時間:2022-05-24 11:14:34
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了一篇企業風險管理論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
【摘 要】本文以“中航油”事件為引子,分析了國有企業由于體制問題而具有的特定財務風險,得出國有企業財務風險管理是一個全局性、長期性的問題。因此本文從企業文化角度探索了國有企業財務管理的途徑:就是建立國有企業的風險管理文化。
【關鍵詞】國有企業 企業文化 財務風險 風險管理文化
引 言
財務風險是指企業財務成果和財務狀況的風險,有狹義和廣義之分:狹義財務風險是由企業負債引起的,具體是指企業因為借入資金而增加的喪失償債能力的可能和企業利潤(股東權益)的可變性,它與經營風險、資本市場風險一起構成了企業所面臨風險的主體。廣義財務風險是指企業財務系統中客觀存在的,由于各種難以或無法預料、控制的因素作用,使得企業實現的財務收益和預期財務收益發生背離,因而蒙受損失的機會或可能,其中不僅包括由使用財務杠桿帶來的狹義財務風險,還包括信用風險、利率風險、匯率風險和證券投資風險等諸多內容。以上是對財務風險的一般分類。[1] 基于公司成立背景、公司經營目標、公司所處的環境、進入領域、公司領導層的知識結構和素質不同,又使得國有企業面臨著特有的財務風險。雖然這些財務風險最終的表現形式和一般企業的一樣,但是風險成因確是有國有企業的體制問題所引起的。國有企業在歷史的潮流中扮演的角色是國家大工廠的生產車間。隨著經濟發展、改革開放和企業股份制改造的進行,國有企業計劃經濟時代的運營模式不再適合經濟發展的要求:國家以出資者身份干預微觀企業的運行管理,產生了國有股一股獨大和內部人控制的問題,導致公司治理“人治”而非法制;公司高層管理人員受計劃經濟影響,其管理思維和知識結構不能適應市場經濟對其多元化知識的需求;計劃經濟時代國有企業形成的“等、靠、要”思想,使得國有企業管理者不具備風險意識。這些都會給國有企業的帶來一定的財務風險,甚至使得國有企業毀于一旦。2004年11月中航油破產事件就是一個最好的例證。
第一部分:中航油事件案例分析
中航油事件回顧
中航油是中國航空油料集團公司(簡稱“中航油集團”)的海外控股子公司,1993年在新加坡注冊,當時主要從事石油貿易,并爭取到了中航油集團2%的進口權。2000年,中航油進口權增至98%。2001年,中航油在新加坡主板上市,中國航油壟斷進口商的地位牢固確立。中航油自20世紀90年代末開始做油品套期保值業務。6年間,凈資產由1997年的16.8萬美元猛增至2003年的1.28億美元。但就在此期間,其業務范圍逐漸擴大,2003年開始從事石油衍生品場外期權交易,這已經超出保值范圍而進入投機領域,中航油從此身陷險地。2004年第一季度,中航油顯示虧損。當年3月28日,公司賬面虧損580萬美元。就在此時油價一路攀升的情況下,中航油選擇了“展期”方案,繼續賣空待跌,在期權交易中的盤位大增。兩天后,公司公布2003年年報,稱全面贏利3289萬美元,對期貨交易的賬面虧損只字未提。到2004年6月,中航油期權交易的賬面虧損已經達3000萬美元,其仍繼續堅持展期待倉,把所購期權的到期時間全部推至2005年和2006年,同時交易量被進一步放大。10月以后,中航油持有的期權交易總量已達5200萬桶,遠遠超過其每年的實際進口量(約1500萬桶)。此時油價仍在大幅上升,中航油需支付的保證金急劇增加,現金流量很快面臨枯竭。10月10日,中航油賬面虧損達到1.8億美元。這時,中航油才向總部匯報,并請求資金支持。中航油集團于10月21日以籌集資金購買新加坡石油公司股權的名義向一批基金出售其在中航油15%的股份,將所得款項1.08億美元全部貸給中航油補倉。在此次交易中,中航油集團和中航油均未向買家披露上億美元的虧損情況。11月12日,中航油在三季度財務狀況中稱,“公司仍然確信2004年的贏利將超過2003年,從而達到歷史新高”。11月25日,中航油的實際虧損已達3.81億美元。11月29日,中航油被迫關閉的倉位,累計損失已達3.94億美元,正在關閉的剩余倉位預計損失1.6億美元,賬面實際損失和潛虧總計5.54億美元。中航油申請停牌。11月30日,中航油向法院申請債務重組。
中航油財務風險分析
從以上案例介紹以及收集到的“中航油”相關資料,我們可以得出,“中航油”作為國有跨國企業中航油集團的海外控股子公司,其面臨的特殊財務風險包括:
(一)因公司目標執行不力而誘發的財務風險
企業集團的發展戰略是應該基于公司的未來遠景與總體控制能力,考慮企業人員和財力狀況。如果不具備條件盲目擴張,企業進入不太熟悉的行業或從事不了解的業務,不僅起不到預期的增加贏利渠道和分散風險的作用,反而會加大企業的財務風險和經營風險。從1997年起,經歷了兩年虧損和兩年休眠期后的中航油先后進行了兩次戰略轉型:第一次轉型是從一家船務經紀公司重新定位為以航油采購為主的貿易公司,第二次轉型是從一個純貿易型企業發展到以石油實業投資、國際石油貿易和進口航油采購為一體的工貿結合型的實體企業,成為以中國為依托的石油類跨國企業。依此可以看出,中航油集團在海外設立上市公司的初衷是非常明確——取得一個價格相對平穩的國際油價。從陳久霖擔任中航油總裁起,中航油的運作就偏離了這個初衷:中航油從2001年11月在新加坡上市伊始就開始涉足石油期貨。在取得初步成功之后,中航油公司管理層在沒有向董事會報告并取得批準的情況下,無視國家法律法規的規定,擅自將企業戰略目標移位于投機性期貨交易,這種目標設立的隨意性,以及對目標執行的不力,最終將企業陷入驚濤駭浪之中。
(二)因公司組織結構設置不當、內控無效而誘發的財務風險
管理學理論中,組織結構設計的一個原則就是權責對等,職員(包括高層管理人員)被賦予多大的權力就要承擔與權力對等的責任。權責對等的原則使得公司職員在進行某項活動之前,權衡成功得利和失敗責任;在活動進行時,公司職員時刻以所承擔的責任約束自身的行為。另外,組織崗位設計要求執行和監管部門要嚴格區分,不能出現執行、監管集于一身的情況,否則公司的內控制度就會陷入癱瘓狀態,也就談不上在公司運營過程中的事中責任監督和追究。中航油為什么會出現歷時如此之長(幾乎貫穿整個2004年度)、虧損額如此之大(賬面實際損失和潛虧總計5.54億美元)的情況,原因就在于“陳久霖就是中航油”這種現象。雖然中航油上級管理部門有明文規定禁止涉足場外交易,中航油內部也有《風險管理手冊》和《財務手冊》[2],但是這些都不能構成對陳久霖的責任約束,因為中航油集團充當了中航油的資金支持者角色。即使中航油出現了投資重大錯誤、現金嚴重短缺的情況,陳久霖也不會感覺到自己的這種投機行為將造成的嚴重后果以及應承擔的責任。其實早在2000年發生的安然事件中,我們就應該注重內部監控的重要性,安然作為一個在《財富》500強中排名第七的跨國集團公司轟然倒閉,就是因為缺乏實質性的內部監控:安然的董事會及審計委員會采取了不干預監控模式,沒有對安然的管理層實施有效的監督,包括沒有查問他們所采用“投資合伙”的創新的會計方法。中航油集團對中航油的干預也僅僅限于文字報告,不了解中航油在出現賬面虧損到申請破產這段期間的財務狀況,這也是導致虧損持續擴大的重要原因。
(三)因公司缺乏風險意識而誘發的財務風險
國有企業在海外投資面臨的市場環境,是全球性的、不由中國政府監管的金融市場。相比國內的一般企業,國有企業還要考慮所進入市場當地政府的監管風險、進入新投資領域的技術風險、競爭對手的情況和本公司內部人才配備情況。 1、當地監管部門的風險。經營場所的政府對市場運行管制不力而給公司帶來的風險。期交所身處市場第一線,對于期貨市場違規行為的發現和糾正具有得天獨厚的獲得證據和技術方面的優勢,無疑是最富效率的期貨監管組織體系。從巴林銀行在1995年2月破產的事件中不難相像新加坡期交所對衍生品交易的監管不力,而中航油(新加坡)進入新加坡交易所進行場外衍生品交易本來就是交易所很難涉及的投機方式,再加上新加坡期交所監管本身存在的不足,因此中航油一進入新加坡期交所就面臨了很大的風險。 2、交易方式的風險(技術風險)。場外衍生交易與交易場所內的石油期貨交易相比,是一對一的私下交易,交易的過程密不透風,風險要比交易所內大的多,而且在國際上場外衍生品交易幾乎是不受政府監管的。 3、對市場競爭對手認識不夠。企業進入海外交易所進行投資,外國炒家很容易得到企業的交易成本、資金承受能力等商業機密,依此鎖定攻擊對象。中航油對競爭對手以及自身實力的估計都有很大的偏差。事實上,國際競爭對手有意擠壓中資企業。一個明顯的例證就是,日本三井銀行、美國高盛公司等先是給中航油 “放賬”操作期權(即在一定金額范圍內不用收取保證金),后又允許挪移盤位,對挪移盤位的風險也沒有說明。后來等到油價沖到歷史高點時,突然取消放賬、提高保證金比例,逼迫中航油斬倉。在這種極大的外部壓力下,中航油缺乏足夠的保證金支持,從而負債累累。 4、人才風險。國有跨國公司從事海外投資業務,其人員配備要考慮到以下幾個方面:(1)公司職員的中外籍比例。尤其是參與一線操作的職員構成要考慮到中外比例。公司進行跨國投資業務相關的交易成本、資金承受能力等商業機密都暴露在國外投資者眼里。中航油參與交易、掌握最核心機密的關鍵位置交易員仍是外籍人士,面臨著極大的風險;(2)公司職員的知識結構。公司進入不同的領域,所面對的技術和知識結構是不同的,如果公司管理人員缺乏相關的專業知識,就意識不到該領域的特殊風險,更談不上對這些風險進行規避和管理。理論上,看漲期權賣方的虧損風險是無限的,一般作為期權賣方需要很強的風險管理能力與相當強大的資金實力,或者手中正好具有充足的對應資產可以履約;在業界,看漲期權的賣方幾乎都要另外做一筆反向交易,以對沖風險。中航油管理層缺乏起碼的金融衍生品風險管理知識。作為首席執行官的陳久霖,并沒有受過石油衍生品交易方面的正規訓練,也缺乏實際操作經驗,更談不上知悉石油衍生品交易的運作以及背后的博弈之道。參與交易活動的職員亦是如此:有關交易員在初期未經公司管理層書面批準的情況下,擅自操作投機性石油衍生品交易等問題出現后,在討論對策時,該交易員和風險管理委員會對往后挪移倉位須增加交易量,以及在油價持續攀升的情況下,公司必須追加保證金的情況避而不談,以至連連虧損,卻一路沒有斬倉。同時,通過中航油集團輕易通過陳久霖的“內部救助方案”,不難看出中航油集團內部,亦缺乏真正懂得金融衍生品風險管理的人才(3)公司管理人員和職員對風險管理制度的態度 iso9000管理風險原則是:有包括把風險管理責任寫進雇員的崗位說明中的組織結構的書面材料;書面的風險處理程序;有檢查是否按程序辦事,風險是否受到控制的審計。因此,公司的風險管理有效不但要有健全的風險管理制度,更在于制度的實質性執行。從相關資料,我們知道中航油制定了完善的《風險管理手冊》和《財務手冊》,對每位交易員的虧損額都有規定,問題出在中航油的風險管理制度流于形式。從以上導致中航油破產的原因,我們不難看出,不僅公司的目標設定以及執行情況會給國有企業帶來財務風險,而且公司組織結構的設置也是財務風險產生的誘因;不僅是高層領導和風險監管部門的風險態度會影響財務風險的大小,而且一般職員的風險意識也有助于風險的防范;財務風險不是階段性的工作,而是貫穿企業運營的全過程。因此,財務風險管理是企業全局性、長期性的工作。如果企業全體職員能夠長期保持風險的危機感,那么這也就是形成了一種企業文化——風險管理文化,這是企業財務風險管理最理想的狀態。那么,為了能達到這種狀態,我們就要探索構建企業的風險管理文化,借助企業文化將風險意識寓于全體職員,借助企業文化的凝聚力促成企業全體齊心合力抵御風險。以下,我們就來探究如何為企業建立一種文化,并且這種文化以抵御財務風險為目的。
第二部分:構建企業風險管理文化
企業文化是在—定的社會歷史條件下,企業生產經營和管理活動中所創造的具有本企業特色的精神財富和物質形態。它包括文化觀念、價值觀念、企業精神、道德規范、行為準則、歷史傳統、企業制度、文化環境、企業產品等。其中價值觀是企業文化的核心。文化觀念和價值觀念決定了企業精神,企業精神指導企業目標的形成,道德規范和行為準則約束著企業員工沿著目標行動。從管理學角度看,管理主要依賴于兩個最基本的要素:權力和文化。權力作為一種支配資源的力量,依靠的是一種硬性的制度約束,這種約束是一種被動約束。文化則是一種一般性的規范指導能力,它往往是一種理念,一種思維方式。包括在這種理念指導下的行為習慣。對企業職工素質的培養和良好的職業道德的形成具有潛移默化的巨大作用。文化的約束是一種發自內心的認同。因此只有將風險管理依托于一種文化,才能將約束變為自覺。
(一)塑造企業風險管理文化的象征物
卓越的企業文化是卓越企業家的人格化。卓越的企業文化是企業家德才、創新精神、事業心、責任感的綜合反映。因為優秀的企業文化不是自發產生的,而是企業家在長期實踐活動中形成的。企業家從本企業的特點出發,以自己的企業哲學、理想、價值觀、倫理觀和風格融合成企業的宗旨、企業價值觀,逐漸被廣大員工所認同、遵守、發展和完善。企業家不是投機商,而應該是一個大膽創新、敢于冒險、注重積累的開拓型人才。企業家精神及企業家的形象是企業風險管理文化的一面鏡子,企業家在風險管理方面的身體力行是員工日常風險管理的一面旗幟。卓越的企業家為了挑戰未來,必須時時提高警覺.企業家建立企業風險管理文化必須注意以下三個方面:(1)重視員工的參與,提高員工的參與意識。員工是風險管理實踐的操作員,沒有員工參與的風險管理只是紙上談兵;(2)產生先見之明。企業家和高層主管必須發掘和利用整個企業的各種意見和合理化建議,借此來建立對未來的共識和認同,以此來形成卓越的企業文化;(3)重視速度。在現今的經濟環境下,質量、時間、成本是企業獲得并保持競爭優勢的重要法寶,企業的文化也要隨著環境的變化做快速的改善甚至是轉變,使得企業文化與經濟發展的要求趨同。另外,企業的風險管理文化不僅要求企業家自身具有風險意識和風險管理專門知識,還要求在高層管理人員的聘用中考慮其知識結構和人員構成,還要考察其風險管理的態度。
(二)建立風險管理高級管理班子
企業家作為企業文化的象征物,也是企業文化的最初載體。以企業家為代表的企業風險管理文化要靠高級管理職員分解,要靠高級管理職員向職員詮釋,要帶領著企業職員將之付諸行動,引導職員如何體現企業風險管理文化,收集職員對該文化的感受,對職員偏離該文化的行為糾偏,激發職員為改善企業風險管理文化出謀劃策,該文化對企業風險管理的貢獻也要靠高級管理職員來總結:如果說企業家是企業風險管理文化的締造者,那么高級管理職員就是企業風險管理文化推行的士卒,而職員是企業風險管理文化得以存在和發展的土壤。 (三)構建風險管理文化的組織結構
如果—個企業的組織結構能夠使每個人對實現企業目標有所貢獻,那么這樣的組織結構就是有效的。同理,如果一個企業的企業文化能夠使每個人對實現企業目標有所貢獻,那么這樣的企業文化也是有效的。如果一個企業的組織結構能使不必要的后果與代價降至最低,以幫助企業實現目標,則這樣的組織結構是有效的。同理,如果一個企業的企業文化能使不必要的后果與代價降至最低,以幫助企業實現目標,則這樣的企業文化也是有效的。在組織結構中,為建立靈活性而制定的規定越多.組織結構就可能恰當地實現它的目的。在每一組織結構內,必須建立能預料變革并能作出反應的措施和方法。每一企業都是在變化中的內、外部環境中向自己的目標邁進的。如果—個企業變得僵化,而這種僵化不管是否會成為變革的阻力.程序過于復雜的或部門之司的界限過于固定不變,則該企業就沒有能力去迎接經濟、技術、政治和社會變化的挑戰。構建企業風險管理文化,不但要注意企業內控部門的設置,而且要注重各部門承擔相應的風險;在崗位設計上首先要有風險責任的規定,而后才能賦予其權力,做到權責對等;同時還有注意企業組織結構因風險變動而靈活變動的適應性。 (四)風險管理文化注意力集中在市場
