内部审计在现代企业管理中的作用研究.docx
《内部审计在现代企业管理中的作用研究.docx》由会员分享,可在线阅读,更多相关《内部审计在现代企业管理中的作用研究.docx(14页珍藏版)》请在冰豆网上搜索。
内部审计在现代企业管理中的作用研究
内部审计在现代企业管理中的作用研究
摘要
企业需要规避风险,并以风险管理为公司治理的核心策略之一,这种需求已经日趋成熟。
内部审计迎来了新的发展机遇,在全球经营风险日渐严重的大环境下,为了使得内部审计能和风险管理同步前进,1999年,IIA赋予了内部审计全新的定义,内部审计如何渗入风险管理,发挥其在风险管理中的作用,成为了全球学者研究的热点。
本文以内部审计理论为基础,结合实务,从内部审计的本质、服务的“内向性”、“相对的独立性”等特点出发,对内部审计的风险管理职能作了进一步的分析和研究;从建立、健全企业风险管理制度;建立、健全内部审计机制的角度,以完善内部控制和改善风险管理为目标,提出了一些改进建议,以期对改善企业风险管理、加强内部控制、完善公司治理结构有一定的借鉴作用。
关键词:
内部审计;企业管理;风险管理;内部控制
THERESEARCHOFINTERNALAUDITINMODERNENTERPRISEMANAGEMENTROLE
ABSTRACT
Enterprisesneedtoavoidrisks,andriskmanagementasthecoreofcorporategovernancestrategy,thisdemandhasbecomemoremature.Internalauditwelcomednewdevelopmentopportunity,operatingintheglobalriskgrowingenvironment,inordertomaketheinternalauditandriskmanagementcansynchronouslymove,1999,IIAgaveanewdefinitionofinternalaudit,internalaudithowtoinfiltratetheriskmanagement,theriskmanagementfunction,tobecometheworld'sscholarshot.
Basedontheinternalauditingtheoryasthebasis,combinedwiththepractice,fromtheinternalauditessence,service"introversion","independence"andothercharacteristics,theinternalauditriskmanagementfunctiontomakeafurtheranalysisandresearch;fromtheestablishment,perfectenterpriseriskmanagementsystem;establish,perfectmechanismofinternalauditingangle,toperfecttheinternalcontrolandimprovetheriskmanagementasthegoal,thepaperputsforwardsomeimprovementsuggestions,inordertoimprovetheriskmanagementofenterprises,strengtheninternalcontrols,improvethecorporategovernancestructurehascertainreferencefunction.分享到
翻译结果重试
抱歉,系统响应超时,请稍后再试
∙支持中英、中日在线互译
∙支持网页翻译,在输入框输入网页地址即可
∙提供一键清空、复制功能、支持双语对照查看,使您体验更加流畅
Keywords:
Internalaudit;Businessmanagement;Riskmanagement;Internalcontrol
目录
1前言1
2内部审计与风险管理理论概述2
2.1内部审计的含义2
2.2企业风险管理的概念2
2.3我国内部审计与风险管理的关系3
2.3.1内部审计的独特地位使其具有介入风险管理的优势3
2.3.2内部审计介入风险管理扩大了审计工作范围3
2.3.3内部审计的参与完善了ERM,保证了框架的可行性和有效性4
3内部审计在企业风险管理中的作用5
3.1内部审计在风险管理中的识别和检查作用5
3.2内部审计在风险管理中的管理与协调作用5
3.3内部审计在风险管理中的顾问与咨询作用6
3.4内部审计在风险管理中的报告与防范作用6
