内部审计与风险治理
[关键词]内部审计;风险治理;动因[摘要]近年来,风险治理已成为内部审计的重要领域。本文在阐述了风险、风险治理的涵义的基础上,对内部审计参与风险治理的动因、内部审计如何参与风险治理进行了探讨。
近年来,有些内部审计组织开始参与风险治理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,以至于国际内部审计师协会在1999年通过的内部审计的最新定义把评价和改善组织的风险治理和控制的有效性作为内部审计的主要。本文将对此进行阐述。
一、风险、风险治理
(一)风险、风险因素、风险事故和损失
风险是在一定环境和限期内客观存在的,导致用度、损失与损害产生的,可以熟悉与控制的不确定性(赵曙明、杨钟,1998)。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中,要涉及到风险因素、风险事故和损失三个方面。
风险因素,是指能够引起或增加风险事件发生机会或损失的严重程度的因素。风险因素可分成三类:(1)物理因素,是指增加风险发生机会或损失严重程度的直接条件;(2)道德因素,是指由于个人不老实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素;(3)心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素。
风险事故,是指在风险治理中直接或间接造成损失的事故,因此可以说它是损失的媒介物。
损失,是指非故意的、非计划的和非预期的价值的减少,通常以货币单位来衡量。损失分为直接损失和间接损失两种。直接损失是实质性的损失,间接损失则包括额外用度损失、收进损失和责任损失三种。额外用度损失措必须修理或重置而支出的用度;收进损失指由于该设备损毁以至无法生产成品而减少的利润;责任损失指由于过失或故意致使他人遭受体伤或财产的侵权行为而依法应当担负的赔偿责任。
对于风险因素、风险事故和损失之间的关系,有两种解释:一是亨利希(H.W.heinrich)的骨牌理论;二是哈同(W.Haddon)的能量开释论。他们都以为风险因素引发风险事故,而风险事故导致损失,但侧重点不同。前者夸大三张骨牌之所以相继倾倒是由于人的错误所致。后者则以为之所以造成损失是由于事物所承受的能量超过其所能容纳的能量所致,物理因素起主要作用。
(二)风险治理
风险治理作为一种特殊的治理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的成就而起来的一门新的治理科学。对什么是风险治理,一些学者提出了自己的看法,美国学者克里斯蒂(JamesC.Cristy)以为风险治理是企业或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;另外两位美国学者威廉斯(C.Arthur Williams.Jr.)和理查德。汉斯(Richard M.Heins)以为,风险治理是通过对风险的鉴定、衡量和控制,以最低的本钱使风险所造成的损失控制在最低程度的治理;我国的陈佳贯以为,风险治理是企业通过对潜伏意外或损失的识别、衡量和,并在此基础上进行有效的控制,用最经济公道的方法处理风险,以实现最大的安全保障的科学治理方法。根据以上风险治理的定义,我们可以得出以下几点熟悉:(1)风险治理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险治理的目标在于控制和减少损失,进步有关单位或个人的经济利益或效果;(3)风险治理是一种治理方法。
二、内部审计参与风险治理的动因
内部审计之所以涉足风险治理领域,主要有以下几个原因:
1、企业面临的风险日益增大
近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险是组织实现目标的关键,也是企业的治理职员十分关心的题目。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计职员是企业的治理咨询师,因此,内部审计部分和内部审计职员参与企业的风险治理也就顺理成章了。
2、内部审计对的渴求
内部审计部分为了不断地发展,为了在中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理职员对风险的空前重视,为内部审计发展提供了一个尽好的机会。内部审计对风险治理的参与,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险治理作为内部审计的重要领域直接写进了内部审计的定义。
3、内部审计能够在风险治理中发挥独特的作用
内部审计在风险治理中的独特作用有三:
(1)能够客观地、从全局的角度治理风险
