前言:中文期刊网精心挑选了审计与风险管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
审计与风险管理范文1
1.风险、风险因素、风险事故和损失。
风险是在一定环境和限期内客观存在的,并能导致费用、损失与损害产生的,但可以认识与控制的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中,涉及到风险因素、风险事故和损失三个方面。
风险因素,是指能够引起或增加风险事件发生机会或损失的严重程度的因素。风险因素可分成三类:(1)物理因素,是指增加风险发生机会或损失严重程度的直接条件;(2)道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素;(3)心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素。
风险事故,是指在风险管理中直接或间接造成损失的事故,因此可以说它是损失的媒介物。
损失,是指非故意的、非计划的和非预期的价值的减少,通常以货币单位来衡量。损失分为直接损失和间接损失两种。直接损失是实质性的损失,间接损失则包括额外费用损失、收入损失和责任损失三种。额外费用损失指必须修理或重置而支出的费用;收入损失指由于该设备损毁以至无法生产成品而减少的利润;责任损失指由于过失或故意致使他人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。
2.风险管理。
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的成就而起来的一门新的管理科学。对什么是风险管理,一些学者提出了自己的看法,美国学者克里斯蒂认为风险管理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯和理查德·汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理;简而言之,风险管理就是某个组织或个人对可能发生的意外或损失的识别、衡量、,并能用最经济合理的方法控制处理风险,以实现最大的安全保障的科学管理方法。所以,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或效果;(3)风险管理是一种管理方法;(4)这种管理方法应渗透到管理的各个环节。
内部审计之所以涉足风险管理领域,主要有以下几个原因:
1.企业面临的风险日益增大。近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员应是企业管理的咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。
2.内部审计对发展的渴求。内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,《审计署关于内部审计工作的规定》中明确规定:对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。把风险管理作为内部审计的重要领域直接写入了内部审计的定义。这也说明了内部审计是随着企业和社会经济的发展而发展的。
3.内部审计能够在风险管理中发挥独特的作用。内部审计在风险管理中的独特作用有三:
(1)能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过渡道德风险。如,采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗藏的风险会在生产车间或销售部门反映出来,最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门不从事具体业务活动,独立于业务管理部门之外,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
(3)内部审计部门的建议更易引起重视。有些尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门之外,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
4.外部审计的
近年来,注册师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计部门和内部审计人员对企业面临的风险更了解;内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
三、内部审计如何参与风险管理
与一般的风险管理部门进行的风险管理相比,内部审计部门所进行的风险管理既与其有紧密的联系,又有区别。他们的联系表现在,两者的目的是统一的,都是为了降低企业的风险;两者的区别在于他们在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:第一,评估风险识别的充分性;第二,评价已有风险衡量的恰当性;第三,评估风险防范措施的充分性,并提出改进措施。
1.评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
