[摘要]近年来,有些内部审计组织开始介入风险管理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可, 国际内审协会指出内部审计在帮助企业迎接挑战,实现企业全方位目标中发挥着至关重要的作用,并强调内部审计人员必须理解风险管理的概念,风险管理理念必须融人机构的各个方面。本文在阐述了风险、风险管理的涵义的基础上,引入全面风险管理框架,促进内部审计重新定位,促进内部审计地位的提高,对内部审计参与风险管理的动因、责任与作用及内部审计如何参与风险管理进行了探讨。
[关键词]内部审计;风险管理; 审计人员
一、风险的构成要素与风险管理理念
(一)风险的构成要素
风险,是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。它由风险因素、风险事故和损失风险三个要素组成。
1、风险因素,是指能够引起或增加风险事件发生机会或影响损失的严重程度的因素。风险因素可分成三类:(1)实质性风险因素,是指增加风险发生机会或损失严重程度的直接条件;(2)道德风险因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素;(3)心理风险因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素。
2、风险事故,是指在风险管理中直接或间接造成损失的事故,因此可以说它是损失的媒介物。损失,是指非故意的、非计划的和非预期的经济价值的减少,通常以货币单位来衡量。
3、风险损失分为直接损失和间接损失两种。直接损失是实质性的损失,间接损失则包括额外费用损失、收入损失和责任损失三种。额外费用损失指必须修理或重置而支出的费用;收入损失指由于该企业设备损毁以至无法生产成品而减少的利润;责任损失指由于过失或故意致使他人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。
对于风险因素、风险事故和损失之间的关系,有两种解释理论:一是亨利希的骨牌理论;二是哈同的能量释放论。他们都认为风险因素引发风险事故,而风险事故导致损失,但侧重点不同。前者强调三张骨牌之所以相继倾倒是由于人的错误所致。后者则认为之所以造成损失是由于事物所承受的能量超过其所能容纳的能量所致,物理因素起主要作用。
(二)、风险管理理念
2003年,美国Treadway委员会下属赞助委员会(COSO)在已有的内部控制框架概念(1992)的基础上,提出了企业风险管理(Enterprise Risk Management, ERM)框架的讨论稿,使内部控制的研究发展到一个新的高度。在该讨论稿中风险管理被定义为:“企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。"COSO委员会认为ERM应为公司董事会提供了有关企业所面临的风险,以及如何进行风险管理方面的信息,并进一步提出企业的风险管理框架由环境、事件辨别、风险评估、反应、控制活动、信息和交流以及监督等7个方面构成。
应该说,COSO委员会之所以提出ERM框架,是有其深层次原因的,这里只能简述之。1992年,COSO委员会曾提出《内部控制—整体框架》的报告,这个曾为业内外人士普遍认可的报告完全将风险管理排除在外。随着时间的推移,COSO委员会逐渐意识到,排除实施全面风险管理的内部控制是有缺陷的。于是,在1996年COSO委员会颁布的《衍生工具使用的内控问题》中又将风险管理引了进来(因为衍生金融工具使用本身就是风险管理,如果提到衍生金融工具内部控制不涉及风险管理,无疑意味着内部控制要从衍生金融工具使用中退出,这显然是不合适的)。特别是出现了一系列财务舞弊案件前后,COSO委员会从2001年起开始进行这方面的研究,于2003年7月完成了《企业风险管理框架》(草案),并公开向业界征求意见。这时,COSO委员不仅全面接受风险管理,而且将风险管理提高到从未有的高度。
二、风险管理与内部审计的互动影响
(一)风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会(IIA)目前还没有标准的风险基础审计定义,IIA(2002)的职业问题委员会认为:风险基础审计关注的焦点是组织对所面临影响其目标实现的风险做出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
