中國水電顧問集團 湯文靜

現(xiàn)代企業(yè)風險管理與內部審計相結合經(jīng)營管理

中國水電顧問集團 湯文靜

從上世紀90年代開始, 很多西方企業(yè)，特別是大型企業(yè)開始通過自身內部的審計機構評估同時監(jiān)督自身的管理風險,以便于確保經(jīng)營安全、高效的目的。風險管理和自身內部審計的發(fā)展歷程已經(jīng)有了十幾年的歷史，經(jīng)過長時間的融合與發(fā)展,二者關系日益緊密，越發(fā)的不可分割。反觀我國的一些大型企業(yè)，在多個領域存在著一些企業(yè)風險，這就需要建立一套比較全面的體系進行風險管理，其中就包括風險管理和理財策略及措施，一個完善的組織職能體系進行風險管理，同時需要健全信息系統(tǒng)與控制系統(tǒng)，最終為完成風險管理目的提供可靠保證。

企業(yè)經(jīng)營管理 全面風險管理 內部審計 內部控制

1 企業(yè)風險管理全面概述

1.1 風險的概念和風險存在于國企的形式

所謂風險，一般是指未來的一種不確定，是衡量與期望值偏離的波動程度的一個概念，這里并不是說結果一定是壞的方面，有可能往另外一個方向發(fā)展，雖然背離了期望值，但不一定是壞事?；诖?，企業(yè)所面對的風險就可以被定義為：“風險，是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性”，從而企業(yè)風險也就正式地納入到企業(yè)管理決策當中了。

企業(yè)所面對的風險因素很多，有戰(zhàn)略、財務、市場、運營和法律風險等方面；如果從是否可以給公司帶來利潤作為一個標尺的話，風險又被分為純粹的風險，這種風險只會造成一定的損失，另外一種就是機會風險了，操作不當可以造成損失，但如果機會把握得好，有可能會帶來一定的機會盈利。

1.2 企業(yè)的全面風險管理工作如何開展

企業(yè)開展全面風險管理工作主要是圍繞公司的總體目標，要對企業(yè)管理中的每一個細節(jié)與經(jīng)營過程都開展風險管理的基本程序，讓風險管理貫穿于企業(yè)經(jīng)營的各個部分，形成企業(yè)內部比較成熟的管理文化。一個企業(yè)建立起全面的風險管理系統(tǒng)，需要健全風險的管理策略，同時細化風險的理財措施，構建起風險管理組織網(wǎng)絡，同時信息系統(tǒng)與控制系統(tǒng)也要為風險管理服務。通過合理的、有保證的一個過程與方法，確保完成風險管理的最終目的。

目前國有企業(yè)資產(chǎn)經(jīng)常發(fā)生一些損失現(xiàn)象，這里面重要的原因就是風險管理比較薄弱，缺少必要的機制進行風險防范。國有企業(yè)多年來一直存在著許多不規(guī)范行為，為企業(yè)帶來了一定的影響，這是由于管理的體制、制度或者機制的原因，但與風險意識不強也有直接關系，需要進行規(guī)范和加強。

2 正確認識和處理風險管理與內部控制、審計的關系

2.1 我國相關情況現(xiàn)狀分析

從上世紀90年代開始，很多的西方企業(yè)，特別是大型企業(yè)開始通過自身內部的審計機構評估同時監(jiān)督自身的管理風險,以便于確保經(jīng)營安全、高效的目的。風險管理和自身內部審計的發(fā)展歷程已經(jīng)有了十幾年的歷史，經(jīng)過長時間的融合與發(fā)展,二者關系日益緊密，越發(fā)的不可分割。一般情況下，我國的企業(yè)內部審計部門僅僅是一個普通的職能部門，雖然部分公司在名義上確定董事會對內部審計機構直接負責，不過由于企業(yè)本身結構就不完善，內部審計機構在實質上還是接受經(jīng)理層面的管理的，報告的層次并不高。由于中國的公司和企業(yè)在風險管理上水平還較低, 很少有企業(yè)設有專門的風險管理程序，當然部分銀行和保險公司這些金融機構除外。所以在我國企業(yè)現(xiàn)階段的內部審計僅僅是個建議者金額協(xié)調者的身份出現(xiàn)在分線管理中。主要還是通過咨詢與建議等控制評價及管理協(xié)調的方式參與到風險管理之中。通過風險的導向審計與自我的控制評價來了解企業(yè)面臨的風險狀況以及在管理上的薄弱環(huán)節(jié),從而向決策層或者控制層提出風險控制建議。

