新環(huán)境下的企業(yè)風險管理與風險導向內部審計
在企業(yè)競爭不斷加劇的環(huán)境下,企業(yè)風險管理的作用與影響日益受到普遍關注,據(jù)安永會計師事務所2006年3月公布的一份全球調查顯示,投資者非常關心企業(yè)在風險管理方面的情況,避免投資那些風險管理不力的企業(yè)。接近2/3的投資者對于風險管理不力的企業(yè),在投資策略上采取非常抵觸態(tài)度,近五萬的投資者表示曾因這一原因拋售了有關的投資產(chǎn)品??梢?,企業(yè)如何有效地進行風險管理,已成為公司治理層所面臨的一個嚴峻的課題。
二、企業(yè)風險管理
?。ㄒ唬┤蚧髽I(yè)風險管理發(fā)展現(xiàn)狀與趨勢
如今的西方多數(shù)大中型企業(yè)均已實施了不同程度的風險管理。根據(jù)德勤2003年的調查,80%以上的世界性金融機構已設立了風險管理師(CRO)工作職位,CRO職位比例居首位的為南美洲金融機構,已達95%,居末位的為亞洲金融機構,僅為29%.在目前歐美的部分金融機構中CRO的職位職能仍然由企業(yè)的風險管理委員會行使。普華永道2004年對全球1 400位CEO進行了調查,其中70%的CEO將發(fā)展與提高企業(yè)的整體化風險管理能力提高到他們當前工作內容的首位。調查還顯示38%CEO認為,企業(yè)已經(jīng)建立了行之有效的企業(yè)整體化風險管理體系,另有46%的CEO表示將在1-3年內建立與發(fā)展企業(yè)整體化風險管理體系。
?。ǘ┪覈髽I(yè)風險管理存在的問題
我國企業(yè)風險管理普遍處在比較低的水平上,雖然近年來取得了長足的進步,但就總體而言,與飛速發(fā)展的客觀經(jīng)濟形勢仍不相適應,呈滯后狀態(tài)。有人認為,我國企業(yè)風險管理落后是因為企業(yè)管理者的風險管理觀念比較落后,筆者認為,現(xiàn)在國內大多數(shù)企業(yè)之所以沒有進行風險管理,是因為缺乏一種與企業(yè)整體狀況相適應并指導企業(yè)進行風險管理的系統(tǒng)框架。這種框架可以幫助企業(yè)在事件發(fā)生前預測風險、事件發(fā)生時應對風險、事件發(fā)生后評估與監(jiān)控風險。
近年來國內外上市公司出現(xiàn)的誠信危機,有力地推動了我國企業(yè)風險管理的進程。企業(yè)管理當局已經(jīng)意識到現(xiàn)在的社會也是一個風險全球化的社會。因此迫切需要建立起一套適合我國企業(yè)進行風險管理的指導框架。
三、風險導向內部審計與企業(yè)風險管理
(一)風險導向內部審計
內部審計的新發(fā)展是將評價和管理風險作為重要服務領域。內部審計要檢查財務和經(jīng)營信息的可靠性和完整性,并做出報告,確定對本組織經(jīng)營活動和報告有關政策、計劃、程序、法律和條例的遵循情況,評價資源利用的經(jīng)濟性和有效性,還對組織內部控制的健全性、有效性和遵循情況進行評價等。這正是與我國新出臺的以系統(tǒng)論為基礎的風險導向審計具有相同的思想。因此我們將這種系統(tǒng)的內部審計方法稱為風險導向內部審計。
本文所指風險導向內部審計是指內部審計人員在審計全過程自始至終都要關注風險,根據(jù)風險度選擇項目,以降低風險為導向,進行內部控制制度的符合性測試、實質性測試,并進行監(jiān)督檢查和評價,提出建設性意見和建議。其審計報告可以作為提示風險、防范風險以及信息交流的預警信號。因此,風險導向內部審計既是基于降低審計風險,又是為降低企業(yè)經(jīng)營風險,進行風險管理的一種有效工具。
(二)風險導向內部審計在企業(yè)風險管理中的作用
