论文部分内容阅读
【摘要】 公司风险主要集中于公司治理与公司管理两个层面。治理风险与管理风险等管理活动(系统)的有效与否直接关系到公司的生存与发展。以风险控制为导向的内部审计,通过对公司治理风险和管理风险等管理活动(系统)有效性的再确认与咨询,可以实现控制风险和增加公司价值的基本目标。目标实现需要优化的审计业务流程,以风险控制为导向的内部审计对风险管理活动(系统)的再确认服务流程与咨询服务流程各异。文章根据再确认与咨询服务有机兼容的趋势,构建了对风险管理活动(系统)再确认、咨询、再确认的内部审计业务流程系统。
【关键词】 风险导向内部审计; 风险管理; 再确认与咨询
2001年国际内部审计师协会颁布《内部审计实务框架标准》,将内部审计定义为“一项独立、客观的保证和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。”这一定义将公司内部审计上升为参与风险管理、加强公司治理和管理的一项控制活动。那么内部审计参与风险管理的基本目标是什么、参与风险管理后审计对象如何界定、具备什么职能才能实现参与目标以及参与风险管理的审计流程如何设计等一系列问题就需要梳理清楚。
本文以对公司风险的认识为基础,首先将公司风险划分为治理风险与管理风险,由此将公司风险管理活动划分为治理风险管理活动与管理风险管理活动两大类;其次,分析了以风险为导向的内部审计基本目标,确定了对治理风险管理活动(系统)与管理风险管理活动(系统)的具体审计目标和审计对象;最后,给出了再确认风险管理活动与对风险管理活动提供咨询服务的内部审计业务流程,构建了再确认与咨询服务有机兼容运作的内部审计业务流程系统。
一、公司风险、风险管理与内部审计
(一)公司风险及其划分
风险就是公司经营过程中面临的不确定性,它既可能给公司经营目标的实现带来机会,也可能给其带来损害。现代市场经济条件下的公司风险分析与管理侧重于其负面影响。按照公司风险存在的领域,把公司风险划分为治理风险与管理风险两大类。
1.公司治理风险
公司治理风险也称为战略风险,它是由公司治理结构与治理机制设计与运作不恰当而可能引起损失的风险。由于公司治理机构是公司经营管理活动的战略决策机关,公司治理风险直接影响到公司的价值创造。战略风险往往影响整个企业的发展方向、目标和业绩。从本文定义的风险角度分析,公司治理风险是指公司整体损失的不确定性,源于公司治理层对公司未来发展方向、目标和未来战略环境预测不当,导致战略目标制定不当与战略实施不力,致使公司遭遇发展困境的可能性。具体指公司治理结构中决策层、监督层不恰当行为可能给公司目标实现带来的负面影响,即可能发生的损害事项。这种损害是指公司管理当局(包括董事会、管理层)在自身建设、协调运作以及履行职责的制度安排中,由于内外部环境变化以及事前未能预料因素的影响,导致一定时期内公司治理实践偏离企业价值最大化目标的各种事项,主要包括:(1)公司治理层的失职风险。在公司重大决策与经营过程中,战略方向与经营目标不当、董事会决策不当、监事会监督乏力或管理当局由于未能关注到公司经营过程中所面临的重大经营风险而给股东造成的损害。(2)公司治理层的道德风险。在公司经营活动中,董事会、监事会和高层管理当局的行为偏离公司价值最大化的目标,从而使股东利益受到损害的事项。它是公司治理层存在主观上的故意而产生的损害行为。具体分为大股东的道德风险和管理层的道德风险。前者指大股东利用其在公司治理结构中的优势地位,通过一些手段侵犯小股东的利益行为,如通过关联交易剥削小股东、占用公司资金、控制公司的各项重大经营决策、选择管理者等事项;后者指公司管理当局在涉及公司利益活动中的故意不作为,或者利用公司资源为自己谋取私利等事项或行为。
2.公司管理风险
公司管理风险也称经营风险或运作风险,是指公司业务运作过程中由于管理制度或内控制度不健全或执行不力、管理方面的故意或失误而导致经营目标实现困难或者损失的风险。具体包括经营风险、资产风险和信息风险。(1)经营风险是由于公司各级管理当局出于利益动机故意或经营能力不足而未能关注到公司经营过程中面临的重大经营风险,从而给公司造成损失的可能性。面对复杂的企业经营外部环境,管理层可能处于私利动机或经营能力不够,无法正确识别和评估并购、融资、生产、营销等经营过程中的威胁因素,从而使公司及股东利益遭受损害。(2)资产风险源于经营风险,经营风险不能或不去有效识别与防范直接导致公司资产受损,这种资产受损的可能性就是资产风险。(3)信息风险是指信息在公司各部门之间未能及时充分交流,以及为公司制定决策提供低质量不完全信息使公司业务受损的可能性。信息风险也包括向外部人提供错误或误导信息导致公司对外承担责任的可能性。
公司经营从风险视角分析,就是对公司治理风险与管理风险的有效识别、分析与应对的系统过程,这一过程就是风险管理。
(二)公司风险管理
