前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的内部审计的主要风险主题范文,仅供参考,欢迎阅读并收藏。
关键词:内部审计 施工企业 风险管理 应用
1 内部审计与风险管理
施工企业内部审计作为结合内部财务审计和风险管理的一种有效工具,通过风险分析,制定审计计划与公司高层的风险战略连在一起,并确保审计计划与经营计划相一致,将施工企业风险管理原则贯穿于整个内部审计过程中。即:在继续做好财务收支、经济效益和内控制度执行审计的基础上,更要参与风险管理,帮助企业发现、评价重要的风险因素,最大限度地降低企业风险。尤其是以风险导向内部审计模式为代表的现代审计,内部审计人员在内部审计的全过程中自始至终都关心风险,并根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。
2 现代企业内部审计的特征
2.1 识别、评价和改善风险 施工企业点多、线长、面广、分散的施工特点决定施工企业经营风险的始终存在。因此、识别、评价和改善风险是施工企业内部审计的首要特点,现代企业内部审计不再是采用通过检查历史数据和内控制度执行提出意见和建议的方式,而是充分利用内部审计在内部控制方面的独立性和权威性,掌握企业的生产经营状况和战略目标、了解企业所处的内外环境和竞争优势、对潜在的风险进行分析和评估,将评价结果和改善意见直接报告给最高管理者,以有力防范潜在的各种风险。
2.2 内部审计工作重心由实施阶段向计划阶段转移 在传统审计模式中,内部审计人员非常重视审计实施阶段的工作,关注的核心是内部控制,是对内部控制的测试。而在现代审计模式下,以风险为核心的审计理念要求内部审计人员将更多的时间放在计划阶段,关注的核心是从内部控制转向风险,衡量企业面临的风险,是未雨绸缪而不是雪中送炭,审计工作的重心由实施阶段前移到计划阶段。
2.3 内部审计关口由事后审计向事前、事中、事后审计相结合转移 在传统审计模式中,内部审计着眼于对已发生的经济活动进行审查,即在企业经营行为发生之后就其结果进行审计,实行事后审计。而风险导向内部审计是以风险为核心,风险是面向未来的,直接和目标及战略相关联,将事后的反馈延伸到事前以及事中,克服了制度导向内部审计的缺陷,能够为企业高级管理者预测未来提供更多信息。
3 施工企业目前面临的主要风险
3.1 盲目签约,缺乏风险评估及保护措施 由于建筑行业市场环境欠规范,行业政策缺失等因素,施工企业长期处于恶势竞争状态,有的企业把争取最大的市场份额作为弥补产值利润低下甚至亏损的主要手段。这种盲目签约的行为给企业带来三大风险:一是形成纠纷,损失难免;二是产值利润率低下,企业长期处于低层次经营;三是由于没有积累,致使企业大而不强。
3.2 对合同履行重视不够,导致拖欠工程款风险 个别施工企业对合同的履行不够重视。施工方由于种种原因在施工过程中不能履行合同,导致合同履行的责任不清,在工程竣工结算时,甲方拒绝向施工方提供有关资料,致使无法形成工程竣工验收报告,拖延对工程的验收和决算。工程没有决算,就无法确定甲方欠款确切的数额,作为施工方就无法行使权利,最后不得不以延长付款期限或少收工程款为代价,换取对方对工程款的决算。有的甚至形成坏账,给企业带来损失。 转贴于
3.3 垫资合同,导致融资风险 由于建筑市场竞争激烈,企业通常面临承接工程就要垫资、不承接工程就没活干的两难局面。为了弥补固定成本支出承接垫资工程,企业必须融资。对于大中型施工企业来讲,资金融通主要反映在内外两个方面,对外是企业向金融机构贷款;对内是企业内部之间的借款。向金融机构大额借款,一旦资金周转不过来将面临巨大压力,很可能导致续贷或借新债还旧债的恶性循环;对企业借款给其他企业的将面临不能如期收回的融资风险。
3.4 低价中标,导致成本风险 低价中标是指中标价格低于实际成本的不可控成本风险。由于建设质量的要求和建设单位的规定,企业为了能够以相对低的报价中标,往往在投标书中采取以下几项措施:一是在预算的基础上大幅度降低投标价格;二是降低工程的间接费率;三是降低计划利润;四是降低材料的单价;五是虽未降低材料的单价、但承包工程合同中又将材料单价包死等。标书中减少的临时工程数量或降低的临时工程单价,在实际施工时根本无法减少或降低,从而使投标书中的临时工程价值远远低于实际造价。正式工程的间接费率降低后,为维持企业运转而发生的企业管理费,特别是职工保险等固定费用并不因投标降低费率而减少,从而造成项目的间接费超支。计划利润降低,使项目部赖以实现的一点盈利彻底消失。
3.5 不按要求实施分包或分包商选择不当,导致分包风险 一是未经业主同意擅自分包,造成承担违约责任和赔偿损失,二是选择分包不当,影响整个工程进度或发生经济损失,三是分包拖欠民工工资和材料款引起诉讼,总承包单位承担连带责任。
施工企业风险的发生原因:有客观因素,也有主观因素;有企业外部影响因素、也有企业内部影响因素。主观因素、企业内部影响因素可归结为企业风险防范意识差,内部控制制度不完善或执行不力,战略决策不科学等。企业能够真正积极有效防范和控制的风险正是主要由这两类因素所造成的风险。而传统审计模式已不能真正防范企业面临的这些风险。因此,企业内部审计人员应该有效利用风险导向审计模式,深入调查、分析和判断风险程度,采取各种措施,防范、控制、化解和回避由企业内部影响因素和主观因素造成的风险,减少风险损失,提高经营的有效性。
4 现代内部审计在企业风险管理中的对策
4.1 内部审计部门应制定合理的风险审计计划。完善的风险审计计划包括:年度审计计划、项目审计计划、项目审计实施方案三个层次。年度审计计划应与企业的年度经营目标和风险战略相结合,采用以风险导向审计为主,制度基础和帐项基础审计为辅的审计原则安排全年审计计划;项目审计计划是在年度计划的基础上制定的,是在对年度主要风险进行测试和评估的基础上,找出关键风险点,列出具体项目作为项目审计;审计实施方案应分年度审计实施方案和项目审计实施方案,年度审计实施方案是年度计划实施的具体时间和步骤,应具有一定灵活性,以满足随时可能出现的战略需求;项目审计实施方案是指导现场审计达到审计目标的具体行动措施,包括从头至尾的审计步骤和风险评估的方法。
关键词:内部审计;风险管理;角色定位
随着经济全球化及市场化程度的加深,企业面临的经营风险不断增加,风险管理成为了企业快速健康发展的重要保证。企业必须全面谨慎地识别各种潜在风险,加强对风险的管理和控制并在风险管理的执行、评估与监督等各个环节进行合理分工,以提高风险管理的效率,达到更好的管理效果。企业风险管理过程中通常涉及多个部门或机构的协调,需要一个相对独立的机构予以保障,而内部审计部门在企业架构中具有相对独立的地位及特殊的职能,正好可以担当此任。所以,内部审计机构也就与时俱进,改变了过去对内部审计只是作为企业财务监督者的定位,将其目标调整为向企业管理层提供保证和咨询服务,评价和改善风险管理,帮助企业实现其目标。
内部审计如何充分利用其独立地位及特殊职能,参与到企业风险管理中并发挥其重要作用以提高企业风险管理的效率,是一个值得深入研究和探讨的重要课题。
一、内部审计和风险管理的互动关系
(一)内部审计定义中包含风险管理的内容
