【摘 要】本文以“中航油”事件为引子,分析了国有企业由于体制问题而具有的特定财务风险,得出国有企业财务风险管理是一个全局性、长期性的问题。因此本文从企业文化角度探索了国有企业财务管理的途径:就是建立国有企业的风险管理文化。
【关键词】国有企业 企业文化 财务风险 风险管理文化
引 言
财务风险是指企业财务成果和财务状况的风险,有狭义和广义之分:狭义财务风险是由企业负债引起的,具体是指企业因为借入资金而增加的丧失偿债能力的可能和企业利润(股东权益)的可变性,它与经营风险、资本市场风险一起构成了企业所面临风险的主体。广义财务风险是指企业财务系统中客观存在的,由于各种难以或无法预料、控制的因素作用,使得企业实现的财务收益和预期财务收益发生背离,因而蒙受损失的机会或可能,其中不仅包括由使用财务杠杆带来的狭义财务风险,还包括信用风险、利率风险、汇率风险和证券投资风险等诸多内容。以上是对财务风险的一般分类。[1] 基于公司成立背景、公司经营目标、公司所处的环境、进入领域、公司领导层的知识结构和素质不同,又使得国有企业面临着特有的财务风险。虽然这些财务风险最终的表现形式和一般企业的一样,但是风险成因确是有国有企业的体制问题所引起的。国有企业在历史的潮流中扮演的角色是国家大工厂的生产车间。随着经济发展、改革开放和企业股份制改造的进行,国有企业计划经济时代的运营模式不再适合经济发展的要求:国家以出资者身份干预微观企业的运行管理,产生了国有股一股独大和内部人控制的问题,导致公司治理“人治”而非法制;公司高层管理人员受计划经济影响,其管理思维和知识结构不能适应市场经济对其多元化知识的需求;计划经济时代国有企业形成的“等、靠、要”思想,使得国有企业管理者不具备风险意识。这些都会给国有企业的带来一定的财务风险,甚至使得国有企业毁于一旦。2004年11月中航油破产事件就是一个最好的例证。
第一部分:中航油事件案例分析
中航油事件回顾
中航油是中国航空油料集团公司(简称“中航油集团”)的海外控股子公司,1993年在新加坡注册,当时主要从事石油贸易,并争取到了中航油集团2%的进口权。2000年,中航油进口权增至98%。2001年,中航油在新加坡主板上市,中国航油垄断进口商的地位牢固确立。中航油自20世纪90年代末开始做油品套期保值业务。6年间,净资产由1997年的16.8万美元猛增至2003年的1.28亿美元。但就在此期间,其业务范围逐渐扩大,2003年开始从事石油衍生品场外期权交易,这已经超出保值范围而进入投机领域,中航油从此身陷险地。2004年第一季度,中航油显示亏损。当年3月28日,公司账面亏损580万美元。就在此时油价一路攀升的情况下,中航油选择了“展期”方案,继续卖空待跌,在期权交易中的盘位大增。两天后,公司公布2003年年报,称全面赢利3289万美元,对期货交易的账面亏损只字未提。到2004年6月,中航油期权交易的账面亏损已经达3000万美元,其仍继续坚持展期待仓,把所购期权的到期时间全部推至2005年和2006年,同时交易量被进一步放大。10月以后,中航油持有的期权交易总量已达5200万桶,远远超过其每年的实际进口量(约1500万桶)。此时油价仍在大幅上升,中航油需支付的保证金急剧增加,现金流量很快面临枯竭。10月10日,中航油账面亏损达到1.8亿美元。这时,中航油才向总部汇报,并请求资金支持。中航油集团于10月21日以筹集资金购买新加坡石油公司股权的名义向一批基金出售其在中航油15%的股份,将所得款项1.08亿美元全部贷给中航油补仓。在此次交易中,中航油集团和中航油均未向买家披露上亿美元的亏损情况。11月12日,中航油在三季度财务状况中称,“公司仍然确信2004年的赢利将超过2003年,从而达到历史新高”。11月25日,中航油的实际亏损已达3.81亿美元。11月29日,中航油被迫关闭的仓位,累计损失已达3.94亿美元,正在关闭的剩余仓位预计损失1.6亿美元,账面实际损失和潜亏总计5.54亿美元。中航油申请停牌。11月30日,中航油向法院申请债务重组。
中航油财务风险分析
从以上案例介绍以及收集到的“中航油”相关资料,我们可以得出,“中航油”作为国有跨国企业中航油集团的海外控股子公司,其面临的特殊财务风险包括:
(一)因公司目标执行不力而诱发的财务风险
企业集团的发展战略是应该基于公司的未来远景与总体控制能力,考虑企业人员和财力状况。如果不具备条件盲目扩张,企业进入不太熟悉的行业或从事不了解的业务,不仅起不到预期的增加赢利渠道和分散风险的作用,反而会加大企业的财务风险和经营风险。从1997年起,经历了两年亏损和两年休眠期后的中航油先后进行了两次战略转型:第一次转型是从一家船务经纪公司重新定位为以航油采购为主的贸易公司,第二次转型是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业,成为以中国为依托的石油类跨国企业。依此可以看出,中航油集团在海外设立上市公司的初衷是非常明确——取得一个价格相对平稳的国际油价。从陈久霖担任中航油总裁起,中航油的运作就偏离了这个初衷:中航油从2001年11月在新加坡上市伊始就开始涉足石油期货。在取得初步成功之后,中航油公司管理层在没有向董事会报告并取得批准的情况下,无视国家法律法规的规定,擅自将企业战略目标移位于投机性期货交易,这种目标设立的随意性,以及对目标执行的不力,最终将企业陷入惊涛骇浪之中。
(二)因公司组织结构设置不当、内控无效而诱发的财务风险
管理学理论中,组织结构设计的一个原则就是权责对等,职员(包括高层管理人员)被赋予多大的权力就要承担与权力对等的责任。权责对等的原则使得公司职员在进行某项活动之前,权衡成功得利和失败责任;在活动进行时,公司职员时刻以所承担的责任约束自身的行为。另外,组织岗位设计要求执行和监管部门要严格区分,不能出现执行、监管集于一身的情况,否则公司的内控制度就会陷入瘫痪状态,也就谈不上在公司运营过程中的事中责任监督和追究。中航油为什么会出现历时如此之长(几乎贯穿整个2004年度)、亏损额如此之大(账面实际损失和潜亏总计5.54亿美元)的情况,原因就在于“陈久霖就是中航油”这种现象。虽然中航油上级管理部门有明文规定禁止涉足场外交易,中航油内部也有《风险管理手册》和《财务手册》[2],但是这些都不能构成对陈久霖的责任约束,因为中航油集团充当了中航油的资金支持者角色。即使中航油出现了投资重大错误、现金严重短缺的情况,陈久霖也不会感觉到自己的这种投机行为将造成的严重后果以及应承担的责任。其实早在2000年发生的安然事件中,我们就应该注重内部监控的重要性,安然作为一个在《财富》500强中排名第七的跨国集团公司轰然倒闭,就是因为缺乏实质性的内部监控:安然的董事会及审计委员会采取了不干预监控模式,没有对安然的管理层实施有效的监督,包括没有查问他们所采用“投资合伙”的创新的会计方法。中航油集团对中航油的干预也仅仅限于文字报告,不了解中航油在出现账面亏损到申请破产这段期间的财务状况,这也是导致亏损持续扩大的重要原因。
(三)因公司缺乏风险意识而诱发的财务风险
国有企业在海外投资面临的市场环境,是全球性的、不由中国政府监管的金融市场。相比国内的一般企业,国有企业还要考虑所进入市场当地政府的监管风险、进入新投资领域的技术风险、竞争对手的情况和本公司内部人才配备情况。 1、当地监管部门的风险。经营场所的政府对市场运行管制不力而给公司带来的风险。期交所身处市场第一线,对于期货市场违规行为的发现和纠正具有得天独厚的获得证据和技术方面的优势,无疑是最富效率的期货监管组织体系。从巴林银行在1995年2月破产的事件中不难相像新加坡期交所对衍生品交易的监管不力,而中航油(新加坡)进入新加坡交易所进行场外衍生品交易本来就是交易所很难涉及的投机方式,再加上新加坡期交所监管本身存在的不足,因此中航油一进入新加坡期交所就面临了很大的风险。 2、交易方式的风险(技术风险)。场外衍生交易与交易场所内的石油期货交易相比,是一对一的私下交易,交易的过程密不透风,风险要比交易所内大的多,而且在国际上场外衍生品交易几乎是不受政府监管的。 3、对市场竞争对手认识不够。企业进入海外交易所进行投资,外国炒家很容易得到企业的交易成本、资金承受能力等商业机密,依此锁定攻击对象。中航油对竞争对手以及自身实力的估计都有很大的偏差。事实上,国际竞争对手有意挤压中资企业。一个明显的例证就是,日本三井银行、美国高盛公司等先是给中航油 “放账”操作期权(即在一定金额范围内不用收取保证金),后又允许挪移盘位,对挪移盘位的风险也没有说明。后来等到油价冲到历史高点时,突然取消放账、提高保证金比例,逼迫中航油斩仓。在这种极大的外部压力下,中航油缺乏足够的保证金支持,从而负债累累。 4、人才风险。国有跨国公司从事海外投资业务,其人员配备要考虑到以下几个方面:(1)公司职员的中外籍比例。尤其是参与一线操作的职员构成要考虑到中外比例。公司进行跨国投资业务相关的交易成本、资金承受能力等商业机密都暴露在国外投资者眼里。中航油参与交易、掌握最核心机密的关键位置交易员仍是外籍人士,面临着极大的风险;(2)公司职员的知识结构。公司进入不同的领域,所面对的技术和知识结构是不同的,如果公司管理人员缺乏相关的专业知识,就意识不到该领域的特殊风险,更谈不上对这些风险进行规避和管理。理论上,看涨期权卖方的亏损风险是无限的,一般作为期权卖方需要很强的风险管理能力与相当强大的资金实力,或者手中正好具有充足的对应资产可以履约;在业界,看涨期权的卖方几乎都要另外做一笔反向交易,以对冲风险。中航油管理层缺乏起码的金融衍生品风险管理知识。作为首席执行官的陈久霖,并没有受过石油衍生品交易方面的正规训练,也缺乏实际操作经验,更谈不上知悉石油衍生品交易的运作以及背后的博弈之道。参与交易活动的职员亦是如此:有关交易员在初期未经公司管理层书面批准的情况下,擅自操作投机性石油衍生品交易等问题出现后,在讨论对策时,该交易员和风险管理委员会对往后挪移仓位须增加交易量,以及在油价持续攀升的情况下,公司必须追加保证金的情况避而不谈,以至连连亏损,却一路没有斩仓。同时,通过中航油集团轻易通过陈久霖的“内部救助方案”,不难看出中航油集团内部,亦缺乏真正懂得金融衍生品风险管理的人才(3)公司管理人员和职员对风险管理制度的态度 iso9000管理风险原则是:有包括把风险管理责任写进雇员的岗位说明中的组织结构的书面材料;书面的风险处理程序;有检查是否按程序办事,风险是否受到控制的审计。因此,公司的风险管理有效不但要有健全的风险管理制度,更在于制度的实质性执行。从相关资料,我们知道中航油制定了完善的《风险管理手册》和《财务手册》,对每位交易员的亏损额都有规定,问题出在中航油的风险管理制度流于形式。从以上导致中航油破产的原因,我们不难看出,不仅公司的目标设定以及执行情况会给国有企业带来财务风险,而且公司组织结构的设置也是财务风险产生的诱因;不仅是高层领导和风险监管部门的风险态度会影响财务风险的大小,而且一般职员的风险意识也有助于风险的防范;财务风险不是阶段性的工作,而是贯穿企业运营的全过程。因此,财务风险管理是企业全局性、长期性的工作。如果企业全体职员能够长期保持风险的危机感,那么这也就是形成了一种企业文化——风险管理文化,这是企业财务风险管理最理想的状态。那么,为了能达到这种状态,我们就要探索构建企业的风险管理文化,借助企业文化将风险意识寓于全体职员,借助企业文化的凝聚力促成企业全体齐心合力抵御风险。以下,我们就来探究如何为企业建立一种文化,并且这种文化以抵御财务风险为目的。
第二部分:构建企业风险管理文化
企业文化是在—定的社会历史条件下,企业生产经营和管理活动中所创造的具有本企业特色的精神财富和物质形态。它包括文化观念、价值观念、企业精神、道德规范、行为准则、历史传统、企业制度、文化环境、企业产品等。其中价值观是企业文化的核心。文化观念和价值观念决定了企业精神,企业精神指导企业目标的形成,道德规范和行为准则约束着企业员工沿着目标行动。从管理学角度看,管理主要依赖于两个最基本的要素:权力和文化。权力作为一种支配资源的力量,依靠的是一种硬性的制度约束,这种约束是一种被动约束。文化则是一种一般性的规范指导能力,它往往是一种理念,一种思维方式。包括在这种理念指导下的行为习惯。对企业职工素质的培养和良好的职业道德的形成具有潜移默化的巨大作用。文化的约束是一种发自内心的认同。因此只有将风险管理依托于一种文化,才能将约束变为自觉。
