企业风险管理与内部控制和内部审计的关系探讨
来源:用户上传
作者: 叶伟祥
摘要:风险管理、内部控制、内部审计是企业管理中的重要方面。探讨企业风险管理的概念, 企业风险管理与内部控制的融合, 以及内部审计与风险管理等相关问题,对企业的管理有重要的意义。
关键词:风险管理;内部控制;内部审计
企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。
一、企业风险管理框架的内容
一般情况下,企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为的其他组成因素提供了框架。目标设定,即管理层必须基于目标来识别成功的潜在因素。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。事件辨别,在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。风险评估,一般用可能性概率和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险反应,风险反应是企业风险管理的整体重要组成部分,主要包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少包括通过控制活动等形式。控制活动,控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。信息和交流。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流, 使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“ 例外基础” 的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。监督,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。
二、内部控制与风险管理的关系
所谓内部控制制度就是企业对有关财产物资、货币资金、有价证券的收付,债权债务的发生和结算,资产的增减和费用的支付等经济业务,规定必须有两名或两名以上工作人员分工负责处理,以起到相互制约作用。建立企业内部控制制度,就是在企业内部的职责分工、责任制度、财务会计制度和财产物资管理制度等有关企业管理制度中,都应具体体现内部控制的要求。
内部控制并不是目标的制定活动,而是对目标制定的评价工作,特别是对目标和战略计划制定当中风险的评估,风险管理目标的设立为内控中的风险评估提供了前提条件。内部控制强调评估经营管理活动中突出的风险点,所负责的是风险管理过程中的重要活动,并建议经营管理人员针对这些风险点实施必要的控制活动。比如,对风险的评估和由此实施的控制活动、信息与交流活动、监督评审与错误的纠正等工作。
内部控制评估管理活动中突出的是风险点, 负责重要的风险控制活动, 在风险管理中居于十分重要的地位, 没有内部控制,风险管理无从谈起。要进一步认识内控在风险管理中的重要地位, 按照内控的五大组成部分,构筑起风险管理的平台, 实现对经营管理中各种风险的逐级控制, 提高经营管理水平。但需要指出的是, 内部控制也不是万能的, 内部控制只能提供合理的保证而不是绝对的保证, 如控制可能受到两个人以上的合谋制约决策层、管理层也可能会践踏内部控制的设计还可能受到人、财、物等资源的制约等,这些都是值得关注的地方。
三、内部审计与风险管理的关系
内部审计是现代企业制度的重要组成部分, 是企业自我独立评价的一种活动, 可通过协助管理层监督其他控制政策和程序的有效性, 来促成好的控制环境的建立, 离开了内部审计,现代企业制度的运行就会出现紊乱。现代企业制度使法人化的企业承担的责任由财务责任变成资产责任、产权责任及资本责任。而内部审计的目标也随之而发生变化, 即由监督财务责任转变为监督资产责任、产权责任及资本责任。审计功能也将随审计目标的变化而发展、深化。
1.风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司对风险管理功能, 设立一个分部, 配置一位风险经理, 内部审计人员建立风险评估模式, 内部审计工作成为企业风险管理的一个组成部分, 整个审计工作根植于以未来为导向的风险分析。
2. 内部审计的方法不再是强调确认和测试控制的完整性, 而是强调确认经营风险并测试这些风险是否得到有效管理, 由交易事项和对政策的遵循, 转变为对目标、战略和风险管理程序的关注,“ 控制是否适当且有效”虽然仍被关注, 但已不是关键。
3.内部审计的反应方式不再是反应式的、事后的、不连续的监控, 从以交易为基础转变为以过程为基础, 对组织战略计划的创新也由观察者转变为参与者。
4.内部审计在组织中扮演的角色不再是独立的评价者, 更是风险管理与公司治理的集合者,内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题, 及时、客观、独立地提供咨询。
5.内部审计的建议不再是强化控制、强调成本效益配比以及提高控制的效率和效果, 而是风险规避、风险转移和风险控制, 通过有效的风险管理提高组织整体管理的效率和效果。
风险管理和内部审计对风险评估和控制各有侧重又具有较强的相关性。因此, 在银行日常管理中, 风险管理部门和内部审计部门应各司其职, 它们的工作不能互相替代, 而是相互补充。各项经营水平的测算、评估, 以及经营风险预警和降低经营风险等工作, 主要是风险管理部门的责任, 而不是内部审计的职责, 内部审计可以直接从风险管理部门取得有关结果, 它需要关注的应是风险管理政策是否适当, 是否得到有效执行, 如有没有信贷风险的管理程序, 该风险管理程序是不是得当, 是不是得到正确执行等。
四、启示与关注
1.风险控制己成为现代银行管理中的突出问题
无论风险管理、内部控制、内部审计关注的都是风险。风险防范已成为银行日常工作中不可分割的一部分, 而不是对经营管理的额外补充。风险防范的水平已成为衡量银行整体经营水平的一个重要指标, 世界各国银行都在积极寻求风险防范和规避的合适途径。这就告诉我们, 无论是内部控制体系的设计, 内部审计体制的构建, 都离不开风险防范和规避这个主题。
2.要正确理解内部控制和风险管理的关系
内部控制评估管理活动中突出的是风险点, 负责重要的风险控制活动, 在风险管理中居于十分重要的地位, 没有内部控制,风险管理无从谈起。要进一步认识内控在风险管理中的重要地位, 按照内控的五大组成部分,构筑起风险管理的平台, 实现对经营管理中各种风险的逐级控制, 提高经营管理水平。但需要指出的是, 内部控制也不是万能的, 内部控制只能提供合理的保证而不是绝对的保证, 如控制可能受到两个人以上的合谋制约决策层、管理层也可能会践踏内部控制。内部控制的设计还可能受到人、财、物等资源的制约等,这些都是值得关注的地方。
3.要正确理解风险管理和内部审计的关系
风险管理和内部审计对风险评估和控制各有侧重又具有较强的相关性。因此, 在银行日常管理中, 风险管理部门和内部审计部门应各司其职, 它们的工作不能互相替代, 而是相互补充。各项经营水平的测算、评估, 以及经营风险预警和降低经营风险等工作, 主要是风险管理部门的责任, 而不是内部审计的职责, 内部审计可以直接从风险管理部门取得有关结果, 它需要关注的应是风险管理政策是否适当, 是否得到有效执行, 如有没有信贷风险的管理程序, 该风险管理程序是不是得当, 是不是得到正确执行等。
4.要正确理解内部控制和内部审计的关系
现代内部审计日益重视对内部控制的检查与评价。但需要指出的是, 内控的设计、执行、检查和评估首先是经营管理部门的职责, 而内部审计是在经营管理部门基础上的再监督。内部审计在检查和评价内部控制时, 发现某一风险点, 应对此可能造成的影响及后果作出详细的说明, 以达到引起管理部门重视的目的,但并不再需对这个风险点可能造成和无意地利用所造成的破坏程度下一个肯定的结论。而对风险的这种延伸管理则应主要是经营管理部门的职责。
参考文献:
[1]朱荣恩, 贺欣等.内部控制框架的新发展―企业风险管理框架[J].审计研究,2003,(6).
[2]林丽华, 王成等.内部控制与风险管理[J].中国审计, 2004,(9).
[3]刘秋明.论风险基础内部审计[J].审计理论与实践, 2003,(10).
[4]张淑慧.内部审计与风险管理[J].企业经济, 2005,(7).
(作者单位:重庆协信控股(集团)有限公司)
转载注明来源:https://www.xzbu.com/3/view-1343667.htm