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部分造成的风险或疏于风险治理所带来的后果往往不是由其直接承担,而是会传递到其他部分,终极可能使整个企业陷进困境。正由于如此,有些部分可能会出现过渡道德风险,由于风险不是由你们来承担(至少不是单独承担),如,采购部分为节约采购本钱,就会忽视对材料规格、型号、质量方面的检查,或者有意购买残次品,这种暗躲的风险会在生产车间或销售部分反映出来,终极给企业造成巨大损失。因此对风险的熟悉和防范、控制需要从全局考虑,而各业务部分又很难做到这一点。
内部审计部分不从事具体业务活动,独立于业务治理部分,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议治理部分采取措施控制风险。
(2)控制、指导企业的风险策略
由于内部审计部分处于企业的董事会、总经理和各职能部分之间的位置,内部审计职员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计职员可以调控、指导企业的风险治理策略。
(3)内部审计部分的建议更易引起重视
有些企业尽管也有风险治理部分,但它属于治理部分的一个职能部分,向总经理报告,不具有独立性,其意见有时会屈服于治理当局的压力。如风险治理部分对某投资项目后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施。这使得风险治理部分的作用受到限制。内部审计部分独立于治理部分,其风险评估的意见可以直接报给董事会,这会加强治理当局对内部审计部分意见的重视程度。
4、外部审计的
近年来,注册师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这不能不对内部审计界产生影响,由于,内部审计部分和内部审计职员在风险治理方面拥有注册会计师无可相比的上风,比如:内部审计部分和内部审计职员对企业面临的风险更了解;内部审计部分和内部审计职员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
三、内部审计如何参与风险治理
与一般的风险治理部分进行的风险治理相比,内部审计部分所进行的风险治理既与其有紧密的联系,又有区别。他们的联系表现在,两者的目的是同一的,都是为了降低企业的风险;两者的区别在于他们在风险治理中的角色不同。正是上述的联系和区别,导致了内部审计部分进行的风险治理过程与一般风险治理过程具有相同点和不同点。
内部审计部分所进行的风险治理是在一般部分所进行的风险治理基础上的再监视,其风险治理过程应包括三个方面:(1)评估风险识别的充分性;(2)评价已有风险衡量的恰当性;(3)评估风险防范措施的充分性,并提出改进措施。
(一)评估风险识别的充分性
所谓风险识别是指对企业所面临的、以及潜伏的风险加以判定、回类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计部分和职员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的包括决策分析、可行性分析、统计猜测分析、投进产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
(二)评价已有风险衡量的恰当性
风险衡量是指各种治理技术,采用定性与定量相结合的方式,终极定量估计风险大小,找出主要的风险源,并评价风险的可能,以便以此为依据,对风险采取相应对策。内部审计部分和职员要对已有的风险的衡量结果进行再检验,以确定其是否信当,对不恰当的估计予以更正。采用的主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法、蒙特卡罗模拟方法等。
(三)评估风险防范措施的充分性,并提出改进措施
风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险治理工具的选择。内部审计部分和内部审计职员对有关部分针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部分和内部审计职员应提出改进措施和建议,已强化的风险治理,降低风险损失。采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
综上所述,内部审计涉足风险治理领域有其客观必然性,是环境因素和其本身因素使然。在风险治理中,内部审计部分主要是对风险治理部分和其他相关部分所进行的风险治理的再监视。但这尽不意味着内部审计部分不能作为直接的风险治理人,在必要的情况下,它可以直接进行风险治理。内部审计介人风险治理是一个崭新的事物,对内部审计如何在风险治理中发挥作用是一个需要进一步深进探讨的课题。
【内部审计与风险治理】相关文章:
关于内部审计与风险治理题目03-20
刍议内部审计参与风险治理03-23
试论内部审计与风险治理之间的关系02-27
内部审计与企业风险治理的全面结合02-27
内部审计在企业风险治理中的作用03-22
从风险管理谈公司治理与内部审计03-18
公司治理框架下的风险治理导向内部审计研究03-22
内部审计与风险管理03-19
试论审计风险的治理03-20