论文部分内容阅读
[摘 要]风险审计不同于审计风险,是随着企业内、外环境的变化,竞争的日趋激烈及审计学科自身发展的需要而应运而生的。风险审计的定义、目标、意义、策略是风险审计研究的主要内容。
[关键词]企业 风险审计 研究 策略
面对变化莫测的市场,企业面临着多种多样的不确定因素,重视风险、管理风险已经成为现代企业经营管理的迫切要求。实施风险审计,不仅有助于提高企业抗风险的能力,而且还能帮助企业更好的应付由于市场环境以及企业内部环境带来的各种不确定性,有助于提高审计在企业管理结构中的重要性。
一、 企业风险审计的内涵
风险审计是一种职业工作,它是企业内部审计师通过测试风险管理的有关方面,对风险程度及管理情况做出鉴别、评价,以实现企业运营目标。风险审计肩负着为战略决策及战略目标的实现提供信息保证的重任,所以要求审计人按照审计准则、职业道德进行执业,注意控制审计质量,降低审计风险。
二、企业风险审计的目标
审计目标的确定受几个因素的影响,按照刘明辉教授的观点:“需求是影响审计目标的根本因素”;“审计能力是影响审计目标确定的决定性制约因素”;“环境的制约使审计目标成为现实的目标纵¨。企业首席审计执行官(CAE)及有关审计师在确定风险审计目标时,应该结合组织需要的重要程度、迫切程度,从企业实际环境条件出发,参考企业自身的能力和资源,合理安排。
(1)企业风险审计的总目标
总目标是指审计主体通过审计活动所期望达到的境地或最终结果。企业风险审计的总目标是审计部门和审计师按照组织风险管理方针和策略的部署,以风险管理目标为标准,审核被审计部门在风险识别、评价、管理等方面的合理性和有效性,于损失发生之前能作出最有效安排,使损失发生后所需要的资源,与保持有效经营必要的资源,能达成适度平衡,帮助组织实现目标。
(2)企业风险审计的具体目标
审计具体目标是总目标的具体化,并受到总目标的制约。审计具体目标包括一般审计目标和项目审计目标。一般审计目标是进行所有项目审计均必须达到的目标;项目目标是按每个风险管理项目分别确定的目标。一般审计目标适用于所有项目的审计,项目审计目标则只适用于某一特定项目的审计。
(3)企业风险审计的一般审计目标
1.风险范围确定的合理性:包括战略范围、组织范围、业务范围、风险范围;2.风险评价标准与指标体系的科学性:评价基础、评价方法、评价内容、指标计算;3.风险识别、评价的科学性:主要审核如下方面:按照审计确定的风险范围,核实风险识别是否全面;风险各级分类的合理性;可控风险、不可控风险确定的科学性;4.风险管理措施、方法与程序的合理性;5.风险实际处理的合理性。
三、 企业风险审计的意义
关于风险审计的意义,人们进行了有益的探索。《企业风险审计》指出:一项研究对内部审计人员提供的910份调查报告进行了分析,结果发现,63%的报告都把以下四点作为最常见的风险因素:(1)没有对经营的业绩进行定期的、独立的审查;(2)内部控制方法不当;(3)授权与分工的方法不恰当;(4)对资产、记录、计算机程序及数据文件等的接触缺乏权限控制。
由于这些风险因素的存在,定期监督审核是必要的。对风险和控制有效性的持续审核应是适当的,由于经营及人员都会发生变动,风险以至随之的后果和可能性也要变动,最为有效的控制能随时间的变动而改变。对于变动最多、风险最大的地方要对风险管理全过程施行严密、频繁的监测和评价。IIA《内部审计实务标准》新近增加了内部审计对风险管理的风险识别、分析评价、措施与方法等信息提供“保证”的功能。
内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势来看,内部审计不仅越来越关注风险,同时,也是风险管理的重要组织部分。内部审计更强调确认经营风险是否得到有效管理,由对交易事项和政策的遵循的评价,转变为对目标、战略和风险管理程序的关注;内部审计的建议更加强调风险的规避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效果和效率。对于现代企业来说,风险无处不在。内部审计的责任就是找出组织的主要风险。内部审计介入风险管理的主要原因:(1)内部审计机构有独特的位置;(2)内部审计师更了解组织的高风险领域;(3)内部审计师对于组织目标的实现有更强的责任感。