2.评价已有风险衡量的恰当性。风险衡量是指各种管理技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否适当,对不恰当的估计予以更正。
审计与风险管理范文2
【关键词】风险管理;内部审计;优势;作用
一、企业风险和风险管理
风险是指在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性。企业在运行过程中往往存在着大量的战略风险、经营管理风险和作业风险,它们很可能导致企业费用和损失的发生,制约企业的生存、发展和获利能力。企业风险包括内部风险和外部风险。外部风险是指外部环境中对企业目标的实现产生影响的不确定性,其主要来源于以下因素:国家法律、法规及政策的变化;经济环境的变化;科技的快速发展;行业竞争、资源及市场变化;自然灾害及意外损失等。内部风险是指内部环境中对企业目标的实现产生影响的不确定性,其主要来源于以下因素:企业治理结构的缺陷;企业经营活动的特点;企业资产的性质以及资产管理的局限性;企业信息系统的故障或中断;人员的道德品质、业务素质未达到要求等。由此可见,风险的存在具有客观性和不确定性,可以被管理人员预测,并加以控制和规避。
企业风险管理作为一种特殊的管理功能,是一门新的管理科学。根据中国内部审计具体准则第16号的规定,风险管理是对影响企业目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为企业目标的实现提供合理保证。风险管理是一个系统过程,它包括风险的识别、评估和控制三个环节。不同企业风险管理的方法不尽相同,但在风险管理过程中的目标是一致的。一般包括:研究界定影响企业经营战略及业务活动的各类风险,并按影响大小或程度进行排序;确定企业在各项经营战略及业务活动中能够接受的风险水平;制定并实施风险控制计划,以尽可能地减少风险造成的损失;定期对风险及控制计划进行检查评估,改进风险管理措施;定期了解风险控制结果,确保企业经营战略目标的实现。
二、内部审计应利用自身优势,积极参与企业风险管理
内部审计在参与企业风险管理中的优势主要有以下三个方面:(1)内部审计具有独立性、客观性优势。内部审计独立于业务管理部门,不参与企业的生产经营业务的具体管理,不代替业务管理部门制定具体管理制度,不参与各种业务活动的具体操作,这使得内部审计可以从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。相比较而言,某个直接负责经营运作的业务部门或企业由于自身业绩和责任的影响,对风险的反映和处置会更多地站在自身角度考虑而缺乏及时性和客观性。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,更容易引起重视,对于其他部门和下属单位而言更具有独立权威性。(2)内部审计具有全局性、综合性优势。企业的风险潜藏在各个方面,许多风险也会相互影响和传递,有时一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能会使整个企业产生损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计在企业管理中是一个综合性的部门,审计的范围覆盖企业的各个方面,掌握的信息是多方面的,具有从全局考虑分析判断风险的综合性优势。内部审计对企业风险管理进行的系统性、专业性监督检查和评价,会权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位,这是其他部门难以做到的。(3)内部审计具有内向性、连续性优势。内部审计人员长期在企业内部工作,对企业面临的风险更了解,对风险的各种影响因素更便于做深入的调查,而且对企业风险的转化影响,风险管理措施效果更便于进行连续的跟踪,内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。外部审计或咨询机构可能在独立性和专业性方面具有一定优势,但是却很难像内部审计一样对企业风险进行连续性关注,他们只能阶段性地按约定范围提出咨询意见,而且咨询成本也往往大大高于内部审计。另外,内部审计人员作为企业员工,企业目标是否能够实现,最终也会损害内部审计人员的切身利益,因此内部审计人员会对企业风险管理的效果和建立风险管理的长效机制有着更强烈的责任感。
既然内部审计在风险管理中具有独特的优势,那么就应该充分发挥自身的这种优势,积极参与企业风险管理,把风险管理作为贯穿内部审计工作的主线。在实践中,具体做法如下:(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。(5)追踪审计时,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。追踪审计应该将注意力集中于最严重的潜在的问题上,通过持续追踪,确保对于重大的审计发现,相关部门采取措施予以纠正。
三、内部审计应在企业风险管理中充分发挥作用
审计与风险管理范文3
一、企业风险管理
企业风险管理,指企业围绕总体经营目标企业, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。它由一个企业的董事会、管理经营层和员工共同实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了企业所有的管理层次和管理领域,方法也更为结构化和规范化。
