|
|
| SRC-1284 (执笔人:文重萍) 2006年10月11日 |
|
 |
| |
关键词:内部审计 企业风险管理
摘 要:随着经济全球化的不断发展和我国经济的快速增长,现代企业面临的市场环境更加复杂,面临的各种风险与日俱增。这为内部审计的发展既带来了机遇,也提出了挑战。面对新的形势,内部审计怎么办?首先要增强风险意识,充分认识风险的特点。其次要发挥内部审计优势,积极参与风险管理。第三,要正确认识内部审计在风险管理中的责任和作用。第四,要客观评价内部审计参与风险管理带来的深远影响。
中国经济持续快速增长令世界惊叹和瞩目的同时,中国的企业一面享受了经济增长的成果,一面也在悄然迎接着日渐增多的风险考验。尤其一些大型企业的管理高层面对企业快速扩张的势头,面对多变的市场环境和繁重的经营管理问题,深深感到企业面临的各种风险也在与日俱增,并不约而同地强烈关注和呼吁要加强现代企业的风险管理。面对企业急需加强的风险管理,内部审计应该如何认识企业风险,积极参与风险管理,利用内审的优势,在企业风险管理中发挥独特的作用,这是内部审计不能回避的重大问题。因此,只有正确认识和认真解决这些问题,内部审计才能与时俱进,把握主动,在企业风险管理中发挥应有的作用,使其在新的形势下得到进一步的发展。
一、增强风险意识,充分认识现代企业的风险特点
中国企业在摆脱了传统计划经济束缚,走向现代公司治理方向的过程中,也开始学会了在社会主义市场经济的大海中畅泳;随着经济的全球化发展,许多企业及其业务在向国际化推进,企业面临的经营环境自然也染上了浓重的国际色彩。企业在获得自主经营相对自由的同时,也不得不面临各种经营和管理风险。正所谓:“树欲静而风不止”,企业风险是无时不在,无处不在的,市场化程度越高,企业风险的表现和影响就越普遍。过去企业经营管理中并不是没有风险,而是风险被上级甚至国家承担了;现在,风险则要企业自己承担,要经营者和员工承担,痛苦与快乐都在企业自己身上体现。因此,现代企业风险管理便成为现代企业管理科学的新篇章,并逐渐成为企业管理者的口头禅。
企业风险是影响企业目标实现,可能为企业带来损失甚至生存危机的各种不确定因素和潜在可能。内部审计应当增强风险意识,充分认识现代企业面临的风险特点。企业的风险从不同角度看,会有多种不同的分类。
从企业风险因素的来源看,可以划分为外部风险和内部风险。企业经营所处的外部环境中存在许多变动因素,如国家的法律、政策变动,市场供求关系变动,竞争对手实力和竞争策略变动,科学技术创新变革影响产品更新和替代以及突发的天灾人祸等等都可能对企业的行业地位、赢利能力和既定目标产生不利影响,这就构成了企业的外部风险。在企业内部管理中,人、财、物、技术等生产经营要素资源是否足够及得到合理配置,业务流程、信息系统是否顺畅并达到节约成本、提高效率等既定的管理目标,管理人员的价值取向、岗位职责、激励机制和团队精神是否配合适应企业的发展目标等等,这些内部管理如果无章可循、管理混乱或者存在漏洞,执行力不够或管理不协调都可能构成企业的内部风险。
从企业风险内容的表现形式看,现代企业面临的主要风险通常表现为:市场经营风险、投资风险、财务风险、管理风险、技术风险、法律风险等等。
(一)经营风险。此类风险因素的来源既有外部也有内部,但核心是看企业的产品是否持续畅销。企业不管是提供物质产品还是服务产品,只要存在产品滞销积压,业务缩减或中断,市场的主导地位不稳、市场份额减少等都可能构成企业的市场经营风险。导致这种风险的因素除外部政策法规、供求关系、竞争格局等变化外,企业产品的质量,是否适销对路,是否具有先发优势等等也是至关重要的。
(二)投资风险。不少企业由于没有建立科学民主的投资决策机制,盲目投资带来惨痛损失甚至造成企业重大危机的教训是深刻的。不管是核心业务的扩张性投资还是跨行业的多元化投资都存在不同的风险,企业要走核心产业战略发展的道路,都要有所为有所不为,对高风险投资和不符合本企业发展战略的投资一定要有制度限制。因此,投资方向的风险也可以称为战略风险。缺乏投资方向、投资权限的限制就是导致投资风险的最大隐患。
