国有独资公司实施风险导向内部审计探讨.doc

国有独资企业实施风险导向内部审计的探讨 中国普天信息产业集团公司审计部 吕东 作为风险管理的一个重要环节，企业内部审计在内部控制、企业治理及组织运营中的地位日趋突出，已成为关系企业兴衰成败的重要因素。内部审计经过长期的发展，目前已逐步进入风险导向内部审计阶段。本文从内部审计的定义出发，阐释了风险导向内部审计的概念、特点和作用；并从国有独资企业的角度，提出风险导向内部审计的实施前提和框架要点，最后提出建议。 一、风险导向内部审计及其作用 （一）风险导向内部审计的概念 风险导向内部审计以风险为其关注的核心。风险导向内部审计即是以对整个组织的风险进行评估与改善为最终目的的一种审计理念。IIA于2001年对内部审计的定义，就是风险导向内部审计的体现：“内部审计是一种独立、客观的确认与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范化的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。” 根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础，以企业治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标。 （二）风险导向内部审计在现代企业中的作用 1、参与风险管理 风险管理首先要求全面识别风险，同时熟悉本单位的经营战略、工作程序、组织结构等，而内部审计人员的独特地位与专业知识是可以满足这样的要求的。因此，以风险为导向的内部审计发现、搜集、识别风险信息的能力比企业内部其他部门和外部审计都有优势，对于企业风险管理能够起到其独特的作用。 2、促进内部控制 内部控制从某种程度上来说从属于风险管理，是风险管理的方式之一。作为内部控制的一个重要环节，内部审计是对内部控制的再控制。建立内部控制制度的根本目的，正如COSO对内部控制的定义所描述的：“为达到财务报告的可靠性，经营活动的效率和效果、相关法律法规的遵循三个目标而提供合理保证的过程”。这些目标也就是对内部审计的要求和标准。可见，内部控制是内部审计的基础和主要的关注内容之一，也是风险导向内部审计进入企业治理、风险管理的基础。 3、促进企业治理 企业治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向内部审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，企业治理与风险导向内部审计目标是一致的。内部审计活动应该评价并为改进机构的治理程序提出适当的建议。内部审计既是企业治理的一部分，同时又参与到治理有效性的审计之中。有效的内部审计是企业治理结构中形成权力制衡机制并促使其有效运行的重要手段，是企业治理过程中不可缺少的组成部分。 二、国有独资企业实施风险导向内部审计的前提 （一）国有独资企业及其特殊性 由于国有独资企业的特殊性，其股东为国家，只能由某些国家授权的机构代表国家行使出资人的各项权力，因为大部分国有独资企业没有建立董事会、监事会等机构，企业治理结构方面有所欠缺，企业或企业的主要负责人权力很大，运营机制和监管手段缺乏科学有效机制，而更容易使企业面临风险。因此在此情况下，必须要加强对国有独资企业的风险管理意识，在企业内部更要建立风险管理机制，而风险导向内部审计是其中不可缺失的重要一环。 相对于其他公司制企业，国有独资企业的权力机构和权力行使更加集中，为了实现国有资产保值增值和企业持续、健康、稳定发展，企业最高决策层通过提高认识和充分研究，可以按照风险管理的原则、理论建立风险管理职能，设立风险管理相关部门，能够对包括战略风险、财务风险、市场风险、运营风险、法律风险等在内的企业风险进行预测、识别、评估，进而采取措施降低、回避和转嫁风险。 （二）风险导向内部审计的前提 1、企业决策层和管理层必须重视风险管理 目前，国有独资企业的治理结构不尽相同，有的设有董事会，有的是总经理为法定代表人和最高领导，但无论哪种治理结构下，最高的决策层和管理层必须具有经营风险意识，能够认识到企业内部外部面临的种种危机与机遇，高度重视风险管理，积极推动风险管理理念，营造有风险管理内容的企业文化，也就是说，企业领导层必须对风险管理持支持和促动的态度，否则风险管理就不可能有所作为。 2、企业必须建立进行风险管理职能的机构 设有董事会的企业可按规定下设风险管理委员会，未设董事会的企业可在总经理领导下设立风险管理的职能部门，这个部门应该是常设机构而非临时性的，这样才能从战略高度和以全局的视角来认识风险、识别风险和控制风险。 