二、企业内部审计
(一)内部审计概念
国有企业内部审计依据国家有关法律法规、财务会计制度和企业内部管理规定等,对企业的财务收支、财务决算、全面预算、经济责任、资产质量、运营状况、经营绩效、建设项目及其他有关经济活动的真实性、有效性和效益性进行监督和评价工作,及时发现问题,明确经济责任,纠正违规行为。它通过检查和评价经营活动及内部控制的适当性、合理性和有效性来促进企业目标的实现。内部审计是国有企业内部的一种独立客观的监督和评价活动,也是企业内部不可或缺重要的管理工具和手段。目前一些国有企业内部审计已经从单纯的财务会计审计跨越到了企业经营管理领域,以改善企业的管理素质和提高管理水平为目的审计。而内部控制审计和风险管理是其中的重要组成部分。
(二)国有企业内部审计现状简析
内部审计是现代企业管理和管理控制的重要组成部分。目前,一般国有企业大都设置了内部审计部门,但一些国有企业内部审计工作同时存在着以下一些的问题。比如:鉴于管理级次问题,一些内部审计部门不能向股东(大)会、董事会、监事会或企业审计委员会提交审计检查报告,内审机构设置缺乏独立性;内部审计工作范围局限于差错防弊、财务收支的检查,较少触及现代国有企业业务流程方面的风险管理和监测,从而未能就国有现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确;内部审计人员的水平、内审方法、知识的更新速度和内部审计的创新能力、应变能力等有待提高和完善, 高素质、复合型审计人才匮乏,内部审计缺乏一套系统化和科学化的内审程序等等。
三、内部审计参与企业风险管理的主要动因
近几年来,随着经济的发展,特别是经济全球化的加深以及欧债危机持续发酵和全球经济的持续低迷,企业面对的是一个充满风险的外部世界,使企业的经营环境变得日趋复杂。
随着信息化时代的到来和企业管理的网络化普及,现代企业的管理体制、经营业务流程、内部控制、经营理念等将发生了变革。知识经济的来临和高科技迅猛发展也使企业面临比以前更大的风险。企业自身为适应环境求得生存也在不断的变革中求发展,而变革是企业风险产生的一个重要来源。也是内部经营环境促使内部审计参与企业风险管理主要动因之一。
可见,企业风险无处不在,因此,企业所有者和经营者必须树立风险意识,把减少企业面临的风险作为企业实现目标的关键。今天,企业对于防止可能发生的风险与损失以及损失后如何采取补救措施,比以往任何时候都更加关注,从而要求企业对其自身存在和面临的各种风险以及可能存在与发生的所有风险进行识别、衡量、评价,并在此基础上制定和实施对企业最优化的风险处理方案。内部审计的目的在于增加企业的价值和改善企业的经营。因此,内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。
四、内部审计如何参与企业风险管理
内部审计的作用是监控、评估和分析企业的风险,审查信息及企业对法律法规的遵守情况,向企业董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、企业治理是有效的。内部审计对企业风险管理一般应包括以下方面:
(一)评价企业风险管理组织架构的合理性、有效性
检查企业是否已经建立健全为实现风险管理目标而设置的内部管理层次、管理结构和配备必要的管理人员。审查企业内部的如财务会计部门、销售部门、采购供应部门和人员之间的权限分工、职责是否明确、不相容的岗位是否相互分离,岗位之间是否相互牵制内容等。对企业风险管理组织架构的合理性、有效性进行评价并提出改进意见和措施。
(二)对企业风险管理目标进行合理性评价
风险管理的目标是指企业通过实施必要的风险管理将风险控制在一个可控的水平,从而保证企业经营目标的实现。内部审计在评价企业风险管理目标时,要对本企业的风险状况进行辨析,不同企业应对损失的能力有所不同,因而所设定的风险可控水平是不同的。不同的风险管理目标,决定着具体的损失前目标和损失后目标的不同, 为实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。
(三)对风险进行有效识别
风险识别是对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。
(四)提出改进和防范的措施
风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
风险衡量是应用各种管理科学技术,采用定性与定量分析结合的方式,最终定量估计风险大小,找出主要的风险来源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计要对已有风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。风险的防范措施就是为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。采用改进和防范措施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)等。
内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,应提出改进措施和建议,以强化企业的风险管理,降低风险损失。此外,内部审计参与风险管理应当评价企业在风险管理运作的各个环节所制定的相关规章制度,并监督实施。
