风险管理框架下内部审计模式研究,本文主要内容关键词为:风险管理论文,内部审计论文,框架论文,模式论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、风险控制内部审计产生的背景条件
(一)产生基础企业内审由“监督和服务导向型”向“管理导向型”发展需要为更好地配合管理者经营目标的实现,内审应充分分析、估计经营风险,及时提出预防风险的对策建议:做好内控制度的测试和评估,检验关键控制点设置的恰当性以及有效性、完整性,分别予以补设、重建和改进,使得内控制度得以健全并有效运行。由此,在现代内审工作中,企业内审必将由“监督和服务导向型”向内部“管理导向型”发展。
(二)产生间接原因企业面临的风险日益增大减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题,企业经理人员对风险的空前重视,为内审发展提供了一个绝好的机会,内审对风险管理的介入,将会使内审在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
(三)产生直接原因 风险控制内审新思维传统内审采用的是从控制-风险-目标被动的风险控制审计模式,使得内审只能对企业存在的控制缺陷做出被动反应,其必然结果就是对发现的控制缺陷提出建议,以不断地增加控制点或者是加强控制,最后就会出现控制点越来越多,越来越烦琐的局面;很可能会造成多余的控制阻碍各项正常程序的运转和效率。课题组调研中发现广西企业普遍存在这样的问题:07年得到确实有效落实的审计意见和建议仅占企业审计项目总数的65%;内部控制的完善和控制点的增加导致运营成本的增加和办事效率的降低,部分审计意见操作起来困难,不符合企业实际情况,部分不断完善的内部控制制度和流程并未得到有力的执行,存在书面与实际操作两种流程,最终导致内审的整改建议过于理想化,执行起来难度较大,致使审计意见很难被落到实处,或者只得到了被审计单位表面上的敷衍,其结果使内审的作用无法充分发挥。风险导向理念下,风险控制内审模式采取的是从企业目标—风险—控制的主动控制内审模式。它首先要确认企业的目标或者是某件事项的目标,然后分析要实现这些目标会生产什么样的风险,以确定审计风险水平和审计重点,安排审计步骤,以此来提出风险防范和控制建议,并通过后续审计来测试风险是否得到有效的防范和控制。实施风险管理最大的挑战正是要变被动反应为主动控制,风险控制内审模式为我们内审工作带来了新思维。只有积极转变我们的工作思路,企业内审各种直接考虑企业实现目标过程中面临的主要问题和风险,使得风险控制与企业目标的实现直接联系起来。这样的风险管理和控制,对公司治理层和管理人员而言才是非常有价值的,审计意见和建议才能得到认可和高度的重视,内审才能成为企业价值链环节中的重要组成部分。
二、风险控制内部审计模式实施的理性思考
(一)企业风险管理的再认识 企业风险管理是指企业为了长远发展,达到经营管理的预期目标以及为此而拟定的制度或程序能够得以实现,在企业内部实施的各种制约和调节的组织、计划、方法和程序,其目的在于防止目标的偏离或降低风险管理成本,并把风险控制在风险容量之内,增加企业价值的过程,也是将风险意识转化为全体员工的共同认识和自觉行动。COSO发布的《企业风险管理框架》描述了企业风险管理定义为:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。我们研究认为:该《框架》拓展了企业的内部控制,对企业风险管理这一更宽泛的主题作了更全面的关注,企业可以借鉴该《框架》向更完善的风险管理进程推进;企业风险管理也是一个立体框架模式的组织体系,在这个组织架构中,合规、风险、内控和内部审计成为一个不可分割的整体,共同筑起企业风险管理的三道防线。
(二)企业风险管理框架 企业风险管理框架可以解剖为一个基础,三道防线(如图1)。
图1
