【关键词】内部审计;企业风险管理(ERM);保证;咨询
自美国COSO委员会于2004年4月颁布《企业风险管理框架》(EnterpriseRiskManagementFramework,以下简称ERM框架)后,理论界对ERM的研究风起云涌,监管机构对于ERM的规范不断推出,实务界对ERM的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的ERM,90%的组织正在建立或者想建立ERM(JamesRoth,2006);《财富》世界500强企业截至2004年底有近40%实施了ERM,30%部分实施了ERM;我国2006年针对部分先进企业和ERM探索者的一项调查显示,7.89%的企业建立并实施了ERM,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,ERM受到了越来越多的重视,如何促使企业尽快建立ERM,保证企业顺利实施和完善已经建立的ERM,成为当务之急。
ERM的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着ERM的实施成效。内部审计作为组织治理结构四大支柱之一,在ERM建立和实施中发挥着重要作用。IIA(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在ERM中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发ERM框架;促进ERM的建立;经董事会批准制定ERM战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(RussellA.Jackson,2005)。
上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ERM脱节,或者重视ERM单一环节而忽视整体。为此,应设计一种能够将内部审计与ERM实现对接的方式,使内部审计能够在ERM循环中实现跟踪式全程审计,实现内部审计对于ERM的全程监督,为持续审计奠定基础,该种模式称为“ERM基础审计”。
ERM基础审计模式以COSO委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在ERM中能够开展的活动,将两者进行有机结合,形成了如图1所示的ERM基础审计模式(GeorgeMatyjewicz等,2004)。
图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调整风险管理过程和结果八个环节,形成了ERM的一个运行系统。在此基础上,由管理层提供对ERM过程的首要保证,进而由内部审计实施对ERM的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对ERM承担最终责任,形成了ERM的一个保障系统。该模式将ERM与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在ERM中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对ERM的全程审计。
1.建立和沟通目标。CEO负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。
2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。
3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。
董事会和高级管理层负责建立和管理ERM框架。审计人员不能参与设计ERM框架,但是需要依赖他们的判断,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。
4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。
5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。
6.选择实施风险反应。选择实施风险反应即在风险评估优先级排序的基础上,根据风险性质和风险偏好制定相应的防范措施,可采取的措施一般包括回避、接受、降低和分担。内部审计应该对风险应对措施的选择和执行提供保证,包括:审查采取的风险应对措施是否适合本组织的经营、管理特点;审查采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;审查风险应对措施的成本效益衡量是否合理。对于风险缺乏充分控制措施的情况,内部审计应提出改进措施和建议,协助完善风险反应方案。
7.建立控制。控制活动是使所选择的风险反应活动得到适当决定和实施的政策、程序、过程和监督机制等系列活动的总称。一旦选择了特定的风险反应方案,管理层需要据以实施相应的控制和其他风险反应活动,包括批准、授权、资产安全、职务分离、调整等。审计人员应获取对控制设计的全面理解(包括理解目标、潜在风险和控制活动之间的关系),审查其与组织风险政策的一致性;审查其对组织战略、经营、报告和遵循性目标的支持程度;审查其化解风险的有效性;审查其按设计功能运行的持续性。
8.风险信息沟通。风险信息沟通是指以一致的方式在整个组织中所有层次之间对风险信息进行可靠、及时、完整的传递和反馈,以实现对风险的识别、分析和反应。并非所有的风险都能够被避免,但早期的披露能够为采取适当的行动提供时间。内部审计的核心职能是向董事会、管理层、股东提供风险得到及时削减的保证。为此,内部审计需要审查风险信息的准确性;审查关键风险报告的及时性、相关性和完整性;审查风险信息在整个组织不同层次中传递的有效性;审查风险信息支持系统的安全性等。
9.监督和调整。组织需要对风险管理进行持续监控和不断调整,以保证风险管理过程的持续有效性。可以采用的监控和调整方式包括控制自我评估、定期检查和数据分析,各种方式或者融合在持续的管理活动中,或者采取个别评价的方式,或者通过两者的结合来完成。管理层执行对风险管理过程的监督和调整。内部审计通过调查问卷、控制自我评估、行动跟踪等方式,获取管理层实施监督的相关证明,审查管理层监督执行的一致性、持续性和有效性以及实施调整的适时性和必要性。
10.管理层保证。根据组织结构形式、资源保障程度、政府监管要求和风险管理的特点,风险管理的保证可以来自于不同方面,包括董事会、管理层、操作人员、内部审计、外部审计和独立专家等。其中,董事会对保证风险管理承担全部责任,但董事会往往将风险管理的责任委托给管理层,该种委托关系决定了管理层对风险管理承担直接、首要的责任,他们向董事会提供的风险保证居于首位。管理层必须向董事会保证,他们对于存在的风险和运行的控制实施了检查,所采取的措施能够足以降低那些阻碍公司目标实现的风险,其风险管理过程的运行是有效的。内部审计针对上述各个业务环节的审查结果可以对管理层保证情况做出基本判断,同时,还可以根据对管理层诚实性、业绩、胜任能力、素质和文化等方面的综合评价来制定相应的审计战略,对管理层的风险保证活动提供再保证。
11.内部审计保证和咨询。内部审计的保证和咨询具体体现在ERM各个运行程序中,如上所述。其中,内部审计在ERM中的核心作用是向董事会提供客观保证:保证风险管理过程和内部控制框架的设计和运行有效,保证关键风险的管理(包括控制和其他风险反应)有效,保证风险信息的分类和报告可靠、适当。
内部审计就ERM提供咨询的程度依赖于组织风险管理的成熟度。在组织尚未建立风险管理体系的情况下,内部审计就执行审计项目时发现的风险问题提请管理层和董事会注意,提出建立风险管理过程的相关建议;如果董事会提出要求,内部审计人员可以协助管理层完成组织风险管理的初步建立工作,甚至可以在董事会允许的情况下制定风险管理战略,指导风险识别和评估,协调实施风险管理措施,此时,内部审计直接参与了风险管理过程;在组织风险管理体系建立后,内部审计可以就管理层的风险决策提供建议、质疑或支持;随着组织风险管理体系的逐步成熟,内部审计可以接受委托提供专项的风险管理咨询服务,或者在提供保证服务的同时提供风险管理建议书,此时,内部审计咨询作用将逐步降低,更多地集中于其保证作用。
总之,内部审计在ERM中的功能不是独立运行、单独设置的,它融合在ERM过程中,与ERM的各个业务环节紧密结合,成为一个完整的统一体。如此,事前防范、事中监控性跟踪式内部审计的功效才能够得到充分发挥,内部审计价值增值的目标才能够得到切实体现。
【参考文献】
[1]JamesRoth.AnEnterpriseRiskCatalyst.InternalAuditor,Feb.2006,81-84.