2003年,COSO将企业风险管理定义为“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO的企业风险管理框架揭示了公司风险管理的本质、目标以及公司所面临的重要风险,指出企业风险管理本身是一个由企业董事会、管理层和其他员工共同参与的、应用于企业战略制定和企业内部各个层次与部门的、用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面流程化管理的一个动态过程,风险管理最终要为企业目标实现提供合理保证。
按照前文对公司风险的划分,公司风险管理可以相应分为公司治理风险管理与公司管理风险管理。治理风险管理是一个由企业董事会、监事会和管理层共同参与的、应用于企业战略制定的、用于识别可能对公司造成潜在影响的重大决策事项并在公司整体风险偏好范围内进行多层面流程化管理的一个动态过程。管理风险管理则更多是由管理层与其他员工共同参与的、应用于企业内部各个层次与部门的、用于识别可能对企业各项运营活动造成潜在影响的事项并在公司整体风险偏好约束下进行流程化管理的一个动态过程。公司治理风险管理与管理风险管理有机结合,为企业目标的实现提供合理保证。
(三)公司风险导向内部审计:风险管理活动(系统)的再确认与咨询
顺应内部审计发展的客观规律,21世纪的内部审计已发展到风险导向审计阶段。内部审计的职能从传统的财务监督、业务评价拓展到对公司风险管理的再确认和咨询。
风险管理的再确认是内部审计人员以内部控制是否适当为基础,综合确认公司治理风险管理系统与管理风险管理系统的可靠性与有效性,发表再确认意见或通过披露重大风险控制问题来暗示公司治理层与管理层对风险管理是否适当的意见。通过提供富有成效的确认意见和改进方案,用于控制风险改善决策,提升公司价值。
风险管理咨询则是内部审计人员直接作为专家顾问参与风险管理活动,改善公司风险管理状况。为此内部审计人员要树立为公司价值增值的服务理念,对于在再确认过程中发现的风险管理不足及时提出改进建议,同时要协助治理层预测、决策重大事项,以风险管理为出发点,分析、确认、揭示关键性的经营风险与管理风险,帮助企业在承担适度风险的同时抓住发展的机会,使内部审计计划与公司风险管理策略紧密联系,切实发挥内部审计在公司治理和管理中的风险管理咨询功能,更好地实现公司目标。
内部审计实施对公司治理层与管理层风险管理活动(系统)的再确认与咨询服务,必然要涉及内部审计的地位或为谁服务的基本问题。在“现代内部审计之父”劳伦斯·B·索耶所处的时代,内部审计是管理层的耳目这一观点占据主流地位;而组织治理问题的突现,使得内部审计在协助审计委员会履行职责时扮演越来越重要的角色(加拿大公司治理联合委员会,2001;ICAEW内部控制工作小组,1999);进入21世纪,内部审计需要同时向审计委员会和高级管理层提供他们所要求的对风险管理活动(系统)客观再确认,并为经营管理层提供满足他们要求的咨询服务。这显示了内部审计提供再确认服务与提供咨询服务的兼容性。
二、风险导向内部审计目标与对象界定
明确了现代内部审计以公司风险管理的再确认和咨询为主要职能的基础上,界定风险导向内部审计目标成为内部审计理论与实践发展中的重要问题。
(一)风险导向内部审计基本目标:协助控制风险增加价值
国际内部审计师协会(IIA)2001年将内部审计定义为“内部审计是一项独立、客观的保证和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。”这一定义揭示了内部审计的基本目标是控制风险、促进价值增值。该目标与公司治理、公司管理的基本目标一致。公司价值增值是通过不断实现每个经营周期价值最大的一个动态过程。价值最大是公司治理层与管理层各部门协同运作、权衡风险与收益的关系、进行合理的资源配置的运作结果。由于公司风险整体上分布在公司治理层面与公司管理层面,内部审计控制风险与价值增值活动也随之提升到公司治理与公司管理的整体层面,而不再局限于对管理者个人或某一部门的活动评价,这与前文讨论的21世纪“内部审计作为一项增值性活动,既为管理层服务,又为治理层服务”的认识完全一致。
基本目标需要通过内部审计对公司风险管理的再确认与咨询服务实现。根据现代企业管理的木桶理论,企业的绩效是由木桶最短的一块木板决定的。内部风险导向审计进行风险管理再确认与咨询的关注点就是识别治理风险管理与管理风险管理中的短板,从全局出发、以客观的角度对公司内部各层次、各部门的风险管理活动进行再确认,加长短板,使公司的综合风险管理得到最好的控制。
(二)风险导向内部审计具体目标
笔者将公司风险分为治理风险和管理风险两大类,在此基础上公司风险管理活动(系统)分为治理风险管理活动(系统)与管理风险管理活动(系统)。风险导向内部审计为了实现控制风险、增加公司价值的基本目标,需要对两类风险管理活动(系统)进行再确认与咨询。那么这两类风险管理审计的具体目标是什么?
