【論文關鍵詞】風險管理;內部控制;公司治理;內部審計
【論文摘要】文章立足於企業風險管理體系,從構建風險管理體系內部審計的定位以及如何運用風險管理審計出發分析內部審計的作用以提高公司治理系統的有效性.
隨着企業從傳統的工廠制到現代企業制度的建立,作爲公司治理基礎的產權關係逐漸明晰,通過持股、控股等方式形成的企業集團在市場經濟中面臨着各種內外部環境風險,傳統的查錯糾弊審計模式已無法滿足現代企業經營和發展的需要,內部審計逐漸以風險管理作爲新的發展方向,“以風險爲導向,以內部控制爲主線,以公司治理爲目標”的審計新模式,在評價和幫助企業改善風險管理、內部控制和治理過程中發揮着越來越重要的作用。
一、公司治理、風險管理、內部控制的內涵
(一)公司治理
公司治理源於現代企業所有權與經營權分離並由此所產生的委託代理關係,主要是解決“代理成本”、管理層的選擇與激勵等問題。公司治理是現代公司制在決策、執行、激勵和監督約束方面的一種制度或機制,其實質是確保經營者的行爲符合股東和其他利益相關者的利益。
(二)風險管理
企業風險管理是由企業的董事會、審計委員會、各職能部門共同參與,應用於企業戰略制定和企業內部各個層次經營部門,用於識別可能對企業造成潛在影響的事項並在其風險偏好範圍內管理風險,爲企業目標實現提供合理保證的過程。
(三)內部控制
內部控制是實現經營活動的效率和效果、相關法律法規的遵循等目標而提供合理保證的過程,包括控制環境、控制程序、風險評估、信息與溝通、監督機制。建立內部控制是爲了實現效率經營、防止舞弊,通過劃分職責,包括組織規劃、分工、授權審批、獨立負責制度,明確各部門、各崗位和員工職責、制定作業標準等實現控制目標。
二、內部審計在企業風險管理中的地位
風險管理框架下的內部審計將風險管理、公司治理和內部控制融於一體,關注企業的決策風險和經營風險。內部審計的職能從監督和評價轉變爲確證和諮詢。確證是根據企業的標準、要求對特定領域進行評價並提供其需要的信息,能夠完善決策與提高決策的科學性。諮詢則是直接作爲專家顧問參與經營活動,改善企業的經營和財務狀況。內部審計在企業風險管理中有其不可替代的優勢。
(一)內部審計職能定位優勢
內部審計機構大多定位爲隸屬於企業董事會等代表所有者利益的機構,主要接受董事會、審計委員會等機構的領導和考覈,這使得內部審計具有較高的工作獨立性、權威性,避免工作中受過度干預與利益影響,有利於提供更加及時、客觀、公正的信息,有效支持公司治理的健康運作。另一方面,內部審計機構作爲企業內部控制體系的一部分、管理架構的一個環節,通常與經營者又存在一定的隸屬和彙報管理關係,並形成一定的密切聯繫、利益關聯,爲內部審計能夠獲得經營層的理解和支持提供機制支持,有利於及時、順利獲得真實的經營管理信息。由此可見,內部審計實際定位於公司治理結構中的所有者和經營者環節的中間地帶,這也有利於其發揮促進公司治理結構健康、順利運轉的聯繫紐帶價值。
(二)內部審計組織關係優勢
1.內部審計作爲企業內部組織,熟悉本單位情況,容易發現本單位管理的薄弱環節,從而能夠更加及時提醒管理當局注意薄弱點,控制關鍵風險;內部審計機構作爲企業的內部成員,利益同企業休慼相關,工作中更趨向於從企業利益和實際需要出發,對實現公司治理目標、促進企業發展有着更強烈的責任感。
2.內部審計本身作爲企業內部控制系統和風險管理系統的重要組成部分,所開展的內部控制制度和風險管理的健全性、有效性評審,是公司治理的核心內容,有利於內部審計工作成果與公司治理需要的自然匹配。
