内部审计参与企业风险管理工作是内部审计发展的趋势,1999年6月,国际内部审计师协会理事会将“评价和改进风险管理”列入新的内部审计定义,并于2001年将新定义写入《内部审计实务标准》。新的定义表明:传统的管理将注意力放在个别控制系统和经营机制上,而现代管理则强调总体管理概念,把总体管理控制系统与组织的长远目标联系起来,评价和改进风险管理、控制和治理过程,必然成为内部审计的一项重要职责。
内部审计参与企业风险管理的原因 (一)内部审计部门自身发展的需要
随着民间审计业务竞争的不断加剧,传统的鉴证业务已经不能给事务所带来更多的利润,事务所迫切寻求新的业务来维持其自身的生存和发展,参与企业的内部管理是其业务拓展的一项重要内容,而事务所又存在着经验和成本上的优势,所以有相当一部分企业选择将内审工作外包。这样就会给企业内部审计部门带来了很大的压力,内部审计部门想要发展,就需要寻求差异化的生存方式,为组织提供独特的增值服务,而参与企业的风险管理正是一个合适的选择。内部审计通过参与风险管理,可以全面评估企业的机会和风险,甚至可以在董事会允许的情况下制定风险管理战略,这样就会使内部审计部门从传统的被动服务方式向主动服务方式转变,进而使内部审计部门成为企业中的一个重要的角色。
(二)内部审计部门的特点决定其适合参与风险管理
近些年来,事务所的业务不断拓展,参与企业的风险管理就是其中一项主要的业务。虽然事务所的职业经验比较丰富,也可能会存在成本上的优势,但是,内部审计部门在参与本企业风险管理上有事务所所无法比拟的优势,因为内部审计部门会更熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等,其本身的利益与企业的发展也是相统一的,所以内部审计人员对于参与风险管理、实现企业目标会有更强烈的责任感,这些差异会弥补其在经验上的不足。因此,内部审计部门较事务所更适合参与本企业的风险管理。
风险在企业内部具有感染性、传递性等特征,即一个部门造成的风险可能会传递到另外一个部门,最终会使整个企业陷入困境中。正是由于这种原因,企业对于风险的管理应该从总体上来考虑,而不应从单个的业务部门来考虑,风险管理部门是企业的专职部门,它可以做到这一点。但是,风险管理部门隶属于管理部门,它的独立性不够强,很多意见有时需要屈从于管理当局的压力。而现代企业中的内部审计部门独立与管理部门,他们可以更独立地对风险进行评估,并将建议直接报送董事会,所以提出的建议会更有权威性。
内部审计参与企业风险管理的方法
风险环境分析。在分析企业风险环境的过程中,内部审计部门需要评价企业的发展战略、经营计划是否符合内外部环境的变化,因为内外部环境的变化会带来相应风险的变化。另外,宏观经济政策的变化,行业政策的变化,以及上下游企业经营状况的改变都会对企业的经营风险、财务风险产生影响。所以,内部审计人员需要分析内外部环境的变化,进一步考虑企业的风险管理措施是否适应新的形势,并将分析的结果报送相关部门。
风险确认。风险确认就是在各种风险发生之前对这些风险的类型及发生的原因做出判断,以便实现对风险的估价和处理。内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出这些风险的原因。内部审计人员可以采用通用风险分析模板法及其他方法,识别企业自身的风险和相关主体的风险。对于企业内部风险的确认,比如由于企业盲目扩张给企业带来的财务风险,可以通过查阅相关财务报告和相关的合同来进行确认;由于员工不按规定操作所带来的操作风险,可以通过察看内控制度或者实地观察工作情况来进行确认。对于企业外部风险的确认,比如市场的变化,政治环境的变化而给企业带来的市场风险、财务风险、政治风险等,可以先将这些风险逐个列示出来,然后通过故障树法、德尔非法找出引起这些风险的原因。