(1)一个基础:公司治理。公司治理是涉及公司高层人员,它隐含着一家企业如何得到有效的管理,从而使其发挥最佳表现。公司治理是涉及责任的问题,它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益,公司治理是风险管理的一个必要的组成部分,因为它提供了对风险由上而下的监控与管理。如何构建一个有利风险管理的公司治理结构?就是需要建立一个健全的、以董事会为首的公司治理结构;订立企业的目标和战略,包括企业的风险政策和极限;贯彻一套重视风险管理的企业文化和价值观。(2)第一道防线:业务单位防线。企业业务单位管理与控制着企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线;企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线。如何建立第一道防线?了解企业战略目标及可能影响企业达标的风险;识别风险类别;对相关风险作出评估;决定转移、避免或减低风险的策略;设计及实施风险策略的相关内部控制。企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控;企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新。(3)第二道防线:风险管理部门防线。第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成可能包括风险管理部门、信贷审批委员会、投资审批委员会;风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度,对各业务单位的风险进行组合管理,度量风险和评估风险的界限,建立风险信息系统和预警系统、确定关键风险指标,负责风险信息披露、沟通、协调员工培训和学习的工作,按风险与回报的分析,为各业务单位分配经济资本金。(4)第三道防线:内审审计防线。第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题。内部审计在企业风险管理中的职责:一是要对整个系统的管治、风险管理和控制体系进行独立评估,以确保的董事会及管理层所制定的准则、流程及内控得到遵循;二是要担当董事会及高级管理层的顾问角色,提高风险管理系统的运作能力。
(三)企业风险控制与制度基础及内部控制三种内审模式融合新审计模式的产生,并不意味着原有审计模式的淘汰和消亡,而是意味着我们在实施审计时有了更多的审计模式可供选择,尤其是把防范风险的意识贯穿于内审全过程的主导思想,应是十分值得提倡的。如企业责(离)任审计、经营指标真实性审计等主要是采用制度导向内审模式,而一些专项审计则是在制度基础与内部控制内审模式基础上融合了风险控制内审方法。
(四)企业内部审计方法应用与审计环境相适应风险控制审计是一种较为科学的审计新理念,但任何方法都有其独特指向,其运用也均有其必备条件,必须遵照实事求是的原则,视不同的具体对象及审计环境选用不同的审计方法,依不同的审计层次及审计目标选用不同的审计方法。
(五)企业内部审计技术与审计人员素质相配套从当前我区内审人员的素质来看,内审人员的知识水平及业务能力存在参差不齐现象,内审人员的素质、阅历、判断力、偏好等将直接影响审计方法的运用,在企业运用风险控制审计技术与方法时,不仅要求内审人员掌握工程、会计、中间业务等业务知识,而且要求内审人员熟悉管理知识、精通企业业务、具备内审人员独特的敏锐性和判断力。因此,在企业实施风险控制内审应遵循循序渐进原则,审计技术方法选择要与内审人员素质相适应,才能保障我们内部审计质量。
风险控制内审是将企业置于一个大的经济环境中,运用系统理论和战略管理论,采取立体观察的方式来控制企业各种风险因素,从企业所处的行业状况,监管环境,经营目标,战略规划、经营方式、业务流程等内外部各个方面来分析评估企业风险水平,把企业风险水平植入到企业的风险管理中,并贯穿于内审工作的全过程,从而把重点放在控制企业风险水平上。然而,风险控制内审并不排除制度基础审计或者账项基础审计的融合,但是,风险控制内审关注的是企业战略风险并始终为企业所采用的风险管理框架提供合理有效保证,风险控制内审可以让内审和风险管理框架直接联系起来,实现杠杆协同效应。具体表现在企业内审要在企业风险管理的风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。因此,风险控制内审模式是企业内审发展的必然趋势,代表了企业内审未来的发展方向,开创了中国内审的新纪元。
标签:风险管理论文; 内部审计论文; 企业内部控制与风险管理论文; 审计计划论文; 审计质量论文; 审计方法论文; 会计与审计论文; 审计流程论文; 审计目标论文; 风险控制论文; 审计准则论文; 内部控制论文; 投资论文;