基于企业全面风险管理的内部审计研究
一、引言
从20世纪90年代后期开始,经济的全球化及网络化的发展,企业的组织结构呈现出虚拟化、集约化、专业化和扁平化矩阵式等新的商业特征。传统的风险管理模式的管理范围是局部的、管理过程是分散的,管理成本偏高而销量偏低,无法适应新形势企业风险管理的需要。许多跨国公司开始实施新的企业全面风险管理办法。2006年6月,国资委发布了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件,标志着我国企业已开始试行全面风险管理。2010年,我国新修订的《注册会计师执业准则》中,强调如何将风险导向审计理念全面、彻底地贯彻到整个审计工作中。内部审计作为风险管理体系的重要组成部分,也必须积极的做出相应创新,调整自身的审计目标、审计内容和审计程序,形成与企业全面风险管理相一致的内部审计新模式。因此,如何将内部审计与全面风险管理相结合,吸收传统审计模式的优点,同时也关注企业战略、绩效、内部控制等全面风险管理,如何确保企业内部审计资源有效配置、审计目标充分实现、审计效率得以提高,成为当前理论和实践工作中迫切需要解决的问题。
从20世纪90年代后期开始,经济的全球化及网络化的发展,企业的组织结构呈现出虚拟化、集约化、专业化和扁平化矩阵式等新的商业特征。传统的风险管理模式的管理范围是局部的、管理过程是分散的,管理成本偏高而销量偏低,无法适应新形势企业风险管理的需要。许多跨国公司开始实施新的企业全面风险管理办法。2006年6月,国资委发布了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件,标志着我国企业已开始试行全面风险管理。2010年,我国新修订的《注册会计师执业准则》中,强调如何将风险导向审计理念全面、彻底地贯彻到整个审计工作中。内部审计作为风险管理体系的重要组成部分,也必须积极的做出相应创新,调整自身的审计目标、审计内容和审计程序,形成与企业全面风险管理相一致的内部审计新模式。因此,如何将内部审计与全面风险管理相结合,吸收传统审计模式的优点,同时也关注企业战略、绩效、内部控制等全面风险管理,如何确保企业内部审计资源有效配置、审计目标充分实现、审计效率得以提高,成为当前理论和实践工作中迫切需要解决的问题。
二、内部审计在企业全面风险管理中的重要性
二、内部审计在企业全面风险管理中的重要性
2001年1月,国际内部审计师协会(IIA)重新修订并颁布了《内部审计实务标准》,将内部审计重新定义为,是一种独立的客观的确认和咨询活动,旨在增值和改进一个组织的运作。它运用系统性的专业方法来评价和改进风险管理、内部控制和公司治理过程的有效性,从而实现组织目标。从中可以看出,在企业全面风险管理的框架下,内部审计的重要性主要体现在:
2001年1月,国际内部审计师协会(IIA)重新修订并颁布了《内部审计实务标准》,将内部审计重新定义为,是一种独立的客观的确认和咨询活动,旨在增值和改进一个组织的运作。它运用系统性的专业方法来评价和改进风险管理、内部控制和公司治理过程的有效性,从而实现组织目标。从中可以看出,在企业全面风险管理的框架下,内部审计的重要性主要体现在:
1.内部审计有助于企业识别风险。内部审计模式经过60多年的发展,先后经历了控制基础审计、流程基础审计(也称为经营审计)、风险基础审计(也称为风险导向审计)、风险管理基础审计(也称为风险管理审计)四个阶段,企业风险管理设计结合了前述几个传统审计模式的优点,对影响企业经营的各种风险因素进行甄别,在对企业管理层进行风险偏好和风险容忍度调查的基础上,充分考虑企业内部客观条件、发展战略、经营目标,及外部环境制度因素制约的情况下,对影响企业目标实现的,可能产生重要负面影响的所有重要事件进行识别,确定各类风险的来源。