审计与风险管理范文4
一、风险管理的概念
风险管理是指识别风险并设计控制风险的方法,其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理,首先,要求在组织中发现那些高风险暴露的领域,对高风险暴露点的识别要通过对组织的分析进行,这种分析既包括审计人员客观的测试,也包括主观的判断。其次,将分析的结果与认为可接受的风险水平相比较。最后,实施必要的变革,使组织的风险暴露水平与其所设定的目标相一致。风险管理所涉及的范围是十分广泛的,包括投资风险管理、外汇风险管理、利率风险管理、商品价格风险管理等。
二、风险管理是公司治理的核心
1、公司治理的概念。公司治理,从狭义的角度进行理解,是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解,是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排,其决定企业目标的实现。
从主要功能上来说,公司治理的范围可以包括:股东、董事会——决策者;管理阶层——执行者;审计人员(包括内部审计人员及外部审计人员)——监督者;其他利益关系人(例如:顾客、供应商、债权人及员工等)——影响者等。从这个角度来讲,内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此,会计信息系统本身是公司治理结构的组成部分,而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件,而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计,并对其公允性发表审计意见,从而起到增强会计信息可信性的作用。而内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解,与外部审计人员相比,内部审计对公司治理发挥的作用在层面上更为深入,在范围上更为广泛。
2、公司治理的核心是风险管理。在上述公司治理定义中,我们可以看到,公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开;风险直接影响目标的实现;而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度;治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外,从解释公司治理问题产生的经济学观点来看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及理论中提及的问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,因此公司治理中包含一些战略性的风险管理的因素。例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理当局(CEO)在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此,风险管理是公司治理的核心。
三、内部审计作为内部控制的重要部分,与风险管理密不可分
1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理问题进行深入思考。比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的可能性;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
2、内部审计理论的新发展。顺应内部审计理论及实务的变化,国际内部审计师协会(IIA)在1999年对内部审计重新定义,即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。”
这一新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
3、风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:(1)能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
四、在风险管理目标下,公司治理与内部审计的整合
美国一个专门研究内部控制的发起人企业委员会(COSO)于2001年起着手进行企业风险管理研究,并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架,其在为企业风险管理研究项目制定的目标中明确指出:风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌入到某种形式的风险管理过程中去。而在内部控制方面,将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。在COSO报告的内部控制定义中,特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”,由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证,同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约,减轻信息不对称的影响,并对人形成一定的控制约束,因此从一定程度上说,内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计,也不可避免地在风险管理的基础上,与公司治理的目标交汇。
