内部审计、内部控制和风险管理三者之间相互依存,相互作用,形成一个有机的整体,贯穿于企业经营管理的始终,共同服务于企业经营、战略日标的实现。风险管理为内部控制和内部审计提供了基础和前提,也为内部审计和内部控制指明了努力的方向,内部控制为风险管理提供了控制乎段,也为内部审计提供了审计对象;内部审计不仅直接以风险管理和内部控制作为检查和评价的对象,而且通过审查、评价帮助风险管理和内部控制的完善和优化。
风险是指未来的不确定性对企业实现其经营目标的影响,如何有效的辨识、分析、评价,并适时采取有效措施防范和控制这些风险,便构成了风险管理的内容。这里企业面临的风险包括内部风险和外部风险两类。
内部控制是指由董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程,主要是指对企业内部风险的控制。
内部审计是一项独立、客观的咨询活动,用于改善企业的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性,内部审计可以帮助一个机构实现其目标
有这样一个例子,可以较为形象的说明风险管理、内控、内部审毕局胡计三者之间的关系,某人开车从A地到B地去,那么他的目标就是在保证安全的前提下尽快到达目的地。
在这里,把汽车作为一个主体,那手拦么在由A到B的过程中,存在各种不确定因素影响这一目标实现,即存在各种风险,既包括来自车辆自身的内部风险,对于汽车自身而言的风险无处不在,如车身质量、油电系统、动力系统、制动系统等都会影响由A到B目标的实现。也包括汽车之外的风险,如天气、道路状况、其他车辆等。概况起来说,存在内部风险和外部风险。因此,为了顺利到达,必须采取相关措施,来保证这一目标的实现。
首先,从车辆本身角度来说,强化车身结构,保证车辆整体性,限制最高车速,进行事前控制。
需要加装刹车、ABS等制动保障系统,胎压监测、防爆胎系统等进行事中管控;加装安全气囊等进行事后控制。
制定、掌握正确的驾驶方法、流程,通过各种法律、法规加强对驾驶人员的监管和奖惩。
以上基于车辆的控制,被视为内部控制。
其次,除了汽车自身的存在的各种风险,天气、道路状况、其他车辆等外部风险也可能影响到出行目标的实现,对此,可以通过提前观看天气预报、收听道路信息等,进行提前掌握相关信息,并采取相应防范和腊尘应对措施也就是对外部风险的管控。
从以上可以看出,既包括内部控制,也有外部风险管理,这些构成了风险管理。
内部审计就是识别、分析存在的各种分析因素,检查、评佑,内部控制、风险管控的有效性,定期检查风险情况、管控措施的有效性及剩余风险等,以此来改进、完善风险管控水平和能力,以便目标更好的实现。
对于企业而言,正因此存在各种风险影响经营目标的实现,因此需要加强内部控制,从内部管理的角度来规范各项流程、制度等,提高内部管理的水平和能力,规避、降低各种存在的风险,提升企业的绩效。因此风险的存在是内部控制产生、发展的主要因素。但是,内部控制并不等同于风险管理,企业面临的风险包括内部风险和外部风险,内部控制只能控制一部分内部风险,对于政策变化风险、经济环境风险等外部风险,内部控制很难达到一个好的控制效果,需要进行风险的辨识、分析、评价,采取风险管控措施来规避、降低这些风险。也就是说,内部控制是风险管理的一个重要手段和组成部分,风险管理是比内部控制更广泛、更全面的管理理念。
从企业管理的角度看,内部审计与内部控制之间是紧密联系,二者共同为企业绩效目标的实现提供了有效保障。一方面,内部审计是内部控制的重要组成部分,通过对内部控制的检查、评价,不断提升内部控制的效率和效果,完善企业的内部控制体系,进而提升企业的管理水平;另一方面,内部控制是内部审计的直接对象,良好的企业内部控制,可以为内部审计提供良好的审计环境,提高内部审计的质量。
企业在生产经营过程中,风险管理和内部审计也是相互联系,密不可分的。面对各种内外部风险,企业通过有效的风险管理,辨识、分析、评价存在的各种风险,并采取措施,规避、降低风险,将风险控制的可承受的范围之内,保证企业经营目标的实现。而内部审计,则独立的对风险管理的过程进行审查,通过对风险管理有效性和剩余风险的检查、评价,不断改进、完善风险管理,提升风险管理的效率和效果,保证企业经营目标的实现。因此,内部审计是风险管理系统的重要组成部分,同时又具有独立地位,是对风险管理的监控。
风险管理>内部控制>风险控制
内部槐蔽审计是内部控制的重要手段。内部控制和内部审计的互动共进,有效提升如明毕公司治理效率。
内部控制是内部审计的“风向标”,内部审计是内部控制的“渣芹测试仪”。
一、健全企业风险管理机制的必要性
企业自注册成立的第一天起,就面临着各种各样的风险。比如:国家宏观经济政策调控风险、经营环境风险、组织性巧和失误风险和领导层决策失误风险等。忽视这些风险,现代企业就难以应对突如其来的各种风险因素的冲击,不堪承受难以估量的财务损失和经营困境。亚洲金融风暴是一个非常发人深省的例子。期间,不少发展迅速但长期忽视风险管理的企业的潜在问题集中浮现出来。由于这些企业的决策层事前低估了经营非核心业务的风险、业务扩张所需资金的风险、借贷带来高负债的风险以及国际投机资本市场等多种风险,因而引发巨大的灾难,最终导致许多企业被迫宣告破产或被并购。由于当今现代企业面对着许多隐藏在不同层次的各种风险,使利润的增长变得不稳定,而同时现代企业又要面对投资者不断提高的各种要求,因而迫切需要采取各种方法控制风险,避免损失。
所谓风险管理,就是指现代企业为实现所定目标,对可能发生的各种风险进行一系列防范、控制的管理活动,是一种涉及多层次、多方面的现代企业管理职能。风险管理同时也是一个过程,是由现代企业的董事会、管理层以及利益相关人员共同实施的,应用于制定现代企业战略及各个层面的活动,旨在识别和防范可能影响现代企业的各种潜在危机,并按照现代企业的风险理念健全完善风险管理机制,为现代企业目标的实现提供合理的保证。一般认为它有八个组成要素:企业经营环境、企业目标设定、危机预警识别、风险评估水平、风险因应对策、危机控制活动、信息与沟通、监控能力。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构,它应该能够帮助企业建立并强化应对困难的组织能力,这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力,就是现代企业必须构建一种切实有效的内部控制孝返盯框架体系。