1.内部审计有助于企业识别风险。内部审计模式经过60多年的发展,先后经历了控制基础审计、流程基础审计(也称为经营审计)、风险基础审计(也称为风险导向审计)、风险管理基础审计(也称为风险管理审计)四个阶段,企业风险管理设计结合了前述几个传统审计模式的优点,对影响企业经营的各种风险因素进行甄别,在对企业管理层进行风险偏好和风险容忍度调查的基础上,充分考虑企业内部客观条件、发展战略、经营目标,及外部环境制度因素制约的情况下,对影响企业目标实现的,可能产生重要负面影响的所有重要事件进行识别,确定各类风险的来源。
2.内部审计有助于企业度量风险。在对企业发展过程中可能出现的风险事件进行甄别之后,就需要对这些风险进行评估。内部审计人员的评估重点是对风险管理部门的风险衡量的恰当性进行确认,包括风险来源的类型是否全面、风险发生的概率是否客观、风险衡量的方法是否科学、风险衡量的模型是否可行等方面。对不恰当的估计应予以更正。采用的方法一般包括:调查和专家打分法、风险报酬率法、风险当量法、蒙特卡洛模拟法等。
2.内部审计有助于企业度量风险。在对企业发展过程中可能出现的风险事件进行甄别之后,就需要对这些风险进行评估。内部审计人员的评估重点是对风险管理部门的风险衡量的恰当性进行确认,包括风险来源的类型是否全面、风险发生的概率是否客观、风险衡量的方法是否科学、风险衡量的模型是否可行等方面。对不恰当的估计应予以更正。采用的方法一般包括:调查和专家打分法、风险报酬率法、风险当量法、蒙特卡洛模拟法等。
3.内部审计有助于企业防范风险。企业风险管理部门一般采用风险回避、自留、转移、分包等措施进行风险防范与管理。内部审计可以评估风险防范措施的充分性,并在此基础上提出改进措施。主要包括,风险防范的措施是否充分、得当;风险自留的比例是否合理;风险分包的成本收益是否均衡;风险转移能否实现等方面。
3.内部审计有助于企业防范风险。企业风险管理部门一般采用风险回避、自留、转移、分包等措施进行风险防范与管理。内部审计可以评估风险防范措施的充分性,并在此基础上提出改进措施。主要包括,风险防范的措施是否充分、得当;风险自留的比例是否合理;风险分包的成本收益是否均衡;风险转移能否实现等方面。
4.内部审计在部门风险管理中发挥积极的沟通与协调作用。从企业的组织结构的角度看,内部审计处于企业的董事会、经理层与各职能部门之间的位置,有利于发挥其企业风险策略与各种决策的协调人角色,利用自身独立性优势,积极投身企业的风险管理体系建设。同时,组织内部不仅有内部风险,还有管理部门共同承担的综合风险,如生产部门可能面临原材料价格上涨、劳动力工资上升的风险;销售部门可能面临产品滞销、价格下跌的风险;对外贸易部门可能面临人民币汇率升值带来的汇率风险等。内部审计师可以利用自身第三方的身份,与上述各方进行积极沟通与协调,应对各部门风险所带来的综合风险。
4.内部审计在部门风险管理中发挥积极的沟通与协调作用。从企业的组织结构的角度看,内部审计处于企业的董事会、经理层与各职能部门之间的位置,有利于发挥其企业风险策略与各种决策的协调人角色,利用自身独立性优势,积极投身企业的风险管理体系建设。同时,组织内部不仅有内部风险,还有管理部门共同承担的综合风险,如生产部门可能面临原材料价格上涨、劳动力工资上升的风险;销售部门可能面临产品滞销、价格下跌的风险;对外贸易部门可能面临人民币汇率升值带来的汇率风险等。内部审计师可以利用自身第三方的身份,与上述各方进行积极沟通与协调,应对各部门风险所带来的综合风险。