3、理顺内部审计的管理体制 设有董事会的企业，应该在董事会下设内部审计委员会，对企业的经营管理活动进行监控，企业内部审计部门在业务上为内部审计委员会负责并报告工作，以保证内审部门的独立性和客观性。内部审计委员会的组成应该至少包括独立董事、懂得财务与管理的专家，而应限制由企业高管人员组成比例。内部审计人员应该由具备专业技术资质和工作能力的人员组成。完善的内审机构应该做到成本费用合理、工作过程独立，才能在风险管理中真正发挥作用。 4、内部审计部门必须在风险管理机制中起再监督和再控制的作用 首先，内部审计部门及人员并不是以一个负责者身份出现在风险管理中，而只是作为内部控制方面的专家，从评估内部控制领域中的风险，再对企业的风险管理加以评估和改善。其次，内部审计人员实质上的独立性应能够被保证。中航油等事件根本原因，是管理者个人权力过大，又缺乏对个人权力有效制约和监管，导致内控失灵。当风险被评估之后，管理层是否会采纳内审人员的评估和建议，或者管理层是否会为了个人利益而给予内部审计人员压力做出不客观的评估，与内部审计的独立性与权威性有很大关系。 三、国有独资企业实施风险导向内部审计的框架 在具备上述前提后，内部审计具备了较高的独立性和客观性，可以按照企业风险管理要求开展工作，以评估和控制风险为核心，内部审计从制定工作计划到实施现场审计再到出具审计报告等全过程都要始终坚持风险导向，其主要框架为： （一）了解企业内外部风险信息 首先要做的就是要对企业面临的内外部环境和形势进行详细调查了解，也就是对企业经营存在和潜在风险因素进行搜集整理工作，包括企业治理结构、内部控制、管理层的经营理念等内部风险因素，以及产品的市场状况、政策环境变动、科技进步影响、竞争对手情况以及自然灾害可能性等外部环境信息。在此过程中，应与企业风险管理委员会和相关职能部门加强沟通，以掌握更多更详细的信息。此环节应保证内审部门对信息的知情权、调查权。 （二）确定风险容忍度 在市场环境下，企业会面临各种风险。风险容忍度是企业在实现其目标的过程中对差异的可接受程度，是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大，说明企业愿意承受更大的风险，在容忍度范围内的风险可以采取通常日常应对措施。内部审计人员可以根据企业的经营环境、经营规范、资本结构等确定风险容忍度。内部审计人员应结合企业内外环境，找出所有会给企业带来威胁的风险，对关键风险进行容忍度的量化分析，以确定可以接受的风险范围。 （三）识别并评估风险 风险识别是风险管理框架中的关键环节。是根据已经了解到的各风险因素，来确定企业潜在的风险并加以判断、归类和鉴定风险性质的过程。也就是说，从潜在的事件及其产生的原因和后果来检查风险，收集、整理可能的风险并充分征求各方意见以形成风险监控因素的列表。 风险识别首先是对风险进行定性研究，内部审计人员熟悉企业的经营管理过程，以风险分析为起点开展工作，有效识别风险。可以根据自身的实际情况，制定风险管理审计计划，包括制订战略风险管理、财务风险管理、运营风险管理、人事风险管理和其他风险管理等审计计划。最后，内部审计部门还要关注已识别风险的完整性，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。 其次是对识别出的风险进行定量评估，通过对所搜集的大量的详细风险信息资料，应用各种风险评估理论、技术和模型，采用定性与定量相结合的方式，评估风险事件发生的可能性和频繁度，风险事件的潜在影响及其成本的高低。针对企业风险管理部门制定的详细风险管理计划，分别评估每一计划的风险，再综合各方面因素，确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小，一般是对已经识别出来的风险进行量化估计。在此过程中，内部审计委员会或内部审计部门要对已有的评估结果进行再检验，以确定其是否恰当，对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况，提出改进措施和建议，以强化企业的风险管理，降低风险损失。风险分析中不仅要关注风险的数量方面，而且要关注风险的属性方面或其他承载价值的后果。 在识别与评估风险时，内部审计部门要注意把握好与企业风险管理职能部门的关系，既要有具体业务上的合作和沟通、信息共享，以在多方面避免重复性的工作，同时又不能代行具体的风险管理职能，而是要对风险管理职能部门的工作进行再确认和再监督。 （四）应对风险 根据确定的风险容忍度，企业制定风险应对策略：可规避性、可转移性、可缓解性、可接受性。