随着经济全球化的发展,企业面临机遇也面临挑战,商机与风险管理成为企业永恒的使命。然而,我国企业普遍存在重机遇、轻管理的观念,导致企业缺乏经营战略,常常面临经营失败的困境。三鹿奶粉事件为我们敲响警钟,一个品牌价值数十亿的企业,一夜之间倒闭,充分说明了风险管理的重要性。随着市场的不断完善,已经有相当一部分大型企业建立了风险管理体系,但由于该体系作用效果不明显,仍然形同虚设。然而,任何经营都是有风险的,风险无处不在且很难预测,为了提高风险的预测能力,这就对企业内部审计提出了更高的要求。
一、开展风险导向内部审计的意义
首先是内部审计自身生存与发展的需要。目前,内部审计业务外包是很普遍的审计应用形式,通过部分审计职能的转移,使企业更专注于核心竞争力的发展,利用外部资源实现自己的增值。然而,随着内部审计外包业务的广泛流行,企业内部审计的地位日益下降,其存在岌岌可危。为了不被淘汰,为了实现自身对企业的价值,必须通过寻求差异化的存在方式,风险导向审计就势在必行。其次是强化企业风险管理是重要的。随着科技不断创新,企业面临的环境越来越复杂。因此,风险管理对企业的经营十分重要。而内部审计是企业价值链上的重要环节,也是风险管理的重要部分,时刻紧密围绕企业战略目标对风险进行评估和监控,为企业的风险管理提供确认与咨询服务,帮助企业实现战略目标。
二、企业风险导向审计存在的问题
1.内部审计机构设置不合理
为了提高内审机构的独立性,审计人员必须履行自身的职责。但是,内部审计机构或个人存在多方利益关系,其客观性与独立性都是理想。一般来讲表现为以下两个方面:一方面,企业很少设置审计委员会,内部审计部门常由企业大股东或实际控制人主导,这样内部审计人员很容易受管理层干涉;另一方面,内部审计人员的经费得不到保障。一般来讲,审计机构的经费来源是独立且固定的,但由于大多企业将其列入管理费用,这样随意性变大。如果管理层对审计部门不够重视,那么相应的经费就很少,无法满足正常开支。在管理层不顾法律法规,违背经济效益原则时,审计人员常常受控于他们,无法正常行使自己的权力与职责。因此,内审机构设置不合理会影响内审人员的客观性,会导致内部受托责任履行不到位,进而导致风险导向内部审计无法发挥应有的作用。
2.企业战略目标风险意识缺乏
风险导向审计是以企业目标与战略为基础来规划内部审计的,所以内部审计对战略风险识别自然是重中之重。虽然任何经营都存在风险,且风险的大小不一,但企业不能盲目守旧,因为风险大而躲避,一味追求稳妥并不是好的经营方法。危险的另一面往往是机会,风险越大带来的机会就越多,企业的盈利就越多。如果企业一直是微薄盈利,很可能因市场突变而遭受灭顶之灾,因此,企业员工要认识到位,将风险管控在一定范围内,既在一定程度上降低风险的可能性,又能实现企业利益的最大化。相应地,内部审计战略规划要随着影响企业目标和战略实现的风险因素而调整。可见,内部审计战略规划不是一劳永逸的,而是动态变化的,它为内部审计年度计划提供了方向,进而在评价为实现单项工作目标的具体的风险管理活动方面,提供了行动上的指南,帮助管理层评估风险管理活动。
3.风险控制机制不健全
目前,我国大部分大中型企业都建立了风险管理机制,但由于不健全、投入力度较小,不能实现全面的、全过程、全方位的风险管理,所以其结果与预期相差很大。首先,没有意识到全员参与的重要性。风险管理实际上是全员的管理,所有部门和所有人员都要承担一定的风险责任,而不是出现问题就将责任归咎于风险管理部门。与此同时,在日常工作中相关部门人员有义务辅助相关部门对企业的风险管理进行改进和完善。其次,割裂风险管理的整体性。企业内一些短视的管理人员,认为绩效目标实现的风险因素是最重要的,重视力度相当大,而对企业的战略目标却未等同视之,造成风险的整体性割裂,大大增加了企业整体的风险。为此,一定要健全相关风险机制,彻底改变管理层及基层人员的认识误区,建立企业风险防范架构,使风险管理工作有条不紊地一步步向成熟方向发展。
4.内部审计技术简单落后
目前,企业的内部审计系统十分落后,一些仍然沿用传统的手工会计信息系统,一些建立了信息化系统的,仅仅是计算机和局域网,外加粗制滥造的处理系统。由于处理效率低下,准确性不高,严重影响了内部审计的地位。随着ERP系统、财务软件的出现,内部审计难度变大,这对内部审计人员技术提出了更高要求。风险导向内部审计主要识别广义的风险,所以其不仅要对财务数据进行分析,还要把非财务数据加入进来,全面分析风险和实现量化指标识别。目前,由于我国企业技术支持不到位,大部分采取定性分析,而量化分析技术很少。没有成熟的理论支撑,内部审计很难满足定量分析的要求,对风险识别的准确性就大打折扣。当前,国外企业已经采用计算机辅助的现代审计技术,采取科学、先进的算法,将风险量化,从而实现了审计技术的重大突破。具有量化指标,系统就可以通过选择,找到对企业最有利的审计方案。因此,国外审计技术较我国先进很多,很值得我们去借鉴。此外,我国企业内部审计人员缺乏,大部分人员素质不高,这也是亟待解决的问题。