内部审计是建立在企业内部并服务于企业管理层的一种独立的检查、监督和评价活动,它一方面可用于对企业内部控制制度的充分性和有效性进行检查、监督和评价,另一方面又可用于对企业财务会计及相关信息的真实性、合法性和完整性,以及对企业资产的安全性和完整性、企业经营业绩和经营合规性等进行检查、监督和评价。
2001年国际内部审计师协会对于内部审计新的定义指出:“内部审计是一种独立、客观的评价和咨询活动,目的在于帮助组织增加价值和改善运营。内部审计通过运用一系列规范的方法和程序,评价并改善风险管理、风险控制和治理程序的效果,帮助组织实现其目标。 ”这个对于内部审计的定义中已明确包含风险管理的内容,“评价并改善风险管理”作为内部审计的重要工作领域出现。
(二)风险管理赋予了内部审计在企业中新的地位和作用
企业风险管理是由企业的董事会、管理层和各级员工共同参与的,应用于企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项或风险点,并在其可接受风险范围内管理和控制风险,为企业目标的实现提供合理保证的过程。
经营风险的不断增加,使得企业管理层空前重视对风险的管理,内部审计参与风险管理的机会也大大增加。内部审计可以充分发挥其独立地位及特殊职能,在风险管理中起到举足轻重的作用。从而确立并提升内部审计在整个企业管理中的地位和作用。
二、内部审计在风险管理中的角色定位
2001年国际内部审计师协会颁布的内部审计实务公告“内部审计在风险管理中的作用”中指出,风险管理是管理人员的关键职责,内部审计人员应通过检查、评价、报告风险管理过程的充分性和有效性,并适时提出改进建议来协助管理层和审计委员会的工作。管理层和审计委员会负责企业的风险管理和控制过程,内部审计人员可以协助其确定、评价和实施针对风险采取的管理方法和控制措施。
由此可见,内部审计在企业管理框架中的角色主要是监督者,其在风险管理中的主要责任是对管理层提供帮助,就管理层的风险管理过程的充分性和有效性进行检查、评价、报告并提出改进意见,以保证企业管理系统能够有效运行、财务信息及时准确、投资决策正确以及经济活动合法合规,内部审计实际上是一种对风险管理的再管理过程。
三、内部审计参与风险管理的作用
内部审计部门作为企业内部相对独立的管理部门,其首要的责任是对整个企业或企业中某个部门的风险管理体系的充分性和有效性进行检查和评价。内部审计通过履行其在企业风险管理中的职责,达到对风险管理进行监督和再管理的作用,主要体现在以下几个方面。
(一)帮助管理层评估、识别和防范风险
内部审计从评价企业内部控制制度入手,在企业经营管理各个环节查找漏洞和风险点,帮助企业及时识别正在或将要面临哪些风险,风险度有多大,针对重大的风险点提出应对策略以达到防范风险的目的。
(二)帮助管理层建立和完善企业风险管理体系
内部审计部门在企业中相对独立的地位和客观的角度,使得其建议更容易得到管理层的重视,从而促进企业内部建立和健全风险管理体系。内部审计人员利用自身优势,分析企业的主要风险是否已得到充分考虑,风险发生的可能性及影响是否在可接受的风险范围内,各部门的目标是否与企业总体目标一致并为其提供了有力的支持,同时通过关注管理层对风险的识别和评估是否及时准确,风险监控措施是否得到有效执行,风险管理报告是否及时有效等措施,进而提出切实可行的管理建议,帮助管理层完善企业风险管理体系。
(三) 在企业风险管理中发挥协调作用
内部审计部门处于企业的董事会、总经理和各职能部门之间的独立地位,使得内部审计人员能够充当企业风险策略与各种决策的协调人,协调各职能部门共同管理企业。通过内部审计的协调可以有效地调控、指导企业的风险管理策略,以防范和减少各种经营决策带来的风险。
四、内部审计参与风险管理的设想和思考
内部审计部门参与风险管理,主要是对风险管理部门和其他相关部门所进行的风险管理的再监督和再管理,但也不是意味着内部审计部门不能作为直接的风险管理人,必要时内部审计可以直接进行风险管理。内部审计介入风险管理是一个新事物,对内部审计如何参与风险管理并发挥重要作用是一个需要进一步探讨的课题。
(一)树立全新的审计监督理念
内部审计参与风险管理首先要实现两方面的转变,一方面要实现从合规性审计监督向风险性审计监督的转变,另一方面要实现从事后监督向事中监督和事前监督的转变。内部审计应积极探索变被动为主动,加强事中和事前的监督,防患于未然,提高监督管理效能。在这样的审计监督理念下,如何从审计实务的层面去全面落实,如何在具体的审计项目中体现出这些理念,让内部审计真正参与到风险管理中并切实发挥其独特的重要作用,还需要内部审计人员去进一步研究探讨,并通过创新实务去践行。
(二)落实以风险为导向的审计模式下的审计实务
以风险为导向进行内部审计工作的着眼点是风险,首先是对风险的分析、识别和评估。从系统论的观点看,一些孤立的、局部的检查方法难以对风险的全面性予以把握,所以可以考虑这样一个思路,以内部控制评价作为基础,在这个基础上去思考一些落实风险导向的内部审计策略方面的问题。企业内部控制涉及到企业经营的各个方面,内部审计可以通过内部控制评价对企业的风险状况进行全面检查,围绕企业的目标进行系统风险的评估,从而有效地实施风险导向的审计,有效地把握审计的重点和方向。所以,应该探讨怎样把这些相关的工作联系起来,确定一些方法,根据不同层面的内部控制评价的结果,确定一定时期内风险导向审计的计划,或者特定审计项目的方案。在企业层面如果能够做到通过内部控制评价了解它的全面风险状况,就可以确定一定时期之内的审计计划,审计实施的重点,而对一些业务层面内部控制的评价则可以确定一些具体项目的审计方案。所以,落实以风险为导向的审计模式下的审计实务,可以作为一个值得考虑的思路。
(三)以新的视野把握内部审计参与风险管理的领域
探讨内部审计如何参与企业风险管理的工作实务层面的落实问题,应该以新的视野把握内部审计领域和审计内容,以风险为导向抓住主要的风险,让审计覆盖住企业面临主要风险,所以新的审计理念和模式下,首先应该认真地检讨一下那些已经存在,但由于审计人员的视野和认识上的偏差而忽视的存在着潜在重大风险的领域和内容。一些审计的模式和审计内容过去不是没有,但是现在如果确立以风险为导向的审计模式参与风险管理,应该以新的视角去研究,去把握,做好相应的工作。
(四)协同风险管理部门的工作,提高内部审计效率
内部审计参与风险管理在实务层面还有一个非常重要的工作就是协同的问题。职能管理既要分清边界和责任,又要注重协同,避免在实务当中出现偏差或影响效率。比如,建立完善的风险管理架构,采取相应的措施,将风险降低到风险偏好以下可接受的程度,这是管理层的责任,或者管理层授权的相关部门的责任,内部审计是对这个框架及其有效性进行确认。但是,风险管理是一项很复杂的系统工作,发现识别风险,对风险进行评估,确定可接受的风险水平,包括将风险汇集到一个系统当中进行跟踪管理,都需要很专业的知识。作为大的集团公司,一般有专门的风险管理部门,而且很多风险管理的工作和其他的职能管理部门都有联系,各部门都是从一定的方面去进行风险管理。如果搞好协同,很多基础性的信息不需要审计人员重新去做,内部审计部门可以从风险管理部门直接获得这些信息和资料,把它们作为审计工作的基础,在这个基础上,再履行内部审计的职能,对风险管理进行评价,从而大大提高审计效率。
参考文献:
[1]国际内部审计师协会.内部审计实务标准.[M].北京:中国时代经济出版社,2004.
