摘要:內部審計是風險管理的一種方法、手段,而風險管理則是內部審計的一項新的內容、一個新的領域;內部審計參與風險管理既有客觀環境要求,也有本身發展渴求;內部審計在風險管理中的作用,體現在對風險的把握和控制,並促進公司治理和內部控制的完善上;內部審計參與風險管理,要評價風險管理過程的充分性和有效性、評價已有風險衡量的恰當性、評估風險防範措施的充分性。
關鍵詞:內部審計;風險管理
一、內部審計與風險管理關係
(一)風險管理。
風險是在一定環境和限期內客觀存在的,導致費用、損失與損害產生的,可以認識與控制的不確定性,它具有客觀性、普遍性、必然性、可識別性、可控性等特點。風險管理是企業通過對潛在意外或損失的識別、衡量和分析,並在此基礎上進行有效的控制,用最經濟合理的方法處理風險,以實現最大的安全保障的科學管理方法。根據風險管理的定義,可以得出以下結論:風險管理是指識別風險並設計控制風險的方法,其核心是將沒有預計到的未來事項的影響控制在最低程度。對風險管理,首先要求在組織中發現那些高風險暴露的領域,對高風險暴露點的識別要通過對組織的分析進行。其次,將分析的結果與認爲可接受的風險水平相比較。
最後,實施必要的變革,使組織的風險暴露水平與其所設定的目標相一致。
(二)內部審計與風險管理關係。
2004年國際內部審計師協會(IIA)在其修訂的《內部審計實務標準》中將內部審計認定爲:“內部審計是一種獨立、客觀的確認和諮詢活動,旨在增加價值和改善組織的運營。它通過應用系統的、規範的方法,評價並改善風險管理、控制和治理過程的效果,幫助組織實現其目標。”這一定義將內部審計的範圍延伸到風險管理和公司治理,認爲內部審計是針對風險管理、控制及治理過程的有效性進行評價和改善所必需的。
可見,內部審計是風險管理的一種方法、一種手段,而風險管理則是內部審計的一項新的內容、一個新的領域。從發展趨勢來看,內部審計不僅越來越關注風險,同時,也是風險管理的重要組織部分。內部審計更強調確認經營風險是否得到有效管理,由對交易事項和政策的遵循的評價,轉變爲對目標、戰略和風險管理程序的關注;內部審計的建議更加強調風險規避、風險轉移和風險控制,通過有效的風險管理提高組織整體管理的效果和效率。
二、內部審計參與風險管理的必要性
(一)企業面臨的風險日益增大。
近年來,隨着社會經濟的發展,特別是經濟全球化及國際化程度的加深,使企業經營環境變得日趨複雜,企業經營風險也大大增加。因此,減少企業面臨的風險是組織實現目標的關鍵,也是企業的管理人員十分關心的問題。內部審計的目的在於增加組織的價值和改善組織的經營,內部審計人員是企業的管理諮詢師,因此,內部審計部門和內部審計人員參與企業的風險管理也就順理成章了。
(二)內部審計作爲內部控制的重要部分,與風險管理密不可分。
內部控制與風險管理的聯繫日趨緊密。在決定內部控制政策,並在此基礎上評估特定環境中內部控制的構成時,董事會應對諸多風險管理問題進行深入思考。比如:公司面臨風險的性質和程度;公司可承受風險的程度和類型;公司減少事故的能力及對已發生風險的影響;實施特殊風險控制的成本,以及從相關風險管理中獲取的利益等。執行風險控制政策是管理層的職責,在履行其職責的過程中,管理層應確認、評價公司所面臨的風險,並執行董事會所設計、運行的內部控制政策。內部審計又是企業內部控制的重要一環,實際上是對這些風險控制政策的再監督。
(三)內部審計對發展的渴求。
內部審計部門爲了不斷地發展,爲了在企業中擔當更重要的角色和發揮更重要的作用,總是不斷尋找新的對企業又十分重要的領域,企業經理人員對風險的空前重視,爲內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入,將會使內部審計在企業中成爲一個重要的角色,並將其在企業中的作用推向一個新水平。正因如此,內部審計師的職業組織———國際內部審計師協會纔不遺餘力地倡導內部審計師進軍這一領域,把風險管理作爲內部審計的重要領域直接寫入了內部審計的定義。
(四)外部審計的影響。
近年來,註冊會計師的業務領域不斷擴展,其所擴展的新的保證服務業務中就包括了風險評估,且是主要業務之一。這不能不對內部審計界產生影響,因爲內部審計部門和審計人員在風險管理方面擁有註冊會計師無可比擬的優勢,比如:內部審計部門和內部審計人員對企業面臨的風險更瞭解;內部審計部門和內部審計人員對防範企業風險、實現企業目標有着更強烈的責任感。既然外部審計可以從事此項業務,內部審計就更可以從事這一工作。
三、內部審計在風險管理中的作用
在新的內部審計模式下,內部審計將參與到公司治理與風險管理中,幫助組織發現並評價重要的風險因素,促進組織改善風險管理體系;評價並改進組織的治理程序,爲組織的治理做貢獻;同時繼續原有的對控制效率和效果的評價作用,幫助組織保持有效的控制。此時的內部審計人員是風險專家,通過對風險的把握來評價公司的治理與內部控制,並促進公司治理和內部控制的改善,從而實現對風險的掌握與駕馭。
(一)控制、指導企業的風險策略。
