风险管理框架下的内部审计
[关键词] 风险管理;内部审计;审计理论
一、我国内部审计的回顾
我国从1983年恢复内部审计制度以来,大体经历了三个阶段。第一阶段1983-1994年,是我国内部审计制度初步建立阶段。主要针对国营企业和大量的行政事业单位制定了一系列法规,基本确立了我国的内部审计制度,使内部审计得到了发展;第二阶段1994一2002年,是我国内部审计立法进一步完善的阶段。1995年7月审计署发布了《审计署关于内部审计工作的规定》,对原有的规定做了全面修订,并对内部审计的定义、机构设置、职责、权限、审计任务、工作程序、职业道德等作了全面具体的规定;第三阶段从2003年开始,是全面建立健全内部审计法规体系的阶段,将内部审计的对象扩展到国有企业以外的其他企业,并颁布了第一和第二批内部审计准则,为所有类型的企业、事业单位、机关、社会团体等各类组织提供了内部审计实务的指导。
二、我国内部审计的现状与存在的问题
(一)我国内部审计的现状
从2003和2004年已发布的内部审计准则可以看出,内部审计准则已涵盖了内部审计活动从计划到后续的基本步骤,审计准则与职业道德规范充分借鉴了国际管理理论,特别是最先进的风险框架下的内部审计的基本理念,以风险和控制贯穿所有的准则。同时也考虑了我国特有的社会环境对内部审计的准则的影响,具有科学性、现实性和先进性的特点。许多大中型企业在实践中已运用西方先进内部审计理论,将内部审计的范围扩展到企业管理的各项活动中,内部审计的方式从事后监督评价转向事前预警、防范。
(二)我国内部审计存在的问题
1 内部审计人员的知识结构不合理。目前我国内部审计人员70%以上是财会审计专业出身,具有企业管理活动所要求的管理、法律、金融、工程等方面知识的审计人员较少,不符合复合型高素质内部审计人员的要求。2 内部审计范围小,多局限于对财务活动的审计。审计的重点大多在财务会计报表和相关的经济指标,在改善企业经营管理、加强风险的应对、增加企业经济效益方面还存在欠缺。3 审计方法和手段简单、落后。我国企业在审计项目的选择上主要考虑管理层的意愿,带有很大的盲目性。在审计技术和手段上有相当一部分内部审计人员还不能或不完全能熟练使用计算机开展审计工作。4 内部审计机构大部分是在总经理或副总经理的领导下开展工作,缺乏独立性,直接影响到内部审计人员的客观公正性。
三、风险管理框架下的内部审计
(一)风险管理框架下的内部审计理论
21世纪以来,风险成为企业经营活动中不可忽视的因素。按照COSO的定义:企业风险管理框架是一个在战略决策以及在整个企业中贯穿实施的过程,用于识别影响企业的潜在事件,将风险控制在企业风险偏好的范围内,并为企业目标的实现提供合理的保证。因此,风险管理框架下的内部审计关注的核心是企业的各类风险,而企业的风险是针对目标而言的,内部审计能够直接针对高风险的领域展开工作,根据企业目标判断企业的风险,确定对企业的控制方案,抓住机会以实现各类目标。
风险管理框架下的内部审计是一种综合审计类型。不同于单纯的财务审计、业务审计及管理审计,是融风险管理、公司治理和内部控制审查于一体,更关注企业在整个治理过程中的决策风险和经营风险。内部审计的职能从监督和评价转变为确证和咨询。确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息,能够改善决策与提高决策的科学性。咨询则是直接作为专家顾问参与经营活动,改善客户的经营和财务状况。通过内部审计可以促进公司治理和内部控制的整合。风险管理框架下的内部审计除了对公司治理和现代内部控制发挥各自的作用外,还能成为沟通二者的渠道,促进公司治理与现代内部控制的协同与整合,有利于各类企业外部受托责任与内部受托责任的统一。
(二)内部审计在风险管理过程中的作用
1 内部审计在公司尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果公司尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计人员长期立足于本企业的具体岗位,比较熟悉公司的业务并能够随时深入到生产经营的全过程去了解掌握具体情况,通过周密详细的审前调查,收集到大量的第一手资料,从中发现存在风险的隐患问题,并对其进行风险分析,从而制定出全面且符合实际的审计工作计划,提高工作效率。
2 内部审计可以通过咨询服务的方式协助公司建立风险管理系统。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配给一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求,内部审计部门可以协助,但不能超出正常的保证和咨询范围,以免损害独立性。内部审计师可以促进、协助风险管理系统的建立,但不负风险管理的责任。
3 内部审计通过将风险管理评价作为审计工作的重点,以体现检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。一是评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,防止风险的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论,如果接受的风险水平与公司风险管理战略不一致,应进行报告。二是评价管理层选择风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般来说,规模大的、在市场筹资的公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的公司,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
4 内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。现代企业制度下,公司建立了全面风险管理,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第二方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
四、结束语
在建立以市场经济为导向的现代化、科学化的企业管理的要求下,借鉴西方内部审计先进理论和技术是我国内部审计的必然选择。随着我国经济日益融入全球化的趋势,我国各类企业应充分借鉴风险管理框架下的内部审计理论、技术和方法,实现管理决策的科学化,增强企业的可持续发展能力。
[参 考 文 献]
[1]高延冰,纪红梅 内部审计的国际发展及对我国的启示[J] 山东经济,2003,(1)。
[2]胡春元 风险基础审计[M] 大连:东北财经大学出版社,2001.
[3]刘秋明 论风险基础内部审计[J] 审计理论与实践,2003,(10)。