[2]COSO.企业风险管理:整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005.
关键词:商业银行内部审计风险管理
随着银行业务的发展和市场竞争的加剧,银行业风险日益增大,使其生存和发展受到严重挑战,而内部审计在风险管理、内部控制以及公司治理等方面有着重要的地位和作用。本文就内部审计在风险管理中的作用以及如何发挥其作用进行粗浅的探讨。
一、商业银行风险管理
对银行而言,风险是可能对银行战略目标的实现产生影响的事件、行为和环境,而对这种不确定性进行调节和驾驭的能力就是风险管理。风险管理并非是要消除风险,而是通过对未来结果不确定性的分析预测和周密思考,以降低决策错误之几率、避免损失之可能,相对提高银行的附加价值。
商业银行的风险种类很多,主要有以下几种表现形式:一是信贷风险,信贷资产是银行业的主要资产,在当前实行分业经营的背景下,它是银行业最大的盈利项目,信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险,主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险,主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险,主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来,商业银行内控制度尽管有所加强,但受利益驱动和相关管理人员能力、素质的影响,经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。
二、内部审计在风险管理中的作用
随着市场经济的不断发展,市场竞争日趋激烈,经营环境复杂多变,银行面临的风险也不断加大。内部审计在风险管理中发挥着越来越重要的作用,它通过评估、计量和报告总体风险,推动银行实施风险管理,最大程度地防范和化解可预见的风险。具体而言,其作用体现在如下方面:
(一)能够客观识别和评估风险的充分性
内部审计部门独立于业务管理部门,这使其可以从全局出发,从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之,就是要确定银行正在或将要面临哪些风险,所面临的主要风险是否均已被识别,并找出未被识别的主要风险。内部审计师不仅要识别相关的风险,而且还应从以下几个方面对风险进行评估:一是评价银行战略目标的制定是否是在分析组织和行业发展情况和趋势、银行的优势和劣势、外部的机会和威胁的基础上结合实际来制定;二是看分解到各部门的目标是否对战略目标提供足够的支持,是否与整体目标保持一致;三是评价员工是否确知已建立的工作目标(或业务管理目标);四是管理层是否建立风险识别与评估机制,该机制至少包括机构、人员、政策和程序以及支持系统。管理层对风险的识别和评估是否准确,是否已对面临的风险进行恰当分类;五是是否已识别出各类内部和外部的风险因素,并对已识别的风险进行计量,分析控制措施是否完善,是否可以使银行风险发生的可能性和影响都落在风险容忍度之内;六是风险监控是否持续得到执行,监控报告制度是否合理,风险管理报告是否充分、及时。
(二)能够综合分析和计量风险的恰当性
内部审计对现代内部控制的焦点不仅在于识别和评估风险的充分性,而且在于强调风险分析和计量。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计,通用的公式为:风险值=风险影响X风险概率。目前国内商业银行缺少实施先进风险计量方法的必要支撑,但新资本协议鼓励银行采用更为先进的风险计量方法,如允许银行通过内部评级确定风险函数计量加权风险资产;运用金融工程技术转化基础工具计量市场风险;运用基本指标法、标准法、高级计量法和风险模型计量操作风险等。内部审计可以借鉴新资本协议的方法,对风险进行计量和解析。在风险难以量化、定量评价所需的数据难以获取时,应采取定性评价。定性评价的复杂性在于很多情况下需要主管判断不同结果的可能性,不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同,如银行在计量未决诉讼预计负债时,其金额具有不确定性,需要进行合理而恰当的估计。
(三)能够发挥风险反馈的预警性
内部审计在银行管理控制系统中发挥反馈作用,对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果,特别在关注高风险领域和内控不健全区域的潜在威胁时,是通过风险反馈进行持续监督与评价,确保目标与预算如期完成的。一方面,内部审计要与相关部门进行风险管理沟通,对风险管理过程的充分性和有效性进行检查、评价,对重大的审计发现按清晰传递的线路进行报告,传递给内部相关人员和其他有关方面,以便及时采取相应的控制措施,同时对监督检查结果的落实情况要进行跟踪报告,使风险及时得到控制和防范;另一方面,以风险为核心及出发点的内部审计,能够客观地从全局的角度管理风险,能从组织的利益和实际出发,提出防范风险的有效建议,作为管理层改进风险管理的参考意见,内部审计的建议更加强调风险规避、风险转移和风险控制,通过有效的风险管理建议反馈,提高组织的整体管理效率。
三、加强内部审计在风险管理中作用的有效途径
(一)树立正确的风险审计理念
在当前市场竞争日趋激烈的情况下,银行面临的风险越来越大,银行各级管理层应深刻理解银行所处环境中各种不确定因素对银行风险的含义,把风险作为重要的决策变量,始终把风险意识贯穿于经营的全过程。内部审计已成为银行风险管理的一个重要环节,存在风险的领域就是内部审计的重点,风险评估已成为内部审计的主要内容,内部审计已扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外,更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”,效益审计应成为内部审计的重要内容。
(二)将风险管理融人内部审计的全过程
内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。首先,在编制审计计划时,应在对可能影响机构的风险进行评估的基础上,按风险评估结果确定优先顺序,制定内部审计部门的审计计划,确定审计项目。
其次,确定审计范围和编制审计方案时,通过风险因素分析来确定审计业务工作范围,如重要的会计凭证、重大交易和事项的会计处理及交易授权等;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在选择技术与方法时,应能反映出风险的重大性与发生的可能性。再次,在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞,提出加强管理的建议。最后,追踪审计时应将注意力集中于最严重的潜在的问题上,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。
(三)利用网络信息开展动态管理评价模式
