内部审计如何参与风险管理

作 者:
张海 

作者简介:
张海 现代农装科技股份有限公司

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2009 年 05 期

关 键 词:

字号:

      一、风险和风险管理的含义

      1、风险。风险是在一定环境和期限内客观存在的导致费用、损失或损害产生的、并且可以认识与控制的不确定性。风险具有客观性、普遍性、必然性、可识别性、可控性等特点。风险的形成过程涉及风险因素、风险事故和损失三个方面:(1)风险因素是指能够引起或增加风险事件发生机会或影响损失的因素,风险因素包括物理因素,是指增加风险发生机会或损失严重程度的直接条件;道德因素,是指由于个人不诚实或企图不良,故意使风险事件发生或扩大已发生风险事件的损失程度的因素;心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大损失严重程度的因素。(2)风险事故是指在风险管理中直接或间接造成损失的事故,是损失的媒介物。(3)损失是指非故意的、非计划的和非预期的经济价值的减少,通常以货币单位来衡量。损失分为直接损失和间接损失两种,直接损失是实质性的损失;间接损失包括额外费用损失、收入损失和责任损失三种,其中额外费用损失是企业设备必须修理或重置而支出的费用,收入损失指由于企业设备损毁以至无法生产成品而减少的利润,责任损失指由于过失或故意致使他人遭受损伤或财产的侵权行为而依法应当担负的赔偿责任。一般来讲,风险因素、风险事故和损失三个方面存在相关性,风险因素引发风险事故,风险事故导致损失。

      2、风险管理。风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济、合理的方法处理风险,以实现最大安全保障的科学管理方法。风险管理是一个系统过程,包括风险识别、风险衡量和风险控制等环节;风险管理的目标在于控制和减少损失,提高组织的经济利益或社会效果;风险管理是一种管理方法。

      二、内部审计参与风险管理的动因

      1、企业面临风险日益增大的需求。近年来,随着经济全球化程度加深,企业经营环境日趋复杂,经营风险增大,同时,知识经济和信息时代的到来,使企业经营风险更加复杂。因此,防范和控制风险成为企业实现目标的关键。现代内部审计的目的在于通过增加价值和改善组织运营,帮助组织实现目标。因此,当今的内部审计人员不仅是企业今天的审计师,更是明天的审计师,成为企业风险管理咨询师。

      2、内部审计发展的内在需求。内部审计为了持续地发展壮大,不断在企业中寻找和拓展更新、更重要的、能发挥更重要作用的领域,而企业对风险管理和控制的空前重视,为内部审计发展提供了一个绝好的机会。同时,内部审计独特的角度和超然的地位,使其在企业风险管理和控制中扮演重要的角色,发挥其独一无二、不可替代的作用。(1)内部审计能够从全局的角度,客观地评价、控制风险和管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果不一定由本部门承担,但风险或责任会传递到其他部门,最终可能使企业陷入困境。正因为如此,有些部门因为某些风险不是由本部门承担(至少不是单独承担)而忽视风险或漠视风险,如采购部门为节约采购成本,就会忽视材料规格、型号、质量方面的检查,或者有意购买残次品,这种风险到生产车间或销售部门才能反映出来,最终给企业造成损失。因此,对风险的识别、评估、控制和防范需要从全局、全过程考虑。内部审计机构独立于业务管理部门、超然于业务活动的地位和状态,可以充当这一角色,从全局出发,以全面、客观的视角识别风险、衡量分析、评价风险,及时向管理部门揭示风险、提出控制风险、管理风险的建议和应对措施,而这正是其他业务部门难于做到的。另外,有些企业尽管也有风险管理部门,但作为管理职能部门,向总经理报告工作,不具有独立性,其意见有时会屈服于管理当局的压力,如经分析后发现某投资项目风险大,不适宜投资,但迫于总经理的偏好和力促,风险管理部门的意见难于报告或难于全面、客观地报告董事会,最终也会给企业造成损失。因此,内部审计机构可以将风险评估意见和建议直接报给董事会,弥补内部控制的缺陷,同时,理顺了风险管理部门、内部审计机构、经理层和董事会的关系,为实现全面风险管理打下良好基础。(2)内部审计能够帮助企业制定风险战略和决策。内部审计机构在公司治理结构中处于董事会、监事会、经理层和各职能部门之间,具有沟通上下和联系左右的能力,可以充当企业制定长期风险战略与各种风险决策的建言人和协调者,可以成为企业风险控制和风险管理的监督人和推动者。通过持续的风险识别监测、评估和监督,为企业风险战略建言,协调企业长期风险计划与短期风险计划,监督企业内部控制制度的有效执行,推动企业实现全面风险管理。

      3、外部审计业务拓展的需求。近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中,企业风险评估是其最主要的业务之一。然而,在这项业务中,注册会计师更希望能够获得内部审计的支持和帮助。因为,内部审计机构和内部审计人员在企业风险控制和风险管理方面拥有注册会计师无可比拟的优势,比如更了解企业公司治理结构和经营情况,更了解企业面临的现在和未来的风险,更了解企业对防范风险、实现企业目标的对策和预警,等等;此外,内部审计对企业风险内部控制健全性、有效性的评估,为注册会计师开展企业风险评估打下了良好的基础,从而实现审计成果最大化。

      三、内部审计如何参与风险管理

      内部审计机构与风险管理部门的关系,两者既紧密联系,又相互区别。联系表现在两者目的一致,都是为了降低企业风险,实现企业目标;区别在于两者在风险管理中扮演的角色不同,内部审计机构是从检查、监督的角度对风险管理做出评价,提出改进和完善的建议;风险管理部门更多的是履行管理的职能。因此,内部审计机构的风险管理过程与一般风险管理过程既有相同点,也有不同点,强调在一般风险管理的基础上进行风险管理的检查和监督,重在对风险管理的评价和建议,包括评估风险识别的充分性;评价已有风险衡量的恰当性;评估风险防范措施的充分性和恰当性,并提出改进措施。

      1、评估风险识别的充分性。风险识别是指对企业所面临的以及潜在风险的判断、归类和鉴定风险性质的过程。换言之,就是要确定企业正在或将要面临哪些风险以及风险影响的程度。内部审计机构和内部审计人员要对已识别的风险的充分性进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。

      2、评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,定性区分风险并找出主要风险源,评价风险的影响程度,依此提出应对各种风险应采取的相应对策。内部审计机构和内部审计人员要对已有的风险衡量方法和结果进行检验、测试和分析比较,以确定风险衡量方法和结果的恰当性,并对不恰当的估计予以更正。采用的主要方法有调查法、专家打分法、风险报酬法、风险当量法、解析方法等。

      3、评估风险防范的充分性和恰当性。风险防范是指为降低已识别且已衡量风险所采取的应对措施,也称风险管理工具的选择。内部审计机构和内部审计人员对风险管理等相关部门针对风险所采取的防范措施的充分性和恰当性进行检查,并对不充分和不恰当的风险应对措施提出弥补措施和改进建议,以降低风险损失,强化企业风险管理。采用的主要方法有避免风险、损失控制、对冲风险、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。

相关文章: