全面风险管理审计范文

时间:2023-09-12 17:19:35

导语:如何才能写好一篇全面风险管理审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

全面风险管理审计

篇1

关键词:全面风险管理;管理框架;风险管理审计

中图分类号:C93

文献标志码:A

文章编号:1000-8772(2012)11-0091-02

所谓风险管理审计就是指企业内部审计部门采用一种系统化、规范化的方法作为指引或导向,对企业风险管理进行评价,为企业风险管理提供咨询,对企业风险管理提供合理保证的活动。其目的是控制和减少企业风险,提高企业风险管理效率,帮助企业实现风险管理目标,促进企业增值。风险管理审计是全面风险管理体系的重要组成部分,属于风险管理要素中的监控要素,主要负责对风险的持续监控、单独评价和报告缺陷等,是现代审计一项重要的审计内容和具体职能。企业风险管理框架的建立和完善,为开展风险管理审计提供了一个良好的审计环境。在全面风险管理模式下,风险管理主要责任应由管理层承担,内部审计不是风险管理的设计者和实施者,而是风险管理的确认者,是对风险管理的再管理。笔者拟从自己多年从事企业风险管理审计工作的实际出发,就风险管理审计不可忽视的基本工作谈几点看法。在全面风险管理框架下,要使企业的风险管理审计工作落到实处就必须重视从以下几个方面进行努力。

一、必须明确职能定位,切实强化内部审计的独立性

独立性是审计工作的灵魂,是内部审计职业道德规范的基本要素,独立性与风险管理审计的质量密切相关,内部审计不能直接参与风险管理流程和风险战略决策,应避免直接负责风险管理,承担管理责任。风险管理主要责任应由管理层承担,而不是内部审计。内部审计在风险管理中的职责应在内部审计章程中明确,要保证内部审计在风险管理过程中的职能定位不影响其独立性。

内部审计在企业风险管理中的职能定位不是一成不变的,而是一个逐步变化和延续发展的过程。在企业风险管理框架、程序尚未建立和建立的初期,内部审计主要充当咨询者的身份,向管理层提出构建企业风险管理框架的建议。在企业风险管理框架、程序日趋成熟后,风险管理审计以确认职能为主,对风险管理过程加以评估、监督,辅之以咨询职能,对风险管理过程中出现的问题提供适当的建议和支持。另外,可以借鉴莫茨和夏拉夫的观点,将内部审计部门按照职能划分成两个部分,分别提供确认和咨询服务,两个部分的人员互不交叉重复,使确认和咨询两大业务相互分离,这样有利于保持实质上的独立,使其在发表意见时专业判断不受影响。

二、切实做好风险审计计划编制工作,从源头上控制风险

企业的风险因子很多,风险管理审计、识别和评价关键风险才是恰当的审计策略。审计应从实际出发,遵循务求实效原则,在条件和资源具备时,以重大潜在风险为重点,积极开展全面风险管理审计。也可量力而行,选择投资收购、兼并重组、财务报告、衍生产品交易、法律事务、安全生产、产品营销、财产物资采购、应收账款管理、货币性资产管理等一项或多项业务开展风险管理审计,积累经验,逐步扩大审计范围和内容。无论企业风险管理审计从一个企业的总体来检查评价,还是从一个单独的部门或多个部门的角度来检查评价,所有的风险管理要素都应作为基准包含在内,所有的要素都要得到执行。要利用系统思维的方法去检查评价风险管理问题,将审计检查评价的对象看作由许多相互联系、相互作用的要素组成的具有特定功能的有机整体,不仅要研究分析各要素,而且要分析研究各要素之间的相互联系,更要从系统整体的角度出发,审查评价各种组合风险与衍生风险。

要转变观念,充分认识制订风险审计计划的必要性和重要性,不能走过场和应付。编制风险审计项目计划,既是上市公司内控建设的要求,也是国资委《中央企业全面风险管理指引》的要求。审计部门在确定每年审计计划时,要先对企业风险管理现状进行详细分析,充分考虑企业风险和战略规划,对风险科学地评估和优先排序,确定风险高的领域作为优先安排项目,再根据风险重要性分配审计人员与时间。这有利于提高审计工作效率,合理运用审计资源。在确定具体审计项目时,可将风险管理审计纳入传统审计项目(比如单位负责人经济责任审计)之中,也可开展风险管理专项审计,例如单独开展风险管理审计。通过编制以风险为导向的审计项目计划,确定审计重点,使有限的审计资源分配在风险大、影响全局的审计项目上,保证内部审计的有效性,从而从源头上有效控制风险。

三、不断优化审计手段,切实提高内部审计效率

按风险管理框架建立起来的内控体系是一个庞大的系统工程,涉及到公司的生产、经营、建设、企业文化等方面,还涉及到公司的信息系统如ERP系统和MES系统等,内部审计如果还沿用过去的手工操作,不仅测试工作量大,而且也难以适应信息系统上机测试的要求。信息技术的发展为内部审计带来了准确、快速的辅助工具,为了适应风险管理的需要,要依托现有的审计技术,逐步向联网审计和远程审计方向发展,向事前、事中审计延伸。伴随着各种信息系统的全面实施,内部审计人员的工作环境渐趋网络化和智能化,内审人员要尽可能充分利用全新的网络化审计方法,实施远程审计和实时监督,通过审计信息化手段,协助管理层发现风险,控制风险,提高审计效率和质量。

四、开展风险管理审计需要注意的几个环节

1.学会运用外部专家服务

在开展风险管理审计过程中,当涉及到审计人员较为生疏的领域时,可考虑利用外部专家服务,即聘请在某一领域中具有专门技能、知识和经验的个人或单位提供专业服务,并在审计活动中利用其工作结果。审计部门在利用外部专家服务结果作为审计证据时,应当评价其充分性、相关性及可靠性,并应当对利用外部专家服务结果所形成的审计结论负责。

2.处理好风险管理审计与日常审计业务的关系

开展风险管理审计不应与企业常规审计业务产生冲突。审计部门如能将风险管理审计融人常规审计之中,则会相得益彰。比如在开展单位(部门)负责人离任审计时,可将其在任职期间管理风险状况作为重要评价内容,更有利于评价的全面客观。

3.积极探索风险管理框架下环境审计、安全审计工作的有效途径

开展环境审计和安全审计的主要目的,就是贯彻科学发发展观,使企业和谐、健康、有序的发展,而不是破坏性的、无序地开采。内部审计不仅要协助管理层发现经济环境存在的缺陷,更重要的是协助管理层发现组织环境、生态环境、道德环境、安全等方面存在的薄弱环节,评价公司环境和安全方面的得失,为公司战略目标的实现和价值增值服务。也只有这样,才能得到管理层的重视、才能发挥内部审计价值增值的作用,才能使内部审计更加充满活力。

4.建立完备的风险信息数据库

收集风险信息数据是风险管理审计中的必然选择,因此必须建立完备的风险信息数据库。风险信息数据库应是一套多维度、多层次的风险列表,是内部单位各层面、各类别风险信息的集中存储中心,是对内部各单位开展具体风险分析,应对和监控工作的数据库平台,是进行风险管理评审工作的基石。除包括经济数据资料外,还包括对风险的统一定义、与风险有关的数据、风险事件、风险分解结构模型、风险与部门匹配模型、风险与工作任务匹配模型等。审计工作中可利用这些风险数据库资料,为审计人员预测和发现风险提供导引和帮助。

参考文献:

[1] 杨学东.风险管理审计中应注意的关键问题[J].中国内部审

计,2006,(1).