市場是企業財務風險的來源,也是企業風險最終暴露的場所。企業必須制訂一些日常條例來不斷提醒自己。企業風險管理部門必須把時間花在外面,花在市場上:監測市場的波動以及時預測財務風險發生的可能性;分析市場以找到分散財務風險的途徑;跟蹤市場發展趨勢以估計企業財務風險損失的發展態勢;權衡企業財力和風險造成的最大損失額度。市場的風險產生是單個企業不能控制的,企業對市場的研究是決定企業是否進入風險領域,或者是已經置身于風險之中時,是保持謹慎態度繼續拼搏還是果斷退出。就中航油事件而言,如果中航油在出現虧損到最終破產這一階段的任一時刻,退出石油期權場外交易,都不會釀成5.54億美元的巨虧,更不會遭致破產。 (五)風險管理文化要有金融上的遠見
企業能夠持續經營,最重要的是現金,而不是賬面上的利潤。財務風險最終的表現都是資不抵債,償還債務只能是企業的現金或者能轉換成現金的財產物資(服務),因此利潤只是虛數。企業如果缺乏現金,就會產生金融上的危機,克服金融危機要付出很大的代價。風險管理文化在金融上的遠見,要求企業量“存”為出。強大的資金后盾不是抵御財務風險的盾牌:風險來源于市場眾多的原因,風險是無限的,但是現金卻是有限的。對于特定企業來說,現金永遠也不能填補因風險產生的“無底洞”。中航油集團給中航油的1.08億美元的貸款未能緩解中航油的財務危機,同樣,即使再給陳久霖提供“5億美元”[3],也改變不了中航油破產的局面。
結束語:
國有跨國企業由于體制上的原因使其存在與一般企業不同的財務風險:計劃經濟時期形成的“等、靠、要”思想使得國有跨國企業沒有風險管理的意識;行政上的審批制使得國有企業的風險管理制度流于形式;沿用國有企業改制前的高層管理人員使得國有企業缺乏具備現代金融和風險管理專門技術知識的人才。因此,構建國有跨國企業的財務風險管理不是某個部門就能達到的,也不是某個領導人就能解決的,更不是在特定的時間范圍內就能建立的,當然,依靠引進先進的監控系統[4]來抵御風險也是不現實的。只有建立企業的財務風險管理文化,以企業家的風險管理精神為指導,配合高層管理人員對風險管理文化的執行和組織結構的靈活應變,輔之現代化的風險監控系統,將財務風險管理融入全體職員的意識,滲透到員工的日常經營活動中,才能形成對企業全局的財務風險抵御的盾牌,才能長期減少或規避企業的財務風險損失。
[摘要] 企業風險管理理論是一種全新的管理理念。在我國,它已經通過行政法規的形式由企業監管當局首先在中央企業加以推行。近三年來的實踐表明,在理論轉化為現實生產力、競爭力的過程中,仍有大量的本土化工作要做。
[關鍵詞] 企業風險管理理論 中央企業 本土化
本世紀初以來,以不確定性為基本研究對象的企業風險管理(enterprise risk management,erm)理論逐漸進入我國實業界和研究者的視野。2006年6月,國務院國有資產監督管理委員會頒布實施了《中央企業全面風險管理指引》(下稱《指引》),該《指引》的頒行,可以看成是企業風險管理理論在我國大規模本土化的開始。
一、企業風險管理理論概要及在我國的規范化實施
1.企業風險管理(erm)理論的一般框架。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(committee of sponsoring organizations of the treadway commission,coso)在2004年9月提出的,標志文書是《企業風險管理——整合框架》(enterprise risk management integrated framework,下稱《整合框架》),這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。coso認為,企業風險管理是經由企業當局廣泛參與,對企業面臨的不確定性進行多要點掌控,以實現組織目標的過程。
《整合框架》提出了企業風險管理的8個核心要素,即,目標設定、內部環境、事件識別、風險評估、風險回應、信息溝通、控制活動和持續監督,這8個要素組成了一個有機體系。企業風險管理有4個目標,即,戰略目標、經營目標、報告目標和合規目標。理想的erm框架是通過對不確定性的管理增加股東價值,以共同的語言和要素安排,落實企業的上述4項目標。企業風險管理的要素與目標之間是一種緊密的支持與保證關系。
2.企業風險管理在我國中央企業的初步實踐。在《整合框架》的背景下,2006年6月國資委根據《中a華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規,制定頒布了《中央企業全面風險管理指引》,對中央企業實施風險管理的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等進行了系統規范,成為中央企業風險管理的權威指導文書。之后,一些省市區也出臺了很多相關文件,對《指引》的實際操作進行具體化?!吨敢匪Q企業風險,包括純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等。
《指引》對企業風險管理的目標、流程描述,與《整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段,分別對應著《整合框架》中的企業風險管理8大基本要素。
二、企業風險管理理論本土化過程中應注意的問題
1.找到切合實際的本土化切入點
一方面,通過對《指引》的解讀可知,與國資委以往出臺的文件有很大不同是,過去國資委頒行的大多數文件都是在對企業大量實踐經驗進行分析總結的基礎之上形成的,是一個從實踐到理論,再從理論回到實踐的過程。而《指引》則正好相反,它來自于成熟的理論,而且主要是國外的成熟理論,先于國內企業的管理實踐。另一方面,每一個中央企業都有其特殊的行業特點、既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等,這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高騖遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。
2.建立起具有可操作組織規范
企業風險管理理論和《指引》都是針對企業所面臨的時時處處都存在的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式。它要求企業圍繞總體經營目標,通過在企業各個管理環節和經營過程中執行風險管理的基本流程,營造風險管理的氛圍,建設風險管理體系,等等??梢姡瑹o論企業風險管理理論還是《指引》,都沒有為中央企業的現實經營管理給出一個具體的、可以搬來即用的藥方,所以,將企業風險管理理論和《指引》具體化為每一個中央企業中看得見、摸得著的具體組織結構和規章制度,是當前我國中央企業需要下大力氣去做的事情。
3.培育良好的氣氛和合格主體
一般講,一個良好的適合于特定企業的erm氛圍,應該至少包括以下幾個方面內容:一是將企業的風險偏好與企業戰略有機聯系;二是能夠保證企業的風險管理戰略、企業的發展戰略與企業的股東價值保持一致;三是可以提供鑒別和評估風險的工具,并有強大的企業輿論支持這些工具使用;四是企業各層面有統一的風險語言,和暢通的溝通管道。任何一個erm框架都是在一定的氛圍中由具體的企業成員最終實施的,沒有良好的企業風險管理氛圍,得不到企業各層面人員的支持,再好的企業風險管理框架和《指引》都會流于口號和形式。
[摘要] 隨著經濟的快速發展,企業在壯大的過程中,逐漸面對了越來越多的風險,建立風險管理體系的重要性和緊迫性逐步突顯出來。本文介紹了風險管理的理論與方法研究,并對風險管理的內涵及過程進行了闡述,指出建立風險管理體系將有助于提升企業風險管理水平,從而創造更好的經濟效益。
[關鍵詞] 風險 風險管理 安全生產
一、引言
20世紀80年代中期,自改革開放、實行市場經濟體制以來,國外各種介紹風險管理的理論與書籍被介紹到中國,風險管理的課程已經逐步在走進大學課堂。風險管理教學、研究和應用開始起步,企業經營領域的風險管理專著開始面世,在許多大型工程的建設過程中,也已開始應用風險分析的理論,風險管理研究已成為管理學科研究領域中重要的課題。
風險管理力求把風險導致的各種不利后果減少到最低程度,使之正好符合有關方在時間和質量方面的要求。一方面,風險管理能促進決策的科學化、合理化、減少決策的風險性;另一方面,風險管理的實施可以使生產活動中面臨的風險損失降至最低。
目前我國大部分企業沒有專門的人員或機構進行企業風險管理活動,每個人或部門往往只針對自己工作中的風險獨立地采取一定對策,缺乏系統性、全局性。企業中的風險管理基本上是一種被動式管理;企業中風險管理活動往往是間斷性的,缺乏系統、科學的風險管理理論方法指導。
構建企業風險管理體系,是在對相關信息采集的基礎上,分析可能導致生產活動中出現風險的根源性因素,通過定性與定量相結合的方法發現企業各生產環節管理與運作過程中的潛在風險。充分重視企業風險管理,建立風險管理體系,并對風險分析的理論方法進行全面、深入、細致的研究,將對成功實現企業目標,達到資源的優化配置起到重要的理論指導作用。
二、風險管理的內涵
1.風險的含義
風險和危險是不同的,風險包含著一種不確定性,每個結果的概率是可知或可以估計的,而危險則只意味著一種不好的預兆。因此,有時雖然有危險存在,但不一定要冒此風險,我們要想方設法去改變風險發生的條件,使之不發生,甚至帶來轉機。綜上所述,可以這樣定義的風險:風險就是活動或事件消極的,人們不希望的后果發生的潛在可能性。具體地說,風險一般應具備以下要素:(1)事件(不希望發生的變化);(2)事件發生具有不確定性;(3)風險的影響(后果);(4)風險的原因。
將風險表示為事件發生的概率及其后果的函數,即
r=f(p,c) (1)
式中,r--風險,p-概率,c-后果。
風險和不確定性是我們很容易混淆的概念:不確定性是客觀事物永遠發展變化的客觀特性,是產生風險的原因。雖然風險和不確定性這兩個概念經?;ハ嗍褂茫鼈儾⒉皇且换厥隆2淮_定性僅僅考慮事件發生的肯定程度,而風險則要考慮事件發生后果的嚴重程度。
不確定性在某些特定的情況下并不完全是壞事,關鍵要看不確定性是在向著我們希望的方向發展,還是相反。再次說明,風險是針對不希望發生的事件而言的,它包括以下兩個方面:
(1)發生的可能性;
(2)一旦發生,后果的嚴重程度。
由此知道,有兩類事件的風險性質是沒有爭議的,一類事件是“高可能性,嚴重后果”,對這類事件可以立即判定屬于高風險問題;另一類事件是“低可能性,輕微后果”,對這類事件我們可以立即判定屬于低風險問題。有兩類事件的風險等級的判定是容易引起爭議的,它們是:
(1)高可能性,輕微后果;
(2)低可能性,嚴重后果。
這兩類風險性質的判定與個人的主觀判斷有很大的關系,不同的人由于持有不同的立場、觀點,以及所處的環境不同,會有不同甚至相反的判斷。圖中的后果嚴重程度如果逐步增大的話,人們在做出決定時會越猶豫,在這種情況下,對項目風險等級的判定會更加依賴個人的解釋。這時,主管人員一方面要依靠不同領域的專家,另一方面也要做好準備,對判定風險問題作最后的決斷。
2.風險管理的含義
風險管理涉及到各個行業,每個行業都有其自身的特點,企業風險管理是指生產過程中,風險管理部門對可能遇到的各種風險因素進行識別、分析、評估,以最低成本實現最大的安全保障的過程。
從表層上分析,風險管理就是對生產活動或行為中的風險進行管理,從深層上研究,風險管理是指主體通過風險識別、風險量化、風險評價等風險分析活動,對風險進行規劃、控制、監督,從而增大應對威脅的機會,以成功地完成并實現總目標。風險管理的主體是管理人員,客體是生產活動中的風險或不確定性,大型、復雜的生產活動過程應設置專門的風險管理機構和相應的風險負責人。
風險管理是一個過程,由風險的識別、量化、評價、控制、監督等過程組成,通過計劃、組織、指揮、控制等職能,綜合運用各種科學方法來保證生產活動順利完成;風險管理技術的選擇要符合經濟性原則,充分體現風險成本效益關系,不是技術越高越好,而是合理優化達到最佳,制定風險管理策略,科學規避風險;風險管理具有生命周期性,在實施過程的每一階段,均應進行風險管理,應根據風險變化狀況及時調整風險應對策略,實現全生命周期的動態風險管理。
三、風險管理過程及方法
風險管理過程包括風險規劃、風險識別、風險評價、風險處理和風險監控幾個階段:
1.風險規劃
風險規劃,指決定如何著手進行風險管理活動的過程。風險規劃確定一套完整全面有機配合、協調一致的策略和方法并將風險其形成文件的過程,這套策略和方法用于識別和跟蹤風險區;擬定風險緩解方案;進行持續的風險評估,從而確定風險變化情況并配置充足的資源。在進行風險規劃時,主要考慮的因素有:風險管理策略、預定義角色和指責、各項風險容忍度、工作分解結構、風險管理指標體系。
規劃開始時,我們要制定風險管理策略并形成文件。早期的工作是:確定目的和目標;明確具體區域的職責;明確需要補充的技術專業,規定評估過程和需要考慮的區域;規定選擇處理方案的程序;規定評級圖;確定報告和文檔需求,規定報告要求和監控衡量標準。如有可能,還要明確如何評價潛在資源的能力。
風險規劃過程的運行機制是為風險管理過程提供方法、技巧、工具或其他手段、定量的目標、應對策略、選擇標準和風險數據庫。其中,定量的目標表示了量化的目標;應對策略有助于確定應對風險的可選擇方式;選擇標準指在風險規劃過程中制定策略;風險數據庫包含歷史風險信息和風險行動計劃等。
風險管理計劃在風險規劃中起控制作用。風險管理計劃要說明如何把風險分析和管理步驟應用到項目之中。該文件詳細的說明風險識別、風險評估、風險處理和風險監控的所有方面。風險管理計劃還要說明項目整體評價的風險的基準是什么,應當使用什么樣的方法以及如何參照這些風險評價基準對項目整體進行評價。
2.風險識別
風險識別是風險管理的第一步,即識別實施過程中可能遇到(面臨的、潛在的)的所有風險源和風險因素,對它們的特性進行判斷、歸類,并鑒定風險性質。風險識別的目的是減少的結構不確定性。亦即發現引起風險的主要因素,并對其影響后果做出定性的估計。該步驟需要明確兩個問題:明確風險來自何方(確定風險源),并對風險事項進行分類;對風險源進行初步量化。
風險的識別是風險管理的基礎,應是一項持續性、反復作業的過程和工作。因為風險具有可變性、不確定性,任何條件和環境的變化都可能會改變原有風險的性質并產生新的風險。對風險的識別不僅要通過感性認識和經驗進行判斷,更重要的是必須依靠對各種客觀統計資料和風險記錄進行分析、歸納和整理,從而發現各種風險的特征及規律。
常用的風險識別方法有:專家調查法(頭腦風暴法、德爾菲法、訪談法、問卷調查法)、情景分析法、故障樹分析法等。
我們簡單介紹一下目前應用廣泛的故障樹方法。故障樹方法簡稱fta,是用于大型復雜系統可靠性和安全性分析的一個有力工具。利用fta來分析一個系統時,我們關心的是找出造成某個不希望的事件(頂端事件)發生的各種可能原因,fta使用演繹的方法找出使頂端事件發生的可能的次級事件,反映了各次級事件引起頂端事件發生的邏輯關系,這種關系用圖形表示出來就像一顆以頂端事件為根的倒長著的樹,故障樹因此得名。
3.風險分析和評價
風險分析和評價是在對風險進行識別的基礎上,對識別出的風險采用定性分析和定量分析相結合的方法,估計風險發生的概率、風險范圍、風險嚴重程度(大小)、變化幅度、分布情況、持續時間和頻度,從而找到影響安全的主要風險源和關鍵風險因素,確定風險區域、風險排序和可接受的風險基準。在分析和評價風險時,既要考慮風險所致損失的大小,又要考慮風險發生的概率,由此衡量風險的嚴重性。
