风险导向整合型内部审计模式探究,本文主要内容关键词为:导向论文,内部审计论文,风险论文,模式论文,整合型论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、公司治理、风险管理、内部控制的关系和整合
(一)公司治理、风险管理、内部控制三者的关系
1、公司治理、风险管理、内部控制的内涵。(1)公司治理源于现代企业中所有权与经营权分离以及由此产生的委托代理关系,主要是解决“代理成本”、管理层的选择与激励等问题,而不是一般的公司经营管理问题。公司治理是现代公司制企业在决策、执行、激励和监督约束方面的一种制度或机制,其实质是确保经营者的行为符合股东和利益相关者的利益。(2)风险管理是一个由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险,为企业目标实现提供合理保证的过程。(3)内部控制是由公司董事会、管理层以及其他员工实施,旨在为实现经营活动的效率和效果、财务报告的可靠、相关法律法规的遵循等目标而提供合理保证的过程,其整体框架包括控制环境、控制程序、风险评估、信息与沟通、监督机制(COSO,1992)。建立内部控制是为了实现效率经营、防止舞弊,通过划分职责,包括组织规划、分工、授权审批、独立负责制度,明确各部门、各岗位和员工职责、制定作业标准等实现控制目标。
2、公司治理、风险管理、内部控制三者的联系。(1)公司治理与内部控制的联系。公司治理和内部控制产生的基础都是委托代理,有同源性。公司治理是基于所有权和控制权分离而建立的约束和激励的制度安排,试图解决所有者和管理者之间的代理问题,即所有者与董事会、管理层之间的关系。而内部控制是基于分权管理而产生的不同层次代理人的委托代理问题,主要解决企业内部董事会、管理层和各下级执行机构之间的关系,是公司治理契约在企业内部的延伸。董事会和管理层是公司治理和内部控制的共同组成部分,是两者有机对接的载体,公司治理与内部控制的关系(如图1所示)。对于保证公司营运的效率与效果、财务报告的真实可靠、相关法令和规章的贯彻实行这三大目标而言,内部控制只能提供“合理的保证”而非“有效的保证”,当管理层有机会和有能力凌驾于内部控制之上时,对董事会和管理层的控制问题必须依赖于公司治理的约束。因此,对于风险管理而言,内部控制与公司治理不能割裂,需将内部控制纳入到公司治理路径之上,两权合一时,股东和股东大会直接实施内部控制;两权分离时,利益相关者通过董事会或监事会间接控制。(2)风险管理与内部控制的联系。内部控制的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和风险管理整合框架五个阶段,从内部控制的发展阶段可以看出,其最早基于财物安全性和信息真实性产生的内部牵制,正是基于企业面临的基本风险,是以风险管理为起点的,随后,内部控制目的由财物安全性、信息真实性扩展至经营效率以至战略的正确性,控制层次由企业员工层面向管理层和董事会(甚至包括股东大会)提升,直至ERM1992年内部控制整体框架确定为四目标、八要素,风险管理都为内部控制的核心。总之,无论是公司治理、风险管理,还是内部控制,都是为了控制企业可能面临的各种风险而产生并伴随企业组织层次的发展变化,相互促进、发展。同时,长期的企业实践表明,企业不可能完全避免和消除风险,必须承担某些风险,有的风险只能控制在可容忍的水平,企业只需要对超过可容忍度的风险进行控制。
图1 公司治理与内部控制的关系
(二)公司治理、风险管理、内部控制三者的整合
整合是指为实现系统目标将若干部分、要素联系在一起,使之成为一个整体的、动态有序的行为过程。公司治理、风险管理与内部控制的整合表现出的整体功能并非等同于三者功能的简单相加,而应是整体功能的放大效应。
公司治理、风险管理以及内部控制都是基于风险管理和控制,因此,可以将其整合为以风险管理和控制为核心的、统一规范的系统。整合后的风险管理包含于企业整个经营管理活动过程,是针对企业各责任主体而言,离开了责任主体,风险管理既失去了风险控制的主体,也失去了风险发生的主体;风险管理必须有一整套风险识别、风险控制的程序和方法;风险控制的目的是确保财物安全和信息真实,提高经营效率以及各项法律法规的执行。
