浅析内部审计在风险管理中的作用

公司的目标在于增值，管理成功的重要标志是具备较强的风险应变能力。内部可以帮助管理层发现、评估重要的风险因素，促进建立完善恰当的风险管理过程及程序，推动这些过程和程序充分地运作，保持有效的控制。
   
    一、公司风险管理的必要性与风险管理过程的目标
   
    (一)实行风险管理的必要性
   
    竞争能力关系到公司的生存与发展，竞争必然带来风险。由于未来的不确定性，管理层对战略计划预算的决策、组织实施、资源利用效果和效益难以把握，因而实现目标的管理过程客观存在风险，有必要实行风险管理。
   
    “风险”是指某种不利因素产生的可能性，其衡量标准是遭受损失的后果与可能性。“风险”具有双面性，它既可能带来损失(负面影响)，也可能带来机会(正面影响)。公司是以盈利为目的的法人实体，目标是维护信誉与价值。公司可能面临的风险有：⑴组织风险。组织结构和战略目标的适应程度。⑵企业、人员素质对竞争环境的适应及全员对战略目标和管理政策决策的认同程度。⑶生产经营风险。不地获取或无效利用资源。⑷采用新技术风险。包括革新高于收益，技术周期过短或运用新技术干扰日常工作。⑸信誉风险。产品或服务不受欢迎，媒体负面宣传等使公司信誉受损。⑹内部控制风险。对记录、程序及数据文件等的接触，缺乏权限控制及核算错误和舞弊行为。⑺业绩评价风险。以不适当的标准体系衡量业绩，或未对经营业绩定期进行独立的审查，影响公司的效益、效率和效果。⑻资产安全。因授权和分工不当影响资产的保护。⑼使用错误或片面的信息资料导致决策失误。⑽活动偏离政策、计划、程序，影响目标和任务的完成。
   
    各种风险因素由于客观条件的综合作用，表现为风险征兆，如不及时控制其变化趋势和触发条件，将给公司经营带来损失。实行风险管理，建立风险控制体系，可转化风险影响，争取有利后果。对风险来源、可能的风险事件和风险征兆预测分析后，采取风险应对措施是风险管理过程关键所在，包括通过消除风险起因来规避某一特定威胁，如强化控制降低风险，通过合作者分担或投保转移风险，采取调整回报率或其它措施来减轻风险损失。管理层在比较控制、规避风险的成本和预币值，权衡利弊后接受剩余风险。
   
    (二)评价公司实现风险管理过程的目标
   
    公司管理层出于了解和处理所面对风险的需要，必须建立机制以识别、分析与管理相关的风险，称之为风险管理过程。内部审计评价风险管理的充分性，应取得审计证据，确认是否达到风险管理过程的五个主要目标，即：⑴找出影响经营战略与业务活动领域的风险，按风险大小排序；⑵管理层和审计委员会已经确定了公司可以接受的剩余风险，包括为实现战略目标而接受的.风险；⑶设计和实施了降低风险的内控活动，把风险降低和控制在管理层和审计委员会可以接受的水平上；⑷持续地观测监督活动，定期对风险的控制及有效性进行再评估，降低管理风险；⑸管理层定期听取风险管理过程的结果报告。公司经营管理过程应该包括定期向有相关利益各方传达风险预测、风险战略和控制情况。最后，管理层所应用的特定风险管理过程必须适合该公司的，管理风格以及工作目标。
   
    二、内部审计在风险管理中的优势
   
    内部审计处于相对独立的地位和在管理过程中特定的职能，在评价内部控制、协助建立健全风险控制过程方面具有诸多优势和重要作用。
   
    首先，内部审计以推进公司规范化运作和管理，优化内控环境，增加公司价值为目的，具备服务内向性的定位优势。相对于国家审计与中介审计，内审始终围绕增加公司价值开展工作，目标定位是“管理，效益”。它与公司的生存发展息息相关。它熟悉管理过程、贴近内部管理，是规范经营管理的助推器。
   
