企业风险管理审计分析
企业风险管理是指将在企业运营过程中因各种原因而导致影响企业战略目标的因素控制管理在一个企业可以接受区间内的掌控过程和方法,以此来规避运营风险,保障企业能够健康的发展,完成预期计划的目标[1]。而企业风险管理的监管力度则一定程度上决定了企业风险管理工作的效果。我国2005年办法实施的内部审计准则中提到了内部的审计的重要性。笔者就企业风险的概念着手对企业风险审计展开分析。
一、企业风险和风险管理的实质概念
企业风险管理审计工作是了解确企业风险的实质概念以及企业风险的划分等问题,不基于以上问题的企业风险管理审计将无从入手。
1、企业风险的概念
企业风险是存在与企业运营中所产生的不确定因素中,并且不确定的影响因素导致的风险也是不确定性的。若企业运行的环境是相对单一透明不存在不确定因素的,则不会发生企业风险。而针对企业管理,注重的是运营的结果与预期达到目标存在多大程度的差距,这种差距发生的概率则形成企业风险[2]。笔者认为在企业运营过程中的一阶段内所达成的目标或结果,因为各种因素的影响没有实现预期的效果,这种企业运营中未能达成目标的可能性即可称为是企业风险。
2、企业风险划分
企业风险是根据不同的标准给予分类,而既然企业风险与企业未达成的目标有紧密的关联,那么笔者认为可将企业风险根据企业设定的目标进行划分:
(1)战略性目标风险。企业设定的某一阶段的战略性目标未能达成或出现偏差的可能性。常见类型包括因企业对未来发展预计分析不够明确和充分导致企业整体战略布局出现偏差,导致决策性失误;因企业对战略布局实施中的选择失误而出现的发展风险,如经营板块的扩展风险,并购风险等。
(2)经营管理风险。企业制定的经营目标未能达成或出现偏差的可能性。主要包括经营环节、人事、信息风险等,类型有因企业的产销环节导致的经营风险;因企业人事变动授权、委托、业绩评价等因素造成的风险;因信息的不完善或泄露造成的企业风险等。
(3)财务风险。字面理解为企业资金统筹因素造成的风险,即企业资金方面目标未能达成目标的可能性因素,包括所有财务活动、资金统筹、资金投资以及财务活动等均属于企业财务风险范围内。
3、企业风险管理的概念
COSO的《企业风险管理框架》中对企业风险管理作出了明确的定义[3],表明企业风险管理是一种监控过程,执行者主要包括董事会、管理部门和其他人员。企业风险管理贯穿于全部企业战略制定活动过程中,用于监管规避可能影响企业主体目标发展的潜在因素,并将其控制在可接受范围内,保障企业运营目标的最终达成。
我国内部审计协会发布的《企业风险管理审计》[4]中也明确表示,风险管理是应用与企业组织中,分析和评估有可能导致企业目标不能实现的各种不确定潜在因素,同时制定规避措施降低风险程度,将影响降至最小程度,保证企业达成目标。
综上几点阐释可以总结出企业风险管理的概念是指保证企业目标达成的一种监管、评估、规避过程。
二、企业风险管理审计目标
企业风险管理审计是随着现代经济发展企业内部对企业运行的监管和评估的一个过程,而审计的最终目标则在于企业对内部审计评估功能的设定。
鉴于西方国家企业内部的审计发展历程可以发现,内部审计工作是适应于经济发展而产生的,企业内部的规模经营范围以及波及范围的扩大而增加了内部审计管理层次,而审计目标不是一成不变的,是随着企业的阶段性发展而不断变化。国际内部审计师协会(IIA)曾对企业内部审计的目的做出过这样的定义:企业内部审计是一个独立的个体,是一个保证、改善企业运营方向状态的客观形式,是以秉承提升企业价值和改善经营的目的。
我国的企业内部审计的发展有别于西方国家,不是为迎合企业内部发展而自主产生的,而是由国家政府牵头,审计部门推动下产生。我国审计署于1993年成立,为尽快的充实国家审计力量,完善审计体系,政府及审计部门大力推动企业内部审计的建立。随着我国经济的不断发展,内部审计的意义也出现了变化,逐渐受到各方人士的重视。在我国审计准则中提到,内部审计是客观性的监督评估活动,通过监管和评估保证企业经营及发展的合理性,推动企业完成经营目标。
根据企业内部的发展路径可以发现,内部审计是旨在促进企业实现最终的发展目的,企业风险管理的目标在于审计的目标,审计人员通过对企业发展了解,对风险管理过程的监管,监管评估其合理性和适当性,并给予合理的建立,推进企业达成计划目标。
三、企业风险管理审计内容
企业风险管理的内容是可实现企业整体发展目标的风险管理审计。即表明包括整体以及内部的相关部门。审计人员可对整体及部分进行审计工作。主要包含以下几点内容:
(一)风险管理机制的审计
风险管理机制是企业有效规避风险的前提条件和基础,所以,企业内部审计人员应针对风险管理机制的合理性、有效性,主要对风险管理机制的以下几点进行审核监督评估:
1.风险管理机构是否健全。风险管理机构是内部审计工作的基础,企业必须根据自身的规模、管理模式、经营特点以及风险产生等因素,综合分析建立一个由员工参与的风险管理机构,机构体系建设应包括负责人、专业(非专业)管理、风险管理服务等人员,风险管理体系随着企业风险的产生和企业阶段性目标的变化进行调整,明确个岗位职责,整合体系规范化、正规化。
2.风险管理流程是否合理。风险管理的程序直接关系着是否可以有效的发现企业运行中的现在不确定因素,及时进行评估和调整,因此,企业应制定合适的风险管理程序,保证企业运行的健康发展。
3.审查风险预警系统是否健全和有效。风险预警系统是风险管理的重要工具,旨在第一时间发现风险,降低风险程度。所以,企业应建立健全的风险预警系统,根据企业目标分析有可能产生风险的因素,对其进行全面的预测分析,挖掘出有可能出现的风险因素提报给相关部门进行风险规避。风险预警系统应具备整体宏观客观审核的能力,根据企业相关的内外条件和运行变化分析预测出风险的程度和发生时间,并及时进行规避。
(二)企业风险识别
企业风险识别是指对于企业面临或可能面临的风险进行一个评估判断的过程,鉴定风险的性质及过程。风险识别系统应制定必要的识别程序,审计人员识别过程中应注意风险的特征特点、风险的相关数据、风险评估的技术支持能力、成本效益的评估等因素。
(三)风险评估原则
审计人员在进行企业内部审计过程中应遵循一定的评估原则:
(1)定向评估的应用必须经过多方部门的确定和分析,客观的进行分析和判断;
(2)在风险无法进行量化或者数据无法支撑提取时应选用定性方法;
(3)定量方法的风险评估结果一般较定性方法更具有客观性;(作者单位:一汽铸造有限公司财务控制部)
