浅析内部审计参与企业风险管理的途径
企业处于市场、金融与国际经济积极接轨的大背景下,它作为市场竞争的主体,为防范可能发生的风险,损失和风险发生以后如何采取补救措施,其经营管理者比以往任何时候都更加重视。积极有效地识别、衡量和评价企业面临的风险以及可能潜在和发生的重大风险,为企业开发和实施对企业最有效的风险解决方案,成为高层领导者管理经营企业活动中的重要内容。内部审计部门作为企业中一个相对特殊的职能部门,它具有较为独立的地位,其根本目的是提高组织的价值以及改善组织的经营效率,可以说内部审计人员是企业的管理顾问。因此,内部审计部门及其人员参与企业的风险管理将成为内部需求的必然。
《内部审计实务标准》在定义内部审计时提出:内部审计,是一种独立,客观的保证和咨询活动,同时国际内部审计师协会则有以下明确的定义:“内部审计是一项独立的,客观的保证和咨询活动,其目的是增加组织的价值,提高组织的运作效率。”可见,内部审计采用系统化,规范化的方法渗透整个企业的经营管理过程,从而去了解并掌握具体情况。通过定期调查,分析,评估和预测,评估和完善风险管理,控制和治理程序,明确问题产生的原因或未来影响,对风险管理,控制、及治理程序进行评估和改善,向企业的管理层和董事会提供客观的保证,为组织增加价值并提高组织的运作效率。也就是说,内部审计作为风险管理体系的组成部分,凭借自身的风险管理积极探索,监督着企业整个风险管理系统有效管理,其建议更加强调风险的规避,转移和控制,进一步完善组织有效性和效率的整体管理,从而实现企业的可持续发展。
二、内部审计参与企业风险管理的途径
1.评估企业的内部环境
企业的内部环境,也称为企业的内部条件,是指企业的物质基础、文化环境的总和,物质基础主要包括企业资源、企业能力,文化环境主要指企业文化等因素。内部审计在对企业风险管理时,需要对内部环境加以评估,考虑内部环境所带来的经营风险。其评估内容包括以下三个方面:第一,企业高层管理人员知识、经验是否符合企业发展。如,管理人员的管理理念是否制定不合理决策;管理人员的知识结构是否落后于企业发展要求;对管理层人员现有的经验及知识加以培训与否;企业最高管理层尤其是董事会的的独立性、质疑能力,查看是否存在责任划分不清、对风险的敏感度等。均是内部审计的评估内容。第二:企业文化是否符合企业目标。企业文化集中体现出企业基本的价值观念、生活方式等,是企业行为方式等的总和。内部审计人员在评估企业文化环境时,重点在于对企业文化类型、企业文化与企业目标是否相一致、企业内部员工价值观与人生观等进行综合评估。第三,企业风险偏好是否符合企业战略目标。管理决策层在开发制定企业战略目标时,通常需要将既定收益与企业的风险偏好有效结合起来。风险偏好,是指企业在追求价值的过程中普遍愿意接受的风险量。企业管理层的风险偏好直接关系着企业营销、财务、控制及其组织能力。内部审计人员可以利用简单的定性方法,如确定风险类别或者采用复杂的经济资本及收益波动量化模型的方法,从企业文化、企业目标等方面对企业风险偏好进行评估,从而查看其是否与企业战略目标相一致。
2.参与企业建立风险管理的过程
内部审计人员根据企业的具体位置,熟悉公司业务,长期以业内各行业的生产经营情况,通过详细的预审调查了解具体情况,收集了大量的第一手资料,在企业董事会及高层管理人员共同决定企业目标、商业模式、战略经营流程等这些具体目标时,他们对所面临的风险类型并对企业的影响更加了解,并根据风险大小对审计资源进行合理有效地配置、选择合适的审计对象、确定审计范围和审计报告内容,并与业务管理人员一道创建风险评估模型、识别组织风险信息,并以此为基础展开审计。
3.参与风险管理方案的可行性论证
对风险事件进行周密、详细的鉴别是整个企业风险管理的一个重要基础。鉴别风险事件是要求风险管理人员对大量可靠信息进行调查分析,企业的存在以及潜在的可能和可能的风险因素有明确的认识。
风险管理方案的可行性主要体现在风险识别更全面,风险等级分类合理等方面。内部审计人员需要充分了解企业确定的战略目标,检查相关单位的风险识别,并对此进行全面详细的评估,并提出切实可行的意见和建议,根据数据分析确定当前的业务风险管理流程是有效的。?炔可蠹迫嗽毙枰?根据研究的企业经营战略,来确定相关单位识别的风险情况进行鉴别。
4.对企业采取的风险应对措施的建议
风险得到企业认可和评估后,内部审计人员需要采取风险缓解措施,提出建议和相应的解决方案,力求将风险降至企业能够承受的水平。处理风险的措施一般有处理,规避,转移以及接受风险四种方式。
(1)风险处理是指企业接受这一风险管理策略,通过寻找因素来分析引起的一切风险,并从这些因素中确定风险事故的根本原因,有针对性的采取积极有效的措施来降低风险造成的损失,从而达到风险控制的目标。内部审计人员要分析企业内部对风险的控制设计是否健全,并对内部控制在执行时是否有效进行评价。
(2)风险规避
当确定企业经营战略,开展某一项经济活动时,内部人员在对企业可能存在的风险进行识别后,其风险发生的概率非常高,在风险发生时可给企业造成相当大的损失,或者在企业采取其他的风险处理方式,而成本又远远大于效益时,企业就会采取回避风险的措施,这种措施便是风险规避方式。
(3)风险转移
企业不能使用控制或有效降低其出现的可能性,即使发生风险,也不能有效地降低损失程度,企业通过签订协议或者合同的方式将可能损失的财务以及将要承担的法律责任转嫁给其他的单位或个人,或以转让商业风险的形式使用商业保险,这就是所谓的风险转移。
(4)风险接受
风险接受是保留的风险,公司财务环境的风险接受程度以及决策造成的可能损害。内部审计人员评估风险处理成本是否高于风险成本,风险企业是否完全有能力承担责任,而造成的后果不是非常严重,处理这种风险是否缺乏技术知识风险,从而对企业管理人员接受风险的合理性判断。
5.对风险跟踪管理
内部审计部门对各职能部门审计后,向企业领导提交审计报告,对审计程序,审计中遇到的问题以及采取的措施进行详细的阐述,并对有关事项做出特别报告,提出改进建议,提醒管理人员注意采取有效措施。同时,根据管理层的需要,丰富报告内容,按照管理层的反馈意见及时调整审核方向和方法。对可能性很大,造成严重后果或潜在问题的风险项目进行后续审计,审查有关部门和相关环节是否得到认真纠正,跟踪管理改正后的效果,如果效果不理想,就要及时查明原因,尽快解决。