風險分析和評價的目的是將各種數據轉化成可為決策者提供決策支持的信息,進而對各風險事件后果進行評價,并確定其嚴重程度排序。在確定風險評價準則和風險決策準則后,可從決策角度評定風險的影響,計算出風險對決策準則影響的度量,由此確定可否接受風險,或者選擇控制風險的方法,降低或轉移風險。在分析和評價風險損失的嚴重性時應注意風險損失的相對性,即在分析和評估風險損失時,不僅要正確估計損失的絕對量,而且要估計組織對可能發生的損失的承受力。在確定損失嚴重性的過程中,必須考慮每一風險事件和所有風險事件可能產生的所有類型的損失及其對主體的綜合影響,既要考慮直接損失、有形損失,也要考慮間接損失、無形損失。風險影響與損失發生的時間、持續時間、頻度密切相關,這些因素對安全生產的影響至關重要。
風險分析和評價的方法主要有:專家打分法、蒙特卡羅模擬法、概率分布的疊加模型(cimm模型)、隨機網絡法、風險影響圖分析法、風險當量法等。
4.風險處理
風險處理就是對風險提出處置意見和辦法。通過對風險識別、估計和評價,把風險發生的概率、損失嚴重程度以及其他因素綜合起來考慮,就可得出發生各種風險的可能性及其危害程度,再與公認的安全指標相比較,就可確定的危險等級,從而決定采取什么樣的措施以及控制措施應采取到什么程度。有效處理風險,可以從改變風險后果的性質、風險發生的概率或風險后果大小三個方面提出多種策略。
5.風險監控
風險監控就是通過對風險識別、估計、評價、處理全過程的監視和控制,從而保證風險管理能達到預期的目標。監控風險實際上是監控生產活動的進展和環境,即情況的變化,其目的是:核對風險管理策略和措施的實際效果是否與預見的相同;尋找機會改善和細化風險控制計劃,獲取反饋信息,以便將來的決策更符合實際。在風險監控過程中,及時發現那些新出現的以及預先制定的策略或措施不見效或性質隨著時間的推延而發生變化的風險,然后及時反饋,并根據對生產活動的影響程度,重新進行風險識別、估計、評價和處理,同時還應對每一風險事件制定成敗標準和判據。
風險監控還沒有一套公認的技術可供使用,由于風險具有復雜性、變動性、突發性、超前性等特點,風險監控應該圍繞風險的基本問題,制定科學的風險監控標準,采用系統的管理方法,建立有效的風險預警系統,做好應急計劃,實施高效的風險監控。
風險監控應是一個連續的過程,它的任務是根據整個(風險)管理過程規定的衡量標準,全面跟蹤并評價風險處理活動的執行情況。有效的風險監控工作可以指出風險處理活動有無不正常之處,哪些風險正在成為實際問題,掌握了這些情況,管理部門就有充裕的時間采取糾正措施。同時,建立一套管理指標體系,使之能以明確易懂的形式提供準確、及時而關系密切的風險信息,是進行風險監控的關鍵所在。
風險監控的主要方法有:審核檢查法、監視單、風險報告等。
四、總結
風險管理是一個全壽命的動態過程,與管理的四個階段,即啟動、規劃、實施和結束階段密切結合,滲透在壽命周期的全過程之中。在企業有效開展風險管理能夠促進各單位決策的科學化、合理化,減少決策的風險性,能為企業提供安全的經營環境,能夠保障企業經營目標的順利實現,能夠促進企業經營效益的提高。無論從理論還是從實踐的角度來說,大膽創新、探索性地恰當運用風險管理的理論與方法,已成為關注的一個熱點,對于提升企業管理水平、加強安全保障、創造更好的經濟效益具有十分重要的意義。
摘要:運用全面風險管理框架(erm)的理論,針對大港油田內部控制與內部審計發展之需要,探討如何構建有效的風險導向型內部審計,旨在以風險導向型內部審計為目標,為大港油田公司內部審計發展提供一些具有借鑒意義的思路,并不斷推進大港油田公司內部審計工作的創新和發展。
關鍵詞:erm;風險導向;內部審計;石油企業
一、研究背景
2004年coso委員會頒布企業風險管理框架(erm),該框架不僅擴大了原coso內部控制整體架構的范圍,建立起一個對風險更加關注的、更強大的內控體系,而且將內部控制與風險管理融為一體。企業全面風險管理已成為21世紀全球企業管理發展的新趨勢。近年來,著名企業評級機構如標準普爾和穆迪已將erm列為其對企業評級的基本評價因素,各國的審計標準已將審計的根本任務從審計內部控制逐漸轉移到審計風險管理的職能上來。最近的調查顯示:80%西方投資者愿為有能力實施全面風險管理的企業支付溢價,越來越多的企業開始從風險管理的角度來考慮尋找商業合作伙伴,以保障自身的品牌、時限、質量及可持續性。因此,無論從管理標準或企業評級的新導向,還是從來自于監管、投資者或客戶的壓力,實施全面風險管理已成為當今企業發展的必然選擇。
iia主席伍頓·安德森博士在2004年5月25日的上海報告中指出:在erm框架下,內部控制與風險管理已經有效融合。風險導向型內部審計[1]通過協助風險估算程序,系統的識別風險事件,衡量和監控業績,最終促成內部溝通和采取正確行動?;诖?,本文提出以風險管理為核心的風險導向型內部審計。
二、構建基于erm的風險導向內部審計
在大港油田公司構建依托erm的風險導向型內部審計是以風險為基礎,為實現公司的價值增值目標,由具備復合型才能的職業人員所從事的重在監督和評價公司治理有效性的保證和咨詢活動。
(一) erm框架下的風險導向內部審計分析
coso委員會在2004年9月《企業風險管理——總體框架》,簡稱erm框架,該框架包括八大要素:內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監控。下面緊密圍繞erm框架八要素,對風險導向審計具體內容逐一進行簡要闡述:
1.內部環境。內部審計要充分結合企業的外部經營環境(包括本地經營環境和全球經營環境),綜合考慮內部環境可能的經營風險來源:不勝任的董事會、內部組織文化的功能缺失、與戰略不相適應的風險偏好、高層管理人員知識、經驗是否與戰略主題目標和時代相和諧。 目標設定。戰略及經營計劃中隱含的整體組織風險為erm其他六個要素的運行提供了一個總體框架,這些目標及風險偏好為erm提供了總體標準。內部審計人員要系統的將組織戰略和商業模式與對其實現構成威脅的風險聯系起來,評估組織的戰略目標、經營目標、財務目標、各個部門目標的合理性。 事件識別。內部審計人員通常會利用壽命周期分析法、swot法、ksf法、dccs法、盈虧臨界點分析法、財務、會計、統計指標分析法等捕捉風險征兆。如我們很熟悉的swot分析就是將企業內部與外部環境中有利與不利的方面放在同一個框架中進行分析,以綜合評價企業從事某一種行業的可行性及風險。 風險評估。風險評估是采用定量或定性的方法,考慮企業潛在事件發生的可能性及對實現企業目標的影響程度。審計重點關注風險評估方法的適當性和有效性,應當遵循以下原則:定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;定量方法一般情況下會比定性方法提供更為客觀的評估結果。 風險反應。管理層在評估相關風險后,按照風險管理優先順序和風險管理策略,結合風險預警機制,對各類風險或每一項重大風險制定、評估和選擇風險管理解決方案,確定如何應對風險。內部審計應重點關注風險管理解決方案制定是否科學。解決方案一般可分為四類:規避風險、減少風險、分擔風險、接受風險。方案制定要充分考慮風險容量和風險承受度、成本和收益、方案的機遇等因素。
6.控制活動。控制活動是指為確保風險管理解決方案得以貫徹執行的政策和程序。內部審計要從如下幾個方面評價控制活動的科學性、合理性:(1)檢查相關交易過程的控制措施。好的內部審計控制的設計必須保證每項交易都具有證明文件,保證拒絕非法的交易,保證所有合法的交易能夠被正確處理。(2)總體控制與具體控制??傮w控制的缺乏會使具體控制失效。設計具體控制時,必須同時考慮相關的風險、報告的風險和發生的頻率。(3)多重控制。為防止一項控制措施不能發現和糾正錯誤的可能性,應設計多重控制。這里包括授權、職務分離、憑證、接觸、實物清查等幾個方面同時或交替的控制設計。(4)對成本與效益原則的考慮。內部控制的設計應該遵從成本與效益原則,即將缺乏控制導致的損失與建立和實施控制的成本相比較,尋求內部控制的獨立性、有效性的同時,力求簡潔與低耗。
7.信息與溝通。內部審計人員需要關注高層管理者的戰略、目標意圖能否自由、迅速、暢通的傳遞給下級,并且下級是否能充分理解上級的意思表達,并將意見充分反映到上級、管理層對員工意見的獲取和采納程度以及組織是否有多種溝通渠道等。
8.風險監控。內部審計對風險管理的監控實際上就是判斷高級管理層的erm業績的優劣,在此過程中,內部審計人員要對風險評估過程進行再次評估,在這里要引入iia的最新分析工具一分解(decomposition)。分解方法將經營計量系統記錄的業績與計劃和預算中的預期業績以及同一時期的競爭者進行比較,是監控風險環境變化的一種有效方式。與預期值的差異可以按其原因或“起源”來解釋,或者用之前的風險分析所指出的、環境或經營條件的變化超出了限度來加以解釋。對原因進行相關、及時地計量和剖析便于管理層及時作出反應,又能更好的發揮內部審計咨詢方面的增值功能。
(二)erm框架下風險導向內部審計的實施安排
1.重視以風險為基礎的審計計劃。制定審計計劃是指審計人員完成各項審計業務,達到預期的審計目標,在具體執行審計程序之前編制的工作計劃?!秲炔繉徲媽崉諛藴省返? 010款關于制定審計計劃中指出:首席執行官應該制定以風險為基礎的計劃,以確定內部審計活動的重點。企業風險導向審計計劃是對內部審計師的一種指引,也是一種便于審計監督的內部約定,其中說明了將要采取的審計步驟,這些審計步驟旨在收集審計證據和幫助內部審計師對被檢查業務中存在的風險、效率、經濟性和有效性表達意見。其內容通常包括如下幾個方面:(1)審核以前的報告、審計方案、工作底稿及前任審計師提供的文檔,列出任何要求采取糾正行動的公開項目。其作用在于獲取背景資料及確定過去審核的結果,以更好地確定當前重大風險的審計范圍。(2)實施初步調查,以確定被審核的活動的目標、實際或潛在風險,以及現存的控制系統。(3)審核被審計職能的政策和程序,以及它的經營管理手冊、組織結構圖、權力結構圖、長短期目標。通過審核來確定可以衡量和評價風險的領域以及該職能是否按管理層的意圖執行。(4)審核有關風險的審計領域的現行內部審計資料,針對被審計的業務活動,獲得最新的技術信息。(5)準備被審計職能的主要業務流程圖,獲得業務流程的可視分析,識別控制缺陷。(6)審核管理層已建立的績效標準,如果可能,把它和行業標準進行比較。(7)會晤客戶,討論審計范圍和內部審計師試圖達到的目標,避免有關審計目標和范圍被誤解。(8)編制完成審計業務所需耗費的詳細預算,以保證審計過程的效率。(9)通過風險評估并排序,列出必須考慮的重大風險。(10)為每個可識別風險確定什么控制有效,檢查現行的控制是否可以消除或充分地減少已識別的風險。確定重大問題和機會的實質,識別困難的主要方面,確定其原因和可能的補救方法。
2.以確認企業主要風險管理目標是否實現為依據,實施審計測試與審計發現。審計測試意味著通過將選擇的項目變成證據,在現代風險導向內部審計中,內部審計師應獲得足夠的證據,確認企業主要風險管理目標是否實現。審計測試中通過運用抽樣、觀察、提問、分析、證實、調查與評估等方法獲取有關風險的審計證據,并且揭示出它們的內在品質或特征,目的是為內部審計師形成審計意見提供基礎。
1 2 3 下一頁
在審計工作中內部審計師要確定哪些情況需要采取糾正行動,那些與規范或可接受的標準之間的偏離被稱為審計發現。它們可能是:應采取而未采取的行動、不適當的行為、令人不滿意的系統及應考慮的風險暴露等。在現代風險導向內部審計中,審計發現通常包括特定要素:背景、標準、情況、原因、影響、結論和建議。包括這些因素的所有審計發現,都為采取糾正行動提供了強有力的依據,同時它會想方設法證明確實存在問題并提出解決方法。 豐富審計結果內容并及時進行業務通報。審計結果應該包括審計發現結果、審計結論(意見)、審計建議和行動計劃。審計發現結果是對事實(風險)的相關陳述,通過比較應該達到的目標與實際的做法,就可以得出審計發現結果和審計建議,審計發現和審計建議應該以標準、情況、原因、影響為依據,在現代風險導向內部審計中,審計發現結果和審計建議還可以包括審計客戶的業績、相關問題和未在其他地方反映的輔助信息。審計結果資料是內部審計報告的主要基礎。
《內部審計實務標準》第2400款指出內部審計師應及時通報業務結果,通報的內容包括業務標準、范圍及業務結論、建議和行動計劃。但內部審計師在審計通報和工作底稿中包括與違法違規行為和其他法律問題有關的審計結果,并就此發表意見時應非常謹慎,在處理這些事項時應與有關方面(法律顧問、稽核官員)建立緊密聯系。 以所涉及的風險及實施糾正措施的困難程度和時間安排的重要性為依據,實施后續審計。在現代風險導向內部審計流程中,從審計計劃到審計實施以及后續審計,自始至終都貫穿現代風險導向的審計理念。以大港油田的實際業務為例,比如對一項銷售收入進行審計,內部審計人員不僅要在收入發生之后審核其簽訂合同金額與客戶付款金額是否相同、所付票據是否齊全,而且要在收入發生之前審查設計收款計劃的制定依據是否真實可靠,收款計劃是否可行,設計收費價格是否合理;再如對投資項目進行審計,內部審計人員在項目投資之前要對該項投資決策進行審計,包括審查該項目是否應該投資、投資回報率是否合理、合作對象的信譽高低以及是否還存在更優的選擇方案,在項目投資之后要審核投資協議是否完整、企業是否根據投資比例在相應的會計期間對被投資單位的投資收益按照權益法或成本法進行了正確的核算;再如對石油開發工程項目進行審計,內部審計人員首先在工程項目立項階段就對可行性報告、初步設計、設計概算、資金來源等進行審查,其次進行工程預算審計,以審核后的預算和工程合同為依據支付工程款,在項目施工時進行階段性結算審計,主要對項目的設計變更、增減較大項目的預算審計以及對項目進度的審查,最后進行工程決算審計。
(三)erm框架下風險導向內部審計的實現途徑
在erm框架下建立和應用現代風險導向內部審計模式,是一個大膽的嘗試和創新,是對原有內部審計功能的拓展,而大港油田目前的內部審計現狀與之存在一定的距離,因此需要通過以下途徑來實現內部審計的轉變和發展。
1.拓展集團內部審計的功能定位,確保內部審計的獨立性和客觀性,提升內部審計人員的職業素質。在保留內部審計原有監督、檢查的基礎職能的同時,應當賦予內部審計更多參與內部控制、風險管理的職能,拓展集團內部審計的功能定位,體現內部審計“咨詢顧問”、“業務伙伴”的角色,明確內部審計的管理體系,確保內部審計的獨立性和客觀性。市場經濟條件下,企業風險無處不在,從事風險導向內部審計的人員必須具備很高的職業素質,需要造就一支具有國際化水平的內部審計隊伍。 運用現代風險導向審計理論,重視了解和測試,確定審計的重點和范圍,提高審計效率,將審計風險減少到最小程度,實現防范風險的目的。企業內部審計人員要根據對被審計單位基本情況的了解和分析性復核的結果,加強審計風險分析,最后根據確定的總體審計風險概率和評估的重大錯報風險概率,得出關于剩余審計風險也就是檢查風險的概率,據此確定實質性測試的性質和范圍。同時以檢查內部控制和風險管理作為審計的切入點,通過對內部控制環境的調查和對風險管理、業務審批、職能分離、項目管理等各項業務流程的審查,對內部控制制度的健全性和有效性以及風險管理進行測評,以揭露問題,堵塞漏洞,促進集團完善內部控制機制,加強內部管理和監督,防范風險。 實現審計手段信息化,提高審計工作水平隨著信息化、網絡化的迅速發展,信息資源集中程度較高。在推行信息化平臺建設的過程中,要在業務處理系統和管理信息系統中設置審計接口,鑲嵌業務流程圖,使企業內部審計人員在評估風險、實施審計時能夠及時獲得必要的審計線索。同時圍繞企業的發展目標,構建完整的審計信息系統,推進現代風險導向內部審計與非現場內部審計的有機結合,提高內部審計的質量和效率。
摘要:運用全面風險管理框架(erm)的理論,針對大港油田內部控制與內部審計發展之需要,探討如何構建有效的風險導向型內部審計,旨在以風險導向型內部審計為目標,為大港油田公司內部審計發展提供一些具有借鑒意義的思路,并不斷推進大港油田公司內部審計工作的創新和發展。
關鍵詞:erm;風險導向;內部審計;石油企業
一、研究背景