[2]RussellA.Jackson.RolePlay.InternalAuditor,April2005,44-50.
[3]GeorgeMatyjewicz,JamesRD'Arcangelo.ERM-BasedAuditing.InternalAuditing.Boston:Nov/Dec2004.Vol.19,Iss.6;4-13.
[4]SeanDeLarosa.DCOM,CIA,CISA,CCSA.MovingForwordwithERM.InternalAuditor,June2007,50-54.
【关键词】内部审计;防范风险;提高效益
一、内部审计在企业经营管理中的作用
(一)内部控制
1.内部控制的概念。内部控制是从实践中不断发展、完善起来的。它包含了五个基本目标,一是保证信息的完整性、可靠性;二是保证严格遵循相关政策、法律法规及基本程序;三是保障资产的安全性;四是提高经营管理的有效性和经济性;五是保证所制定的目标及时完成。其中,重点在于内部控制的目标,因为没有预先制定的目标,控制就丧失了它存在的意义。在早期的时候,内部控制包含了两项基本目标,即合规性目标、财务报告的可靠性目标。依照COSO的观点,内部控制制度的目的是为了尽可能的满足企业管理层管理需要,而管理层的责任是依据企业实况来制定相应的企业目标,并分配对应的资源来促进目标的实现。所以,除了以上两项基本目标外,内部控制的主要目标是确保企业经营的效果,提高企业经营管理的效率。一切经营活动、控制措施都是为了去实现目标,如果经营的目标都无法实现,那其他方面的意义也就无从谈起。2.内部审计在内部控制中的定位和作用。作为企业管理的一个分支系统,内部审计和内部控制之间必然存在着紧密的关系。内部审计的重要任务之一,就是要尽早的发现内部控制中可能存在或已经存在的正负偏差,然后提出纠正、改进的建议措施,优化企业的内部控制系统,提高控制的高效性。内部审计应当加强对系统有效性的审计,协助企业的相关管理层及审计委员会,落实好审计的控制任务,减少成本的消耗,发现企业经营中的内控漏洞,提高企业的知名度,促进企业目标尽早实现。
(二)全面风险管理
1.全面风险管理的基本概念。全面风险管理(ERM)包含了三个维度,第一维度是企业制定的目标;第二维度是全面风险管理的基本要素;第三维度是企业的各层级。在第一维度中,企业目标包括了战略目标、报告目标、经营目标和合规目标。第二维度中风险管理的基本要素是内部环境、事件识别、风险评估、目标设定、风险对策、职能部门、子公司及业务线。第三个维度就是企业的层级。为了提高风险管理的水平,企业可以采取以下措施:一是根据企业经营的目标来制定经营策略,保证策略的一致性;二是及时察觉风险,找出风险因素和风险的根源;三是科学评估企业风险;四是制定可行的风险管理措施;五是建立风险控制程序,并严格实施;六是监控风险控制各程序、环节;七是根据监控的过程变化来改进治理措施。2.内部审计在风险管理中的作用。内部审计主要是通过两种方式来实现风险管理。第一种是进行风险管理审计,对风险管理的各个方面进行客观评估,对不足之处提出改进措施。依据国际内部审计师协会的标准,风险管理审计的要点在于评估、认定企业的风险;认定风险管理是否集中在内控目标上;认定风险管理的措施与企业的风格、文化、目标之间是否相符;研究、评价风险管理的相关资料、信息,以评价实际实施的风险管理是否得当;对未采取风险管理措施的当事者提出管理建议。第二种是进行风险导向审计,开展风险导向审计,能够有效地将审计的资源、计划与经营风险紧密结合起来,以发挥出内部审计的作用。
(三)公司治理
1.公司治理的概念。狭义的公司治理是指公司的股东对本公司管理层实施的监督及评价行为,而广义的公司治理就包含了公司所有的内部控制系统。完整的公司治理结构应当包括实现预期目标,维护股东的切实利益;确保利益相关者的合法权益,改善公司的经营情况;确保公司管理层、领导层对公司系统的有效监督。在市场变化日趋复杂化的现实背景之下,公司治理结构与公司的运转、效益、发展都有着紧密联系,这也是公司治理越来越受到重视的主要原因。2.内部审计在公司治理中的主要作用。内部审计在公司治理中的作用主要表现在企业内部审计受到董事、监事等监督和指导,改善经营服务;向有关部门如实报告内部审计活动,了解实际情况及采取有效措施,减少经营成本,提高企业绩效。
二、内部审计风险的特征
(一)客观必然性
内部审计工作是审计者依据自己的专业知识、工作经验来进行客观判断,既然是判断,必然就存在着一定的主观性,必然有一定的风险。因此内部审计的工作性质决定了审计风险的必然性。
