基于风险导向的内部审计研究
2013-04-02山东女子学院高玉荣
山东女子学院 高玉荣
一、风险导向内部审计应用现状
(一)企业风险管理意识及风险管理技能有待加强 长期以来我国企业关于风险管理并没有给予充分的重视以及关注,大多数企业管理者所关注的风险只是停留在财务风险方面,风险管理和风险控制意识较为薄弱,他们尚未意识到内部审计部门在风险管理中的重要性,许多企业尚未建立与风险管理相关的风险预警与管理体系。据调查显示,我国大部分单位开展的内部审计更多的集中在财务收支活动、经济效益和基建工作领域,仅有很少的单位开展过风险导向内部审计。企业对于风险管理活动缺乏主动意识,没有强调全员参与风险管理的理念,很多企业的风险管理方法只是定性分析,缺乏科学的定量分析方法,使企业不能很好的识别、评估和控制风险,企业的风险管理技能有待加强。
(二)企业风险管理机制不健全 在国外,很多企业己经基本上建立了适合自身的风险管理机制,企业风险管理机制的设计都充分考虑了企业自身的特点,建立了适合企业的风险管理机制,企业能够对面临的各种风险进行有效地管理,以实现公司的经营目标。比如杜邦采用的是有审计委员会领导的公司高层组成的风险管理委员会,微软采用的是由财务总监负责下的风险管理部门等。但是在我国只有一部分企业建立了风险管理机制,而且很多企业的风险管理机制并不健全,更不用说对风险管理机制进行及时的审计与评价,这直接导致了风险管理机制的运行失效。
(三)企业内部审计机构缺乏相对独立性 目前,我国内部审计部门的设置具有多样性,有些内部审计机构受公司经理领导,有些隶属于财务部门的直接领导之下,还有些内部审计机构则与企业的其他职能部门平行设置,仅有极少数隶属于董事会或监事会并向其报告工作。内部审计机构的设置模式导致企业内部审计部门隶属层次低,内部审计机构的独立性不强,很多审计人员都是在领导授权下开展工作,没有独立的内部审计费用,内部审计人员无法自主选择审计项目,审计人员在制定审计计划、实施审计程序、出具审计报告等各方面都受到牵制,使内部审计在风险管理中的权威性降低,内部审计人员很难客观地履行自己的职责,无法进行客观公正的评价,也无法真正参与企业的风险管理。
(四)内部审计人员素质难以满足风险导向审计要求 风险导向内部审计的主要目的是识别、评估和防范风险,对内审人员整体素质要求很高。在西方,内部审计人员的专业大部分是经济管理专业和工程技术专业,企业的内部审计以管理审计为主,财务审计和遵循性审计为辅。目前我国企业的内部审计人员大多来自财务会计岗位,适合开展账项基础审计和制度基础审计。内部审计人员在经营管理等方面能力有所欠缺,知识结构也不太合理,内部审计人员的整体素质不高,不能很好的胜任风险导向的内部审计工作,为企业管理层提供有效风险管理意见,有效地进行风险的防范。
(五)内部审计方法相对落后、风险管理体系不完善 近些年来,虽然我国内部审计工作取得了长足的进步,但内部审计方法和技术较为落后,内部审计多数是对事后经济事项的审计,很少进行事前审计和事中审计。目前只有一些大型国有企业在内部审计工作中实现了计算机辅助审计和远程联网审计,很对企业的审计还停留在人工审计阶段,利用常规的审计方式方法进行审计,全面风险管理和统计抽样技术没有充分的应用到实践中来,审计抽样的随意性比较强,风险评估和定量定性的分析方法没有得到应用,降低了审计的工作准确度,内部审计的效率和效果不高。与国际先进企业大量运用数理统计模型、金融工程等先进方法进行风险管理相比,我国企业的内部审计方法和风险管理方法相对落后,
二、风险导向内部审计实施建议
(一)增强风险管理意识,强化风险导向审计理念 风险意识与风险管理的基本技能是成功实施风险导向内部审计的关键所在。企业要全面实施风险导向内部审计,就应建立全过程、全方位、全员的风险管理理念。首先管理者要率先示范,正视企业面临的风险,加强风险防范意识、提高对风险的敏感度,理顺风险责任关系、建立风险预警机制。将风险管理的理念和内部审计相结合,增强企业员工对风险导向内部审计的认识,加强对员工的风险意识教育和风险管理技能的培训,创建风险管理文化,创造一个很好的软环境。其次企业员工也要认识到风险管理涉及到企业所有的部门和人员,都应当对风险管理承担各自的责任,各部门在风险管理过程中应有大局观念,不能为了部门利益而损害公司的整体利益。尤其是内部审计人员应将风险分析和判断贯穿于业务的全过程,加强并不断提高风险管理技能,为企业增加更多的价值。
