浅析内部审计在企业风险管理中的作用

浅析内部审计在企业风险管理中的作用◆孙建国胜利油田审计处【摘要】企业风险管理是由企业的董事会、管理层和其他人员实施,从战略层面开始并贯穿整个企业的一个过程,它包含控制环境、事件识别、风险评估、风险反应、控制活动、信息和沟通、监控七个基本要素,内部审计在上述要素中分别发挥着不同的作用。【关键词】风险管理内部审计作用企业风险管理是一项重要的工作。每个企业在经营中都有可能发生风险,但如何化解和减少风险是企业经营者必须进行关注和研究的重要课题。近年来,不少企业内部审计部门开始介入风险管理,并将其作为内部审计的重要领域。这一做法得到了国际内部审计职业界的普遍认可,以至于国际内部审计师协会在1999年通过的内部审计的最新定义中,把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文就内部审计如何参与企业风险管理作了浅显探讨。一、风险、风险管理及内部审计的概念风险是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性因素。它具有客观性、普遍性、必然性、可识别性、可控性等特点。风险的形成过程主要涉及风险因素、风险事故和损失三个方面。COSO(美国国家反虚假财务报告委员会赞助机构研究小组Com-mitteeofSponsoringOrganizationoftheTreadwayCommission的英文缩写)对企业风险管理给出的定义是:企业风险管理是由企业的董事会、管理层和其他人员实施的,从战略层面开始并贯穿整个企业的一个过程。这个过程的设计是为了识别可能影响企业的潜在事件并按企业接受风险的态度管理风险,为实现企业目标提供合理的保证。COSO确定的企业风险管理的7个基本要素是控制环境、事件识别、风险评估、风险反应、控制活动、信息和沟通、监控。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法。国际内部审计师协会对内部审计的定义如下:“内部审计是一项独立的、客观的保证和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法,对风险管理、控制和治理过程进行评估和改善,从而帮助组织实现其目标。”该定义拓展了内部审计的内容,明确了内部审计在企业风险管理中的作用。二、内部审计参与风险管理的内外部环境及动因1.企业面临的风险日益增大。近年来,随着社会经济的发展,特别是经济全球化程度的加深,企业经营环境变得日趋复杂,企业经营风险也随之增加。因此,减少企业面临的风险是组织实现目标的关键,也是企业管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,因此内部审计部门和审计人员参与企业的风险管理也就顺理成章了。2.内部审计对发展的渴求。内部审计部门为了不断地发展,在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业十分重要的领域,企业经理人员对风险的空前重视,为内部审计的发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,内部审计师的职业组织———国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。3.内部审计能够在风险管理中发挥独特的作用。3.1内部审计能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性,即一个部门造成的风险或疏于管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。正因为如此,有些部门可能会出现过渡道德风险。如采购部门为节约采购成本,可能会忽视对材料规格、型号、质量方面的要求。这种暗藏的风险会在生产车间或销售部门反映出来,最终给企业造成巨大损失。因此,对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门不从事具体的业务活动,独立于业务管理部门之外,这使得它可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。3.2内部审计控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期目标的调节,内部审计人员可以调控、指导企业的风险管理策略。3.3内部审计部门的建议更易引起重视。有些企业尽管也有风险管理部门,但它属于企业管理的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施,使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。3.4外部审计的影响。近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估。这不能不对内部审计产生影响。内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势,他们对企业面临的风险更了解,对防范企业风险、实现企业目标有着更强烈的责任感等。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。三、内部审计在风险管理过程中的作用与一般风险管理部门进行的风险管理相比,内部审计部门所进行的风险管理与其既有联系又有区别。它们的联系表现在,两者都是为了降低企业的风险;两者的区别在于,它们在风险管理中的角色不同。正是这些联系和区别,导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督。以下就内部审计在风险管理七项活动中的职能分别进行说明。1.在风险环境分析中的作用。