一、企业目标、风险与内部控制的关系
随着国际经济和信息技术的发展,世界经济一体化为企业在全球范围内的大市场中开展经营活动提供了机会,同时也使企业生存与发展的环境面临更大的风险。风险已成为影响企业目标实现的重要因素,管理与控制风险变得越来越重要。
企业内部控制系统存在的目的在于对威胁其目标实现的风险进行管理。企业的内部控制能否发挥作用,还必须考虑企业面临的风险的性质、范围、风险可量化程度、控制成本与管理相关风险可获得的收益的对比。
1.风险控制水平
企业管理当局对风险的态度直接影响风险的控制水平。如果企业管理当局喜欢冒险,对面临的风险缺乏预防或控制措施,则会引起巨大损失;如果过分谨慎也会使企业失去发展机会;只有正确地认识风险,并对风险加以控制,才能最大限度地提高企业的利润。这说明风险控制的目的不是为了限制企业的各种经营活动,而是确保它们受到正确的引导,以减少不必要的损失。笔者认为对待风险的策略应该是适当地接受风险,但这并非是盲目地冒险,而是事先合理地预计可能的风险,积极地寻求企业的发展机会。就像一个人不能因为害怕交通事故而不出门或不驾车,而是应该在其出门或驾车时采取必要的防范措施,如遵守交通规则、扣好安全带或避免高速行驶等。就企业而言,可以发展业务组合(有不同风险和回报的业务的组合)或退出高风险低回报的业务领域。
2.比较风险与回报
风险的可接受水平取决于回报的大小。通常人们为了实现高回报才去冒较大的风险,而不会为了低回报去冒较高的风险。最好的商业机会是回报高而风险小的商业机会;而低回报高风险则会对企业构成较大的危险。
3.分析风险控制成本
如果企业没有对风险进行控制,那么就要承担出问题和事故的代价,如一次污染后要支付的处理费,平息一次工伤事故的费用,或收回劣质产品的开支。所有这些费用,都可在图1中用事故费用曲线表示。当企业意识到管理企业风险的必要性后,就开始在预防手段上投资,包括进行预防的支出及为加强控制而增加的人工费用等,这些开支可用预防费用曲线表示。从图1中我们可以看到,随着预防费用的增加,事故的发生率下降,因此事故费用也随着下降,总体开支下降。事故费用曲线与预防费用曲线的交点使企业总体开支最低。如果企业继续投资于预防措施上,寻找进一步减少事故发生的可能性,那么预防费用就会上升。最后总体费用达到了企业开始管理风险以前的水平。图1显示,在风险管理上有一个最优效果的投资水平,投资过多会使企业背上成本的负担,使它失去竞争力,而关注不足会使企业付出高昂的事故费用,中间的某处是最佳的位置。
由此可见,企业为降低总体开支水平,必须识别和评估风险,建立适当的控制制度,采取行动管理风险,并对管理的效果进行监督和检查。
二、内部审计领域的风险导向审计
内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年最高审计机关国际组织在第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、方法程序一起列为内部控制的重要组成部分。1992年,美国的“反虚假财务报告委员会”发起成立的一个赞助组织委员会(简称COSO,Committee of Sponsoring Organization)专门致于内部控制研究,提出了“内部控制——整体框架”的研究报告。该报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通及监控等五个要素,其中的监控就是指对内部控制结构运行质量的监督,它是通过管理控制方法和内部审计的职能来实现的。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制。COSO报告为内部审计人员进行风险管理提供了指南,表明了以风险为导向的审计方法成为审计方法发展的必然趋势。
在内部审计领域,人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险[2],并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种方法。国外的许多企业审计实践证明,在内部审计领域实施风险导向审计,改变了内部审计人员探讨风险和内部控制的方法,为内部审计参与风险管提供了基础,促进了内部审计与其它风险管理要素的结合,并已为企业管理当局所接受。
内部审计领域运用风险导向审计方法,改变了过去那种内部审计人员以检查历史业务记录和内部控制系统的历史运营情况提出建议和意见的方式,变为更加关注企业面临的风险和企业未来的发展及企业为降低风险所进行的一项管理活动[3].在快速发展的时代,企业管理当局需要了解变化过程中可能遇到的风险,而固定的、静态的控制体系只能反映企业的过去。因此,要求内部审计师在风险环境中观察业务过程,提出控制风险的建议,从而为企业增加更多的价值。
采用风险导向审计方法,内部审计的报告更容易被接受,管理部门也更容易理解内部审计存在的价值。在过去的制度基础审计中,内部审计总是以其内部控制为中心,并在审计报告中不断提出增加控制点或增加控制的建议,这样,若干年后审计的结果就是控制点越来越多,业务过程越来越繁杂。同时,也产生了不能为企业增加价值的员工。在风险导向审计中,审计报告中关注的企业当前及未来需要的准备,是企业现行经营活动与战略计划之间的“桥梁”[4].三、风险基础法下内部控制的评价模式
传统的内部控制评价模式主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,审计报告中的建议也是管理当局早已经知道的,缺乏新意[5].有人形象地比喻,内部审计的工作就是“审核数豆子的人是否将豆子数得一粒不差”。风险导向审计法要求内部审计人员改变传统的评价模式,把审计的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。