(一)塑造企业风险管理文化的象征物
卓越的企业文化是卓越企业家的人格化。卓越的企业文化是企业家德才、创新精神、事业心、责任感的综合反映。因为优秀的企业文化不是自发产生的,而是企业家在长期实践活动中形成的。企业家从本企业的特点出发,以自己的企业哲学、理想、价值观、伦理观和风格融合成企业的宗旨、企业价值观,逐渐被广大员工所认同、遵守、发展和完善。企业家不是投机商,而应该是一个大胆创新、敢于冒险、注重积累的开拓型人才。企业家精神及企业家的形象是企业风险管理文化的一面镜子,企业家在风险管理方面的身体力行是员工日常风险管理的一面旗帜。卓越的企业家为了挑战未来,必须时时提高警觉.企业家建立企业风险管理文化必须注意以下三个方面:(1)重视员工的参与,提高员工的参与意识。员工是风险管理实践的操作员,没有员工参与的风险管理只是纸上谈兵;(2)产生先见之明。企业家和高层主管必须发掘和利用整个企业的各种意见和合理化建议,借此来建立对未来的共识和认同,以此来形成卓越的企业文化;(3)重视速度。在现今的经济环境下,质量、时间、成本是企业获得并保持竞争优势的重要法宝,企业的文化也要随着环境的变化做快速的改善甚至是转变,使得企业文化与经济发展的要求趋同。另外,企业的风险管理文化不仅要求企业家自身具有风险意识和风险管理专门知识,还要求在高层管理人员的聘用中考虑其知识结构和人员构成,还要考察其风险管理的态度。
(二)建立风险管理高级管理班子
企业家作为企业文化的象征物,也是企业文化的最初载体。以企业家为代表的企业风险管理文化要靠高级管理职员分解,要靠高级管理职员向职员诠释,要带领着企业职员将之付诸行动,引导职员如何体现企业风险管理文化,收集职员对该文化的感受,对职员偏离该文化的行为纠偏,激发职员为改善企业风险管理文化出谋划策,该文化对企业风险管理的贡献也要靠高级管理职员来总结:如果说企业家是企业风险管理文化的缔造者,那么高级管理职员就是企业风险管理文化推行的士卒,而职员是企业风险管理文化得以存在和发展的土壤。 (三)构建风险管理文化的组织结构
如果—个企业的组织结构能够使每个人对实现企业目标有所贡献,那么这样的组织结构就是有效的。同理,如果一个企业的企业文化能够使每个人对实现企业目标有所贡献,那么这样的企业文化也是有效的。如果一个企业的组织结构能使不必要的后果与代价降至最低,以帮助企业实现目标,则这样的组织结构是有效的。同理,如果一个企业的企业文化能使不必要的后果与代价降至最低,以帮助企业实现目标,则这样的企业文化也是有效的。在组织结构中,为建立灵活性而制定的规定越多.组织结构就可能恰当地实现它的目的。在每一组织结构内,必须建立能预料变革并能作出反应的措施和方法。每一企业都是在变化中的内、外部环境中向自己的目标迈进的。如果—个企业变得僵化,而这种僵化不管是否会成为变革的阻力.程序过于复杂的或部门之司的界限过于固定不变,则该企业就没有能力去迎接经济、技术、政治和社会变化的挑战。构建企业风险管理文化,不但要注意企业内控部门的设置,而且要注重各部门承担相应的风险;在岗位设计上首先要有风险责任的规定,而后才能赋予其权力,做到权责对等;同时还有注意企业组织结构因风险变动而灵活变动的适应性。 (四)风险管理文化注意力集中在市场
市场是企业财务风险的来源,也是企业风险最终暴露的场所。企业必须制订一些日常条例来不断提醒自己。企业风险管理部门必须把时间花在外面,花在市场上:监测市场的波动以及时预测财务风险发生的可能性;分析市场以找到分散财务风险的途径;跟踪市场发展趋势以估计企业财务风险损失的发展态势;权衡企业财力和风险造成的最大损失额度。市场的风险产生是单个企业不能控制的,企业对市场的研究是决定企业是否进入风险领域,或者是已经置身于风险之中时,是保持谨慎态度继续拼搏还是果断退出。就中航油事件而言,如果中航油在出现亏损到最终破产这一阶段的任一时刻,退出石油期权场外交易,都不会酿成5.54亿美元的巨亏,更不会遭致破产。 (五)风险管理文化要有金融上的远见
企业能够持续经营,最重要的是现金,而不是账面上的利润。财务风险最终的表现都是资不抵债,偿还债务只能是企业的现金或者能转换成现金的财产物资(服务),因此利润只是虚数。企业如果缺乏现金,就会产生金融上的危机,克服金融危机要付出很大的代价。风险管理文化在金融上的远见,要求企业量“存”为出。强大的资金后盾不是抵御财务风险的盾牌:风险来源于市场众多的原因,风险是无限的,但是现金却是有限的。对于特定企业来说,现金永远也不能填补因风险产生的“无底洞”。中航油集团给中航油的1.08亿美元的贷款未能缓解中航油的财务危机,同样,即使再给陈久霖提供“5亿美元”[3],也改变不了中航油破产的局面。
结束语:
国有跨国企业由于体制上的原因使其存在与一般企业不同的财务风险:计划经济时期形成的“等、靠、要”思想使得国有跨国企业没有风险管理的意识;行政上的审批制使得国有企业的风险管理制度流于形式;沿用国有企业改制前的高层管理人员使得国有企业缺乏具备现代金融和风险管理专门技术知识的人才。因此,构建国有跨国企业的财务风险管理不是某个部门就能达到的,也不是某个领导人就能解决的,更不是在特定的时间范围内就能建立的,当然,依靠引进先进的监控系统[4]来抵御风险也是不现实的。只有建立企业的财务风险管理文化,以企业家的风险管理精神为指导,配合高层管理人员对风险管理文化的执行和组织结构的灵活应变,辅之现代化的风险监控系统,将财务风险管理融入全体职员的意识,渗透到员工的日常经营活动中,才能形成对企业全局的财务风险抵御的盾牌,才能长期减少或规避企业的财务风险损失。
[摘要] 企业风险管理理论是一种全新的管理理念。在我国,它已经通过行政法规的形式由企业监管当局首先在中央企业加以推行。近三年来的实践表明,在理论转化为现实生产力、竞争力的过程中,仍有大量的本土化工作要做。
[关键词] 企业风险管理理论 中央企业 本土化
本世纪初以来,以不确定性为基本研究对象的企业风险管理(enterprise risk management,erm)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(erm)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(committee of sponsoring organizations of the treadway commission,coso)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(enterprise risk management integrated framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。coso认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的erm框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的erm氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个erm框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
[摘要] 随着经济的快速发展,企业在壮大的过程中,逐渐面对了越来越多的风险,建立风险管理体系的重要性和紧迫性逐步突显出来。本文介绍了风险管理的理论与方法研究,并对风险管理的内涵及过程进行了阐述,指出建立风险管理体系将有助于提升企业风险管理水平,从而创造更好的经济效益。
[关键词] 风险 风险管理 安全生产
一、引言
20世纪80年代中期,自改革开放、实行市场经济体制以来,国外各种介绍风险管理的理论与书籍被介绍到中国,风险管理的课程已经逐步在走进大学课堂。风险管理教学、研究和应用开始起步,企业经营领域的风险管理专著开始面世,在许多大型工程的建设过程中,也已开始应用风险分析的理论,风险管理研究已成为管理学科研究领域中重要的课题。
风险管理力求把风险导致的各种不利后果减少到最低程度,使之正好符合有关方在时间和质量方面的要求。一方面,风险管理能促进决策的科学化、合理化、减少决策的风险性;另一方面,风险管理的实施可以使生产活动中面临的风险损失降至最低。
目前我国大部分企业没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对自己工作中的风险独立地采取一定对策,缺乏系统性、全局性。企业中的风险管理基本上是一种被动式管理;企业中风险管理活动往往是间断性的,缺乏系统、科学的风险管理理论方法指导。
构建企业风险管理体系,是在对相关信息采集的基础上,分析可能导致生产活动中出现风险的根源性因素,通过定性与定量相结合的方法发现企业各生产环节管理与运作过程中的潜在风险。充分重视企业风险管理,建立风险管理体系,并对风险分析的理论方法进行全面、深入、细致的研究,将对成功实现企业目标,达到资源的优化配置起到重要的理论指导作用。
二、风险管理的内涵
1.风险的含义
风险和危险是不同的,风险包含着一种不确定性,每个结果的概率是可知或可以估计的,而危险则只意味着一种不好的预兆。因此,有时虽然有危险存在,但不一定要冒此风险,我们要想方设法去改变风险发生的条件,使之不发生,甚至带来转机。综上所述,可以这样定义的风险:风险就是活动或事件消极的,人们不希望的后果发生的潜在可能性。具体地说,风险一般应具备以下要素:(1)事件(不希望发生的变化);(2)事件发生具有不确定性;(3)风险的影响(后果);(4)风险的原因。
将风险表示为事件发生的概率及其后果的函数,即
r=f(p,c) (1)
式中,r--风险,p-概率,c-后果。
风险和不确定性是我们很容易混淆的概念:不确定性是客观事物永远发展变化的客观特性,是产生风险的原因。虽然风险和不确定性这两个概念经常互相使用,但它们并不是一回事。不确定性仅仅考虑事件发生的肯定程度,而风险则要考虑事件发生后果的严重程度。
不确定性在某些特定的情况下并不完全是坏事,关键要看不确定性是在向着我们希望的方向发展,还是相反。再次说明,风险是针对不希望发生的事件而言的,它包括以下两个方面:
(1)发生的可能性;
(2)一旦发生,后果的严重程度。
由此知道,有两类事件的风险性质是没有争议的,一类事件是“高可能性,严重后果”,对这类事件可以立即判定属于高风险问题;另一类事件是“低可能性,轻微后果”,对这类事件我们可以立即判定属于低风险问题。有两类事件的风险等级的判定是容易引起争议的,它们是:
(1)高可能性,轻微后果;
(2)低可能性,严重后果。
这两类风险性质的判定与个人的主观判断有很大的关系,不同的人由于持有不同的立场、观点,以及所处的环境不同,会有不同甚至相反的判断。图中的后果严重程度如果逐步增大的话,人们在做出决定时会越犹豫,在这种情况下,对项目风险等级的判定会更加依赖个人的解释。这时,主管人员一方面要依靠不同领域的专家,另一方面也要做好准备,对判定风险问题作最后的决断。
2.风险管理的含义
风险管理涉及到各个行业,每个行业都有其自身的特点,企业风险管理是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。
从表层上分析,风险管理就是对生产活动或行为中的风险进行管理,从深层上研究,风险管理是指主体通过风险识别、风险量化、风险评价等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功地完成并实现总目标。风险管理的主体是管理人员,客体是生产活动中的风险或不确定性,大型、复杂的生产活动过程应设置专门的风险管理机构和相应的风险负责人。