實際上, 內部審計和企業(yè)的風險管理初步進行結合已經(jīng)悄然出現(xiàn)在國內部分大型上網(wǎng)企業(yè)當中，雖然尚處于實踐階段,還不是特別的系統(tǒng)與規(guī)范, 但卻是明顯提高了企業(yè)面臨風險的管理效率與效果, 這也指明了一個方向，企業(yè)的風險管理必然要與內部的審計進行整合。舉個例子，中石油公司2000年在海外上市之后,不斷地通過改革適應國際上資本市場的一些要求,中石油就提出了走內部審計道路,就是要求以經(jīng)營管理的戰(zhàn)略和決策目的當成最終的依據(jù)制定合理的審計計劃,就是凸顯出內部的審計對一些具有高風險的領域和管理決策層加大了關注度,并合理進行分配審計的資源?？刂茖徲嫷膶ο笫强偛康膬炔浚芾淼膶徲嬛饕獙ο髣t是一些分散的地區(qū)公司,進行精細審計的對象則是下級部門。另外，中石油倡導允許審計人員參與到管理的過程,這樣便于及時和有針對性的對基層機構進行工作上的指導或者發(fā)現(xiàn)問題協(xié)調解決,而且能夠幫助被審計機構對風險管理進行缺陷分析，確定改進的措施。中石油這種在戰(zhàn)略層和管控層以及作業(yè)層同時開展審計與咨詢工作，轉變了內審查錯糾弊的簡單功能，向服務和咨詢結合的方向延伸,由為結果與過程并重審計代替了單純的結果審計, 并在一定程度上整合了內部審計和企業(yè)風險管理。這都是有益的探索，為現(xiàn)階段我國企業(yè)的內部審計的工作開展起到了示范作用。

2.2 全面風險管理與內部審計的聯(lián)系

在內部的審計定義里，包含有風險管理的內容。新定義的內部審計認為所謂的內部審計是一種系統(tǒng)化和規(guī)范化的方法，提高對機構風險的管理和控制以及監(jiān)督過程的效率,推動單位達管理目的。可見風險管理對內部審計從定義上就進行著改變，同時，內部審計在職能和價值等方面也在悄然的發(fā)生著變化。很明顯的就是，將內部審計開始轉向評價和改善風險管理當做自身的主要工作范疇之后，內部審計得到了新的發(fā)展,內部審計的領域擴大了,內部審計在審計的廣度和深度拓寬了，這些對內部審計的重新定位，也重新修訂了內部審計的準則，調整內部審計的程序,對內部審計提高服務水平提出了更高的要求。

2.3 全面風險管理與內部審計的區(qū)別

在薩班斯法案中顯示，企業(yè)的內部審計主要目的是為了合規(guī)的進行經(jīng)營，確保企業(yè)高效的運營，保證財務報告的真實，關注的重點是財務層面，但對于決策是否正確不參與其中，它能夠確保投資人信息對稱，而且為投資者提供的機會都是均等的，董事在審計滿前一般會趨于保守，所以審計解決不了利益沖突的問題。

風險管理的目標則是對企業(yè)風險的控制與防范，關心的是是否作出了科學的決策，更多關注的屬于戰(zhàn)略層面，解決的是投資者的信任，為投資人提供長遠利益使董事會趨于理性，從體系上解決利益沖突的結構問題。

3 內部審計與企業(yè)風險管理結合的途徑和方法、角色定位

如果把企業(yè)的風險管理當成一個框架，那么其中的內部審計的工作和工作的對象之間要具備相當高的整合性。這里的內部審計能夠在監(jiān)督和評價上對企業(yè)的風險管理的有效性起到促進作用，同時有利于對風險管理進行改進,這樣內部審計也就成了企業(yè)的風險管理體系中比較重要的組成部分。

3.1 全面風險管理審計的功能價值

當內部審計結合企業(yè)的風險管理之后,工作的范圍也就自然的擴大了，擴大到企業(yè)管理中的可以說是全部的領域與過程,會對企業(yè)的風險與機遇進行集中的、全面的評估,有時可以得到董事會允許，參與制定風險管理的戰(zhàn)略,這些結果都會對管理決策層產(chǎn)生影響。

