浅谈内部审计与风险管理

浅谈内部审计与风险管理
作者：罗有良
来源：《中国外资·下半月》2010年第06期
摘要:内部审计是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物,内部审计参与企业风险管理工作是其发展的趋势。

在1999年通过的内部审计的最新定义把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。

本文将对此问题进行阐述。

关键词:内部审计原因风险管理
企业在运行过程中存在着大量的战略风险、经营管理风险和作业风险,它们很可能导致企业费用和损失的发生,制约企业的生存、发展和获利能力。

风险的存在具有客观性和不确定性,可以被管理人员预测,并加以控制和规避。

在风险的形成过程中,涉及风险因素、风险事故和风险损失三个方面。

风险因素,是能够引起或增加风险事件发生机会或影响损失严重程度的因素。

风险事故,是在风险管理中直接或间接造成损失的事故,它是损失发生的媒介。

风险损失是因不确定性而导致企业经济价值的减少。

风险因素引发风险事故,而风险事故导致风险损失的发生。

产生风险损失的主要根源是企业缺乏风险管理意识,不能及时准确地识别风险因素,内部控制制度不健全。

■一、内部审计涉足风险管理的原因
1.1 内部审计对自身发展的渴求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。

内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。

正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

1.2 企业面临的风险日益增大
近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。

知识经济的到来,更使企业的风险雪上加霜,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。

因此,企业必须加强经营
管理、提高经济效益、增强市场竞争力,从而提高抗御风险的能力。

内部审计恰好是强化企业管理,规范企业行为,实现自我约束、自我激励、自我发展机制的中心环节,具有监督服务范围大、层次高、内容广的特点,能够增加企业的价值和改善组织的经营,有其他监督部门无法替代的作用。

所以,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。

■二、内部审计参与风险管理的优势
2.1 内部审计能够客观地、从全局的角度管理风险
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。

正因为如此,有些部门可能会出现过渡道德风险,因为风险不是由你们来承担(至少不是单独承担)。

如,采购部门为节约采购成本,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗藏的风险会在生产车间或销售部门反映出来,最终给企业造成巨大损失。

因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。

内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。

2.2 内部审计部门的建议更易引起重视,可从根本上改善企业管理
内部审计提出处理意见和建议时,能从企业的实际出发,将损失减少到最小,还能从管理者的角度考虑如何改进管理、完善控制。

同时,还可以对落实意见和建议的情况进行后续审计,从而促进企业建立起有效的内部控制系统,降低控制风险,防患于未然。

有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。

2.3 内部审计能够控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。

通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。

■三、内部审计参与风险管理的方法
3.1 风险环境分析
在分析企业风险环境的过程中,内部审计部门需要评价企业的发展战略、经营计划是否符合内外部环境的变化,因为内外部环境的变化会带来相应风险的变化。

另外,宏观经济政策的变化,行业政策的变化,以及上下游企业经营状况的改变都会对企业的经营风险、财务风险产生影
响。

所以,内部审计人员需要分析内外部环境的变化,进一步考虑企业的风险管理措施是否适应新的形势,并将分析的结果报送相关部门。

3.2 风险确认
风险确认就是在各种风险发生之前对这些风险的类型及发生的原因做出判断,以便实现对风险的估价和处理。

内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出这些风险的原因。

内部审计人员可以采用通用风险分析模板法及其他方法,识别企业自身的风险和相关主体的风险。

对于企业内部风险的确认,比如由于企业盲目扩张给企业带来的财务风险,可以通过查阅相关财务报告和相关的合同来进行确认;由于员工不按规定操作所带来的操作风险,可以通过察看内控制度或者实地观察工作情况来进行确认。

3.3 风险评估
风险评估就是对已识别的风险事件进行定性分析或定量分析,来评价某一事件发生的可能性以及产生的影响。

在假定风险可以计量的前提下,风险评估的任务一方面是估计某一风险发生的概率,另一方面是预测该风险带来的损失,这时内部审计人员可以采用概率和统计的方法进行风险估价。

但是,很多情形下的风险是不容易用数学方法来计量的,它需要主观判断不同结果发生的可能性,这时内部审计人员需要利用自己的经验,从客观的角度分析评价风险,进而提出专业的意见。

3.4 风险监控
因为环境的变化会导致风险的变动,所以企业要对风险管理进行持续的监控,通过对内部控制系统运行的监控以及风险处理结果的评价,保证企业对风险的管理是持续有效的。

内部审计人员通过对新的环境和风险的分析,来评价企业内部控制制度是否适应新的风险。

(责任编辑:郭伟)。