风险管理是一个过程,由风险的识别、量化、评价、控制、监督等过程组成,通过计划、组织、指挥、控制等职能,综合运用各种科学方法来保证生产活动顺利完成;风险管理技术的选择要符合经济性原则,充分体现风险成本效益关系,不是技术越高越好,而是合理优化达到最佳,制定风险管理策略,科学规避风险;风险管理具有生命周期性,在实施过程的每一阶段,均应进行风险管理,应根据风险变化状况及时调整风险应对策略,实现全生命周期的动态风险管理。
三、风险管理过程及方法
风险管理过程包括风险规划、风险识别、风险评价、风险处理和风险监控几个阶段:
1.风险规划
风险规划,指决定如何着手进行风险管理活动的过程。风险规划确定一套完整全面有机配合、协调一致的策略和方法并将风险其形成文件的过程,这套策略和方法用于识别和跟踪风险区;拟定风险缓解方案;进行持续的风险评估,从而确定风险变化情况并配置充足的资源。在进行风险规划时,主要考虑的因素有:风险管理策略、预定义角色和指责、各项风险容忍度、工作分解结构、风险管理指标体系。
规划开始时,我们要制定风险管理策略并形成文件。早期的工作是:确定目的和目标;明确具体区域的职责;明确需要补充的技术专业,规定评估过程和需要考虑的区域;规定选择处理方案的程序;规定评级图;确定报告和文档需求,规定报告要求和监控衡量标准。如有可能,还要明确如何评价潜在资源的能力。
风险规划过程的运行机制是为风险管理过程提供方法、技巧、工具或其他手段、定量的目标、应对策略、选择标准和风险数据库。其中,定量的目标表示了量化的目标;应对策略有助于确定应对风险的可选择方式;选择标准指在风险规划过程中制定策略;风险数据库包含历史风险信息和风险行动计划等。
风险管理计划在风险规划中起控制作用。风险管理计划要说明如何把风险分析和管理步骤应用到项目之中。该文件详细的说明风险识别、风险评估、风险处理和风险监控的所有方面。风险管理计划还要说明项目整体评价的风险的基准是什么,应当使用什么样的方法以及如何参照这些风险评价基准对项目整体进行评价。
2.风险识别
风险识别是风险管理的第一步,即识别实施过程中可能遇到(面临的、潜在的)的所有风险源和风险因素,对它们的特性进行判断、归类,并鉴定风险性质。风险识别的目的是减少的结构不确定性。亦即发现引起风险的主要因素,并对其影响后果做出定性的估计。该步骤需要明确两个问题:明确风险来自何方(确定风险源),并对风险事项进行分类;对风险源进行初步量化。
风险的识别是风险管理的基础,应是一项持续性、反复作业的过程和工作。因为风险具有可变性、不确定性,任何条件和环境的变化都可能会改变原有风险的性质并产生新的风险。对风险的识别不仅要通过感性认识和经验进行判断,更重要的是必须依靠对各种客观统计资料和风险记录进行分析、归纳和整理,从而发现各种风险的特征及规律。
常用的风险识别方法有:专家调查法(头脑风暴法、德尔菲法、访谈法、问卷调查法)、情景分析法、故障树分析法等。
我们简单介绍一下目前应用广泛的故障树方法。故障树方法简称fta,是用于大型复杂系统可靠性和安全性分析的一个有力工具。利用fta来分析一个系统时,我们关心的是找出造成某个不希望的事件(顶端事件)发生的各种可能原因,fta使用演绎的方法找出使顶端事件发生的可能的次级事件,反映了各次级事件引起顶端事件发生的逻辑关系,这种关系用图形表示出来就像一颗以顶端事件为根的倒长着的树,故障树因此得名。
3.风险分析和评价
风险分析和评价是在对风险进行识别的基础上,对识别出的风险采用定性分析和定量分析相结合的方法,估计风险发生的概率、风险范围、风险严重程度(大小)、变化幅度、分布情况、持续时间和频度,从而找到影响安全的主要风险源和关键风险因素,确定风险区域、风险排序和可接受的风险基准。在分析和评价风险时,既要考虑风险所致损失的大小,又要考虑风险发生的概率,由此衡量风险的严重性。
风险分析和评价的目的是将各种数据转化成可为决策者提供决策支持的信息,进而对各风险事件后果进行评价,并确定其严重程度排序。在确定风险评价准则和风险决策准则后,可从决策角度评定风险的影响,计算出风险对决策准则影响的度量,由此确定可否接受风险,或者选择控制风险的方法,降低或转移风险。在分析和评价风险损失的严重性时应注意风险损失的相对性,即在分析和评估风险损失时,不仅要正确估计损失的绝对量,而且要估计组织对可能发生的损失的承受力。在确定损失严重性的过程中,必须考虑每一风险事件和所有风险事件可能产生的所有类型的损失及其对主体的综合影响,既要考虑直接损失、有形损失,也要考虑间接损失、无形损失。风险影响与损失发生的时间、持续时间、频度密切相关,这些因素对安全生产的影响至关重要。
风险分析和评价的方法主要有:专家打分法、蒙特卡罗模拟法、概率分布的叠加模型(cimm模型)、随机网络法、风险影响图分析法、风险当量法等。
4.风险处理
风险处理就是对风险提出处置意见和办法。通过对风险识别、估计和评价,把风险发生的概率、损失严重程度以及其他因素综合起来考虑,就可得出发生各种风险的可能性及其危害程度,再与公认的安全指标相比较,就可确定的危险等级,从而决定采取什么样的措施以及控制措施应采取到什么程度。有效处理风险,可以从改变风险后果的性质、风险发生的概率或风险后果大小三个方面提出多种策略。
5.风险监控
风险监控就是通过对风险识别、估计、评价、处理全过程的监视和控制,从而保证风险管理能达到预期的目标。监控风险实际上是监控生产活动的进展和环境,即情况的变化,其目的是:核对风险管理策略和措施的实际效果是否与预见的相同;寻找机会改善和细化风险控制计划,获取反馈信息,以便将来的决策更符合实际。在风险监控过程中,及时发现那些新出现的以及预先制定的策略或措施不见效或性质随着时间的推延而发生变化的风险,然后及时反馈,并根据对生产活动的影响程度,重新进行风险识别、估计、评价和处理,同时还应对每一风险事件制定成败标准和判据。
风险监控还没有一套公认的技术可供使用,由于风险具有复杂性、变动性、突发性、超前性等特点,风险监控应该围绕风险的基本问题,制定科学的风险监控标准,采用系统的管理方法,建立有效的风险预警系统,做好应急计划,实施高效的风险监控。
风险监控应是一个连续的过程,它的任务是根据整个(风险)管理过程规定的衡量标准,全面跟踪并评价风险处理活动的执行情况。有效的风险监控工作可以指出风险处理活动有无不正常之处,哪些风险正在成为实际问题,掌握了这些情况,管理部门就有充裕的时间采取纠正措施。同时,建立一套管理指标体系,使之能以明确易懂的形式提供准确、及时而关系密切的风险信息,是进行风险监控的关键所在。
风险监控的主要方法有:审核检查法、监视单、风险报告等。
四、总结
风险管理是一个全寿命的动态过程,与管理的四个阶段,即启动、规划、实施和结束阶段密切结合,渗透在寿命周期的全过程之中。在企业有效开展风险管理能够促进各单位决策的科学化、合理化,减少决策的风险性,能为企业提供安全的经营环境,能够保障企业经营目标的顺利实现,能够促进企业经营效益的提高。无论从理论还是从实践的角度来说,大胆创新、探索性地恰当运用风险管理的理论与方法,已成为关注的一个热点,对于提升企业管理水平、加强安全保障、创造更好的经济效益具有十分重要的意义。
摘要:运用全面风险管理框架(erm)的理论,针对大港油田内部控制与内部审计发展之需要,探讨如何构建有效的风险导向型内部审计,旨在以风险导向型内部审计为目标,为大港油田公司内部审计发展提供一些具有借鉴意义的思路,并不断推进大港油田公司内部审计工作的创新和发展。
关键词:erm;风险导向;内部审计;石油企业
一、研究背景
2004年coso委员会颁布企业风险管理框架(erm),该框架不仅扩大了原coso内部控制整体架构的范围,建立起一个对风险更加关注的、更强大的内控体系,而且将内部控制与风险管理融为一体。企业全面风险管理已成为21世纪全球企业管理发展的新趋势。近年来,着名企业评级机构如标准普尔和穆迪已将erm列为其对企业评级的基本评价因素,各国的审计标准已将审计的根本任务从审计内部控制逐渐转移到审计风险管理的职能上来。最近的调查显示:80%西方投资者愿为有能力实施全面风险管理的企业支付溢价,越来越多的企业开始从风险管理的角度来考虑寻找商业合作伙伴,以保障自身的品牌、时限、质量及可持续性。因此,无论从管理标准或企业评级的新导向,还是从来自于监管、投资者或客户的压力,实施全面风险管理已成为当今企业发展的必然选择。
iia主席伍顿·安德森博士在2004年5月25日的上海报告中指出:在erm框架下,内部控制与风险管理已经有效融合。风险导向型内部审计[1]通过协助风险估算程序,系统的识别风险事件,衡量和监控业绩,最终促成内部沟通和采取正确行动。基于此,本文提出以风险管理为核心的风险导向型内部审计。
二、构建基于erm的风险导向内部审计
在大港油田公司构建依托erm的风险导向型内部审计是以风险为基础,为实现公司的价值增值目标,由具备复合型才能的职业人员所从事的重在监督和评价公司治理有效性的保证和咨询活动。
(一) erm框架下的风险导向内部审计分析
coso委员会在2004年9月《企业风险管理——总体框架》,简称erm框架,该框架包括八大要素:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。下面紧密围绕erm框架八要素,对风险导向审计具体内容逐一进行简要阐述:
1.内部环境。内部审计要充分结合企业的外部经营环境(包括本地经营环境和全球经营环境),综合考虑内部环境可能的经营风险来源:不胜任的董事会、内部组织文化的功能缺失、与战略不相适应的风险偏好、高层管理人员知识、经验是否与战略主题目标和时代相和谐。 目标设定。战略及经营计划中隐含的整体组织风险为erm其他六个要素的运行提供了一个总体框架,这些目标及风险偏好为erm提供了总体标准。内部审计人员要系统的将组织战略和商业模式与对其实现构成威胁的风险联系起来,评估组织的战略目标、经营目标、财务目标、各个部门目标的合理性。 事件识别。内部审计人员通常会利用寿命周期分析法、swot法、ksf法、dccs法、盈亏临界点分析法、财务、会计、统计指标分析法等捕捉风险征兆。如我们很熟悉的swot分析就是将企业内部与外部环境中有利与不利的方面放在同一个框架中进行分析,以综合评价企业从事某一种行业的可行性及风险。 风险评估。风险评估是采用定量或定性的方法,考虑企业潜在事件发生的可能性及对实现企业目标的影响程度。审计重点关注风险评估方法的适当性和有效性,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。 风险反应。管理层在评估相关风险后,按照风险管理优先顺序和风险管理策略,结合风险预警机制,对各类风险或每一项重大风险制定、评估和选择风险管理解决方案,确定如何应对风险。内部审计应重点关注风险管理解决方案制定是否科学。解决方案一般可分为四类:规避风险、减少风险、分担风险、接受风险。方案制定要充分考虑风险容量和风险承受度、成本和收益、方案的机遇等因素。
6.控制活动。控制活动是指为确保风险管理解决方案得以贯彻执行的政策和程序。内部审计要从如下几个方面评价控制活动的科学性、合理性:(1)检查相关交易过程的控制措施。好的内部审计控制的设计必须保证每项交易都具有证明文件,保证拒绝非法的交易,保证所有合法的交易能够被正确处理。(2)总体控制与具体控制。总体控制的缺乏会使具体控制失效。设计具体控制时,必须同时考虑相关的风险、报告的风险和发生的频率。(3)多重控制。为防止一项控制措施不能发现和纠正错误的可能性,应设计多重控制。这里包括授权、职务分离、凭证、接触、实物清查等几个方面同时或交替的控制设计。(4)对成本与效益原则的考虑。内部控制的设计应该遵从成本与效益原则,即将缺乏控制导致的损失与建立和实施控制的成本相比较,寻求内部控制的独立性、有效性的同时,力求简洁与低耗。
7.信息与沟通。内部审计人员需要关注高层管理者的战略、目标意图能否自由、迅速、畅通的传递给下级,并且下级是否能充分理解上级的意思表达,并将意见充分反映到上级、管理层对员工意见的获取和采纳程度以及组织是否有多种沟通渠道等。
8.风险监控。内部审计对风险管理的监控实际上就是判断高级管理层的erm业绩的优劣,在此过程中,内部审计人员要对风险评估过程进行再次评估,在这里要引入iia的最新分析工具一分解(decomposition)。分解方法将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者进行比较,是监控风险环境变化的一种有效方式。与预期值的差异可以按其原因或“起源”来解释,或者用之前的风险分析所指出的、环境或经营条件的变化超出了限度来加以解释。对原因进行相关、及时地计量和剖析便于管理层及时作出反应,又能更好的发挥内部审计咨询方面的增值功能。
(二)erm框架下风险导向内部审计的实施安排
1.重视以风险为基础的审计计划。制定审计计划是指审计人员完成各项审计业务,达到预期的审计目标,在具体执行审计程序之前编制的工作计划。《内部审计实务标准》第2 010款关于制定审计计划中指出:首席执行官应该制定以风险为基础的计划,以确定内部审计活动的重点。企业风险导向审计计划是对内部审计师的一种指引,也是一种便于审计监督的内部约定,其中说明了将要采取的审计步骤,这些审计步骤旨在收集审计证据和帮助内部审计师对被检查业务中存在的风险、效率、经济性和有效性表达意见。其内容通常包括如下几个方面:(1)审核以前的报告、审计方案、工作底稿及前任审计师提供的文档,列出任何要求采取纠正行动的公开项目。其作用在于获取背景资料及确定过去审核的结果,以更好地确定当前重大风险的审计范围。(2)实施初步调查,以确定被审核的活动的目标、实际或潜在风险,以及现存的控制系统。(3)审核被审计职能的政策和程序,以及它的经营管理手册、组织结构图、权力结构图、长短期目标。通过审核来确定可以衡量和评价风险的领域以及该职能是否按管理层的意图执行。(4)审核有关风险的审计领域的现行内部审计资料,针对被审计的业务活动,获得最新的技术信息。(5)准备被审计职能的主要业务流程图,获得业务流程的可视分析,识别控制缺陷。(6)审核管理层已建立的绩效标准,如果可能,把它和行业标准进行比较。(7)会晤客户,讨论审计范围和内部审计师试图达到的目标,避免有关审计目标和范围被误解。(8)编制完成审计业务所需耗费的详细预算,以保证审计过程的效率。(9)通过风险评估并排序,列出必须考虑的重大风险。(10)为每个可识别风险确定什么控制有效,检查现行的控制是否可以消除或充分地减少已识别的风险。确定重大问题和机会的实质,识别困难的主要方面,确定其原因和可能的补救方法。
2.以确认企业主要风险管理目标是否实现为依据,实施审计测试与审计发现。审计测试意味着通过将选择的项目变成证据,在现代风险导向内部审计中,内部审计师应获得足够的证据,确认企业主要风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估等方法获取有关风险的审计证据,并且揭示出它们的内在品质或特征,目的是为内部审计师形成审计意见提供基础。
1 2 3 下一页
在审计工作中内部审计师要确定哪些情况需要采取纠正行动,那些与规范或可接受的标准之间的偏离被称为审计发现。它们可能是:应采取而未采取的行动、不适当的行为、令人不满意的系统及应考虑的风险暴露等。在现代风险导向内部审计中,审计发现通常包括特定要素:背景、标准、情况、原因、影响、结论和建议。包括这些因素的所有审计发现,都为采取纠正行动提供了强有力的依据,同时它会想方设法证明确实存在问题并提出解决方法。 丰富审计结果内容并及时进行业务通报。审计结果应该包括审计发现结果、审计结论(意见)、审计建议和行动计划。审计发现结果是对事实(风险)的相关陈述,通过比较应该达到的目标与实际的做法,就可以得出审计发现结果和审计建议,审计发现和审计建议应该以标准、情况、原因、影响为依据,在现代风险导向内部审计中,审计发现结果和审计建议还可以包括审计客户的业绩、相关问题和未在其他地方反映的辅助信息。审计结果资料是内部审计报告的主要基础。
《内部审计实务标准》第2400款指出内部审计师应及时通报业务结果,通报的内容包括业务标准、范围及业务结论、建议和行动计划。但内部审计师在审计通报和工作底稿中包括与违法违规行为和其他法律问题有关的审计结果,并就此发表意见时应非常谨慎,在处理这些事项时应与有关方面(法律顾问、稽核官员)建立紧密联系。 以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据,实施后续审计。在现代风险导向内部审计流程中,从审计计划到审计实施以及后续审计,自始至终都贯穿现代风险导向的审计理念。以大港油田的实际业务为例,比如对一项销售收入进行审计,内部审计人员不仅要在收入发生之后审核其签订合同金额与客户付款金额是否相同、所付票据是否齐全,而且要在收入发生之前审查设计收款计划的制定依据是否真实可靠,收款计划是否可行,设计收费价格是否合理;再如对投资项目进行审计,内部审计人员在项目投资之前要对该项投资决策进行审计,包括审查该项目是否应该投资、投资回报率是否合理、合作对象的信誉高低以及是否还存在更优的选择方案,在项目投资之后要审核投资协议是否完整、企业是否根据投资比例在相应的会计期间对被投资单位的投资收益按照权益法或成本法进行了正确的核算;再如对石油开发工程项目进行审计,内部审计人员首先在工程项目立项阶段就对可行性报告、初步设计、设计概算、资金来源等进行审查,其次进行工程预算审计,以审核后的预算和工程合同为依据支付工程款,在项目施工时进行阶段性结算审计,主要对项目的设计变更、增减较大项目的预算审计以及对项目进度的审查,最后进行工程决算审计。
(三)erm框架下风险导向内部审计的实现途径
在erm框架下建立和应用现代风险导向内部审计模式,是一个大胆的尝试和创新,是对原有内部审计功能的拓展,而大港油田目前的内部审计现状与之存在一定的距离,因此需要通过以下途径来实现内部审计的转变和发展。
1.拓展集团内部审计的功能定位,确保内部审计的独立性和客观性,提升内部审计人员的职业素质。在保留内部审计原有监督、检查的基础职能的同时,应当赋予内部审计更多参与内部控制、风险管理的职能,拓展集团内部审计的功能定位,体现内部审计“咨询顾问”、“业务伙伴”的角色,明确内部审计的管理体系,确保内部审计的独立性和客观性。市场经济条件下,企业风险无处不在,从事风险导向内部审计的人员必须具备很高的职业素质,需要造就一支具有国际化水平的内部审计队伍。 运用现代风险导向审计理论,重视了解和测试,确定审计的重点和范围,提高审计效率,将审计风险减少到最小程度,实现防范风险的目的。企业内部审计人员要根据对被审计单位基本情况的了解和分析性复核的结果,加强审计风险分析,最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围。同时以检查内部控制和风险管理作为审计的切入点,通过对内部控制环境的调查和对风险管理、业务审批、职能分离、项目管理等各项业务流程的审查,对内部控制制度的健全性和有效性以及风险管理进行测评,以揭露问题,堵塞漏洞,促进集团完善内部控制机制,加强内部管理和监督,防范风险。 实现审计手段信息化,提高审计工作水平随着信息化、网络化的迅速发展,信息资源集中程度较高。在推行信息化平台建设的过程中,要在业务处理系统和管理信息系统中设置审计接口,镶嵌业务流程图,使企业内部审计人员在评估风险、实施审计时能够及时获得必要的审计线索。同时围绕企业的发展目标,构建完整的审计信息系统,推进现代风险导向内部审计与非现场内部审计的有机结合,提高内部审计的质量和效率。
摘要:运用全面风险管理框架(erm)的理论,针对大港油田内部控制与内部审计发展之需要,探讨如何构建有效的风险导向型内部审计,旨在以风险导向型内部审计为目标,为大港油田公司内部审计发展提供一些具有借鉴意义的思路,并不断推进大港油田公司内部审计工作的创新和发展。
关键词:erm;风险导向;内部审计;石油企业
一、研究背景
2004年coso委员会颁布企业风险管理框架(erm),该框架不仅扩大了原coso内部控制整体架构的范围,建立起一个对风险更加关注的、更强大的内控体系,而且将内部控制与风险管理融为一体。企业全面风险管理已成为21世纪全球企业管理发展的新趋势。近年来,著名企业评级机构如标准普尔和穆迪已将erm列为其对企业评级的基本评价因素,各国的审计标准已将审计的根本任务从审计内部控制逐渐转移到审计风险管理的职能上来。最近的调查显示:80%西方投资者愿为有能力实施全面风险管理的企业支付溢价,越来越多的企业开始从风险管理的角度来考虑寻找商业合作伙伴,以保障自身的品牌、时限、质量及可持续性。因此,无论从管理标准或企业评级的新导向,还是从来自于监管、投资者或客户的压力,实施全面风险管理已成为当今企业发展的必然选择。
iia主席伍顿·安德森博士在2004年5月25日的上海报告中指出:在erm框架下,内部控制与风险管理已经有效融合。风险导向型内部审计[1]通过协助风险估算程序,系统的识别风险事件,衡量和监控业绩,最终促成内部沟通和采取正确行动。基于此,本文提出以风险管理为核心的风险导向型内部审计。
二、构建基于erm的风险导向内部审计
在大港油田公司构建依托erm的风险导向型内部审计是以风险为基础,为实现公司的价值增值目标,由具备复合型才能的职业人员所从事的重在监督和评价公司治理有效性的保证和咨询活动。
(一) erm框架下的风险导向内部审计分析
coso委员会在2004年9月《企业风险管理——总体框架》,简称erm框架,该框架包括八大要素:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。下面紧密围绕erm框架八要素,对风险导向审计具体内容逐一进行简要阐述:
1.内部环境。内部审计要充分结合企业的外部经营环境(包括本地经营环境和全球经营环境),综合考虑内部环境可能的经营风险来源:不胜任的董事会、内部组织文化的功能缺失、与战略不相适应的风险偏好、高层管理人员知识、经验是否与战略主题目标和时代相和谐。
2.目标设定。战略及经营计划中隐含的整体组织风险为erm其他六个要素的运行提供了一个总体框架,这些目标及风险偏好为erm提供了总体标准。内部审计人员要系统的将组织战略和商业模式与对其实现构成威胁的风险联系起来,评估组织的战略目标、经营目标、财务目标、各个部门目标的合理性。
3.事件识别。内部审计人员通常会利用寿命周期分析法、swot法、ksf法、dccs法、盈亏临界点分析法、财务、会计、统计指标分析法等捕捉风险征兆。如我们很熟悉的swot分析就是将企业内部与外部环境中有利与不利的方面放在同一个框架中进行分析,以综合评价企业从事某一种行业的可行性及风险。
4.风险评估。风险评估是采用定量或定性的方法,考虑企业潜在事件发生的可能性及对实现企业目标的影响程度。审计重点关注风险评估方法的适当性和有效性,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。
5.风险反应。管理层在评估相关风险后,按照风险管理优先顺序和风险管理策略,结合风险预警机制,对各类风险或每一项重大风险制定、评估和选择风险管理解决方案,确定如何应对风险。内部审计应重点关注风险管理解决方案制定是否科学。解决方案一般可分为四类:规避风险、减少风险、分担风险、接受风险。方案制定要充分考虑风险容量和风险承受度、成本和收益、方案的机遇等因素。