4我国内部审计风险管理完善措施分析7
4.1完善内部审计参与风险管理的准则和制度规定7
4.2提高内审机构的地位,保持内审机构的独立性和客观性7
4.3建立、健全风险管理制度8
4.3.1企业尚未建立风险管理制度的措施分析8
4.3.2对于已经建立风险管理制度的企业措施分析9
4.4建立风险导向内部审计机制9
4.4.1以风险为基础确定审计计划9
4.4.2以经营目标为起点开展内审工作,积极推广风险导向内部审计10
4.4.3完善风险管理和内部控制的审计报告体系11
5结论12
参考文献13
致谢14
1前言
2010年8月,审计署对中钢集团(国资委管理的一家大型中央企业)进行调查,发现山西中宇钢铁有限公司(以下简称“中宇”)对中钢欠款40亿元,使得中钢财务乱象浮出水面。
据了解,中钢集团在决定和中宇公司进行全面合作前,没有对中宇公司的公司治理清况、生产经营能力以及财务情况等进行详细调查,是在缺乏风险管控意识的情况下做出的决定。
实际上中宇由于资金紧缺,设备落后,根本不具备中钢集团要求的生产能力,同时,中宇本身的债务高达52亿元,涉及1600多家债权人的债务,财务状况严重恶化。
中钢陷入40亿元的“财务黑洞”,并非一日之“功”。
根据中钢内部财务管理规定,超过5000万元以上支出需要中钢总裁本人签字认可,而与中宇相关的不少单笔支出恰恰都卡在4900多万元。
除此之外,中钢还存在巨额佣金支付不合规、虚报利润、转移利润、投资不谨慎等重大问题。
这个案例具有一定的代表性,中钢集团的问题背后折射出的是更深层次的机制问题和治理缺陷。
实质上,这个案例主要是由于内部控制严重缺失,风险管理意识淡薄造成的。
这些例子虽然不能以偏概全,但至少能说明,我国部分企业在风险管理方面有着较严重的缺陷,同样能预示着内部审计在企业风险管理中,具有广阔的发展空间,加强这方面的研究,有着重要的理论和实际意义。
2内部审计与风险管理理论概述
2.1内部审计的含义
内部审计是和政府审计、注册会计师审计并列的三种审计类型之一,它与“外部审计”相对应,机构及人员都是由单位设置的。
国内外专家对内部审计的定义有着不同的表述,IIA在2001年修订了《内部审计实务标准》,权威的阐述了内部审计最新的定义:
“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为组织增加价值并提高组织的运作效率。
它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织目标[1]”。
该定义重点说明了为组织增加价值是内部审计的根本目标,突出了内部审计参与风险管理、内部控制和公司治理的要求,是现代内部审计的丰碑,对于内部审计事业的发展有着巨大的意义。
新定义在原定义的基础上,确立了一些新的内容:
1、“保证与咨询”的工作方向;2、“增加价值”和“提高组织的运作效率”的工作目标;3、评价“风险管理、控制及治理程序”的工作内容;4、“系统化和规范化”的工作方法。
IIA新的内部审计定义为内部审计参与风险管理提供了重要的依据[2]。
2.2企业风险管理的概念
2004年10月,COSO委员会公布了新的研究报告——《企业风险管理—整合框架》,COSO报告认为[16],ERM是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
此定义反映了一些基本概念:
(1)企业的风险管理是一个过程,其本身并不是一个结果,而是实现结果的一种方式。
企业的风险管理是渗透于企业各项活动中的一系列行动。
这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有。
(2)企业风险管理是一个由人参与的过程,涉及一个企业各个层次员工。
(3)该过程可用于企业的战略制定。
企业的战略目标是企业最高层次的目标,它与企业的预期和任务相联系并支持预期和任务的实现。
一个企业为实现其战略目标而制定战略,并将战略分解成相应的子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。
在制定战略时,管理者应考虑与不同的战略相关联的风险。
(4)该风险管理过程应该应用于企业内部每个层次和部门,企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。
一个企业必须从全局、从总体层面上考虑企业的各项活动。
企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
(5)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。