2004年coso委員會頒布企業風險管理框架(erm),該框架不僅擴大了原coso內部控制整體架構的范圍,建立起一個對風險更加關注的、更強大的內控體系,而且將內部控制與風險管理融為一體。企業全面風險管理已成為21世紀全球企業管理發展的新趨勢。近年來,著名企業評級機構如標準普爾和穆迪已將erm列為其對企業評級的基本評價因素,各國的審計標準已將審計的根本任務從審計內部控制逐漸轉移到審計風險管理的職能上來。最近的調查顯示:80%西方投資者愿為有能力實施全面風險管理的企業支付溢價,越來越多的企業開始從風險管理的角度來考慮尋找商業合作伙伴,以保障自身的品牌、時限、質量及可持續性。因此,無論從管理標準或企業評級的新導向,還是從來自于監管、投資者或客戶的壓力,實施全面風險管理已成為當今企業發展的必然選擇。
iia主席伍頓·安德森博士在2004年5月25日的上海報告中指出:在erm框架下,內部控制與風險管理已經有效融合。風險導向型內部審計[1]通過協助風險估算程序,系統的識別風險事件,衡量和監控業績,最終促成內部溝通和采取正確行動。基于此,本文提出以風險管理為核心的風險導向型內部審計。
二、構建基于erm的風險導向內部審計
在大港油田公司構建依托erm的風險導向型內部審計是以風險為基礎,為實現公司的價值增值目標,由具備復合型才能的職業人員所從事的重在監督和評價公司治理有效性的保證和咨詢活動。
(一) erm框架下的風險導向內部審計分析
coso委員會在2004年9月《企業風險管理——總體框架》,簡稱erm框架,該框架包括八大要素:內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監控。下面緊密圍繞erm框架八要素,對風險導向審計具體內容逐一進行簡要闡述:
1.內部環境。內部審計要充分結合企業的外部經營環境(包括本地經營環境和全球經營環境),綜合考慮內部環境可能的經營風險來源:不勝任的董事會、內部組織文化的功能缺失、與戰略不相適應的風險偏好、高層管理人員知識、經驗是否與戰略主題目標和時代相和諧。
2.目標設定。戰略及經營計劃中隱含的整體組織風險為erm其他六個要素的運行提供了一個總體框架,這些目標及風險偏好為erm提供了總體標準。內部審計人員要系統的將組織戰略和商業模式與對其實現構成威脅的風險聯系起來,評估組織的戰略目標、經營目標、財務目標、各個部門目標的合理性。
3.事件識別。內部審計人員通常會利用壽命周期分析法、swot法、ksf法、dccs法、盈虧臨界點分析法、財務、會計、統計指標分析法等捕捉風險征兆。如我們很熟悉的swot分析就是將企業內部與外部環境中有利與不利的方面放在同一個框架中進行分析,以綜合評價企業從事某一種行業的可行性及風險。
4.風險評估。風險評估是采用定量或定性的方法,考慮企業潛在事件發生的可能性及對實現企業目標的影響程度。審計重點關注風險評估方法的適當性和有效性,應當遵循以下原則:定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;定量方法一般情況下會比定性方法提供更為客觀的評估結果。
5.風險反應。管理層在評估相關風險后,按照風險管理優先順序和風險管理策略,結合風險預警機制,對各類風險或每一項重大風險制定、評估和選擇風險管理解決方案,確定如何應對風險。內部審計應重點關注風險管理解決方案制定是否科學。解決方案一般可分為四類:規避風險、減少風險、分擔風險、接受風險。方案制定要充分考慮風險容量和風險承受度、成本和收益、方案的機遇等因素。
6.控制活動??刂苹顒覽2]是指為確保風險管理解決方案得以貫徹執行的政策和程序。內部審計要從如下幾個方面評價控制活動的科學性、合理性:(1)檢查相關交易過程的控制措施。好的內部審計控制的設計必須保證每項交易都具有證明文件,保證拒絕非法的交易,保證所有合法的交易能夠被正確處理。(2)總體控制與具體控制。總體控制的缺乏會使具體控制失效。設計具體控制時,必須同時考慮相關的風險、報告的風險和發生的頻率。(3)多重控制。為防止一項控制措施不能發現和糾正錯誤的可能性,應設計多重控制。這里包括授權、職務分離、憑證、接觸、實物清查等幾個方面同時或交替的控制設計。(4)對成本與效益原則的考慮。內部控制的設計應該遵從成本與效益原則,即將缺乏控制導致的損失與建立和實施控制的成本相比較,尋求內部控制的獨立性、有效性的同時,力求簡潔與低耗。
7.信息與溝通。內部審計人員需要關注高層管理者的戰略、目標意圖能否自由、迅速、暢通的傳遞給下級,并且下級是否能充分理解上級的意思表達,并將意見充分反映到上級、管理層對員工意見的獲取和采納程度以及組織是否有多種溝通渠道等。
8.風險監控。內部審計對風險管理的監控實際上就是判斷高級管理層的erm業績的優劣,在此過程中,內部審計人員要對風險評估過程進行再次評估,在這里要引入iia的最新分析工具一分解(decomposition)。分解方法將經營計量系統記錄的業績與計劃和預算中的預期業績以及同一時期的競爭者進行比較,是監控風險環境變化的一種有效方式。與預期值的差異可以按其原因或“起源”來解釋,或者用之前的風險分析所指出的、環境或經營條件的變化超出了限度來加以解釋。對原因進行相關、及時地計量和剖析便于管理層及時作出反應,又能更好的發揮內部審計咨詢方面的增值功能。
(二)erm框架下風險導向內部審計的實施安排
1.重視以風險為基礎的審計計劃。制定審計計劃[3]是指審計人員完成各項審計業務,達到預期的審計目標,在具體執行審計程序之前編制的工作計劃?!秲炔繉徲媽崉諛藴省返? 010款關于制定審計計劃中指出:首席執行官應該制定以風險為基礎的計劃,以確定內部審計活動的重點。企業風險導向審計計劃是對內部審計師的一種指引,也是一種便于審計監督的內部約定,其中說明了將要采取的審計步驟,這些審計步驟旨在收集審計證據和幫助內部審計師對被檢查業務中存在的風險、效率、經濟性和有效性表達意見。其內容通常包括如下幾個方面:(1)審核以前的報告、審計方案、工作底稿及前任審計師提供的文檔,列出任何要求采取糾正行動的公開項目。其作用在于獲取背景資料及確定過去審核的結果,以更好地確定當前重大風險的審計范圍。(2)實施初步調查,以確定被審核的活動的目標、實際或潛在風險,以及現存的控制系統。(3)審核被審計職能的政策和程序,以及它的經營管理手冊、組織結構圖、權力結構圖、長短期目標。通過審核來確定可以衡量和評價風險的領域以及該職能是否按管理層的意圖執行。(4)審核有關風險的審計領域的現行內部審計資料,針對被審計的業務活動,獲得最新的技術信息。(5)準備被審計職能的主要業務流程圖,獲得業務流程的可視分析,識別控制缺陷。(6)審核管理層已建立的績效標準,如果可能,把它和行業標準進行比較。(7)會晤客戶,討論審計范圍和內部審計師試圖達到的目標,避免有關審計目標和范圍被誤解。(8)編制完成審計業務所需耗費的詳細預算,以保證審計過程的效率。(9)通過風險評估并排序,列出必須考慮的重大風險。(10)為每個可識別風險確定什么控制有效,檢查現行的控制是否可以消除或充分地減少已識別的風險。確定重大問題和機會的實質,識別困難的主要方面,確定其原因和可能的補救方法。
2.以確認企業主要風險管理目標是否實現為依據,實施審計測試與審計發現。審計測試意味著通過將選擇的項目變成證據,在現代風險導向內部審計中,內部審計師應獲得足夠的證據,確認企業主要風險管理目標是否實現。審計測試中通過運用抽樣、觀察、提問、分析、證實、調查與評估[4]等方法獲取有關風險的審計證據,并且揭示出它們的內在品質或特征,目的是為內部審計師形成審計意見提供基礎。
在審計工作中內部審計師要確定哪些情況需要采取糾正行動,那些與規范或可接受的標準之間的偏離被稱為審計發現。它們可能是:應采取而未采取的行動、不適當的行為、令人不滿意的系統及應考慮的風險暴露等。在現代風險導向內部審計中,審計發現通常包括特定要素:背景、標準、情況、原因、影響、結論和建議。包括這些因素的所有審計發現,都為采取糾正行動提供了強有力的依據,同時它會想方設法證明確實存在問題并提出解決方法。
3.豐富審計結果內容并及時進行業務通報。審計結果應該包括審計發現結果、審計結論(意見)、審計建議和行動計劃。審計發現結果是對事實(風險)的相關陳述,通過比較應該達到的目標與實際的做法,就可以得出審計發現結果和審計建議,審計發現和審計建議應該以標準、情況、原因、影響為依據,在現代風險導向內部審計中,審計發現結果和審計建議還可以包括審計客戶的業績、相關問題和未在其他地方反映的輔助信息。審計結果資料是內部審計報告的主要基礎。
《內部審計實務標準》第2400款指出內部審計師應及時通報業務結果,通報的內容包括業務標準、范圍及業務結論、建議和行動計劃。但內部審計師在審計通報和工作底稿中包括與違法違規行為和其他法律問題有關的審計結果,并就此發表意見時應非常謹慎,在處理這些事項時應與有關方面(法律顧問、稽核官員)建立緊密聯系。
4.以所涉及的風險及實施糾正措施的困難程度和時間安排的重要性為依據,實施后續審計。在現代風險導向內部審計流程中,從審計計劃到審計實施以及后續審計,自始至終都貫穿現代風險導向的審計理念。以大港油田的實際業務為例,比如對一項銷售收入進行審計,內部審計人員不僅要在收入發生之后審核其簽訂合同金額與客戶付款金額是否相同、所付票據是否齊全,而且要在收入發生之前審查設計收款計劃的制定依據是否真實可靠,收款計劃是否可行,設計收費價格是否合理;再如對投資項目進行審計,內部審計人員在項目投資之前要對該項投資決策進行審計,包括審查該項目是否應該投資、投資回報率是否合理、合作對象的信譽高低以及是否還存在更優的選擇方案,在項目投資之后要審核投資協議是否完整、企業是否根據投資比例在相應的會計期間對被投資單位的投資收益按照權益法或成本法進行了正確的核算;再如對石油開發工程項目進行審計,內部審計人員首先在工程項目立項階段就對可行性報告、初步設計、設計概算、資金來源等進行審查,其次進行工程預算審計,以審核后的預算和工程合同為依據支付工程款,在項目施工時進行階段性結算審計,主要對項目的設計變更、增減較大項目的預算審計以及對項目進度的審查,最后進行工程決算審計。
(三)erm框架下風險導向內部審計的實現途徑
在erm框架下建立和應用現代風險導向內部審計模式,是一個大膽的嘗試和創新,是對原有內部審計功能的拓展,而大港油田目前的內部審計現狀與之存在一定的距離,因此需要通過以下途徑來實現內部審計的轉變和發展。
1.拓展集團內部審計的功能定位,確保內部審計的獨立性和客觀性,提升內部審計人員的職業素質。在保留內部審計原有監督、檢查的基礎職能的同時,應當賦予內部審計更多參與內部控制、風險管理的職能,拓展集團內部審計的功能定位,體現內部審計“咨詢顧問”、“業務伙伴”的角色,明確內部審計的管理體系,確保內部審計的獨立性和客觀性。市場經濟條件下,企業風險無處不在,從事風險導向內部審計的人員必須具備很高的職業素質,需要造就一支具有國際化水平的內部審計隊伍。
2.運用現代風險導向審計理論,重視了解和測試,確定審計的重點和范圍,提高審計效率,將審計風險減少到最小程度,實現防范風險的目的。企業內部審計人員要根據對被審計單位基本情況的了解和分析性復核的結果,加強審計風險分析,最后根據確定的總體審計風險概率和評估的重大錯報風險概率,得出關于剩余審計風險也就是檢查風險的概率,據此確定實質性測試的性質和范圍。同時以檢查內部控制和風險管理作為審計的切入點[5],通過對內部控制環境的調查和對風險管理、業務審批、職能分離、項目管理等各項業務流程的審查,對內部控制制度的健全性和有效性以及風險管理進行測評,以揭露問題,堵塞漏洞,促進集團完善內部控制機制,加強內部管理和監督,防范風險。
3.實現審計手段信息化,提高審計工作水平隨著信息化、網絡化的迅速發展,信息資源集中程度較高。在推行信息化平臺建設的過程中,要在業務處理系統和管理信息系統中設置審計接口[6],鑲嵌業務流程圖,使企業內部審計人員在評估風險、實施審計時能夠及時獲得必要的審計線索。同時圍繞企業的發展目標,構建完整的審計信息系統,推進現代風險導向內部審計與非現場內部審計的有機結合,提高內部審計的質量和效率。
[摘要] 當前很多大中型企業在經營管理上采用全面風險管理的模式,而作為審計部門來講,也應針對企業的這種風險管理模式展開審計,由于企業風險管理審計是正在發展的一個審計模式,對其的了解還處于初級階段,因此,這對審計機構和人員來說開展風險管理審計是一種挑戰。
[關鍵詞] 企業風險管理審計模式
從20世紀90年代后期開始,由于新經濟帶來的全球化、電子商務、企業組織結構虛擬化等特征,許多跨國公司開始實施新的企業全面風險管理方法。
一、企業風險管理審計涵義及其特點
企業風險管理審計是指企業內部審計部門采用一種系統化、規范化的方法來進行以測試風險管理信息系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動,對機構的風險管理、控制及監督過程進行評價進而提高過程效率,幫助機構實現目標。它有其自身的特點:
1.審計目標:確定企業戰略目標,風險管理策略及相應的經營風險(固有風險)并評價企業是如何實施風險管理有效性從而實現企業目標。
2.審計策略:①了解企業戰略,經營及價值目標,以及經營行為。 識別實現該目標以及其經營行為的主要固有風險。②了解企業的風險管理策略及風險管理措施。③評價企業的風險管理措施,并有效地將風險降至可接受水平。④關注風險管理缺口的有效性。
3.測試方法:實質性測試與符合性測試相結合,其運用取決于企業風險管理的有效性。
4.管理建議:識別出每個風險關鍵點所存在的風險管理缺口。
風險管理審計吸收了其他審計模式的優點,同時又關注到企業的戰略、績效等整體風險管理的有效性,其不僅考慮到審計師可接受的剩余審計風險,更是從審計固有風險源頭,即企業管理層所進行的風險管理活動的角度識別并評價風險,從而才能更一步地從審計師及企業管理層雙角度確保審計資源的分配及審計的有效性。
二、企業風險管理審計模式與其他審計模式的區別
根據原安達信公司專業人士paul sobel, 在其于2003年所著的《auditor’s risk manage-ment guide: integrating auditing and erm》一書中的概括, 現代審計模式在過去五十年中經歷了四大階段,其分別是:控制基礎審計、流程基礎審計(又稱經營審計)、風險基礎審計(又稱風險導向審計)、風險管理基礎審計, 又稱風險管理審計。那么企業風險管理審計模式與風險基礎審計模式和控制基礎審計模式的不同在于:
1.企業風險管理審計與控制基礎審計的區別。
(1)出發點不同。企業風險管理審計側重審計風險管理政策與企業經營戰略方針的矛盾統一,控制基礎審計側重測試企業經營的橫向、縱向的制約與協調。
(2)審核目標不同。企業風險管理審計的目標是關注企業風險管理政策設計的適當性;執行的有效性;風險損失處理的合理性??刂苹A審計的目標是關注內部控制制度設計的健全性、適當性;執行的有效性。
(3)審計方法不同。企業風險管理審計采用預警分析、專業判斷、綜合評價等方法。控制基礎審計采用測試、分析、專業判斷等方法。
2.企業風險管理審計與風險基礎審計的區別。
(1)含義不同。企業風險管理審計是審計主體通過對組織風險識別、風險程度的評價等工作的審計,評價風險政策、措施的適當性、執行的有效性的工作。風險基礎審計體現著審計主體開展財務審計、績效審計、控制審計等審計工作首先以測試組織的風險管理戰略和風險管理為前提,根據對風險管理審計測試的結果,決定其他相應審計的范圍、性質、程度和時間。
(2)側重點不同。風險管理審計側重對風險管理進行鑒證,而風險基礎審計側重于對會計信息質量的鑒證。
三、開展企業風險管理審計應注意的問題
企業經營必然要面對許許多多的風險,這些風險有的相互疊加放大,有的相互抵銷減少。因此,企業考慮風險時,必須根據風險組合的觀點,從貫穿整個企業的角度看風險。要實行全面風險管理。這對于對風險管理進行再監督的風險管理審計來說是一種挑戰。?
