内部审计参与风险管理的动因及其运作探讨
一、我国内部审计运作现状
作为西方管理体系的组成部分,外部独立审计和内部审计是基于委托经济责任的需要而产生和发展起来的,是基于所有权与经营权分离的现代企业管理的发展对企业组织目标及社会责任的双重约束的产物。在法律规定下,企业的审计由企业内部的监事会(美独立董事制度)和外部的注册会计师协会共同完成。但我国的内部审计是在政府要求下,在国家的组织下建立和发展起来的,其运作模式与现代审计的内涵有一定的偏差。
首先,我国内部审计的履行是出于国有资产的保值增值的需要, 是政府管理职能的延伸。职能的明确及地位的特殊与企业组织追求效益的目标有时会产生潜在的冲突,前者的过于稳健保守与企业经营注重市场化需求易产生矛盾。内部审计的工作范围往往局限于财务审查,重在进行财务收支的合法性与合规性,与企业投资决策的实行不甚契合,内部审计很难融入企业的价值目标上。职能、地位的特殊造成内部审计管理上的矛盾。
其次,在人员配置上,较少重视自身发展的内部要求,行政性强,造成人员素质低下且结构不合理,与运用系统的专业方法评价和为改善企业组织化目标的西方现代审计目标相距甚远,给人造成一种可无又不能无的印象,对从业形象、执业质量易造成损害和引起人们的怀疑。
诚然,长期以来,我国内部审计对国民经济发展所发挥的作用是巨大的;对企事业单位的各项经济活动进行监督和管理,为惩治腐败、纠正偏差发挥着积极的作用,从而树立了自身的执业形象。但所存在的问题则不能不予以重视。
第三,融入全球化的步伐对内部审计产生了深刻的影响。全球化是个颇有争议的概念,但有一点是肯定的,即所有国家对市场经济的评判是趋同的。市场经济的标志应当是:(1)独立的市场主体;(2)统一开放的市场;(3)完善的市场体系。中国从新世纪开始已全面融入世界经济体系中,必须按这一评判来管理企业,体现自由贸易和公平竞争的原则,从而使企业经营者重视内部审计的参与作用,改变、逐步取消内部审计的特殊地位,并融入企业目标中。这样,内部审计无疑面临一大挑战。
二、内部审计参与风险管理的动因
内部审计参与风险管理,旨在通过内部审计活动帮助企业识别和评价重要的风险暴露,并帮助企业改进风险管理和控制系统。内部审计之所以涉足风险管理领域,主要有以下几个方面的原因。
1.企业面临的风险日益增大
近年来,随着社会经济的发展,国际经济、金融联系加强,特别是全球经济金融一体化程度加深,企业经营环境因之变得日趋复杂,企业经营风险大大增加。企业面对的是一个充满风险的外部世界;计算机技术的普及和经济网络化,要求内部审计对资源运动的合标性进行全程跟踪审计,及时反馈信息;科技迅猛发展也使企业面临比以前更大的风险;企业自身为适应环境求得生存也在不断的变革中求发展,而变革是企业风险产生的一个重要来源。可见,企业风险无处不在,因此,企业经营者必须树立风险意识,把减少企业面临的风险作为企业实现目标的关键。今天,企业对于防止可能发生的风险与损失以及损失后如何采取补救措施,比以往任何时候都更加关注,从而要求企业对其自身存在和面临的各种风险以及可能存在与发生的所有风险进行识别、衡量、评价,并在此基础上制定和实施对企业最优化的风险处理方案。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。
2.内部审计自身发展的需求
内部审计参与风险管理也是内部审计本身发展的需求。内部审计部门为其自身的不断发展,以便在企业中担当更重要的角色和发挥更重要的作用,总是不断寻求新的对企业发展更为重要的服务领域。企业经理人员对风险的空前重视,为内部审计发展提供了一个较好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新的更高层次;而且,采用关注风险的审计方法,内部审计的报告更容易接受,管理部门也更容易理解内部审计存在的价值。正因为如此,内部审计师的职业组织国际内部审计师协会才会不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
3.内部审计在风险管理中发挥着独特作用
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或者疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终要由整个企业承担。正因为如此,有些部门可能会出现过度道德风险,因为风险不是由它们来承担(至少不是单独承担)故而放任其行为。譬如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成巨大的损失。因此,对风险的认识、防范和控制需要从全局考虑。内部审计部门不从事企业具体业务,其活动独立于业务管理部门,这就使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取有效措施控制风险。
内部审计在我国现代审计体系中具有相对独立的地位,它不是从属于外部审计,而是一种系统内部的高层次的经济监督,因而内部审计人员能够充当企业长期风险策略与各种决策的协调人,通过对长期计划与短期计划的调节,调控、指导企业的风险管理策略。并且内部审计部门的建议容易引起重视,因为它不同于一般职能部门,内部审计部门可利用其独立性将风险评估的意见直接报告给董事会,这样会提升管理当局对内部审计部门意见的重视程度。
4.外部审计与内部审计的比较
近年来,注册会计师的业务领域不断扩展,风险评估是主要业务之一,这不能不对内部审计界产生影响。但是内部审计在风险管理方面拥有注册会计师无可比拟的优势。内部审计对企业面临的风险更了解;对防范企业风险、实现企业目标有着更强烈的责任感、义务感;具有连续性、服务性强的特点。内部审计专门为企业决策者服务,内部审计人员对于企业中高风险暴露有着更详细的了解,不同于外部审计服务面广、精力分散,特别是在企业兴盛或者企业经济增长受到抑制时都能与企业为一体,保护企业资产,并且可以对经济事项进行连续的跟踪审计,及时反馈信息,这些都是外部审计不可比拟的。所以,内部审计就更应该参与风险管理。
三、内部审计参与风险管理的运作过程