在新的内部审计范式下,内部审计参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险专家,通过对风险的把握来评价公司治理及内部控制,并促进公司治理和内部控制的改善,从而实现对风险的掌握与驾驭。在风险管理这一统一的核心下,公司治理与内部控制实现了一定程度的整合,为组织增加了价值;同样,在风险管理这一统一的核心下,内部审计与公司治理实现了整合。在公司治理中,内部审计发挥着越来越重要的作用。
鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用,
审计与风险管理范文5
关键词:内部审计 现代企业 风险管理
中图分类号:F239.45 文献标识码:A
文章编号:1004-4914(2010)08-256-02
随着经济全球化及国际化程度的加深,企业经营环境日趋复杂,经营风险大为增加。企业、行业之间的竞争日益加剧,如何防范风险,加强风险管理,已成为企业经营者面临的重要课题,建立和完善风险管理体系已成为企业生存发展的重要而紧迫的任务。作为内部审计,由于其在企业董事会及其审计委员会和加强企业内部控制的特殊性,在风险管理、内部控制以及公司治理、组织运营中的地位与作用日趋突出,成为关系企业成败兴衰的重要因素。内部审计具有相对独立性,更能从企业全局角度,清醒识别与评估风险,比外部审计更能切实地提出防范风险的有效建议。本文从内部审计参与企业全面风险管理的几个方面进行探讨。
一、内部审计参与企业风险管理定位概述
1.内部审计是组织内部的一种独立客观的监督和评价活动,通过审查和评价经营活动及内部控制的适当性、合法性和有效性,来促进组织目标的实现。
2.风险管理是对影响到策略或目标达成的风险进行辨识、分析,并作出应对和决定愿意接受的风险程度。企业风险管理是一个过程,决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确地评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
3.企业对于风险的管理应该从总体上来考虑。风险管理部门是企业的专职部门,隶属于管理部门,独立性不够强,而现代企业中的内部审计部门独立于管理部门,可以更独立地对风险进行评估,并将建议直接报送董事会,所以提出的建议会更有权威性。因此内部审计随着我国企业风险管理规范的逐步完善,参与企业风险管理已经成为趋势,二者的有效融合使企业能够有效地应对不确定性以及由此带来的风险和机会,增强企业创造价值能力。
二、内部审计参与企业风险管理的现状
当前,内审部门的作用还仅仅停留在查错防弊,集中在财务领域中,未有效深入到管理和经营领域,只强调确认和测试控制完整性,而不重视强调确认和测试风险是否得到有效管理。审计建议侧重于强化控制、提高控制效率和效果,很少涉及规避风险、转移风险和控制风险,内部审计无法做到通过有效的风险管理,提高企业整体管理效率和效果。
企业对企业风险管理的认识,不全面,不深入,没有形成较系统的风险管理体系和科学的风险管理策略。管理层对风险管理工作的滞后和不正确的认识严重影响了企业的长远发展和战略目标的实现。
风险管理机制需要内部审计参与到管理及经营中,进行全面、及时的接触、交流和沟通,有效开展风险管理审计。
三、内部审计参与企业风险管理的发展趋势
1.内部审计部门自身发展的需要。由股东投资形成的企业资产的受托责任,向来就是重要的审计问题。对出资人负责必然导致企业风险的大小成为所要关注的重要信息,对风险管理进行审计成了必不可少的内容。
内部审计通过参与风险管理,可以全面评估企业的机会和风险,甚至可以在董事会允许的情况下制定风险管理战略,这样就会使内部审计部门从传统的被动服务方式向主动服务方式转变,进而使内部审计部门成为企业中的一个重要的角色。
由于内部审计部门更熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等,对于参与风险管理、实现企业目标会有更强烈的责任感,这些差异会弥补其在经验上的不足。因此,内部审计部门更适合参与本企业的风险管理。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
2.现代企业内部控制建设的需要。随着经济全球化及国际化程度的加深,企业面临的经营风险大大增加。减少企业面临的风险是组织实现目标的关键。没有良好的激励、约束机制,没有健全的公司治理结构,不仅使企业生存危机加重,也会使审计风险增大。内部审计作为企业内置的一个职能部门,必然应当成为企业风险管理的有效组成部分,风险管理审计会从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全,关键的控制点、执行是否有效,控制薄弱环节的治理和改进措施的可行性等提出认定,评价风险管理与控制对企业目标实现的影响程度。
四、内部审计参与企业风险管理的作用分析