1.風險管理審計要與企業的各級風險管理組織相配合。開展企業風險管理審計要求內部審計工作超越企業內部各職能部門之間的間隔,實現全體的綜合的和全員層次的行動進行綜合的風險管理。在現代企業的風險控制方面,不少大中型企業一般建立三級的風險管理組織,即由企業高級管理層組成的風險控制委員會作為公司風險管理的最高決策機構;公司風險控制委員會領導下的內部審計及專職風險監管部門。內部審計部門通過常規審計及專項審計評估公司風險,對公司風險管理制度進行設計以及對各業務部門執行風險控制制度的有效性進行定期的檢查,及時揭示和報告潛在風險,并提出防范風險及改進工作的建議。內部審計部門對公司總裁負責。各業務部門、業務支持部門和管理部門承擔一線的風險控制職能,各部門負責人直接負責風險監控,內部審計部門要對其監控情況組織、指導、監管和控制質量進行評估。
2.以風險管理為核心,對公司治理、風險管理和內部控制進行整合。風險管理是與公司治理和內部控制交匯的核心。公司治理的核心職責就是要有確保公司應對風險的戰略和措施,在公司治理中包含一些戰略性的風險管理因素。公司治理的實施需要內部控制,為公司治理機制的運行提供保障。同樣,風險管理的實施也需要內部控制,采用各種內部控制的方式與方法,實現有效的風險管理。因此,從一定程度上說公司治理和內部控制有著相同的目標:風險管理。內部審計以風險管理為核心進行整合中,以內部控制為手段,對風險管理和公司治理進行內部控制;內部控制和風險管理以公司治理為內容,即內部控制和風險管理的內容是公司治理的內容;內部控制和公司治理以風險管理為目標,風險管理的目標是提高企業的經濟效益,因而內部控制和公司治理也是要以提高經濟效益為目標。?
3.創新風險管理審計中的技術和方法,提高審計水平。隨著信息技術的廣泛應用,我國內部審計在風險分析、風險量化和應用計算機審計技術方與世界各國存在較大差距,審計效率成為內部審計在風險管理中發揮作用的摯肘。因此,迫切需要研制、開發兼容性強和功能完善的通用審計軟件,從而實現審計效果與效率的統一,全面提高內部審計質量。
4.風險管理審計要注意提高審計人員的素質。企業風險管理審計對審計從業人員的業務素質提出了新的要求,首先,要求審計人員具備必需的管理學知識和經濟學知識。如經濟學、管理學、統計學、經濟法、信息技術等。其次,要加強審計人員的業務素質建設,要加強審計隊伍的理論建設,采取有效措施來改善內部審計人員的專業理論水平,如采取學歷考試、職業技術資格考試、職稱測評、外出培訓及建立人員流動站等方式。然后,還要加強審計人員的職業道德教育,增強內部審計人員的責任感和使命感,樹立廉潔勤政的觀念,將審計部門;建成講正氣、講學習的法治機構,這是保持審計人員獨立性與權威性的基石。最后,按照國際標準,培養某一領域的專家,改變當前內部審計人員知識結構不合理、理論水平不高的現象。
5.輔助審計軟件的使用與完善?,F代風險導向審計方法中分析性程序占據非常重要的地位,輔助審計軟件的使用在其中發揮著重要的作用。西方發達國家大量運用分析性程序的條件是輔助審計程序的開發和運用,它可以直接對數據庫進行加工分析,依據軟件模型自行處理數據,使運用分析性測試程序成為節約成本的重要手段。另外,采用審計軟件使統計抽樣的樣本更具代表性,審計抽樣風險可控,為風險導向審計提供了技術支持。目前,我國在審計軟件的開發和使用上不夠理想,還有待提高,而且大部分注冊會計師缺少相應的技術準備,在現階段推行現代風險導向審計方法只能是一種愿望。
【摘 要】本文就內部審計為何參與企業風險管理以及如何發揮自身優勢參與企業風險管理進行了分析,旨在為企業內部審計部門參與企業風險管理提供一些參考意見。
【關鍵詞】內部審計;風險管理;參與原因;運作過程
內部審計準則第16號具體準則——風險管理審計,明確了內部審計人員要對組織內部控制中的風險管理狀況進行審查與評價,表明風險管理已成為內部審計發展的重要方向。該項具體準則明確:風險管理是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。
一、內部審計參與企業風險管理的原因
(一)企業的集團化發展,要求內部審計參與風險管理
近年來,隨著全球經濟金融一體化程度的加深,企業面臨的經營環境日趨復雜,經營風險大大增加,內部審計必須對企業經營資源運動的合標性進行全程跟蹤審計,把減少企業面臨的風險作為企業實現目標的關鍵。內部審計目前已由外在介入型逐步發展為內在融入型,滲透到企業經營管理的各方面、經濟活動的各環節。它已成為強化管理的促進者、提高效能的推動者、風險前瞻的岸望者、價值增值的倡導者。因此,內部審計參與企業的風險管理也就成為企業發展必然的內在需求。
(二)內部審計的自身發展要求參與企業風險管理
1.內部審計的定義包含了風險管理內容
內部審計是采用一種系統化、規范化的方法,來對機構進行風險管理、控制和監督過程進行評價,進而提高它們的效率,幫助機構實現目標。從中不難看出,內部審計的范圍已延伸到風險管理,認為只有在風險管理框架中實施的內部審計才能稱之為風險管理審計,“評價和改善風險管理”成為了內部審計的重要工作領域,它拓展了內部審計的廣度和深度,是對內部審計的重新定位。
2.風險管理賦予了內部審計在企業中新的地位和作用
隨著內部審計定位和角色的不斷改變,內部審計已成為企業的診斷師,由于在經營中風險的必然存在性,使得任何企業都必須面對風險,并利用一切手段去避免、降低它所帶來的影響和后果。內部審計對風險管理的介入,將會使內部審計在企業中成為一個極其重要的角色,能夠站在第三者的角度去幫助企業更好地把握經營的方向,并將其在企業中的作用推向一個新水平。
3.內部審計與風險管理的目標是一致的
從風險管理的定義看,風險管理就是通過對面臨的各種風險的認識、估測、評價,準確把握各種不確定性,采取恰當的方法,用最低的成本獲得最高的安全保障,將損失降至最低水平。它的目標是直接服務于企業的經營目標的。
從內部審計的定義看,內部審計的目的是為企業增加價值并提高企業的運營效率。內部審計部門經過收集資料、識別并評價風險的過程之后,能夠對企業的運營提出富有價值的見解,從而被企業管理者采納,因此可以借此消除各種減值因素,包括風險因素、控制漏洞、治理缺陷等,還可以將這些有價值的信息應用于經營管理活動,從而達到企業增值的目的。由此可見,風險管理與內部審計在其目標上是相一致的。
(三)內部審計參與企業風險管理具有獨立性、綜合性和連續性的優勢
1.獨立性優勢
內部審計不參與企業具體的業務經營活動,因此不對各項業務管理中出現的問題承擔直接責任,其相對超脫的地位是保持審計獨立性的內在基礎。內部審計通過實施審計檢查程序發表的審計意見可以直達企業的管理高層,具有相對客觀的基礎。
2.綜合性優勢
內部審計在企業管理中是一個綜合性部門,其審計范圍覆蓋著企業經營的各個方面,掌握的信息是多方面的。企業的風險潛藏在各個方面,風險管理需要從全局角度對風險的影響大小、輕重緩急進行綜合評估,協調各方面風險管理的行動。內部審計具有從全局考慮分析判斷風險的綜合性優勢,對企業風險管理進行的系統性、專業性監督檢查和評價,權衡企業實施風險防范和效益成本的利弊,在風險與收益比較中研究風險管理的定位。
3.連續性優勢
內部審計部門及人員由于長期在企業內部工作,對企業所面臨的風險更為了解,對風險的各種影響因素更便于做深入的調查,對企業風險的轉化影響、風險管理措施效果等更便于進行連續的跟蹤,對風險管理進行循環的連續性監控,而且內部審計長期參與企業風險管理所掌握的風險管理信息和經驗,會對不斷深化企業風險管理和節約管理成本產生重要影響。內部審計人員作為企業員工,是最終利益的相關者,他們會對企業風險管理的效果和建立風險管理的長效機制更具有責任感。
二、內部審計參與企業風險管理的運作過程
(一)內部審計在企業風險管理中的定位
內部審計與風險管理是你中有我、我中有你、相互依存、聯動發展的緊密關系。企業在制訂風險管理方案時,應將內部審計作為風險管理的第一道防線,由內部審計對整個風險管理流程進行評估和監控,但內部審計在企業風險管理的建立與防范中,主要責任是對整個風險管理過程進行認定,并評價其充分性與有效性,向管理層報告并提出管理建議,以此來保證風險管理的有效性。因此,內部審計在企業風險管理框架中的首要角色是監督者;其次才是咨詢服務者,它承擔了咨詢者、協調者、建議者的角色。
當然,內部審計在企業風險管理中的角色是一個逐步變化的過程。在企業缺乏風險管理程序的情況下,內部審計可以向管理層提出建立企業風險管理的建議,即建議者;在企業實施風險管理的初期,內部審計能夠發揮很大的協調作用,此即協調者;而當企業風險管理逐步成熟、運作穩定以后,內部審計就轉化為監督者和咨詢者。
(二)內部審計在企業風險管理中的作用
1.能夠客觀地對企業整體風險管理進行檢查與評價
從風險的形成與影響后果等特性,不難看出風險在企業內部具有感染性、傳遞性、不對稱性等特征,如一個部門造成的風險或者疏于風險管理,可能會傳遞到其他部門,最終要由整個企業承擔。因此,有些部門可能會出現缺失道德風險,而這種風險不是由它們來承擔行為責任。又如,采購部門為節約采購成本,會忽視對材料規格、型號、質量方面的檢查,這種暗藏的風險會在生產車間或者銷售部門反映出來,最終給企業造成損失。因此,對風險的認識、防范和控制等需要從全局考慮。
內部審計由于不參與企業經營的具體業務活動,它是獨立于業務管理部門的,因而它可以從企業的全局出發、從客觀的角度對各種風險進行識別,將風險評估的意見直接報告給董事會或經營管理層,提高管理層對內部審計意見的重視程度,保證其他管理部門及時采取有效措施控制風險,從而達到企業的高效運營。
2.能夠以咨詢顧問身份協助管理層建立風險管理制度
內部審計在企業尚未建立風險管理的過程中,應積極向管理層提出建立風險管理過程的相關建議。如果企業尚未建立風險管理過程,內部審計人員應該提請管理層注意這種情況,并同時提出建立風險管理過程的相關建議。內部審計可以通過開展風險管理培訓培育企業風險管理文化,使風險意識貫穿于企業的各個層面;內部審計可以利用其專業優勢開發適合企業特點的自我評估工具,以提醒管理層注意到目標、風險、控制的關系,幫助管理層將生產經營與風險管理更好地結合;內部審計可以通過咨詢服務的方式協助企業建立風險管理系統。
3.能夠指導企業的風險管理策略,防止控制過度或不足的缺陷
內部審計是內部控制的再控制,企業根據目標和所能承受的風險,制定內部控制制度,內部審計人員對現代內部控制的評估焦點在于強調風險并評估具體的風險管理活動。控制過度容易導致效率不高,控制不足容易導致舞弊行為的產生。內部審計部門處于企業的董事會、總經理和各職能部門之間的位置,內部審計人員能夠充當企業長期風險策略與各種決策的協調人,并通過對長期計劃與短期實現的調節,指導企業的風險管理策略。
4.能夠發揮反饋作用,對企業的風險管理產生預警作用
由于風險是面向未來的,是直接與企業的戰略及經營目標相關聯的,因此以風險為出發點和核心的內部審計,能夠以事后的反饋延伸到事前以及事中,從而達到更高效率的控制。內部審計的咨詢職能充分體現了內部審計的能動性及增值目標,并且將事后的反饋擴展到內部控制建立前以及實施時的協助與促進,幫助管理層對風險管理進行持續改進與完善,產生預警功能,從而達到內部審計在企業管理控制系統中的反饋作用。
(三)內部審計參與企業風險管理的方式方法
1.轉變觀念,將風險管理作為內部審計的重要工作
內部審計應由過去的控制導向審計向現代風險導向審計過渡,由被動地承受審計風險,到主動地控制審計風險,將工作程序轉向“確定目標、評估風險、管理風險”。內部審計部門要把參與風險管理寫入內部審計工作制度,明確內部審計人員應當關心企業所面臨的風險,根據風險評估思路開展對內部控制的評估,使審計報告將目前的控制與策略計劃和風險評估連接進來,有效地管理企業風險。
2.要把企業風險管理融入日常審計項目中
企業風險存在于企業經營管理的各個方面,在一次審計中對企業面臨的各種風險進行全面的檢查和評價是不可能的,因此內部審計須在每一次的日常審計項目中,增強風險意識,引入風險審計的觀念和方法,充分揭示和評價企業特定審計范圍內存在的風險,使企業管理者對此風險給予重視并采取措施化解和控制。比如,內部審計部門開展的經濟責任審計,企業經營負責人在任期內發生的重大投資、債務重組、重點工程建設等活動會對今后產生重大影響,任期內發生的經濟糾紛或重要的管理缺陷也不一定會在其任期內體現,對此,內部審計就應作出必要的風險評價,一方面劃清前后任的經濟責任,一方面幫助企業采取必要的措施防患于未然。
3.要對企業的風險管理機制進行監督檢查
當一個企業建立了風險管理機制,其規章制度是否得到有效執行,是需要進行監督檢查的。內部審計就是對風險管理的再監督或再管理,是其參與風險管理的一種重要形式。內部審計可以實施各種專項檢查,監督檢查企業相關風險管理的各個風險控制點,評價預防風險的各項工作是否到位、評價降低風險的有關措施是否有效、評價風險的變化程度等等,從而對進一步改進風險管理提出意見。內部審計還可以對已經顯現甚至出現損失的風險進行檢查分析,發現和反映企業風險管理中的缺陷,如風險管理責任不清、部門間協調不足、風險防范資源不足等。
4.要加強對內部審計人員的督導
為提高審計工作質量,內部審計機構負責人需根據審計工作的具體情況建立內部審計督導制度,對審計人員的工作進行指導、監督和復核,明確各級人員的責任,同時必須強調督導是貫穿于審計項目的全過程的,它包括對審計方案的制訂及修訂、審計程序的實施、審計工作底稿的編制、審計證據的收集、審計報告的撰寫等。內部審計機構負責人應采取必要的措施,盡可能減少內部審計人員在風險管理工作中的主觀判斷行為,在督導工作中要遵循重要性、謹慎性和客觀性原則。
5.要優化內部審計人員結構,培養高素質的審計人才
風險防范的關鍵在于人才,只有建立一支與內部審計工作相適應的,具有高思想素質、業務素質和文化素質的審計隊伍,才能起到有效防范風險的作用。內部審計人員不僅是一名合格的審計監督管理者,也應是一名合格的風險管理者,既要掌握和了解企業內部的經營管理運作狀況,又要關心企業外部環境的變遷、市場經濟的趨勢、行業的特點和技術的發展等。因此,一方面優化內部審計人員組合,不能局限于財會專業,要吸收外部專家、管理顧問、舞弊檢查專家等多種專業人才加入內部審計隊伍;另一方面應重點培養一批高素質的內部審計人員,為開展風險管理奠定基礎。
綜上可知,風險管理已成為現代企業經營管理中必要的一門管理課程,風險的存在對企業既是一種存在危險的可能性,但也會是一種帶來收益的機遇。每一個企業的最高決策者和管理者必須面對現實,重視風險,把風險管理視為日常經營的重要部分。內部審計介入風險管理,是我國企業內部審計發展的方向,作為內部審計人員必須把風險管理意識、風險管理行為融入到日常審計工作中,使內部審計在風險管理中能夠發揮更有力的作用。
摘 要:良好的風險管理體系對企業的目標實現起著至關重要的作用,企業必須建立風險管理體系;內部審計部門在風險管理中的作用就是監控、檢查、評估、報告管理層風險管理過程的充分性和有效性,提出改進意見,幫助企業改進風險管理與控制體系,實現企業價值最大化。
關鍵詞:內部審計;風險管理
每個組織的存在都有其目標,在實現目標的過程中,存在著影響目標實現的不確定性因素。企業管理層的一項重要職責就是要建立一個良好的風險管理體系,來識別、評價和控制風險,為企業目標的實現提供合理的保證。內部審計在風險管理中的作用就是監控、檢查、評估、報告管理層風險管理過程的充分性和有效性,提出改進意見,幫助企業改進風險管理與控制體系,從而為企業增加價值。
1 企業風險管理體系簡介
企業風險管理(enterprise risk management,簡寫為erm)的實質是企業有效利用各種資源,以戰略的方式管理風險,使企業在多變的環境下以穩健的方式運作,從而獲得增加價值的機會。在全球競爭激烈的市場中,任何企業都處于動蕩多變的環境之中。企業面臨的風險越來越多,風險引發的損失規模也越來越大,這些都促使企業對風險管理給予高度的關注。要對風險管理過程的充分性和有效性進行評價,首先要對風險管理體系有一個初步的了解。根據美國coso委員會《企業風險管理框架》的要求,建立風險管理體系包括相互關聯的八個風險管理要素,各要素貫穿在企業管理過程中,為實現企業目標提供保證。
(1)內控環境。主要是在企業中樹立風險管理理念,營造一種風險管理文化,包括建立企業的風險文化,制定明晰的戰略、目標,明確企業的風險責任人和利益相關者,使用統一的風險語言,為其他風險管理要素打下基礎。
(2)目標制定。管理者必須首先確定企業的目標,才能夠確定對目標的實現有潛在影響的事項。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。