1.治理风险管理活动(系统)审计目标
(1)协助公司制定整体风险管理战略。内部审计人员依据对公司情况全面深入了解的优势,可以客观地从企业全局的角度进行风险识别,在此基础上对公司治理风险管理活动进行再确认,进而协助完善公司的风险管理战略。
协助完善公司治理风险战略过程中,内部审计人员首先对治理层风险管理活动进行再确认。包括公司总体风险管理战略与公司经营战略的一致性、公司风险政策的恰当性、公司治理风险管理制度的科学性与规范性等。其次,为治理层提出修订完善公司治理风险管理活动的建议,采取系统化、规范化的方法对风险管理、风险控制及治理风险程序进行评价,积极协助审视公司制订的风险管理战略以及与战略匹配的经营目标和决策依据,提高公司治理风险管理质量。最后,对尚未建立规范的风险管理系统的公司,内部审计人员向治理层和管理层提出建立风险管理系统的建议,实现改善公司治理层风险管理活动、指导管理层加强风险管理,从而帮助企业实现价值增值的目标。
(2)协助控制战略风险。战略风险源于公司治理层对公司未来发展方向、目标和未来战略环境预测不当,战略目标制定不当与战略实施不力致使公司遭遇发展困境。战略风险往往影响整个企业的发展方向、目标和业绩。以风险为导向的内部审计通过对公司治理风险活动(系统)的再确认与咨询,辨别公司战略目标与战略方向方面存在的潜在风险,并以现代风险管理理论为指导提出控制公司治理风险的基本建议,协助治理层控制战略风险。
2.公司管理风险管理活动(系统)审计目标
对公司管理风险管理活动(系统)的审计目标不同于治理风险审计目标,主要由于二者业务活动内容不同所致。对管理风险管理活动(系统)的具体审计目标是:
(1)协助制定公司经营管理内部控制制度。公司经营管理活动是执行治理层决策的业务过程。现代公司经营在充满不确定性的市场环境中,需要加强风险管理活动(系统)。公司管理风险管理制度是在分解公司整体风险管理战略基础上制订的。内部审计首先应当确认经营管理内部控制制度中风险管理制度的遵循性与合理性;其次,测试风险管理制度的有效性;最后,协助管理当局修订或完善具体的风险管理制度,由此促进公司实施有效的风险管理战略。
(2)协助控制经营风险与资产风险。公司管理运营中的经营风险及与之相应的资产风险,存在于公司管理风险管理活动中。有效的风险管理系统可以控制经营风险与资产风险。内部审计通过对管理风险管理系统设计与运作有效性的再确认,可以协助控制公司经营风险与资产风险。
(3)协助控制信息风险。在日益激烈的市场竞争中,为了防范日益增大的管理风险,公司应在其管理系统中建立全面的风险管理制度,内部审计可以在支持并参与风险管理过程中通过对管理风险活动的再确认与咨询协助控制管理风险。具体方法包括:一是采取间接控制和直接控制的方法,从评价各部门的内部控制制度及其风险管理制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域的风险管理系统中查找管理漏洞,以风险发生的可能性大小为依据,作出再确认评价,防范风险;二是内部审计在部门风险管理中进行风险管理协调。内部审计通过再确认管理风险管理活动(系统)的有效性,提出咨询建议参与风险管理并合理有效地防范、控制风险,减少公司经营不确定性带来的损失,以增加公司价值。
(三)风险导向内部审计对象
前文把风险导向内部审计目标界定为控制风险增加价值,这一目标是通过内部审计的再确认与咨询服务实现的。再确认与咨询服务的对象是公司风险管理活动或风险管理系统及其有效性。具体就是公司治理风险管理系统及其有效性和公司管理风险管理系统及其有效性。因此,以风险为导向的内部审计对象是公司治理风险管理系统、公司管理风险管理系统及其有效性。
三、风险导向内部审计流程:再确认流程与咨询服务流程
风险导向内部审计目标是通过对公司两大风险管理系统的再确认与咨询服务实现的。再确认与咨询业务流程的有效设计为实现审计目标提供合理保证。
(一)风险管理活动(系统)再确认流程
内部审计人员通过对公司治理层面与管理层面风险管理活动(系统)及其运作的测试,确认公司风险管理系统设计与运作的合理性与有效性。
风险导向内部审计的起点为公司的经营战略、风险战略和风险管理业务流程。风险管理流程包括风险识别、风险分析、风险应对与控制以及在此基础上制订的风险管理战略或计划。内部审计的再确认则是对公司风险战略与经营战略的匹配性、合理性的再确认以及以上四个环节的风险管理活动及其有效性的再认定。
1.公司风险战略与经营战略的一致性确认。
