一、风险管理:企业内部控制与管理的核心
风险管理的思想理论从20世纪30年代开始萌芽,到50年代发展成一门独立的学科,70年代逐渐在全球范围内掀起了风险管理运动,80年代后市场环境的复杂化引致各种财务风险,促使企业开始关注并寻求规避风险。世纪之交,所有企业面临的经营环境和风险更加复杂和多变。在实践领域,一些知名的大公司由于风险管理不当引发破产事件频发。近20年来,美国、英国、日本等先后建立全国性或地区性的风险管理协会,有组织、系统地研究风险管理。理论界和实务界冲破了传统风险管理理论对风险的狭隘理解,开始对企业的所有风险进行整体的研究和管理,形成一个新概念———“整体化风险管理”,即全面风险管理。美国COSO委员会于2004年发布了《企业风险管理———整体框架》,以替代沿用很久的《内部控制———整体构架》,运用全面风险管理框架涵盖内部控制,构建了更强有力的概念和管理工具,提出企业风险管理的八个相互联系的要素,每个要素均与风险管理密切相关,成为企业进行风险管理和衡量风险管理有效性的标准。20世纪80年代,我国的一些学者将风险管理和安全系统工程理论引入国内并应用到企业管理中,取得了较好的效果,从而开始了对风险管理的关注和研究。国务院国有资产监督管理委员会于2006年印发了《中央企业全面风险管理指引》,该指引借鉴了COSO《企业风险管理框架》的主要精神,同时还参照发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及财政部《企业内部控制规范》的相关规定,明确要求中央企业逐步建立健全风险管理长效机制,促进企业在复杂多变的市场环境中稳步健康发展。
二、内部审计的演变:由财务、经营审计到风险管理审计
20世纪初期,尤其是第一次世界大战后,西方发达国家的企业组织规模明显扩大,企业内部管理层次不断增加,管理层主要依赖内部审计机构查错防弊,保护企业资产安全。20世纪40年代至60年代,企业集团和跨国公司大量涌现,生产经营业务日趋复杂,内部控制跨度加大,内部审计由查错防弊转向检查并评价内部控制的有效性。20世纪60年代后,企业最高管理层更加关注合理利用各种资源,提高经营效率,要求内部审计直接对各类经营业务和管理活动进行审查和评价,内部审计向管理审计方向发展。近20年来,世界范围内产品技术变革速度加快,企业兼并、重组浪潮对企业的治理结构、管理模式等产生了重大影响和冲击,各种潜在风险层出不穷。2002年4月,国际内部审计师协会在对美国国会关于《萨班斯-奥克斯利法案》的意见陈述书中指出,内部审计、外部审计、董事会以及高层管理人员应成为公司有效治理的四大基石,这是国际权威机构首次将内部审计提高到公司治理的高度。就世界范围来看,美、英等西方发达国家适应全面风险管理的要求,以先进的内部审计理念为指导,并颁布和实施配套的内部审计实务标准,从而使内部审计的范围几乎涉及企业的所有领域,定期提出具有建设性的风险评估意见。可以预见,现阶段乃至今后相当长的时期,管理审计是内部审计发展的大方向,而且由于风险管理是企业所有管理工作的核心,将新型的风险管理审计作为管理审计的重点,势在必行。
三、现实思考:我国内部审计的差距
(一)顶层设计与引导不够有力
国际内部审计师协会于2009年修订颁布的《内部审计国际实务准则框架》,重点突出风险管理的地位,认为:内部审计在风险管理中的角色和作用主要是对本企业的风险管理程序进行评估,并对风险管理的恰当程度做出合理保证;由于风险往往与组织战略的规划与实施密切相关,内部审计应当在审计项目的选择上考虑组织战略;内部审计应成为企业整合风险管理的组成部分,帮助组织实现战略目标。《中国内部审计准则》中的《基本准则》没有完全秉承以风险为导向的基本原则;具体准则第1号《审计计划》要求在制订年度审计计划时应当考虑组织风险与管理需要,但没有明确规定将审计计划与组织战略相联系;具体准则第16号《风险管理审计》主要涉及“确认”服务,而体现“咨询”服务的风险管理审计建议方面的要求则很少。此外,从各级内审协会网站内容来看,反映内审机构积极参与风险管理的做法和成功经验方面的报道甚少,专家、学者的相关论述与评析也不多见,尚不能给广大内审人员提供更多、更好的启发与引导。