內部審計部門處於企業的董事會、總經理和各職能部門之間的位置,董事會負責制定戰略目標,高層領導各負責一個方面的風險管理責任,其他管理人員由管理層分配給一部分工作,操作人員負責日常監控,而內部審計人員則負責定期評價和保證工作,因此能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節,內部審計人員可以調控、指導企業的風險管理策略。
(二)管理與協調企業的風險。
內部審計具有相對的獨立性。內部審計經過長期的發展已經成爲一種專門的職業,它有自己的職責說明,職業道德規範,專門的實務標準,還被譽爲內部控制專家和風險管理專家,得到社會的承認。內部審計能夠客觀地從全局的角度管理風險,能從組織的利益和實際出發,克服具體業務部門的片面性,清醒地識別和評價風險,提出防範風險的有效建議。內部審計可以以其對組織全面而深入的瞭解,客觀而開放的視角,以及可以影響管理高層的特殊地位,積極地支持和參與風險管理過程,對風險管理過程進行管理和協調,促進被審計部門經營和管理的改善,贏得他們的信任和尊重。
(三)檢查與評價企業的風險。
內部審計可以通過運用風險管理方法和控制措施,對風險管理過程的充分性和有效性進行檢查、評價和報告,提出改進意見,爲管理層或審計委員會提供幫助。其中包括:
(1)確定風險領域:內部審計通過分析企業所面臨的風險,特別是災害性風險,以及產生新風險的環境因素,在瞭解風險的基礎上,提出防範風險的建議,讓董事會識別風險,確認接受風險的程度,制定風險政策,指導企業有效地使用內部資源。
(2)評價風險控制程序的有效性:內部審計通過評價企業高級管理層制定的風險控制程序是否適當和有效,是否滿足董事會接受風險的程度,提出改進風險控制程序的建議。
(3)檢查風險管理過程的效果:內部審計通過檢查和測試財務、經營和合規性控制程序,發現持續存在的風險,評價風險管理過程的效果,提出如何改進風險管理,爲企業提出增加價值方面的建議。
(四)風險評估的意見更易引起重視。
有些企業儘管也有風險管理部門,但它屬於管理部門的一個職能部門,向總經理報告,不具有獨立性,其意見有時會屈服於管理當局的壓力。如風險管理部門對某投資項目分析後發現風險太大不適合投資,而總經理好大喜功,他會力促項目的實施。這使得風險管理部門的作用受到限制。內部審計部門獨立於管理部門,其風險評估的意見可以直接報給董事會,這會加強管理當局對內部審計部門意見的重視程度。
四、內部審計如何參與風險管理
與一般的風險管理部門進行的風險管理相比,內部審計部門所進行的風險管理既與其有緊密的聯繫,又有區別。他們的聯繫表現在,兩者的目的是統一的,都是爲了降低企業的風險;兩者的'區別在於他們在風險管理中的角色不同。正是上述的聯繫和區別,導致了內部審計部門進行的風險管理過程與一般風險管理過程具有相同點和不同點。內部審計部門所進行的風險管理是在一般部門所進行的風險管理基礎上的再監督,其風險管理過程應包括以下三個方面:(一)評價風險管理過程的充分性和有效性。
主要從以下幾個方面進行評價:
(1)評價企業戰略目標的制定是否是在分析組織和行業的發展情況和趨勢、企業的優勢和劣勢、外部的機會和威脅的基礎上結合企業風險偏好來制訂;
(2)與相關管理層討論部門的目標,看分解到各部門的目標是否對戰略目標提供足夠的支持;
(3)評價管理層對風險的識別和評估是否準確;
(4)分析控制措施是否完善,是否可以使企業風險發生的可能性和影響都落在風險容忍度之內;
(5)風險監控是否持續得到執行,監控報告制度是否恰當,風險管理報告是否充分、及時。
(二)評價已有風險衡量的恰當性。
風險衡量是指應用各種管理科學技術,採用定性與定量相結合的方式,最終定量估計風險大小,找出主要的風險源,並評價風險的可能影響,以便以此爲依據,對風險採取相應對策。內部審計部門和人員要對已有的風險的衡量結果進行再檢驗,以確定其是否恰當,對不恰當的估計予以更正。採用的方法主要有:調查和專家打分法、風險報酬法(又稱調整標準貼現率法)、風險當量法、解析方法等。
(三)評估風險防範措施的充分性,並提出改進措施。
風險的防範措施是指爲降低已識別出並已衡量的風險所採取的措施,也稱風險管理工具的選擇。內部審計部門和內部審計人員對有關部門針對風險所採取的防範措施進行檢查,檢查其是否充分、得當。對於風險缺乏充分的控制措施的情況,內部審計部門和內部審計人員應提出改進措施和建議,以強化企業的風險管理,降低風險損失。採用的方法有:避免風險、損失控制、分離風險單位、非保險方式的轉移風險(包括轉移風險源、簽訂免除責任協議、利用合同中的轉移責任條款)、保險等。
綜上所述,內部審計涉足風險管理領域有其客觀必然性,是環境因素和其本身因素使然。在風險管理中,內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理的再監督。
實踐證明,最有效的風險管理是組織內部的自我監督和管理。組織應將事後監督徹底獨立於前臺業務之外,形成平衡制約的關係,努力提高內部審計的有效性。