公司治理、风险管理以及内部控制三者整合框架(如图2所示)。整合框架由四个维度组成:第一个维度是指风险管理的基本程序,这一程序在ERM中有明确的规定,这里不再赘述;第二个维度表明责任主体,之所以把子公司单独列为一个责任主体,是因为现代大型企业多以集团公司形式存在,集团公司所属的子公司往往也存在背离母公司的倾向,成为母公司控制风险的主体;第三个维度是企业的经营管理过程,一般由以下环节组成:确定发展战略、制定经营计划、设定计划执行的责任主体(形成企业内部组织)、制定各种相应的流程、责任主体执行计划、具体的作业;第四个维度是对责任主体所从事的经营管理活动进行风险识别和风险控制的目标,即财物安全、信息真实、行为合规、经营有效。
二、风险导向整合型内部审计模式
(一)风险导向整合型内部审计模式的内涵
图2 公司治理、内部控制、风险管理整合框架示意图
1、风险导向整合型内部审计模式的含义。风险导向整合型内部审计模式是指在公司治理结构框架内,以风险管理为导向,以内部审计资源、能力合理配置为基础,以内部控制为手段,以实现企业可持续的价值创造能力最大化为终极目标的一种内部审计模式。简言之,风险导向整合型内部审计模式是一种企业风险的管理监控模式,既是公司治理结构的重要组成要素和核心内容,也是现代内部审计发展的集成表征,更是公司治理效率的结果体现。
2、风险导向整合型内部审计的特征。(1)风险导向整合型内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。(2)“控制是否适当有效”虽然仍被关注,但更为关键的是目标、战略和风险管理程序。(3)不再是事后的、不连续的监控,而是互动的、及时的、连续的监控;对组织战略计划的创新由观察者转变为参与者。(4)不仅是独立的评价者,更是风险管理与公司治理的整合者,内部审计师应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题,及时、客观、独立地提供咨询服务。(5)审计建议不仅强化控制、强调成本效益配比以及提高控制的效率和效果,而且关注风险规避、风险转移和风险控制,通过有效的风险管理提高组织整体的效率和效果。
图3 新旧内部审计模式路线图
图4 内部审计风险控制过程
(二)风险导向整合型内部审计模式的目标
风险导向整合型内部审计模式的目的是帮助组织实现可持续价值创造能力最大化。麦克宁路线图反映了风险导向整合型内部审计模式目标与企业目标的契合(如图3所示)。传统制度导向内部审计模式通常采用从右到左的路线,即直接测试内部控制的充分、有效,而风险的大小仅用于表明控制的薄弱环节,从而实现防弊或兴利的目标。从右到左的路线,一是容易使内部审计成为单纯的监督者,而忽视应有的管理职能;二是由于过重关注对内部控制完整性、效益性的评估,会不断要求增加内部控制,易导致企业组织结构的不断细化和规章复杂化;三是以已制定的规则或制度为依据进行评估,难以发现企业当前所面临的风险和难与环境变化相适应。风险导向整合型内部审计模式采取从左到右的路线,首先确认企业目标或某项交易的目标,然后分析对目标产生影响的风险以及能够管理风险的控制,最后测试实际控制能否切实管理风险,关注的是风险是否得到适当管理和控制。
三、风险导向整合型内部审计模式有关问题研究
(一)开展风险导向整合型内部审计模式的现状
1、风险管理体系不完善。企业大多尚未建立起完善的风险管理体系,风险管理活动往往是按照法律法规的要求被动进行,并非出于企业自身需要主动进行,而且风险管理活动往往是瞬时或间断性的,多是在事件发生之后采取的“亡羊补牢”式风险应对措施;与大量运用数理统计模型、金融工程等先进方法相比,风险管理方法较为落后,从而导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,进而影响企业目标的顺利实现。
2、内部审计在风险管理中未能充分发挥作用。目前,有不少单位的内部审计部门是与财务部门或其他部门合并设立,内部审计独立性不足直接影响内部审计在风险管理中的作用;同时,内部审计人员对风险管理还不甚了解,未能在风险管理中发挥应有的作用;目前,内部审计部门主要开展的审计内容仍以财务收支审计、经济效益审计和经济责任审计为主,风险导向审计尚处于起步阶段,并非为主要审计内容。
3、内部审计人员知识结构单一。大部分内部审计人员来自会计专业和审计专业,只有少数内部审计人员来自管理、计算机、工程或其他专业。单一的专业知识结构难以实现对企业风险管理、控制和治理过程的全面综合评价。
(二)风险导向整合型内部审计的实施程序
风险导向整合型内部审计模式的实施过程,实际上是风险控制过程(如图4所示)。