[2] 孟焰,潘秀丽.企业风险管理审计研究[J].审计研究,2006,(3).

[3] 林朝颖.风险管理审计现存问题与对策探讨[J].内蒙古农业大

篇2

【关键词】 内部审计;企业风险管理(ERM);保证;咨询

自美国 COSO 委员会于2004 年4月颁布《企业风险管理框架》(Enterprise Risk Management Framework,以下简称ERM框架)后,理论界对ERM的研究风起云涌,监管机构对于ERM的规范不断推出,实务界对ERM的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的ERM,90%的组织正在建立或者想建立ERM (James Roth,2006);《财富》世界500强企业截至2004年底有近40%实施了ERM,30%部分实施了ERM;我国2006年针对部分先进企业和ERM探索者的一项调查显示,7.89%的企业建立并实施了ERM,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,ERM受到了越来越多的重视,如何促使企业尽快建立ERM,保证企业顺利实施和完善已经建立的ERM,成为当务之急。

ERM的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着ERM的实施成效。内部审计作为组织治理结构四大支柱之一,在ERM建立和实施中发挥着重要作用。IIA(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在ERM中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发ERM框架;促进ERM的建立;经董事会批准制定ERM战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(Russell A.Jackson,2005)。

上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ERM脱节,或者重视ERM单一环节而忽视整体。为此,应设计一种能够将内部审计与ERM实现对接的方式,使内部审计能够在ERM循环中实现跟踪式全程审计,实现内部审计对于ERM的全程监督,为持续审计奠定基础,该种模式称为“ERM基础审计”。

ERM基础审计模式以COSO委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在ERM中能够开展的活动,将两者进行有机结合,形成了如图1所示的ERM基础审计模式(George Matyjewicz等,2004)。

图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调险管理过程和结果八个环节,形成了ERM的一个运行系统。在此基础上,由管理层提供对ERM过程的首要保证,进而由内部审计实施对ERM的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对ERM承担最终责任,形成了ERM的一个保障系统。该模式将ERM与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在ERM中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对ERM的全程审计。

1.建立和沟通目标。CEO负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。

2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。

3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。

董事会和高级管理层负责建立和管理ERM框架。审计人员不能参与设计ERM框架,但是需要依赖他们的判断,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。

4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。

5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。

6.选择实施风险反应。选择实施风险反应即在风险评估优先级排序的基础上,根据风险性质和风险偏好制定相应的防范措施,可采取的措施一般包括回避、接受、降低和分担。内部审计应该对风险应对措施的选择和执行提供保证,包括:审查采取的风险应对措施是否适合本组织的经营、管理特点;审查采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;审查风险应对措施的成本效益衡量是否合理。对于风险缺乏充分控制措施的情况,内部审计应提出改进措施和建议,协助完善风险反应方案。

7.建立控制。控制活动是使所选择的风险反应活动得到适当决定和实施的政策、程序、过程和监督机制等系列活动的总称。一旦选择了特定的风险反应方案,管理层需要据以实施相应的控制和其他风险反应活动,包括批准、授权、资产安全、职务分离、调整等。审计人员应获取对控制设计的全面理解(包括理解目标、潜在风险和控制活动之间的关系),审查其与组织风险政策的一致性;审查其对组织战略、经营、报告和遵循性目标的支持程度;审查其化解风险的有效性;审查其按设计功能运行的持续性。

8.风险信息沟通。风险信息沟通是指以一致的方式在整个组织中所有层次之间对风险信息进行可靠、及时、完整的传递和反馈,以实现对风险的识别、分析和反应。并非所有的风险都能够被避免,但早期的披露能够为采取适当的行动提供时间。内部审计的核心职能是向董事会、管理层、股东提供风险得到及时削减的保证。为此,内部审计需要审查风险信息的准确性;审查关键风险报告的及时性、相关性和完整性;审查风险信息在整个组织不同层次中传递的有效性;审查风险信息支持系统的安全性等。

9.监督和调整。组织需要对风险管理进行持续监控和不断调整,以保证风险管理过程的持续有效性。可以采用的监控和调整方式包括控制自我评估、定期检查和数据分析,各种方式或者融合在持续的管理活动中,或者采取个别评价的方式,或者通过两者的结合来完成。管理层执行对风险管理过程的监督和调整。内部审计通过调查问卷、控制自我评估、行动跟踪等方式,获取管理层实施监督的相关证明,审查管理层监督执行的一致性、持续性和有效性以及实施调整的适时性和必要性。

10.管理层保证。根据组织结构形式、资源保障程度、政府监管要求和风险管理的特点,风险管理的保证可以来自于不同方面,包括董事会、管理层、操作人员、内部审计、外部审计和独立专家等。其中,董事会对保证风险管理承担全部责任,但董事会往往将风险管理的责任委托给管理层,该种委托关系决定了管理层对风险管理承担直接、首要的责任,他们向董事会提供的风险保证居于首位。管理层必须向董事会保证,他们对于存在的风险和运行的控制实施了检查,所采取的措施能够足以降低那些阻碍公司目标实现的风险,其风险管理过程的运行是有效的。内部审计针对上述各个业务环节的审查结果可以对管理层保证情况做出基本判断,同时,还可以根据对管理层诚实性、业绩、胜任能力、素质和文化等方面的综合评价来制定相应的审计战略,对管理层的风险保证活动提供再保证。

11.内部审计保证和咨询。内部审计的保证和咨询具体体现在ERM各个运行程序中,如上所述。其中,内部审计在ERM中的核心作用是向董事会提供客观保证:保证风险管理过程和内部控制框架的设计和运行有效,保证关键风险的管理(包括控制和其他风险反应)有效,保证风险信息的分类和报告可靠、适当。

内部审计就ERM提供咨询的程度依赖于组织风险管理的成熟度。在组织尚未建立风险管理体系的情况下,内部审计就执行审计项目时发现的风险问题提请管理层和董事会注意,提出建立风险管理过程的相关建议;如果董事会提出要求,内部审计人员可以协助管理层完成组织风险管理的初步建立工作,甚至可以在董事会允许的情况下制定风险管理战略,指导风险识别和评估,协调实施风险管理措施,此时,内部审计直接参与了风险管理过程;在组织风险管理体系建立后,内部审计可以就管理层的风险决策提供建议、质疑或支持;随着组织风险管理体系的逐步成熟,内部审计可以接受委托提供专项的风险管理咨询服务,或者在提供保证服务的同时提供风险管理建议书,此时,内部审计咨询作用将逐步降低,更多地集中于其保证作用。

总之,内部审计在ERM中的功能不是独立运行、单独设置的,它融合在ERM过程中,与ERM的各个业务环节紧密结合,成为一个完整的统一体。如此,事前防范、事中监控性跟踪式内部审计的功效才能够得到充分发挥,内部审计价值增值的目标才能够得到切实体现。

【参考文献】

[1] James Roth. An Enterprise Risk Catalyst.Internal Auditor, Feb.2006,81-84.

[2] Russell A.Jackson.Role Play.Internal Auditor, April 2005,44-50.

[3] George Matyjewicz, James R D'Arcangelo. ERM-Based Auditing. Internal Auditing. Boston: Nov/Dec 2004.Vol.19, Iss. 6;4-13.