内部审计师在风险管理中的角色和定位:⑴咨询:向董事会、审计委员会、高级管理人员以及其他人提供公司治理发展、总结会议议程、就风险管理系统方面良好的实务操作提供咨询,从其他组织中吸取教训,为新公布的准则、指南和标准提供客观的解释说明。⑵提升:通过审计提议、建议、创新、引导、培训及开发工作小组的形式参与整个风险管理循环,并扮演领导者的角色。⑶技术支持:就风险水平传授审计知识,向别人传达风险分析技巧和技术,如何更好地进行控制。⑷参与:审计师通过团队合作、联合技术攻关,在系统设计、准则草拟、讨论会引导、保证说明书细化等方面,更为积极地参与开发、执行甚至风险管理方案的实施。⑸评价:对已经存在的或是处于开发过程中的风险管理方案和控制进行独立评价,这种审计包括复核、监督和保证相关的风险管理系统。⑹遵循和鉴证:对经营程序、行为是否遵循了相关准则的要求,是否与内部控制政策、准则和程序是否一致,以及报表和陈述提供鉴证。
(二)、内部审计在风险管理中的独特作用
1、能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过渡道德风险,因为风险不是由你们来承担(至少不是单独承担),如,采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗藏的风险会在生产车间或销售部门反映出来, 最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
2、控制、指导企业的风险策略由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
3、内部审计部门的建议更易引起重视有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
三、内部审计开展风险管理的方式
内部审计部门和内部审计人员开展风险管理有两种方式:
1、对现有的风险管理状况进行评价。由于当今企业面临的风险日益增加,许多企业职能部门在从事具体业务的过程中也要进行风险管理,有些企业还有专门的风险管理部门。内部审计部门进行风险管理,是对上述部门进行的风险管理的再评价或监督,既要评价风险管理的过程,也要评价风险管理的效果,发现风险管理中的薄弱环节,提出改进措施。由于内部审计具有相对独立性的特征,其评价结果能够比较客观。此外,内部审计还可以从总体上把握企业的风险。
2、直接参与风险管理。在有些情况下,内部审计人员可以直接参与风险管理。比如,未设立风险管理部门的企业的整体的风险管理;参与企业的重大项目、重大决策的风险管理。有时内部审计部门也可以与风险管理部门及业务部门一起进行风险管理。
四、内部审计开展风险管理的过程与方法
风险管理的程序主要包括:风险识别、风险衡量和风险防范三个部分。
1、 风险识别。所谓风险识别是指内部审计对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。进行风险识别采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
2、风险衡量。风险衡量是指内部审计人员应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。采用的方法主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析法、蒙特卡罗模拟法等。
3、进行风险防范。风险的防范是指内部审计人员为降低已识别出并已衡量的风险而采取的措施,也称风险管理工具的选择,其目的是降低风险损失。风险防范措施主要有:
⑴风险避免。风险避免是指当主动放弃和拒绝实施某些可能引起风险损失的方案。风险避免是处置风险最彻底的一种方法,能够在风险事件发生之前完全消除某一特定的风险所造成的损失。但这一方法也有其局限性,风险回避往往伴随着放弃某些经营计划的发生,而且,在回避了某一风险之后,又可能产生另一种风险。因此,这一方法是有一定的使用条件的,主要适用于:①某一特定风险导致的损失频率和损失幅度都相当高;②采用其他风险管理方法的成本大于收益。
⑵风险控制。风险控制指有意识地采取行动,设法降低损失的概率和损失幅度的方法。主要用于不想放弃也不想转嫁的风险。风险控制包括两个两项内容:一是损失预防控制,也称风险因素控制,即控制导致风险发生的因素,尽可能减少风险的发生;二是减少损失控制,也称损失控制,即尽可能减少已发生损失的严重程度和不利后果。
⑶风险转嫁。风险转嫁是将自己面临的损失风险转给其他人或单位的行为。非保险方式转移风险多是借用合同或协议,将损失的法律责任或财务后果转由他人承担。①转移风险源有三种途径:第一,出售风险财产,同时将与财产有关的风险转移给购买该项财产的人或经济单位;第二,财产租赁,即把自己的房屋、场地、运输工具等财产租给别人使用,并收取租赁费;第三,建筑工程中的承包商利用分包合同转移风险。②签订免除责任协议。企业在开展某项活动前与有关单位签订免除责任的协议。③利用合同中的转移责任条款。在企业的某些经济活动中,变更某些合同条款将损失转移给他人。