1.幫助企業(yè)管理當局了解風險信息。將工作的重點放在重要風險上,使得年度計劃與組織治理層的戰(zhàn)略風險相一致,具體審計計劃與具體經(jīng)營風險相一致,還運用一定的方法進行風險管理。在實施審計過程中,使治理層隨時了解企業(yè)的風險信息,這就可以在風險和機遇中尋求均衡點,使企業(yè)在風險來臨時從被動受損到主動控制和排除風險,從而能夠謹慎而又快速地在風險環(huán)境中生存、壯大。
2.幫助企業(yè)管理當局識別與評估風險。以系統(tǒng)論為基礎產(chǎn)生的風險導向審計,要求內部審計人員不但要檢查本企業(yè)的風險情況,還要觀察同行業(yè)內其他企業(yè)的經(jīng)營情況及整個市場的經(jīng)營風險水平,站在一個較高的角度識別企業(yè)風險。另一方面,在了解了其他企業(yè)內部控制程序之后,可對本企業(yè)的內部控制制度有全新的認識,更容易評價本企業(yè)的內控制度是否合適,并采取更佳的內控制度來管理企業(yè)的風險。
3.幫助企業(yè)管理當局進行風險的管理與協(xié)調。從評價各部門內部控制制度入手,在各領域查找管理漏洞,幫助企業(yè)管理當局識別并防范風險。企業(yè)風險無處不在,不但各部門有內部風險,而且各管理部門還有共同承擔的綜合風險,內部審計人員作為獨立的第三方,可協(xié)調各部門共同管理企業(yè),以防范宏觀決策帶來的風險。
四、基于風險導向內部審計的企業(yè)風險管理框架的構建設想
(一)完善內審委員會
實施風險導向內部審計對企業(yè)風險進行管理的基礎,就是必須具備完善的內審委員會結構。按照國家有關要求,我國國有大型集團、跨國公司和上市公司大都設置了內審委員會,對企業(yè)的經(jīng)營管理活動進行監(jiān)控;許多中、小型企業(yè)還沒有設立相應的內審機構。審計委員會是董事會下設的專業(yè)委員會,內部審計人員應該具備專業(yè)的知識、較強的業(yè)務能力、良好的職業(yè)道德水平,并保持其獨立性和客觀性。其職責主要是負責聘任和解聘外部審計師,并輔助外部審計師的工作,解決公司外部審計師與管理層有關財務報告的爭議意見;審查公司財務報告、內部控制和風險管理制度;監(jiān)督、指導審計工作,協(xié)調內部審計與外部審計的關系,為公司董事會使用財務信息及向公眾披露財務信息的真實性和可靠性提供保障。完善的內審機構應該做到成本費用合理、工作過程獨立,才能在風險管理中真正發(fā)揮作用。
(二)了解外部環(huán)境風險
企業(yè)的外部環(huán)境是企業(yè)生存的基礎,外部環(huán)境變化對企業(yè)蘊涵著越來越多的風險。風險導向內部審計要求審計人員不僅要了解本企業(yè)的經(jīng)營情況,還要了解:1.同行業(yè)其他企業(yè)的經(jīng)營情況;2.市場波動風險;3.政策環(huán)境變動的風險;4.科技進步風險;5.自然災害帶來的風險等外部環(huán)境的風險?,F(xiàn)代企業(yè)的風險管理機制必須要隨時了解環(huán)境的變化,并能夠適應環(huán)境的變化,有效利用環(huán)境的變化,才能得到長足的發(fā)展。
?。ㄈ┐_定風險容忍度
風險容忍度是企業(yè)在實現(xiàn)其目標的過程中對差異的可接受程度,是在風險偏好的基礎上設定的對相關目標實現(xiàn)過程中所出現(xiàn)差異的可容忍限度。風險容忍度較大,說明企業(yè)承受風險的能力較強,在容忍度范圍內的小風險可以采取通常日常應對措施。內部審計人員可以根據(jù)本企業(yè)的經(jīng)營環(huán)境、經(jīng)營規(guī)范、資本結構等確定風險容忍度,在風險事件來臨時采取不同的措施加以應對。在市場環(huán)境下,企業(yè)會面臨各種風險。內部審計人員應結合企業(yè)內外環(huán)境,找出所有會給企業(yè)帶來威脅的風險,并從中確定幾個最主要的風險。再對這幾個關鍵風險進行容忍度的量化分析,確定可以接受的風險范圍。
?。ㄋ模┳R別風險