(三)财务风险。这是体现在企业市场经营管理许多方面的一类普遍性、经常性风险。从资金存放、使用角度看,如果没有严格的资金管理制度,资金的安全性就存在风险,许多大企业把“资金集中统一管理”这一制度放在重要地位,不仅减少了资金占用,也使资金运行得到监控,防范了资金使用的风险;从资金的流动性和企业债务规模、结构看,如果没有良好的现金流,企业债务负担重,长短期债务结构不合理,企业的偿债能力就会出现问题,债务风险就会加剧;从企业收入实现角度看,主营业务收入是否能短期、连续地以现金体现,同企业实现真正的效益密切相关,如果应收款存在的坏帐风险不能有效控制,就很可能使企业辛苦赚得的利润消失。
(四)管理风险。在企业管理的各个环节中,如何建立完善的内部控制系统,处理好部门之间、部门与生产经营一线之间、总部与各层级分支机构之间的关系,健全岗位责任制和考核激励机制,是提高效率、协调管理、减少差错的有效保证。管理过程是系统的,长抓不懈的管控过程,内控制度的健全和有效执行是防范管理风险的基本功。
(五)技术风险。现代企业处于科技日新月异的时代。许多企业在产品科研开发方面投入了巨大的人力、财力和物力,但是否做到产品科研开发方向正确,科研技术成果很快转化为产品生产力,技术成果严格保密和避免不适时机的转让,不仅关系到巨大科研技术投入的及时回报,也关系到企业科技成果的经济寿命和企业的可持续发展。
(六)法律风险。现代企业在法制社会环境下,生产经营不可避免会和各方面法律法规发生联系,跨国经营的企业还会和其他国家、经济体等国际法律、法规发生联系。缺乏法律意识,企业法制建设基础工作薄弱,依法经营观念不强,追求“擦边球”效益,这是当前许多企业的通病。这些法律风险,不仅容易使企业经营触犯法律法规遭遇执法机构惩处,而且与贸易伙伴纠纷频生、官司缠身,出现问题也不善于用法律手段保护自己权益,严重的诉讼赔偿甚至可能把企业拖入破产的深渊。
综上所述,凡此种种企业风险形式都应当引起人们的重视和研究。企业风险并不可怕,它是客观存在的,是与办企业与生俱来的。可怕的是对企业风险一无所知和视而不见,那样风险就会转化为可见的损失和危机,它不仅使既定的企业发展目标无法实现,严重的还会使企业陷入生存困境。
面对现代企业急需加强风险管理的形势,内部审计人员必须增强风险意识,充分认识现代企业风险特点,提高对企业风险的识别能力,这是内部审计参与现代企业风险管理的基础和前提。若对现代企业风险缺乏足够的认识,就会在企业风险管理中袖手旁观或无能为力。只有在充分认识现代企业风险特点的基础上才能进一步评估风险,研究风险防范的措施,进行正确的管理和化解风险。内部审计只有对现代企业风险具有足够认识,才能有的放失、恰如其分地尽到自己在现代企业风险管理中的责任,发挥在风险管理方面的应有作用。
二、发挥内部审计优势,积极参与企业风险管理
内部审计在企业管理中的职能和地位是独特的,是其他企业职能部门无法取代的,也是外部审计机构难以替换的。内部审计应该充分发挥这种独特的优势,积极参与企业风险管理。内部审计在参与企业风险管理中的优势可以归纳为以下三个方面:
(一)内部审计参与企业风险管理的独立性优势
内部审计不参与企业的生产经营业务的具体管理,这包括不代替业务管理部门制定具体管理制度,不参与各种业务活动的具体操作,因此也不对各项业务管理中的问题承担直接责任,这种相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础,尤其对其他部门和下属企业而言可以保持具有重要影响力的独立权威。相比之下,某个直接负责经营运作的业务部门或企业由于自身业绩和责任的影响,对风险的反映和处置会更多站在自身角度考虑而缺乏及时性和客观性。
(二)内部审计参与企业风险管理的综合性优势
内部审计在企业管理中是一个综合性的部门,审计的范围覆盖各级企业和企业的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,许多风险也会相互影响和传递,风险管理因此需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计同直接、单一的业务部门相比更具有从全局考虑分析判断风险的综合性优势。内部审计对企业风险管理进行的系统性、专业性监督检查和评价,会权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位,这也是其他部门难以做到的。