[4] Sean De Larosa. DCOM, CIA, CISA, CCSA. Moving Forword with ERM. Internal Auditor, June 2007, 50-54.

篇3

在分析风险管理审计准则出台的背景、内容及现阶段开展风险管理审计存在的制约因素基础上,提出了有效开展风险管理审计的一点建议。

关键词:

风险管理;内部审计;风险管理审计

中图分类号:F239文献标识码:A文章编号:16723198(2009)22018102

1 我国风险管理审计准则出台的背景

如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003 年的调查, 80%以上的世界性金融机构已设立了风险管理师(CRO) 工作职位, CRO 职位比例居首位的为南美洲金融机构, 已达95%, 居末位的为亚洲金融机构, 仅为29%。在目前欧美的部分金融机构中CRO 的职位职能仍然由企业的风险管理委员会行使。普华永道2004 年对全球1 400 位CEO 进行了调查,其中70%的CEO 将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO 认为, 企业已经建立了行之有效的企业整体化风险管理体系, 另有46%的CEO表示将在1- 3 年内建立与发展企业整体化风险管理体系。

为了适应企业界的这种变化,更好地实现组织价值的增值。国际内部审计师协会(IIA)1999年6月对内部审计进行第五次定义。修订后的定义扩大了内部审计的范围,将它的工作目标延伸到包括风险管理、控制与治理程序,强调了内部审计对组织的重要贡献,标志着内部审计开始进入了风险管理审计阶段。风险管理审计反映了内部审计动态发展的基本趋势和变革倾向。

相比之下,我国企业的风险管理水平还处在初级阶段, 虽然近年来取得了长足的进步, 但就总体而言, 与飞速发展的客观经济形势仍不相适应, 呈滞后状态。近年来国内外上市公司出现的诚信危机, 有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。2006年6月国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该指引的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号风险管理审计》(下称:风险管理审计准则),该准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

2 我国风险管理审计准则的内容及局限性

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

首先,可以看出该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万(10×50万=500万)。但是中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云波诡秘,而是在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

其次,对风险管理审计的认识依赖于企业进行风险管理实践时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,下称COSO委员会)在2004年9月提出的《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《ERM整合框架》)。这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。国内中央企业在进行风险管理则是在《指引》的指导下并结合自身的实际情况开展的。《指引》对企业风险管理的目标、流程描述,与《ERM整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段.分别对应着《整合框架》中的企业风险管理8大基本要素。所以风险管理审计准则中的风险管理概念要采纳《ERM整合框架》中广义的风险管理观点而非其1992年的《内部控制整体框架》中狭义的观点。

3 运用风险管理审计准则存在的制约因素

3.1 有关风险管理审计的法规及准则尚不完善

风险管理审计是从西方国家引入我国的,相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中,关于风险管理审计最主要的法规是2005年5月开始实施的风险管理审计准则,只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。

3.2 企业管理观念落后,风险意识不足

随着企业外部经营环境的复杂化,领导层风险意识大大增强,认识到进行风险管理的重要性并着手建立自身的风险管理体系,但水平较低;同时尚未意识到内部审计机构开展风险管理审计的重大意义。在这样的风险管理观念里,很难有效进行风险管理,降低和避免风险带来的损失只能成为空谈。

3.3 内部审计在组织中的地位不合理

内部审计在组织中的地位影响其开展风险管理审计的效果。目前由于内审部门组织地位不合理,风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下,与其他职能部门同一级别。但企业总经理和以上的高层的职权高于内部审计部门,与内部审计部门的权力相抵触,这样在开展风险管理审计过程中,一旦高层发生舞弊或者重大决策失误就不易发现和解决,这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性,还存在着重大的审计风险,无法保证风险管理审计的质量,最终可能导致企业陷入危机。

3.4 内审人员知识结构单一、缺乏综合知识

风险管理工作的复杂性决定了内部审计人员知识的全面性,决定了内部审计人员必须具备复合型人才的素质,不仅要具备会计、审计专业知识,还要熟悉企业经营环境和生产经营过程,具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中,会计、审计专业占绝对统治地位,而其他专业的工作人员在内部审计人员结构中所占的比例相对较小。知识结构单一不能适应风险管理审计对知识综合性的需求,风险管理审计难以开展。

4 有效开展风险管理审计的对策与建议

基于以上分析笔者认为,要实现有效的风险管理审计,要做到如下几点:

4.1 丰富与完善风险管理审计准则的内容

对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会2004年的《ERM整合框架》中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

4.2 加速推进国内企业的风险管理实践

企业风险管理理论和《指引》都是针对企业所面临的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式,在企业风险管理理论本土化的过程中应找到符合国内企业实际的切入点。每一个企业都有其特殊的行业特点,既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等。这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骜远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。

4.3 全面提高审计人员素质

首先,要改变审计人员专业结构的不合理,培养高水平复合型的人才。其次,要加强培训,强化审计人员的逻辑思维和综合分析能力,提高审计人员运用数理统计模型、金融工程等先进方法进行风险管理分析的能力。

参考文献

[1]李瑛,李阳.新环境下的企业风险管理与风险导向内部审计[J].会计之友,2008(3):7071.

篇4

关键词:企业 风险管理 审计 问题 措施

近年来,受经济全球化的影响企业生存发展所面临的市场竞争环境日益激烈,对于企业的经营管理水平也提出了更高的要求。不少企业已经充分认识到内部审计工作对于规范企业经营管理的重要作用,并逐渐强化内部审计工作以规避企业经营风险,提高企业经济效益。内部风险管理审计,主要是指企业在内部审计工作开展过程中,将风险控制管理作为内部审计工作的重点,通过以风险管理作为导向对企业的风险管理工作状况进行评价与反应,进而强化对于企业经营管理的监督,降低企业经营风险的发生,实现企业经济效益与社会效益的最大化。

一、我国企业内部风险管理审计制约问题分析

(一)针对企业的内部风险管理审计缺乏相应的制度管理

虽然大部分企业针对企业的内部审计工作制定了一系列的内部审计工作制度,但是以风险管理为导向型的内部审计工作制度尚不完善,导致内部审计工作在开展过程中,不能明确内部风险管理审计工作的重点,造成内部风险管理审计工作开展缺乏相应的指导。

(二)对于企业内部风险管理审计工作的重视程度不足

当前虽然大部分企业已经充分认识到了内部审计工作的重要性,而且制定了一系列的措施确保内部审计工作的顺利开展。但是在内部审计工作上主要是侧重于对内部财务数据的真实合法性以及企业经营活动进行的审计监督,而对于以防范控制风险为目的的内部审计工作开展不力,导致企业风险管理审计工作开展不利。

(三)企业内部风险管理审计水平较低

企业内部风险管理审计工作的实质便是对企业风险控制管理工作的再监督,因而管理工作开展的整体要求较高。但是部分企业的内部风险管理审计水平较低,对于风险控制管理体系的分析能力较差,而且在内部风险管理审计工作的开展上也没有充分借助计算机辅助审计等信息化手段,因而导致内部风险管理审计水平较低。