(6)设计合理、运行有效的风险管理能够为企业的管理者和董事会在企业各目标的实现上提供合理的保证。
(7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标,目的在于企业目标的实现。
2.3我国内部审计与风险管理的关系
2.3.1内部审计的独特地位使其具有介入风险管理的优势
会计师事务所有着集中的专家团队,加上成本优势,许多企业愿意将内审业务委托给他们,这样,外部审计不断地侵蚀着内部审计的业务,即使是在内部管理这种需要熟悉企业业务的领域[3]。
正如营销学上的“差异化”,内部审计要为企业提供增值服务,而介入风险管理正是“差异化”的有效体现。
多数内部审计人员在企业工作多年,对企业运作十分熟悉,他们在风险管理方面,有着会计师事务所无法比拟的优势,他们提供的风险管理服务,和外部审计相比更具有及时性和针对性,这是许多外部审计和咨询机构难以相比的。
内部审计的这种独特性,加强了在企业中的地位,同时更加令人相信,这是一种具有光明发展前景的职业。
2.3.2内部审计介入风险管理扩大了审计工作范围
传统意义上的内部审计就是对某个单位或者专项进行事后检查,然后得出评价结论。
而风险管理是在降低风险的收益与成本之间进行权衡并决定采取何种措施的过程,他覆盖了整个组织范围,并且包含了事前预测、事中控制和事后评价等内容。
内部审计介入风险管理,无形中就扩大了审计工作的范围,扩展到组织管理的全过程和领域。
更进一步,内部审计介入风险管理可以对企业面临的风险和发现的机会进行全面的评估,或者在高层的同意下,参与风险管理战略的制定,从而影响高层管理者的决策。
在这种情况下,内部审计就能从被动的提供鉴证服务,转变为主动的基于企业战略和风险评估的基础上向高层提供确认和咨询的服务。
2.3.3内部审计的参与完善了ERM,保证了框架的可行性和有效性
ERM规定[4],在管理当局中,CEO对企业风险管理有着最终所有者的责任,而内部审计师则在评价风险管理的有效性,以及提出改进建议方面起着关键作用。
一般来说,制度的实施总比设计要困难许多,无论制度设计得多么完美,也会因为员工贪污舞弊,滥用职权,客观环境变化等原因而失效。
内部审计在持续监控、修正和独立评价风险管理活动的过程中,合理的保证了ERM的有效执行。
而且,内部审计部门有着较高的独立性和客观性,可以超越一般职能部门的限制,全面、客观地评估风险,对企业制定的风险战略和决策提出协调和意见。
内部审计直接向董事会报告,还可以克服管理层对风险管理部门施压的限制,在公司治理的高度完善企业风险管理框架。
3内部审计在企业风险管理中的作用
3.1内部审计在风险管理中的识别和检查作用
内部审计人员可以通过分析环境和风险的变化,检查内部控制系统是否已经更新,是否能控制新的风险;还可以通过后续跟踪管理层对审计中发现的问题以及对例外事项的整改情况,检查新采取的控制措施是否奏效,将分析结果和建议提交给管理层以便评估和改进控制措施[5]。
内部审计人员可以运用自己在风险管理方面的专业知识和经验,从独立、客观的角度发现问题为管理层和审计委员会提供有价值的信息,从而提高公司整体的风险管理水平。
内部审计可以通过运用风险管理方法其中包括确定风险领域,检查风险管理过程的效果,对风险管理过程的充分性和有效性进行分析检查,以便发现风险事件或者提出改进风险识别流程的建议。
内部审计师从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查错纠弊,查找管理上的漏洞,识别并防范各种风险,以便对既定损失或者潜在损失提出应对策略等。
例如像经理离任审计这样的综合性内部审计,要对离任经理的经营管理业绩进行综合评价,包括业务经营、资产管理、财务管理、费用控制、制度建设等各个方面。
只有这样才能透彻地了解公司的资产质量和该经理在任期间为企业创造效益的情况,进而对资产保值增值情况作出评价,为董事会和企业高层提供及时、全面的信息供决策使用。
内部审计还可以深入到企业管理的极细微的环节上查找问题,深入到经营管理的各个过程和行为之中,查找并防范风险。
内部审计工作能深能浅、能面能点,在资源有限的情况下抓大放小,内部审计工作的“增值”作用越来越明显。
3.2内部审计在风险管理中的管理与协调作用
在企业的组织架构中,内部审计机构一般都处在企业的董事会、总经理和各职能部门之间的位置,正是由于这种特殊的位置使得内部审计人员能够充当企业长期风险策略和各种战略决策的协调人[6]。
内部审计可以客观地从企业全局的角度进行分析和管理风险;可以从企业的利益和实际情况出发,清醒地识别和评价风险,提出防范风险的有效建议,调控、指导企业的风险管理策略。