(三)内部审计参与风险管理的连续性优势
内部审计部门和内部审计人员长期在企业内部工作,对企业面临的风险更了解,对风险的各种影响因素更便于做深入的调查,而且对企业风险的转化影响,风险管理措施效果更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。相比之下,有的外部审计或咨询机构可能在独立性和专业性方面具有一定优势,但是却很难像内部审计一样对企业风险进行连续性关注,他们只能阶段性地按约定范围提出咨询意见,而且咨询成本也往往大大高于内部审计。另外,内部审计人员作为企业员工,由于最终利益的相关性,也会对企业风险管理的效果和建立风险管理的长效机制更有责任感。风险管理搞不好,为企业带来重大损失,影响企业目标的实现,最终也会损害内部审计人员的切身利益,这自然是内部审计人员不愿意看到的结果。
内部审计如何积极参与企业风险管理?其主要途径和方法是什么?归纳起来可以是二个方面:一方面是在现有各类审计中发现和反映企业存在的风险,促进企业采取措施进行风险管理;另一方面是对企业的风险管理体制、机制进行监督检查,提出改进意见。
第一、在现有审计中参与企业风险管理
企业风险存在于企业经营管理的各个方面,很难想象能够在一次审计中对企业面临的各种风险进行全面的检查和评价。比较切实可行的是在每一次审计的特定范围内,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制风险。例如,我们经常进行的经济责任审计,经营管理者任期内发生的重大投资、融资活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定完全在任期内体现,对此内部审计就应进行必要的风险评价,一方面划清前后任期的经济责任,一方面帮助企业及时采取措施防患未然。
第二、 企业风险管理体制、机制的监督检查
当企业建立了风险管理的体制、机制,相关的规章制度是否有效执行,是需要进行监督检查的。失去监督检查,风险管理的制度就很难行之有效。这种对企业风险管理的再监督或再管理,正是内部审计参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,看预防风险的各项工作是否到位,看降低风险的有关措施是否有效,评价风险的变化程度,对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,比如风险管理中的责任不清、部门间协调不够,风险防范的资源不足等等,即使是亡羊补牢,总结经验教训也是有意义的。
当前,由于我国企业内部审计的独立地位还不足够,权威性还不高,内部审计参与风险管理的范围和作用还存在一定局限。比如对投资决策的风险管理,对本企业某些环节的风险管理,内部审计的参与程度还比较低。同时由于内部审计参与企业风险管理是一个崭新课题,尤其是要掌握科学系统的企业风险评价方法,还需要内部审计人员从头学习。只有大大提高内部审计人员参与企业风险管理的专业素质,内部审计的特有优势才能充分发挥。这些内部审计参与企业风险管理的局限和不足,内部审计应有足够清醒的认识,并通过完善公司治理结构,增强内部审计独立性和提高审计队伍素质不断改进。
三、内部审计在企业风险管理中的主要责任和作用
现代企业风险管理贯穿在企业生产经营的全过程,渗透到企业的各个部门各个环节。内部审计作为现代企业的重要管理部门之一,对企业的风险管理也承担着重要的责任。国家审计署在2003年5月修订生效的《审计署关于内部审计工作的规定》中对内部审计的基本职责作出明确规定,其中就包括“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审”。国际内部审计师协会也在关于内部审计的新定义中明确:“内部审计是一种旨在增值和改善机构运营状况的独立的、客观的保证和咨询活动。它通过引入系统化、严谨方法来评价和改善风险管理、控制和治理程序,帮助所在机构实现其目标。”这些规定和定义,可以看作内部审计在现代企业风险管理中所负责任的制度依据。根据内部审计的职责和监督服务的基本功能,内部审计在企业风险管理中应担负以下具体责任:
(一)在企业风险管理中担负监督、评价责任
监督、评价是内部审计的一项基本职责,也是内部审计传统的看家本领。企业风险管理过程也存在监督、评价职责,而且监督、评价是风险管理的起始和基础。要管理风险,必先识别风险。企业的风险在哪里,形成风险的相关因素有哪些?内部审计在履行风险管理监督责任时,首先要学会分析判断企业风险所在,在准确识别风险的基础上,要坚持原则,勇于发现反映企业存在的风险,切实体现监督责任,因为许多企业的风险是同各级管理人员甚至领导人员的工作缺陷分不开的。企业风险管理中的监督和风险管理中的各项处置与承受也需要在不同的职能部门间分开,才能使风险得到充分的反映。因此内部审计往往成为体现企业风险管理监督责任的主要部门。
企业风险在识别的基础上需要进一步评价。内部审计应当掌握企业风险评价的系统方法,对企业风险形成因素、影响后果、发生频率、损失程度等等作出分析,根据不同的指标对企业的风险级次进行排序,为进一步的风险处置提供决策基础。这里值得强调的是,内部审计要承担好风险评价责任,必须具备专业的系统化严谨评价方法,而不是简单的主观经验判断。无疑这对许多内部审计机构来讲仍然是一个薄弱的环节,需要相应的专业人才配备和学习培训,才能担负起风险评价的责任。
(二)在企业风险管理中担负咨询服务责任
咨询服务是现代企业内部审计体现创新和大力发展的新的功能,也是现代内部审计新型的重要责任。企业风险管理最终的目的是要对风险的相关因素采取措施,规避风险,化解和转移风险,或权衡利弊分担和降低风险损失的影响。内部审计应当对企业风险管理需要采取的措施提出建议,尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见。咨询服务是企业环境变化给内部审计带来增加价值的极好机会,是内部审计提升地位和作用的崭新平台,而风险管理正是提供咨询服务最多机会的重要管理活动。内部审计应抓住这个机遇,作到急企业所急,想企业所想,积极主动地在风险管理中开展帮助、促进健全管理活动,才能履行好咨询服务责任。
内部审计要在企业风险管理中尽其责任,是必须通过内部审计的具体工作来体现的,通过涉及风险管理的有关审计活动发挥其作用。因此责任与作用是相辅相成的,那么,内部审计可以在企业风险管理中发挥什么作用呢?
第一、在风险识别、评价中发挥预警作用
风险是尚未显现不利后果的某种可能。这种潜在的可能是在相关不利因素作用下可能出现的结果。因此,识别和抓住相关不利因素是分析判断风险是否存在的基本条件。例如判断是否存在投资风险,应对投资决策程序是否遵循规定的程序、是否符合企业发展战略、是否具备必要的投资管理能力等方面进行检查,如果投资风险相关因素存在缺陷,即使该项投资目前有盈利,那也应当作投资风险看待。如分析应收款管理的风险,应当检查企业在客户资信调查、应收款帐期管理、应收款对帐、催收责任、应收款考核奖惩机制等方面是否健全,不能等到应收款已经形成坏帐才去反映处理。内部审计应在各种审计中善于发现可能形成风险的不利因素苗头,及时进行评价和反映,才能起到在风险识别评价中的预警作用。
第二、在风险防范处置中发挥参谋作用
化解和降低风险同样应从消除风险根源入手,内部审计要在风险防范处置中发挥参谋作用,应根据各种风险的根源条件及其相互作用进行分析,寻找消除风险根源的可能途径。有的外部风险根源是企业无法避开和影响的,如国家政策的变化,市场因素的变化,企业只能调整自己的生产经营策略减轻外部风险的影响。但是许多企业内部的风险根源则是可以通过改善管理而消除的,这也是内部审计发挥更多参谋作用的用武之地。内部审计在许多专项管理审计中,在内部控制系统评审活动中,都应根据发现的管理薄弱环节,对制度性、执行力缺陷提出改进意见,改善企业的管理,保证企业目标的实现。