(二)时效性
审计的风险存在是有一定时间范围的。超出了这一段时间,审计风险就会自动消除。会计报表会反映企业一段时间的经营管理情况,但企业的经营状况是处于不断变化的状态之下。因此,审计结果只是针对这一审计时间内的经营、管理状况有效,也就是说它有一定的时效性。
(三)潜在性
内部审计的风险是通过审计师的职业经验判断出的,其无法通过明了的数据来得以表达。如果审计人员无需对自己的审计工作承担任何责任,不会受到任何的约束,那就不会有审计风险。因此,审计人员的审计责任决定了审计风险具有一定的潜在性,这是一种隐藏的可能性。只有确实出现了审计错误并带来实际损失时,审计风险才浮出水面。
(四)复杂性
所谓内部审计风险的复杂性,表现在以下几方面:首先是成因的复杂性;其次是形成过程的复杂性,内部审计的每一个过程、每一个环节都有可能产生一定的审计风险;最后是审计风险表现形态的复杂性和审计性质的复杂性。
(五)可控性
风险存在是必然的,但是审计人员可通过自身的努力来不断改进、完善,降低审计的风险。专业能力强、执业经验丰富的内部审计人员能够较为准确地对审计事项进行客观判断、评估,再加上科学先进的计算机工具,审计的误差将会有效减少。所以说,审计风险可以通过自身的努力来减少、控制。
三、内部审计在防范风险和提高效益方面存在的主要问题
(一)审计工作得不到重视,内部审计独立性受到影响
内部审计的独立性是它的重要标志,其表现在机构隶属关系上的独立性,也表现在审计客观性上的独立性。就目前公司的实际状况来看,对企业的内部审计工作不够重视,存在企业领导对审计干扰的情况,对内部审计的发展以及独立性造成了一定的影响。
(二)审计结果未得到充分利用
由于企业对审计工作不够重视,因此对审计成果也未做到充分的利用。目前许多企业都没有将审计结果与党管干部、纪律检查及奖惩经营管理者等进行有效的衔接,致使审计结果没有得到充分展示,其审计结果成了摆设。
(三)审计工作的质量有待提高
部分企业在进行审计时,没有严格的依照法律法规及科学管理办法来实施,致使其与应有的目标存在着较大的差距;同时审计监管部门也没有真正履行好自己的监督管理职能,导致其仍面临着较大的风险。
(四)审计人员的素质有待提高
由于许多销售企业对内部审计的认识有所偏差,对审计工作仍不够重视,常将一些弱者”安插在审计部门,这明显就是对审计工作不重视,导致审计人员素质普遍较低的现象。审计队伍的职业素质和执业能力与打造国际一流”的目标要求不相适应,急需采取一定的措施来尽快提升。当内部审计在企业得不到足够重视,地位不高时,即使专业再优秀的审计人员也不愿从事内部审计工作,也缺乏对审计工作的热情和积极性,难以顺利开展内部审计工作,更别说达到世界顶级的审计质量。
四、加强内部审计工作的对策建议
(一)明确审计工作的重要性
做好审计工作首先应从思想上对其有足够的重视。因此,企业应改变自己的思想观念,认识到审计工作的重要性,提高审计部门的地位;同时,按照审计工作只能加强不能削弱和有效发挥内部审计监督职能作用的原则,进一步强化对内部审计工作的领导,全面实行内部审计由行政一把手”直接分管的办法。
(二)健全完善审计结果运用机制
充分利用好内部审计结果,就要健全、完善审计结果的运用机制。要在经济责任审计领导小组领导下,坚持审计监督与党管干部、纪律检查、追责问责相结合,把审计结果及问题整改情况作为考核、任免、奖惩领导干部的重要依据。同时,要逐步建立并实行审计结果内部公告制度,以切实增强审计监督的威慑力,最大限度地利用和扩大审计结果。
(三)实行审计质量责任追究机制
企业要将审计责任真正落实到对应的责任主体,实行审计质量责任追究机制,提高审计工作者的责任感。中国石化已经制定下发了《审计质量责任追究管理办法》,各级审计部门要遵照执行。要通过严格的责任追究,进一步规范公司内部审计工作行为,促进审计部门严格依法依规审计,切实提高审计项目质量。
(四)提高内部审计人员的综合素质
提高内部审计人员的综合素质,是提高企业内部审计工作水平的基本前提。加强内部审计人员的素质建设,就是要加强学习,多开展专业交流培训活动,提高审计人员的素质、业务水平。具体来说,可从以下入手:一是制定、完善相应的内部审计管理制度,建立业务培训与职业规划相结合的培训体系,拓宽审计人才的培养和成长通道,提高审计工作者应有的待遇,激发他们的工作热情;二是制定审计人员职业岗位资格制度,明确岗位标准、专业结构、胜任条件等要求,并规范审计人员准入机制,选拔优秀的审计人员,以满足企业发展的实际需要。
参考文献
[1]张新男.内部审计风险及其控制[J].合作经济与科技,2016,(21).