风险评估。风险评估就是对已识别的风险事件进行定性分析或定量分析,来评价某一事件发生的可能性以及产生的影响。在假定风险可以计量的前提下,风险评估的任务一方面是估计某一风险发生的概率,另一方面是预测该风险带来的损失,这时内部审计人员可以采用概率和统计的方法进行风险估价。但是,很多情形下的风险是不容易用数学方法来计量的,它需要主观判断不同结果发生的可能性,这时内部审计人员需要利用自己的经验,从客观的角度分析评价风险,进而提出专业的意见。另外,内部审计人员需要对风险评估的结果进行再检验,以确定其是否恰当,对于不恰当的风险评估需要予以修正。
风险控制。风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业正常的生产经营。企业可以根据不同的风险来选择要采取的策略和方法,决定应该避免风险、接受风险还是降低风险。对于一些高风险高报酬的项目,如果企业决策层考虑接受的话,内部审计人员需要采取相应的控制措施,尽量将该项目的风险降低至可以接受的水平;对于企业重要的计算机系统,为了避免网络风险,内部审计人员可以将其与因特网进行物理隔离。另外,企业的风险管理部门会设计业务控制程序来限制和降低风险,内部审计人员可以通过评价风险回报的合理性以及减少风险的有效性,来测试这些控制程序的有效性,并提出建议和改进措施,将风险降低至可以接受的水平。
风险监控。因为环境的变化会导致风险的变动,所以企业要对风险管理进行持续的监控,通过对内部控制系统运行的监控以及风险处理结果的评价,保证企业对风险的管理是持续有效的。内部审计人员通过对新的环境和风险的分析,来评价企业内部控制制度是否适应新的风险。
另外,内部审计部门还需要将风险管理的相关信息及时告知管理层和相关部门及组织,通过信息的传递,可以使董事会和审计委员会等监督者了解风险管理的情况,使内部相关部门意识到存在的问题以及改进的方法,使外部相关利益主体对企业的风险管理产生信任。
内部审计参与企业风险管理的改进措施 (一)转变相关主体观念
企业的决策层首先要转变观念,增强风险管理的意识,重视内部审计部门在风险管理中的作用。同时,内部审计人员也要转变观念,要从被动的服务转向主动的服务,不仅要注意传统财务收支的合法性与合规性审计,更要关注企业经营中风险比较大的方面,充分发挥其在风险管理中的作用,提供更多的咨询增值服务,帮助组织适应内部和外部的动态环境,实现企业的目标。企业的最高管理层也应对内审部门的工作进行定期评价,重点在于内审部门是否提供了足够的“增值服务”。
(二)明确内部审计的定位
内部审计是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物。由于企业自我管理和控制的内在动力不足,导致内部审计的建立缺乏内在的需要,定位上存在偏差。而企业内部审计定位的偏差又会产生一系列不良后果,使内部审计工作的范围局限于财务审计,导致内部审计工作的作用受到了限制。而将内部审计部门参与风险管理写入内部审计的章程,以正式的书面文件来进行规定,并得到企业高层的批准,就会使内部审计部门有了一个崭新的定位,新的定位有利于内部审计部门参与企业风险管理,进而提供独立的建议和评价。
(三)提高内审人员素质
要想使内部审计部门有效地参与企业风险管理,需要培养一批高素质的内部审计人员。内部审计人员不仅要熟知内部审计标准和具体的风险管理方法,还要了解企业的经营战略、生产运作,以及企业外部环境的变迁,宏观政策的变化,行业的特点及发展方向等。另外,内部审计人员不仅要业务水平过硬,还应具备正直诚实、认真负责、善于沟通等素质。企业可以采用“走出去,请进来”的策略,“走出去”一方面指的是挑选部分优秀人员到国外学习先进的风险管理技术,以便将国外先进的技术和经验带到实践工作中来,另一方面可以让内部审计人员参加国内专业的培训,以提高其业务素质;“请进来”一方面是指吸纳各种人才到内部审计这个团队中来,不仅局限于会计、审计专业的人才,还包括工程师、市场分析专家、计算机专家等,另一方面,在某些具体的风险管理项目上,企业可以聘请外部审计人员参与其中,开展一定程度上的内审合作,通过合作,不仅可以提高企业风险管理的水平,还可以使内部审计人员学到先进的技术和经验,为企业节约了成本。
最近更新