2.风险管理步骤及其执行的再确认。风险管理战略是公司整体应对风险的基调,它的确定应在公司风险承受能力范围内,并与公司经营战略一致。风险战略与公司经营发展适宜与否也体现了治理层的战略决策能力与实力。内部审计人员对公司风险管理的确认,首先就要对治理层的风险管理战略及其业务流程进行再确认。其次,对风险管理步骤设计的合理性、执行的有效性进行再确认。风险管理是公司治理层或管理层对所面临的以及潜在的风险加以判断、归类和鉴定风险性质、衡量风险大小、确定应对策略的系统过程。再确认过程中,内部审计人员首先对公司风险识别、分析、衡量与应对过程进行再认定,重点关注公司面临的内、外部风险是否得到充分、适当的确认,所面临的主要风险是否均已被识别出来。在再确认公司风险管理行为及其恰当性时,内部审计人员要评估相关风险管理制度文件与流程文件的规范性,通过“穿行测试”测试风险管理流程控制风险的有效性。
(二)风险管理活动(系统)咨询业务流程
1.协助开展风险预测
风险预测工作在风险管理工作中起到关键作用。进行风险预测工作,可以使管理人员面向未来、洞察未来,认识未来环境的不确定性,为未来做好准备,将可能遇到的风险减小到最低程度。风险预测主要考虑经营环境风险因素,如行业竞争的风险、高层管理者的风险偏好等。
2.协助进行风险分析和评估
风险分析主要考虑可能出现的风险和公司可承受的风险能力、可能出现在风险中的可控风险及非可控风险、主要风险和次要风险、产生风险的主要矛盾方面和次要矛盾方面、风险中的表面风险和实质风险;同时分析风险的类型,产生风险的主观、客观因素,风险类型转化的条件,风险因素转化为风险事故的条件,风险事故转化为风险后果的条件以及风险控制的条件等。
风险分析和评估的一般步骤如下:
确定风险管理咨询对象——分析可能产生的风险因素——估计可能产生的风险事故现象和事故点——确定可控制、不可控制风险事故的条件、主观因素、客观因素——评估可能产生的风险损失——确定风险控制点——管理控制风险对策——不同控制风险对策的成本效益分析——确定可承受风险能力范围和不可承受风险——确定风险管理控制方法。
3.协助制定风险管理战略与计划
风险管理的再确认与咨询服务在内部审计实践中是有效兼容的,通常的情况是内部审计人员首先进行风险管理系统及其有效性的再确认,在再确认过程中发现问题,提出改进意见与建议,为以后期间风险管理活动(系统)的有效控制风险提供经验并提出建议。每一个经营周期期间或期末,再开始下一轮的风险管理系统及其有效性的再确认。二者循环往复,构成内部审计再确认与咨询服务的运作系统,如图1。
四、总结
风险导向内部审计侧重于从治理高度和管理层次两方面分析公司的风险管理活动(系统)。确认不同主体捕捉潜在的风险点(即风险识别)、风险分析与应对活动的有效性,通过对产生风险的各个环节进行分析评价,最终确认公司不同层次与不同环节风险管理水平,通过咨询提出改进风险管理的建议。提升公司风险管理质量,实现控制公司风险、提升公司价值的基本增值性目标。●
【参考文献】
[1] 王学龙.论风险导向型内部审计在企业风险管理中的作用[J].中国内部审计,2010(2).
[2] 李曼.风险导向审计的价值实现[J].财会通讯,2010(18).
[3] 耿慧敏.现代内部审计的新态势:风险导向[J].南京审计学院学报,2009(1).
[4] 钟黎明,钟源.基于企业价值增值的内部审计研究[J].价值工程,2008(1).
[5] 刘新琳,周兵.内部审计参与企业风险管理的路径分析[J].审计月刊,2008(1).
[6] 李心合.内部控制:从财务报告导向到价值创造导向[J].会计研究,2007(4).
[7] 刘红霞,韩女原.中国上市公司董事会治理风险研究[J].当代财经,2007(6).
[8] 刘世谨,张继勋.内部审计与风险管理[J].审计与经济研究,2006(6).
[9] 于玉林.内部审计在企业治理、风险管理和内部控制中的作用[J].审计月刊,2005(3).
[10] 金 日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005(2).
[11] 朱湘忆.论企业风险管理与内部审计[J].管理世界,2005(4).
[12] 王志楠.加强审计项目计划管理的思考与实践[J].审计研究,2005(5).
[13] 刘英明.基于公司治理的内部审计问题研究[J].审计研究,2004(5).
[14] 张坤,李嘉明,周和生,等.风险管理与内部审计[M].化学工业出版社,2004.
[15] 田丽云,尹钧惠.内部审计参与风险管理的动因及其运作探讨[J].现代财经,2004(8).
[16] 朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003(3).