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门的风险管理进行再监督,但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要情况下,它可以直接进行风险管理。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督。其风险管理过程应包括:
1.评价企业风险管理组织结构的合理性和有效性
审查企业是否建立了为实现风险管理目标而设置的内部管理层次及管理机构。如审查部门之间权限规定,分工是否明确,是否相互牵制、相互配合;对企业风险管理组织结构的构建及其健全性、合理性、有效性予以评价并提出改进措施;评价内部审计风险管理组织与外部风险管理组织的配合情况,以使企业的风险管理保持良好的运转。
2.对企业风险管理目标进行合理性评价
企业风险管理的目标是指企业通过实施风险管理将风险控制在一个可接受水平,从而保证企业目标的实现。内部审计在评价企业风险管理目标时,要对本企业的风险状况进行分析,不同企业应对损失的能力有所不同,因而所设定的风险可接受水平是不同的。不同的风险管理目标,决定着具体的损失前目标和损失后目标的不同, 为实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。
3.按“三性”要求进行风险识别、衡量并采取措施
风险识别是对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。风险衡量是应用各种管理科学技术,采用定性与定量分析结合的方式,最终定量估计风险大小,找出主要的风险来源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计要对已有风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。风险的防范措施就是为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,应提出改进措施和建议,以强化企业的风险管理,降低风险损失。此外,内部审计参与风险管理应当评价企业在风险管理运作的各个环节所制定的相关规章制度,并监督实施。
四、对我国内部审计参与风险管理的思考
1.明确我国内部审计的定位
作为现代审计体系的两大组成部分-独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物。目前,企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差。
企业内部审计定位的偏差,产生了一系列不良后果,导致内部审计缺乏独立性。内部审计地位不明确,而且内部审计工作范围往往局限于财务审计,重在进行财务收支的合法性与合规性审计;在人员配置上,较少重视自身发展的内在要求,行政配置较多,造成人员素质较差且结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥,甚至直接影响了内部审计的发展。我国加入世贸组织已有几年,内部审计的发展无论是从与国际内部审计接轨,还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲,我国的内部审计事业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确,只有搞好定位,一系列问题才能得以解决,才能应对国际内部审计和惯例要求的挑战。
2.高度重视国际内部审计的发展对我国内部审计的影响
按照WTO协议的规定,入世后我国必须开放市场,取消政府对企业出口产品的补贴、退税等支持措施,以体现自由贸易和公平竞争原则,因此,企业效益全靠自身努力,在企业竞争中效益不好的就会破产、倒闭,竞争的风险不断扩大,从而促使企业经营者重视内部审计的参与作用。为适合企业这一需要,我国内部审计的中心也需要从以内部评审为中心转向以风险管理为中心。我国内部审计参与风险管理,首先需要帮助企业建立起风险管理系统,包括帮助企业建立和健全风险管理组织并就企业经营管理的各个环节制定相应风险管理规章制度。在此基础上,通过对企业风险管理组织活动的评价和监督,帮助企业不断完善其风险管理系统。同时,内部审计要不断识别企业的风险并制定管理措施,这就使得内部审计的服务延伸到企业经营过程中的任何一个领域并以风险管理为中心开展业务活动,如财务风险审计、经营风险审计、生产风险审计、信息系统风险审计等。
3.对我国内部审计组织及人员提出更高要求
首先,加强职业组织的导引。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理,积极介绍国际上内部审计参与风险管理的经验和案例,提供可资借鉴和参考的基础;积极制定与参与风险管理有关的准则和指南,以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流,选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习。
其次,内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问,而不是警察。内部审计工作只有给企业带来价值才有意义,才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。“服务”导向性内部审计只能侧重于服务,内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外,更重要的任务是针对管理和控制的缺陷提出建设性意见和改进措施,协助管理人员更有效地管理和控制各类活动,合理使用资源,以提高经济效益,增加企业的价值。
最后,改善内部审计人员的知识结构,提高其胜任能力,是内部审计实现参与风险管理的关键所在。目前我国内部审计人员知识结构比较单一,严重缺乏风险管理方面的知识,要有效地协助企业进行风险管理,必须改善他们现有的知识结构。通过风险管理的培训,增加内部审计人员的风险管理知识,提高其专业胜任能力。
综上所述,风险与风险管理,已成为现代企业经营管理的现实。风险是一种存在危险的可能性,但也是一种机会。企业最高经营者必须面对现实,重视风险,把风险管理视为日常营运的一部分。内部审计介入风险管理,无论是从国际还是我国来说都是一个新的事物。如何使内部审计能够更有力地在风险管理中发挥作用,则是需要进一步探讨与研究的课题。