(3)事項識別。下列事情可能給組織帶來風險:因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤;記錄有錯誤、會計核算資料不真實、不完整;資產保護不當;顧客不滿意,組織信譽受損;執行組織決策、計劃、程序不力,或有違法違規行為;不經濟地獲取或無效地利用資源;沒有完成組織的任務和目標。需要企業的管理者對其進行識別、評估和反應。
(4)風險評估。評估風險是erm執行中關鍵的步驟之一。在評估風險的過程中要注意選擇合適的評估技術,評估風險事件發生的可能性和頻繁度,風險事件的潛在影響及其成本的高低,最后繪制一張風險地圖。評估風險事件的方法有很多,如定量方法、定性方法,企業可以根據自身的具體情況來制定自己的評估方法。
(5)風險反應。風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險,企
業都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業風險發生的可能性和影響都在風險容忍度之內的風險反應方案。
(6)控制活動。控制措施就是在接受風險的情況下,評估因接受風險所帶來的額外費用和保險費用,評估因控制帶來的管理成本和回報。在降低風險的情況下,明確所需的控制活動,評估這些控制活動所帶來的成本費用??刂苹顒舆€包括評估目前組織、程序、系統和反饋系統管理風險的能力。最后通過控制行為,調整風險地圖。風險發生的可能性和頻率是很難改變的,最有效的就是通過對風險管理成本的控制,將風險盡量降低到企業可承受范圍以內。
(7)信息和溝通。信息系統應當有效地追蹤企業當前正在發生的事件以及已經避免的事件。同時企業還要保證有及時的關于企業各個層面的erm報告。在風險活動中發生的成本費用和控制活動。其次要溝通erm的有效性和成本費用。保證在企業中有定期的erm報告,尤其是包括員工的責任義務完成狀況以及對erm的檢查情況,cro和其他重要的執行官要對erm的有效性和成本加以測量和存檔,同時明確向董事會和執行官報告的責任和途徑。
(8)監控。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。企業可以通過持續監控和個別評估兩種方式,來保證企業的風險管理在企業內務管理層面和各部門持續得到執行。風險不是靜態的,風險的數量和可能性會隨內外部環境的變化而變化,持續的監控對有效地管理風險是最基本的。通過持續的監控可以使企業明確在下一步的風險管理中應當改進的問題。通過這個環節可以明確erm可以給企業帶來的利益與價值,了解風險評估的正確性,為下一次的評估提供經驗教訓,明確風險回應決策的有效性,同時還有助于控制成本費用。
從以上八個風險管理要素可以看出,企業風險管理是一個過程。是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。
2 內部審計在風險管理中的作用
根據《內部審計實務標準》對內部審計的定義:內部審計是一種獨立、客觀的保證與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采用系統化規范化的方法來對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現其目標。所以在風險管理中,內部審計可以發揮以下作用:
(1)內部審計人員熟悉公司業務并能夠隨時深入到生產經營的全過程去了解掌握具體情況,收集大量的第一手資料,從中發現存在風險的隱患問題,進行風險分析,提請管理層注意風險管理和控制等的相關建議。
(2)內部審計通過咨詢服務方式積極協助公司進行風險管理過程的建立。風險管理是一個復雜的系統工程,在一個組織內部應當明確職責分工,各司其職。董事會負責制定戰略目標,高層領導各負責一個方面的風險管理責任,其他管理人員由管理層分配一部分工作,操作人員負責日常監控,而內部審計人員則負責定期評價和保證工作。內部審計師可以促進、協助風險管理過程的建立,但不負風險管理的責任。
(3)內部審計通過將風險管理評價作為審計工作的重點,以檢查、評價風險管理過程的充分性和有效性。內部審計主要從兩個方面評估風險管理過程的充分性和有效性。
①評價風險管理主要目標的完成情況。主要表現在評價公司以及同行業的發展情況和趨勢,確定是否可能存在影響企業發展的風險;檢查公司的經營戰略,了解公司能夠接受的風險水平;與相關管理層討論部門的目標、存在的風險,以及管理層采取的降低風險和加強控制的活動,并評價其有效性;評價風險監控報告制度是否恰當;評價風險管理結果報告的充分性和及時性;評價管理層對風險的分析是否全面,為防止風險而采取的措施是否完善,建議是否有效;對管理層的自我評估進行實地觀察、直接測試,檢查自我評估所依據的信息是否準確,以及其他審計技術;評估與風險管理有關的管理薄弱環節,并與管理層、董事會、審計委員會討論。如果他們接受的風險水平與公司風險管理戰略不一致,應進行報告。
②評價管理層選擇的風險管理方式的適當性。由于各個公司的文化氛圍、管理理念和工作目標不同,風險管理的實施也有很大差別。每個公司應根據自身活動來設計風險管理過程。一般說來,規模大的、在市場籌資的公司必須用正式的定量風險管理方法;規模小的、業務不太復雜的,則可以設置非正式的風險管理委員會定期開展評價活動。內部審計人員的職責是評價公司風險管理方式與公司活動的性質是否適當。
(4)內部審計應積極持續地支持并參與風險管理過程,對風險管理過程進行管理和協調。在現代企業制度下,公司全面建立了風險管理過程,內部審計因此能夠擔負起風險管理的職能。首先,內部審計從評價各部門的內部控制制度入手,在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞,識別并防范風險,做出相關評價。其次,內部審計可以深入到企業管理的極細微的環節上查找問題,分析其合理性。內部審計人員更多的是以風險發生可能性大小為依據,深入到經營管理的各個過程,查找并防范風險。再次,內部審計在部門風險管理中還起著協調作用。不僅各部門有內部風險,而且各管理部門還有共同承擔的綜合風險,內部審計人員作為獨立的第三方,可協調各部門共同管理企業,以防范宏觀決策帶來的風險。
3 將企業風險管理融入內部審計程序
在風險管理中,內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監督。因此內部審計程序與機構的風險管理之間應該協調一致,使這兩項工作產生協同增效的作用。
(1)在編制審計計劃時,應該在對可能影響機構的風險進行評估的基礎上,制定內部審計部門的審計計劃,確定審計項目。
(2)確定審計范圍時,要考慮并反映整個公司的戰略性計劃目標,并每年對審計范圍進行一次評估,以反映機構的最新戰略和方針。
(3)編制審計方案時,通過風險因素分析來確定審計業務工作重點;在審計實施過程中,通過評價內部控制制度,查找其中的疏漏和薄弱環節;在更新審計范圍與計劃的內容時,要反映管理層的方針、目標、工作重心出現的變化。在選擇檢測、證實風險的技術與方法時,應該能夠反映出風險的重大性與發生的可能性。
(4)在編制審計報告時,應對風險管理狀況進行評價,指出風險管理中存在的漏洞和不足之處,提出加強管理的建議。
(5)追蹤審計時,將風險確定為決定追蹤審計范圍的重要因素,風險越大,追蹤審計的范圍就越廣。追蹤審計應該將注意力集中于最嚴重的潛在的問題上,通過持續追蹤,確保對于重大的審計發現,相關部門采取措施予以糾正。
綜上所述,企業的內部審計部門應該在企業的風險管理中發揮起應有的作用,使得企業能在日趨激烈的市場競爭中將各種可能面臨的風險將到最低水平,從而提升企業自身的競爭力,以實現長足的發展。
摘要:施工企業內部審計作為結合內部財務審計和風險管理的一種有效工具,通過風險分析,制定審計計劃與公司高層的風險戰略連在一起,并確保審計計劃與經營計劃相一致,將施工企業風險管理原則貫穿于整個內部審計過程中。
關鍵詞:內部審計 施工企業 風險管理 應用
1 內部審計與風險管理
施工企業內部審計作為結合內部財務審計和風險管理的一種有效工具,通過風險分析,制定審計計劃與公司高層的風險戰略連在一起,并確保審計計劃與經營計劃相一致,將施工企業風險管理原則貫穿于整個內部審計過程中。即:在繼續做好財務收支、經濟效益和內控制度執行審計的基礎上,更要參與風險管理,幫助企業發現、評價重要的風險因素,最大限度地降低企業風險。尤其是以風險導向內部審計模式為代表的現代審計,內部審計人員在內部審計的全過程中自始至終都關心風險,并根據風險度選擇項目,以降低風險為導向,進行內部控制制度的符合性測試、實質性測試,并進行監督檢查和評價,提出建設性意見和建議。
2 現代企業內部審計的特征
2.1 識別、評價和改善風險 施工企業點多、線長、面廣、分散的施工特點決定施工企業經營風險的始終存在。因此、識別、評價和改善風險是施工企業內部審計的首要特點,現代企業內部審計不再是采用通過檢查歷史數據和內控制度執行提出意見和建議的方式,而是充分利用內部審計在內部控制方面的獨立性和權威性,掌握企業的生產經營狀況和戰略目標、了解企業所處的內外環境和競爭優勢、對潛在的風險進行分析和評估,將評價結果和改善意見直接報告給最高管理者,以有力防范潛在的各種風險。
2.2 內部審計工作重心由實施階段向計劃階段轉移 在傳統審計模式中,內部審計人員非常重視審計實施階段的工作,關注的核心是內部控制,是對內部控制的測試。而在現代審計模式下,以風險為核心的審計理念要求內部審計人員將更多的時間放在計劃階段,關注的核心是從內部控制轉向風險,衡量企業面臨的風險,是未雨綢繆而不是雪中送炭,審計工作的重心由實施階段前移到計劃階段。
2.3 內部審計關口由事后審計向事前、事中、事后審計相結合轉移 在傳統審計模式中,內部審計著眼于對已發生的經濟活動進行審查,即在企業經營行為發生之后就其結果進行審計,實行事后審計。而風險導向內部審計是以風險為核心,風險是面向未來的,直接和目標及戰略相關聯,將事后的反饋延伸到事前以及事中,克服了制度導向內部審計的缺陷,能夠為企業高級管理者預測未來提供更多信息。
3 施工企業目前面臨的主要風險
3.1 盲目簽約,缺乏風險評估及保護措施 由于建筑行業市場環境欠規范,行業政策缺失等因素,施工企業長期處于惡勢競爭狀態,有的企業把爭取最大的市場份額作為彌補產值利潤低下甚至虧損的主要手段。這種盲目簽約的行為給企業帶來三大風險:一是形成糾紛,損失難免;二是產值利潤率低下,企業長期處于低層次經營;三是由于沒有積累,致使企業大而不強。
3.2 對合同履行重視不夠,導致拖欠工程款風險 個別施工企業對合同的履行不夠重視。施工方由于種種原因在施工過程中不能履行合同,導致合同履行的責任不清,在工程竣工結算時,甲方拒絕向施工方提供有關資料,致使無法形成工程竣工驗收報告,拖延對工程的驗收和決算。工程沒有決算,就無法確定甲方欠款確切的數額,作為施工方就無法行使權利,最后不得不以延長付款期限或少收工程款為代價,換取對方對工程款的決算。有的甚至形成壞賬,給企業帶來損失。
3.3 墊資合同,導致融資風險 由于建筑市場競爭激烈,企業通常面臨承接工程就要墊資、不承接工程就沒活干的兩難局面。為了彌補固定成本支出承接墊資工程,企業必須融資。對于大中型施工企業來講,資金融通主要反映在內外兩個方面,對外是企業向金融機構貸款;對內是企業內部之間的借款。向金融機構大額借款,一旦資金周轉不過來將面臨巨大壓力,很可能導致續貸或借新債還舊債的惡性循環;對企業借款給其他企業的將面臨不能如期收回的融資風險。
3.4 低價中標,導致成本風險 低價中標是指中標價格低于實際成本的不可控成本風險。由于建設質量的要求和建設單位的規定,企業為了能夠以相對低的報價中標,往往在投標書中采取以下幾項措施:一是在預算的基礎上大幅度降低投標價格;二是降低工程的間接費率;三是降低計劃利潤;四是降低材料的單價;五是雖未降低材料的單價、但承包工程合同中又將材料單價包死等。標書中減少的臨時工程數量或降低的臨時工程單價,在實際施工時根本無法減少或降低,從而使投標書中的臨時工程價值遠遠低于實際造價。正式工程的間接費率降低后,為維持企業運轉而發生的企業管理費,特別是職工保險等固定費用并不因投標降低費率而減少,從而造成項目的間接費超支。計劃利潤降低,使項目部賴以實現的一點盈利徹底消失。
3.5 不按要求實施分包或分包商選擇不當,導致分包風險 一是未經業主同意擅自分包,造成承擔違約責任和賠償損失,二是選擇分包不當,影響整個工程進度或發生經濟損失,三是分包拖欠民工工資和材料款引起訴訟,總承包單位承擔連帶責任。
施工企業風險的發生原因:有客觀因素,也有主觀因素;有企業外部影響因素、也有企業內部影響因素。主觀因素、企業內部影響因素可歸結為企業風險防范意識差,內部控制制度不完善或執行不力,戰略決策不科學等。企業能夠真正積極有效防范和控制的風險正是主要由這兩類因素所造成的風險。而傳統審計模式已不能真正防范企業面臨的這些風險。因此,企業內部審計人員應該有效利用風險導向審計模式,深入調查、分析和判斷風險程度,采取各種措施,防范、控制、化解和回避由企業內部影響因素和主觀因素造成的風險,減少風險損失,提高經營的有效性。
4 現代內部審計在企業風險管理中的對策
4.1 內部審計部門應制定合理的風險審計計劃。完善的風險審計計劃包括:年度審計計劃、項目審計計劃、項目審計實施方案三個層次。年度審計計劃應與企業的年度經營目標和風險戰略相結合,采用以風險導向審計為主,制度基礎和帳項基礎審計為輔的審計原則安排全年審計計劃;項目審計計劃是在年度計劃的基礎上制定的,是在對年度主要風險進行測試和評估的基礎上,找出關鍵風險點,列出具體項目作為項目審計;審計實施方案應分年度審計實施方案和項目審計實施方案,年度審計實施方案是年度計劃實施的具體時間和步驟,應具有一定靈活性,以滿足隨時可能出現的戰略需求;項目審計實施方案是指導現場審計達到審計目標的具體行動措施,包括從頭至尾的審計步驟和風險評估的方法。
4.2 內部審計部門根據年度計劃、項目計劃和實施方案對企業的固有風險進行評估,列出主要風險因素,一是采用分析性復核方式,對企業的財務數據和非財務數據進行多樣化分析;二是注重風險分析的結構化,從企業內部、外部環境考慮多方面的風險因素,并將這些因素有機結合起來,進行綜合風險評估;三是與被審計部門的管理人員一起,對本部門內部控制的適當性和有效性進行評估;四是對管理者采取的化解和防范措施進行分析,得出其控制風險的能力和主觀態度。通過以上方式評估后,用固有風險減去控制能力得出其殘存風險值。內部審計人員依據殘存風險值大小依次排列,首先審計高風險的內容。風險=導致損失的可能性×涉及金額。用該公式將企業的主要風險逐項進行分析,造成損失金額最大的風險點,應優先列入審計日程。
總之,風險導向內部審計作為一種重要的審計理念和方法,它是制度基礎審計的發展。施工企業內部審計人員應將風險導向內部審計模式與制度基礎內部審計模式有機結合起來,有效利用風險導向內部審計,加強施工企業的風險管理,使企業風險發生的可能性和影響都落在風險容忍度之內。
摘要:企業在經營過程中存在著大量的風險,風險管理是現代企業管理的重要組成部分。內部審計自身的優勢促使其參與到企業的風險管理中,使企業進行自我約束和自我監督。本文從內部審計與企業風險管理的關系出發,對如何發揮內部審計在企業風險管理中的作用進行了分析,以提高企業風險管理的有效性。
關鍵詞:內部審計;內部監督;風險管理;風險評估
在國家當前的新經濟形勢下,企業的規模日益擴大,其機構和業務日益繁雜,所面臨的風險也不斷增加。內部審計作為一種獨立、客觀的保證與咨詢活動,是企業自我約束和自我監督機制的重要組成部分。企業管理層也迫切需要內部審計機構協助其更有效地履行其職責,提高企業的運作效率和經濟活動的附加值。
1 內部審計與風險管理的含義
(1)內部審計的含義。內部審計是指由本部門和本單位內部專職的審計機構或人員所實施的審計。這種專職的審計機構或人員,獨立于財會部門之外,直接接受本部門、本單位主要負責人的領導,依法對本部門、本單位及其下屬單位的財務收支、經營管理活動及其經濟效益進行內部審計監督。內部審計的目的是糾錯防弊,促使企業改善其經營管理,提高經濟效益。
(2)風險管理的含義。企業風險管理是從整體企業的宏觀角度來辨識及分析風險的過程。其方法不只是將企業所有風險整合,而是將企業面臨的所有不確定性轉化為可通過策略及運作優勢達到營運目標的一種方法。coso對風險管理的定義是:“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響,這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件和管理風險,使之在企業的風險偏好之內,從而合理確保企業實現既定的目標?!?