[17] Lawrence B.Sawyer,Mortimer A.
Dittenhofer,James H.Scheiner.索耶内部审计:上卷[M].中国财政经济出版社,2005.
[18] 刘实.企业内部审计论[M].中国时代经济出版社,2005.
[19] 李维安,等.现代公司治理研究[M].中国人民大学出版社,2002.
【关键词】 风险导向内部审计; 风险管理; 再确认与咨询
2001年国际内部审计师协会颁布《内部审计实务框架标准》,将内部审计定义为“一项独立、客观的保证和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。”这一定义将公司内部审计上升为参与风险管理、加强公司治理和管理的一项控制活动。那么内部审计参与风险管理的基本目标是什么、参与风险管理后审计对象如何界定、具备什么职能才能实现参与目标以及参与风险管理的审计流程如何设计等一系列问题就需要梳理清楚。
本文以对公司风险的认识为基础,首先将公司风险划分为治理风险与管理风险,由此将公司风险管理活动划分为治理风险管理活动与管理风险管理活动两大类;其次,分析了以风险为导向的内部审计基本目标,确定了对治理风险管理活动(系统)与管理风险管理活动(系统)的具体审计目标和审计对象;最后,给出了再确认风险管理活动与对风险管理活动提供咨询服务的内部审计业务流程,构建了再确认与咨询服务有机兼容运作的内部审计业务流程系统。
一、公司风险、风险管理与内部审计
(一)公司风险及其划分
风险就是公司经营过程中面临的不确定性,它既可能给公司经营目标的实现带来机会,也可能给其带来损害。现代市场经济条件下的公司风险分析与管理侧重于其负面影响。按照公司风险存在的领域,把公司风险划分为治理风险与管理风险两大类。
1.公司治理风险
公司治理风险也称为战略风险,它是由公司治理结构与治理机制设计与运作不恰当而可能引起损失的风险。由于公司治理机构是公司经营管理活动的战略决策机关,公司治理风险直接影响到公司的价值创造。战略风险往往影响整个企业的发展方向、目标和业绩。从本文定义的风险角度分析,公司治理风险是指公司整体损失的不确定性,源于公司治理层对公司未来发展方向、目标和未来战略环境预测不当,导致战略目标制定不当与战略实施不力,致使公司遭遇发展困境的可能性。具体指公司治理结构中决策层、监督层不恰当行为可能给公司目标实现带来的负面影响,即可能发生的损害事项。这种损害是指公司管理当局(包括董事会、管理层)在自身建设、协调运作以及履行职责的制度安排中,由于内外部环境变化以及事前未能预料因素的影响,导致一定时期内公司治理实践偏离企业价值最大化目标的各种事项,主要包括:(1)公司治理层的失职风险。在公司重大决策与经营过程中,战略方向与经营目标不当、董事会决策不当、监事会监督乏力或管理当局由于未能关注到公司经营过程中所面临的重大经营风险而给股东造成的损害。(2)公司治理层的道德风险。在公司经营活动中,董事会、监事会和高层管理当局的行为偏离公司价值最大化的目标,从而使股东利益受到损害的事项。它是公司治理层存在主观上的故意而产生的损害行为。具体分为大股东的道德风险和管理层的道德风险。前者指大股东利用其在公司治理结构中的优势地位,通过一些手段侵犯小股东的利益行为,如通过关联交易剥削小股东、占用公司资金、控制公司的各项重大经营决策、选择管理者等事项;后者指公司管理当局在涉及公司利益活动中的故意不作为,或者利用公司资源为自己谋取私利等事项或行为。
2.公司管理风险
公司管理风险也称经营风险或运作风险,是指公司业务运作过程中由于管理制度或内控制度不健全或执行不力、管理方面的故意或失误而导致经营目标实现困难或者损失的风险。具体包括经营风险、资产风险和信息风险。(1)经营风险是由于公司各级管理当局出于利益动机故意或经营能力不足而未能关注到公司经营过程中面临的重大经营风险,从而给公司造成损失的可能性。面对复杂的企业经营外部环境,管理层可能处于私利动机或经营能力不够,无法正确识别和评估并购、融资、生产、营销等经营过程中的威胁因素,从而使公司及股东利益遭受损害。(2)资产风险源于经营风险,经营风险不能或不去有效识别与防范直接导致公司资产受损,这种资产受损的可能性就是资产风险。(3)信息风险是指信息在公司各部门之间未能及时充分交流,以及为公司制定决策提供低质量不完全信息使公司业务受损的可能性。信息风险也包括向外部人提供错误或误导信息导致公司对外承担责任的可能性。
公司经营从风险视角分析,就是对公司治理风险与管理风险的有效识别、分析与应对的系统过程,这一过程就是风险管理。
(二)公司风险管理