1.检查与评价。内部审计可以通过运用风险管理方法,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层或审计委员会提供帮助。其中包括确定风险领域,评价风险控制程序的有效性,检查风险管理过程的效果。
2.管理与协调。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,清醒地识别和评价风险,提出防范风险的有效建议。内部审计可以凭着其对组织全面而深入的了解,对风险管理过程进行管理和协调,促进被审计部门经营和管理的改善,赢得他们的信任和尊重。
3.顾问与咨询。由于内部审计人员对本组织的情况最为熟悉,对其提供咨询有独特的优势。内部审计可以通过发现评估并运用风险管理的方法,帮助组织解决风险问题,通过咨询积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能。内部审计可以在改善管理层的风险管理流程的效果和效率方面,协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。
4.报告与防范。审计发现如何传递,审计成果如何利用,舞弊风险如何防范,所有这一切将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。一方面,内部审计要与相关部门进行沟通,对风险管理过程的充分性和有效性进行检查、评价并报告,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;另一方面,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
五、内部审计参与企业风险管理的流程
风险环境分析。通过评价企业的发展战略、经营计划以及宏观经济政策的变化和行业政策的变化等到影响企业的经营风险、财务风险,内部审计人员作出风险分析,并进一步考虑企业的风险管理措施能否适应形势,同时将分析的结果报送相关部门。
风险确认。风险确认就是在各种风险发生之前对这些风险的类型及发生的原因作出判断,以便实现对风险的估价和处理。内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出这些风险的原因。要区别不同情形,不仅关注企业内部风险,还要充分考虑企业外部风险。比如:财务和经营信息的不真实、不完整;各种规章制度及标准执行不到位;资产流失、浪费;影响企业的战略重组等,这些都要经过仔细甄别,按照风险水平得到有序确认。
风险评估。风险评估就是对已识别的风险事件进行定性分析或定量分析,来评价某一事件发生的可能性以及产生的影响。很多情形下的风险是不容易计量的,它可以采用概率和统计的方法进行风险估价,也需要主观判断不同结果发生的可能性,这就要求审计人员需要利用自己的经验,从客观的角度分析评价风险,进而提出专业的意见。
风险控制。风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业正常的生产经营。企业可以根据不同的风险来选择要采取的策略和方法,决定应该避免风险、接受风险还是降低风险。内部审计人员可以通过评价风险回报的合理性以及减少风险的有效性,来测试企业风险控制程序的有效性,并提出建议和改进措施,将风险降低至可以接受的水平。
风险监控。环境的变化会导致风险的变动,企业通过对内部控制系统运行的监控以及风险处理结果的评价,对风险管理进行持续的监控,保证风险管理的持续有效。内部审计人员通过对新的环境和风险的分析,来评价企业内部控制制度是否适应新的风险。
信息沟通。内部审计部门还需要将风险管理的相关信息及时告知管理层和相关部门及组织,通过信息的传递,可以使董事会和审计委员会等监督者了解风险管理的情况,使内部相关部门意识到存在的问题以及改进的方法,使外部相关利益主体对企业的风险管理产生信任。
六、内部审计参与企业风险管理的具体思路
1.明确内部审计的定位。实践中,企业应当将内部审计部门参与风险管理写入内部审计的章程,以正式的书面文件来进行规定,并得到企业高层的批准,就会使内部审计部门有了一个崭新的定位,新的定位有利于内部审计部门参与企业风险管理,进而提供独立的建议和评价。
2.营造良好的风险管理审计环境。要想有一个良好的风险管理审计环境,首先要求建立健全风险管理审计制度体系。制度体系的健全和完善,是降低审计风险的关键。企业应树立全面风险管理的新理念,根据自身情况制定符合自身特点的风险管理评价标准体系,规范管理部门、经营部门业务流程责任人的监督行为,在实际运用中还应进一步改进、深化风险管理审计的内容,并随着企业内外环境的变化而作出相应调整,持续不断地保证营造良好的风险管理审计环境。
3.内部审计应向风险导向内部审计方向发展。根据国际内部审计协会对内部审计的最新定义,内部审计是通过评估和改善组织的风险管理和控制的效果,为组织增加价值、促进其实现目标的。传统的控制导向的内部审计已经远远不能满足需要,现代内部审计除了关注传统的内部控制之外,更关注有效的风险管理机制和健全的公司治理结构。在风险导向为基础的内部审计观念下,年度审计计划与管理最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,分析、确认、揭示关键性的经营风险,成为内部审计的焦点。通过实现从“控制导向型”向“风险导向型”的转变,特别关注企业重大风险并且控制薄弱的领域,以此来加强风险管理与内部控制。进一步通过对风险的把握来评价企业风险管理和内部控制,提高整体管理效率和效果。