随着市场竞争的加剧,新的审计环境要求审计人员在风险导向审计中,利用网络信息收集风险数据开展动态评估的评价模式,为银行提供更有价值的服务。内部审计机构应根据机构和人员的设置情况,对日常资料的收集和分析工作进行分工,收集内部信息和外部信息,收集有助于进行风险评估的银行内部控制状况资料,建立数据库,利用一定的指标和模型进行风险评估,及时准确地确定审计监控的重点和范围,为各级经营决策者和审计部门全面、连续、及时地监控和评价业务发展情况提供大量有价值的信息,提高审计效率和审计质量。数据库的优点是把银行面临的风险进行量化,发挥预警作用,同时进行全方位、全过程的监控,以便及早发现存在的风险并及时进行解决,达到控制风险和防范风险的目的。
关键词:医院;内部审计;风险控制
风险管理是指企业在日常的经营中,通过对风险的认识、衡量和分析,并以最小的成本达到最大安全保障的管理办法[1]。人们对内部审计基本认识还停留在针对医院的经济业务活动进行监控,查漏补缺、查错防弊,事后审计是审计主要形式。随着内部审计不断发展,审计已由账项审计、制度审计、管理审计逐步发展到对本单位风险管理和风险控制,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,1999年国际内部审计师协会把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对医院内部审计在风险控制和管理方面作简要的阐述。
一、什么是风险、风险管理
(一)风险及风险因素
风险是在一定环境和限期内客观存在的,可能导致费用、损失与损害产生的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。
风险因素,是指能够引起或增加风险事件发生机会或影响损失的因素。风险因素可分成三类:
1.物理因素,是指增加风险发生机会或损失严重程度的直接条件,在医院如购进不合格卫生材料、医疗仪器设备出现故障可能影响病人人身安全等。
2.道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素,如医德医风风险等。
3.心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素,如医护人员因责任心不强,未能严格执行医疗操作规范等。
在医院面临的风险有医疗风险、经营决策风险、财务风险、管理风险、医德医风风险等。
风险可能导致医院名誉受损,经营陷入困境,发生财务损失等。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。什么是风险管理,美国学者克里斯蒂认为风险管理是组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;美国学者威廉斯和理查德·汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国有学者认为,风险管理是医院通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
从风险管理定义以上看出风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
二、医院内部审计涉足风险控制和风险管理动因
从医院经营和管理要求,医院业务和管理行为一定要趋利避害,减少风险,稳健经营,医院内部审计涉足风险管理有重要原因:
(一)医院面临的风险日益增大
近年来,随着社会经济的发展,特别医院经营与国民经济联系越来越紧密,使医院经营环境变得日趋复杂,医疗市场竞争加剧、医疗体制改革不断深入,医院经营风险也大大增加。因此,减少医院面临的风险是组织实现经营目标的关键,也是医院的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是医院的管理咨询师,因此,内部审计部门和内部审计人员参与医院的风险管理也是其角色定位需要。
(二)内部审计自身发展的需求
内部审计部门为了不断地发展,为了在医院中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对医院又十分重要的领域,医院高层管理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在医院中成为一个重要的角色,并将其在医院中的作用推向一个新水平。
(三)内部审计能够在风险管理中发挥独特的作用
1.客观、全局性的管理风险
风险在医院内部具有感染性、传递性、不对称性等特征,一个部门造成的风险或疏于风险管理带来的后果往往不局限该部门,可能会传递到其他部门,最终可能使整个医院陷入困境,如一个医疗责任事故,可能引起其他临床科室病人恐慌,造成对医务人员的不信任心理。还如采购部门为节约采购成本,过于强调价格而忽略质量,这种暗藏的风险会在临床应用中反映出来,最终给医院造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计部门独立于业务管理部门,可以从全局出发、从客观的角度对风险进行识别,及时建议相关管理职能部门采取措施控制风险。
.控制、指导医院的风险策略
内部审计部门处于医院决策层、业务和职能部门之间,内部审计人员能够充当医院长期风险策略与各种决策的协调人,从独立第三者角度调控、指导医院的风险管理策略。
3.内部审计部门的建议更易引起重视
在医院各职能部门如医务、护理、后勤基建、设备采购对各自部门风险都会有一定的管理措施,但它们在管理
(四)外部审计的影响
近年来,注册会计师的业务领域不断扩展,如风险评估,且逐渐成为主要业务之一,这内部审计产生重大影响。内部审计在单位内部风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计对医院面临的风险更了解、对防范医院风险、实现医院目标有着更强烈的责任感、对医院业务活动流程更熟悉。但外部审计比内部审计有更专业的审计方法和高素质的审计人员,在基建工程等投资金额大、周期长的项目,应引入外部审计进行风险控制。
三、内部审计如何参与风险管理
其他部门与内部审计部门所进行的风险管理相比较,既有紧密的联系,又有区别。联系在于,两者目的是统一的,都是为了降低医院的风险;两者的区别在于在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计进行的风险管理是在一般部门进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:
(一)风险识别
所谓风险识别是指对医院所面临的、潜在的风险进行判断、归类和鉴定风险性质的过程,换言之,就是要确定医院正在或将要面临哪些风险。内部审计对原有的已识别风险是否充分进行评价,即医院所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析分析等。
(二)评价已有风险
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法等。
(三)评估风险防范措施,提出改进意见
风险的防范措施是指为降低已识别风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计应提出改进措施和建议,以强化医院的风险管理,降低风险损失。采用的方法有:损失控制、签订免除责任协议等。
综上所述,内部审计涉足风险管理领域有其客观必然性。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督,但这绝不意味着内部审计部门可以控制、管理所有的风险。内部审计介入风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要长期研究的课题。
