请问内部审计如何参与企业风险管理 内部审计参与风险管理的途径
一、内部审计在风险预警、防范和控制方面所起的作用
企业要实现其既定的经营目标就应当拥有健全面有效地风险预警、防范和控制机制,内部审计应当在确定企业是否建立健全风险预防、控制及其程序的有效性方而起到了监督和保障作用。具体地说,就是内部审计人员通过检查、分析、评价并且报告风险控制的有效性和健全性,并以此提出改进的意见和建议帮助企业管理当局有效地预防、控制风险。
内部审计在风险管理中的作用,主要体现在以下三个方面。一是识别和防范风险,从评价内部控制制度入手,在企业生产经营的各个环节查找漏洞,测定风险点和风险度,进而帮助公司及时查错纠弊,并对既成的损失提出应对策略。二是通过咨询服务的方式,积极协助公司风险管理机制的建立和健全。三是在部门风险管理中发挥协调作用,协调各部门共同管理公司的风险,以防范由于错误决策带来的风险。
二、内部审计参与风险管理应当注重的方面
(一)转变观念,树立全新的审计监督理念。树立全新的审计监督理念,就是要实现两个方面的转变。第一,要审计监督向风险性审计的转变。日前,审计监督主要还是合规性审计,这种监督模式不利于有效地揭示风险,不能够使企业内部审计目标与企业的目标相一致。第二,要实现事后检查和监督向事中、事前监督和检查的转变。目前企业的内部审计更多地停留存对已经发生和完成事项的事后监督、检查,侧重于对已经出现的漏洞和突出的问题进行审查,并提出处理意见。这种监督方式是明显滞后和被动的,不符合企业风险控制与防范的要求。因此,企业内部审计应积极探索风险管理审计,变被动为土动,开展事中和事前的监督和检查,防患于未然,充分发挥内部审计监督和防范风险的效能。
(二)引入风险管理审计理念,树立风险管理意识。风险管理审计以企业的管理活动为审计检查的内容,对组织机构、决策的科学性、可行性、效益性和内部控制制度的合法性、完整性、合理性、有效性、经济性等进行审核检查,较为全面地提供所需要的有关经营管理活动方面的信息,有效防范经营风险和遏制了“道德风险”的发生;企业应当增强经营管理的透明度,从而达到监督和控制的目的。同时,通过风险管理审计可以有效地判断企业防范风险的能力和水平,有效地帮助企业针对薄弱环节采取补救和纠正措施。
(三)理顺内部审计管理体制,充分发挥内部审计防范风险的作用。企业设置内部审计机构应坚持两条原则:一是独立性原则。这足设立内部审计组织机构开展审计活动最重要的原则。在独立性原则的基础上,内部审计组织部门独立行使市计职权,不受任何人员和部门的干预,充分体现审计的客观性、公正性和有效性。二是权威性,内部审计组织地位的提高使得独立性增强,为内部审计人员卓有成效地履行职责,发挥内部审计的职能作用创造了有利的条件。另外内部审计机构要有一定的处罚权,以此充分体现内部审计的权威性。内部审计只有在独立性和权威性的保证之下,才能够发现风险因素,并且对企业风险防范和控制有效性进行持续的监督和评价,帮助企业防范风险堵塞漏洞。
三、审计人员参与企业风险管理的途径和方式
(一)进行风险的预测和识别。风险的预测和识别是指审计人员对企业所面临的以及潜存的风险加以分析、判断、归类和风险性质予以鉴定过程,确定企业正在或将要面临哪些风险。内部审计人员要对企业所面临的主要风险进行预测和识别,并找出未被识别的风险,可采用的方法包括决策分析、可行性分析、因果分析和专家调查法、专家打分法、风险报酬法及解析方法等。
(二)对已经存在和将要发生的风险进行评估。企业的内部审计人员在收集和分析经营的各项信息的基础之上,通常内部审计人员要将各种风险因素予以量化和评估,究其实质,就足审计人员的一种职业判断。审计人员按照量化的风险水平的高低,对食业拟审计项目进行排序,从而确定开展审计工作的先后顺序,进行风险评估应当考虑以下要素(但不限于以下因素):货币金额的大小、资产的变现能力、管理水平和经营能力、内部控制的有效性、上次审计的时间、市场环境等。依据以上的因素,可以将风险进行最化评估,应用各种管理科学技术,采用定性和定最分析相结合的方式,预测风险的大小,并找出主要的风险源,合理的评价风险可能产生的影响,以此为依据,对风险采取相应对策。
内部审计人员还必须了解企业的管理层对待风险的态度和风险对影响企业战略目标实现的程度,以此确定审计工作计划和目标。
(三)提出改进和防范的意见及建议。向企业的管理层提出如何降低和防范风险的建议的报告,使内部审计部门能够帮助管理层有效防范和降低风险。内部审计机构可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,风险的防范的意见及建议为企业为降低已识别出的风险及其可能造成的损失采取的措施:以加强食业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
采用改进和防范措施主要有:避免风险、损失控制、分散风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)和投保等。
四、充分掌握企业对风险防范的水平和控制的程度以确定审计范围
风险审计的范围就是收集重大风险的证据并进行分析、判断的范围,最为重要的就是内部控制,其中分别有建立风险防范机制的企业和尚未建立风险防范机制的企业。内部审计部门应当在充分评估风险的基础上,应用风险因素的模式,确定风险影响的程度,制定审计上作计划并确定审计工作的重点。审计主管领导就可以依此确定审计工作的范围和先厉次序,对于高风险的业务和领域优先实施审计。
通过强化内部控制减少风险,对企业风险预警、防范和控制的评价和报告是风险审计的重点,对于尚未建立风险防范和控制机制的企业,内部审计人员应当提请管理层关注此种情况,并提出建立风险防范和控制机制的作用和意义。