在环境分析活动中,企业制定的目标、战略和计划要合理地反映外部环境、可使用的资源,要考虑主要的风险(威胁)。内部审计要评价单位的“固有风险”和“剩余风险”(采取控制行动后可以接受的风险)。由于信息技术的发展,办公自动化的程度日益提高,控制人员逐步减少,单位风险的性质和影响程度也发生了变化。比如,有些单位将工资核算或者电脑系统的设计维护工作外包,虽然减少了资金投入,但使企业面临这些合作者不能完成任务的风险,因此,管理层还需要知道合作者的风险。办公自动化还将监控的重心从发现和纠正错误转移到预防错误,防患于未然。假如(上转117页)130经营管理竞争上岗、转岗分流,并清退不必要的临时工,以达到降低人员经费支出的目的。5.加强医院网络建设,推进成本管理网络化。成本核算涉及面广且复杂多样,其专业分工精细,核算数据庞杂,若用手工方式分摊计算将十分困难。因此,医院要加强网络建设,建立包含成本核算管理功能模块的系统,对临床医技科室、实物管理库、行政后勤、各收费点及账务核算管理部门实行网络管理,保证自动实现全院成本数据的及时收集、存贮、传输、汇总、分析和共享,推进医院成本核算管理的信息化、网络化和科学化。6.完善成本分析体系。医院成本核算控制中心可运用对比分析法、趋势分析法、比率分析法、因素分析法、盈亏平衡分析法等成本分析方法,合理组织收入、控制成本支出,进行全方位、全过程核算,并汇总编制损益表及比较分析表,以便掌握成本费用构成、分布及变化规律,了解成本计划执行情况,查找成本升降原因,寻求降低成本的途径,提高经济效益。医院还可通过定期或不定期地总结或有针对性地专题分析,提高其成本决策水平。此外,成本管理信息和分析资料也有助于医院领导决策层实时掌握全院、各科室及患者的成本状况。四、树立成本管理理念,增强成本意识医院成本管理是医院经济管理的重要环节,把成本核算的重点从传统的事后算账转到成本的事前预测和控制上来,是医院加强成本管理、降低成本费用的重点。医院经济运行要进行成本管理,首先,强化医院管理者的经营意识和成本意识,提高科学管理水平,逐步探索出适应市场经济体制要求的经济管理体制和经济核算方法。树立全院职工成本的观念和降低成本的意识,是成本管理的关键。同时,要去除原来在计划体制下那种不讲成本效益的老思想。转变观念不仅在医院管理者中,更要在全体职工中树立成本效益的思想观念。将可控成本细化到岗位、量化到人,做到岗位有标准,事事有考核,形成一个堵漏、挖潜、节支环环相扣、相互促进的精细化管理模式。通过开源节流,增收节支,形成有利于节约资源、提高服务质量、降低成本的经营管理机制;唯有这样,才能为医院、为个人创造出更高的收益,提高医院竞争力。医院降低经营成本要在维护病人利益的基础上,做好经营成本预测,厉行增收节支。通过技术进步和技术创新提高疾病治愈率,缩短病人平均住院日,加快病床周转,提高医务人员的工作效率;适应医学模式转变,根据社会需求,转变服务模式,开辟新的服务领域和服务项目,全方位满足社会群众多样化、多层次的医疗保健需求;医院通过建立和完善成本监控措施,提高经济管理水平,以寻求更大的发展空间和更多的发展时机。医院财务部门要定期做好成本分析、成本控制、效益分析工作,了解成本计划执行情况,及时掌握成本升降的因素,认识并掌握成本变动规律,寻求降低成本,提高效益的途径。同时,加强医院后勤服务的成本管理,减少浪费,降低消耗,不断提升医院经济管理的效率。以减轻患者的医药费用负担。五、结语总之,医院成本核算是一项综合的复杂的系统工程,搞好成本核算有利于促进医院管理,增强医院的竞争力,实现医院健康发展。医院管理人员应当重视、了解和探索医院成本管理的发展趋势,制订适合本单位实际情况的成本管理计划和措施,不断完善优化成本核算管理体系。(下接130页)自动控制程序不能在错误输入系统的环节进行控制,那么就有可能导致后面一系列自动的错误处理。比如,有的办公自动化付款程序系统,如果系统没有设计对供应商的身份验证控制,那么,系统可能会按自动付款程序付款给虚假的供应商。内部审计人员要分析这些环境因素的变化,进一步考虑组织机构风险的变化和控制与形势变化是否相符,并将分析结果反映在给管理层的审计报告中,供他们作决策时参考。2.在风险事件识别活动中的作用。在风险事件识别活动中,单位要识别内外环境中所有的风险事件,不论大小都不遗漏,保证风险轮廓勾勒的完整性。内部审计人员可以采用通用风险分析模板及方法,包括COSO提供的分析方法等,识别单位本身的风险和重要合作者的风险。一般而言,单位外包部分工作是因为不想投资这方面的资源,比如单位外包供应链的管理工作,是为了避免对这个系统工程的资本投入。但是单位也会因此而缺乏熟悉供应链管理公司运作的人员,不了解这些公司所面临的风险,无法预测影响该承包商的风险事件和对单位的关联影响。因此,内部审计人员需要运用某些分析方法,比如“头脑风暴”和“情景模拟”等,创造性地进行分析,判断管理层是否完全识别了单位的所有风险,若有遗漏,要提醒管理层加以考虑。3.在风险评估中的作用。在风险评估活动中,单位要对已识别的风险事件进行定量分析和定性分析,分析事件发生的可能性和影响(后果)。风险分析的复杂性和困难在于在很多情况下要主观判断不同结果发生的可能性。比如,诉讼损失可能会有几种不同的结果,而每种结果发生的可能性可能不同。不同背景、经验、职位的人对同一风险的判断也可能不同,带有各自的偏见。比如,上级主管可以出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。内部审计人员由于其特有的独立地位,可以从客观的角度分析风险的假设条件、计算方法来评价风险,提供专业意见。4.在风险反应和控制活动中的作用。在风险反应活动中,单位要根据不同的风险来决定要采取的策略和方法,决定是避免风险、接受风险,还是降低风险。如前文所述,对有相对风险回报的风险,单位可以考虑接受,但要采取控制措施,才能将风险降到可以接受的水平,获得希望的回报。对于这部分风险,单位会采取减少风险、转移风险或分担风险的办法以降低单位承受的风险。内部审计人员的主