风险基础审计以风险评估分析为基础来确定审计的重点和范围,并以此作为如何收集、收集多少审计证据的依据。风险基础审计以更为全面、更为完善的内部控制为基础,特别强调对影响内部控制诸多环境因素的考虑。基于内部审计的技术要求,风险基础审计作为一种新的、多维的、有效的审计技术得以迅速发展,一方面大大提高了审计的效率,同时也缓解了审计人员所面临的错综复杂的风险,使审计方法更加科学、更加成熟。医院的内部审计部门,是为医院管理服务的部门,内部审计人员应履行帮助管理者降低医院各类风险、实现经营目标的职责。内部审计应针对医院的主要风险领域,确定审计项目。风险基础审计,就是以“风险”为核心进行的审计。
2 医院内部审计领域引入风险基础审计的必要性
2.1 风险管理已成为整个内部审计领域工作的重要内容 国际内部审计师协会(IIA)亚洲事务特别助理张翌轩博士在其讲学中提到,国际内部审计师协会对“内部审计”概念已作重新阐述,其内容为:内部审计是一项独立客观的认证与咨询顾问服务,内部审计以增加价值与改善营运为目标,内部审计经由系统、规范的手段来评估与改进风险管理控制与组织监控统御过程,以达到组织的既定目标。对“内部审计”的重新阐述,使内部审计人员在确定目标范围、采用方式方法、发挥职能作用等方面更加科学有效,特别是把“风险管理”作为一项重要的工作内容纳入内部审计,且作为必须履行的职责,适应了现代经济管理的需要。
2.2 医院风险管理是适应医疗改革的需要 医疗机构作为卫生改革的焦点之一,由相对稳定的计划经济逐步转向风险多变的市场经济,种种经营风险直接威胁着医院的生存与发展。实行医院风险基础审计模式的内部审计部门,以医院的风险管理目标为工作目标,在认真分析和把握医院将面临的风险和种类及其成因的基础上,以积极地控制风险为宗旨,严格按照风险管理程序进行医院风险管理,能使医院防患于未然,实现长期稳定的发展。
3 医院内部审计领域引入风险基础审计的可行性
3.1 风险基础审计中关注的风险与整个医院关注的风险是一致的 内部审计参与医院风险管理是其责无旁贷的职责。在内部审计领域中,内部审计人员更多地将风险基础审计中的“风险”扩大为医院经营过程中面临的不能实现其目标的各种风险,并将其作为确定审计项目及其审计范围和重点的依据。所以,此时审计人员更多地是注重于医院的固有风险和控制风险,审计人员关注风险也就是关注医院现存的各项风险及医院为降低经营管理风险所进行的各项管理活动。
3.2 风险基础审计是医院内部审计工作减少职业风险较为科学的方法 在内部审计领域运用风险基础审计,不仅是用风险标准来确定审计项目,而且是运用风险评估手段来确认单个审计项目中的审计重点。内部审计人员不是在内部控制系统中观察业务过程,而是在风险环境中观察业务过程,从而体现审计的价值。因此,审计报告更容易被接受,医院管理部门也更容易理解内部审计存在的价值,它可以减少医院内部审计职业存在的价值危机。
3.3 风险基础审计可以减少审计项目风险 风险基础审计以对医院环境和经营进行全面风险分析为出发点,在选择被审计者、制定审计计划、调查经营活动、描述和分析、内部控制、形成审计报告和审计建议、进行后续审计等各审计程序过程中,均以对风险的考虑作为出发点,使审计风险的评估和分析贯穿于整个审计过程。因此,内部审计活动既能最大限度地控制医院面临的经营风险,也能最大限度地控制审计项目的风险。
一、企业风险管理
企业风险管理,指企业围绕总体经营目标企业, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。它由一个企业的董事会、管理经营层和员工共同实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了企业所有的管理层次和管理领域,方法也更为结构化和规范化。
二、企业内部审计
(一)内部审计概念
国有企业内部审计依据国家有关法律法规、财务会计制度和企业内部管理规定等,对企业的财务收支、财务决算、全面预算、经济责任、资产质量、运营状况、经营绩效、建设项目及其他有关经济活动的真实性、有效性和效益性进行监督和评价工作,及时发现问题,明确经济责任,纠正违规行为。它通过检查和评价经营活动及内部控制的适当性、合理性和有效性来促进企业目标的实现。内部审计是国有企业内部的一种独立客观的监督和评价活动,也是企业内部不可或缺重要的管理工具和手段。目前一些国有企业内部审计已经从单纯的财务会计审计跨越到了企业经营管理领域,以改善企业的管理素质和提高管理水平为目的审计。而内部控制审计和风险管理是其中的重要组成部分。
(二)国有企业内部审计现状简析
内部审计是现代企业管理和管理控制的重要组成部分。目前,一般国有企业大都设置了内部审计部门,但一些国有企业内部审计工作同时存在着以下一些的问题。比如:鉴于管理级次问题,一些内部审计部门不能向股东(大)会、董事会、监事会或企业审计委员会提交审计检查报告,内审机构设置缺乏独立性;内部审计工作范围局限于差错防弊、财务收支的检查,较少触及现代国有企业业务流程方面的风险管理和监测,从而未能就国有现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确;内部审计人员的水平、内审方法、知识的更新速度和内部审计的创新能力、应变能力等有待提高和完善, 高素质、复合型审计人才匮乏,内部审计缺乏一套系统化和科学化的内审程序等等。
三、内部审计参与企业风险管理的主要动因
近几年来,随着经济的发展,特别是经济全球化的加深以及欧债危机持续发酵和全球经济的持续低迷,企业面对的是一个充满风险的外部世界,使企业的经营环境变得日趋复杂。
随着信息化时代的到来和企业管理的网络化普及,现代企业的管理体制、经营业务流程、内部控制、经营理念等将发生了变革。知识经济的来临和高科技迅猛发展也使企业面临比以前更大的风险。企业自身为适应环境求得生存也在不断的变革中求发展,而变革是企业风险产生的一个重要来源。也是内部经营环境促使内部审计参与企业风险管理主要动因之一。
可见,企业风险无处不在,因此,企业所有者和经营者必须树立风险意识,把减少企业面临的风险作为企业实现目标的关键。今天,企业对于防止可能发生的风险与损失以及损失后如何采取补救措施,比以往任何时候都更加关注,从而要求企业对其自身存在和面临的各种风险以及可能存在与发生的所有风险进行识别、衡量、评价,并在此基础上制定和实施对企业最优化的风险处理方案。内部审计的目的在于增加企业的价值和改善企业的经营。因此,内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。
四、内部审计如何参与企业风险管理
内部审计的作用是监控、评估和分析企业的风险,审查信息及企业对法律法规的遵守情况,向企业董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、企业治理是有效的。内部审计对企业风险管理一般应包括以下方面:
(一)评价企业风险管理组织架构的合理性、有效性
检查企业是否已经建立健全为实现风险管理目标而设置的内部管理层次、管理结构和配备必要的管理人员。审查企业内部的如财务会计部门、销售部门、采购供应部门和人员之间的权限分工、职责是否明确、不相容的岗位是否相互分离,岗位之间是否相互牵制内容等。对企业风险管理组织架构的合理性、有效性进行评价并提出改进意见和措施。