(二)实务理论研究不够深入和系统
我国在风险管理审计方面的实务研究明显不够深入和系统。一是实证研究较少,多数研究成果限于介绍国外的一些成功做法,理论联系实际不够,对现实的指导意义不强;二是研究的深度有限,一些学术研讨和专项调查流于形式,多数成果只是对本企业有限的审计实践进行介绍和总结,很难推广应用;三是研究成果分散,尚未形成完整的理论体系,无法上升为具有准则性质、对企业内审工作具有一定约束力的操作规程。
(三)企业风险管理基础薄弱
一些企业的风险管理活动时有时无,尚未形成规范化的长效机制,另有一些企业未设置专门的风险管理机构,人员配备非常有限。总体上看,多数企业的风险管理基础比较薄弱,不少内审人员认为所在企业风险管理根本不存在,或者说风险管理审计没有客观基础,内部审计参与风险管理无从下手。
(四)审计介入程度有限
一些内审人员并没有完全认识到风险管理审计的重要性,有的还保留着传统的内部审计观念,也有的在等待观望。有些内审机构已涉足风险管理审计领域,但由于受到企业内部审计政策、人事安排及接触核心资料受限等诸多方面因素的影响,审计的范围仍局限于财务与经营数据。有些企业的风险管理尚处于起步阶段,在相关职能部门、岗位以及职责并没有得到合理配置的情况下,将风险管理系列工作集中交由内审机构处理:一方面模糊了内审人员与风险管理人员的界限,使内审完全失去独立性;另一方面内审什么都管,风险管理审计的质量和效果大打折扣。
四、推进风险管理审计:优化内外环境
(一)优化公司治理结构
开展全面、高层次的风险管理审计必须增强内审机构的独立性、权威性。据调查,我国50%以上企业的内部审计工作由财务总监、副总经理或总经理主管,内审开展工作受到体制牵制和约束。对此,政府的财政、审计等相关部门应制订和颁布政策,要求企业由董事会或者其下属审计委员会主管内部审计工作,并定期披露对内部审计工作的指导与监督情况。相关调查表明,尚有相当数量的企业规定内部审计的主要职责是监督财务收支的真实性、合法性,对管理审计很少提及,更看不到“风险管理审计”的字眼。对此,建议国家相关权力机构通过增强内部审计准则的约束力,督促企业治理层和最高管理层从内审机制构建上予以调整和改进。只有这样,风险管理审计的作用才能充分发挥,内部审计基石的价值才能得以体现。
(二)建立健全并实施企业内部风险管理制度
首先,通过宣传、教育,加深企业治理层、管理层的思想认识,明确管理层在风险管理中应承担的职责。其次,要设立专门的风险管理机构,企业内部各部门和单位也要设立专职风险管理员,明确相关机构和人员的职责权限,使企业内部的各级风险管理工作制度化、规范化。最后,要将企业治理层的重大决策程序和各级管理层的日常工作纳入风险管理的范围,形成严密的风险监控体系。健全的制度有待于有效执行,企业董事会、监事会对此负有引导和监督的责任。内审人员的主要职责,是对风险管理制度设计的合理性和执行的有效性进行全过程、全方位的监督与评估。
(三)调整审计人力资源政策
审计人员要有强烈的风险意识和积极的服务理念,要具备广博的知识和多元化的技能,要具备良好的人际沟通能力和协调能力,努力调动企业内部有关人员共同分析和解决问题的积极性,充分挖掘“参与式”审计的潜力。企业治理层和最高管理层必须调整内部审计人力资源政策,制订优惠的薪酬与激励政策,吸引既精通财务又熟悉管理的复合型人才,激励那些在风险管理中做出突出贡献的内审机构和人员;要选拔素质较好的审计人员到企业内部相关岗位上实践锻炼,提高管理能力;要加强职业培训和后续教育,不断提高审计人员的专业能力。
(四)充分发挥内审协会的监督和引导作用
各级内审协会要切实履行对本区域内部审计工作的指导、监督职责。大力开展内部审计参与风险管理相关课题的理论研究,学者与企业的专家要紧密合作,在实证研究上下工夫,力求在典型经验总结与推广上出成果。借鉴国外的有益经验,在实证研究成果的基础上,尽快制订并不断完善以风险管理审计为主题的具体业务审计标准和操作规程,并在基本准则中强调关注组织战略与风险,实施风险导向审计。有计划地实施风险管理审计培训工作,传播最新的内部审计理念及方法,展示国内外开展风险管理审计的典型案例及其成效。
作者:余江涛 单位:江苏经贸职业技术学院