IIA将“评价和改进风险管理、控制和治理过程的效果”作为内部审计的重要职责,视风险管理为内部审计的推动力,是国际内部审计几十年苦苦探索的经验总结,更为内部审计未来发展指明了方向。
四、操作企业风险审计策略研究
操作风险的审计有其自己的特点,因为任何一家企业在开展新业务或新系统刚上线时,由于规章制度不完善、员工操作经验不足、管理上的漏洞等因素,都会使得出现操作风险的概率较高。如果这些问题逐步解决,就会使操作风险的频率降低。不过,当已有的系统开始老化和现有的市场经济环境发生变化后,原有的规章制度与系统已经不适用已经发生新变化的运营环境,此时的操作风险又可能重新上升。
(1)能够客观地、全面地管理风险
风险在企业内部有一定的复杂性与综合性特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是传递到其他部门,最终可能使整个企业陷人困境。因此,有些部门可能会出现过度道德风险。如采购部门为降低采购成本,就会忽视对材料品质、使用效果等方面的检查,或者有意购买残次品。这种隐蔽的风险最后会在产品生产或消费过程中反映出来,最终给企业造成巨大损失,因此对风险的防范、控制需要从整个系统进行综合考虑。但各部门受专业的局限较难做到,而内部审计部门不从事具体业务活动,可以从全局出发,从客观的角度对风险进行识别,及时预警管理部门采取措施规避风险。
(2)控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、管理层和各职能部门之间,能够充当企业长期风险策略和各种决策的协调人,通过参与计划编制与实施过程的监督,可以调控、指导企业的风险管理策略。内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。 评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险以及对降低风险和加强控制的活动评价及有效性;评价风险监控报告制度是否恰当;评价风险管理结果的充分性和及时性;评价管理层对风险的分析是否全面等。
评价管理层选择的风险管理方式的适当性。每个公司应根据自身活动来设计风险管理过程。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(3)树立风险管理理念
对企业操作风险进行审计要树立正确的操作风险管理理念。风险管理理念就是以什么样的思想来指导操作风险管理,因此,对操作风险有怎样的认识,就会有怎样的操作风险管理理念。对操作风险片面、错误的认识只能造成企业在进行审计时偏离正确的方向,弱化审计在操作风险管理中的作用。
企业高级管理层要对操作风险审计认识到位。企业业在操作风险管理上存在一个错误理念,即重视对基层操作人员的管理,轻视对高级管理人员的管理。在他们看来,只有基层操作人员才有发生操作风险的可能,因此,企业内部审计部门的主要精力放在了基层操作人员身上,而对高层管理人员仅有离任审计,没有日常的稽核监督。但从企业业的现实来看,高层管理人员引发的操作风险要远远大于基层操作人员引发的操作风险。企业高级管理人员要摆正业务拓展与执行制度之间的关系,拓展业务要以依法合规经营为前提。
企业的高级管理人员要遵守法律和各种规章制度,摆正权力与制度的关系,权力不能凌驾于制度之上。企业高级管理人员在经营管理过程中要对照制度对自己的决策进行自查,及时修正,不断检查自己的行为。在此基础上,企业高级管理人员要加强对企业员工的教育,定期组织企业员工学习岗位操作规程和各项规章制度,让企业员工掌握各项制度,理解操作规程和规章制度的内涵,增强执行制度的自觉性和必要性,使每个企业员工都对操作风险有正确的认识,尽量从人的因素方面减少企业操作风险发生的可能性。