(二)对企业风险管理目标进行合理性评价
风险管理的目标是指企业通过实施必要的风险管理将风险控制在一个可控的水平,从而保证企业经营目标的实现。内部审计在评价企业风险管理目标时,要对本企业的风险状况进行辨析,不同企业应对损失的能力有所不同,因而所设定的风险可控水平是不同的。不同的风险管理目标,决定着具体的损失前目标和损失后目标的不同, 为实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。
(三)对风险进行有效识别
风险识别是对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。
(四)提出改进和防范的措施
风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
风险衡量是应用各种管理科学技术,采用定性与定量分析结合的方式,最终定量估计风险大小,找出主要的风险来源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计要对已有风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。风险的防范措施就是为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。采用改进和防范措施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)等。
内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,应提出改进措施和建议,以强化企业的风险管理,降低风险损失。此外,内部审计参与风险管理应当评价企业在风险管理运作的各个环节所制定的相关规章制度,并监督实施。
在企业竞争中,有的企业经营困难甚至倒闭,而有的企业却在危机中不断改进和完善自己,取得了新的突破。由此企业也意识到风险管理的重要性,那怎样才能更加有效的进行风险管理,以缩减成本、规避风险呢?这正是企业在危机中求得生存和发展的关键。本文从风险导向内部审计的本质、目标、职能几方面介绍了风险导向内部审计的相关理论,并分析了风险导向内部审计产生的外部原因和内部原因,进而得出风险导向内部审计模式引入是内部审计现实选择的结论。
【关键词】
风险导向;内部审计
一、风险导向内部审计的相关理论
1. 风险导向内部审计的本质
内部审计的本质是确保受托责任有效履行的管理控制机制。在风险导向阶段,受托责任关系以及管理控制发生了一些变化,与风险结合起来,使风险导向内部审计成为确保受托责任有效履行的能动的管理控制机制,它用一种系统化的方法评估并改进风险管理、控制和治理程序,并且通过识别和评价重大风险以及帮助改进风险和管理控制系统来支持组织的发展。这就是风险导向内部审计的本质。
2. 风险导向内部审计的目标及职能
内部审计目标是审计主体通过内部审计活动所期望达到的境地,体现的是主观的要求。内部审计职能则是内部审计内在的功能,体现的是客观的能力。内部审计目标随着环境变化而变化,随着受托责任关系及管理控制的变化而调整,但是不能超越内部审计职能所能及的范围。同时,目标也会反作用于职能,内部审计职能会随着人们认识的变化而不断发展与充实。从财务导向到风险导向,内部审计目标经历了从传统的查错防弊向增值服务的发展。在风险导向阶段,内部审计更注重与企业目标的直接关联,在创造价值的企业目标作用下,风险导向内部审计目标就是识别关键风险点,为组织的总体目标服务。风险导向内部审计采取的路线可以分为三步,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及能够管理这些风险的控制,最后测试实际的控制考虑其能否切实管理这些风险。内部审计人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样,内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层而言非常有价值。
二、风险导向内部审计模式产生原因分析
1. 风险导向内部审计模式产生的外部原因
我国内部审计由于目前仍存在着诸多缺陷的账项基础审计和制度基础审计,审计目标和范围不能根据经营中的主要风险和问题确定,这样就无法有效地为组织增加价值,因此,内部审计本身在企业内部逐渐地不被重视。与此同时,外部审计已将风险评估、会计咨询、投资咨询及管理咨询等业务纳入了工作范围,并且不断地扩展服务领域,向企业提供内部审计服务。企业为了节省成本和开支,也不断地削减内部审计机构或部门,或将内部审计的业务部分或全部地对外承包给外部审计公司,这使得内部审计的发展变得更加艰难,生存危机问题已成为内部审计职业界面临的最大风险。与此同时,单位对审计人员的期望和审计人员对自身职业认识上的差距越来越大,内部审计人员诉讼案件不断增多,使得内部审计人员不得不以积极的态度,思考所面临的各种风险,努力降低审计风险,这些是风险导向内部审计产生的外部因素。
2. 风险导向内部审计模式产生的内部原因
风险导向内部审计模式产生的另一个重要原因是降低内部审计成本的要求。由于账项基础审计模式和制度基础审计模式本身固有的缺陷使得内部审计的审计效率低下、审计结论缺乏可操作性。在这两种模式下审计资源在高风险低风险的领域分配上不十分有效,常常使低风险审计项目的审计工作过量和高风险审计项目的审计项目不足,往往容易使内部审计达不到理想效果。在账项基础审计模式下,审计人员将精力主要放在被审计单位会计记录及其有关凭证的审查上,着重去验算其会计金额,以证实账簿和报表数字的正确性。这种审计方式只适用于小规模企业的财务审计,要运用其对规模较大的企业进行内部审计,则存在着严重的缺陷。在制度基础审计模式下,内部审计人员通常把精力集中在对内部控制的审查上,通过制定计划进行符合性测试和实质性测试,由此对企业经营活动的内部控制做出评价,并向管理层提出加强内部控制的措施。
三、风险导向内部审计模式的优势
1. 有利于转变内部审计观念
内部审计实践愈益表明,我国审计在国民经济宏观控制中的作用不断增强,审计效益也不断提高。但也应当看到,目前的内部审计效果与单位对内部审计的期望目标有很大差异。原因之一就是内部审计工作承受多方面的压力和干扰,从而形成了“内部审计难,审计结果处理更难”的局面。另外,内部审计人员实际承受的法律责任小和职业道德规范及专业标准的约束力弱等也消极地影响了内部审计实施良好的审计实务。因此,为了使内部审计监督更好地发挥作用,就必须使内部审计人员树立风险意识,增强内部审计风险责任感。
2. 有利于提升内部审计工作效率
内部审计风险、内部审计质量与内部审计效率之间有内在的联系,内部审计风险存在的一个重要原因就是内部审计质量不高,在其他条件都一样的情况下,片面追求内部审计效率有可能导致内部审计风险增加和内部审计质量下降。因此,通过内部审计风险管理可以提升内部审计质量和审计效率。而风险导向内部审计模式是迄今最科学、最完备的风险管理手段。
3. 有利于单位内部控制制度有效性的建立和完善
内部控制制度有效性建立与完善是与内部审计理论相结合直接推动了内部审计模式的变动。随着国际经济一体化形成,单位之间竞争程度加剧,企业的经营管理日益复杂,管理控制水平越来越高,内部控制概念内涵不断扩大,内部控制理论研究成果也不断涌现。