[2]张曈.企业内部审计风险及其防范措施研究[J].知识经济,2017,(1).
[3]吴丹.企业内部审计风险成因及防范措施分析[J].经营管理者,2016,(2).
[4]李荣.浅析企业内部审计风险因素及防范措施[J].中国乡镇企业会计,2016,(2).
[5]刘起安.新形势下如何加强防范内部审计风险[J].绿色财会,2015,(12).
[6]王永新.内部审计风险形成的原因及对策[J].临沂师范学院学报,2014,(4).
[7]郑强.引入风险导向审计有效防范内部审计风险[J].市场论坛,2013,(6).
[8]史建生,董冰.信息化环境下内部审计风险成因分析[J].大庆社会科学,2016,(2).
摘要现代内部审计的职能已由传统的监督、评价拓展为监督、评价与咨询服务,逐渐由“监督导向型”向“服务导向型”转变,审计的重点由单纯的财务收支审计转向以效益型为主的管理审计。内部审计部门又积极开展了社会责任审计,于是内部审计开始对从经营决策到经营结果和效果的全过程开展审计,最大限度地为企业提高管理水平,提高经济效益服务,为促进企业长期健康、稳定地发展服务。
关键词建筑施工企业内部审计问题与对策
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。其职能是由内部审计自身的条件和所处的外部环境所决定的。就我国目前的环境和我国内部审计的特点来看,监督检查职能、鉴证评价职能、控制职能、风险预警职能和咨询服务职能应该是内部审计的主要职能。
一、当前我国建筑施工企业内部审计存在的问题
1.企业财务预警机制的作用未能充分发挥。企业财务预警固然重要,但还存在一定的局限性和滞后性,有必要建立一套事前预警体系,其核心是内部控制审查与评价,包括合同管理、总分包管理、项目管理、结算管理、资金管理、物资管理等,而企业集权应是诸多管理中的一条主线。实践证明,很多大型建筑企业有关规章制度得到有效贯彻执行,企业发展是可持续的,反之隐藏着风险,违反程度越严重,风险就越大;随着时间的推移,这些企业就以各种财务数据显现出来。从深层次看,企业内部控制状况折射出领导的经营理念,而经营理念则来自于动机。如果动机与企业长远发展利益相吻合,则从总体上推动着企业向良性方向发展。
2.经济责任审计的确认与咨询的作用不显著。经济责任审计存在的主要问题有:一是国家关于经济责任审计结果作为对企业负责人职务任免和奖惩的重要依据的规定,缺乏与干部管理程序的对接;二是企业经济责任审计目前还是“马后炮”,以事后监督为主,事前监督作用不明显;三是内部审计工作仍未走出财务审计框框,以查错究弊,欠缺实际指导意义;四是企业内部审计机构孤军作战,遇到的困难和压力比较大。内部审计相对于外部审计,独立性较弱。如果被审计单位或被审计项目部采取消极配合、积极防御的措施,将使内部审计工作难以开展。
3.企业内部审计制度仍然存在一定的局限性。很多建筑企业内部审计机构属于两级组织管理体制,这种体制下的建筑企业存在的问题有:一是有的下属单位或工程项目审计信息失真或披露不完整;二是有的下属单位或工程项目对审计发现的与经济运行有重大影响的问题,未及时采取措施,致使损失继续扩大;三是很多单位审计人员严重不足或素质不能适应工作,影响了内部审计工作的正常开展;四是执行内部审计报告制度存在不及时的问题,少数单位与施工项目上报资料不全,个别单位或项目甚至不催就不报。这些对企业及时掌握经济运行的真实情况,做出纠偏决策和采取调控措施,以及促进审计发现问题的整改都是不利的。尤其在建筑企业规模持续扩张,体制机制和产业结构发生重大变革的时期,后果可想而知。
4.审计人员管理意识偏差弱化了内部审计地位。企业大多存在着重经营轻管理弊端,事后很多工程项目经济核算问题仍未根本解决。企业内审人员受专业限制较大,良好的内部审计活动开展,需要审计人员对工程造价、投标竞标、资源配置和整个管理流程有所了解,能够从各类报表中看出问题,从而参与到企业管理中来,而这些往往是很多建筑企业所缺乏的。
二、完善当前我国建筑施工企业内部审计存在问题的对策
1.风险预测和识别。风险预测和识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定,确定企业正在或将要面临的风险。内部审计要对企业所面临的主要风险进行预测和识别,采用决策分析、可行性分析、因果分析和专家调查法等方法,找出未被识别的风险。
2.对已经存在和将要发生的风险进行评估。企业的内部审计人员应用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据,对风险采取相应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法等。
3.提出改进和防范的措施。风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、转移风险还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
4.内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,企业全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度人手,在施工生产、物资采购、工程款回笼、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生的可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范错误的宏观决策带来的风险。