6.控制活动。控制活动[2]是指为确保风险管理解决方案得以贯彻执行的政策和程序。内部审计要从如下几个方面评价控制活动的科学性、合理性:(1)检查相关交易过程的控制措施。好的内部审计控制的设计必须保证每项交易都具有证明文件,保证拒绝非法的交易,保证所有合法的交易能够被正确处理。(2)总体控制与具体控制。总体控制的缺乏会使具体控制失效。设计具体控制时,必须同时考虑相关的风险、报告的风险和发生的频率。(3)多重控制。为防止一项控制措施不能发现和纠正错误的可能性,应设计多重控制。这里包括授权、职务分离、凭证、接触、实物清查等几个方面同时或交替的控制设计。(4)对成本与效益原则的考虑。内部控制的设计应该遵从成本与效益原则,即将缺乏控制导致的损失与建立和实施控制的成本相比较,寻求内部控制的独立性、有效性的同时,力求简洁与低耗。
7.信息与沟通。内部审计人员需要关注高层管理者的战略、目标意图能否自由、迅速、畅通的传递给下级,并且下级是否能充分理解上级的意思表达,并将意见充分反映到上级、管理层对员工意见的获取和采纳程度以及组织是否有多种沟通渠道等。
8.风险监控。内部审计对风险管理的监控实际上就是判断高级管理层的erm业绩的优劣,在此过程中,内部审计人员要对风险评估过程进行再次评估,在这里要引入iia的最新分析工具一分解(decomposition)。分解方法将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者进行比较,是监控风险环境变化的一种有效方式。与预期值的差异可以按其原因或“起源”来解释,或者用之前的风险分析所指出的、环境或经营条件的变化超出了限度来加以解释。对原因进行相关、及时地计量和剖析便于管理层及时作出反应,又能更好的发挥内部审计咨询方面的增值功能。
(二)erm框架下风险导向内部审计的实施安排
1.重视以风险为基础的审计计划。制定审计计划[3]是指审计人员完成各项审计业务,达到预期的审计目标,在具体执行审计程序之前编制的工作计划。《内部审计实务标准》第2 010款关于制定审计计划中指出:首席执行官应该制定以风险为基础的计划,以确定内部审计活动的重点。企业风险导向审计计划是对内部审计师的一种指引,也是一种便于审计监督的内部约定,其中说明了将要采取的审计步骤,这些审计步骤旨在收集审计证据和帮助内部审计师对被检查业务中存在的风险、效率、经济性和有效性表达意见。其内容通常包括如下几个方面:(1)审核以前的报告、审计方案、工作底稿及前任审计师提供的文档,列出任何要求采取纠正行动的公开项目。其作用在于获取背景资料及确定过去审核的结果,以更好地确定当前重大风险的审计范围。(2)实施初步调查,以确定被审核的活动的目标、实际或潜在风险,以及现存的控制系统。(3)审核被审计职能的政策和程序,以及它的经营管理手册、组织结构图、权力结构图、长短期目标。通过审核来确定可以衡量和评价风险的领域以及该职能是否按管理层的意图执行。(4)审核有关风险的审计领域的现行内部审计资料,针对被审计的业务活动,获得最新的技术信息。(5)准备被审计职能的主要业务流程图,获得业务流程的可视分析,识别控制缺陷。(6)审核管理层已建立的绩效标准,如果可能,把它和行业标准进行比较。(7)会晤客户,讨论审计范围和内部审计师试图达到的目标,避免有关审计目标和范围被误解。(8)编制完成审计业务所需耗费的详细预算,以保证审计过程的效率。(9)通过风险评估并排序,列出必须考虑的重大风险。(10)为每个可识别风险确定什么控制有效,检查现行的控制是否可以消除或充分地减少已识别的风险。确定重大问题和机会的实质,识别困难的主要方面,确定其原因和可能的补救方法。
2.以确认企业主要风险管理目标是否实现为依据,实施审计测试与审计发现。审计测试意味着通过将选择的项目变成证据,在现代风险导向内部审计中,内部审计师应获得足够的证据,确认企业主要风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估[4]等方法获取有关风险的审计证据,并且揭示出它们的内在品质或特征,目的是为内部审计师形成审计意见提供基础。
在审计工作中内部审计师要确定哪些情况需要采取纠正行动,那些与规范或可接受的标准之间的偏离被称为审计发现。它们可能是:应采取而未采取的行动、不适当的行为、令人不满意的系统及应考虑的风险暴露等。在现代风险导向内部审计中,审计发现通常包括特定要素:背景、标准、情况、原因、影响、结论和建议。包括这些因素的所有审计发现,都为采取纠正行动提供了强有力的依据,同时它会想方设法证明确实存在问题并提出解决方法。
3.丰富审计结果内容并及时进行业务通报。审计结果应该包括审计发现结果、审计结论(意见)、审计建议和行动计划。审计发现结果是对事实(风险)的相关陈述,通过比较应该达到的目标与实际的做法,就可以得出审计发现结果和审计建议,审计发现和审计建议应该以标准、情况、原因、影响为依据,在现代风险导向内部审计中,审计发现结果和审计建议还可以包括审计客户的业绩、相关问题和未在其他地方反映的辅助信息。审计结果资料是内部审计报告的主要基础。
《内部审计实务标准》第2400款指出内部审计师应及时通报业务结果,通报的内容包括业务标准、范围及业务结论、建议和行动计划。但内部审计师在审计通报和工作底稿中包括与违法违规行为和其他法律问题有关的审计结果,并就此发表意见时应非常谨慎,在处理这些事项时应与有关方面(法律顾问、稽核官员)建立紧密联系。
4.以所涉及的风险及实施纠正措施的困难程度和时间安排的重要性为依据,实施后续审计。在现代风险导向内部审计流程中,从审计计划到审计实施以及后续审计,自始至终都贯穿现代风险导向的审计理念。以大港油田的实际业务为例,比如对一项销售收入进行审计,内部审计人员不仅要在收入发生之后审核其签订合同金额与客户付款金额是否相同、所付票据是否齐全,而且要在收入发生之前审查设计收款计划的制定依据是否真实可靠,收款计划是否可行,设计收费价格是否合理;再如对投资项目进行审计,内部审计人员在项目投资之前要对该项投资决策进行审计,包括审查该项目是否应该投资、投资回报率是否合理、合作对象的信誉高低以及是否还存在更优的选择方案,在项目投资之后要审核投资协议是否完整、企业是否根据投资比例在相应的会计期间对被投资单位的投资收益按照权益法或成本法进行了正确的核算;再如对石油开发工程项目进行审计,内部审计人员首先在工程项目立项阶段就对可行性报告、初步设计、设计概算、资金来源等进行审查,其次进行工程预算审计,以审核后的预算和工程合同为依据支付工程款,在项目施工时进行阶段性结算审计,主要对项目的设计变更、增减较大项目的预算审计以及对项目进度的审查,最后进行工程决算审计。
(三)erm框架下风险导向内部审计的实现途径
在erm框架下建立和应用现代风险导向内部审计模式,是一个大胆的尝试和创新,是对原有内部审计功能的拓展,而大港油田目前的内部审计现状与之存在一定的距离,因此需要通过以下途径来实现内部审计的转变和发展。
1.拓展集团内部审计的功能定位,确保内部审计的独立性和客观性,提升内部审计人员的职业素质。在保留内部审计原有监督、检查的基础职能的同时,应当赋予内部审计更多参与内部控制、风险管理的职能,拓展集团内部审计的功能定位,体现内部审计“咨询顾问”、“业务伙伴”的角色,明确内部审计的管理体系,确保内部审计的独立性和客观性。市场经济条件下,企业风险无处不在,从事风险导向内部审计的人员必须具备很高的职业素质,需要造就一支具有国际化水平的内部审计队伍。
2.运用现代风险导向审计理论,重视了解和测试,确定审计的重点和范围,提高审计效率,将审计风险减少到最小程度,实现防范风险的目的。企业内部审计人员要根据对被审计单位基本情况的了解和分析性复核的结果,加强审计风险分析,最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围。同时以检查内部控制和风险管理作为审计的切入点[5],通过对内部控制环境的调查和对风险管理、业务审批、职能分离、项目管理等各项业务流程的审查,对内部控制制度的健全性和有效性以及风险管理进行测评,以揭露问题,堵塞漏洞,促进集团完善内部控制机制,加强内部管理和监督,防范风险。
3.实现审计手段信息化,提高审计工作水平随着信息化、网络化的迅速发展,信息资源集中程度较高。在推行信息化平台建设的过程中,要在业务处理系统和管理信息系统中设置审计接口[6],镶嵌业务流程图,使企业内部审计人员在评估风险、实施审计时能够及时获得必要的审计线索。同时围绕企业的发展目标,构建完整的审计信息系统,推进现代风险导向内部审计与非现场内部审计的有机结合,提高内部审计的质量和效率。
[摘要] 当前很多大中型企业在经营管理上采用全面风险管理的模式,而作为审计部门来讲,也应针对企业的这种风险管理模式展开审计,由于企业风险管理审计是正在发展的一个审计模式,对其的了解还处于初级阶段,因此,这对审计机构和人员来说开展风险管理审计是一种挑战。
[关键词] 企业风险管理审计模式
从20世纪90年代后期开始,由于新经济带来的全球化、电子商务、企业组织结构虚拟化等特征,许多跨国公司开始实施新的企业全面风险管理方法。
一、企业风险管理审计涵义及其特点
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构实现目标。它有其自身的特点:
1.审计目标:确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从而实现企业目标。
2.审计策略:①了解企业战略,经营及价值目标,以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。②了解企业的风险管理策略及风险管理措施。③评价企业的风险管理措施,并有效地将风险降至可接受水平。④关注风险管理缺口的有效性。
3.测试方法:实质性测试与符合性测试相结合,其运用取决于企业风险管理的有效性。
4.管理建议:识别出每个风险关键点所存在的风险管理缺口。
风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理的有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计的有效性。
二、企业风险管理审计模式与其他审计模式的区别
根据原安达信公司专业人士paul sobel, 在其于2003年所著的《auditor’s risk manage-ment guide: integrating auditing and erm》一书中的概括, 现代审计模式在过去五十年中经历了四大阶段,其分别是:控制基础审计、流程基础审计(又称经营审计)、风险基础审计(又称风险导向审计)、风险管理基础审计, 又称风险管理审计。那么企业风险管理审计模式与风险基础审计模式和控制基础审计模式的不同在于:
1.企业风险管理审计与控制基础审计的区别。
(1)出发点不同。企业风险管理审计侧重审计风险管理政策与企业经营战略方针的矛盾统一,控制基础审计侧重测试企业经营的横向、纵向的制约与协调。
(2)审核目标不同。企业风险管理审计的目标是关注企业风险管理政策设计的适当性;执行的有效性;风险损失处理的合理性。控制基础审计的目标是关注内部控制制度设计的健全性、适当性;执行的有效性。
(3)审计方法不同。企业风险管理审计采用预警分析、专业判断、综合评价等方法。控制基础审计采用测试、分析、专业判断等方法。
2.企业风险管理审计与风险基础审计的区别。
(1)含义不同。企业风险管理审计是审计主体通过对组织风险识别、风险程度的评价等工作的审计,评价风险政策、措施的适当性、执行的有效性的工作。风险基础审计体现着审计主体开展财务审计、绩效审计、控制审计等审计工作首先以测试组织的风险管理战略和风险管理为前提,根据对风险管理审计测试的结果,决定其他相应审计的范围、性质、程度和时间。
(2)侧重点不同。风险管理审计侧重对风险管理进行鉴证,而风险基础审计侧重于对会计信息质量的鉴证。
三、开展企业风险管理审计应注意的问题
企业经营必然要面对许许多多的风险,这些风险有的相互叠加放大,有的相互抵销减少。因此,企业考虑风险时,必须根据风险组合的观点,从贯穿整个企业的角度看风险。要实行全面风险管理。这对于对风险管理进行再监督的风险管理审计来说是一种挑战。?