(二)构建有效的风险管理机制 (1)建立建立风险防范的预警机制,企业应建立风险评估的指标体系,包括财务指标体系和非财务指标体系等,设置风险容忍度,当企业指标超过风险容忍度时,企业应应对采取措施进行应对和处理,从而减少风险进一步扩大的可能性,将风险控制在一定范围内。(2)企业应健全风险管理监控机制,为了保证企业风险管理的有效性,企业应建立健全风险管理监控机制,即建立完善的内部审计监督制度,保证内部审计人员进行风险管理的有效性,防止管理当局干涉内审人员的工作,使内部审计人员能够客观及时的给高层管理人员提供需要的信息,能够最大限度的预防和应对风险。(3)企业应建立健全责任追究机制,通过奖惩措施让每位员工都能够切实有效的履行其职责。在建立责任追究机制时,应强调权利与责任的对等,有权必有责,对具体责任的履行情况进行严格考核,一旦发现失责行为,要追究当事人的相应责任并采取相应的惩罚措施。只有这样,才能避免风险管理机制的形同虚设。(4)企业应建立完善的风险评价体系,为风险导向审计在企业内成功实施奠定基础。内部审计部门利用计算机信息技术建立完善的风险评价体系,应分析评价整个企业及其经营活动的高风险领域环节,从而有效防范和控制经营风险,做到使企业风险损失最小化,内部审计部门不仅要对风险进行定性分析,还应尽可能地量化审计风险,提高审计工作质量和效率。
(三)完善公司治理结构,确保内部审计的独立性 独立性是否能够得到保证,是企业风险导向内部审计能够发挥切实有效作用的关键。内部审计机构直属领导的层次越高,其独立性越强,开展工作越容易。企业应完善公司治理结构,合理设置内部审计机构,保证内部审计的独立性和权威性。我国企业可以借鉴国外企业的做法,设立由独立董事和内部审计负责人组成的内部审计委员会,内部审计委员会隶属于董事会。从而实现独立董事制度与风险导向内部审计制度的有效结合,有效的发挥两者的具体作用,审计工作开展的权威性、独立性得到了保证。内部审计工作既有企业的内部审计人员参加,又有外部的审计师参加,从而做到内部审计工作既能从企业自身出发,又能增加独立性以及专业性。
(四)提高内部审计人员素质,适应风险导向内部审计发展需要 风险导向内部审计对内部审计人员的素质提出了挑战,要求审计人员从财务专家向风险管理专家方向转变。(1)内部审计人员首先转变观念,内部审计不仅要提高企业的经营效率和效果,还应当进行有效的风险管理,从而提高整体的风险应对能力,因此内部审计人员要树立全面和系统的风险导向审计意识。内部审计人员应根据董事会和管理层的需求,主动的分析风险,一方面监控已有的风险管理措施是否得到有效的执行,另一方面要不断关注可能存在的风险因素,并考虑制定相应的风险管理对策,从而弥补企业风险管理的漏洞,更好的为企业增值服务。(2)内部审计人员应具备风险管理能力,要求内部审计人员除了具备熟练运用内部审计相关法规、准则,精通财务管理知识,掌握金融、法律、计算机等相关专业知识外,还应具备经济学、管理学、金融、信息和计算机等方面的知识,能够理解风险管理原理,具备依据董事会和管理层等的不同需求,主动识别风险、分析风险并驾驭风险的能力。(3)内部审计人员应具备较强的专业判断能力,风险管理的具体执行中,要更多的依赖内部审计人员的专业判断能力,如企业风险评估的量化分析、企业的风险承受能力、风险的影响程度和发生概率等,这就要求内部审计人员不断提高专业判断能力,企业不断改善内部审计队伍的专业结构,使内部审计人员的专业结构趋向合理,提高内部审计人员的专业判断能力以适应现代风险导向内部审计发展的要求。(4)内部审计人员应具备处理人际关系的能力。在风险管理过程中,内部审计人员要了解企业各方面的信息,就不可避免的要与企业的各部门和成员进行沟通。而且由于内部审计人员与其他人员的角色地位不同,对于被审计人员来说可能就是一种威胁,从而使他们产生一种抵触情绪,影响内部审计工作的正常进行。因此,内部审计人员应具备良好的沟通能力,在工作中善于倾听,能设身处地的为对方考虑,就能建立融洽的人际关系,更好地完成审计工作。
(五)依托信息技术,创新内部审计的技术和方法 风险为导向内部审计应依托现代信息技术,不断创新内部审计的技术和方法。企业应设置专门的风险管理部门,依托现代信息网络技术,构建内部审计信息化的网络平台,在内部审计过程中,可以利用计算机信息技术对财务数据进行不断的加工和分析,并根据数学模型来进行自动的检验和比对,不断提高审计效率和质量,降低审计风险。企业也可以开发自己的内部审计系统,利用系统对企业的业务数据进行分析,建立企业自己的数据库,这样就可以通过数据的对比和分析来合理确定企业每个业务和环节的关键风险点,找到企业中的高风险领域和关键控制点,合理有效的分配审计资源,有效做到风险管理有的放矢,有效的控制和防范风险,也能提高内部审计的效率和效果。企业应不断创新内部审计方法,充分利用风险评估、风险分析及应对等先进的审计方法,及时准确的收集有利于风险评估的资料,结合企业内外部的信息,把企业面临的风险予以量化,建立风险预警系统,真正做到以风险为导向,达到防范风险的目的。
[1] 王晓霞、孙坤、张宜霞:《论风险导向的内部审计理论与实务》,《审计研究》2004年第2 期。