(一)风险、风险因素、风险事故和损失
风险是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性(赵曙明、杨钟,1998)。它具有客观性、普遍性、必然性、可识别性、可控性等特点。在风险的形成过程中,要涉及到风险因素、风险事故和损失三个方面。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。我国的陈佳贯认为,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
二、内部审计参与风险管理的动因
内部审计之所以涉足风险管理领域,主要有以下几个原因:
(一)企业面临的风险日益增大
为了减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。
(二)内部审计对发展的渴求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一??绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
(三)内部审计能够在风险管理中发挥独特的作用
内部审计在风险管理中的独特作用有三:能够客观地、从全局的角度管理风险、控制、指导企业的风险策略、内部审计部门的建议更易引起重视。
近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计部门和内部审计人员对企业面临的风险更了解;内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
三、内部审计如何参与风险管理
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:
第一,评估风险识别的充分性;
第二,评价已有风险衡量的恰当性;
第三,评估风险防范措施的充分性,并提出改进措施。
(一)评估风险识别的充分性
所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。
(二)评价已有风险衡量的恰当性
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否信当,对不恰当的估计予以更正。采用的方法主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法、蒙特卡罗模拟方法等。
(三)评估风险防范措施的充分性,并提出改进措施
风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,已强化企业的风险管理,降低风险损失。采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
关键词:军队审计;风险控制
控制与防范军队审计风险的措施,我们把它归纳为强化风险意识、理顺管理体制、整顿经济环境和加强制度建设这四个方面。下面具体阐述:
(一)强化风险意识
风险,是靠人控制的。人的行动是受思想支配的,有什么样的思想意识,就有什么样的控制行为。因此,我们把强化风险意识,作为控制与防范军队审计风险的首要措施。古人讲:“读书好,种田好,学好都好;读书难,种田难,知难不难”。一样的道理,审计有风险,知险不险。只要我们从思想上强化风险意识,时刻绷紧“控制盒防范审计风险”这根弦,我们就有理由相信,办法一定比风险多,我们就一定能够找出办法来,应对审计风险。
强化风险意识,不能只停留在认识上,更不能只喊口号,一定要有相应的措施加以落实。比如:在筹划审计工作时,要把控制审计风险作为重要内容,安排审计计划时,要安排出时间来,专门进行审计风险调查;在审计工作准备阶段,要对固有风险和检查风险进行专门的测试和评估,通过科学的技术手段,查清楚潜在的审计风险水平,做到心中有数;在审计工作实施阶段,要根据对审计风险水平的测试与评估结果,采取相应的措施对风险加以防范;在审计处理处罚阶段,要特别注意防止因为处理处罚不当而带来的过度风险。
这里,需要特别强调的是,强化风险意识,不要上下一般粗,也不要左右一般齐,一定要突出重点。我认为,当前,应当重点抓好军事斗争准备项目审计、国防科研事业费审计、装备审计、领导干部经济责任审计和出包工程审计等这些领域的风险防范工作。从实践的情况看,在这些领域中最容易发生审计风险的是领导干部经济审计和出包工程审计。比如:领导干部经济责任审计,它就要防范审计风险的重点领域。为什么它是防范的重点领域了?因为它把审计的结果人格化了。对领导干部的经济责任审计,就是对领导干部履行经济责任的能力,和廉洁自律的状况进行考核,审计结果,与干部的褒贬奖惩和进退去留密切相关。如果没有问题,我们说成有问题,这就是埋没了好干部;如果有问题,我们没有发现,就等于为带病提拔的干部“背书”。因此,领导干部经济责任审计,不仅高层重视,基层关注,特别是被审计领导干部尤其计较,是一种十分敏感的审计,风险很大。一褒一贬,事关声誉,事关前途。人们对经济责任审计项目,其风险指数就越高,凡是人们高度重视的审计内容,就容易发生审计风险。因此,审计部门和审计人员必须强化风险意识,采取一切积极的手段,努力的防范和控制军队审计风险。
(二)理顺管理机制