内部审计人员可以凭着其对企业全面而深入的了解,对风险管理过程进行管理,促进被审计机构经营和管理的改善,赢得他们的尊重和信任。
不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计师作为独立第三方,在部门间的风险管理中起着协调作用,协调各部门共同管理企业投资决策带来的风险。
3.3内部审计在风险管理中的顾问与咨询作用
由于内部审计人员对本组织的情况了解的比较全面,也比较深入,对提供咨询服务工作有着独特的优势。
内部审计可以通过评估并运用风险管理的方法,帮助组织解决风险问题;通过咨询工作积极协助企业风险管理过程的建立。
在改善管理层的风险管理流程的效果和效率方面,内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议[7]。
有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。
如:
风险管理部门对某投资项目分析后发现风险太大不适合投资,但是总经理好大喜功,他可能会依靠个人的影响促成该项目的实施,这使得风险管理部门的作用受到限制。
而内部审计机构独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计机构意见的重视程度。
3.4内部审计在风险管理中的报告与防范作用
审计发现如何传递,审计成果如何利用,舞弊风险如何防范,所有这一切将直接关系到内部审计在风险管理监督体系中的价值和作用。
内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。
一方面,内部审计要与相关部门进行沟通,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;另一方面,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
4我国内部审计风险管理完善措施分析
4.1完善内部审计参与风险管理的准则和制度规定
内部审计准则体系的基本架构已经在我国初步建立。
但是内部审计要得到更好的发展,应该在风险管理、内部控制和公司治理中,进一步明确和细化内部审计的角色定位,使得内部审计准则更加完善。
推进实务指南的完善与发布,以便更好的把内部审计准则落到实处,加强内部审计实务的发展,为了实现与国际的同步而积极借鉴国际内部审计准则。
只有这样,内部审计才能在规范的市场经济中明确自己的角色。
同时还要通过建立相关法律法规,规范内部审计在企业风险管理中的定位,并提供良好的外部环境。
至今为止,用于指导内部审计工作的有自2003年5月1日起施行的《审计署关于内部审计工作的规定》以及随后中国内部审计协会发布的《内部审计基本准则》、《内部审计人员职业道德规范》、《内部审计具体准则》和《内部审计实务指南》,至2011年已经颁布施行的内部审计具体准则有29个,内部审计实务指南有4个[8]。
这些准则、规定为内部审计工作的开展提供了保障,但与开展风险导向内部审计的要求还有一定的差距。
2007年3月21日石爱中副审计长在中国内部审计协会第五届常务理事会第三次扩大会议上宣传内部审计10个新理念时,其中一个新理念就是“重内部控制,也重风险管理”[9]。
2007年4月19日王道成会长在《在融合之道—内部控制与风险管理,2007年春季高峰论坛上的致辞》中谈到:
我国现行的内部控制体系,有必要逐步向全面风险管理体系升级和完善,内部审计工作模式,也应逐步以治理为目标、风险为导向、控制为中心、增值为目的的现代管理审计转型[10]。
内部审计环境发生了变化,但是用于指导风险导向内部审计的准则体系尚不健全,建议相关部门和人员考虑内部审计的新情况新问题,建立健全以风险为导向的内部审计准则体系,以保证工作质量、提升内部审计职能、拓展认知程度,为风险导向内部审计的开展提供必要的条件。
4.2提高内审机构的地位,保持内审机构的独立性和客观性
根据IIA的观点,审计委员会的一个重要职责就是确保内部审计的独立性。
内部审计的独立性是保证内部审计客观性的基础,是内部审计内容、范围、方法、技术和报告不受干涉的前提。
在国外上市公司中,内部审计向审计委员会直接报告工作是较多采取的机构设置方法。
我国企业,特别是上市公司可以按照中国内部审计协会发布的《内部审计具体准则第23号——内部审计机构与董事会或最高管理层的关系》的具体内容,根据公司治理体制的健全情况选择内部审计管理模式,设立由董事会和高管层双重领导的审计委员会,下设独立于其他经营管理系统的内部审计机构以开展内部审计工作。
通过制定内部审计的相关制度明确内部审计的地位、权利和义务以及提供审计报告的程序,经营管理过程中出现的风险和风险防范措施就可以及时地向管理层报告[11]。