2003年,COSO将企业风险管理定义为“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO的企业风险管理框架揭示了公司风险管理的本质、目标以及公司所面临的重要风险,指出企业风险管理本身是一个由企业董事会、管理层和其他员工共同参与的、应用于企业战略制定和企业内部各个层次与部门的、用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面流程化管理的一个动态过程,风险管理最终要为企业目标实现提供合理保证。
按照前文对公司风险的划分,公司风险管理可以相应分为公司治理风险管理与公司管理风险管理。治理风险管理是一个由企业董事会、监事会和管理层共同参与的、应用于企业战略制定的、用于识别可能对公司造成潜在影响的重大决策事项并在公司整体风险偏好范围内进行多层面流程化管理的一个动态过程。管理风险管理则更多是由管理层与其他员工共同参与的、应用于企业内部各个层次与部门的、用于识别可能对企业各项运营活动造成潜在影响的事项并在公司整体风险偏好约束下进行流程化管理的一个动态过程。公司治理风险管理与管理风险管理有机结合,为企业目标的实现提供合理保证。
(三)公司风险导向内部审计:风险管理活动(系统)的再确认与咨询
顺应内部审计发展的客观规律,21世纪的内部审计已发展到风险导向审计阶段。内部审计的职能从传统的财务监督、业务评价拓展到对公司风险管理的再确认和咨询。
风险管理的再确认是内部审计人员以内部控制是否适当为基础,综合确认公司治理风险管理系统与管理风险管理系统的可靠性与有效性,发表再确认意见或通过披露重大风险控制问题来暗示公司治理层与管理层对风险管理是否适当的意见。通过提供富有成效的确认意见和改进方案,用于控制风险改善决策,提升公司价值。
风险管理咨询则是内部审计人员直接作为专家顾问参与风险管理活动,改善公司风险管理状况。为此内部审计人员要树立为公司价值增值的服务理念,对于在再确认过程中发现的风险管理不足及时提出改进建议,同时要协助治理层预测、决策重大事项,以风险管理为出发点,分析、确认、揭示关键性的经营风险与管理风险,帮助企业在承担适度风险的同时抓住发展的机会,使内部审计计划与公司风险管理策略紧密联系,切实发挥内部审计在公司治理和管理中的风险管理咨询功能,更好地实现公司目标。
内部审计实施对公司治理层与管理层风险管理活动(系统)的再确认与咨询服务,必然要涉及内部审计的地位或为谁服务的基本问题。在“现代内部审计之父”劳伦斯·B·索耶所处的时代,内部审计是管理层的耳目这一观点占据主流地位;而组织治理问题的突现,使得内部审计在协助审计委员会履行职责时扮演越来越重要的角色(加拿大公司治理联合委员会,2001;ICAEW内部控制工作小组,1999);进入21世纪,内部审计需要同时向审计委员会和高级管理层提供他们所要求的对风险管理活动(系统)客观再确认,并为经营管理层提供满足他们要求的咨询服务。这显示了内部审计提供再确认服务与提供咨询服务的兼容性。
二、风险导向内部审计目标与对象界定
明确了现代内部审计以公司风险管理的再确认和咨询为主要职能的基础上,界定风险导向内部审计目标成为内部审计理论与实践发展中的重要问题。
(一)风险导向内部审计基本目标:协助控制风险增加价值
国际内部审计师协会(IIA)2001年将内部审计定义为“内部审计是一项独立、客观的保证和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化、规范化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。”这一定义揭示了内部审计的基本目标是控制风险、促进价值增值。该目标与公司治理、公司管理的基本目标一致。公司价值增值是通过不断实现每个经营周期价值最大的一个动态过程。价值最大是公司治理层与管理层各部门协同运作、权衡风险与收益的关系、进行合理的资源配置的运作结果。由于公司风险整体上分布在公司治理层面与公司管理层面,内部审计控制风险与价值增值活动也随之提升到公司治理与公司管理的整体层面,而不再局限于对管理者个人或某一部门的活动评价,这与前文讨论的21世纪“内部审计作为一项增值性活动,既为管理层服务,又为治理层服务”的认识完全一致。
基本目标需要通过内部审计对公司风险管理的再确认与咨询服务实现。根据现代企业管理的木桶理论,企业的绩效是由木桶最短的一块木板决定的。内部风险导向审计进行风险管理再确认与咨询的关注点就是识别治理风险管理与管理风险管理中的短板,从全局出发、以客观的角度对公司内部各层次、各部门的风险管理活动进行再确认,加长短板,使公司的综合风险管理得到最好的控制。
(二)风险导向内部审计具体目标
笔者将公司风险分为治理风险和管理风险两大类,在此基础上公司风险管理活动(系统)分为治理风险管理活动(系统)与管理风险管理活动(系统)。风险导向内部审计为了实现控制风险、增加公司价值的基本目标,需要对两类风险管理活动(系统)进行再确认与咨询。那么这两类风险管理审计的具体目标是什么?