三、风险导向内部审计的对策
1.优化内部审计环境
生存环境是企业内部审计的基石,是其茁壮成长的条件,对内部审计的健康发展起着重要作用。为此一定要为内部审计创造一个良好的环境。首先,完善公司治理结构。独立性和权威性是内部审计正常开展的保障。基于目前企业不合理的公司治理结构,应该尽快实施改革。为了保障内部审计独立性与权威性,内部治理结构应该选择目前推广的第五种治理结构,即在董事会下面设置审计委员会,内部审计职能由审计委员会独立承担。只有这样内部审计才不受其他部门、其他领导层的干涉,才能够严格执行审计任务和审计职责。事实证明,这种组织模式是开展风险导向内部审计的最佳模式。其次,推行双轨报告制。面向审计委员会和高管层的双轨报告。其特点是将事后工作延伸到事前事中,内部审计不再是被动提供服务,而是主动提供,这样有利于调动员工积极性。内部审计有两个不同的客户,针对他们的需求和目标提供相应的服务,由于审计委员会直属董事会,而内部审计由审计委员会管理,中间没有了管理层介入,体现了企业职能下放,使内部审计服务更具价值。第三,优化内部审计结构。内部审计应由两部分组成,即知识结构与构成结构。也就是说,内部审计工作人员不一定全部是专业审计人员,由于是全过程管理,其他职能部门职员参与也很重要。可以选择工作组的方式开展工作。另外,还要对专业的审计人员进行培训,让他们多了解其他职能部门的工作内容。
2.规划风险导向内部审计战略
战略规划分为战略选择与分析。风险导向内部审计战略规划,就是要以企业风险为导向进行战略分析和选择。内部审计应根据企业的目标和企业的战略规划,识别影响实现企业目标与战略的内外部风险因素及关键业务流程,以重要风险因素及关键业务流程为基础,制定内部审计战略规划。内部审计战略规划并不是一经制定就一成不变了,应该根据企业目标实现因其他外部原因的不同而实施动态化的规划,以适应风险的变化。风险导向内部审计要求内审人员以企业战略目标为起点,以企业增值为目标,风险的关注以企业的长远利益和战略为重点。
3.构建有效的风险管理机制
在企业日常管理中,风险导向内部审计对风险控制的管理情况以及成效,需要有一个监督机制,监督人员的主要职能是采取适当措施应对已评估风险。监督与内部审计的工作范围是一样的,是对审计过程的全程管理,因此,要建立全过程的内部审计监督机制,实现最大限度的规避风险,提高服务含金量。审计监督机制也是动态的管理过程,需要在实际中不断总结经验教训,不断使监督机制完善,更好的帮助开展工作。另外,还要健全责任追究机制。没有责任的工作是永远干不好的,因此,企业应建立风险导向内部审计与监督责任追究机制,当某个或多个员工不符合管理制度规范时,应能依据责任追究制度做相应的处罚。责任追究机制应落实到位,不能因为利益关系、人情关系而流于形式。责任追究机制还强调责任与权力对等,有多大的权力就有多大的责任。当然,有责任同样也有激励,在建立健全责任追究机制同时,还可配套相应的激励机制,只有两者同步进行,才能达到良好的效果。
4.建立风险导向内部审计系统
随着科技的日新月异,计算机审计成为未来审计发展的必然趋势。计算机的信息处理能力、数据交换能力以及业务跟踪能力等都是人力所无法比拟的。企业应加快审计人力的培训步伐,尽快实现计算机审计。在技术与资金上,企业应引进该方面的开发人才,大力发展电算化审计软件。通过审计软件,企业可将量化指标和特殊算法加入进去,逐步实现内部审计的量化。另外,还要建立一个畅通的网络系统,一方面要建立内部局域网,实现企业内部的横向与纵向连接;另一方面将内审人员的计算机与其他部门计算机联网,各部门安装审计人员开展工作的终端程序,方便审计人员随时调用与检查,提高工作效率。企业有必要建立风险评估信息数据库,方便审计人员及时地收集进行风险评估所需的充分的和适当的信息资料,提高工作效率和工作质量。风险量化的可操作性可以在此基础上利用其他信息技术手段得以实现。
总之,内部审计业务外包使内部审计处于不利地发展状态。事实上,内部审计对企业仍具有很大的价值。风险导向内部审计是企业内部审计的发展趋势,它所提供的服务价值是不可估量的。