二、强化企业内部风险管理审计策略分析

(一)准确认识内部风险管理审计的作用,完善内部风险管理审计体系的建设

首先企业管理部门应该充分认识到内部风险管理审计对于企业经营发展的重要作用,积极构建企业内部风险管理审计体系建设。企业管理部门尤其是高层管理者应该给予内部审计部门一定的权限,使其能够独立的开展内部风险管理审计工作,重点针对内部控制以及风险控制的有效性进行审计管理。其次,在企业内部风险管理审计目标的制定上,应该结合企业的战略发展规划目标,重点针对企业的经营风险、经营计划、财务预算、资金利用效率等方面,来制定企业内部风险管理审计目标,通过目标考核的方式开展内部审计工作。在内部风险管理审计范围上,应该注重将审计范围逐步的从财务活动拓展到企业经营活动的全过程,包含企业的生产经营、发展规划制定、投资决策管理等内容,进而提高对于风险管理审计的力度,降低企业管理风险问题的发生。

(二)优化企业内部风险管理审计基础环境的建设

首先,企业应该完善自身治理结构的设置,通过单独成立内部审计部门或者设置内部审计委员会开展内部审计工作,对内部审计管理部门实行直接管理的方式。其次,应该结合国家财政部制定的《内部控制基本规范》等技术文件的要求,并结合企业风险控制管理的基本需要,制定相应的内部风险管理审计规章制度,重点针对内部风险管理审计的工作开展形式、审计范围、审计内容、审计程序以及审计报告的内容进行细化规定,通过内部风险管理制度指导企业以风险管理作为重点来开展内部审计工作。

(三)明确企业内部风险管理审计的主要内容

开展企业内部风险管理审计,必须明确企业内部风险管理审计的内容,企业内部风险管理审计主要包括以下几方面:对于企业的内部以及外部市场风险环境进行评估分析;对企业的风险管理制度是否全面以及是否切合实际进行审计;对企业的风险管理体系是否有效运转进行审计;对企业的风险识别、风险分析、风险管理策略以及风险控制效果进行审计。通过明确企业内部风险管理审计内容,确保企业内部风险管理审计工作的顺利开展。

(四)提高企业内部风险管理审计工作水平

为了提高企业内部风险管理审计水平,企业应该采取信息化的手段来开展风险审计管理工作。首先,企业应该在内部建立审计信息平台,重点针对企业经营管理阶段的风险影响因素进行收集,在获取大量的风险信息之后,通过设置风险权重,明确企业风险管理审计工作的重点内容以及重点评价指标。其次,应该针对企业的内部风险管理审计系统分别在战略发展风险、市场经营风险、财务管理风险、运营风险以及法律风险等几方面分别制定相应的风险识别、分析以及控制措施。第三,按照审计对象开展风险管理工作的审计评估,并对各种风险发生频率以及风险度较高的问题进行预警,以切实提高企业的风险控制管理水平。

三、结束语

当前我国企业的内部风险管理审计正处于不断完善的过程中,内部风险管理审计仍然存在较多的问题需要不断完善。因此,为了提高企业对于经营风险的控制管理,必须完善企业的内部风险管理审计水平,通过牢固树立风险管理审计理念,提高审计工作人员能力水平,改善审计工作流程及方法等措施,强化内部风险管理审计工作开展力度,为企业经营管理规避风险以及实现企业的战略发展规划提供良好的基础。

参考文献:

篇5

(一)转变观念,足够重视风险管理审计关键在于决策者能够提前评定风险,进行有效的评估与判断,提早规避风险。企业对风险管理的认识是在经历了无数教训之后得来的,但教训终究是惨痛的代价,所以烟草企业应当转变观念,引起足够的重视,才能避免付出沉重的代价。为此,烟草企业应当加强风险意识,尤其是审计部门,强化风险管理意识,并形成一种良好的氛围,在进行高效的风险管理审计的同时提高企业工作管理的有序性。

(二)转变理念,构建保障机制烟草企业审计部门采用风险管理审计的方式,理应转变审计观念,确定审计的重点。烟草企业所面临的风险并无定论,也无法完全确定,因此便需要进行评估工作。烟草企业内审部门进行评估时,应当有一套完善的标准,使得风险管理井然有序。为此,根据自身发展需要,针对企业内部发展中出现的问题,烟草企业应当逐步构建一种保障机制,循序渐进,完善风险管理审计。首先,要有一个健全的风险管理体系;然后,配合恰当的风险管理规章制度;最后,开展风险管理审计的组织体系。如此形成良性循环,帮助审计人员进行高效的工作,促进企业在风险管理方面的良好运行,为企业的决策提供切实的依据。

(三)培养高素质人才如今,“人才强国”已经成为一大口号,经济要发展也要依靠人力来维持。烟草企业的发展更是如此。所谓风险,关键在于一个“变”字。倘若风险审计部门的工作人员不能把握风险变换,及时发现风险,这些风险管理的审计安排也就成了徒劳一场。所以,企业应当不遗余力地加强人才建设,努力挖掘人才、培养人才,为风险管理提供人力保障。风险管理审计部门的工作人员应当尤其具有风险意识,无论是在人才选拔或是人才培养上,企业都应当注意这个问题。其次,烟草企业应当有意识地组织活动,促进审计人员的交流学习。最后但同样重要的是,企业要建立完善的人员结构,配备审计中各个方面的人才,以期互补共进,更好地进行风险管理作业。

(四)统筹兼顾,长远发展风险信息难以捉摸,因此风险管理审计的有效的方法至关重要。面对存在诸多变化的市场,审计人员应当统筹兼顾,全面看待问题,纵观全局,及时捕捉大量相关信息。但是,也要懂得抓住关键,注意细节,找出重要风险,提炼重点问题。风险管理的审计既要关注企业内部发展,认识企业内部风险,又要了解外部市场变化,注意外部风险;既要知道本部门的问题和风险,又要发现各部门之间的联系,清楚潜在的隐患。毫无疑问,烟草企业应当统筹兼顾,以期获得长远持久的发展。

二、结束语

篇6

[关键词]上市公司 风险管理 审计

中图分类号:C93 文献标识码:A 文章编号:1009-914X(2016)29-0087-01

一、引言

上市公司在经济运行过程中要面临各种风险,而这些风险往往将决定着上市公司的成败及发展。从近年来上市公司的发展形势来看,因缺少风险意识,对公司的风险没有实施实质性的管理而导致破产或整顿的事件频繁发生。因此,这些“灾难”的发生促使我国对上市公司风险管理越来越重视。可通过对风险的处理及控制,将上市公司面临的风险降到最后,尽可能用最小的成本防范最大的风险,提高上市公司的经营效益。

二、上市公司风险管理审计的目标

在西方,上市公司的内部审计是随着经济的发展而变化的,内部的管理层次和控制范围在逐渐扩大,基于上市公司内部经济管理及监督的需要产生的,也是随着管理的需要不断发展的。在内部审计不断发展的形势下,内部审计目标也在发生一系列变化。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。我国的内部审计管理需求一般是在政府的要求下,在国家审计部门的推动下建立起来的。伴随我国的经济体制改革,上市公司的内部审计也受到多方重视,并且对内部审计的理解也发生了很大的变化。我国的内部审计基本准则中明确指出:内部审计是组织内部的一种独立客观的监督和评价活动,它是通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。从内部审计的发展可以知道,上市公司的内部审计目标就是要帮助上市公司实现目标。