2 內部審計與企業風險管理的關系
(1)內部審計在風險管理中扮演重要角色。內部審計是企業內部監督與控制的關鍵環節,可以協助公司辨別及評估重大風險的披露,對改善風險管理及控制制度做出重要貢獻。企業內部審計機構在規劃審計工作時,應評估各種管理活動的相對風險,并將風險按照重要性進行排序,對風險較大的項目優先考慮開展相關審計工作。對管理層的風險管理流程效果和效率方面進行檢查、評價、報告并提出審計建議,幫助企業識別、評價風險及實施風險管理方法。
(2)內部審計在風險管理方面具有獨特的優勢。風險管理是一個系統的過程,對風險的防范和控制需要從整體出發。而內部審計機構在企業中不從事具體業務活動,獨立于業務管理部門,使其具有相對的獨立性。因此,在進行風險管理的過程中,能夠客觀地、從全局的角度管理風險,正確地識別和評估風險,并及時建議相關部門采取措施應對風險。
(3)風險管理是進行內部審計工作有效的工具。風險管理是企業管理層的職責所在。為了實現企業的經營目標,管理層應當確保企業具備良好的風險管理流程,并且在經營過程中正常運轉。內部審計可以通過制定正式的行為規范,經常檢查公司風險管理流程是否健全等措施有效地降低企業風險。風險管理作為內部審計工作的有效工具,很多企業和部門已將其應用于機構的持續性、財務管理、資產管理和舞弊等各項風險管理中。
3如何發揮內部審計在企業風險管理中的作用
(1)確認風險識別的充分性。在企業進行風險識別的過程中,內部審計人員應該對風險管理流程進行審查與評價,確定企業在風險識別的過程中風險歸類的正確性以及分析方法的適當性。內部審計可以采用多種風險分析方法對企業內部和外部的風險要素進行識別分析,判斷企業管理層是否對主要風險均已識別和分析,并充分考慮風險可能造成的影響,為進行風險評價奠定基礎。
(2)確定風險評估的恰當性。在企業進行風險評估的過程中,企業要對已識別的風險事件進行定量和定性的分析,分析風險產生的重要性及可能性。內部審計應首先對風險性質及程度的衡量與界定進行評價,這關系到進行風險處理的依據是否可靠。其次,應對管理層的風險評估過程的適當性、執行的有效性進行評價,找出需要修改完善的地方,為各級管理層提供專業審計意見。
(3)評估風險對策的有效性。內部審計在企業風險對策活動中發揮的作用,直接反映在審計成果中,是審計價值的重要體現。企業根據對風險的評估和判斷,應采取相應的措施和方法來進行風險處理,以降低和抑制風險損失,獲取風險收益。在風險對策活動中,內部審計應分析風險回報的合理性、評價風險措施的有效性。
(4)評價風險監控的合理性。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。在這個過程中,內部審計首先應當從評價企業各部門的內部控制制度入手,審查企業經營活動中重要環節相關控制制度設置的合理性以及執行的有效性,識別并防范風險。其次,應當密切關注可能引致風險的重要事項,了解企業的風險偏好,與相關管理層討論部門的目標、存在的風險,并評價管理層采取的風險監控活動的有效性。再次,應當以企業總體風險組合的觀點看待風險,協調各部門共同管理企業,從全局角度識別并評價風險,提出改進建議來協助企業管理層履行其職責,以保證企業目標的實現。
4結束語
內部審計參與企業風險管理是內部審計的發展方向,是環境因素和內部審計自身因素共同作用的結果。這不僅為內部審計的發展提供了契機,也有利于企業在風險管理的過程中采用先進的審計方法和技術手段,強化內部審計職能,積極探索,勇于創新,使企業在競爭中處于優勢地位,實現管理最優、效益最佳的發展目標,并開創審計工作的新局面。
摘要:企業在經營過程中存在著大量的風險,風險管理是現代企業管理的重要組成部分。內部審計自身的優勢促使其參與到企業的風險管理中,使企業進行自我約束和自我監督。本文從內部審計與企業風險管理的關系出發,對如何發揮內部審計在企業風險管理中的作用進行了分析,以提高企業風險管理的有效性。
關鍵詞:內部審計;內部監督;風險管理;風險評估
在國家當前的新經濟形勢下,企業的規模日益擴大,其機構和業務日益繁雜,所面臨的風險也不斷增加。內部審計作為一種獨立、客觀的保證與咨詢活動,是企業自我約束和自我監督機制的重要組成部分。企業管理層也迫切需要內部審計機構協助其更有效地履行其職責,提高企業的運作效率和經濟活動的附加值。
1 內部審計與風險管理的含義
(1)內部審計的含義。內部審計是指由本部門和本單位內部專職的審計機構或人員所實施的審計。這種專職的審計機構或人員,獨立于財會部門之外,直接接受本部門、本單位主要負責人的領導,依法對本部門、本單位及其下屬單位的財務收支、經營管理活動及其經濟效益進行內部審計監督。內部審計的目的是防弊,促使企業改善其經營管理,提高經濟效益。
(2)風險管理的含義。企業風險管理是從整體企業的宏觀角度來辨識及分析風險的過程。其方法不只是將企業所有風險整合,而是將企業面臨的所有不確定性轉化為可通過策略及運作優勢達到營運目標的一種方法。coso對風險管理的定義是:“全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響,這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件和管理風險,使之在企業的風險偏好之內,從而合理確保企業實現既定的目標?!?
2 內部審計與企業風險管理的關系
(1)內部審計在風險管理中扮演重要角色。內部審計是企業內部監督與控制的關鍵環節,可以協助公司辨別及評估重大風險的披露,對改善風險管理及控制制度做出重要貢獻。企業內部審計機構在規劃審計工作時,應評估各種管理活動的相對風險,并將風險按照重要性進行排序,對風險較大的項目優先考慮開展相關審計工作。對管理層的風險管理流程效果和效率方面進行檢查、評價、報告并提出審計建議,幫助企業識別、評價風險及實施風險管理方法。
(2)內部審計在風險管理方面具有獨特的優勢。風險管理是一個系統的過程,對風險的防范和控制需要從整體出發。而內部審計機構在企業中不從事具體業務活動,獨立于業務管理部門,使其具有相對的獨立性。因此,在進行風險管理的過程中,能夠客觀地、從全局的角度管理風險,正確地識別和評估風險,并及時建議相關部門采取措施應對風險。
(3)風險管理是進行內部審計工作有效的工具。風險管理是企業管理層的職責所在。為了實現企業的經營目標,管理層應當確保企業具備良好的風險管理流程,并且在經營過程中正常運轉。內部審計可以通過制定正式的行為規范,經常檢查公司風險管理流程是否健全等措施有效地降低企業風險。風險管理作為內部審計工作的有效工具,很多企業和部門已將其應用于機構的持續性、財務管理、資產管理和舞弊等各項風險管理中。
3如何發揮內部審計在企業風險管理中的作用
(1)確認風險識別的充分性。在企業進行風險識別的過程中,內部審計人員應該對風險管理流程進行審查與評價,確定企業在風險識別的過程中風險歸類的正確性以及分析方法的適當性。內部審計可以采用多種風險分析方法對企業內部和外部的風險要素進行識別分析,判斷企業管理層是否對主要風險均已識別和分析,并充分考慮風險可能造成的影響,為進行風險評價奠定基礎。
(2)確定風險評估的恰當性。在企業進行風險評估的過程中,企業要對已識別的風險事件進行定量和定性的分析,分析風險產生的重要性及可能性。內部審計應首先對風險性質及程度的衡量與界定進行評價,這關系到進行風險處理的依據是否可靠。其次,應對管理層的風險評估過程的適當性、執行的有效性進行評價,找出需要修改完善的地方,為各級管理層提供專業審計意見。
1 2 3 下一頁
(3)評估風險對策的有效性。內部審計在企業風險對策活動中發揮的作用,直接反映在審計成果中,是審計價值的重要體現。企業根據對風險的評估和判斷,應采取相應的措施和方法來進行風險處理,以降低和抑制風險損失,獲取風險收益。在風險對策活動中,內部審計應分析風險回報的合理性、評價風險措施的有效性。
(4)評價風險監控的合理性。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。在這個過程中,內部審計首先應當從評價企業各部門的內部控制制度入手,審查企業經營活動中重要環節相關控制制度設置的合理性以及執行的有效性,識別并防范風險。其次,應當密切關注可能引致風險的重要事項,了解企業的風險偏好,與相關管理層討論部門的目標、存在的風險,并評價管理層采取的風險監控活動的有效性。再次,應當以企業總體風險組合的觀點看待風險,協調各部門共同管理企業,從全局角度識別并評價風險,提出改進建議來協助企業管理層履行其職責,以保證企業目標的實現。
4結束語
內部審計參與企業風險管理是內部審計的發展方向,是環境因素和內部審計自身因素共同作用的結果。這不僅為內部審計的發展提供了契機,也有利于企業在風險管理的過程中采用先進的審計方法和技術手段,強化內部審計職能,積極探索,勇于創新,使企業在競爭中處于優勢地位,實現管理最優、效益最佳的發展目標,并開創審計工作的新局面。
【摘要】 在理論界、監管層和實務界,企業風險管理已引起越來越高程度的重視。文章從內部審計與企業風險管理全面結合出發,設計了包含企業風險管理運行系統和保障系統在內的企業風險管理基礎審計模式。在該模式中,內部審計能夠實現對企業風險管理運行過程的持續跟蹤,切實發揮內部審計在企業風險管理中的作用。
【關鍵詞】 內部審計;企業風險管理(erm);保證;咨詢
自美國 coso 委員會于2004 年4月頒布《企業風險管理框架》(enterprise risk management framework,以下簡稱erm框架)后,理論界對erm的研究風起云涌,監管機構對于erm的規范不斷推出,實務界對erm的嘗試不斷增多,如北美、歐洲有11%的組織擁有了完全實施的erm,90%的組織正在建立或者想建立erm (james roth,2006);《財富》世界500強企業截至2004年底有近40%實施了erm,30%部分實施了erm;我國2006年針對部分先進企業和erm探索者的一項調查顯示,7.89%的企業建立并實施了erm,15.79%的企業已經建立但是尚未運作,71%的企業在一定程度上建立但流程缺乏相互約束,5.26%的企業沒有建立(王雅婷,2008)。可見,erm受到了越來越多的重視,如何促使企業盡快建立erm,保證企業順利實施和完善已經建立的erm,成為當務之急。
erm的精髓之一在于全員參與,如何清晰地界定各參與方的職責決定著erm的實施成效。內部審計作為組織治理結構四大支柱之一,在erm建立和實施中發揮著重要作用。iia(國際內部審計師協會)在《內部審計在企業全面風險管理中的作用》意見書中將內部審計在erm中能夠開展的活動劃分為三類,第一類是核心性保證活動,包括:就風險管理過程提供保證;就風險被準確評估提供保證;評價風險管理過程;評價關鍵風險的報告;審閱關鍵風險的管理。第二類是合理性咨詢活動,包括:促進風險識別與評價;指導管理層作出風險反應;協調風險管理相關活動;加強風險報告;保持和開發erm框架;促進erm的建立;經董事會批準制定erm戰略。第三類是不適當的活動,包括:設立風險偏好;對風險管理過程施加影響;提供管理層風險保證;對風險反應作出決策;以管理層立場做出風險反應;對風險管理承擔責任(russell a.jackson,2005)。
上述分類對于指導內部審計合理定位、提供適當形式的服務、保持獨立性具有一定的意義,卻無助于指導內部審計實現與風險管理過程的有機結合,容易導致內部審計與erm脫節,或者重視erm單一環節而忽視整體。為此,應設計一種能夠將內部審計與erm實現對接的方式,使內部審計能夠在erm循環中實現跟蹤式全程審計,實現內部審計對于erm的全程監督,為持續審計奠定基礎,該種模式稱為“erm基礎審計”。
erm基礎審計模式以coso委員會在企業風險管理框架中設計的內部環境、目標設定、事件識別、風險評估、風險反應、控制活動、信息與溝通以及監控八要素為基礎,考慮內部審計在erm中能夠開展的活動,將兩者進行有機結合,形成了如圖1所示的erm基礎審計模式(george matyjewicz等,2004)。
圖示外圍各項要素中,以建立和溝通組織目標為起點,依次經歷決定組織的風險偏好、建立適當的風險管理框架、識別阻礙目標實現的風險或事件、評價風險發生的影響和可能性、選擇和實施適當的風險反應、實施控制和其他反應活動、進行風險信息一致性溝通、監督和調整風險管理過程和結果八個環節,形成了erm的一個運行系統。在此基礎上,由管理層提供對erm過程的首要保證,進而由內部審計實施對erm的獨立客觀保證和咨詢,最終各方履行對董事會服務的職責,董事會對erm承擔最終責任,形成了erm的一個保障系統。該模式將erm與內部審計融合在一個完整的循環中,兩者實現了無縫對接;明確了內部審計和管理層在erm中的職責地位;同時,也便于內部審計通過深入各個業務環節開展對erm的全程審計。
1.建立和溝通目標。ceo負責制訂組織的整體戰略目標,處于不同管理層次、不同地域分布中的各業務單位、分部和子公司管理層負責制訂各自的子目標,子目標必須與組織整體目標保持一致,并與組織文化、價值觀、使命和愿景相協調,在整個組織員工中得到全面的溝通、清晰的解釋和正確的理解。內部審計應為下列各個方面提供保證:審查組織目標得到有效建立(如檢查目標建立依賴的信息、采用的程序、參與者的素質等);審查子目標與組織整體目標協調一致;審查目標在組織員工中得到全面的溝通和一致的理解。審計人員可以采用訪談關鍵人員、獲取和審閱相關資料、向不同層次人員發放調查問卷、實施控制自我評估等方法來開展審計工作,其中問卷設計應該提供可以由回答者進行評論的空間,以便于收集員工對目標理解情況的軟性信息。
2.確定風險偏好。組織的風險偏好決定了組織能夠承受的風險水平。風險偏好與目標設定有著直接的關系,體現在組織交易形式審批、資本預算限制、職責權限劃分、購買事項確定等各項活動中。確定風險偏好是董事會和管理層的責任,內部審計不能設定組織風險偏好或容忍度,但可以就風險偏好和容忍度水平的確定、量化、溝通,在政策、程序和實務中的有效實施情況提供保證。
3.建立風險管理框架。在不同組織之間甚至在同一個組織不同部門之間,由于文化氛圍、管理理念、工作目標、組織規模、業務復雜性以及與業務目標和風險容忍度相關的固有風險水平不同,erm框架可能會存在很大差別。例如,信息技術部門因為其工作的性質需要有完整的風險識別、評價框架,而人力資源部門可能僅需要一個明確的政策和程序性審閱。從事常規交易的部門一般具有相對成熟的erm框架,該框架中有明確界定的風險指示,與日常的業務運行過程相結合;而戰略管理部門卻不具有這樣正式的框架,需要進一步加以開發。某些組織擁有了較成熟的erm框架,而其他一些組織卻僅處于erm的計劃階段、萌芽階段甚至無知階段。
董事會和高級管理層負責建立和管理erm框架。審計人員不能參與設計erm框架,但是需要依賴他們的判斷,結合組織的實際對erm框架的適當性做出結論,發現框架結構和功能中的缺陷。具體的審查內容包括:審查erm框架的組成要素;審查在組織政策、治理框架、實務操作中所體現出來的風險觀點和價值;審查風險管理政策和指南的實用性、靈活性和自我引導性;審查員工對風險管理含義的理解和對風險管理技術的掌握情況;審查管理層對風險管理的支持、對公司文化的培育情況;審查風險管理實務按框架期望持續運行情況;審查框架動態調整、監督和自我評價管理情況。
4.識別風險。識別風險是對組織正在和將要面臨的風險加以判斷、歸類和鑒定風險性質的過程,換言之,即確定組織正在或將要面臨哪些影響組織目標實現的風險。風險識別是管理層的職責。內部審計在風險識別中的主要工作包括:審查風險識別的充分性,即與組織整體目標和戰略相關的、涉及組織整體和分部層次的主要風險是否均已被識別出來,是否存在未被識別的風險,并提醒管理層注意;審查風險識別的一致性,風險定義、分類是否在組織中得到統一的運用。對于發現的風險識別不完全、不一致、忽視風險等情況,內部審計應采用特殊審計程序并加以報告。