1.治理风险管理活动(系统)审计目标
(1)协助公司制定整体风险管理战略。内部审计人员依据对公司情况全面深入了解的优势,可以客观地从企业全局的角度进行风险识别,在此基础上对公司治理风险管理活动进行再确认,进而协助完善公司的风险管理战略。
协助完善公司治理风险战略过程中,内部审计人员首先对治理层风险管理活动进行再确认。包括公司总体风险管理战略与公司经营战略的一致性、公司风险政策的恰当性、公司治理风险管理制度的科学性与规范性等。其次,为治理层提出修订完善公司治理风险管理活动的建议,采取系统化、规范化的方法对风险管理、风险控制及治理风险程序进行评价,积极协助审视公司制订的风险管理战略以及与战略匹配的经营目标和决策依据,提高公司治理风险管理质量。最后,对尚未建立规范的风险管理系统的公司,内部审计人员向治理层和管理层提出建立风险管理系统的建议,实现改善公司治理层风险管理活动、指导管理层加强风险管理,从而帮助企业实现价值增值的目标。
(2)协助控制战略风险。战略风险源于公司治理层对公司未来发展方向、目标和未来战略环境预测不当,战略目标制定不当与战略实施不力致使公司遭遇发展困境。战略风险往往影响整个企业的发展方向、目标和业绩。以风险为导向的内部审计通过对公司治理风险活动(系统)的再确认与咨询,辨别公司战略目标与战略方向方面存在的潜在风险,并以现代风险管理理论为指导提出控制公司治理风险的基本建议,协助治理层控制战略风险。
2.公司管理风险管理活动(系统)审计目标
对公司管理风险管理活动(系统)的审计目标不同于治理风险审计目标,主要由于二者业务活动内容不同所致。对管理风险管理活动(系统)的具体审计目标是:
(1)协助制定公司经营管理内部控制制度。公司经营管理活动是执行治理层决策的业务过程。现代公司经营在充满不确定性的市场环境中,需要加强风险管理活动(系统)。公司管理风险管理制度是在分解公司整体风险管理战略基础上制订的。内部审计首先应当确认经营管理内部控制制度中风险管理制度的遵循性与合理性;其次,测试风险管理制度的有效性;最后,协助管理当局修订或完善具体的风险管理制度,由此促进公司实施有效的风险管理战略。
(2)协助控制经营风险与资产风险。公司管理运营中的经营风险及与之相应的资产风险,存在于公司管理风险管理活动中。有效的风险管理系统可以控制经营风险与资产风险。内部审计通过对管理风险管理系统设计与运作有效性的再确认,可以协助控制公司经营风险与资产风险。
(3)协助控制信息风险。在日益激烈的市场竞争中,为了防范日益增大的管理风险,公司应在其管理系统中建立全面的风险管理制度,内部审计可以在支持并参与风险管理过程中通过对管理风险活动的再确认与咨询协助控制管理风险。具体方法包括:一是采取间接控制和直接控制的方法,从评价各部门的内部控制制度及其风险管理制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域的风险管理系统中查找管理漏洞,以风险发生的可能性大小为依据,作出再确认评价,防范风险;二是内部审计在部门风险管理中进行风险管理协调。内部审计通过再确认管理风险管理活动(系统)的有效性,提出咨询建议参与风险管理并合理有效地防范、控制风险,减少公司经营不确定性带来的损失,以增加公司价值。
(三)风险导向内部审计对象
前文把风险导向内部审计目标界定为控制风险增加价值,这一目标是通过内部审计的再确认与咨询服务实现的。再确认与咨询服务的对象是公司风险管理活动或风险管理系统及其有效性。具体就是公司治理风险管理系统及其有效性和公司管理风险管理系统及其有效性。因此,以风险为导向的内部审计对象是公司治理风险管理系统、公司管理风险管理系统及其有效性。
三、风险导向内部审计流程:再确认流程与咨询服务流程
风险导向内部审计目标是通过对公司两大风险管理系统的再确认与咨询服务实现的。再确认与咨询业务流程的有效设计为实现审计目标提供合理保证。
(一)风险管理活动(系统)再确认流程
内部审计人员通过对公司治理层面与管理层面风险管理活动(系统)及其运作的测试,确认公司风险管理系统设计与运作的合理性与有效性。
风险导向内部审计的起点为公司的经营战略、风险战略和风险管理业务流程。风险管理流程包括风险识别、风险分析、风险应对与控制以及在此基础上制订的风险管理战略或计划。内部审计的再确认则是对公司风险战略与经营战略的匹配性、合理性的再确认以及以上四个环节的风险管理活动及其有效性的再认定。
1.公司风险战略与经营战略的一致性确认。