三、内部审计在企业全面风险管理中的不足
三、内部审计在企业全面风险管理中的不足
虽然,我国早在2005年就颁布并实施了内部审计具体准则第16号――《风险管理审计》,明确了内部审计人员对企业风险管理进行审查和评价的职责。但内部审计在企业风险管理中应用的现状却并不令人乐观。2009年中华会计视野网站发起并组织了“我国内部审计情况调查”,德勤会计师事务所于2010年11月发布了“2010年度中国企业风险管理调研报告”。综合上述调研,发现内部审计在我国企业全面风险管理中仍存在如下方面的不足:
虽然,我国早在2005年就颁布并实施了内部审计具体准则第16号――《风险管理审计》,明确了内部审计人员对企业风险管理进行审查和评价的职责。但内部审计在企业风险管理中应用的现状却并不令人乐观。2009年中华会计视野网站发起并组织了“我国内部审计情况调查”,德勤会计师事务所于2010年11月发布了“2010年度中国企业风险管理调研报告”。综合上述调研,发现内部审计在我国企业全面风险管理中仍存在如下方面的不足:
1.内部审计的独立性显著增强。我国的内审机构归口管理部门主要包括:由董事会(或下设审计委员会)管理的占46%,由财务总监(或总会计师)领导的占25%,由纪检监察部门管理的占21%,由财务经理管理的占8%。同10多年前相比,内部审计的独立性显著增强。且由于资金及人事的约束,内部审计一般依附于公司管理层,内部审计部门作为企业的职能部门之一,同样处于公司管理层的领导下,审计过程中,易受到相应干扰,无法做到真正的客观、公正、公平的开展工作。
1.内部审计的独立性显著增强。我国的内审机构归口管理部门主要包括:由董事会(或下设审计委员会)管理的占46%,由财务总监(或总会计师)领导的占25%,由纪检监察部门管理的占21%,由财务经理管理的占8%。同10多年前相比,内部审计的独立性显著增强。且由于资金及人事的约束,内部审计一般依附于公司管理层,内部审计部门作为企业的职能部门之一,同样处于公司管理层的领导下,审计过程中,易受到相应干扰,无法做到真正的客观、公正、公平的开展工作。
2.内部审计工作仍停留在财务收支审计层面上,跟不上全面风险管理的步伐。调查显示,我国企业内部审计工作仍以传统的财务收支审计为主,内部控制审计和经济责任审计所占的比重也比较高,而只有7.25%的单位曾经开展过风险管理审计,没有一家单位对风险管理进行经常审计。
2.内部审计工作仍停留在财务收支审计层面上,跟不上全面风险管理的步伐。调查显示,我国企业内部审计工作仍以传统的财务收支审计为主,内部控制审计和经济责任审计所占的比重也比较高,而只有7.25%的单位曾经开展过风险管理审计,没有一家单位对风险管理进行经常审计。
3.内部审计人员结构单一,综合素质水平不高。我国企业中的内部审计人员绝大多数是会计、审计人员,结构不合理。这部分人员的综合素质水平不高,缺少风险管理、企业战略、市场营销、信息化管理等方面的知识背景,很难履行监控风险管理的职能,更别说在全面风险管理的框架下,对企业的风险承受能力、利润目标、市场定位、控制活动进行有效监督。中华会计网校对内审人员急需进行的职业培训进行调查,发现所需培训的前五项分别是内部控制制度与评审、管理审计、计算机辅助审计、信息系统审计、公司治理结构与审计。事实上,内审人员的培训需求也正反应了其知识结构的缺失。