1.风险管理审计要与企业的各级风险管理组织相配合。开展企业风险管理审计要求内部审计工作超越企业内部各职能部门之间的间隔,实现全体的综合的和全员层次的行动进行综合的风险管理。在现代企业的风险控制方面,不少大中型企业一般建立三级的风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计及专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度的有效性进行定期的检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议。内部审计部门对公司总裁负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能,各部门负责人直接负责风险监控,内部审计部门要对其监控情况组织、指导、监管和控制质量进行评估。
2.以风险管理为核心,对公司治理、风险管理和内部控制进行整合。风险管理是与公司治理和内部控制交汇的核心。公司治理的核心职责就是要有确保公司应对风险的战略和措施,在公司治理中包含一些战略性的风险管理因素。公司治理的实施需要内部控制,为公司治理机制的运行提供保障。同样,风险管理的实施也需要内部控制,采用各种内部控制的方式与方法,实现有效的风险管理。因此,从一定程度上说公司治理和内部控制有着相同的目标:风险管理。内部审计以风险管理为核心进行整合中,以内部控制为手段,对风险管理和公司治理进行内部控制;内部控制和风险管理以公司治理为内容,即内部控制和风险管理的内容是公司治理的内容;内部控制和公司治理以风险管理为目标,风险管理的目标是提高企业的经济效益,因而内部控制和公司治理也是要以提高经济效益为目标。?
3.创新风险管理审计中的技术和方法,提高审计水平。随着信息技术的广泛应用,我国内部审计在风险分析、风险量化和应用计算机审计技术方与世界各国存在较大差距,审计效率成为内部审计在风险管理中发挥作用的挚肘。因此,迫切需要研制、开发兼容性强和功能完善的通用审计软件,从而实现审计效果与效率的统一,全面提高内部审计质量。
4.风险管理审计要注意提高审计人员的素质。企业风险管理审计对审计从业人员的业务素质提出了新的要求,首先,要求审计人员具备必需的管理学知识和经济学知识。如经济学、管理学、统计学、经济法、信息技术等。其次,要加强审计人员的业务素质建设,要加强审计队伍的理论建设,采取有效措施来改善内部审计人员的专业理论水平,如采取学历考试、职业技术资格考试、职称测评、外出培训及建立人员流动站等方式。然后,还要加强审计人员的职业道德教育,增强内部审计人员的责任感和使命感,树立廉洁勤政的观念,将审计部门;建成讲正气、讲学习的法治机构,这是保持审计人员独立性与权威性的基石。最后,按照国际标准,培养某一领域的专家,改变当前内部审计人员知识结构不合理、理论水平不高的现象。
5.辅助审计软件的使用与完善。现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
【摘 要】本文就内部审计为何参与企业风险管理以及如何发挥自身优势参与企业风险管理进行了分析,旨在为企业内部审计部门参与企业风险管理提供一些参考意见。
【关键词】内部审计;风险管理;参与原因;运作过程
内部审计准则第16号具体准则——风险管理审计,明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价,表明风险管理已成为内部审计发展的重要方向。该项具体准则明确:风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。
一、内部审计参与企业风险管理的原因
(一)企业的集团化发展,要求内部审计参与风险管理
近年来,随着全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,经营风险大大增加,内部审计必须对企业经营资源运动的合标性进行全程跟踪审计,把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型,渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此,内部审计参与企业的风险管理也就成为企业发展必然的内在需求。
(二)内部审计的自身发展要求参与企业风险管理
1.内部审计的定义包含了风险管理内容
内部审计是采用一种系统化、规范化的方法,来对机构进行风险管理、控制和监督过程进行评价,进而提高它们的效率,帮助机构实现目标。从中不难看出,内部审计的范围已延伸到风险管理,认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计,“评价和改善风险管理”成为了内部审计的重要工作领域,它拓展了内部审计的广度和深度,是对内部审计的重新定位。
2.风险管理赋予了内部审计在企业中新的地位和作用
随着内部审计定位和角色的不断改变,内部审计已成为企业的诊断师,由于在经营中风险的必然存在性,使得任何企业都必须面对风险,并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,能够站在第三者的角度去帮助企业更好地把握经营的方向,并将其在企业中的作用推向一个新水平。
3.内部审计与风险管理的目标是一致的
从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的方法,用最低的成本获得最高的安全保障,将损失降至最低水平。它的目标是直接服务于企业的经营目标的。
从内部审计的定义看,内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后,能够对企业的运营提出富有价值的见解,从而被企业管理者采纳,因此可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,还可以将这些有价值的信息应用于经营管理活动,从而达到企业增值的目的。由此可见,风险管理与内部审计在其目标上是相一致的。
(三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势
1.独立性优势
内部审计不参与企业具体的业务经营活动,因此不对各项业务管理中出现的问题承担直接责任,其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础。
2.综合性优势
内部审计在企业管理中是一个综合性部门,其审计范围覆盖着企业经营的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势,对企业风险管理进行的系统性、专业性监督检查和评价,权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位。
3.连续性优势
内部审计部门及人员由于长期在企业内部工作,对企业所面临的风险更为了解,对风险的各种影响因素更便于做深入的调查,对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工,是最终利益的相关者,他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。
二、内部审计参与企业风险管理的运作过程
(一)内部审计在企业风险管理中的定位
内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时,应将内部审计作为风险管理的第一道防线,由内部审计对整个风险管理流程进行评估和监控,但内部审计在企业风险管理的建立与防范中,主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。因此,内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者,它承担了咨询者、协调者、建议者的角色。
当然,内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在企业实施风险管理的初期,内部审计能够发挥很大的协调作用,此即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就转化为监督者和咨询者。
(二)内部审计在企业风险管理中的作用
1.能够客观地对企业整体风险管理进行检查与评价
从风险的形成与影响后果等特性,不难看出风险在企业内部具有感染性、传递性、不对称性等特征,如一个部门造成的风险或者疏于风险管理,可能会传递到其他部门,最终要由整个企业承担。因此,有些部门可能会出现缺失道德风险,而这种风险不是由它们来承担行为责任。又如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成损失。因此,对风险的认识、防范和控制等需要从全局考虑。
内部审计由于不参与企业经营的具体业务活动,它是独立于业务管理部门的,因而它可以从企业的全局出发、从客观的角度对各种风险进行识别,将风险评估的意见直接报告给董事会或经营管理层,提高管理层对内部审计意见的重视程度,保证其他管理部门及时采取有效措施控制风险,从而达到企业的高效运营。
2.能够以咨询顾问身份协助管理层建立风险管理制度
内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。
3.能够指导企业的风险管理策略,防止控制过度或不足的缺陷
内部审计是内部控制的再控制,企业根据目标和所能承受的风险,制定内部控制制度,内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高,控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人,并通过对长期计划与短期实现的调节,指导企业的风险管理策略。
4.能够发挥反馈作用,对企业的风险管理产生预警作用
由于风险是面向未来的,是直接与企业的战略及经营目标相关联的,因此以风险为出发点和核心的内部审计,能够以事后的反馈延伸到事前以及事中,从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,产生预警功能,从而达到内部审计在企业管理控制系统中的反馈作用。
(三)内部审计参与企业风险管理的方式方法
1.转变观念,将风险管理作为内部审计的重要工作
内部审计应由过去的控制导向审计向现代风险导向审计过渡,由被动地承受审计风险,到主动地控制审计风险,将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度,明确内部审计人员应当关心企业所面临的风险,根据风险评估思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接进来,有效地管理企业风险。
2.要把企业风险管理融入日常审计项目中
企业风险存在于企业经营管理的各个方面,在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的,因此内部审计须在每一次的日常审计项目中,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制。比如,内部审计部门开展的经济责任审计,企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现,对此,内部审计就应作出必要的风险评价,一方面划清前后任的经济责任,一方面帮助企业采取必要的措施防患于未然。
3.要对企业的风险管理机制进行监督检查
当一个企业建立了风险管理机制,其规章制度是否得到有效执行,是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理,是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等,从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,如风险管理责任不清、部门间协调不足、风险防范资源不足等。
4.要加强对内部审计人员的督导
为提高审计工作质量,内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度,对审计人员的工作进行指导、监督和复核,明确各级人员的责任,同时必须强调督导是贯穿于审计项目的全过程的,它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施,尽可能减少内部审计人员在风险管理工作中的主观判断行为,在督导工作中要遵循重要性、谨慎性和客观性原则。
5.要优化内部审计人员结构,培养高素质的审计人才
风险防范的关键在于人才,只有建立一支与内部审计工作相适应的,具有高思想素质、业务素质和文化素质的审计队伍,才能起到有效防范风险的作用。内部审计人员不仅是一名合格的审计监督管理者,也应是一名合格的风险管理者,既要掌握和了解企业内部的经营管理运作状况,又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等。因此,一方面优化内部审计人员组合,不能局限于财会专业,要吸收外部专家、管理顾问、舞弊检查专家等多种专业人才加入内部审计队伍;另一方面应重点培养一批高素质的内部审计人员,为开展风险管理奠定基础。
综上可知,风险管理已成为现代企业经营管理中必要的一门管理课程,风险的存在对企业既是一种存在危险的可能性,但也会是一种带来收益的机遇。每一个企业的最高决策者和管理者必须面对现实,重视风险,把风险管理视为日常经营的重要部分。内部审计介入风险管理,是我国企业内部审计发展的方向,作为内部审计人员必须把风险管理意识、风险管理行为融入到日常审计工作中,使内部审计在风险管理中能够发挥更有力的作用。
摘 要:良好的风险管理体系对企业的目标实现起着至关重要的作用,企业必须建立风险管理体系;内部审计部门在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,实现企业价值最大化。
关键词:内部审计;风险管理
每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。
1 企业风险管理体系简介
企业风险管理(enterprise risk management,简写为erm)的实质是企业有效利用各种资源,以战略的方式管理风险,使企业在多变的环境下以稳健的方式运作,从而获得增加价值的机会。在全球竞争激烈的市场中,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国coso委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。
(1)内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,包括建立企业的风险文化,制定明晰的战略、目标,明确企业的风险责任人和利益相关者,使用统一的风险语言,为其他风险管理要素打下基础。
(2)目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
(3)事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。
(4)风险评估。评估风险是erm执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。评估风险事件的方法有很多,如定量方法、定性方法,企业可以根据自身的具体情况来制定自己的评估方法。
(5)风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企
业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。
(6)控制活动。控制措施就是在接受风险的情况下,评估因接受风险所带来的额外费用和保险费用,评估因控制带来的管理成本和回报。在降低风险的情况下,明确所需的控制活动,评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为,调整风险地图。风险发生的可能性和频率是很难改变的,最有效的就是通过对风险管理成本的控制,将风险尽量降低到企业可承受范围以内。