三、上市公司风险管理审计存在的具体问题

1、管理当局没有认识到风险管理的重要性

很多上市公司的管理层只是对财务风险比较重视,却没能重视起内部控制风险、组织架构风险、信息风险等。而我国的上市公司还存在着管理者缺位的现象,这样就会导致公司在内部控制体系和治理结构上无法发挥出作用,从而加大了内部控制风险、组织架构风险、信息风险。不仅如此,内部审计部门在风险管理中没有发挥自身的作用,一方面上市公司的组织框架中所赋予审计部的职权并不充分,尽管我国已经开展审计工作20多年,但是审计部门对于公司风险并不能客观、公正的评价。上市公司管理层的风险管理思想不成熟,也缺少科学的风险管理策略,这些问题都影响了我国上市公司的长远发展。

2、缺乏一个适合本公司的风险管理体制

从当前形势看,我国风险管理审计工作仍处于初级阶段,只有国有企业和上市公司能够采取一些风险管理措施。与国外相比,我国风险管理实行的较晚,也没有国外的风险管理思想成熟。为此,就要建立一个适合本公司的风险管理体制,注意日常业务规划和管理,并与公司的战略愿景紧密联系起来。

3、审计人员的管理意识和职业水平差

风险管理审计是一项复杂的工作,因此就要求审计人员要有全面的知识,并且能够熟练的将审计标准和程序应用于特定审计工作。有很多上市公司的审计人员在风险审计时仍然停留在表面,只是单纯的指出了公司已存在的缺陷和不规范的操作控制流程。但是,对那些与公司战略目标得以实现相关的风险却没有进行分析、预测和评价,对其没有全面的认识,这种现象就说明风险管理理念缺乏前瞻性,同时也阻K了风险管理审计工作的顺利开展。

4、风险管理审计工作职责不明确

有一些上市公司要求审计部门负责风险管理体系的建立、风险评价,还有风险隐患的查找,进而提出改进建议。对于上述的这一职责权限,不仅使内部审计部门的独立性和客观性被削弱了,也在一定程度上给风险管理审计工作的效果带来了不利影响。此外,因大部分上市公司都由总经理负责审计工作,也就意味着在没有独立的审计准则委员会的情况下,要直接和董事会对话对于内部审计部门来说是十分困难的,如果内部审计部门所提出的风险管理建议没能被采纳,那么就无法有效执行风险管理措施,从而将给上市公司带来极大的风险。在经济全球化速度不断加快的情况下,上市公司之间的竞争在日益激烈,无处不存在着风险,因此对风险的管理就尤为重要。岗位的职责分离不明确,这给上市公司风险管理带来不利影响。

四、上市公司风险管理审计的对策

1、管理当局要承担起全面风险管理的责任

我国上市公司的风险管理审计活动及其责任主要体现在以下方面:战略目标由董事会来制定,而公司的全面风险管理则由高管来负责,其余的风险由执行管理层负责管理,公司的内部审计部门要定期对公司进行内控评价,进而提出有针对性的审计意见,以此来协同其他部门进行公司风险管理。所以,上市公司管理层在公司的风险管理活动中要承担起全部的风险管理责任。总之,上市公司的管理必须要树立起全面风险管理的理念,以推动上市公司的长远发展。

2、公司董事会就全面风险管理工作的有效性对股东大会负责

为了对现有风险管理资源进行整合,需要在董事会下设风险管理委员会。总经理向董事会负责,确保全面风险管理工作的有效性。总经理所委托的高级管理人员对风险管理的日常工作全面负责主持,成立风险管理部门,主要组织风险管理工作。在风险管理审计方面,内部审计部门主要负责的是全面风险管理监督评价体系的提出,同时制定监督评价相关制度,最后出具监督评价审计报告。

3、审计人员要提高职业水平和职业道德

首先,审计人员要适应上市公司内部随时可能出现的新情况和问题就必须要提高职业水平。此外,还要扮演好多个角色,如:增值服务的贡献者、执行情况的监督者、优秀文化的倡导者等,推动上市公司形成有效的风险管理体系;其次,上市公司的内部审计人员必须有良好的职业道德,在上市公司的风险管理中,内部审计的评价及其监督作用已经成为了公司风险管理控制的一道重要防线。所以,上市公司的内部审计人员要树立起正直的品德;第三,科技在不断进步发展,上市公司的环境也随之不断变化,审计人员要应对这一新趋势就应该掌握更多的理论知识和技能。要学好会计、信息技术、税法、金融等多方面的知识,并具备良好的沟通技能和表达能力,由此形成审计结论,表达审计目的。除此之外,也要注意到风险是普遍存在,在上市公司的竞争中,风险的时效性及偶发性都给风险管理工作的开展增加了难度。

4、做好上市公司的招聘工作

上市公司要公开招聘风险管理师,也可以聘请具有较强的风险管理能力的中介机构全面评价公司风险管理,在此基础上给出风险管理评估及建议的专项报告,对风险管理人员做系统的培训,并开辟风险管理沟通的专门渠道。

参考文献

篇7

关键词:内部审计;风险管理;风险管理审计

一、内部审计与风险管理审计的关系

企业风险管理是一项复杂的系统工程,在这个系统中,一般由董事会负责制定风险管理的战略目标,由高级管理层负责风险管理目标的综合控制实施,由各职能部门负责专项风险业务的控制管理,由所属子、分公司组织落实风险管理的具体措施。内部审计部门在企业风险管理中,对企业风险管理的充分性和有效性进行检查、评价和报告,并提出改进意见。

内部审计是一种独立客观的保证与咨询活动,它的目的是为了增加机构的价值并提高机构的运作效率。《中央企业内部审计管理暂行办法》第三章内部审计机构主要职责中规定:“内部审计机构应当对本企业及其子企业的物资采购、产品销售、工程招标、对外投资及风险控制等经济活动和重要的经济合同等进行审计监督”;“对本企业及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈,对企业有关业务的经营风险进行评估和意见反馈”。

二、我国企业风险管理审计中存在的问题

(一)风险管理评估体系不完善

目前,我国企业风险管理审计尚处于起步阶段,风险管理评估体系还没有建立完善。大部分企业在实际工作中,一部分是以国家或行业的相关规定作为自身评估的标准;一部分是以企业自身的历史理想水平作为标准;一部分是以企业自身对风险的认识作为标准。然而,这样的评估标准比较容易造成风险管理评估标准与实际不相符合,从而会影响风险管理审计发挥其作用。

(二)内部审计机构和审计人员素质缺陷

内部审计机构的独立性是保障内部审计独立性的基础。根据IIA的观点,内部审计机构的独立性是保证内部审计人员客观性的基础,是内部审计内容、范围、方法、技术以及报告不受干涉的前提。目前,我国内部审计机构的设置缺乏独立性,容易受到上级领导的制约,导致内部审计人员不能独立的、有效的完成内部审计工作。

此外,企业大多数内部审人员对企业的审计工作的认识只是停留在一些不符合内部审计规范的层面上,对企业可能面对的潜在风险因素认识不够,没有进行有效的事先预测、分析、和评价,未向公司提出任何的防范措施。在实际工作,很多内部审计部门仅仅就企业现在面临的风险进行分析、评价并提出防范措施。很多企业将保险作为其控制风险的主要手段,但保险项目少,企业投保的积极性不高,保险防灾防损的作用没有充分发挥。由于内部审计员的风险管理意识不强,将不利于风险管理审计工作的有序、有效的开展,因而企业可能不能够及时进行风险防范,造成企业的损失。

