内部审计与风险管理
2019-12-20叶华
叶华
(临亚集团有限公司,浙江 台州 317000)
在我国,最早应用风险管理理论的往往是国有企业或者行业巨头。改革开放以来,随着社会主义市场体系的建立,我国民营经济迅速发展,民营企业家们意识到风险管理的重要性,但是由于民营企业发展良莠不齐,并且内部审计在实务中缺乏法律规范的指导。因此导致风险管理体系发展不完善,未能实现其应有的理论价值。研究该问题对于丰富并完善我国民营企业内部审计与风险管理理论有一定的促进作用。
一、文献研究
国外对于内部审计与风险管理的研究较早,并且较早地完成了内部审计与风险管理的理论框架。目前国外对于内部审计与风险管理的研究主要是趋向于实证研究,用国内某些公司作为数据来源说明内部审计在企业风险管理中的重要作用。
Mihret·DessalegnGetie和Grant·Bligh(2017)认为福柯的政府性概念为研究内部审计作为当代组织公司治理环境中的一种纪律机制提供了概念工具,并且提出了内部审计的初步概念以及其所讨论的命题和研究议程可用于解决具有解释性的研究问题,从而丰富当前对内部审计的理解。CassandraS.L.Yee、AhmadSujan和KieranJames等(2017)的研究结果表明:新加坡的高级和初级管理人员都赞赏担任业务合作伙伴角色的内部审计师。相比之下,中层管理者往往对内部审计活动持否定态度,并将其视为“监督”活动。
FábioLottiOliva(2016)通过研究提出了一个企业风险分析模型的建议,以及一个大型巴西公司供应链企业风险管理成熟度分析模型的建议。JohannesBrustbauer(2016)通过建立基于调查问卷的结构模型,分析了中小企业(SMEs)的企业风险管理(ERM),提出了企业风险管理实施的先决条件,应用的企业风险管理方法及其对战略方向的影响。
跟西方国家相比,我国内部审计开展的相对缓慢。1983年,审计署成立,并于八五年颁布《内部审计暂行规定》。83年的规定为内部审计工作的开展提供了法律依据。1989年,第一部关于内部审计的部门规章发布。1995年,《审计署关于内部审计工作的规定》取代了八九年的规定。2003年5月1日起实施的《审计署关于内部审计工作的规定》有力推动了我国内部审计工作的开展。2018年3月1日起,我国将正式执行新修订的《审计署关于内部审计工作的规定》。从这些规定文件的更新换代中,我们可以看到我国的内部审计工作随市场的实际需求而变化的。
张晓阳和王聪(2016)以价值链为切入点,简单阐述内部审计在企业价值链中的体现,进一步分析了传统和新兴内部审计职能在企业价值增值起到的作用。王秀梅(2017)认为通过充分发挥内部审计各职能,能够有效帮助现代企业优化发展环境,避免财务舞弊现象的出现,帮助企业实现在新时期下的长久稳定发展。王维(2018)认为内部审计是当前我国监督审计体系中的重要组成部分之一,是国有企业管理中的重要监督机制。时现(2018)从五个角度,总结了新《规定》的突出特点,并指出新《规定》对内部审计的不断发展提供了强有力的制度保障。
二、内部审计在企业风险管理中发挥的作用研究
(一)内部审计发挥领导、纽带、建议作用
对于很多中小企业来说,如果其风险管理水平低下,内部审计部门则形同虚设,无法很好地发挥内部审计在防范企业风险管理中的作用。内审工作者应该是全面了解公司内外部环境、业务、运营等总体概况。相比较于公司其他员工,从职位定义上就决定了其对风险管理的领导。内部审计部门在公司的地位应是独立客观、不受人挟制的,在发挥其职能时能够向管理层客观传达,并且帮助管理层建立完善的风险管理体系,同时为各个部门之间的合作提供平台。一个公司就是一个大型的风险管理系统:董事会把控公司战略风险,重视企业的长远发展;管理层则负责企业经营风险;财务控制财务风险;其他部门都要负责各自的业务风险。内部审计人员在这里起到纽带作用,需要将整个企业的风险综合考量、完善风险管理体系。内部审计人员有义务向各级别员工传达风险管理相关知识,使全部员工有风险管理意识。对于企业风险管理薄弱、风险管理流程不足的地方,内部审计也有责任提出相应的建议,完善风险管理体系,提高企业风险管理水平。
(二)内部审计发挥监督与评价作用
企业的风险管理三个阶段是风险识别、风险评估和风险应对。
1、风险识别
风险管理的第一阶段是风险识别。风险识别是指在风险发生之前,风险管理人员对企业内外部环境进行分析,运用某些方法识别所面临的各种风险以及关键潜在因素。内部审计人员应判断相关人员是否全面识别企业风险,以及企业的风险分类以及分析方法是否恰当,企业管理层是否识别主要风险及关键潜在因素。
2、风险评估