特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向审计法下,内部审计更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策[6]?只有清楚地了解了这些,内部审计人员才能辨别何处控制环节过多,何处控制环节不充分,何处控制满意,何处控制需要改善。我们以采购为例进行分析,企业采购的目标可概括为:保证采购的物品为企业所需,适当的价格及付款条件,所购物品的质量符合要求,交货的时间、地点等。审计的目的在于评估实现上述目标的风险,并建议增加一些强化控制的措施,长期如此,采购过程就会变得繁杂而无效。这是因为内部审计人员把审计的重点置于所需的控制,而并非企业的目标或其控制环境中存在的风险。理想的方式是从决定所需要的控制,转移到风险的管理,在审计过程中寻找所有可能的管理风险的途径,收集证据,提出建议。例如,采取必要的措施控制企业的战略风险;采取风险回避的方式,回避某些固有风险;以风险分散方式,分散经营过程中存在的风险,如由多个供应商提供原材料以减少原材料供应中断的风险;向其他组织转移风险,如何险等;接受风险,企业在经营过程中不可能没有风险,在合理的程度内,冒点风险是必要的。越过内部控制的某些薄弱环节,这也是风险导向审计方法与其他审计方法的本质区别。但大多数内部审计人员是难以确认管理当局是否能接受这些风险,因此,传统的内部控制评价方法受到挑战,要求内部审计人员采用一个动态的评价模式,通过与企业管理当局的有效沟通,为企业提供增加价值服务。
1.内部控制自评(CSA)
内部控制自评是一种新兴的审计技术,最早是由加拿大的一个海湾资源公司开始自我评价运用的内部控制系统,几年来总结了一套系统的技术和方法,大大推动了该公司内部控制的发展和完善。目前这种方法在美国、加拿大及欧洲开展的较多。内部控制自评的方法就是要部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。CSA有如下优点:
对企业而言,内部控制自评提供了一个管理控制风险的工具,保证内部审计人员和管理人员共同对风险进行控制。这是综合地控制企业的各方面,包括相关的社会效益,使企业对内部控制有一个更全面的了解。不仅要考虑发现的问题,如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。
对管理部门而言,内部控制自评可以反映当前管理控制中存在的问题,也向高层管理部门表明他们对现存内部控制的态度,明确了管理责任,保证企业内部有良好的人员分工,使其更好地履行职责。
对内部审计而言,内部控制自评最重要的一点是让管理部门了解到对内部控制的责任,同时内部控制自评还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。
2.内部控制矩阵法
内部控制矩阵法是审计人员根据企业经营目标、险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。如表1.
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,控制措施是否会影响其他目标的实现,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
3.利用网络信息开展动态评估
收集风险数据是企业中常用的风险评估法。内部审计人员通过收集有助于资料,建立数据库,利用一定的指标来估计风险。内部审计人员应根据企业机构和人员的设置情况,对日常资料的收集和分析工作进行分工。特别是大型综合企业,指定专人进行对口分工收集资料,以保证内部审计人员在熟悉本企业及下属公司经营情况下,进行风险评估。数据库应包括企业的外部信息和内部信息。对于外部信息,内部审计人员可以利用社会上公开的信息资源,如利用有关统计资料,了解和掌握本行业的发展情况,或通过信息网络了解国家政策、本行业或相关行业市场变化情况。对于内部信息的收集可通过调查问卷、阅读企业的文件及合同、计划、投资可行性分析报告等有关资料获得,或通过财务网络或定期报送的报表,查看各分支机构的财务状况。一般来说,员工对影响其发展的风险有较详细的了解,调查问卷就是要他们加入到风险评估和管理过程中。
数据库法的优点是把企业面临的风险进行量化,发挥预警的作用,以便及早发现企业存在的问题,及时进行处理。内部审计人员通过访问数据库,了解哪里存在风险,风险的严重程度,并将风险按重要程度进行排序。例如,我们以应收帐款的回收期作为一个风险因素,通过询问数据库就可以查出所有存在应收帐款超期的部门,并按超过的期限进行排列。又如,一家餐厅希望获得销售酒类的高利润,酒类销售额需维持在总收入的40%,因此,当酒类销售额降到总收入的25%~35%时,管理阶层即警觉到顾客对酒类的需求态度已经改变,而立刻设计新的菜单,增加食物的销量,以维持总的销售收入不变。由此可见,预警制度并非完全针对防弊,而是为及早发现经营中存在的问题,并采取有效的控制措施。这种方法的弱点是在为风险管理者提供大量资料的同时,也可能使其难以发现重点。
「参考文献」
[1]陈汉文。证券市场与会计监督[M].北京:中国财政经济出版社,2001.525.
[2]刘力云。审计风险与控制[M].北京:中国审计出版社,1999.153.
[3] David B.Crawford.Levels of Control[J].Internal Auditor.2000(10):42-45.
[4] David Mcnamee,Georges Selim.The Nest Step in Risk Management[J].Internal Auditor.1999,(6):36-38.
[5]广东省纺织进出口(集团)公司课题组:风险基础内部审计:机遇与挑战[J].中国内部审计,2001,(3):8
[6](英)基特。塞德格洛夫。商务风险管理完全手册[M].(罗岩平译)沈阳:沈阳出版社,2000.14-17.
[7] William E.Chadwick.Best Practices Millennium[J].Internal Auditor.1999(2):36-39.