一、风险控制内部审计产生的背景条件 (一)产生基础企业内审由“监督和服务导向型”向“管理导向型”发展需要为更好地配合管理者经营目标的实现,内审应充分分析、估计经营风险,及时提出预防风险的对策建议:做好内控制度的测试和评估,检验关键控制点设置的恰当性以及有效性、完整性,分别予以补设、重建和改进,使得内控制度得以健全并有效运行。由此,在现代内审工作中,企业内审必将由“监督和服务导向型”向内部“管理导向型”发展。 (二)产生间接原因企业面临的风险日益增大减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题,企业经理人员对风险的空前重视,为内审发展提供了一个绝好的机会,内审对风险管理的介入,将会使内审在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。 (三)产生直接原因 风险控制内审新思维传统内审采用的是从控制-风险-目标被动的风险控制审计模式,使得内审只能对企业存在的控制缺陷做出被动反应,其必然结果就是对发现的控制缺陷提出建议,以不断地增加控制点或者是加强控制,最后就会出现控制点越来越多,越来越烦琐的局面;很可能会造成多余的控制阻碍各项正常程序的运转和效率。课题组调研中发现广西企业普遍存在这样的问题:07年得到确实有效落实的审计意见和建议仅占企业审计项目总数的65%;内部控制的完善和控制点的增加导致运营成本的增加和办事效率的降低,部分审计意见操作起来困难,不符合企业实际情况,部分不断完善的内部控制制度和流程并未得到有力的执行,存在书面与实际操作两种流程,最终导致内审的整改建议过于理想化,执行起来难度较大,致使审计意见很难被落到实处,或者只得到了被审计单位表面上的敷衍,其结果使内审的作用无法充分发挥。风险导向理念下,风险控制内审模式采取的是从企业目标—风险—控制的主动控制内审模式。它首先要确认企业的目标或者是某件事项的目标,然后分析要实现这些目标会生产什么样的风险,以确定审计风险水平和审计重点,安排审计步骤,以此来提出风险防范和控制建议,并通过后续审计来测试风险是否得到有效的防范和控制。实施风险管理最大的挑战正是要变被动反应为主动控制,风险控制内审模式为我们内审工作带来了新思维。只有积极转变我们的工作思路,企业内审各种直接考虑企业实现目标过程中面临的主要问题和风险,使得风险控制与企业目标的实现直接联系起来。这样的风险管理和控制,对公司治理层和管理人员而言才是非常有价值的,审计意见和建议才能得到认可和高度的重视,内审才能成为企业价值链环节中的重要组成部分。 二、风险控制内部审计模式实施的理性思考 (一)企业风险管理的再认识 企业风险管理是指企业为了长远发展,达到经营管理的预期目标以及为此而拟定的制度或程序能够得以实现,在企业内部实施的各种制约和调节的组织、计划、方法和程序,其目的在于防止目标的偏离或降低风险管理成本,并把风险控制在风险容量之内,增加企业价值的过程,也是将风险意识转化为全体员工的共同认识和自觉行动。COSO发布的《企业风险管理框架》描述了企业风险管理定义为:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。我们研究认为:该《框架》拓展了企业的内部控制,对企业风险管理这一更宽泛的主题作了更全面的关注,企业可以借鉴该《框架》向更完善的风险管理进程推进;企业风险管理也是一个立体框架模式的组织体系,在这个组织架构中,合规、风险、内控和内部审计成为一个不可分割的整体,共同筑起企业风险管理的三道防线。 (二)企业风险管理框架 企业风险管理框架可以解剖为一个基础,三道防线(如图1)。
图1 (1)一个基础:公司治理。公司治理是涉及公司高层人员,它隐含着一家企业如何得到有效的管理,从而使其发挥最佳表现。公司治理是涉及责任的问题,它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益,公司治理是风险管理的一个必要的组成部分,因为它提供了对风险由上而下的监控与管理。如何构建一个有利风险管理的公司治理结构?就是需要建立一个健全的、以董事会为首的公司治理结构;订立企业的目标和战略,包括企业的风险政策和极限;贯彻一套重视风险管理的企业文化和价值观。(2)第一道防线:业务单位防线。企业业务单位管理与控制着企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线;企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线。如何建立第一道防线?了解企业战略目标及可能影响企业达标的风险;识别风险类别;对相关风险作出评估;决定转移、避免或减低风险的策略;设计及实施风险策略的相关内部控制。企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控;企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新。(3)第二道防线:风险管理部门防线。第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成可能包括风险管理部门、信贷审批委员会、投资审批委员会;风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度,对各业务单位的风险进行组合管理,度量风险和评估风险的界限,建立风险信息系统和预警系统、确定关键风险指标,负责风险信息披露、沟通、协调员工培训和学习的工作,按风险与回报的分析,为各业务单位分配经济资本金。(4)第三道防线:内审审计防线。第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题。内部审计在企业风险管理中的职责:一是要对整个系统的管治、风险管理和控制体系进行独立评估,以确保的董事会及管理层所制定的准则、流程及内控得到遵循;二是要担当董事会及高级管理层的顾问角色,提高风险管理系统的运作能力。