未来发展的认识与再认识过程 (1)理念认识。各战略执行主体对企 内部审计,有责任明确其终端客户在 之中。散播于决策层不同场合的言论 业战略的认知程度是企业战略能否 特定时期内的重点关注对象.并提供 中,发布于企业多项制度与文件之中。 有效实施的原动力.培育企业各级人 企业某项子战略执行情况的具体信 内部审计不仅要深入认识和理解企业 员对战略思想的认识是企业文化建 息。二是重要性原则。内部审计应根 战略的内涵,更要把握企业战略的发 设的重要组成部分。理念认识处于战 据企业发展,对企业各项子战略在某 展沿革,可以从某项子战略产生的渊 略执行审计维度的首要位置.审计人 一特定时期内的重要性进行排序。找 源中挖掘并梳理企业战略脉络和内 员可从企业各战略执行主体在某项 出其中最为重要的子战略作为审计 容,以此作为战略执行审计的切人点。 子战略执行过程中的定位清晰程度、 Audit Digtst 1 j锄 2日日9 NO.1 95