(三)风险管理范围不明确

在企业风险管理审计的范围上,审计人员侧重于企业经营管理风险的识别、估算和控制力面的审计,而对企业制度风险、法律风险、决策风险等其他风险的评估、测试等力面的审视程度不够、由于企业自身改革的不断深化,企业的风险管理不可能只停留在分别对某一种风险进行管理的阶段上,企业只有全面的、综合的考虑可能发生的各种风险因索,才能有效的预防、管理和控制风险。同样的,企业风险管理审计也不能停留在部门风险管理审计的阶段上,而要向全面的、整体的风险管理审计发展,只有这样企业才能不断发现和化解风险,减少不应有的损失。

三、加强我国企业风险管理审计的战略措施

(一)建立适合企业的风险管理制度和机制

应该结合我国国情和企业实际,建立完善企业风险管理审计制度,确保风险管理审计健康发展应根据规模大小、管理水平、风险程度以及生产经营性质等方面的特点,建立一个包括风险管理负责人、一般专业管理人、非专业管理人和外部风险管理服务等规范化风险管理的组织体系根据风险产生的原因和阶段,并通过健全的制度来明确相互之间的责权利关系,使企业的风险管理成为一个有机整体建立风险预警系统,对风险进行科学的预测分析,结合实际情况制定具体的内控制度,事先控制可能出现的风险,通过对内部控制制度的健全性和符合性测试,不断修汀和完善内部控制制度。

(二)完善风险管理评估体系

在建立我国风险管理体制方面,我们可以借鉴COSO新框架的管理理念,即企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。在我国企业发展的现状下,我们必须尽快转换长期以来固化的观念和思维定式,努力构建体现全面风险管理的内部控制新机制。完善风险管理评估体系主要包括以下几方面:

1.完善风险评价标准的评析。由于风险管理对象的差异,企业应根据实际情况分别建立内部控制风险评价标准、财务风险评价标准等。而风险评价标准要能够对企业业务特征高度概括、对风险要点鲜明清晰、对环境的具体变化具有弹性反映等。

2.完善对风险识别、分析、评价的审核。内部审计人员要依据企业经营战略的筹划和部署,通过对有关单位和部门风险的识别、分析、评价的设计进行检查、评估并提出建议。

3.完善对风险管理措施、方法的评价。在风险管理方针和策略的指导下,风险管理措施有规避、控制与抑制、保留、转移、利用五种,每种措施的使用是有条件的,否则将认为措施不当。

(三)提高内部审计人员的整体素质

企业风险来自各方面,而且不是孤立存在的,这就对审计人员提出了更高的素质要求。

1、内部审计人员要掌握一定的信息技术。内部审计人员面对企业普遍使用的信息技术和日趋复杂的业务环境,要想参与风险管理,提高审计服务的效率和质量,传统的审计技术已经落后。审计处理手段由手工操作发展到信息化审计,更新审计技术成为当务之急。

2、内部审计人员应有创造性的思维模式。风险管理就是人们对不确定因素的认识程度,是对风险管理人员的思维模式的测试和挑战。内部审计人员要成为风险管理的专家,就应有创造性的思维模式。内部审计人员应坚守持续调整、持续改善的理念,以确保内部审计的任务与战略重点、技术与核心程序同利益相关者的期望及风险管理和内部控制的优先性同步成长。

3、内部审计人员要具有良好的交流技巧。早期的内部审计人员根据管理当局查错防弊的意图,以“猎人”的眼光强制而神秘地执行审计程序,详细地检查账目和交易事项,最后将所发现的问题全部向上报告。但随着内部审计范围的拓宽,这种传统的观念就不再合适了。这是因为内部审计要有效地参与风险管理,提供建设性的意见,就要深入调查内部控制和经营管理的现状,找出薄弱环节和经营不善之处,并寻求改进的措施,而这就需要取得被审计部门的理解、参与和合作。

此外,健全内部审计职业化规范、完善内部审计专业化组织、促进内部审计人员专业化等,这些都是非常重要的配套措施。(作者单位:山西财经大学)

参考文献

[1]张玉.后安然时代国际内部审计发展趋势综述[J].审计研究,2005(5).

[2]郭伟昌,刘金凤.企业风险审计模型研究与应用[J].审计研究,2008(6).

[3]尹珍丽,郑建昆.浅议企业风险管理审计[J].中国内部审计协会主编:现代企业风险管理论文汇编,2005:26-28.

篇8

风险管理审计

随着企业失败案例的增多,企业风险逐步得到了重视,特别是财务风险管理,很多企业都设置了风险管理职能部门,逐渐启动企业风险管理机制。但大多作企业的风险管理部门只是内部控制或内部审计的组成部分,由内控或内审人员兼执,长远看来,由于缺少专门的责权划分,仅仅依靠内控人员或内审人员来执行,在风险识别、评估和应对等程序方面难以得到有效的监督。因此,要提高企业风险管理的有效性,需要实施风险管理审计。作为风险审计的延伸,企业风险管理审计更注重企业战略层的风险管理与企业目标的实现,以企业风险管理部门的风险管理活动为对象,由内部审计人员具体实施,有利于考核部门业绩,落实责任,实现企业的战略目标,因此,是对企业长远发展的监督审计。

提高企业财务风险管理有效性的建议

企业风险,特别是企业财务风险的存在,会对企业的生存与发展产生不利影响,制约企业长远战略目标的实现。企业应该秉着“防患于未然”态度,积极面对各种财务风险,采取有效的管理手段,降低这些财务风险对企业的冲击,达到通过财务风险管理来应对企业风险的目标。通过提高财务风险识别与防范的意识,建立财务风险预警机制,提高风险管理审计的有效性等措施,提高企业财务风险管理的有效性。

(一)提高财务风险识别与防范的意识

由于财务风险性质与产生作用所需要的时空积累,并非所有的财务风险都会给企业带来致命性的冲击。一些财务风险在萌芽期可能对企业来说是微乎其微,这就会出现认识的误区,从而对这些财务风险采取回避、放任的态度,等意识到财务风险的不利影响时,往往为时已晚。企业应在内部控制、内部审计准则的指引下,进行风险意识教育,在企业投资决策、融资决策、经营决策、分配决策等基本财务过程中,权衡收益与风险的关系,选择最优的决策,提高财务风险防范与识别意识,正确识别和防范企业面临的各种财务风险。

(二)构建有效的财务风险预警机制

财务风险管理处于企业风险管理的核心地位,即使是非财务风险,也会以财务数据的形式有所体现,也就是非财务信息的财务化。建立企业财务风险预警机制,对于企业财务风险管理与非财务风险管理都有着深刻的意义。企业应结合自身情况,以财务管理的内容和重点为依据,选择诸如资产负债率、资产收益率、债务现金保障率、存货周转率、应收现金周转率等基本财务指标,对具体比率赋予合适的权重,建立一整财务预警机制,参考行业标准,结合企业纵向、横向业绩水平,通过具体的财务数据的对比,来衡量财务绩效,进而识别、评估和处理存在的各种财务风险与非财务风险,及时发现并处理风险,最大程度降低企业的风险损失。

(三)实施有效的风险管理审计

篇9

1.风险管理与内部审计的关系

(1)风险管理是内部审计的重要内容IIA对内部审计做了这样的定义,内部审计是一种独立、客观的保证和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评估并改善风险管理,控制和治理过程的效果,帮助组织实现其目标。该定义将内部审计的范围延伸到企业风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必须的。