风险评估是指,在风险发生之前或之后,该风险给企业造成的影响和损失的可能性进行量化评估的工作。内审人员应对风险做定性和定量分析,从两个维度来评估风险。一是风险发生的概率,二是风险带来的影响。内部审计人员同时要对风险的性质、影响的程度进行评估分析,对管理层评估的不足进行补充完善。
内审人员应该收集相关的资料、制定有效的审计程序对风险评估方法和结果进行监督和评价。
3、风险应对
风险应对是指在风险识别和评估的基础上,根据风险性质和企业对风险的承受能力而制定的规避、降低、分担风险等风险应对方法。在将风险规避、转移和缓解后,内部审计应考虑剩余风险的可接受性。在应对风险时,企业所实施的风险管理应对方法必将损耗一定的人力、财力和物力,内审部门需要评价相关部门是否遵循成本效益最大化原则选取最恰当的风险管理应对方案。
(三)内部审计发挥协调、整合、沟通作用
企业面临的风险多种多样,并且在各个环节都有发生风险的可能。同时风险具有传递性,一个部门面临的风险很可能会传递给其他部门。这种传递是双向的,风险也会随着流转部门的增加而增加,最终使整个企业陷入困境。企业各部门在面对风险时可能仅仅考虑自己部门的利益而忽视其他部门的利益。如公司市场部为了自身业绩指标的提高,在商品销售过程中,对客户的信用不做调查,不论信用高低,都将商品赊销给客户。虽然从表面上看起来该公司销售业绩领先同行,但坏账的可能性也大大增加。这种隐藏的风险,财务部门不能全部有效管控,可能最终给企业造成巨大损失。这时,相对独立的内部审计部门可以发挥协调整合作用,将两个或多个部门联合,将风险合理分配在各个部门,从企业整体上把握好合理的度,从而降低整体风险,协调好短期利益与长期利益,最终达到企业增值的目标。
(四)内部审计发挥持续评价作用
内部审计对企业的反馈作用并不是间歇的,而是根据企业的发展以及环境的变化持续地对企业的经营过程进行反映。这时就需要内部审计在风险管理活动后期进行事后跟踪审计。在先前内部审计在识别、分析与应对风险后,要对各部门的执行结果进行追踪调查,对其进行持续评价。加强内部审计工作可以对企业发展过程中已发生的风险进行及时反馈,进而促进企业风险管理工作的开展。
三、民营企业内部审计症结分析
虽然民营企业为了组织结构的完整性,在形式上设立了内部审计部门,但内部审计部门在防范企业风险管理中并没有很好地发挥自己的职能。我们不能否认内审在风险管理中的重要性,但还是有很多民营企业很少进行内部审计。甚至,即使有的民营企业设立了内部审计部门,但更多地只是发挥确认、监督职能,没有很好地发挥咨询建议职能,不能提供自己的评价意见。截至目前,我国民营企业内部审计还没有适用的法律法规。从法律上说,对于民营企业,国家并没有强制要求设立内部审计部门,即使有规定,也都是一些非强制性的。所以目前民营企业的内部审计部门都是其自愿设立的。民营企业内部审计没有法律法规的引导。
在民营企业中,大部分是家族式企业,其管理模式也呈现家族式的特点,讲究亲缘关系。企业的经营活动和财务活动都依靠家族内部成员完成。尤其是会计岗位很多时候都是内部人担任。此时内部审计部门就处于一种很尴尬的地位,独立性也就无法做到。
在民营企业中,很多内部审计人员专业素质不达标,不具备一定的识别风险的能力。随着民营企业经营规模的扩大、全球化、各种金融工具的创新,这些发展对内部审计人员提出了新的要求。民营企业内部审计的机构设置不合理,内部审计工作分配存在问题。个位数的内审人员无法负担内部审计如此庞杂的工作,对工作存在偏重问题,对于相对复杂的风险管理投入较少。与其他业务部门在日常工作中经常存在交流、沟通相比,内审部门相对独立的地位令人觉得内部审计工作就是故意“找茬”。内部审计在开展审计活动时,其他部门不配合、不重视、不接受,使得审计工作效率低下。
四、加强内部审计在风险管理中的作用的对策建议
(一)提升内部审计人员专业胜任能力
内部审计人员专业素质不达标,难以胜任风险管理的重任。因此,企业应建立严苛的准入原则及培训制度,通过外部招聘或内部培养的方式,聘用或培养高素质人才。同时内审人员还需具备灵活运用知识的能力,能随着外部环境的变化和业务的拓展能胜任不同业务类型或处理复杂问题,从而为管理决策提供可靠建议。内部审计团队中,除了财会专业人员以外,应视其公司业务需要配备法律、金融、工程等人才。
(二)建立风险管理信息平台、做到信息的有效沟通
风险管理信息平台可以做到风险信息的横纵向传递。信息的及时性和沟通的充分性是联系双方的纽带。风险管理部门可以及时将发现的风险上传平台,使内审人员及时调整审计计划,合理分配审计资源;内审人员则应该将其发现的问题上传平台,让各部门及时了解潜在风险因素,从而提高风险管理水平。此外,可以通过信息共享,减少不必要的工作重复,提高企业资源配置,达到为企业增值的目的。因此,建立风险管理信息平台这样有效的沟通机制是内部审计参与风险管理的必要的条件。