企业要强化内部审计,充分发挥内审部门的作用。内审部门针对企业操作风险的特点,确定审计目标,通过自律监管审计和内部控制审计,采用排查法,开展重点审计。内审部门要运用常掌握的信息和非现场审计发现的疑点,对企业具体操作岗位和企业员工进行定期排查,及时掌握具体业务部门的动态,对可疑岗位和人员进行重点审计,发现问题及时采取措施,防范操作风险。
企业的内审部门在实行日常审计监督的基础上,还要开展突击审计。内部审计部门要有效利用电脑审计软件,利用计算机定期对企业的业务部门进行非现场审计。对Et常开展的审计项目分单位建立审计档案,实行El常审计监督后,综合分析可能存在操作风险的具体业务部门和员工,开展突击审计,以解决操作风险防范隐蔽性、预警性差的问题。此外,企业内部审计部门还要建立举报制度,适时开展审计。由于操作违规事件具有偶然性、隐蔽性的特点,因此,要把实行举报制度作为企业正常内部审计的补充形式。建立举报制度就是要公开举报电话,设立举报箱,实行举报保密制度,对敢于举报违规行为的举报人在进行保护的同时,给予表彰奖励。审计部门要充分运用这一手段,及时查处和发现可能给企业带来的操作风险。总之,企业的内部审计部门要建立起与企业面临的操作风险相适应的内部审计的具体程序和规则,及时发现和防范企业操作风险。
五、 结语
目前,我国对风险管理、企业风险审计的实施还处于初级阶段,很多企业并未真正实施风险管理审计,但风险审计对企业的作用却日益突出,把风险审计纳入审计工作范围中,这就需要我们内部审计积极投入到这一领域的探索与实践之中!
参考文献:
[1] 杨玉华. 内部审计的新发展——风险审计[J]. 商业会计. 2006(03)
[2] 曾伟. 论企业经营管理活动中的风险审计[J]. 当代经济. 2006(06)
[3] 刘慧芬. 新审计准则中现代风险审计的优势体现[J]. 当代经济. 2006(12)
[4] 郭伟昌,刘金凤. 企业风险审计模型研究与应用[J]. 审计研究. 2008(06)
[5] 王志强. 企业内部控制风险审计[J]. 科技资讯. 2008(13)
[6] 盛喆. 企业内控风险审计创新模式探讨——顶岗审计模式[J]. 当代经理人. 2005(05)
[7] 曾繁荣,郑毅. 论风险审计[J]. 求索. 2004(10)
[8] 黄佳春. 风险审计程序之我见[J]. 审计月刊. 2004(05)
[关键词]企业 风险审计 研究 策略
面对变化莫测的市场,企业面临着多种多样的不确定因素,重视风险、管理风险已经成为现代企业经营管理的迫切要求。实施风险审计,不仅有助于提高企业抗风险的能力,而且还能帮助企业更好的应付由于市场环境以及企业内部环境带来的各种不确定性,有助于提高审计在企业管理结构中的重要性。
一、 企业风险审计的内涵
风险审计是一种职业工作,它是企业内部审计师通过测试风险管理的有关方面,对风险程度及管理情况做出鉴别、评价,以实现企业运营目标。风险审计肩负着为战略决策及战略目标的实现提供信息保证的重任,所以要求审计人按照审计准则、职业道德进行执业,注意控制审计质量,降低审计风险。
二、企业风险审计的目标
审计目标的确定受几个因素的影响,按照刘明辉教授的观点:“需求是影响审计目标的根本因素”;“审计能力是影响审计目标确定的决定性制约因素”;“环境的制约使审计目标成为现实的目标纵¨。企业首席审计执行官(CAE)及有关审计师在确定风险审计目标时,应该结合组织需要的重要程度、迫切程度,从企业实际环境条件出发,参考企业自身的能力和资源,合理安排。
(1)企业风险审计的总目标
总目标是指审计主体通过审计活动所期望达到的境地或最终结果。企业风险审计的总目标是审计部门和审计师按照组织风险管理方针和策略的部署,以风险管理目标为标准,审核被审计部门在风险识别、评价、管理等方面的合理性和有效性,于损失发生之前能作出最有效安排,使损失发生后所需要的资源,与保持有效经营必要的资源,能达成适度平衡,帮助组织实现目标。
(2)企业风险审计的具体目标
审计具体目标是总目标的具体化,并受到总目标的制约。审计具体目标包括一般审计目标和项目审计目标。一般审计目标是进行所有项目审计均必须达到的目标;项目目标是按每个风险管理项目分别确定的目标。一般审计目标适用于所有项目的审计,项目审计目标则只适用于某一特定项目的审计。