内审委员会或内部审计部门对有关部门针对风险所采取的行动进行检查，检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，内审委员会可以根据不同的情况，提出避免风险、接受风险、还是降低风险的具体措施和建议，协助完善风险的反应方案，以强化企业的风险防范管理，降低风险损失。 在对企业面临的各种风险进行识别、分析评估和进行控制后，内部审计部门和内部审计师还应运用专业判断，确定那些没有或无法将风险有效降低或控制到可接受水平的控制范围，也就是没有被有效控制的剩余风险。内审部门要关注：是否存在没有降至可接受水平的风险？ 如果存在，那么是哪些控制程序没有有效运行？有没有更好的控制风险替代程序？ （五）监控风险发展状况 风险不是静态的，风险的数量和可能性会随内外部环境的变化而变化，持续的监控对有效地管理风险是最基本的。内审委员会或内部审计部门可以通过持续的监控，使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值，了解风险评估的正确性，为下次评估提供经验教训，明确应对风险决策的有效性，同时还有助于控制成本费用。 （六）评价风险带来的影响 一个风险事件结束后，审计委员会或内部审计部门应将此次事件所带来的影响进行归纳、总结，成为以后风险管理的经验。在风险总结中应包含对以下内容的评价：风险识别是否完整；风险衡量是否准确；应对措施是否有效；监控手段是否合理；风险事件的后果。经过这个环节，可以总结工作的经验与教训，使风险管理框架更加完善。 五、国有独资企业实施风险导向内部审计的建议 1、坚持内部审计的独立性和客观性 努力改善内部审计的环境，兼顾内部审计的独立性和客观性。独立性通常被认为是内部审计最为重要的属性，是内部审计的灵魂，但是内部审计本身不仅是企业风险管理的参与者，更是企业各项经营管理体制的组成部分，对独立性的过于强调可能会影响内部审计人员与企业管理层之间的沟通效果、效率，所以要在强调内部审计独立的同时必须兼顾其客观性。 2、加强国有企业的治理结构 国内外企业发展的经验教训证明，企业治理的完善程度是企业能否正常、健康和长久发展的最根本的基础和条件，如果企业治理存在缺陷，企业经营管理层就可能损伤内部审计的实质上的独立性，对内部审计师的工作态度和工作范围有很大影响，也会影响内部审计人员所出具的报告的真实性；也可能造成内控制度中监督和控制这两个环节失效。所以，合理科学的企业治理结构对于实现真正有效的内部审计至关重要。在此方面国有独资企业可以成立董事会及下设各专业委员会、监事会等尝试，这还需要政府主管部门和企业本身的共同努力推动来达到这一目标。 3、强化对内部审计人员的职业素质训练 风险导向内部审计的审计范围不断扩展，审计人员关注的范围因此不断延伸，对专业水平和职业道德的要求也在不断提升。这就要求审计人员在掌握传统审计技术的基础上，具有更高的分析问题及解决问题的能力，熟悉风险分析的理论、技术和模型应用，应用职业的判断，并保持应有的谨慎和关注。为此，应该培养审计人员对影响企业的宏观环境的把握能力，培养其统计、分析等综合能力，提高审计人员的综合素质。如果审计人员本身都不合格，一切都无从谈起。 4、不断探索并逐步构建适合企业自身发展的风险管理模式 在借鉴先进风险管理理论和经验时，绝对不能照搬国外和其他企业的管理模式，必须在坚持风险管理目标的前提下，根据自身的行业特点、市场情况、管理现状、企业文化等不同风险因素，不断探索适合自身实际情况的风险管理模式，不断修正和优化，逐渐形成识别风险、评估风险、控制风险等比较完整有效的控制机制。 5、内部审计部门的工作要全面体现风险导向 首先要具有风险管理的意识和观念，掌握风险管理的一般知识，在此基础上，内部审计部门要根据企业具体情况，分析、识别、评估企业经营管理的各项风险因素，按照风险因素制定年度工作计划，覆盖高风险领域，在计划实施过程中，还要不断监控风险的动态变化，并不断调整工作计划实现审计关口前移。在实施具体审计项目时，必须重视项目审计计划在整个审计过程中统驭全局的作用，在计划阶段就要做好项目存在的风险信息的分析工作，使审计工作的重心由实施阶段前移到计划阶段。在出具审计报告阶段，要根据环境和形势的变化，及时确认风险的变化，并把相关信息补充到审计报告中。 总之，风险导向内部审计是内部审计发展的趋势和方向，是推进和完善国有独资企业风险管理、改进内部控制、实现有效企业治理的有力手段，国有独资企业应该不断尝试和探索适合本企业的风险导向内部审计的新思路、新做法，为实施全面风险管理和企业长久、健康发展发挥作用。