参考文献:
[1] 马正吉.风险导向内部审计探讨[J].对外经贸财会杂志,2005(12)
[2]程景鸿,闫志涛.风险导向内部审计的应用[J].中国农业会计,2008(9)
[3]COSO,方红星,王宏译.企业风险管理整合框架[M].大连:东北财经大学出版社,2005
关键词:企业 内部审计 风险管理
中图分类号:F239 文献标识码:A 文章编号:1672-3791(2014)09(a)-0138-02
1 企业风险管理的含义
IIA考试委员会主席、2003届IIA协会主席伍顿・安德森(Urton Anderson)博士2004年5月在上海所作的COSO―― ERM的报告1中指出,企业风险管理可以定义为:通过确认、识别、管理和控制组织潜在的情况和事件,为实现组织目标而提供适当保证的程序。提供风险管理服务的机构―― 普华永道会计师事务所将风险管理定义为:有效的风险管理可以识别威胁、控制损失(预防损失并减少损失发生的严重性)、防范未经授权使用资金,并对伤害采取保护措施。目前,有关企业风险管理的定义比较权威的应该是2004年COSO颁布的《企业风险管理―― 整合框架》中的定义。该定义是:企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
2 内部审计在企业风险管理中的角色
内部审计在企业风险管理中的角色主要体现在两个方面:一是针对管理层的企业风险管理过程予以评价,提供确认服务;二是以咨询顾问的身份介入企业风险管理过程当中。”随着内部审计参与企业风险管理的活动越来越多,程度也欲加深入,内部审计职业所要求的客观性和独立性容易受到威胁,易被削弱。所以就产生了内部审计不应该涉足的领域和不应该在某些领域发挥独立的作用。
2.1 确认作用
确认是根据客户的标准、要求对特定领域进行评价并提供其需要的信息,能够用于改善决策,提高其科学性。确认服务定义为,就风险管理、控制和公司治理过程提供一个独立的评价,包括:财务的经营成果、对法规等的遵守情况、制度的安全性、预期的勤奋工作等。为了提供如上所述的确认服务,内部审计应该是独立的和客观的,即:诚实、有能力、应有的谨慎和道德的行为。内部审计师应对风险管理过程迸行确认,评估风险管理过程,对主要风险的管理进行评论,保证风险被正确地评估,并且要对主要风险的报告进行评估确认。
2.2 咨询作用
咨询是直接作为专家顾问参与经营活动,改善客户的状况。咨询服务是咨询性的和委托人相关的服务活动,其活动的范围和本质是同客户达成一致意见,其目的是增加价值和改进公司经营。咨询服务的例子包括商议、建议、简化、过程设计和培训等。内部审计师要提供管理工具和技术,分析风险和控制,促进识别和评估风险;向组织内引入企业风险管理,支持企业风险管理的建立,发挥在风险管理和控制方面的专长,发挥组织的全部知识;提出建议,促进组织的学习,训练组织在风险和控制上的能力,提升共同的语言、保持和发展企业风险管理概念性框架;以协调、监督和汇报风险作为行动的中心,协调企业风险管理活动,巩固风险报告;指导管理者对风险做出反应,支持管理者采取最优方案减轻风险,发展董事会赞成的风险管理策略。内部审计在风险管理领域的增值产品主要有:作为风险管理顾问、提供风险管理培训、支持内部风险自我评估等。
(1)风险咨询顾问。
《内部审计实务公告》2100-4条中说明道:内部审计师可以以咨询顾问的身份协助组织确定、评价并实施针对风险的管理方法和控制措施。特别在组织尚未建立风险管理过程的情况下,内部审计师可以向管理层提出建立相关风险管理过程的建议。如果有关方面提出要求,内部审计师可以积极的协助组织风险管理过程的初步建立。内部审计师更为积极的作用是通过改善基本程序的咨询方式对传统确认服务迸行补充。但是,内部审计师作为风险咨询顾问的作用有别于“风险归属”问题上所起的作用。为避免参与“风险归属”问题,内部审计师应该要求管理层证实其在确定、防范、监测风险以及决定风险“归属”方面的责任。内部审计师可以促进风险管理过程的建立和使风险管理过程的建立成为可能,但是,他们不应该“拥有”己确认的风险或负责对这些风险进行管理。
(2)风险管理程序培训。
由于内部审计师作为风险咨询专家,对风险管理有着丰富经验与专业知识,在组织内部展开风险管理培训又是内部审计师为组织增加价值的一个审计产品。
(3)支持内部风险自我评估。
和支持内部控制自我评估一样,审计师也可以推进内部风险的自我评估。内部审计在风险自我评估中主要是帮助组织设计风险自我评估的程序,然后让各部门去执行,各部门在评估时遇到一些问题,内部审计师可以充当顾问角色。风险管理是管理层的责任,但是内部审计师可以通过为管理部门设计一些风险管理程序、规则、技术和方法,为管理层提高风险管理的效率和效果。
2.3 不应该发挥的作用
内部审计参与企业风险管理的活动越加深,它的客观性和独立性越易受到威胁。为保证客观性和独立性不被削弱,我们这里列出了内部审计在企业风险管理中不应该发挥的作用。内部审计必须明白是管理者对风险管理负责,风险偏好是由管理层来设定。内部审计不应该代表管理者来对风险进行管理,不应强化风险管理过程。内部审计不应该对风险反应做出决定,可以支持管理者所做出的决定。当管理者所做出的风险管理决定与内部审计完全不同时,内部审计应提出质疑或建议。
3 内部审计参与企业风险管理的途径分析
内部审计参与企业风险管理受到了极大的关注。COSO的ERM框架指出内部审计的职能是“通过检查、评估、报告和建议来帮助管理层和董事长或审计委员会进行有效的企业风险管理。”企业风险管理概念性框架包含八个组成因素;环境分析、且标设定、事件鉴别、风险评估、风险回应、控制活动、信息与沟通、监督与回顾。内部审计在企业风险管理中的职能角色应该局限在企业风险管理概念性框架的最后一个组成部分―― 监督与回顾。本文在这里提出:内部审计在企业风险管理概念性框架所列的要素中发挥确认和咨询作用。本文的重点就在于探讨内部审计在企业风险管理概念性框架中通过何种途径发挥确认与咨询作用。
3.1 将公司目标、战略与风险相联系
企业的目标、实施目标的战略、及实施战略所需的经营模式和经营过程是由企业的管理者和董事会来决定的,这是管理者和董事会的责任,而不是内部审计的责任。内部审计负责将企业的战略,实施战略所需的经营模式和阻碍目标实现的风险系统地加以联系,以保证战略和经营模式能够应对风险。
(1)内部审计首先要列出所有使目标实现的关键性成功因素和可能阻碍成功的风险因素清单。将识别的关键性成功因素和可能阻碍成功的风险因素(内部和外部)逐一列出,从企业目标、组织目标角度分析判断风险因素对目标实现的影响程度。包括:①列出企业的策略,结合现实环境分析策略的适当性和竞争强度。②列明所有资产。③列明人员状况,分析他们的素质及道德水平。④列明其它设施和条件:物质、自然、法律、政治环境等。
(2)建立风险分析矩阵,将企业的目标与潜在的风险联系起来。明确管理者和董事会所确定的企业目标、经营模式和经营过程,对能力因素的评判进行汇总之后得出企业存在的潜在风险,内部审计要建立风险分析矩阵,将企业的战略目标和经营模式与企业潜在风险联系起来。
3.2 对环境进行监控