(3)企业风险审计的一般审计目标
1.风险范围确定的合理性:包括战略范围、组织范围、业务范围、风险范围;2.风险评价标准与指标体系的科学性:评价基础、评价方法、评价内容、指标计算;3.风险识别、评价的科学性:主要审核如下方面:按照审计确定的风险范围,核实风险识别是否全面;风险各级分类的合理性;可控风险、不可控风险确定的科学性;4.风险管理措施、方法与程序的合理性;5.风险实际处理的合理性。
三、 企业风险审计的意义
关于风险审计的意义,人们进行了有益的探索。《企业风险审计》指出:一项研究对内部审计人员提供的910份调查报告进行了分析,结果发现,63%的报告都把以下四点作为最常见的风险因素:(1)没有对经营的业绩进行定期的、独立的审查;(2)内部控制方法不当;(3)授权与分工的方法不恰当;(4)对资产、记录、计算机程序及数据文件等的接触缺乏权限控制。
由于这些风险因素的存在,定期监督审核是必要的。对风险和控制有效性的持续审核应是适当的,由于经营及人员都会发生变动,风险以至随之的后果和可能性也要变动,最为有效的控制能随时间的变动而改变。对于变动最多、风险最大的地方要对风险管理全过程施行严密、频繁的监测和评价。IIA《内部审计实务标准》新近增加了内部审计对风险管理的风险识别、分析评价、措施与方法等信息提供“保证”的功能。
内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势来看,内部审计不仅越来越关注风险,同时,也是风险管理的重要组织部分。内部审计更强调确认经营风险是否得到有效管理,由对交易事项和政策的遵循的评价,转变为对目标、战略和风险管理程序的关注;内部审计的建议更加强调风险的规避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效果和效率。对于现代企业来说,风险无处不在。内部审计的责任就是找出组织的主要风险。内部审计介入风险管理的主要原因:(1)内部审计机构有独特的位置;(2)内部审计师更了解组织的高风险领域;(3)内部审计师对于组织目标的实现有更强的责任感。
IIA将“评价和改进风险管理、控制和治理过程的效果”作为内部审计的重要职责,视风险管理为内部审计的推动力,是国际内部审计几十年苦苦探索的经验总结,更为内部审计未来发展指明了方向。
四、操作企业风险审计策略研究
操作风险的审计有其自己的特点,因为任何一家企业在开展新业务或新系统刚上线时,由于规章制度不完善、员工操作经验不足、管理上的漏洞等因素,都会使得出现操作风险的概率较高。如果这些问题逐步解决,就会使操作风险的频率降低。不过,当已有的系统开始老化和现有的市场经济环境发生变化后,原有的规章制度与系统已经不适用已经发生新变化的运营环境,此时的操作风险又可能重新上升。
(1)能够客观地、全面地管理风险
风险在企业内部有一定的复杂性与综合性特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是传递到其他部门,最终可能使整个企业陷人困境。因此,有些部门可能会出现过度道德风险。如采购部门为降低采购成本,就会忽视对材料品质、使用效果等方面的检查,或者有意购买残次品。这种隐蔽的风险最后会在产品生产或消费过程中反映出来,最终给企业造成巨大损失,因此对风险的防范、控制需要从整个系统进行综合考虑。但各部门受专业的局限较难做到,而内部审计部门不从事具体业务活动,可以从全局出发,从客观的角度对风险进行识别,及时预警管理部门采取措施规避风险。
(2)控制、指导企业的风险策略
由于内部审计部门处于企业的董事会、管理层和各职能部门之间,能够充当企业长期风险策略和各种决策的协调人,通过参与计划编制与实施过程的监督,可以调控、指导企业的风险管理策略。内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。 评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险以及对降低风险和加强控制的活动评价及有效性;评价风险监控报告制度是否恰当;评价风险管理结果的充分性和及时性;评价管理层对风险的分析是否全面等。