COSO 在2004 年的報告中，就把風險管理審計的焦點進行了轉移，從企業(yè)內部的控制延伸到企業(yè)戰(zhàn)略目的、管理決策層對風險的忍耐度以及主要風險的評價指標和企業(yè)績效的評價分析等方面，而這些都或多或少的涉及到現(xiàn)代企業(yè)的整體風險管理領域。這就變內部審計被動的接受管理層要求進行服務，轉變?yōu)閺膽?zhàn)略或者風險評估的目的出發(fā)，主動向管理決策層提供合理的及時的保證與咨詢的服務。風險的管理審計時，審計師需要理解企業(yè)的風險管理程序，然后計劃審計的我活動;企業(yè)風險管理信息可以幫助審計人員對審計工作進行規(guī)劃，并分配審計的資源。

從某種意義上說，風險管理的審計保留了風險審計的各種特點，而且把審計關注點延伸到企業(yè)的重要戰(zhàn)略層面和管理層對企業(yè)面臨風險的忍耐度以及主要的風險評價和企業(yè)的績效評價。這些都是企業(yè)經(jīng)營管理的核心內容。

3.2 咨詢服務

自身的控制評價是通過企業(yè)的管理人員與審計師合作作出的評價，用來對管理程序進行有效的控制。如此一來，內部審計機構的審計師就可以獲得關于企業(yè)面對的風險管理信息，從而經(jīng)過分析進行評價。協(xié)助管理人員履行其在企業(yè)風險管理框架中的職責。內部審計的參與完善了企業(yè)風險管理框架, 保證了框架的可行性。

3.3 如何進行管理的協(xié)調工作

當在組織結構上風險的管理體系不夠健全的時候,董事會提出審計要求,內部審計才能夠協(xié)助管理決策層完成風險管理建立工作，包括風險戰(zhàn)略制定,風險評估與分析的指導和措施的協(xié)調與實施等。這里提到需要明確風險的管理責任由管理決策層承擔, 內部審計需要經(jīng)過董事會或審計委員會的批準，同時，內部審計機構也要對董事會或管理決策層聲明，由于協(xié)調事項缺乏獨立性，所以提供的服務無法得到保證。管理協(xié)調也是內部審計在特殊情況下對企業(yè)風險管理某種程度的直接參與。

3.4 管理咨詢和管理建議

內部環(huán)境和組織支配資源以及企業(yè)面臨的風險等都是內部審計內容和形式的決定因素, 并根據(jù)發(fā)展在不斷的變化。企業(yè)風險管理還沒有建立時, 內部審計機構發(fā)現(xiàn)風險問題，要提醒管理決策層和董事會引起重視, 并提出一般的解決意見。在建立企業(yè)風險管理體系之后, 內部審計可以提供有價值的咨詢意見。

4 結語

內部審計參與風險管理不僅為內部審計自身提供了發(fā)展契機,而且作為企業(yè)內的一種獨立、客觀的保證工作和咨詢活動, 內部審計是公司治理必要和有價值的組成部分, 能夠在風險管理中發(fā)揮獨特的作用,從組織體系上風險管理著力于構筑風險管理“三道防線”，即企業(yè)內部各有關職能部門和業(yè)務單位為第一道防線，風險管理職能部門和董事會下設的風險管理委員會為第二道防線，內部審計部門和董事會下設的審計委員會為第三道防線。企業(yè)雇員所具備的忠誠度和對企業(yè)運作的高度熟悉使內部審計人員在風險管理方面擁有注冊會計師無可比擬的優(yōu)勢, 內部審計可以比民間審計提供更具針對性和及時性的風險管理服務,這種優(yōu)勢是所有外部審計和外部咨詢難以超越的。

[1] 杜曉玲.基于風險管理的內部控制研究[J].西南財經(jīng)大學學報,2008.

[2] 李春媛.如何加強企業(yè)財務風險控制[J].價值工程,2010(32).

[3] 王育憲.企業(yè)管理的一個新分支——風險管理[J].管理世界,1985(3).

[4] 李莉.全面審計風險管理研究[J].湘潭大學學報,2005.

[5] 鞠莉.企業(yè)全面風險管理的關鍵問題研究[J].中國市場,2010.

F272

A

1005-5800(2012)08(a)-153-03