三、內部審計與風險導向、內部控制、公司治理的關係
(一)開展以風險爲導向的內部審計,是內部審計發展的趨勢,是內部審計生存與發展的基礎
包括公司治理領域、內部控制風險在內的企業經驗管理風險正是風險導向內部審計的對象。
(二)以內部控制爲主線的內部審計,圍繞風險識別、管理,開展對內部控制的再監督活動
作爲再監督活動,在內部控制基本要素—內控環境、風險評估、內控活動、信息與溝通、監督的基礎上,增加了目標設定、事件識別和風險評估三個要素,一起構成了完整的風險管理的基本過程,強調將企業風險管理覆蓋決策層、經營層及所屬部門所有層次,從戰略高度把握內控制度的缺陷和薄弱環節,是內部審計的關鍵。加強風險防範,重點放在重要的風險上,審查貫穿組織範圍的風險管理,爲風險管理提供風險識別與評估等確證服務,並向董事會、審計委員會等提供風險報告。
四、以風險爲導向,以內部控制爲主線,以公司治理爲目標的'內部審計運用
以風險爲出發點,堅持全方位、全過程監督,以內部控制審計爲主線,重點突出、動態跟蹤,構建‘事前參與、事中監控、事後評價”的全過程審計工作格局,關注風險控制對內部控制影響。
內部風險管理體系的形成是一個持續漸進的過程,是制度建設與完善的過程,應分三個階段進行。
(一)風險管理體系建立
建立內部風險控制體系基本框架。根據內部審計具體準則一風險管理審計和《內部控制—整體框架》報告,控制的基礎是建立標準業務流程,通過對流程的控制實現對風險的控制。即對採購/銷售/生產/物流/財務控制等整體進行把握與流程管理規劃,通過編制《內控手冊》明確公司重要風險管理的關鍵控制點,提升實際管控能力。
(二)測評風險控制系統的充分性和有效性
1.測評風險控制系統的效果性。通過對關鍵控制點的測試,評價其是否發揮了應有的制約與控制作用,或者是否取得了應有的管理效果。效果性測試風險控制系統的功能如何,是否發揮作用,效果如何。
2測評風險控制系統的充分性。通過收集有關的經營管理制度、規章和辦法,以及向有關部門和人員調查瞭解,運用流程圖法、調查表法或記述法等方法,對風險控制流程的正確程度和完善程度以及若干控制點進行測試。通過對測試資料的分析,來評價風險控制系統的健全程度。針對薄弱點和失控點,提出改進措施。健全性測試主要解決風險控制系統是否合理、充分,以及控制關鍵點是否齊全、準確。 3.測評風險控制系統的有效性。通過對一些風險控制系統控制點的測試,分析哪些控制點上建立了強有力的內控制度和哪些控制點上存在薄弱環節,以評價風險控制系統在實際業務活動中的執行情況,以及審查管理制度在執行中的使用情況,主要檢查:控制點雖然有規定,卻沒有得到執行或執行不力;規定的控制點不切合實際情況,從而造成不能或者無法執行。遵循性測試解決內部控制制度的符合程度如何,查明單位的各項控制措施是否都真實地存在於管理系統中,是否完全並認真遵守制度規定。
通過乒瞼控制體系的待續運行、監控與評價,對風險控制提出改進要求,進行流程再造,規範制度建設,全面提升管理水平。目標是形成內部風險控制與管理的互動機制,進一步提升風險管理能力。
(三)評價風險管理機制
評價風險管理是一種全新的現代企業管理方法,主要通過運用具體的評價指標,採取一定的方式方法,對單位管理層或內部各職能部門及其工作人員從事管理和業務活動中的經濟性、效率性、效益性以及內控管理,風險防範,操作流程等制度、措施、程序執行中的可行性、可控性和有效性進行整體評價。一方面達到促進內部控制制度建設,強化內部管理,有效防範內部風險發生,確保經營總體目標的實現,利用評審資料爲領導正確決策提供可行的依據;另一方面將評價結果納入年度業績考評範疇,以促進執行力和遵章自覺性的提高。