(7)信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的erm报告。在风险活动中发生的成本费用和控制活动。其次要沟通erm的有效性和成本费用。保证在企业中有定期的erm报告,尤其是包括员工的责任义务完成状况以及对erm的检查情况,cro和其他重要的执行官要对erm的有效性和成本加以测量和存档,同时明确向董事会和执行官报告的责任和途径。
(8)监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确erm可以给企业带来的利益与价值,了解风险评估的正确性,为下一次的评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
2 内部审计在风险管理中的作用
根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计可以发挥以下作用:
(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况,收集大量的第一手资料,从中发现存在风险的隐患问题,进行风险分析,提请管理层注意风险管理和控制等的相关建议。
(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。
(3)内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。
①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致,应进行报告。
②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来,规模大的、在市场筹资的公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(4)内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,公司全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
3 将企业风险管理融入内部审计程序
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。
(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。
(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。
(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。
(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。
(5)追踪审计时,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。追踪审计应该将注意力集中于最严重的潜在的问题上,通过持续追踪,确保对于重大的审计发现,相关部门采取措施予以纠正。
综上所述,企业的内部审计部门应该在企业的风险管理中发挥起应有的作用,使得企业能在日趋激烈的市场竞争中将各种可能面临的风险将到最低水平,从而提升企业自身的竞争力,以实现长足的发展。
摘要:施工企业内部审计作为结合内部财务审计和风险管理的一种有效工具,通过风险分析,制定审计计划与公司高层的风险战略连在一起,并确保审计计划与经营计划相一致,将施工企业风险管理原则贯穿于整个内部审计过程中。
关键词:内部审计 施工企业 风险管理 应用
1 内部审计与风险管理
施工企业内部审计作为结合内部财务审计和风险管理的一种有效工具,通过风险分析,制定审计计划与公司高层的风险战略连在一起,并确保审计计划与经营计划相一致,将施工企业风险管理原则贯穿于整个内部审计过程中。即:在继续做好财务收支、经济效益和内控制度执行审计的基础上,更要参与风险管理,帮助企业发现、评价重要的风险因素,最大限度地降低企业风险。尤其是以风险导向内部审计模式为代表的现代审计,内部审计人员在内部审计的全过程中自始至终都关心风险,并根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。
2 现代企业内部审计的特征
2.1 识别、评价和改善风险 施工企业点多、线长、面广、分散的施工特点决定施工企业经营风险的始终存在。因此、识别、评价和改善风险是施工企业内部审计的首要特点,现代企业内部审计不再是采用通过检查历史数据和内控制度执行提出意见和建议的方式,而是充分利用内部审计在内部控制方面的独立性和权威性,掌握企业的生产经营状况和战略目标、了解企业所处的内外环境和竞争优势、对潜在的风险进行分析和评估,将评价结果和改善意见直接报告给最高管理者,以有力防范潜在的各种风险。
2.2 内部审计工作重心由实施阶段向计划阶段转移 在传统审计模式中,内部审计人员非常重视审计实施阶段的工作,关注的核心是内部控制,是对内部控制的测试。而在现代审计模式下,以风险为核心的审计理念要求内部审计人员将更多的时间放在计划阶段,关注的核心是从内部控制转向风险,衡量企业面临的风险,是未雨绸缪而不是雪中送炭,审计工作的重心由实施阶段前移到计划阶段。
2.3 内部审计关口由事后审计向事前、事中、事后审计相结合转移 在传统审计模式中,内部审计着眼于对已发生的经济活动进行审查,即在企业经营行为发生之后就其结果进行审计,实行事后审计。而风险导向内部审计是以风险为核心,风险是面向未来的,直接和目标及战略相关联,将事后的反馈延伸到事前以及事中,克服了制度导向内部审计的缺陷,能够为企业高级管理者预测未来提供更多信息。
3 施工企业目前面临的主要风险
3.1 盲目签约,缺乏风险评估及保护措施 由于建筑行业市场环境欠规范,行业政策缺失等因素,施工企业长期处于恶势竞争状态,有的企业把争取最大的市场份额作为弥补产值利润低下甚至亏损的主要手段。这种盲目签约的行为给企业带来三大风险:一是形成纠纷,损失难免;二是产值利润率低下,企业长期处于低层次经营;三是由于没有积累,致使企业大而不强。
3.2 对合同履行重视不够,导致拖欠工程款风险 个别施工企业对合同的履行不够重视。施工方由于种种原因在施工过程中不能履行合同,导致合同履行的责任不清,在工程竣工结算时,甲方拒绝向施工方提供有关资料,致使无法形成工程竣工验收报告,拖延对工程的验收和决算。工程没有决算,就无法确定甲方欠款确切的数额,作为施工方就无法行使权利,最后不得不以延长付款期限或少收工程款为代价,换取对方对工程款的决算。有的甚至形成坏账,给企业带来损失。
3.3 垫资合同,导致融资风险 由于建筑市场竞争激烈,企业通常面临承接工程就要垫资、不承接工程就没活干的两难局面。为了弥补固定成本支出承接垫资工程,企业必须融资。对于大中型施工企业来讲,资金融通主要反映在内外两个方面,对外是企业向金融机构贷款;对内是企业内部之间的借款。向金融机构大额借款,一旦资金周转不过来将面临巨大压力,很可能导致续贷或借新债还旧债的恶性循环;对企业借款给其他企业的将面临不能如期收回的融资风险。
3.4 低价中标,导致成本风险 低价中标是指中标价格低于实际成本的不可控成本风险。由于建设质量的要求和建设单位的规定,企业为了能够以相对低的报价中标,往往在投标书中采取以下几项措施:一是在预算的基础上大幅度降低投标价格;二是降低工程的间接费率;三是降低计划利润;四是降低材料的单价;五是虽未降低材料的单价、但承包工程合同中又将材料单价包死等。标书中减少的临时工程数量或降低的临时工程单价,在实际施工时根本无法减少或降低,从而使投标书中的临时工程价值远远低于实际造价。正式工程的间接费率降低后,为维持企业运转而发生的企业管理费,特别是职工保险等固定费用并不因投标降低费率而减少,从而造成项目的间接费超支。计划利润降低,使项目部赖以实现的一点盈利彻底消失。
3.5 不按要求实施分包或分包商选择不当,导致分包风险 一是未经业主同意擅自分包,造成承担违约责任和赔偿损失,二是选择分包不当,影响整个工程进度或发生经济损失,三是分包拖欠民工工资和材料款引起诉讼,总承包单位承担连带责任。
施工企业风险的发生原因:有客观因素,也有主观因素;有企业外部影响因素、也有企业内部影响因素。主观因素、企业内部影响因素可归结为企业风险防范意识差,内部控制制度不完善或执行不力,战略决策不科学等。企业能够真正积极有效防范和控制的风险正是主要由这两类因素所造成的风险。而传统审计模式已不能真正防范企业面临的这些风险。因此,企业内部审计人员应该有效利用风险导向审计模式,深入调查、分析和判断风险程度,采取各种措施,防范、控制、化解和回避由企业内部影响因素和主观因素造成的风险,减少风险损失,提高经营的有效性。
4 现代内部审计在企业风险管理中的对策
4.1 内部审计部门应制定合理的风险审计计划。完善的风险审计计划包括:年度审计计划、项目审计计划、项目审计实施方案三个层次。年度审计计划应与企业的年度经营目标和风险战略相结合,采用以风险导向审计为主,制度基础和帐项基础审计为辅的审计原则安排全年审计计划;项目审计计划是在年度计划的基础上制定的,是在对年度主要风险进行测试和评估的基础上,找出关键风险点,列出具体项目作为项目审计;审计实施方案应分年度审计实施方案和项目审计实施方案,年度审计实施方案是年度计划实施的具体时间和步骤,应具有一定灵活性,以满足随时可能出现的战略需求;项目审计实施方案是指导现场审计达到审计目标的具体行动措施,包括从头至尾的审计步骤和风险评估的方法。
4.2 内部审计部门根据年度计划、项目计划和实施方案对企业的固有风险进行评估,列出主要风险因素,一是采用分析性复核方式,对企业的财务数据和非财务数据进行多样化分析;二是注重风险分析的结构化,从企业内部、外部环境考虑多方面的风险因素,并将这些因素有机结合起来,进行综合风险评估;三是与被审计部门的管理人员一起,对本部门内部控制的适当性和有效性进行评估;四是对管理者采取的化解和防范措施进行分析,得出其控制风险的能力和主观态度。通过以上方式评估后,用固有风险减去控制能力得出其残存风险值。内部审计人员依据残存风险值大小依次排列,首先审计高风险的内容。风险=导致损失的可能性×涉及金额。用该公式将企业的主要风险逐项进行分析,造成损失金额最大的风险点,应优先列入审计日程。
总之,风险导向内部审计作为一种重要的审计理念和方法,它是制度基础审计的发展。施工企业内部审计人员应将风险导向内部审计模式与制度基础内部审计模式有机结合起来,有效利用风险导向内部审计,加强施工企业的风险管理,使企业风险发生的可能性和影响都落在风险容忍度之内。
摘要:企业在经营过程中存在着大量的风险,风险管理是现代企业管理的重要组成部分。内部审计自身的优势促使其参与到企业的风险管理中,使企业进行自我约束和自我监督。本文从内部审计与企业风险管理的关系出发,对如何发挥内部审计在企业风险管理中的作用进行了分析,以提高企业风险管理的有效性。
关键词:内部审计;内部监督;风险管理;风险评估
在国家当前的新经济形势下,企业的规模日益扩大,其机构和业务日益繁杂,所面临的风险也不断增加。内部审计作为一种独立、客观的保证与咨询活动,是企业自我约束和自我监督机制的重要组成部分。企业管理层也迫切需要内部审计机构协助其更有效地履行其职责,提高企业的运作效率和经济活动的附加值。
1 内部审计与风险管理的含义
(1)内部审计的含义。内部审计是指由本部门和本单位内部专职的审计机构或人员所实施的审计。这种专职的审计机构或人员,独立于财会部门之外,直接接受本部门、本单位主要负责人的领导,依法对本部门、本单位及其下属单位的财务收支、经营管理活动及其经济效益进行内部审计监督。内部审计的目的是纠错防弊,促使企业改善其经营管理,提高经济效益。
(2)风险管理的含义。企业风险管理是从整体企业的宏观角度来辨识及分析风险的过程。其方法不只是将企业所有风险整合,而是将企业面临的所有不确定性转化为可通过策略及运作优势达到营运目标的一种方法。coso对风险管理的定义是:“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业实现既定的目标。”
2 内部审计与企业风险管理的关系
(1)内部审计在风险管理中扮演重要角色。内部审计是企业内部监督与控制的关键环节,可以协助公司辨别及评估重大风险的披露,对改善风险管理及控制制度做出重要贡献。企业内部审计机构在规划审计工作时,应评估各种管理活动的相对风险,并将风险按照重要性进行排序,对风险较大的项目优先考虑开展相关审计工作。对管理层的风险管理流程效果和效率方面进行检查、评价、报告并提出审计建议,帮助企业识别、评价风险及实施风险管理方法。
(2)内部审计在风险管理方面具有独特的优势。风险管理是一个系统的过程,对风险的防范和控制需要从整体出发。而内部审计机构在企业中不从事具体业务活动,独立于业务管理部门,使其具有相对的独立性。因此,在进行风险管理的过程中,能够客观地、从全局的角度管理风险,正确地识别和评估风险,并及时建议相关部门采取措施应对风险。
(3)风险管理是进行内部审计工作有效的工具。风险管理是企业管理层的职责所在。为了实现企业的经营目标,管理层应当确保企业具备良好的风险管理流程,并且在经营过程中正常运转。内部审计可以通过制定正式的行为规范,经常检查公司风险管理流程是否健全等措施有效地降低企业风险。风险管理作为内部审计工作的有效工具,很多企业和部门已将其应用于机构的持续性、财务管理、资产管理和舞弊等各项风险管理中。
3如何发挥内部审计在企业风险管理中的作用
(1)确认风险识别的充分性。在企业进行风险识别的过程中,内部审计人员应该对风险管理流程进行审查与评价,确定企业在风险识别的过程中风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部的风险要素进行识别分析,判断企业管理层是否对主要风险均已识别和分析,并充分考虑风险可能造成的影响,为进行风险评价奠定基础。
(2)确定风险评估的恰当性。在企业进行风险评估的过程中,企业要对已识别的风险事件进行定量和定性的分析,分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价,这关系到进行风险处理的依据是否可靠。其次,应对管理层的风险评估过程的适当性、执行的有效性进行评价,找出需要修改完善的地方,为各级管理层提供专业审计意见。
(3)评估风险对策的有效性。内部审计在企业风险对策活动中发挥的作用,直接反映在审计成果中,是审计价值的重要体现。企业根据对风险的评估和判断,应采取相应的措施和方法来进行风险处理,以降低和抑制风险损失,获取风险收益。在风险对策活动中,内部审计应分析风险回报的合理性、评价风险措施的有效性。
(4)评价风险监控的合理性。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。在这个过程中,内部审计首先应当从评价企业各部门的内部控制制度入手,审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性,识别并防范风险。其次,应当密切关注可能引致风险的重要事项,了解企业的风险偏好,与相关管理层讨论部门的目标、存在的风险,并评价管理层采取的风险监控活动的有效性。再次,应当以企业总体风险组合的观点看待风险,协调各部门共同管理企业,从全局角度识别并评价风险,提出改进建议来协助企业管理层履行其职责,以保证企业目标的实现。
4结束语
内部审计参与企业风险管理是内部审计的发展方向,是环境因素和内部审计自身因素共同作用的结果。这不仅为内部审计的发展提供了契机,也有利于企业在风险管理的过程中采用先进的审计方法和技术手段,强化内部审计职能,积极探索,勇于创新,使企业在竞争中处于优势地位,实现管理最优、效益最佳的发展目标,并开创审计工作的新局面。
摘要:企业在经营过程中存在着大量的风险,风险管理是现代企业管理的重要组成部分。内部审计自身的优势促使其参与到企业的风险管理中,使企业进行自我约束和自我监督。本文从内部审计与企业风险管理的关系出发,对如何发挥内部审计在企业风险管理中的作用进行了分析,以提高企业风险管理的有效性。
关键词:内部审计;内部监督;风险管理;风险评估
在国家当前的新经济形势下,企业的规模日益扩大,其机构和业务日益繁杂,所面临的风险也不断增加。内部审计作为一种独立、客观的保证与咨询活动,是企业自我约束和自我监督机制的重要组成部分。企业管理层也迫切需要内部审计机构协助其更有效地履行其职责,提高企业的运作效率和经济活动的附加值。