(2)内部审计是风险管理的监督职能的承担者和执行者审计委员会与内部审计部门是企业风险管理的最后一条防线,是风险管理的监督职能的承担者和执行者。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。

2.公司主要风险及风险管理现状

(1)主要风险通过对数家企业的考察,发现考察的多数企业在经营和发展过程中面临的风险主要表现在:经济萎缩带来的产业重新定位风险;体制、机制落后制约发展;加工企业产品结构不尽合理;投资决策不当,被投资企业经济效益不佳;长短期债务资金结构不合理,资本性投资多用短期信贷资金解决,造成现金流短缺,资金紧张,资金成本加大;进出口和其他对外业务因汇率变动遭受损失;赊销政策不当,导致应收款项无法收回,形成坏账损失;境外投资企业财务监管不到位;安全管理不善。

(2)风险管理现状多数公司非常重视风险管理,当前,公司在风险管理方面还存在如下主要问题:

①风险管理职能分散,尚未形成管理体系。

②风险管理与内部控制缺乏有机结合,未形成突出风险管理的内部控制系统。

③风险管理组织机构不健全,未形成有效的风险约束机制。

二、内部审计在风险管理中的作用

《内部审计实务标准》将内部审计在风险管理中的作用概括为两方面,一是对企业是否建立恰当的风险管理过程以及其充分性和有效等方面起到保证作用;二是以咨询顾问的身份协助企业确定评价并应用处理风险和管理方法和控制措施。笔者结合实际工作,将内部审计在风险管理中的保证作用具体归纳为以下几点。

1.研究提出风险管理监督体系

从监督企业是否已经建立了风险管理体系;已经建立的风险管理体系是否涵盖了决策、经营、生产、财务等主要风险;风险管理体系是否发挥了应有的作用等方面,评价企业风险管理体系的健全性和有效性。目前,很多公司尚未建立起完整的风险管理和监督体系,内部审计主要是立足本职岗位,通过收集大量第一手资料,对发现的风险隐患加以分析整理和评估,提请管理层关注各种风险,为完成风险管理和监督体系做好初始信息管理和风险评估等基础工作。

2.监督评价风险管理相关制度

在具体的实践中,内部审计人员从评价各单位和部门的内部控制制度入手,结合符合性测试等办法,审查相关控制制度设置的合理性以及执行的有效性,识别并防范风险。例如,一家公司下属热电公司的煤炭采购是管理上困扰企业经营者多年的难点问题。内部审计通过实地调查和对各个环节的分析,发现该公司在煤炭采购、检尺、化验、入库、付款等环节中存在一人多职的问题。对此,内部审计提出了建议并帮助建立内部监督制约制度,加大对关键部位的控制,使该企业的管理得到了提升,卸掉了领导身上的包袱。通过对此类问题的监督,内部审计协助完善集团材料采购、招投标废旧物资处理等一系列规章制度,有效解决了人碰人的管理弊端,实现了重点环节的制度化管理。内部审计不光监督和揭示风险,更注重发现和总结被审计单位风险管理的成功经验,并加以推广,发挥典型引路的作用。

三、对内部审计全面参与企业风险管理的建议

随着市场经济的发展,很多公司的组织形式日趋集团化,经营方式走向多元化,组织结构倾向月扁平化和网络化,这些变化客观上使公司面临更多的风险,要求加强对整个公司的监管,如何克服风险管理中存在的弊端,在开展风险管理审计的基础上全面参与风险管理,是内部审计应该积极思考的问题,笔者结合实际工作情况提出如下建议。

1.建立符合经营目标的稳定的风险管理框架

内部审计要指导和协助风险管理部门建立适合的风险管理框架,从企业整体层面建设风险管理整体架构,包括制定企业的风险管理战略,完善企业的内控体系,设计与优化企业的风险管理流程,设计企业风险管理组织结构及其职能,从而改变目前“直觉管理”、“局部管理“的状态,将企业风险管理与内部控制有机结合起来,形成突出风险管理的内部控制系统,建立起风险管理的长效机制,从根本上提升风险管理的效率和效果。

2.建立健全风险管理监督评价体系

一个有效的风险管理体系,离不开风险监控,这是内部审计最重要的职责。所以,建立健全风险管理监督评价体系,用一个有活力的程序指出风险管理中的弱点和缺陷,使我们能正确地行动。首先,要制定符合实际的关键风险指标和效力标准。其次,各职能部门、分公司、子公司建立风险管理岗位,设立专职人员对风险管理进行效果评价。再次,健全审计与风险管理委员会职责范围和内部审计制度,内部审计对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,向董事会和审计与风险管理委员会报送监督评价审计报告。

3.立足现实,开展符合企业实际的风险管理审计

虽然内部审计开展了一些涉及风险管理的工作,但还要积极开展更科学、更专业的风险管理审计。首先,要改变原来的审计思路和观念,更加注重确认和测试为降低风险而采取的方式和方法。其次,结合实际,积极探索风险管理审计创新。再次,将风险管理审计经常化、制度化,要周期性或不定期地开展风险管理审计。

4.加强队伍建设提高内部审计人员自身素质

尽管内部审计为公司的风险管理做出了很大贡献,但是由于专职审计人员比较少,并且以财务人员转型为主,开展风险管理审计工作存在一定困难。风险管理审计涉及的知识面比较广,除政治素质外,业务上需要学习财务知识以外的更多的东西,需要投入更多的人力、物力、财力和精力,否则,难以胜任。首先,要增加内部审计力量,在分公司、子公司设专职内审人员。其次,内审人员要定期培训,不断更新专业知识,提高专业水平,同时也要注意提高计算机操作水平,以适应时代的发展。再次,除财务人员外,审计队伍还要吸收一些经营管理技术方面的专家参与。

四、结语

篇10

关键词:国有企业;税收风险;境外审计;跨国合作

0引言

近年来,中央企业加快利用国内和国外两个市场、两种资源,通过境外直接投资、境外资本运作等方式,对外投资规模及形成的资产日益庞大。到2014年年底,我国境外投资设立的分支机构分布在世界150余个国家或地区,中央企业境外投资资产总额、营业收入、利润总额分别约占中央企业总体的12.1%、17.9%和9%。但我国国企境外投资的审计相当匮乏,按照国家审计“全覆盖”的要求及综合性原则,国企境外投资审计应成为国家审计监督的重点内容。国家审计通过国有企业审计财政、财务收支客观性、合法性和收益性,最终达到维护我国经济秩序,促进政府廉政建设,保证经济安全、全面发展的目标。在国家治理理论的导向下,国家审计现在已经成为国家经济社会运行的具有预防、揭示和抵御障碍、矛盾和风险功能的“免疫系统”。近年来,税收风险的审计已经引起各方的重视,但我国的税收风险审计与发达国家相比差距较大。税收风险的审计包括税收风险的识别,评估,控制,并审计已经存在的税收风险对企业财务报表的影响,通过现代化的审计计划、审计方法、审计流程等得出审计结果,最后出具审计报告。

1文献综述

1.1境外投资税收风险

国外文献关于税收风险的文献主要是对税收风险的定义和分类以及产生税收风险产生的因素和如何控制。税收风险主要包含交易转让、操作运行、财务会计、税收申报和企业声誉风险。企业税收风险产生的原因分为外部因素和内部因素引起的,企业的外部因素不可控。因此,企业对税收风险的管理即是对内部因素的控制。