1、审计计划阶段。风险导向整合型内部审计模式下的审计计划与风险相联系,要求审计计划应该反映企业的风险战略、风险管理,并与内部审计程序协调一致。内部审计人员从预备性调查开始,通过分析性程序初步确定企业所面临的风险,对重要性做出初步判断并编制出整个审计计划。根据风险来确定审计项目的先后次序,合理分配内部审计资源,目的是将内部审计有限的资源集中于高风险的领域,更好地服务于企业的总体目标,有助于内部审计效率和效果的提高。
2、审计实施阶段。风险导向整合型内部审计模式改变以往对控制和风险关系的认识。采取目标—风险—控制的路线,从左到右,首先确认企业目标或某项交易的目标;然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议;最后通过后续审计,测定风险是否得到有效的防范和控制。审计建议直接针对企业实现目标过程中面临的主要问题和风险,并将事后评价反馈延伸到事前和事中,使内部审计成为企业价值链中的必要环节。
3、审计终结阶段。在风险导向整合型内部审计模式下,审计人员以风险评估为基础提出审计发现和审计建议,并出具审计报告,报告给能保证对审计结果进行应有考虑的人员,这些人员可能是审计委员会的负责人以及首席审计执行官;管理层、董事会和被审计部门。此外,管理层对于有些风险,基于各方面原因,可能采取接受的态度,一般称为剩余风险。在审计执行官认为管理层所接受的剩余风险水平对于企业来说是无法接受时,首席审计执行官应与管理层进一步讨论,仍无法解决,应报告董事会加以解决。后续审计的目的是确保纠正措施得以恰当的实施以及既定的风险及其他缺陷均得以适当的处理和控制,重点在于控制目标未能实现而产生的风险和影响,而不是审计建议的改进情况,重要内容是控制目标的实现和风险的再评估。
(三)风险导向整合型内部审计模式有效运行的策略
1、完善公司治理结构,重构内部审计组织体系。在现代公司治理结构中,较先进的内部审计组织模式是在董事会下设立专门负责行使或帮助董事会行使内部会计事务积极权力和外部会计事务消极权力的审计委员会,这种制度安排对风险导向整合型内部审计模式作用的发挥至关重要。改进和完善内部审计组织模式,重构内部审计体系当务之急。(1)在董事会下设审计委员会,由审计委员会组织领导内部审计工作,内部审计在业务上要向审计委员会负责并报告,在行政上隶属总裁领导,向其报告业绩。这样能同时发挥内部审计的治理职能及咨询服务职能。(2)建立具有独立性、权威性的内部审计部门,改变内部审计部门平行或低于各职能部门的状况。(3)严格内部审计人员的资格认证,提高内部审计人员的综合素质。
2、转变内部审计职能,倡导增值服务。IIA《内部审计实务标准》将确认服务定义为:客观审查证据以对组织的风险管理、控制和治理过程进行独立评价;将咨询服务定义为:提供建议及其相关的客户服务活动,其性质与范围通过与客户协商确定,目的是增加价值并提高组织的治理、风险管理以及控制过程。这是风险导向整合型内部审计模式下内部审计的基本职能,明确了风险管理、内部审计与内部控制三者的职能关系,风险管理是内部控制职能的拓展和延伸,而内部审计在风险管理中承担评估和建议职能,即使参与风险管理方法和政策的制订也只能是配合专职风险管理部门或向其提出参考意见。所以,内部审计人员首先要从思想上转变对内部审计职能的认识,树立服务的理念,以风险为出发点,帮助企业在承担适度风险的同时抓住发展的机会,成为企业关键业务的“推进器”,从而实现为企业创造价值的目标。
3、整合审计资源和审计能力。审计资源的专用性决定了其只能在某些特定的审计领域发挥作用,而较多的审计资源意味着较高的成本,并可能产生冗余资源。因此,必须使有限的审计资源在一定范围上达到最优的组合和整合,最大限度发挥审计资源的效率,并通过适时升级审计资源(如推进审计信息化进程)提高审计能力,使得审计资源和审计能力与利益相关者和企业价值期望保持一致。审计能力主要体现为审计人员的专业胜任能力,要求内部审计人员熟悉企业战略、目标和计划,了解企业经营管理各项职能。因此,内部审计人员必须具备广博的知识和多元化的技能,不但精通财务、管理、经济、法律等相关方面的知识,而且还要具有一定的分析能力、判断能力,掌握信息技术等。通过建设学习型制度和团队,有效保证审计人员专业胜任能力的持续提升。
标签:内部审计论文; 风险管理论文; 内部控制论文; 企业内部控制与风险管理论文; 审计计划论文; 内部控制缺陷论文; 会计与审计论文; 过程能力论文; 审计方法论文; 审计流程论文; 审计目的论文; 公司治理论文; 董事会论文;