    其二，内部审计是一个持续的内部监督服务过程，是现代企业管理的重要职能，其作用是其它职能部门无法替代的。内部审计处于公司各职能部门或所属分支机构之间，不直接参与经营活动，具有相对的独立性。因此，内审不仅要抓好以评价经营活动及其信息的真实性、合规性为主要内容的基础审计，还要利用基础审计资料，通过开展对各种信息的真实完整、资产安全、资源有效利用的全面审计活动，评价内控制度的健全性、遵循性、科学性；保证战略目标和计划、各种政策、制度、程序得以贯彻执行；检查公司目标的完成情况和运营的效率、效果与效益，提出改进意见，并抓好整改促进规范化管理。
   
    其三，实行内部审计是企业风险管理的需要。公司外部环境的快速变化和成本压力、诸多风险因素给管理层危机感，需要建立内部权力制衡机制和激励约束机制，以保证公司控制政策、程序和控制活动的实施。内部审计通过内控制度的评价，对公司经营活动进行风险识别和评价，符合公司化经营管理的需要。内审职责是采取系统化、规范化的方法促进建立风险管理过程，强化内部控制，改进风险管理与控制体系，通过审计及时发现风险，报告预测后果，提请管理层关注风险、科学决策，完善管理、提高效率，转化风险负面影响，利用风险机会提升企业竞争能力和应变能力，从而实现公司目标。
   
    三、内部审计在风险管理过程如何发挥作用
   
    (一)内部审计应熟悉公司的经营管理过程，有效识别风险。
   
    内审熟悉公司业务流程和管理过程，因而具备有效识别风险，分析影响的优势。如“中油”是集科研、勘探、开采、生产加工、销售为一体的境外，业务流程包括资金流、物流、人才流、信息流，能源流等。确定发展目标、资源的取得与配置、生产经营、业绩考核控制等管理多个过程贯穿整个业务流程。总部通过预算管理制度及业绩考核、用人激励机制，将风险压力层层传递，实施各种应对风险的控制活动。如“中油”所属某销售分公司是委托法人，承担的经营管理职能不全面。其经营职能是加快流通速度，完成商品流通，降低费用、实现优良价值，赢得市场与效益最大化。其面临的风险主要有以下几方面：(1)建设投资风险；(2)库存商品风险；(3)推介与促销“双赢”的风险；(4)企业信誉风险；(5)资金管理风险；(6)是业绩评价和用人激励机制风险；(7)内部控制风险；(8)实际活动偏离计划、预算的风险；(9)。


    
    (二)以风险评估为基础，优选审计项目。
   
    内部审计范围包括检查、评价筹资投资管理、经济运行与资产安全、资金管理及会计核算等管理过程的内部控制效果与效益。审计计划和项目选择，应以风险评估结果确定优先顺序。只要存在风险暴露，不管其表现为实际业务偏离计划预算、资产的潜在损失还是管理与会计信息的错报，都应列为审计重点排序。风险影响类似的选机率较高的，风险机率相近的选征兆明显的。有违规迹象或状况不佳，或业绩与预算差距较大、资产或投资额大、审计间隔较长、高层管理人事调整、变更经营预算或业务流程等，都可作为首选审计对象。
   
    (三)内部审计的重点是进行管理过程的内控审计。
   
    内部审计应帮助管理层有效识别风险因素，相应调整经营策略和强化内部控制，进行各项克服风险的活动，适时将“威胁”转化为“机会”。内部控制是保证公司达到目标的有效的控制系统和必要手段，其总体设计应以风险评估为依据，包括控制环境、风险评价、控制活动、信息和沟通。管理层利用内部控制设计公司组织机构、岗位设置与管理运行机制，建立各种控制政策、程序和措施，运营过程授权、操作、监控，岗位责权分离，防止或发现公司职员履行职责时的重大违规行为和虚假信息，保证资产安全和核算真实；了解目标实施情况、适时纠正偏离行为，保证管理各个过程，流程各个环节的活动围绕组织目标进行。