1.2税收风险审计

国外文献主要是关于税务研究的,经济合作发展组织(OECD)一直致力于税务研究,总结了加强税务审计能力的普遍原理和方法。国内文献也没有直接关于税收风险审计研究的,但有学者研究了境外投资法律风险管理审计,对其法律风险防控机制进行审计,是现代政府审计目标综合性的基本要求。综上所述国内外文献目前的研究主要是税收风险和税务审计方面的,很少有探讨境外投资税收风险审计的,本文将试图研究国企境外投资的重要性,内容以及跨国审计合作这三个方面。

2国企境外投资税收风险管理审计的内容

2.1双重税收风险管理

税收管辖权分为居民税收管辖权和收入来源管辖权。当我国和国企境外投资所在国家采用不同的税收管辖权时,我国和国企境外投资所在国就会对国企境外投资重复征收企业所得税,从而使企业的所得税负担较重。境外国企投资是否存在重复征税成为审计的重点指引,审计机关应核查国企的境外投资是否存在我国对企业行使居民管辖权,国企境外所在国对企业行使地域管辖权的情况,因而国企境外投资的分支机构要被征收双重企业所得税。单一收入来源地管辖权只有极少数拉丁美洲国家采用,我国采用的是居民管辖权和来源地管辖权相结合的形式。所有审计机关一方面要关注国企境外投资的收入是否已经双重交税,有没有少交、漏交税,从而违反了我国和东道国的税法,因此导致税务机关的惩罚和缴纳高额的罚款。另一方面,要关注双重税收是否造成企业负担过重,国企境外投资的收入在扣除双重税收后是否存在偿债风险、盈利风险,是否有充足的现金流等,从而考虑其对境外投资国有企业的财务报表层次和认定层次的两个层次的重大错报影响,并据此执行相应的审计程序。

2.2境外企业组织结构风险管理

国企境外投资组织机构的差异会使得企业承受不同的税收负担,国企境外投资选择设立分公司还是子公司,是直接控股还是间接控股,都会造成企业所得税的差异影响。审计机关应首先核查国企在境外设置企业的性质,再根据境外投资的企业的性质,核查以下方面:①境外子公司利润在交完预提税后才能作为股息汇回母公司。②子公司汇回国内的利润因交预提税可以抵免在我国的纳税额,而分公司则无法享受这项政策,但分公司或子公司汇回的利润均需在我国纳税。③审计机关应该关注与子公司相比,并非独立法人的分公司不能享受东道国的税收优惠待遇,分公司是否足额纳税。

2.3转移定价风险管理

境外投资企业经常采用转移定价的方法来避税,然而税法规定:如果境外投资企业滥用转移定价从而达到避税的目的,那么不仅要补交税款,而且要加收利息且不得在计算应纳税所得额时扣除。因此审计机关应该重点关注国企境外投资企业是否存在转移定价逃税的行为,如果存在应及时补交税金。并重点衡量补交税金对企业净利润和现金流的影响,企业是否会因为补交税金变亏损,现金流不足以维持日常运营等其他财务风险,从而考虑其对境外投资国有企业的财务报表层次和认定层次的两个层次的重大错报影响,并据此执行相应的审计程序。

2.4资本结构风险管理

企业的融资方式有债权融资和股权融资,债权融资的利息可以在税前扣除,而股息是在税后利润分配,因此债权融资的税收负担轻于股权融资。但很多国家开始限制企业的资本结构,若是债权融资比例过高,将会面临反避税调查。境外投资融资方式风险管理的审计,首先应重点关注境外投资企业的所得税税率是否过高,有利于国企国际避税。其次,境内企业是否以债务的方式向境外的企业注入了大量的资金。最后,境外企业的资本结构如何,债务比例是否远超于股权融资,是否超过税法规定的固定比例。超出部分债务所支付的利息不准在税前扣除,企业是否在计算所得税时按税法的规定未扣除不能扣除部分的利息,足额缴纳税金。此外,还需考虑企业的负债比例过高,是否存在资不抵债的情况,存在财务报表层次的重大错报风险。

2.5税收协定风险管理

税收饶让的含义是居住国政府对其居民在非居住国享受的税收优惠视同已纳税而给予抵免,不再补征。如果我国与境外投资所在国的税收协定中没有规定税收饶让,那么国企境外投资的分支机构将无法享受所在国的税收优惠,回国后应需要补交。目前,我国与很多国家已有税收饶让抵免规定,我国与韩国、印度、越南、意大利、泰国、马来西亚、毛里求斯、巴布亚、新几内亚、马其顿等国签订的税收协定中,双方都承诺给予税收饶让。因此审计机关应该关注国企境外投资企业是否享受税收饶让规定的税收优惠,如果国企投资的境外企业地区没有与我国承诺税收饶让,审计机关应该关注该企业的税负是否过重,有没有按规定补缴税款,并重点衡量税负过重的风险是否会导致管理层存在舞弊风险,进而影响多项认定。除了上述税收风险因素外,对于来自税收其他方面的风险,都需要境外国有企业建立一套有效识别、评估、应对和控制风险的机制。审计机关应该充分的关注当地国家的税法和税收政策等因素,发挥国家审计在维护信息真实、安全方面的优势,保障境外国有企业的科学决策和持续经营能力。

3大力推进国企境外投资税收风险管理

审计的跨国合作受因素和属地管辖的原则的影响,境外审计经常限制于国家管辖,尤其是国有企业投资往往限制于经营地国家的属地管辖。但对国有企业的境外投资审计,客观上需要加强各国政府之间的合作,开展多方面、多渠道的沟通交流,研究怎样推进国有企业境外投资审计协同的实施方案。这就需要我们一方面充分重视现有的亚洲审计组织、最高审计机关组织等双边机制作用,加强各国政府审计协同效应。另一方面,沿线国家区域、次区域相关国际论坛、展会以及博鳌亚洲论坛、中国-东盟博览会、中国国际投资贸易洽谈会以及中国-南亚博览会等平台的建设性效应也能为各国政府协同审计发挥重要的作用。最后,在最高审计机关国际审计准则的基础上,协调各国审计标准,指导各国或协同审计实务,倡议国际审计交流会,提供各国相关审计人员的相互交流和学习。

在国际的合作监管领域,既有的其他政府机关或部门已建立的合作途径或渠道为国企境外投资审计提供了铺垫.受制于属地管辖,我国审计机关在境外进行审计需要获得被审计单位相关的外部资料时,当地相关机构或部门没有配合审计的义务,有时也无法取得当地政府或司法机关的允许或协助。因此,国企境外投资的税收风险管理审计可以依法由政府委托给合格的受托方从事委托审计,借助社会力量或者通过购买服务方式由第三方从事境外审计,将第三方审计报告或会计信息视作外部证据,由审计机关在法律规定范围内再行审计。跨国协同审计还可以利用现代信息和网络技术提高国家审计效率,应大力加强各国国家审计实施的信息化系统建设.总之,在一个规则和风险同步增长的现实社会中,识别及管理税收风险,目前是境外国有企业经营管理的核心内容。

参考文献

[1]韩师光.中国企业境外直接投资风险问题研究[D].吉林大学,2014.

[2]郝玉贵,赵晨,郝铮.国家审计服务“一带一路”战略的理论分析与实现路径[J].审计与经济研究,2016(02):23-32.

[3]华维真.试述企业境外投资税收风险控制[J].涉外税务,2010(03):31-33.