由于信息技术的发展,企业风险的性质和影响程度也发生了变化,使得对环境的监控越来越重要。对环境进行监控首先要明确企业的风险偏好。除了决定目标、战略和经营模式、经营过程之外,管理者和董事会还需决定在实现目标时愿意承受多大程度的风险。这种风险偏好是企业风险管理环境中的一个组成部分。内部审计不负责制定风险偏好,但需要明确管理者和董事会的风险偏好,将风险评估和风险偏好进行定期比较,对企业希望承受的剩余风险提供限度。内部审计要评价单位的“固有风险”和“剩余风险”(采取控制行动后可以接受的风险)。
对环境变化和意外环境的持续的监控。当企业所假定的环境与外部环境和企业经营过程的变化相冲突时,内部审计应及时向管理者和董事会提供反馈。内部审计要列出实施监控的环境因素,评判企业所处的环境现状,监控环境的变化状况,预测环境发展趋势。通过对所处环境的情况分析,帮助管理者做出重新思考。
3.3 保证风险事件鉴别的完整性
风险事件的鉴别是整个企业风险管理工作的基础。风险事件的鉴别是指企业风险管理人员通过对大量来源可靠的信息资料进行系统了解和分析,认清企业存在的各种风险因素。风险事件鉴别的完整性包括:风险识别是否全面;风险各级分类的合理性;可控风险、不可控风险确定的科学性等。
(1)取得相关资料。
内部审计师如果想要对风险事件的鉴别做出科学的评价,就需要首先了解相关的资料。
①明确企业目标、企业活动的性质、规模,清楚影响活动的关键人物。②清楚企业内部各部门之间的依赖程度。③取得相关活动的会计记录信息,分析活动的风险控制情况,考察活动的效率与效果。④取得资产负债表、损益表、现金流量表、财务状况变动表,分析资产的结构、质量及使用效果,例如:通过损益表分析营销活动完成财务目标的程度及影响因素,通过现金流量表和财务状况变动表分析营销活动对现金流量的影响。
(2)流程图分析。
流程图法是用符号和图形将企业经营活动过程反应出来的方式。内部审计对企业的业务流程进行分析,发现风险事件鉴别的薄弱环节,分析业务流程中的风险识别是否全面。
(3)编制风险分析调查表。
对于内部审计师可以预见到的潜在风险,内部审计师编制风险分析调查表,用来调查企业活动可能遭遇的风险,并对调查结果进行分析。
(4)风险问卷分析。
对于内部审计师无法预见的风险,内部审计师则通过再次发放风险问卷,由被调查部门的人员自行填写,汇报部门可能会出现的风险。内部审计师将回收的问卷进行统计分析,根据发放量和回收情况判断收回答案的质量和有效性。然后再对问卷答案进行分析。
参考文献
[1] 罗露,国俊丽.公司治理视角下内部审计的定位及发展策略[J].科技资讯,2008(11).
[2] 童怡.浅议企业内部风险管理[J].科技创新导报,2010(8).
摘 要 现代内部审计的职能已由传统的监督、评价拓展为监督、评价与咨询服务,逐渐由“监督导向型”向“服务导向型”转变,审计的重点由单纯的财务收支审计转向以效益型为主的管理审计。内部审计部门又积极开展了社会责任审计,于是内部审计开始对从经营决策到经营结果和效果的全过程开展审计,最大限度地为企业提高管理水平,提高经济效益服务,为促进企业长期健康、稳定地发展服务。
关键词 建筑施工企业 内部审计 问题与对策
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。其职能是由内部审计自身的条件和所处的外部环境所决定的。就我国目前的环境和我国内部审计的特点来看,监督检查职能、鉴证评价职能、控制职能、风险预警职能和咨询服务职能应该是内部审计的主要职能。
一、当前我国建筑施工企业内部审计存在的问题
1.企业财务预警机制的作用未能充分发挥。企业财务预警固然重要,但还存在一定的局限性和滞后性,有必要建立一套事前预警体系,其核心是内部控制审查与评价,包括合同管理、总分包管理、项目管理、结算管理、资金管理、物资管理等,而企业集权应是诸多管理中的一条主线。实践证明,很多大型建筑企业有关规章制度得到有效贯彻执行,企业发展是可持续的,反之隐藏着风险,违反程度越严重,风险就越大;随着时间的推移,这些企业就以各种财务数据显现出来。从深层次看,企业内部控制状况折射出领导的经营理念,而经营理念则来自于动机。如果动机与企业长远发展利益相吻合,则从总体上推动着企业向良性方向发展。
2.经济责任审计的确认与咨询的作用不显著。经济责任审计存在的主要问题有:一是国家关于经济责任审计结果作为对企业负责人职务任免和奖惩的重要依据的规 定,缺乏与干部管理程序的对接;二是企业经济责任审计目前还是“马后炮”,以事后监督为主,事前监督作用不明显;三是内部审计工作仍未走出财务审计框框,以查错究弊,欠缺实际指导意义;四是企业内部审计机构孤军作战,遇到的困难和压力比较大。内部审计相对于外部审计,独立性较弱。如果被审计单位或被审计项目部采取消极配合、积极防御的措施,将使内部审计工作难以开展。
3.企业内部审计制度仍然存在一定的局限性。很多建筑企业内部审计机构属于两级组织管理体制,这种体制下的建筑企业存在的问题有:一是有的下属单位或工程项目审计信息失真或披露不完整;二是有的下属单位或工程项目对审计发现的与经济运行有重大影响的问题,未及时采取措施,致使损失继续扩大;三是很多单位审计人员严重不足或素质不能适应工作,影响了内部审计工作的正常开展;四是执行内部审计报告制度存在不及时的问题,少数单位与施工项目上报资料不全,个别单位或项目甚至不催就不报。这些对企业及时掌握经济运行的真实情况,做出纠偏决策和采取调控措施,以及促进审计发现问题的整改都是不利的。尤其在建筑企业规模持续扩张,体制机制和产业结构发生重大变革的时期,后果可想而知。
4.审计人员管理意识偏差弱化了内部审计地位。企业大多存在着重经营轻管理弊端,事后很多工程项目经济核算问题仍未根本解决。企业内审人员受专业限制较大,良好的内部审计活动开展,需要审计人员对工程造价、投标竞标、资源配置和整个管理流程有所了解,能够从各类报表中看出问题,从而参与到企业管理中来,而这些往往是很多建筑企业所缺乏的。
二、完善当前我国建筑施工企业内部审计存在问题的对策
1.风险预测和识别。风险预测和识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定,确定企业正在或将要面临的风险。内部审计要对企业所面临的主要风险进行预测和识别,采用决策分析、可行性分析、因果分析和专家调查法等方法,找出未被识别的风险。
2.对已经存在和将要发生的风险进行评估。企业的内部审计人员应用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据,对风险采取相应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法等。
3.提出改进和防范的措施。风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、转移风险还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
4.内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,企业全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度人手,在施工生产、物资采购、工程款回笼、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上 查找问题,分析其合理性。内部审计人员更多的是以风险发生的可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范错误的宏观决策带来的风险。