4.增强审计风险意识,建立健全审计内控管理制度。加强审计风险理论体系的研究,强化审计风险教育,增强审计风险意识。首先,审计机构和审计人员主观上必须高度树立风险意识,审计计划的安排要以风险导向为基础,要以满足审计质量要求为前提。其次,要建立健全审计内控管理制度。良好的审计内控管理制度是降低审计风险的有效保证。审计内控应贯穿企业风险管理审计的全过程,即从风险管理审计立项到审计终结,形成一个比较全面的审计质量保障体系,从制度上规范审计主体的行为。出台具体的风险管理审计操作规定,指导审计人员规范操作。实行审计资料承诺制、审计复核稽查制和审计责任追究制等到内控管理制度,尽力规避审计风险。此外,内部审计还应借鉴当前国际上先进的内部控制研究的经验,对机构的内部控制进行有效监督,不断改善企业的内部控制制度,为企业开展风险管理奠定良好的基础。
5.创新风险审计技术和方法。先进的审计技术和方法的运用,有利于提高审计效率,保证审计质量。针对企业风险管理审计有别于常规的财务收支审计,因此要加大审计技术方法的创新力度,建立与风险管理审计相适应的现代审计技术和方法体系,强化以电子计算机技术为核心的现代技术与方法在风险管理审计中的应用,以审计方法的高技术含量达到提高审计质量、防范与降低审计风险的目的。
6.培养、造就一批胜任审计工作的审计人员。审计人员的审计工作扩展到风险管理审计,审计范围拓宽了,风险管理工作的复杂性决定了内部审计人员知识的全面性。所以,企业开展风险管理审计在很大程度上取决于审计人员职业道德素质的高低,具有良好素质和技能的审计人员能够较好地完成审计任务,降低审计风险。审计人员应当强化风险意识,保持较高的职业道德水准,树立严谨踏实的工作作风,以确保审计质量;审计人员还要定期接受培训,只有不断更新知识,提高分析、判断、解决问题的能力,才能保证审计工作质量和审计工作效率。
参考文献:
1.王晓霞.企业风险审计.中国时代经济出版社,2005
2.罗秀然.企业内部审计职能探究.审计文汇,2006(9)
3.孟英姿.内部审计在企业风险管理中的角色定位.集团经济研究,2006(9Z)
4.刘秀梅.浅议单位内部审计与风险管理.商业会计.2006(5)
5.王亚琴.内部审计参与企业风险管理研究.当代经理人,2006(11)
6.松岩.强化内部审计,完善公司治理.财会通讯,2004(10)
审计与风险管理范文6
关键词:内部审计、风险管理、职责、作用
一、目前我国企业存在的风险因素及表现形式
企业的风险是指未来的不确定因素,并可能给企业造成损失。现代企业风险因素很多,包括外部风险和内部风险。外部风险是指外部环境对企业目标产生影响的不确定性,主要表现在国家的法律法规及政策的变化、经济环境的变化、科技快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等;内部风险是指内部环境对企业目标产生影响的不确定性,主要表现在组织治理结构的缺陷、组织经营活动的特点、组织资产结构的性质及资产管理的局限性、组织信息系统的故障或中断、组织缺乏保密意识、泄密事件频发、组织人员的道德品质和业务素质未达到要求等。
二、目前我国企业在风险管理方面存在的问题
目前我国企业在风险管理方面存在的问题主要表现在企业内部缺乏包括决策层、管理层、执行层在内的完整的风险管理组织,降低了企业应对风险的能力;缺乏正确的业务流程,影响管理层识别和评估风险;缺乏风险意识,没有积极、主动、系统地进行风险管理工作,无法进行风险预警,在企业迅速扩张的过程中管理失控;缺乏规范的法人治理结构,使企业的目标发生偏移;缺乏岗位责任考核制度,工作效率低下;缺乏业务操作规程,存在事故隐患;缺乏对企业内控制度执行情况的检查和监督,内部控制失效。
三、内部审计在企业风险管理中的职责
在风险导向内部审计中,风险管理审计成为内部审计的关键程序,分析、确认、揭示风险已成为内部审计的主要职责。
(一)实现企业目标,内部审计有责任参与企业的风险管理
现代企业的经营环境日趋复杂,风险日益增大,降低风险是实现企业目标的关键因素。内部审计站在独立、客观、公正的立场,采取系统化、规范化的方法,促进企业建立规范的法人治理结构,建立风险管理过程,形成良好的法人治理环境。向管理层提供创造性思维,提出科学合理的建议。通过内控制度的评价,对企业经营活动进行风险识别、评估和防范,改进风险管理与控制体系,从而完善企业管理,降低、转移或化解风险,提高企业整体抗风险能力,最终实现企业目标。
(二)内部审计是构成企业风险管理的重要机制
目前,国有企业建立的各级风险管理组织都隶属于管理部门,不具有独立性,其意见有时会屈从于管理部门的压力,使风险管理部门的作用受到限制。在现代企业中,内部审计独立于管理当局,其意见可以直接报送董事会,具有独立性和权威性。
从企业外部看,外部审计站在独立、客观的角度,关注企业财务报表的合法性、公允性、一贯性,对企业的内部控制进行复核、测试,提供一些有用的信息影响企业的风险管理。但他们对企业的经营环境和运作过程不十分熟悉,提供的风险信息不能贴近内部管理,不能对企业风险管理的有效性承担责任。而内部审计对企业的经营环境和运作过程更了解,在风险管理方面比外部审计更具优势。
(三)内部审计是风险控制程序的重要补充