二、内部控制与内部审计的有机联系
现代企业内部控制体世睁系属于现代企业的内部管理系统之一,包括为保障现代企业正常经营所采取的一系列必要的管理措施。内部控制贯穿于现代企业经营的各个方面,只要存在现代企业的经营管理,只要现代企业的经营管理存在着风险,便需要有相应的内部控制。一个运转良好的内部控制体系能够保证企业经营方针和计划的贯彻与执行;维护现代企业资产的安全与完整;保证所有的交易和事项的真实性、合法性;确保会计报表的编制符合财经法规、财务准则和制度的相关要求;同时能防止、披露和纠正错误与舞弊现象的发生。内部控制是现代企业风险管理的重要内容。
内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、方法程序一起列为内部控制的重要组成部分。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制,进而提高现代企业风险管理水平。美国COSO委员会报告及《萨班尼斯———奥克斯利法》法案为内部审计人员参与和进行风险管理提供了可以借鉴的工作指南和参考依据并得到广泛的认可,这在很大程度上表明:以现代企业风险管理为导向,开展对内部控制审计,将成为内部审计工作发展的主要方向。
三、现代企业风险管理导向下的内部控制审计工作
内部审计是现代企业内部一种独立客观的监督和评价活动,是现代企业风险管理的重要组成部分。它通过审查与评价现代企业本身及所属单位财务收支,经济活动的真实性、合法性及有效性,促进现代企业加强业务管理,实现经济目标。
目前,我国大部分大中型现代企业都设置了内部审计部门,但存在着一些突出的问题。比如:内部审计部门不能向股东大会、董事会或监事会独立提交审计报告;内部审计工作范围局限于核实财会方面的交易,较少触及现代企业业务流程方面的风险管理和监测,从而未能就现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确,缺乏独立性;内部审计人员的水平和内审方法有待提高,缺乏一套系统化和科学化的内审程序等等。
在现代企业风险管理进程中,内部控制审计工作是以影响和控制现代企业经营目标实现的各种内部控制制度为依据确定审计项目,以现代企业进行的所有降低和防范风险的活动为测试重点,评价内部控制体系减低和防范风险的充分性和有效性,并提出恰当的完善和健全内部控制体系建议的一种方法。国外许多现代企业成功的内部审计实践证明,以提高企业风险管理水平为目的而实施的以内部控制为导向的内部审计,为内部审计人员参与风险管理提供了基础,促进了内部审计与现代企业风险管理要素的结合,并已经为现代企业管理当局所接受。
1•开展内部控制的自我检测。内部控制自我检测是一种新兴的审计技术,最早是由加拿大公司开始运用的内部控制系统,几年来他们总结了一套系统的技术和方法,大大推动了该公司内部控制的发展和完善。目前这种方法在欧美一些发达国家开展的较多。内部控制自我检测的方法就是内部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对现代企业而言,内部控制自我检测提供了一个风险管理的工具,保证了内部审计人员和管理人员共同对风险进行控制。可以综合地控制现代企业的各方面,包括相关的社会效益,使现代企业对内部控制有一个更全面的了解。不仅要考虑发现的问题如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使企业董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。
2•对现代企业内部控制进行穿行测试审计。此项审计指利用模拟业务将被审计单位的有关数据和业务嵌入被审计单位的内部控制体系当中,进行业务的模拟运行,来获得测试结果,将测试结果与被审计单位的会计信息对比来获得审计证据。此种方法可以对内部控制体系本身的质量和功能进行审计,体系的好坏直接影响企业的抗风险能力,因此体系自身的审计亦是复杂的市场经济环境下必不可少的内容。在设计时可采用平行虚拟业务测试、非正常业务测试、平行运行测试等方法。
3•评价内部控制对现代企业风险的监控能力。内部审计评价内部控制体系对现代企业风险管理的监控能力,是指内部审计部门评估企业内部控制体系的内容和运行以及一段时期的监控质量的一个过程。现代企业的内部控制体系可以通过两种方式对风险管理进行监控———全面监控和个别监控。持续监控和个别监控都是用来保证提高现代企业的风险管理水平的。监控还包括对现代企业风险管理的记录。对现代企业风险管理进行记录的程度根据现代企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当现代企业管理者打算向外部利害方提供关于现代企业风险管理效率的报告时,他们应考虑现代企业内部控制体系的记录模式并保持有关的记录所具有的威慑力。
4•评估现代企业内部控制体系对风险的反应能力。对风险的反应可以分为规避风险、减少风险、抵御风险和遭受风险四类。规避风险是指采取措施退出会给现代企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。抵御风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对现代企业的影响。遭受风险则是在风险来临时未能采取任何行动而被动承受可能发生的风险及其影响。内部审计人员可以在对上述四种风险来临或可能来临时,企业的反应和应对能力上,评估和评价现代企业业已建立的内部控制体系防范和应对现代企业风险的效力,即从现代企业总体的角度或组合风险的角度重新考量内部控制体系的功效。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024