⑷风险保留与承担。风险保留与承担,也叫自担风险,是指企业依靠自己的财力弥补已出现的风险损失的一种方法。它是处置残余风险的一种方式,一般用于以下情况:第一种,处理风险的成本高于承担风险所付出的代价;第二种,企业可以安全地承担某项损失;第三种,风险无法避免;第四种,因缺乏必要的风险管理技术而自愿承担。
⑸风险保险。保险对社会经济生活的影响已越来越大,保险对企业而言是应付风险的一种重要方法。采用这一方式,首先要分析投保方案,选择好险种;其次,充分调查,选择保险公司,要综合考虑保费率、保险公司规模、盈利状况、信誉等因素;最后,签定保险合同。
五、对我国内部审计参与风险管理的对策
1、明确我国内部审计的定位
作为现代审计体系的两大组成部分———独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物。目前,企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下,在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足,因而内部审计的建立缺乏内在需要,定位上存在偏差。
企业内部审计定位的偏差,产生了一系列不良后果,导致内部审计缺乏独立性。内部审计地位不明确,而且内部审计工作范围往往局限于财务审计,重在进行财务收支的合法性与合规性审计;在人员配置上,较少重视自身发展的内在要求,行政配置较多,造成人员素质较差且结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥,甚至直接影响了内部审计的发展。我国加入世贸组织已有几年,内部审计的发展无论是从与国际内部审计接轨,还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲,我国的内部审计事业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确,只有搞好定位,一系列问题才能得以解决,才能应对国际内部审计和惯例要求的挑战。
2 高度重视国际内部审计的发展对我国内部审计的影响
按照WTO协议的规定,入世后我国必须开放市场,取消政府对企业出口产品的补贴、退税等支持措施,以体现自由贸易和公平竞争原则,因此,企业效益全靠自身努力,在企业竞争中效益不好的就会破产、倒闭,竞争的风险不断扩大,从而促使企业经营者重视内部审计的参与作用。为适合企业这一需要,我国内部审计的中心也需要从以内部评审为中心转向以风险管理为中心。我国内部审计参与风险管理,首先需要帮助企业建立起风险管理系统,包括帮助企业建立和健全风险管理组织并就企业经营管理的各个环节制定相应风险管理规章制度。在此基础上,通过对企业风险管理组织活动的评价和监督,帮助企业不断完善其风险管理系统。同时,内部审计要不断识别企业的风险并制定管理措施,这就使得内部审计的服务延伸到企业经营过程中的任何一个领域并以风险管理为中心开展业务活动,如财务风险审计、经营风险审计、生产风险审计、信息系统风险审计等。
3 对我国内部审计组织及人员提出更高要求
首先,加强职业组织的导引。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理,积极介绍国际上内部审计参与风险管理的经验和案例,提供可资借鉴和参考的基础;积极制定与参与风险管理有关的准则和指南,以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流,选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习。
其次,内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问,而不是警察。内部审计工作只有给企业带来价值才有意义,才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。“服务”导向性内部审计只能侧重于服务,内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外,更重要的任务是针对管理和控制的缺陷提出建设性意见和改进措施,协助管理人员更有效地管理和控制各类活动,合理使用资源,以提高经济效益,增加企业的价值。
最后,改善内部审计人员的知识结构,提高其胜任能力,是内部审计实现参与风险管理的关键所在。目前我国内部审计人员知识结构比较单一,严重缺乏风险管理方面的知识,要有效地协助企业进行风险管理,必须改善他们现有的知识结构。通过风险管理的培训,增加内部审计人员的风险管理知识,提高其专业胜任能力。