2.风险管理步骤及其执行的再确认。风险管理战略是公司整体应对风险的基调,它的确定应在公司风险承受能力范围内,并与公司经营战略一致。风险战略与公司经营发展适宜与否也体现了治理层的战略决策能力与实力。内部审计人员对公司风险管理的确认,首先就要对治理层的风险管理战略及其业务流程进行再确认。其次,对风险管理步骤设计的合理性、执行的有效性进行再确认。风险管理是公司治理层或管理层对所面临的以及潜在的风险加以判断、归类和鉴定风险性质、衡量风险大小、确定应对策略的系统过程。再确认过程中,内部审计人员首先对公司风险识别、分析、衡量与应对过程进行再认定,重点关注公司面临的内、外部风险是否得到充分、适当的确认,所面临的主要风险是否均已被识别出来。在再确认公司风险管理行为及其恰当性时,内部审计人员要评估相关风险管理制度文件与流程文件的规范性,通过“穿行测试”测试风险管理流程控制风险的有效性。
(二)风险管理活动(系统)咨询业务流程
1.协助开展风险预测
风险预测工作在风险管理工作中起到关键作用。进行风险预测工作,可以使管理人员面向未来、洞察未来,认识未来环境的不确定性,为未来做好准备,将可能遇到的风险减小到最低程度。风险预测主要考虑经营环境风险因素,如行业竞争的风险、高层管理者的风险偏好等。
2.协助进行风险分析和评估
风险分析主要考虑可能出现的风险和公司可承受的风险能力、可能出现在风险中的可控风险及非可控风险、主要风险和次要风险、产生风险的主要矛盾方面和次要矛盾方面、风险中的表面风险和实质风险;同时分析风险的类型,产生风险的主观、客观因素,风险类型转化的条件,风险因素转化为风险事故的条件,风险事故转化为风险后果的条件以及风险控制的条件等。
风险分析和评估的一般步骤如下:
确定风险管理咨询对象——分析可能产生的风险因素——估计可能产生的风险事故现象和事故点——确定可控制、不可控制风险事故的条件、主观因素、客观因素——评估可能产生的风险损失——确定风险控制点——管理控制风险对策——不同控制风险对策的成本效益分析——确定可承受风险能力范围和不可承受风险——确定风险管理控制方法。
3.协助制定风险管理战略与计划
风险管理的再确认与咨询服务在内部审计实践中是有效兼容的,通常的情况是内部审计人员首先进行风险管理系统及其有效性的再确认,在再确认过程中发现问题,提出改进意见与建议,为以后期间风险管理活动(系统)的有效控制风险提供经验并提出建议。每一个经营周期期间或期末,再开始下一轮的风险管理系统及其有效性的再确认。二者循环往复,构成内部审计再确认与咨询服务的运作系统,如图1。
四、总结
风险导向内部审计侧重于从治理高度和管理层次两方面分析公司的风险管理活动(系统)。确认不同主体捕捉潜在的风险点(即风险识别)、风险分析与应对活动的有效性,通过对产生风险的各个环节进行分析评价,最终确认公司不同层次与不同环节风险管理水平,通过咨询提出改进风险管理的建议。提升公司风险管理质量,实现控制公司风险、提升公司价值的基本增值性目标。●
【参考文献】
[1] 王学龙.论风险导向型内部审计在企业风险管理中的作用[J].中国内部审计,2010(2).
[2] 李曼.风险导向审计的价值实现[J].财会通讯,2010(18).
[3] 耿慧敏.现代内部审计的新态势:风险导向[J].南京审计学院学报,2009(1).
[4] 钟黎明,钟源.基于企业价值增值的内部审计研究[J].价值工程,2008(1).
[5] 刘新琳,周兵.内部审计参与企业风险管理的路径分析[J].审计月刊,2008(1).
[6] 李心合.内部控制:从财务报告导向到价值创造导向[J].会计研究,2007(4).
[7] 刘红霞,韩女原.中国上市公司董事会治理风险研究[J].当代财经,2007(6).
[8] 刘世谨,张继勋.内部审计与风险管理[J].审计与经济研究,2006(6).
[9] 于玉林.内部审计在企业治理、风险管理和内部控制中的作用[J].审计月刊,2005(3).
[10] 金 日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005(2).
[11] 朱湘忆.论企业风险管理与内部审计[J].管理世界,2005(4).
[12] 王志楠.加强审计项目计划管理的思考与实践[J].审计研究,2005(5).
[13] 刘英明.基于公司治理的内部审计问题研究[J].审计研究,2004(5).
[14] 张坤,李嘉明,周和生,等.风险管理与内部审计[M].化学工业出版社,2004.
[15] 田丽云,尹钧惠.内部审计参与风险管理的动因及其运作探讨[J].现代财经,2004(8).
[16] 朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003(3).
[17] Lawrence B.Sawyer,Mortimer A.
Dittenhofer,James H.Scheiner.索耶内部审计:上卷[M].中国财政经济出版社,2005.
[18] 刘实.企业内部审计论[M].中国时代经济出版社,2005.
[19] 李维安,等.现代公司治理研究[M].中国人民大学出版社,2002.