[摘 要]本文从内部审计与风险管理的概念及两者的关系分析入手,阐述了内部审计对管理层的风险管理过程的充分性和有效性进行检查、评估、报告并提出改进意见等方面的责任,同时结合公路部门的实际,阐明了内部审计在对风险管理进行再管理过程中的五个方面的作用。
[关键词]内部审计 风险管理 责任 作用
风险管理属于一门新的管理科学,是指经济单位通过对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其控制在可接受范围内的过程,其最终目的旨在为组织目标的实现提供合理保证。随着经济全球化及国际化程度的加深,企业经营环境变得日趋复杂,经营风险也大大增加,如何规避风险,提高企业风险管理的效率,作为素有企业风险评估师和管理咨询师之称的内部审计肩负着极为重要的责任,如何充分利用并发挥其职责,对风险管理将会起到重要的作用。
一、内部审计在风险管理中的责任
国际内部审计师协会颁布的《内部审计实务标准》规定,内部审计在风险管理中的责任是对管理层提供帮助,就管理层的风险管理过程的充分性和有效性进行检查、评估、报告并提出改进意见,以保证管理系统的有效运行、财务信息的及时准确、投资决策的正确和经济活动的合法。实际上它是一种对风险管理的再管理过程,具体来讲,笔者认为有如下四个方面的主要责任。
1.评价机构风险管理体系的充分性和有效性的责任。
风险总是伴随着收益而存在,回避风险无疑就是放弃收益,作为管理者,我们只有正视它,同时积极构建充分、有效的风险管理体系,才能在规避经营中可能存在的重大风险的同时实现收益的最大化。内部审计作为经济单位内部相对独立的管理部门,就其职责定位而言,首要的责任应是对整个企业或某个部门的风险管理体系的充分性和有效性进行评价,也即对风险管理系统涉及的风险识别、风险分析、风险计划、风险跟踪与风险应对五个方面的充分性及有效性进行评价。因为内部审计人员往往精通审计、财务管理、经济管理、法律等多方面的专业知识,熟悉企业或机构的生产经营状况和内部业务流程,同时又能保持相对的独立性,这就为其开展对风险管理的再管理提供了得天独厚的条件。
2.对单位经营活动中的主要风险因素进行识别和分析的责任。
内部审计人员一方面应对企业原有的已识别的主要风险是否充分进行评价,也即企业所面临的主要风险是否均已被识别出来,另一方面也要找出未被风险管理系统识别的主要风险。比如因市场突变带来的市场风险,因股东撤资、资产负债率过高带来的经营风险,因国家产业政策、税收及利率政策调整带来的政策风险等等,对照已有的风险管理措施,检查是否对其进行了充分的考虑,是否有效。
3.评价机构的治理、运营及信息系统方面的风险因素。
主要是评价财务与运营信息的可靠性与完整性,单位运营的效率与效果,资产的安全性与完整性情况,单位遵守法律、法规的情况、责任制管理及合同的遵守与落实情况等。
4.在开展咨询业务时,内部审计应根据业务目标解决风险方面的问题,对其他严重风险保持警惕。
国际上将内部审计师称为管理咨询师,这种提法很贴切。在我国企事业单位的内部审计实务中,很多时候内部审计都是作为领导层或决策层进行管理和决策的一个咨询服务部门,从事对企业的业务目标运行过程进行跟踪监测、提出预案的工作。因为,任何一个项目的出台、实施过程中都不可避免地会出现事先预测不到的问题,如何帮助管理层有效地解决问题,规避风险,保证目标的实现,内部审计人员富有风险意识和职业谨慎的工作,有能力也有责任帮助管理层解决业务目标运作过程中的风险问题。
二、内部审计在风险管理中的作用
内部审计通过履行其在风险管理中的职责,最终达到对风险管理进行再管理的作用。它是一个随时间的推移而发生变化,并延续地发展的过程,一般需经过四个过程,即从不起任何作用到作为内部审计工作计划的一部分对风险管理过程进行审计,再到积极持续地支持并参与风险管理过程,最后到对风险管理过程进行管理和协调。大致的作用笔者认为有如下五个方面。
1.能帮助改进机构风险管理体系,并在风险管理过程中起关键作用。
随着风险管理措施出台并实施,一些潜在的问题便冒了出来。一般而言,风险管理部门因其身份的局限,难以发现实施中的关键问题,业务部门也只是局限于制度的执行和落实管理层的决策,更谈不上有效地对风险管理体系进行管理。
内部审计人员可以在了解国家相关产业政策以及本行业发展状况的基础上,结合本企业的优势与劣势、远期与近期目标进行分析预测可能的机会和威胁,看企业的主要风险是否已得以充分考虑,风险发生的可能性及影响是否在可接受的风险范围内,各部门的目标是否对企业总体目标提供了强有力的支持,同时通过关注管理层对风险的识别和评估是否准确有效,风险监控措施是否得到执行,风险管理报告是否充分、及时等措施,内部审计人员可以提出改进建议,帮助管理层改进、完善风险管理体系。
随着近几年来国家对公路基础设施投入的不断加大,给公路施工企业带来了前所未有的发展机遇,与此同时,风险也加大了,如何帮助管理层改进风险管理体系,规避风险,这几年来,作为内部审计,我们作了有益的尝试。