评价管理层选择的风险管理方式的适当性。每个公司应根据自身活动来设计风险管理过程。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(3)树立风险管理理念
对企业操作风险进行审计要树立正确的操作风险管理理念。风险管理理念就是以什么样的思想来指导操作风险管理,因此,对操作风险有怎样的认识,就会有怎样的操作风险管理理念。对操作风险片面、错误的认识只能造成企业在进行审计时偏离正确的方向,弱化审计在操作风险管理中的作用。
企业高级管理层要对操作风险审计认识到位。企业业在操作风险管理上存在一个错误理念,即重视对基层操作人员的管理,轻视对高级管理人员的管理。在他们看来,只有基层操作人员才有发生操作风险的可能,因此,企业内部审计部门的主要精力放在了基层操作人员身上,而对高层管理人员仅有离任审计,没有日常的稽核监督。但从企业业的现实来看,高层管理人员引发的操作风险要远远大于基层操作人员引发的操作风险。企业高级管理人员要摆正业务拓展与执行制度之间的关系,拓展业务要以依法合规经营为前提。
企业的高级管理人员要遵守法律和各种规章制度,摆正权力与制度的关系,权力不能凌驾于制度之上。企业高级管理人员在经营管理过程中要对照制度对自己的决策进行自查,及时修正,不断检查自己的行为。在此基础上,企业高级管理人员要加强对企业员工的教育,定期组织企业员工学习岗位操作规程和各项规章制度,让企业员工掌握各项制度,理解操作规程和规章制度的内涵,增强执行制度的自觉性和必要性,使每个企业员工都对操作风险有正确的认识,尽量从人的因素方面减少企业操作风险发生的可能性。
企业要强化内部审计,充分发挥内审部门的作用。内审部门针对企业操作风险的特点,确定审计目标,通过自律监管审计和内部控制审计,采用排查法,开展重点审计。内审部门要运用常掌握的信息和非现场审计发现的疑点,对企业具体操作岗位和企业员工进行定期排查,及时掌握具体业务部门的动态,对可疑岗位和人员进行重点审计,发现问题及时采取措施,防范操作风险。
企业的内审部门在实行日常审计监督的基础上,还要开展突击审计。内部审计部门要有效利用电脑审计软件,利用计算机定期对企业的业务部门进行非现场审计。对Et常开展的审计项目分单位建立审计档案,实行El常审计监督后,综合分析可能存在操作风险的具体业务部门和员工,开展突击审计,以解决操作风险防范隐蔽性、预警性差的问题。此外,企业内部审计部门还要建立举报制度,适时开展审计。由于操作违规事件具有偶然性、隐蔽性的特点,因此,要把实行举报制度作为企业正常内部审计的补充形式。建立举报制度就是要公开举报电话,设立举报箱,实行举报保密制度,对敢于举报违规行为的举报人在进行保护的同时,给予表彰奖励。审计部门要充分运用这一手段,及时查处和发现可能给企业带来的操作风险。总之,企业的内部审计部门要建立起与企业面临的操作风险相适应的内部审计的具体程序和规则,及时发现和防范企业操作风险。
五、 结语
目前,我国对风险管理、企业风险审计的实施还处于初级阶段,很多企业并未真正实施风险管理审计,但风险审计对企业的作用却日益突出,把风险审计纳入审计工作范围中,这就需要我们内部审计积极投入到这一领域的探索与实践之中!
参考文献:
[1] 杨玉华. 内部审计的新发展——风险审计[J]. 商业会计. 2006(03)
[2] 曾伟. 论企业经营管理活动中的风险审计[J]. 当代经济. 2006(06)
[3] 刘慧芬. 新审计准则中现代风险审计的优势体现[J]. 当代经济. 2006(12)
[4] 郭伟昌,刘金凤. 企业风险审计模型研究与应用[J]. 审计研究. 2008(06)
[5] 王志强. 企业内部控制风险审计[J]. 科技资讯. 2008(13)
[6] 盛喆. 企业内控风险审计创新模式探讨——顶岗审计模式[J]. 当代经理人. 2005(05)
[7] 曾繁荣,郑毅. 论风险审计[J]. 求索. 2004(10)
[8] 黄佳春. 风险审计程序之我见[J]. 审计月刊. 2004(05)