内部审计要在企业风险管理中发挥作用以及保证风险管理的有效实施,必须得到企业管理当局的重视和支持。一些食业尽管设立了防范风险的管理部门,但不具有独立性,其意见往往会屈从于管理层的压力,这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评估的意见可以有接向企业的最高管理当局汇报,这样会加强管理当局对内部审计部门意见的重视程度。
内部审计本身没有什么权力干涉正常经营,所以不好参于风险管理途径。通常管理风险的有专门的风险部门,金融企业就是。工业企业内审如果参与风险管理的话,最好是从内控的角度进入可能方便一些
【摘要】本文就内部审计为何参与企业风险管理以及如何发挥自身优势参与企业风险管理进行了分析,旨在为企业内部审计部门参与企业风险管理提供一些参考意见。 【关键词】内部审计;风险管理;参与原因;运作过程 内部审计准则第16号具体准则——风险管理审计,明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价,表明风险管理已成为内部审计发展的重要方向。该项具体准则明确:风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。 一、内部审计参与企业风险管理的原因 (一)企业的集团化发展,要求内部审计参与风险管理 近年来,随着全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,经营风险大大增加,内部审计必须对企业经营资源运动的合标性进行全程跟踪审计,把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型,渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此,内部审计参与企业的风险管理也就成为企业发展必然的内在需求。 (二)内部审计的自身发展要求参与企业风险管理 1.内部审计的定义包含了风险管理内容 内部审计是采用一种系统化、规范化的方法,来对机构进行风险管理、控制和监督过程进行评价,进而提高它们的效率,帮助机构实现目标。从中不难看出,内部审计的范围已延伸到风险管理,认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计,“评价和改善风险管理”成为了内部审计的重要工作领域,它拓展了内部审计的广度和深度,是对内部审计的重新定位。 2.风险管理赋予了内部审计在企业中新的地位和作用 随着内部审计定位和角色的不断改变,内部审计已成为企业的诊断师,由于在经营中风险的必然存在性,使得任何企业都必须面对风险,并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,能够站在第三者的角度去帮助企业更好地把握经营的方向,并将其在企业中的作用推向一个新水平。 3.内部审计与风险管理的目标是一致的 从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的方法,用最低的成本获得最高的安全保障,将损失降至最低水平。它的目标是直接服务于企业的经营目标的。 从内部审计的定义看,内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后,能够对企业的运营提出富有价值的见解,从而被企业管理者采纳,因此可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,还可以将这些有价值的信息应用于经营管理活动,从而达到企业增值的目的。由此可见,风险管理与内部审计在其目标上是相一致的。 (三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势 1.独立性优势 内部审计不参与企业具体的业务经营活动,因此不对各项业务管理中出现的问题承担直接责任,其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础。 2.综合性优势 内部审计在企业管理中是一个综合性部门,其审计范围覆盖着企业经营的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势,对企业风险管理进行的系统性、专业性监督检查和评价,权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位。 3.连续性优势 内部审计部门及人员由于长期在企业内部工作,对企业所面临的风险更为了解,对风险的各种影响因素更便于做深入的调查,对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工,是最终利益的相关者,他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。 二、内部审计参与企业风险管理的运作过程 (一)内部审计在企业风险管理中的定位 内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时,应将内部审计作为风险管理的第一道防线,由内部审计对整个风险管理流程进行评估和监控,但内部审计在企业风险管理的建立与防范中,主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。因此,内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者,它承担了咨询者、协调者、建议者的角色。 当然,内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在企业实施风险管理的初期,内部审计能够发挥很大的协调作用,此即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就转化为监督者和咨询者。 (二)内部审计在企业风险管理中的作用 1.能够客观地对企业整体风险管理进行检查与评价 从风险的形成与影响后果等特性,不难看出风险在企业内部具有感染性、传递性、不对称性等特征,如一个部门造成的风险或者疏于风险管理,可能会传递到其他部门,最终要由整个企业承担。因此,有些部门可能会出现缺失道德风险,而这种风险不是由它们来承担行为责任。又如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成损失。因此,对风险的认识、防范和控制等需要从全局考虑。 内部审计由于不参与企业经营的具体业务活动,它是独立于业务管理部门的,因而它可以从企业的全局出发、从客观的角度对各种风险进行识别,将风险评估的意见直接报告给董事会或经营管理层,提高管理层对内部审计意见的重视程度,保证其他管理部门及时采取有效措施控制风险,从而达到企业的高效运营。 2.能够以咨询顾问身份协助管理层建立风险管理制度 内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。 3.能够指导企业的风险管理策略,防止控制过度或不足的缺陷 内部审计是内部控制的再控制,企业根据目标和所能承受的风险,制定内部控制制度,内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高,控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人,并通过对长期计划与短期实现的调节,指导企业的风险管理策略。 4.能够发挥反馈作用,对企业的风险管理产生预警作用 由于风险是面向未来的,是直接与企业的战略及经营目标相关联的,因此以风险为出发点和核心的内部审计,能够以事后的反馈延伸到事前以及事中,从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,产生预警功能,从而达到内部审计在企业管理控制系统中的反馈作用。 (三)内部审计参与企业风险管理的方式方法 1.转变观念,将风险管理作为内部审计的重要工作 内部审计应由过去的控制导向审计向现代风险导向审计过渡,由被动地承受审计风险,到主动地控制审计风险,将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度,明确内部审计人员应当关心企业所面临的风险,根据风险评估思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接进来,有效地管理企业风险。 2.要把企业风险管理融入日常审计项目中 企业风险存在于企业经营管理的各个方面,在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的,因此内部审计须在每一次的日常审计项目中,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制。比如,内部审计部门开展的经济责任审计,企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现,对此,内部审计就应作出必要的风险评价,一方面划清前后任的经济责任,一方面帮助企业采取必要的措施防患于未然。 3.要对企业的风险管理机制进行监督检查 当一个企业建立了风险管理机制,其规章制度是否得到有效执行,是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理,是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等,从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,如风险管理责任不清、部门间协调不足、风险防范资源不足等。 4.要加强对内部审计人员的督导 为提高审计工作质量,内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度,对审计人员的工作进行指导、监督和复核,明确各级人员的责任,同时必须强调督导是贯穿于审计项目的全过程的,它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施,尽可能减少内部审计人员在风险管理工作中的主观判断行为,在督导工作中要遵循重要性、谨慎性和客观性原则。 5.要优化内部审计人员结构,培养高素质的审计人才 风险防范的关键在于人才,只有建立一支与内部审计工作相适应的,具有高思想素质、业务素质和文化素质的审计队伍,才能起到有效防范风险的作用。内部审计人员不仅是一名合格的审计监督管理者,也应是一名合格的风险管理者,既要掌握和了解企业内部的经营管理运作状况,又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等。因此,一方面优化内部审计人员组合,不能局限于财会专业,要吸收外部专家、管理顾问、舞弊检查专家等多种专业人才加入内部审计队伍;另一方面应重点培养一批高素质的内部审计人员,为开展风险管理奠定基础。 综上可知,风险管理已成为现代企业经营管理中必要的一门管理课程,风险的存在对企业既是一种存在危险的可能性,但也会是一种带来收益的机遇。每一个企业的最高决策者和管理者必须面对现实,重视风险,把风险管理视为日常经营的重要部分。内部审计介入风险管理,是我国企业内部审计发展的方向,作为内部审计人员必须把风险管理意识、风险管理行为融入到日常审计工作中,使内部审计在风险管理中能够发挥更有力的作用。