3.内部审计人员结构单一,综合素质水平不高。我国企业中的内部审计人员绝大多数是会计、审计人员,结构不合理。这部分人员的综合素质水平不高,缺少风险管理、企业战略、市场营销、信息化管理等方面的知识背景,很难履行监控风险管理的职能,更别说在全面风险管理的框架下,对企业的风险承受能力、利润目标、市场定位、控制活动进行有效监督。中华会计网校对内审人员急需进行的职业培训进行调查,发现所需培训的前五项分别是内部控制制度与评审、管理审计、计算机辅助审计、信息系统审计、公司治理结构与审计。事实上,内审人员的培训需求也正反应了其知识结构的缺失。
目前,国内多数企业内部审计的重心仍是事后评价控制,而对事前风险管理和过程管理的审计仍较少,这些都促使内部审计人员更加关注风险、关注危机,促进企业全方位构建风险防范新模式。
目前,国内多数企业内部审计的重心仍是事后评价控制,而对事前风险管理和过程管理的审计仍较少,这些都促使内部审计人员更加关注风险、关注危机,促进企业全方位构建风险防范新模式。
四、完善我国企业在全面风险管理下内部审计的建议
四、完善我国企业在全面风险管理下内部审计的建议
1.提高内部审计部门的独立性。独立性是影响内部审计有效性最重要的因素,从前面的分析中已经看出,我国大部分企业目前尚未完成内部审计的独立性建设。我们可以借鉴国际上的成功做法,设置由独立董事组成的审计委员会,内部审计机构受审计委员会和总经理双重领导,制定内部审计的规章制度,明确内部审计的地位、职责权限、业务报告程序。一方面,可以增强内部审计的独立性、权威性,更加有效地发挥监督、管理职能;另一方面,可以将经济活动中存在的风险及其采取的防范措施及时向管理层汇报。
1.提高内部审计部门的独立性。独立性是影响内部审计有效性最重要的因素,从前面的分析中已经看出,我国大部分企业目前尚未完成内部审计的独立性建设。我们可以借鉴国际上的成功做法,设置由独立董事组成的审计委员会,内部审计机构受审计委员会和总经理双重领导,制定内部审计的规章制度,明确内部审计的地位、职责权限、业务报告程序。一方面,可以增强内部审计的独立性、权威性,更加有效地发挥监督、管理职能;另一方面,可以将经济活动中存在的风险及其采取的防范措施及时向管理层汇报。
2.多途径加强审计人员队伍建设,提高内部审计人员的综合素质。为了满足企业全面风险管理的需要,企业内部审计部门要积极改进现有人员结构,积极的吸收会计、审计专业外人员加入到内部审计部门,主要包括企业战略管理部门、风险管理部门、销售部门、生产部门等专业人员,有利于实现在全面风险管理的框架下,内部审计人员业务背景、专业背景等方面的互补。同时,需要加强对企业内部审计人员的企业文化、发展战略及技术技能培训,增强内审人员对企业经营战略、市场定位、风险识别及审计工具的熟悉程度,提升综合素质水平。
2.多途径加强审计人员队伍建设,提高内部审计人员的综合素质。为了满足企业全面风险管理的需要,企业内部审计部门要积极改进现有人员结构,积极的吸收会计、审计专业外人员加入到内部审计部门,主要包括企业战略管理部门、风险管理部门、销售部门、生产部门等专业人员,有利于实现在全面风险管理的框架下,内部审计人员业务背景、专业背景等方面的互补。同时,需要加强对企业内部审计人员的企业文化、发展战略及技术技能培训,增强内审人员对企业经营战略、市场定位、风险识别及审计工具的熟悉程度,提升综合素质水平。
存入我的阅览室