体制,就是体系制度。人们在研究社会改革的时候,首先想到的是体制改革。因为组织体系和组织制度,是一切社会组织赖以生存和运转的基础。人们在遇到社会问题的时候,首先就要从体制方面去寻找应对的措施。因此,我们在寻找应对军队审计风险的措施时,当然要从体制上想办法,从体制上找对策,理顺管理体制,最核心的问题是要保证军队审计的独立性。首先,组织要独立,必须做到与被审计单位没有隶属关系,独立于审计对象之外;其次,人员要独立,做到审计人员不参与被审计单位的经济活动,与被审计单位不存在经济利益关系;再次,工作要独立,做到审计部门和审计人员依法独立开展工作,其他部门人员不得干扰和干涉;最后,经费要独立,做到审计部门必须的经费,纳入军费预算,依法实施保障。目前看来,这些问题都还有些差距,关系不畅通,审计人员在执行审计任务时,容易受到体制内各种关系的约束和牵制,组织上、工作上独立不起来,经费上也有些依赖,很难独立地实施审计,容易引起审计风险。所以,我们必须在理顺体制上下功夫,目的就是要让我们的审计人员能够不受干扰地、客观公正地开展审计工作,规避审计风险。
关于理顺审计体制的问题,有两点我们必须强调:第一,体制改革问题,是一个顶层设计和顶层决策的问题,它是由中央军委和总部机关决定的,不是普通的审计人员可以左右的。但是,进行一些必要的研究和探讨还是可以的。应该说,这几年,经过全军上下的研讨和呼吁,审计的独立性问题越来越受到关注和重视。第二,体制是重要因素,但不是决定的因素.决定因素是人。因此,在理顺审计管理体制的同时,必须要强调审计人员在思想上,人格上的独立。我们必须把审计人员思想、人格的独立性与体制上的独立性有机结合起来,才能真正达到理顺管理体制的目的。
(三)整顿经济环境
这里所说的整顿经济环境,就是要整顿军事经济环境。愿意有两个,第一,当前军事经济环境确实存在问题,确实需要整顿。审计的时间表明,当前的审计风险和潜在的审计风险,基本上都是由于军事经济领域内,内部控制制度不严、会计信息失真、财务管理混乱、经济运行失序,或者是故意所带来的。如果不加以整顿,无论是预算审计、经济责任审计、装备审计、基建审计,还是其他类型的审计,都要面临、甚至还会发生巨大的审计风险。因此,必须加以整顿。第二,这是军队审计基本职能的必然要求。军队审计与地方审计不同。服务部队、服务打赢是它的基本职能。审计是手段,服务是目的。因此,军队审计形成了一个传统的原则叫做“一审、二帮、三促进”,就是要通过审计帮助被审计单位改善管理、改进工作,促进军事经济工作健康有序发展。帮助被审计单位整顿经济秩序,是审计部门不可推卸的责任。同时通过,整顿经济秩序,又可以控制盒防范审计风险,从这个意义上讲,整顿经济秩序,也是应对军队审计风险的重要对策。
(四)加强制度建设
实践表明,要防范和控制审计风险,最可靠、有效的办法,就是依托制度进行管理。过去,我们在审计制度建设上,已经有了很好的基础,但是,随着实践的发展和人们对审计期望值的提高,许多新的矛盾和问题凸显出来,带来了新的风险,需要新的制度加以调整和规范,以规避新的审计风险。因此,加强制度建设,是防范和控制审计风险的一个重要措施。
当前,最重要的是要抓好新制度的建立和完善,现行制度的贯彻和落实两个方面的工作。1、在新制度的建立和完善上,重点是要抓好审计质量责任追究制度、交叉呼声制度、设计处理处罚制度和审计结果运用制度等制度的建设。其中,审计质量责任追究制度,针对设计部门和审计人员的监督制度,是一个审计部门自我管理的制度,也是军队审计基础建设的的重要内容;交叉互审制度是针对一些敏感的、受到较大干扰的项目,所建立的审计制度。即在共同的上级审计机关的统一组织下,甲地的审计人员审查异地的审计项目,异地的审计人员审计丙地的审计项目,依次类推,循环交叉进行。这样可以有效地避免人为因素的干扰,使审计结论更加真实可靠。
关键词:事业单位;风险管理;内部审计;参与路径
中图分类号:F239文献标识码:A
收录日期:2015年10月15日
随着国家对事业单位财政资金投入的加大,以及财政管理体制改革的深入,在原有管理体制下,事业单位对财政资金的风险管理水平较低,运行效率低下,已经不适合现在的发展需求。如何防范风险,加强风险管理,已成为事业单位面临的重要课题。与事业单位的其他部门相比,内部审计相对独立,它能从事业单位全局角度识别和评估风险。根据国际内部审计师协会(IIA)的要求,内部审计要积极参与组织的风险管理。因此,借鉴企业在风险管理方面的先进经验,根据COSO的ERM框架,使内部审计可以成为风险管理的“再管理者”,在事业单位风险管理中发挥重要的作用。
一、内部审计与风险管理概述
(一)内部审计概述。审计分为国家审计、民间审计和内部审计,其中国家审计和民间审计属于外部审计,而内部审计的机构设置和人员配备都在组织内部。内部审计经历了由财务审计、经营审计、管理审计和风险导向的综合审计四个阶段。从内部审计的发展过程来看,呈现职责范围不断扩大、静态向动态转变的特点。内部审计的发展过程完全是顺应当时现实社会经济环境的变化,也在现代事业单位治理的不断完善过程中发展演变。
国际内部审计师协会(IIA)在《内部审计实务标准(2001年版)》修正了内部审计的定义,指出内部审计是一种独立、客观的确认和咨询活动,目的在增加组织价值和完善组织的运营。同时,内部审计有必要采用一种系统和规范的方法来参与组织的风险管理、控制及监督过程,并进行评价,从而提高过程效率,以帮助组织实现目标。根据这种观点,内部审计的职能和范围已经扩展到组织的风险管理、控制与治理程序。因此,现代内部审计既要关注财务数据,还要关注更广泛的经营领域,在指导和监督组织合规经营的同时,还要积极组织人力和资源,参与和改善组织的各项风险管理状况,以期实现组织的最终目标,为组织增加价值。