第三、在风险管理机制建设中发挥整合作用
现代企业面临的风险存在广泛性、经常性、持续性特点,企业的风险管理不应被动地对突发性风险进行应对,而应建立经常性的风险管理机制,使风险管理贯穿在企业生产经营各个环节,渗透到企业的各个角落。内部审计利用自己的工作特点正可以在建立企业风险管理体系和管理机制方面发挥整合作用。企业的各种风险可能会相互影响传递。例如企业的产品质量出现问题,可能会造成存货积压,存货积压会影响资金周转,企业现金流困难会影响偿债能力,出现信用危机等等连锁反应。由于内部审计的工作范围涉及面广,掌握的信息资源相对全面,加上风险管理中需要各部门各方面协调配合的工作,因此更适宜内部审计综合各自专长提出风险管理的协同性建议。内部审计还应当利用自己积累的各方面风险管理经验,促进企业健全风险管理制度,完善风险管理机制。
内部审计在企业风险管理中发挥作用也不能包打天下,包揽一切,而应当有所为,有所不为。风险管理中真正采取措施处置风险、承受风险的还是直接相关的生产业务管理部门。内部审计应在风险处置的决策和实施中保持相对独立,在内部审计特定的责任范围内发挥作用。
四、内部审计参与风险管理的深远影响
内部审计参与企业风险管理,是由企业经营管理环境变化和对内部审计的需求变化决定的。对内部审计而言,选择积极参与企业风险管理的方向,也是由于内部审计自身发展的需要,相信这一选择会对内部审计带来深远的影响。
(一)参与风险管理,对拓展内部审计工作范围的影响
内部审计参与企业风险管理必然会突破传统的财务审计范围,向企业管理的各个重要风险存在领域实施审计检查,审计的对象会发生很大变化,会超越财务会计范畴,更多涉及生产经营业务的操作管理。这为内部审计向更高层次、更大范围的发展提供了广阔的舞台。发达国家的企业内部审计已较早涉足企业的风险管理。内部审计参与企业风险管理涉足的宽广范围,使内部审计人员开阔了视野,丰富了知识,对提升内部审计的综合性管理层次具有重要意义。
(二)参与风险管理对提升内部审计工作价值的响
为企业提供增值服务是现代内部审计发展的重要方向之一,而参与企业风险管理就为内部审计实现增值服务创造更多机会。对于一些可以量化的风险,通过审计准确的检查评价,揭示具体的风险并使企业及时采取措施,避免了风险和损失的发生,就可以直接为企业增加价值。对于制度、管理活动中的缺陷可能造成的风险,审计也应发挥建设性作用,帮助改善企业的内控管理系统,这也是一种间接的或难以量化的增值服务。
内部审计切实在参与风险管理中为企业提供有效的帮助,它不仅会受到企业高层管理的重视,而且会得到广大被审计单位的欢迎和支持,内部审计的价值就会得到进一步提升和体现。
(三)参与风险管理对防范内部审计工作风险的影响
风险导向审计方法在现代独立审计业界普遍流行和得到重视,正是因为这种方法可以有效控制审计风险。它以审计风险评估为中心,哪里可能产生较大的审计风险,就在哪里投入较多的审计资源,进行详细的审计检查,使审计结果减少虚假错漏的风险。内部审计参与风险管理也有助于审计在反映问题的方向和准确性方面防范审计风险。因为企业的风险是客观存在的,通过审计如不能准确地反映企业的风险,事后企业的风险暴露造成损失,内部审计也会因失查而承担一定责任,这也是审计的风险所在。再此,企业的风险和审计的风险是密切相关的,关注和化解了企业风险也就减少了审计的风险。
以上我们的讨论,重点围绕了面对现代企业风险管理,内部审计应该持有什么态度,应当做什么和为什么要这样做的问题,并未涉及怎么去做和怎么才能做好的问题。这样考虑是因为我们的内部审计还没有普遍参与到企业风险管理活动中,而许多企业的风险管理也是非常薄弱的。基于这种现实,我们首要的还是应对前面这些问题在内部审计业界引起更加广泛的关注和研究,看到内部审计积极参与企业风险管理的重要性和深远意义,这样才能自觉主动地参与企业风险管理,积极发挥内部审计的独特作用。而怎么去做和怎么才能做好的问题,也只有在内部审计广泛参与企业风险管理的实践中才能水到渠成地得到进一步解决。
|
|
|
 |
|
|
|