1 内部审计与风险管理的含义
(1)内部审计的含义。内部审计是指由本部门和本单位内部专职的审计机构或人员所实施的审计。这种专职的审计机构或人员,独立于财会部门之外,直接接受本部门、本单位主要负责人的领导,依法对本部门、本单位及其下属单位的财务收支、经营管理活动及其经济效益进行内部审计监督。内部审计的目的是防弊,促使企业改善其经营管理,提高经济效益。
(2)风险管理的含义。企业风险管理是从整体企业的宏观角度来辨识及分析风险的过程。其方法不只是将企业所有风险整合,而是将企业面临的所有不确定性转化为可通过策略及运作优势达到营运目标的一种方法。coso对风险管理的定义是:“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业实现既定的目标。”
2 内部审计与企业风险管理的关系
(1)内部审计在风险管理中扮演重要角色。内部审计是企业内部监督与控制的关键环节,可以协助公司辨别及评估重大风险的披露,对改善风险管理及控制制度做出重要贡献。企业内部审计机构在规划审计工作时,应评估各种管理活动的相对风险,并将风险按照重要性进行排序,对风险较大的项目优先考虑开展相关审计工作。对管理层的风险管理流程效果和效率方面进行检查、评价、报告并提出审计建议,帮助企业识别、评价风险及实施风险管理方法。
(2)内部审计在风险管理方面具有独特的优势。风险管理是一个系统的过程,对风险的防范和控制需要从整体出发。而内部审计机构在企业中不从事具体业务活动,独立于业务管理部门,使其具有相对的独立性。因此,在进行风险管理的过程中,能够客观地、从全局的角度管理风险,正确地识别和评估风险,并及时建议相关部门采取措施应对风险。
(3)风险管理是进行内部审计工作有效的工具。风险管理是企业管理层的职责所在。为了实现企业的经营目标,管理层应当确保企业具备良好的风险管理流程,并且在经营过程中正常运转。内部审计可以通过制定正式的行为规范,经常检查公司风险管理流程是否健全等措施有效地降低企业风险。风险管理作为内部审计工作的有效工具,很多企业和部门已将其应用于机构的持续性、财务管理、资产管理和舞弊等各项风险管理中。
3如何发挥内部审计在企业风险管理中的作用
(1)确认风险识别的充分性。在企业进行风险识别的过程中,内部审计人员应该对风险管理流程进行审查与评价,确定企业在风险识别的过程中风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部的风险要素进行识别分析,判断企业管理层是否对主要风险均已识别和分析,并充分考虑风险可能造成的影响,为进行风险评价奠定基础。
(2)确定风险评估的恰当性。在企业进行风险评估的过程中,企业要对已识别的风险事件进行定量和定性的分析,分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价,这关系到进行风险处理的依据是否可靠。其次,应对管理层的风险评估过程的适当性、执行的有效性进行评价,找出需要修改完善的地方,为各级管理层提供专业审计意见。
1 2 3 下一页
(3)评估风险对策的有效性。内部审计在企业风险对策活动中发挥的作用,直接反映在审计成果中,是审计价值的重要体现。企业根据对风险的评估和判断,应采取相应的措施和方法来进行风险处理,以降低和抑制风险损失,获取风险收益。在风险对策活动中,内部审计应分析风险回报的合理性、评价风险措施的有效性。
(4)评价风险监控的合理性。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。在这个过程中,内部审计首先应当从评价企业各部门的内部控制制度入手,审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性,识别并防范风险。其次,应当密切关注可能引致风险的重要事项,了解企业的风险偏好,与相关管理层讨论部门的目标、存在的风险,并评价管理层采取的风险监控活动的有效性。再次,应当以企业总体风险组合的观点看待风险,协调各部门共同管理企业,从全局角度识别并评价风险,提出改进建议来协助企业管理层履行其职责,以保证企业目标的实现。
4结束语
内部审计参与企业风险管理是内部审计的发展方向,是环境因素和内部审计自身因素共同作用的结果。这不仅为内部审计的发展提供了契机,也有利于企业在风险管理的过程中采用先进的审计方法和技术手段,强化内部审计职能,积极探索,勇于创新,使企业在竞争中处于优势地位,实现管理最优、效益最佳的发展目标,并开创审计工作的新局面。
【摘要】 在理论界、监管层和实务界,企业风险管理已引起越来越高程度的重视。文章从内部审计与企业风险管理全面结合出发,设计了包含企业风险管理运行系统和保障系统在内的企业风险管理基础审计模式。在该模式中,内部审计能够实现对企业风险管理运行过程的持续跟踪,切实发挥内部审计在企业风险管理中的作用。
【关键词】 内部审计;企业风险管理(erm);保证;咨询
自美国 coso 委员会于2004 年4月颁布《企业风险管理框架》(enterprise risk management framework,以下简称erm框架)后,理论界对erm的研究风起云涌,监管机构对于erm的规范不断推出,实务界对erm的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的erm,90%的组织正在建立或者想建立erm (james roth,2006);《财富》世界500强企业截至2004年底有近40%实施了erm,30%部分实施了erm;我国2006年针对部分先进企业和erm探索者的一项调查显示,7.89%的企业建立并实施了erm,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,erm受到了越来越多的重视,如何促使企业尽快建立erm,保证企业顺利实施和完善已经建立的erm,成为当务之急。
erm的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着erm的实施成效。内部审计作为组织治理结构四大支柱之一,在erm建立和实施中发挥着重要作用。iia(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在erm中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发erm框架;促进erm的建立;经董事会批准制定erm战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(russell a.jackson,2005)。
上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与erm脱节,或者重视erm单一环节而忽视整体。为此,应设计一种能够将内部审计与erm实现对接的方式,使内部审计能够在erm循环中实现跟踪式全程审计,实现内部审计对于erm的全程监督,为持续审计奠定基础,该种模式称为“erm基础审计”。
erm基础审计模式以coso委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在erm中能够开展的活动,将两者进行有机结合,形成了如图1所示的erm基础审计模式(george matyjewicz等,2004)。
图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调整风险管理过程和结果八个环节,形成了erm的一个运行系统。在此基础上,由管理层提供对erm过程的首要保证,进而由内部审计实施对erm的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对erm承担最终责任,形成了erm的一个保障系统。该模式将erm与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在erm中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对erm的全程审计。
1.建立和沟通目标。ceo负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。
2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。
3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,erm框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的erm框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的erm框架,而其他一些组织却仅处于erm的计划阶段、萌芽阶段甚至无知阶段。
董事会和高级管理层负责建立和管理erm框架。审计人员不能参与设计erm框架,但是需要依赖他们的判断,结合组织的实际对erm框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查erm框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。
4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。
5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。
论文关键词:企业风险管理;审计;案例研究
论文摘要:本篇论文通过回顾西方先进的风险管理理念、理论、方法、技术以及国内部分学者关于风险管理的研究成果,以coso2004年9月制定的《企业风险管理—整合框架》为理论基础,以中国某集团为案例研究对象,运用内部审计方法和程序对某集团风险管理八要素进行审计分析和评价,对风险管理理论如何在集团企业实践运用进行了探索和研究,提出企业应逐步建立风险管理系统,为企业在市场经济的大潮中保驾护航。
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国coso委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《coso风险管理——整合框架》(以下简称coso框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。
3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司it部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了it部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
论文关键词:内部审计 风险管理 公司治理
论文摘要:在新经济形势下,尤其是经历美国安然公司倒闭事件之后,世界范围内的内部审计环境发生了变化,内部审计技术不断更新,内部审计理论也在不断发展。本文将探讨内部审计在企业风险管理中的作用。
1 内部审计的概念
内部审计是我国审计组织体系的重要组成部分,内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为组织增加价值并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织目标。
2 内部审计与风险管理的关系
内部审计与企业风险管理有着紧密的联系,风险管理是公司治理的核心,内部审计作为公司治理的自我调控机制,作为内部控制的重要组成部分,是解决信息不对称的重要措施,与风险管理密不可分。而随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,风险管理成为组织发展的关键,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部审计的自身特点,其参与风险管理拥有一定的优势。内部审计机构和人员熟悉本单位情况,对企业面临的风险更了解;内部审计机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部审计机构不同于其他部门,不从事企业具体业务,其职能独立于业务管理部门,可以跳出业务各环节的圈子,从全局出发、综合客观地对风险进行识别和评价,采取有效的风险控制措施。内部审计机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部审计的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部审计也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。内部审计作为内部控制的重要组成部分,在公司治理和揭露财务造假中扮演着十分重要的角色。
3 风险管理中内部审计的作用
3.1 内部审计在风险管理中的识别和检查作用内部审计人员可以通过分析环境和风险的变化,检查内部控制系统是否已经更新,是否能控制新的风险;还可以通过后续跟踪管理层对审计中发现的问题以及对例外事项的整改情况,检查采取的控制措施是否奏效,将分析结果和建议提交给管理层以便评估和改进控制措施。内部审计人员可以运用自己在风险管理方面的专业知识和经验,从独立、客观的角度发现问题为管理层和审计委员会提供有价值的信息,从而提高公司整体的风险管理水平。
风险管理的首要环节是要能够对风险做出正确的识别,内部审计有助于识别组织风险,因为它正是以风险敏感性分析为起点开展工作的。内部审计人员通常需要关注的风险主要包括.财务和经营信息的不真实、不完整;政策、计划、程序、法律和标准执行不到位;资产流失;资源浪费或者无效使用;不能达到公司的目的和战略。在决定所要审计的内容之前,内部审计师不仅要评估和备选内容相关的风险的类型,还要评估当前大概有多少风险。按照各项待审事项的风险水平进行排列,以此为基础结合实际情况决定首先要审查的风险事项。
3.2 内部审计在风险管理中的管理与协调作用在企业的组织架构中,内部审计机构一般都处在企业的董事会、总经理和各职能部门之间的位置,正是由于这种特殊的位置使得内部审计人员能够充当企业长期风险策略和各种战略决策的协调人。内部审计可以客观地从企业全局的角度进行分析和管理风险:可以从企业的利益和实际情况出发,清醒地识别和评价风险,提出防范风险的有效建议,调控、指导企业的风险管理策略。内部审计人员可以凭着其对企业全面而深入的了解,对风险管理过程进行管理,促进被审计机构经营和管理的改善,赢得他们的尊重和信任。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计师作为独立第三方,在部门间的风险管理中起着协调作用,协调各部门共同管理企业投资决策带来的风险。如:公司采购部门为节约采购成本或者为完成既定的采购成本控制目标,可能会忽视对材料质量、规格、型号等方面的检查,导致采购品的质量、规格等相关要求不能得到严格的控制,这种隐形的风险会在生产车间或销售部门反映出来,最终给企业造成巨大损失。因此,对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。
3.3 内部审计在风险管理中的顾问与咨询作用由于内部审计人员对本组织的情况了解的比较全面,也比较深入,对提供咨询服务工作有着独特的优势。内部审计可以通过评估并运用风险管理的方法,帮助组织解决风险问题;通过咨询工作积极协助企业风险管理过程的建立。在改善管理层的风险管理流程的效果和效率方面,内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议。有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如:风险管理部门对某投资项目分析后发现风险太大不适合投资,但是总经理好大喜功,他可能会依靠个人的影响促成该项目的实施,这使得风险管理部门的作用受到限制。而内部审计机构独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计机构意见的重视程度。