(二)风险管理概述。风险是指可能对目标的实现产生影响的事件发生的不确定性。对于事业单位来说,风险是由于某种不利因素导致事业单位发生损失,并致使其目标无法实现或降低实现目标的可能性。风险具有不确定性、客观性、普遍性、必然性、可识别性等特点,是能够通过有效的管理达到有效控制和规避的。风险管理是一种全过程管理,它贯穿于事业单位经营活动的始终,包括事前、事中和事后。风险管理的主要内容是采取一定的措施对风险进行检测和评价,并使风险降到可以接受的程度,以及将其控制在某一可以接受的水平上。
美国COSO委员会在2004年9月的《企业风险管理(ERM)――整体框架》中,提出了“全面风险管理”的概念。“全面风险管理”强调全面和全过程的风险管理。这同样适用于事业单位。事业单位可以借鉴“全面风险管理”的理念,从事业单位目标制定一直贯穿到事业单位的各项活动中,用于识别那些可能影响事业单位的潜在事件和管理风险,使其在事业单位可以接受的风险偏好范围内,从而有效确保事业单位实现既定的目标。
(三)内部审计与风险管理的关系。国际内部审计师协会(IIA)在2002年的《ERM:TrendsandEmergingpracticesconclude》中指出:“在21世纪,风险管理将会变成组织管理的主要部分,这会影响公司如何被组织委派首席风险长向CEO和董事长报告,同时也会影响到内部审计的执行。”2005年,罗伯特・R・莫勒尔的《布林克现代内部审计学》也认为:“风险管理应该成为内部审计计划评估过程的组成部分,内部审计师要用一个正式的过程来帮助理解风险并尽力将工作集中在高风险领域。”
在组织的风险管理过程中,内部审计师通过评估组织的内部环境、识别组织的风险事件、检查组织的风险应对措施和评价关键的风险报告,能够使得组织的风险得到有效的管理,从而保证组织有效的运行;另一方面内部审计师可以协助组织制定相关的风险管理战略、指导制定相关的风险应对措施、强化组织对风险的报告,达到更好地为组织风险管理提供咨询服务的目的。要注意的是,为了保证不损害内部审计的独立性和客观性,内部审计师不能设定风险偏好,不能对管理层做风险保证,也不能对风险反应进行决策,更不能代表管理层执行风险应对措施和承担风险管理的责任。
二、内部审计参与事业单位风险管理的路径
在COSO的《企业风险管理(ERM)――整体框架》中,风险管理包含内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素,这些要素贯穿于企业风险管理的全过程。在ERM框架中,内部审计的职能是“通过检查、评估、报告和建议,来帮助管理层和董事长或审计委员会进行有效的企业风险管理。”对于事业单位,内部审计也可以作为风险管理的“再管理者”,首先从事业单位的风险环境进行评估,然后对事业单位风险管理部门的工作进行监督和控制,最后是做好信息的传递和沟通工作。
(一)事业单位风险环境分析。环境会对组织目标实现产生不确定性影响。根据风险管理框架,风险环境分为外部环境与内部环境。对于事业单位来说,外部环境风险主要是国家法律法规及政策的变化、经济环境的变化、科技的快速发展、自然灾害及意外损失等。内部环境风险主要来源于事业单位经营活动的特点、资产的性质以及资产管理的局限性、人员的道德品质等。
为了有效地参与风险管理工作,内部审计部门必须结合事业单位运行目标进行风险环境分析,将事业单位运行目标和阻碍运行目标实现的风险系统地加以联系。内部审计首先要列出与组织目标相关的关键性成功因素和可能阻碍成功的风险因素,可以运用SWOT模型、KSF模型将识别的风险因素逐一列出,并从事业单位组织目标的角度分析判断风险因素对组织目标实现的影响程度。同时,建立风险分析矩阵,将事业单位的运行目标与潜在的风险联系起来。
(二)对事业单位风险管理部门的工作进行监督和控制
1、评估风险识别的充分性。事业单位风险管理工作的基础是风险识别工作。风险识别就是指对事业单位所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,要确定事业单位正在或将要面临哪些风险。内部审计人员必须保证风险识别的充分性,保证所有重要的风险都被识别出来。
内部审计人员应该结合事业单位的组织目标,检查和评估有关单位和职能部门对风险的识别、检查,并提出建议,通过取得的证据来评价事业单位风险管理部门是否全部识别出事业单位所面临的主要风险。内部审计部门和人员可以采用的方法包括决策分析、可行性分析、统计预测分析、流程图分析、资产负债表分析、因果关系分析、损失清单分析、保险调查法和专家调查法等。
2、评估风险级别的适当性。事业单位风险管理部门识别所有潜在的重要的风险后,会对这些风险的等级进行测量,也就是对这些风险级别进行评估。内部审计人员要对事业单位风险管理部门做出的风险评估结果进行再次确认,以确定其是否恰当,并修正不恰当的风险评估结果。
在风险评估的再次确认活动中,内部审计部门要运用管理工具和技术分析风险。首先,要建立风险评价指标体系,收集并整理相关资料,对风险因素进行分析;其次,根据预先确定的风险评价指标体系,对已识别的风险事件进行定性分析和定量分析,从而实现对风险有效的计量。评估要注意与事件相关的不利事件;最后,进行综合评价,对比和分析内部审计部门与事业单位风险管理部门的结论,对风险评估进行再检验,确定其是否恰当。