風險識別是風險管理框架中的關鍵。是對企業(yè)潛在的風險加以判斷、歸類和鑒定風險性質的過程。也就是說,從潛在的事件及其產(chǎn)生的原因和后果來檢查風險,收集、整理可能的風險并充分征求各方意見以形成風險監(jiān)控列表。
風險識別首先是對風險進行定性研究,內部審計人員熟悉公司的經(jīng)營管理過程,以風險分析為起點開展工作,有效識別風險??梢愿鶕?jù)自身的實際情況,制定風險管理審計計劃,包括制訂財務風險管理、生產(chǎn)風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃,確定風險管理審計的位置和背景。最后,審計委員會還要關注已識別風險的完整性,即企業(yè)所面臨的主要風險是否均已被識別出來,并找出未被識別的主要風險。
其次是對識別出的風險進行定量評估,通過對所搜集的大量的詳細損失資料,應用各種管理科學技術,采用定性與定量相結合的方式,評估風險事件發(fā)生的可能性和頻繁度,風險事件的潛在影響及其成本的高低。針對企業(yè)制定的詳細風險管理審計計劃,分別評估每一計劃的風險,再綜合各方面因素,確定企業(yè)總體風險的大小。風險評估的目的是確定每個風險要素的影響大小,一般是對已經(jīng)識別出來的風險進行量化估計。在此過程中,內部審計委員會要對已有的評估結果進行再檢驗,以確定其是否恰當,對不恰當?shù)墓烙嬘枰愿?。對于風險缺乏充分的控制措施的情況,提出改進措施和建議,以強化企業(yè)的風險管理,降低風險損失。風險分析中不僅要關注風險的數(shù)量方面,而且要關注風險的屬性方面或其他承載價值的后果。
?。ㄎ澹獙︼L險
根據(jù)本企業(yè)的風險容忍度,制定風險應對策略:可規(guī)避性、可轉移性、可緩解性、可接受性。內審委員會對有關部門針對風險所采取的行動進行檢查,檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況,內審委員會可以根據(jù)不同的情況,提出避免風險、接受風險、還是降低風險的具體措施和建議,協(xié)助完善風險的反應方案,以強化企業(yè)的風險防范管理,降低風險損失。
?。┍O(jiān)督風險發(fā)展狀況
風險不是靜態(tài)的,風險的數(shù)量和可能性會隨內外部環(huán)境的變化而變化,持續(xù)的監(jiān)控對有效地管理風險是最基本的。內審委員會可以通過持續(xù)的監(jiān)控,使企業(yè)明確在下一步的風險處理中應當改進的問題。通過這個環(huán)節(jié)可以明確企業(yè)風險管理可以給企業(yè)帶來的利益與價值,了解風險評估的正確性,為下次評估提供經(jīng)驗教訓,明確風險回應決策的有效性,同時還有助于控制成本費用。
(七)評價風險帶來的影響
一個風險事件結束后,審計委員會應將此次事件所帶來的影響進行歸納、總結,成為以后風險管理的經(jīng)驗。在風險總結中應包含對以下內容的評價:1.風險識別是否完整;2.風險衡量是否準確;3.應對措施是否有效;4.監(jiān)控手段是否合理;5.風險事件的后果。經(jīng)過這個環(huán)節(jié),可以總結工作的經(jīng)驗與教訓,使風險管理框架更加完善。
五、結論
本文提出企業(yè)風險管理框架是一種以風險導向內部審計為指導思想的企業(yè)風險管理方法,同時明確了內部審計在風險管理過程中所負擔的職責,為內部審計的發(fā)展提供了指導方向??傊?,一個理想的建立在風險導向內部審計基礎上的企業(yè)風險管理框架能夠有效地控制和管理企業(yè)風險,在現(xiàn)有的條件下使企業(yè)風險達到最小。隨著我國企業(yè)融入經(jīng)濟全球化的趨勢,企業(yè)充分借鑒風險管理框架下的內部審計理論、技術和方法,使企業(yè)管理決策更加科學化,增強企業(yè)的生存能力與發(fā)展能力,實現(xiàn)企業(yè)目標的根本保證。