評價的依據是績效評價指標體系和風險管理規則;評價的基礎是管理審計,是通過管理審計對單位績效指標的真實性和預算執行、經濟業務處理流程執行的有效性等方面進行績效和管理狀況的檢查、審覈後,對其進行的評價。這個評價必須圍繞單位的績效情況和管理情況進行。評價應把握好兩個方面:
1.評價標準。建立績效評價指標體系,對經營行爲的經濟性、效率性、效益性進行評價;建立制度執行系統評價體系,對執行制度和流程過程中的完整性、合理性、協調性、有效性進行評價。
2評價原則。
(1)客觀性原則。評價應站在第三者的立場,依據可靠數據和客觀事實,採取寫實、量化的方法,實事求是地評價單位的管理情況。
(2)全面性原則。評價管理情況要全面,既要涉及組織機構管理、預算管理、決策管理,又要涉及內部控制制度各環節的管理,要求既充分肯定好的方面,又要如實指出差錯的方面。
(3)針對性原則。根據管理方面存在的實際問題,找準重點薄弱環節,有針對性地增加分析評價的內容,增大點評力度,以引起被審計單位的重視,促進被審計單位整改。
(4)準確性原則。評價要以實定論,觀點鮮明,不能模棱兩可或任意修飾。
(5)謹慎性原則。評價時要以穩健、謹慎的態度,採取寫實的方法,不隨意定性,對未涉及或證據不足的事項不評價,超出管理審計範圍的事項不評價。
(四)內部審計能促進公司內部控制制度的完善
1.內部審計有利於企業加強內部管理。由於內部審計部門在內部控制環境中,對本企業管理熟悉,清楚各項業務的工作流程及關鍵控制點,能對企業內部組織與個人違反政策、程序的文件作出糾正和處理,並以相對獨立的身份向管理層提出報告,以保證會計信息的真實、保護資產的安全、實現守法經營等。同時,審查在具體管理中各項控制制度的健全性和有效性,以提出切實可行的建議,促進企業依法經營,增強自我約束機制,有效防範經營風險,改善管理,提高效益。
2.內部審計是解決信息不對稱的有力措施。公司所有者和經營者之間、經營者與下屬管理層之間存在委託代理關係,各主體間進行溝通的重要工具就是會計信息系統,而內部審計最有資格和能力審查、監督以會計信息系統爲主的信息的真實性,從而緩解委託方和代理方之間信息不對稱的矛盾。內部審計通過向管理層提出建立風險管理的相關建議和需要管理層注意的情況,以利於減少“逆向選擇”和“道德風險”問題。
綜上所述,以風險爲導向、以內部控制爲主線、以公司治理爲目標的風險導向型內部審計其目的是完善風險管理框架下的公司制衡機制,完善公司治理結構。通過關注重大風險領域,評估組織在特定領域遵守公司行爲規範的情況,評估業績測評系統的充分性和整體目標的實現情況,達到防範組織風險、防止舞弊。通過持續對內部風險控制提出改進要求,更新完善內部風險控制手冊和評估手冊,引入新的風險管理方法及內控手段,使內部審計融入風險控制,將風險管理融入日常管理,實現內部風險控制科學化、標準化,建立具備自我更新能力,並與日常管理融爲一體的內部風險控制體系;從而把內部審計從公司管理的層次提到了治理的層次,使內部審計由監督者逐步轉變爲控制者、協調者、參與者和服務者轉變。
可以說,無論何種模式的公司治理,要滿足利益相關者的利益,主要是解決兩個層次的內部管理控制,一是加強對經營者的監控,二是對經營活動的監控。而內部審計則是董事會或監督董事會、監事會強化和改進公司治理的重要工具,是捍衛制度不可或缺的一種機制和手段,它的存在使公司治理系統的整體有效性得以增強。