内部审计人员应用现代风险导向审计模式,分析企业存在的风险因素,警惕影响企业目标的重大风险。在审计计划阶段,内部审计应考虑企业活动存在的各种风险,在评估风险优先次序的基础上,按照风险的大小分配审计资源;在审计实施阶段,通过检查、评价风险管理过程的充分性和有效性,发现风险管理的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和薄弱环节提出改进的建议。
四、内部审计在企业风险管理中的作用
内部审计从风险识别、风险评估、风险应对、风险防范和监控等方面参与风险管理,报告企业潜在的重大风险,提出应对措施。通过落实审计建议,督促企业采取有效风险控制措施。
(一)识别风险
识别风险实质上是对风险进行定性研究,收集、整理可能发生的风险,形成风险列表。从评价企业的内部控制制度入手,在信息管理、采购、生产、销售、财务、人力资源管理等各个领域查找管理漏洞。通常要关注的主要风险有:信息量不足或不真实导致决策错误;信息系统故障或中断;自动付款系统设计存在缺陷,未设计供应商的身份验证控制,不能识别虚假供应商;随意对外担保,存在或有负债;资产流失、资源浪费和无效使用;客户投诉率增高,企业信誉受损;年终未对所有的应收款项进行询证;大宗采购业务未按程序招标,合同签定、付款审批、验收保管未做到职责分离等。
(二)评估风险
评估风险是对企业经营管理过程可能遇到的各种风险进行确认和分析。采用定量或定性的方法,分析判断风险发生的可能性,评估风险对实现企业目标产生影响的严重程度。定量分析方法是对已被识别的风险进行量化估计,通过公式:风险值=风险影响×风险概率,计算出风险值。例如,内部审计人员调查了某施工企业四项业务:(1)对外投资350万元,失败的可能性为80%;(2)对外借款1000万元,不能收回的可能性为60%;(3)应收的工程款3000万元,出现坏账的可能性为40%;(4)对外担保金额2000万元,承担连带清偿责任的风险50%。根据前述公式计算的风险损失排序为:(3)1200;(4)1000;(2)600;(1)280。由此可见,第(3)项业务可能造成损失的金额最大,应优先列入审计日程。在风险难以量化、定量评价所需的数据难以获得时,应采用定性方法。定性分析方法的复杂性和困难在于主观判断结果发生的不准确性,不同背景、不同经验、不同职位的人对同一风险的判断可能不同。比如,上级主管出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。采用定性方法需要充分考虑相关部门或人员的意见,以提高评估结果的客观性。内部审计人员处于特殊的独立地位,可以从客观的角度分析风险的假设条件,对风险进行评价,提出专业意见。
(三)应对风险
内部审计在识别风险并进行相应的评估以后,根据风险的影响程度采取应对措施。风险应对措施主要包括以下四个方面:
1、回避风险,即采取措施回避可能发生的风险。例如,在工程承包合同签订前,审计人员进行程序评审和合同文本评审,保证合同的合法性与合规性;对合同条款评审,尤其是合同价款、工程材料、工程期限、工程质量、工程进度、安全保证、工程款拨付、质保金等敏感条款,要经过仔细商榷,杜绝合同管理失误的经济责任。
2、降低风险,即采取措施将风险降低到企业可接受的范围。例如,在签订对外担保合同时,审计人员根据担保法的有关规定,检查企业是否对被担保人经过详细的资信调查,对被担保的项目是否经过仔细的研究,是否经过民主决策,有无因程序不当造成的连带责任。
3、转移风险,即通过转嫁或与他人共担将风险转移。例如,承包工程垫资和工程款回收。对工程分包商和材料供应商落实招投标,在签订分包和采购合同时在条款中写明,业主付款后,再按业主付款的比例支付分包工程款和材料款,合理转移风险。
4、接受风险,即风险已经在企业可接受的范围之内,不必采取任何措施。例如,在汇率波动较大的时期,大额进出口贸易会导致较大的汇率风险,企业一般会采用外汇期货来保证将汇率损失控制在可接受的范围之内;企业在可承受的范围之内向银行贷款等。
(四)防范和监控风险
风险管理部门根据风险性质和企业的承受能力制定相应的防范措施,内部审计对制定的风险防范措施进行评价和检查。评价风险防范措施主要考虑风险的可回避性、可降低性、可转移性、可接受性,检查风险防范措施是否充分、得当。例如,审计人员通过询问控制计算机资料室的人员,确定是否有未经授权的人员接触系统文件;企业的内部控制执行情况,总要在会计资料文件中表现出来,审计人员抽取一定样本量的原始凭证、账簿、报表等书面文档,检查内部控制是否得到有效的贯彻执行;向客户询证应收账款余额、对存货进行实地盘点、审查银行存款对账单以核实银行存款期末余额等,对账户余额进行实质性测试,以检查企业对外提供的财务报表的真实性和公允性等。对于存在的风险缺乏充分的控制措施的情况,内部审计人员应提出改进措施的建议,协助企业完善风险反映方案,强化企业的风险防范管理。企业的经营风险并非一成不变,随着时间的推移,风险有可能增大或减小,因此,内部审计要时刻监控风险的发展变化情况,并确定随着某些因素的消失或出现而带来新的风险。
内部审计机构促进企业建立健全风险管理过程,完善风险管理体系,提供风险管理的组织保证。规范企业的经营行为,降低经营风险,为企业的科学快速发展扫除障碍,增强企业的竞争能力,为企业增加价值,是内部审计在企业风险管理方面的价值所在。
参考文献:
1、《审计探索与创新》中国财政经济出版社