5.評估風險。評估風險是指采用定性與定量相結合的方式,估計風險影響的大小和發生的可能性,在二者結合的基礎上,對風險進行排隊,進而實施不同關注。實施風險評估是管理層的責任。內部審計應就風險是否被準確評估提供保證。具體可以采取兩種方式:(1)對管理層的風險評估結果進行再檢驗,即掌握風險評價的系統方法,對風險成因、影響后果、發生頻率等作出綜合分析,根據“風險值=風險概率×風險影響”的計算結果,對風險級次進行排序,對不恰當的風險評估予以更正;(2)對管理層的風險評估能力進行審查,如審查管理層的風格(激進與穩健的管理者對于相同風險的賦值往往存在較大差別)、采用的風險評估方法、對相關信息的掌握程度、對成本效益的考量、對相關部門或人員意見考慮的幅度,等等。
論文關鍵詞:企業風險管理;審計;案例研究
論文摘要:本篇論文通過回顧西方先進的風險管理理念、理論、方法、技術以及國內部分學者關于風險管理的研究成果,以coso2004年9月制定的《企業風險管理—整合框架》為理論基礎,以中國某集團為案例研究對象,運用內部審計方法和程序對某集團風險管理八要素進行審計分析和評價,對風險管理理論如何在集團企業實踐運用進行了探索和研究,提出企業應逐步建立風險管理系統,為企業在市場經濟的大潮中保駕護航。
企業從無到有、從小到大的發展過程,如同人的成長要經歷幼年、青年、中年、老年等階段一樣,也要經歷不同的階段。在每一階段上都具有不同的特征和遇到不同的困難。隨著現代社會的發展,經濟環境變得瞬息萬變,市場競爭越來越激烈。與此同時,企業需要面對的問題越來越多,面臨的風險也越來越大,這樣就迫使企業必須花費更多的精力對付各種風險。
在市場經濟中有許多失敗的企業,他們的失敗各有其因,但也有一些共同的原因,那就是不重視風險管理,對風險的控制力非常弱。本文研究的問題是面對永遠在變化著的社會環境和經濟環境,企業如何運用內部審計的理論、方法、程序分析自身風險管理現狀,找出問題和不足,提出改進措施和建議,運用先進的風險管理理論對動態變化的風險進行管理,從而實現目標,使企業能夠長期生存發展。
風險管理理論發展至今,不同的學科、不同的專業機構、團體、研究學者有不同的認識和理解,于是產生了不同的理論派別。本文的理論框架主要來源于美國coso委員會2004年9月制定的《企業風險管理——整合框架》、國際內部審計師協會2004年1月修訂的《內部審計實務標準-專業實務框架》。
一、公司簡介
某集團有限公司是中國最大的肉制品生產企業之一,其產品包括冷鮮肉、冷凍肉、以及以豬肉為主的低溫肉制品、高溫肉制品。集團總部設于中國江蘇省南京市,擁有多處冷鮮肉、冷凍肉生產基地及深加工肉制品生產基地。集團擁有最先進的生產設備和工藝技術,以其獨有的技術方法,研制出一系列符合消費者口味的優質產品?;谌庵破窐I務的經驗,集團于1997年開展冷鮮肉和冷凍肉業務。2002、2003年,冷鮮肉、冷凍肉的市場占有率分別位列中國大陸第二名、第三名。低溫肉制品,自2002年至2004年,其市場占有率連續三年位居中國大型零售商銷售首位。
二、公司風險管理要素審計評價程序及結論
盡管某集團在香港聯合交易所主板上市,但其實質還是一家中國民營企業,其并沒有建立專門的風險管理組織機構、人員、系統,公司風險管理處于“憑感覺進行風險管理”的階段,只是由管理層根據調查分析、經驗總結,識別、列出公司面臨的四大類十三種主要風險,并制定了一些防范措施。公司審計部作為監督檢查部門,每年至少兩次從集團層面對風險管理進行整體評價,并在每季度對分、子公司執行例行審計過程中,重點關注風險管理狀況。以下試從集團公司層面,以《coso風險管理——整合框架》(以下簡稱coso框架)中所列八要素為線索對公司風險管理進行分析、設計審計評價程序、提出審計評價結論。
(一)內部環境
1.理論描述。內部環境包含組織的基調,它影響組織中人員的風險意識,是企業風險管理所有其他構成要素的基礎,為其他要素提供約束和結構。
2.審計評價程序。
(1)設計風險相關文化調查表對風險管理的內部環境進行調查;
(2)審查公司經營決策、管理方針政策、規章制度、行為準則等是否反映了公司的風險管理理念、誠信和道德價值觀。
3.審計評價結論。公司的風險管理理念屬于風險偏好型,提倡抓住機會,大膽開拓。但對風險管理理念沒有一個書面的說明性的陳述,這些理念存在于董事會及高級管理層的頭腦中,通過收購決策、政策、行為準則、各種規章制度反映出來并加以強化。
(二)目標設定
1.理論描述。設定戰略層次的目標,為經營、報告和合規目標奠定了基礎。每一個主體都面臨來自外部和內部的一系列風險,確定目標是有效的事項識別、風險評估和風險應對的前提。
2.審計評價程序。
(1)獲取管理層對目標的書面陳述;
(2)通過訪談、詢問,獲取公司員工對公司目標的知曉、理解程度的信息;
(3)通過查閱管理層的述職報告,獲取目標實現進展情況的信息。
3.審計評價結論。公司管理層對風險管理目標沒有明確的書面陳述,公司員工對公司的目標知之甚少,經審計調查總結,目標如下:
戰略目標:創中國第一肉食品品牌;
經營目標:顧客滿意最大化,品牌價值最大化;
報告目標:財務報告真實、完整,符合《上市規則》要求;
合規目標:遵循國家、行業、企業的法律、法規、制度。
(三)事項識別
1.理論描述。管理當局識別將會對主體產生影響的潛在事項——如果存在的話,并確定它們是否代表機會,或者是否會對主體成功地實施戰略和實現目標的能力產生負面影響。帶來負面影響的事項代表風險,它要求管理當局予以評估和應對。
2.審計評價程序。
(1)查閱行業有關資料,詢問、訪談高層、中層、一般職工,審查風險識別是否充分、全面;
(2)審查風險識別過程資料,判斷是否根據內外部環境的變化定期進行修正。
3.審計評價結論。公司管理層根據調查分析、經驗總結,識別、列出公司面臨的四大類(行業風險,業務風險,財務風險,合規風險)十三種主要風險:
(1)爆發動物疫情;
(2)突然而來的業務干擾;
(3)消費者口味及喜好的變化;
(4)產品質量出現問題而導致對人身的傷害;
(5)原材料價格波動;
(6)產品未能迎合市場需求;
(7)主要管理層的流失;
(8)其他實體誤用、盜用本公司商號(商標);
(9)資金安全管理;
(10)資產安全管理;
(11)會計系統故障;
(12)違反《上市規則》;
(13)違反食品管理、環保法規有關法律規定。
經審計調查,公司管理層對風險識別較為充分,且計劃每年分兩次(期中和期末)對公司面臨的風險進行全面的核查,若發現風險變化,即使進行調整,但未能嚴格實施。而對于機會,管理層沒有進行專門識別。
(四)風險評估
1.理論描述。風險評估使主體能夠考慮潛在事項影響目標實現的程度。管理當局從兩個角度——可能性和影響——對事項進行評估,并且通常采用定性和定量相結合的方法。
2.審計評價程序。獲取管理層對風險進行定性評估的資料,評價其評估的合理準確性以及是否根據內外部環境的變化進行動態修正。
3.審計評價結論。公司管理層對識別出來的十三種風險根據多年的從業經驗和過去的風險發生的記錄進行了定性的評估,由于缺乏相關的人才、技術、資料,尚未對風險進行過定量分析。公司管理層計劃每年分兩次(期中和期末)對公司面臨的風險進行全面的核查和平谷,若發現風險變化,及使進行調整修正,但未能嚴格實施。
(五)風險應對
1.理論描述。在評估了相關的風險之后,管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中,管理當局評估對風險的可能性和影響的效果,以及成本效益,選擇能夠使剩余風險處于期望的風險容限以內的應對。
2.審計評價程序。通過訪談、詢問,了解管理層采取的風險應對策略及理由,評價其合理性。
3.審計評價結論。公司管理層對識別出來的重要風險制定了相應的防范措施,從風險應對的角度看多為預防性措施,以降低風險發生的可能性,而沒有采取購買保險等風險分擔措施。
(六)控制活動
1.理論描述。控制活動是幫助確保管理當局的風險應對得以實施的政策和程序??刂苹顒拥陌l生貫穿于整個組織,遍及各個層級和各個職能機構。它們包括一系列不同的活動,例如批準、授權、驗證、調節、經營業績評價、資產安全以及職責分離。
2.十三種風險審計評價程序。公司管理層針對識別出來的十三種風險,制定了防范措施,審計部門相應地制訂了審計評價程序。
3.審計評價結論。經審計調查,公司管理層對于風險管理的控制活動要素較為重視,制定的風險防范措施較為全面、嚴密、可操作,大部分得到了嚴格有效執行,但也有部分單位未能嚴格執行風險防范措施。
(七)信息與溝通
1.理論描述。有關的信息以保證人們能履行其職責的形式和時機予以識別、獲取和溝通。信息系統利用內部生成的數據和來自外部渠道的信息,以便為管理風險和作出與目標相關的知情的決策提供信息。有效的溝通會出現在組織中向下、平行和向上的流動。
2.審計評價程序。
(1)走訪公司it部和公司內部報刊編輯部,了解評價公司的信息系統的建設和運轉情況。
(2)訪問公司網站,觀察其運轉情況;
(3)使用公司的局域網、內部電話網,閱讀公司內部報刊,評價其運轉情況和功效發揮情況。
3.審計評價結論。公司設立了it部,建立了較為完備、先進的信息管理系統,通過因特網、內部局域網、內部電話網、內部報刊等手段將信息以文字、聲音、圖片等形式進行傳遞,并制定各種級別的會議制度進行面對面的信息溝通。但沒有建立專門的風險信息生成及傳遞通道。
(八)監控
1.理論描述。對企業風險管理進行監控——隨時對其構成要素的存在和運行進行評估。這些是通過持續的監控活動、個別評價或者兩者相結合來完成的。持續監控發生在管理活動的正常進程中。
2.審計評價程序。
(1)審查內部定期(每天、每周、每月)上報的管理報表(報告),評價風險管理日常監控職能發揮情況;
(2)審查內部審計部門的審計計劃、風險管理審計報告,評價其監控職能的發揮情況。
3.審計評價結論。公司管理層通過例行的控制活動、信息報告反饋系統對經營管理狀況進行日常的監控;通過內部審計部門對公司所控制的所有單位、項目進行例行審計,報告中時常反映一些被審單位風險管理狀況的信息,對風險管理的監控較為及時,但對公司總部層面的風險監控較為薄弱。
三、結語
企業要想在市場經濟的大潮中基業長青,必須對面臨的各種風險進行系統地、全面地管理,這已是不爭的事實。借鑒西方先進的風險管理理念、理論、方法、工具,結合本企業具體實際情況,對內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個風險管理要素逐一進行分析和評價,查找問題和不足,對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善,逐步建立企業風險管理系統,是解決風險管理問題的最佳實務。企業應當增強風險意識,逐步建立險管理系統,為企業保駕護航,這樣企業才能在市場經濟的大海中劈波斬浪,揚帆遠航。
論文關鍵詞:內部審計 風險管理 公司治理
論文摘要:在新經濟形勢下,尤其是經歷美國安然公司倒閉事件之后,世界范圍內的內部審計環境發生了變化,內部審計技術不斷更新,內部審計理論也在不斷發展。本文將探討內部審計在企業風險管理中的作用。
1 內部審計的概念
內部審計是我國審計組織體系的重要組成部分,內部審計是一種獨立、客觀的保證工作與咨詢活動,它的目的是為組織增加價值并提高組織的運作效率。它采取系統化、規范化的方法對風險管理、控制及治理程序進行評價,提高它們的效率,從而幫助實現組織目標。
2 內部審計與風險管理的關系
內部審計與企業風險管理有著緊密的聯系,風險管理是公司治理的核心,內部審計作為公司治理的自我調控機制,作為內部控制的重要組成部分,是解決信息不對稱的重要措施,與風險管理密不可分。而隨著風險管理導向內部控制時代的來臨,內部審計的工作重點也發生了變化,現代內部審計除了關注傳統的內部控制之外,更加關注有效的風險管理機制和健全的公司治理結構。在風險導向內部審計的觀念下,風險管理成為組織發展的關鍵,促使內部審計的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。由于內部審計的自身特點,其參與風險管理擁有一定的優勢。內部審計機構和人員熟悉本單位情況,對企業面臨的風險更了解;內部審計機構和人員是企業內部成員,其利益同企業發展、興衰密切相關,對防范企業風險、實現企業目標有著更強烈的責任感;內部審計機構不同于其他部門,不從事企業具體業務,其職能獨立于業務管理部門,可以跳出業務各環節的圈子,從全局出發、綜合客觀地對風險進行識別和評價,采取有效的風險控制措施。內部審計機構的獨立性使其不同于其他風險管理部門,作為高層次的監督部門,其風險評估意見直接報告給董事會、審計委員會,足以引起管理當局的重視。內部審計的獨立地位還便于其充當企業長期風險策略與各種政策的協調人,通過對長短期計劃的調節,調控、指導企業的風險管理策略。在現代企業經營管理中,隨著內外部環境的變化,各種風險因素增多,內部審計工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用,同時,內部審計也被賦予了更多的職責和使命。近年來,在美國發生的財務造假案導致了安然、世通等跨國大公司的破產,同時也導致了安達信這樣一個有著90多年歷史的世界級會計師事務所退出了歷史舞臺。在我國也曾出現“銀廣廈”、“藍田股份”、“億安科技”等坑害中小股民的事件。所有這些事件的發生,在全球引起了各方對民間審計機構誠信問題的探討,同時也觸動了人們對企業內部控制的進一步思索。內部審計作為內部控制的重要組成部分,在公司治理和揭露財務造假中扮演著十分重要的角色。
3 風險管理中內部審計的作用
3.1 內部審計在風險管理中的識別和檢查作用內部審計人員可以通過分析環境和風險的變化,檢查內部控制系統是否已經更新,是否能控制新的風險;還可以通過后續跟蹤管理層對審計中發現的問題以及對例外事項的整改情況,檢查采取的控制措施是否奏效,將分析結果和建議提交給管理層以便評估和改進控制措施。內部審計人員可以運用自己在風險管理方面的專業知識和經驗,從獨立、客觀的角度發現問題為管理層和審計委員會提供有價值的信息,從而提高公司整體的風險管理水平。
風險管理的首要環節是要能夠對風險做出正確的識別,內部審計有助于識別組織風險,因為它正是以風險敏感性分析為起點開展工作的。內部審計人員通常需要關注的風險主要包括.財務和經營信息的不真實、不完整;政策、計劃、程序、法律和標準執行不到位;資產流失;資源浪費或者無效使用;不能達到公司的目的和戰略。在決定所要審計的內容之前,內部審計師不僅要評估和備選內容相關的風險的類型,還要評估當前大概有多少風險。按照各項待審事項的風險水平進行排列,以此為基礎結合實際情況決定首先要審查的風險事項。
3.2 內部審計在風險管理中的管理與協調作用在企業的組織架構中,內部審計機構一般都處在企業的董事會、總經理和各職能部門之間的位置,正是由于這種特殊的位置使得內部審計人員能夠充當企業長期風險策略和各種戰略決策的協調人。內部審計可以客觀地從企業全局的角度進行分析和管理風險:可以從企業的利益和實際情況出發,清醒地識別和評價風險,提出防范風險的有效建議,調控、指導企業的風險管理策略。內部審計人員可以憑著其對企業全面而深入的了解,對風險管理過程進行管理,促進被審計機構經營和管理的改善,贏得他們的尊重和信任。不僅各部門有內部風險,而且各管理部門還有共同承擔的綜合風險,內部審計師作為獨立第三方,在部門間的風險管理中起著協調作用,協調各部門共同管理企業投資決策帶來的風險。如:公司采購部門為節約采購成本或者為完成既定的采購成本控制目標,可能會忽視對材料質量、規格、型號等方面的檢查,導致采購品的質量、規格等相關要求不能得到嚴格的控制,這種隱形的風險會在生產車間或銷售部門反映出來,最終給企業造成巨大損失。因此,對風險的認識、防范和控制需要從全局考慮,而各業務部門又很難做到這一點。
3.3 內部審計在風險管理中的顧問與咨詢作用由于內部審計人員對本組織的情況了解的比較全面,也比較深入,對提供咨詢服務工作有著獨特的優勢。內部審計可以通過評估并運用風險管理的方法,幫助組織解決風險問題;通過咨詢工作積極協助企業風險管理過程的建立。在改善管理層的風險管理流程的效果和效率方面,內部審計可以協助管理層和審計委員會進行檢查、評價、報告和提出建議。有些企業盡管也有風險管理部門,但它屬于管理部門的一個職能部門,向總經理報告,不具有獨立性,其意見有時會屈服于管理當局的壓力。如:風險管理部門對某投資項目分析后發現風險太大不適合投資,但是總經理好大喜功,他可能會依靠個人的影響促成該項目的實施,這使得風險管理部門的作用受到限制。而內部審計機構獨立于管理部門,其風險評估的意見可以直接報給董事會,這會加強管理當局對內部審計機構意見的重視程度。