内部审计的报告渠道应该畅通无阻,并与董事会等高层保持良好的沟通,明确内部审计的职责和权利,保证内部审计的客观性和独立性,内部审计机构也要经常向管理层宣传风险管理的重要作用。
为了保证审计结果的客观公正,内部审计必须保持高度的客观、独立性,内部审计机构在组织、人事、经费支持以及其他方面应该独立于被审计单位,不受任何干涉。
内部审计缺乏独立性,将会导致审计失败。
内部审计人员应该在企业风险管理中清楚他们的定位,内部审计不再是以往简单的复核监督,而是更高层次的确认与咨询功能,同时也是企业风险管理的第三道防线,对风险管理的运行起到保驾护航的作用,这些定位和功能的变化,赋予了内部审计新的含义,和IIA发布的内部审计最新定义是相吻合的,为提高内部审计在企业中的地位创造了良好的机会。
4.3建立、健全风险管理制度
4.3.1企业尚未建立风险管理制度的措施分析
内审人员和外部审计人员相比,更熟悉公司的各项业务,由于单位许多重要的生产、经营、投资等决策活动,内审人员都会参与其中进行全过程监督,因此对各项流程比较熟悉,更能提出可行性和可靠性的建议。
通常,内审人员进场审计前,会针对审计项目的特点做出初步而较详细的调查,这样能第一时间了解掌握重要信息,发现问题,分析风险,确定重要性水平后制定审计计划,这样的审计计划,更加切合实际和成本效益原则[12]。
因此,内审人员如果能知道生产经营可能产生的风险,可以促使建立风险管理流程。
内部审计可以为企业风险管理的建立和完善提供咨询服务。
众所周知,风险的构成很复杂,要对风险有效管理,要求组织内部分工明确、各负其责,其中战略目标由董事会制定,每个高层管理者负责不同的风险管理方面,还要负责分配其他管理者的具体工作,一般管理者负责监控日常生产经营活动,内审人员负责对整个流程的评价监督。
IIA明确了内审机构不能有风险管理的职能,但可以协助建立风险管理过程,如果企业有这方面的需求,在不伤害内部审计的独立性情况下,内审人员应该提供帮助。
要对风险进行管理,就要制定相应的制度,企业每项业务都应该有制度以防范风险,并且制度的执行要保持统一的标准。
内部控制制度要覆盖包括决策、执行和监督全过程中可能产生的风险,关键岗位要互相制衡。
管理层要高度重视风险管理,视其为企业的“核心工程”之一,制度建设是“核心举措”之一,同时举办不同形式的活动,促使全体人员学习,通过共同努力,建立完善的风险管理制度。
4.3.2对于已经建立风险管理制度的企业措施分析
(1)风险管理的主要目标完成情况评估。
主要是评价企业以及所在行业发展的现状和发展趋势,检查是否存在风险,风险是否会对企业发展产生影响,检查企业在目前的经营战略下能够接受的风险程度,检查各部门的目标,目标可能产生的风险,检查减少风险和加强控制的措施和评估措施的有效性[13]。
评估风险控制报告制度的适当性;评价风险管理结果报告的充分性和及时性;评估和风险管理有关的管理的薄弱环节,并与董事会,审计委员会讨论上述风险管理的问题。
如果管理层的风险容忍度过高,超出了董事会制定的范围,应当报告。
(2)风险管理方案适当性的评价。
由于企业文化、管理理念和经营目标的差异,导致每家企业风险管理的差异。
每家企业都应该设计自己的风险管理过程,以求符合本企业的经营管理特点。
一般来说,规模小,业务简单的,可以设立一个非正式的风险管理委员会,定期进行评价活动;规模较大、经营业务复杂的,应当单独设立风险部门,制定管理制度或者可以量化的风险管理办法。
4.4建立风险导向内部审计机制
4.4.1以风险为基础确定审计计划
企业所处的经营环境存在很多的不确定因素,企业的经营管理者必须清楚认识这些风险对企业的影响程度,以风险作为决策参考的重要指标,将风险思想渗入到企业经营和管理的各个阶段。
风险是内审部门制定审计计划,确定工作重点的基础。
企业的风险管理战略应该体现在内部审计计划里面。
内部审计部门应结合企业管理的要求和掌握的审计资源确定具体的审计项目。
内部审计机构制定年度审计计划,应注意以下几点[14]:
一是以全局性为原则确定审计范围。
整个企业的风险战略、经营目标应该反映在审计范围中。
进行风险评估后,找出被审计项目的各种风险因素,这些因素应该与审计事项相关,以确保审计范围不遗漏。
风险因素包括:
目标完成的责任感,工作人员的能力,资产规模,财务状况,资本情况,竞争条件,业务的复杂程度,客户、供应商的开拓和维持;适当的内部控制制度和有效性;审计结果确认并采取纠正措施等等。
二是以重要性为原则确定审计重点。
对已经确定需要审计的项目根据重要性原则,进行风险评估后,实行优先排序。
对于可能出现风险较大甚至损失的项目;两次审计间隔时间较长、问题较多的项目;高层要求审
升级会员 