3、评估风险应对措施的合理性。在风险被识别和评级以后,就应该采取措施减轻风险,将风险降低到可接受的水平,以及增加所期望的结果发生的可能性。事业单位可以根据组织预先设定的风险偏好,来采纳风险应对的方法。风险应对的方法,有风险处理、风险规避、风险转移和风险接受四种。
内部审计部门要对风险管理部门采取的风险防范措施进行检查,并评估其是否充分、得当。内部审计师在评估风险应对措施时应考虑以下三方面:(1)采用此种方法的成本与承担风险所付出的代价的比较;(2)此风险所致损失的概率和程度的大小;(3)是否具有处理风险的技术。
如果缺乏充分的风险控制措施,在这种情况下,内部审计部门应当提出改进措施和建议,以加强事业单位的风险管理,从而降低风险损失。可以采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
4、跟踪与评价风险控制活动。在选择与实施风险应对措施以后,管理者就需要实施控制或其他可减轻风险的活动,将风险控制在一定的水平。事业单位风险控制是对事业单位整个风险进行控制的活动,控制活动贯穿于整个组织,包括:批准与授权、证实、观察、鉴定、协调、经营成果复核和资产实物保全等。
内部审计部门要跟踪风险控制活动,并及时评价风险控制效果。内部审计部门要测试这些控制活动的有效性。内部审计部门可以采用流程图法和调查表法,将测量结果与高层管理者设定的目标进行对比,如果超出了限度,内部审计部门就应该及时将背离结果向高层管理者汇报,以便于高层管理者决策。
(三)确保信息正确及时地传递与沟通。实现风险管理信息的传递与沟通是有效实施事业单位风险管理的必要条件之一,其功能是将事业单位内外部的相关风险管理信息进行确认和传递,以监督事业单位各部门及其成员有效履行各自的职责。
内部审计部门可以通过信息技术和定期的内部报告,将与风险有关的信息在事业单位内展示。内部审计部门要保证这些信息能够正确及时地传递给管理部门、供应商、消费者等利益相关者,并且就风险管理方面的信息进行沟通。
三、内部审计参与事业单位风险管理应注意的问题
(一)将内部审计全面融入风险管理。从国际内部审计师协会对内部审计的新定义就可以看出,内部审计的职能和范围已经不限于监督和评价,而是扩展到了确认和咨询,其最终目的是为了满足客户的需求。如果不能够满足客户的需求,企业将会在竞争中淘汰。现在,事业单位运行环境日益复杂,风险管理在组织管理中非常重要。因此,内部审计人员要扩展内部审计的职能和范围,积极参与风险管理,树立为客户服务的理念。在实践中,内部审计部门应该是在审计委员会的领导下,将风险管理融入到内部审计的体系中,使得内部审计成为风险管理的重要组成部分,从而充分发挥其作用,能够更好地为风险管理提供建议与咨询。但是,要严格区分内部审计与风险管理的权利与责任。
(二)兼顾内部审计的独立性和客观性。独立性是内部审计的灵魂,这要求内部审计部门独立于管理部门。而组织的风险管理又强调内部审计人员要与事业单位管理层之间进行沟通。而国际内部审计师协会(IIA)实施建议的“双报告”模式可以比较有效地解决这个问题,使得内部审计能够兼顾独立性和客观性。具体而言,就是内部审计部门在职能上向审计委员会报告,在行政上向事业单位负责人报告。职能性报告关系可以使其不受管理层的影响,而行政上的报告关系则能够取得最高管理层的支持,进而获得被审计部门的合作,还能够避免有关职能部门的干扰。“双报告”模式能够较好地处理内部审计与组织的治理机构和管理层之间的关系,也能够保证内部审计的独立性。
(三)优化内部审计部门的人力资源管理。为有效参与事业单位的风险管理过程,评估和应对事业单位所面临的风险,内部审计人员不应局限于会计专业和审计专业,应该适当吸收市场专家、计算机专家、管理顾问、工程师、舞弊检查专家等多种专业人才,优化内部审计队伍,满足事业单位风险管理的需要。同时,在事业单位内部可以建立人才流动机制,实现内部审计人员的内部流动。这样能够使事业单位成员对事业单位范围内风险和控制有关的知识有一个全面的了解,还可以使得内部审计人员与事业单位其他职能部门的人员保证良好人际关系,从而有利于事业单位的风险管理工作,提供风险管理的效果。
(四)提高内部审计人员自身素质。内部审计工作本身就是一项复杂的工作。而在新形势下,内部审计人员还要参与事业单位的风险管理,应用专业技术知识来预防和减少事业单位的风险,在风险控制和改进组织治理的效果方面发挥咨询和服务作用。这样就要求内部审计人员从以下三方面提高自身素质,才能胜任风险管理工作。首先,内部审计人员要掌握一定的信息技术。面对事业单位普遍使用的信息技术和日趋复杂的运行环境,要想有效行使风险管理职能,必须要掌握计算机辅助审计技术和其他数据分析技术;其次,内部审计人员要具备良好的沟通技能。为了有效地参与风险管理,提供建设性的意见,内部审计人员需要深入调查内部控制和经营管理的现状,取得被审计部门的理解、参与和合作。在这过程中,良好的沟通技能是必不可少的;最后,内部审计人员还应具备创造性的思维模式。事业单位经营风险存在的原因是由于其内外部环境中充满了不确定的因素,内部审计人员有创造性的思维模式,才能适应不断变化的环境,进行有效的风险管理。
主要参考文献:
[1]张玉.IIA“内部审计”定义中文翻译修改说明[J].中国内部审计,2005.9.
[2]王华庆.风险监管原理与实务[M].北京:中国金融出版社,2003.
[3]张巧良,房亮.内部审计在ERM中的作用机制探讨[J].商业时代(理论版),2007.3.
[4]宁静芬.审计参与风险管理研究[D].山西:山西财经大学硕士论文.
[5]李明辉.内部审计的独立性:基于内审机构报告关系的探讨[J].审计研究,2009.1.