2002年我们通过对所属的一公路施工企业进行财务收支审计和经济责任审计发现,该企业近三年来大大小小的项目中标了60多个,中标合同金额也达10多亿元,可企业整体还是出现了较大的亏损。为查明原因,内部审计人员决定从其风险管理体系入手,对其职能机构的设置、管理制度的制定、执行与落实、项目的管理和报酬考核办法等进行了分析性复核,结果发现这个企业的管理部门与各项目部是脱节的,根本无法实现对项目部的监督管理;投标部与管理部、业务部也存有严重的不协调之处;管理层也缺乏对项目与各职能部门的统一管理,操作中只注重项目的中标,却没有考虑项目的效益,对于整个企业的风险或潜在风险也完全没有考虑;各分目标没能形成对企业的总目标的充分支持等等。最后确认其风险管理体系缺乏充分性和有效性,这也成了该企业几年前运作失败的一个主要原因。同时,内部审计人员就如何改进企业风险管理体系提出了专业性的建议,比如规范工程投标,控制中标底线,投标部门的业绩报酬与项目的运作业绩挂钩,建立项目财务目标责任追究制,强化管理层的统一协调机制等。领导层在以后决策中采纳了内部审计关于改进风险管理体系的建议,通过近两年的运作来看,效果较好,该企业逐渐扭亏为盈,而且已形成了一整套可操作的风险管理流程。
2.能够以第三者的身份从全局的高度客观公正地管理风险。
风险在企业内部具有感染性、传递性和破坏的潜在性等特征,也即一部门因其风险或风险管理的差错而导致的后果不一定体现在本部门,而是会通过其他部门体现出来,最终影响整个企业。
就公路施工企业而言,如果投标部门的利益只与其中标项目的造价有关,出于本部门利益的考虑,就可能会出现低于成本价中标的工程项目。这在投标部门看来,成绩显著,因为整个项目的效益与它没有关系,这种潜在的风险当然不会在投标部门出现,而是体现在工程施工部门,潜在的后果将是项目亏损,经营失败,最终将会给企业带来损失。
因此对风险的认识和防范、控制需要从全局考虑,而各业务部门往往很难做到这一点。内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
3.可以指导企业的风险应对策略
内部审计部门是处于企业的董事会、总经理和各职能部门之间的一个部门,这是内部审计人员特有的位置优势,借此,内审人员能够很好地充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,企业利益与部门利益以及部门间的利益进行协调,内部审计人员便可以影响、调控、指导企业的风险管理策略。
4.是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。
具体有三种途径,一是培训加讨论。即通过对员工进行控制和风险评估培训,使风险意识贯穿于整个企业的各个层面,使每名员工能够有效识别风险并提出有效控制措施,形成企业全员、全过程、全方位、全天候的风险管理体系。二是通过针对重大风险隐患,召开企业内外部的专家及相关人员参加的风险评估专题讨论会,综合情况、可集思广益求得有效的风险管理方法。三是进行专项调查,借此可以发现机构某个部门或单项工作中存在的风险,服务于决策,服务于风险的规避。
随着2003年我市高速公路的开通营运,普通公路收费站收费额急剧下降,而收费公路的修复建设所需资金及机构日常运作经费却逐年在增加,收费还贷形势出现了不良状况。于是在2004年初,内部审计部门联合工程计划、财务与征费管理等部门就我市普通公路收费还贷能力进行了一次专项调查。通过调查,一方面摸清了各个收费站的资金缺口和现有贷款规模,另一方面理清了历年来收费公路新、改建和修复工程投入,并在此基础上对全市普通公路收费站的收费还贷能力进行了预测。调查发现我市近些年收费工程投入过大、欠规范,贷款空间已趋饱和,个别站的还贷能力不理想等情况,如不加以控制,将造成运作困难,甚至收不抵支的局面。最后提出了改进建议,比如统一贷款银行,统一偿还贷款,以降低利息支出风险;规范收费路段工程建设的审批权,合理安排收费公路建设投入,加强日常养护;对收费还贷资金的收支实行动态管理,建立收费还贷能力的实时监控机制等,建议在得到领导层和管理层的一致认同并实施后,极为有效地规避了我市普通公路收费还贷风险。
5.内部审计在风险管理中可以起到明显的杠杆作用。
内部审计相对于聘请会计师事务所和审计师事务所进行风险评估而言具有省力、高效的杠杆作用。主要体现在,首先风险管理部门在确定企业整体风险时,由于内部审计具在较高的可信赖度,这样一来就保证了企业风险管理系统的健全性,使整体风险得以维持在较低的水平。其次风险管理部门可以参考其审计结果确定每种风险的未来发展趋势及高风险领域,并在此基础上制定和执行计划,减少重复性工作,集中有限资源于高风险领域,以较小的资源取得较佳的风险管理效果。再次外部人员不可能完全、及时地掌握其风险,而内部审计却能实时地掌握动态,将管理指令渗透到风险管理的各个层面。
当然,内部审计在风险管理中的作用的发挥还受到机构文化、内部审计人员的能力、风俗习惯和主要管理者的嗜好的影响。