3.树立风险管理审计监督的新理念。传统的内部审计多数合规性审计,忽略风险审计监督的作用,多是事后监督,缺乏事中、事前监督,侧重于对已经形成的漏洞和凸显的问题进行审查,而没有做到预见性的事先防范。很显然,这种监督方式是一种滞后、被动的做法,与现代企业全面风险管理的要求相差甚远。因此,内部审计应积极探索,进行主动审计,事中和事前审计,引用预期风险管理内部审计的新理念,实现内部审计职能的根本转变。 3.树立风险管理审计监督的新理念。传统的内部审计多数合规性审计,忽略风险审计监督的作用,多是事后监督,缺乏事中、事前监督,侧重于对已经形成的漏洞和凸显的问题进行审查,而没有做到预见性的事先防范。很显然,这种监督方式是一种滞后、被动的做法,与现代企业全面风险管理的要求相差甚远。因此,内部审计应积极探索,进行主动审计,事中和事前审计,引用预期风险管理内部审计的新理念,实现内部审计职能的根本转变。
4.构建适应全面风险管理需要的内部审计新模式。内部审计模式一般包括审计目标、审计对象、审计方法和审计程序四个方面。在企业全面风险管理的指引下,内部审计要积极探索,构建新型审计模式。根据内部审计的新定义及与风险管理的关系,我们可以将风险管理内部审计目标定位在创造企业目标作用下,内部审计目标是降低风险,增加价值。这里所谓的降低风险,不仅是降低审计风险,而且包括通过风险管理审计及企业自身的全面风险管理降低企业生产经营活动中的风险。风险管理内部审计的对象是企业风险审计,主要审计类型是集金融风险管理、公司治理和内部控制审查于一体的综合审计,这有别于传统的单项审计。风险管理内部审计的方法主要包括,确定组织目标、评估企业风险、决定应审计的控制,发现企业管理中存在的问题并提出解决对策。在对风险的理解上,风险管理内部审计更多的依赖于管理层的风险偏好及风险容忍度,从而关注管理层如何计量和监控与其目标和风险容忍度相联系的业绩执行情况。风险管理内部审计的程序,也自始至终体现风险管理的主导思想,主要包括,了解企业经营风险、识别风险、评价风险控制状况,确定剩余风险,及剩余风险管理的合理性等几个环节。模式。根据内部审计的新定义及与风险管理的关系,我们可以将风险管理内部审计目标定位在创造企业目标作用下,内部审计目标是降低风险,增加价值。这里所谓的降低风险,不仅是降低审计风险,而且包括通过风险管理审计及企业自身的全面风险管理降低企业生产经营活动中的风险。风险管理内部审计的对象是企业风险审计,主要审计类型是集金融风险管理、公司治理和内部控制审查于一体的综合审计,这有别于传统的单项审计。风险管理内部审计的方法主要包括,确定组织目标、评估企业风险、决定应审计的控制,发现企业管理中存在的问题并提出解决对策。在对风险的理解上,风险管理内部审计更多的依赖于管理层的风险偏好及风险容忍度,从而关注管理层如何计量和监控与其目标和风险容忍度相联系的业绩执行情况。风险管理内部审计的程序,也自始至终体现风险管理的主导思想,主要包括,了解企业经营风险、识别风险、评价风险控制状况,确定剩余风险,及剩余风险管理的合理性等几个环节。
五、结论
五、结论
我们从内部审计在企业全面风险管理中的作用入手,分析了内部审计在我国企业的全面风险管理中存在审计内容落后、人员独立性差、人员结构单一、综合素质水平低等不足。在此基础上,提出了提高内部审计独立性、加强内部审计人员队伍建设、树立风险管理审计新理念、构建适应企业全面风险管理需要的内部审计新模式。通过上述做法,有助于我国企业改进风险管理体系,提升企业的整体管理效率和经营效果,为企业最终目标实现提供参考。
我们从内部审计在企业全面风险管理中的作用入手,分析了内部审计在我国企业的全面风险管理中存在审计内容落后、人员独立性差、人员结构单一、综合素质水平低等不足。在此基础上,提出了提高内部审计独立性、加强内部审计人员队伍建设、树立风险管理审计新理念、构建适应企业全面风险管理需要的内部审计新模式。通过上述做法,有助于我国企业改进风险管理体系,提升企业的整体管理效率和经营效果,为企业最终目标实现提供参考。
