风险:一般含义
观点1:根据《韦氏国际大辞典》(第三版)的解释,风险(risk)有两层含义:其一,易变化的特性或状态,缺乏肯定性,即不确定性(uncertainty);其二,具有无常的、含糊的或未知性质的事物。
观点2:根据《辞海》(上海辞书出版社,1989年)的解释,风险:是指人们在生产建设和日常生活中遭遇可能导致人生伤亡、财产受损及其它经济损失的自然灾害、意外事故和其它不测事件的可能性。
观点3:风险在英语中有三种表达词汇:Risk、Peril和Hazard。根据Risk的词义,风险是指不利事件发生的可能性;根据Peril的词义,风险是指所发生的不利事件本身,如火灾、洪水、车祸等;根据Hazard的词义,风险是指不利事件发生的条件,即发生事故的前提、环境、诱因等,如涉及火灾事故,风险往往指物品的质地、周围的火种环境、气象条件等。
在企业的日常运作中,风险的来源包括硬件失误、软件失误、组织性失误和人为错误等。忽视这些风险的存在,往往使企业难以面对突如其来的各种负面因素的冲击,不堪承受难以估量的财务损失。所谓风险管理是就指对企业实现所定目标可能发生的风险的管理,是一种涉及多层次、多方面的企业管理职能。风险无处不在,他广泛存在于现代企业管理的“人、财、物、供、产、销”各项环节;然而随着知识经济、信息时代的到来,风险不但没有减少反而与日俱增。
所以企业风险管理必须加强内部控制,内部控制贯穿于企业经营的各个方面,只要存在企业的经营管理,便需要有相应的内部控制。一个良好的内部控制环境能够保证经营方针和计划的贯彻与执行;维护企业资产的安全与完整;保证所有的交易和事项以正确的金额、在恰当的期间记录于适当的账户中;确保会计报表的编制符合会计法规、准则和制度的相关要求;同时还能防止、披露和纠正错误与舞弊现象的发生。内部控制是企业风险管理的重要内容,然而内部审计是内部控制的重要组成部分。
目前大部分大型的中国企业都设置了内部审计部门,但也存在着一些突出的问题。像内部审计部门不是由公司高管层领导并向董事会或审计委员会独立提交报告;内部审计工作范围局限于核实财会方面的交易,较少触及企业业务流程方面的风险管理和监测,从而未能就企业风险管理担起监督作用;公司的内部审计部门没有定期向管理层提交内审报告;内审部门一般仅隶属于财务部门领导,角色、职责和报告线路不明确并缺乏独立性;内部审计人员的水平和内审方法有待提高,以及缺乏一套系统化和科学化的内审程序等。这就使内部审计不能充分发挥其作用,因而需要进一步完善与发展。内部审计在现代企业风险管理中要如何发挥作用呢?
1、内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。
如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。(例如,某公司开发的企业风险模型,在实际工作中把风险分为以下三类:①环境风险:包括竞争对手、客户需要、技术创新、敏感性、股东关系、资本可得性、主权/政治、法律、监管、行业、金融市场和意外损失等;②过程风险:包括操作风险、授权风险、信息处理/信息技术风险、忠诚风险和财务风险;③决策所需信息风险:包括经营决策所需过程/操作性信息风险、决策所需商务报告信息风险、决策所需环境/战略风险。风险模型的分类、细目及包括的各种具体风险共同为企业及其业务单位提供了一套“风险语言”。)由于内部审计人员长期立足于本企业的具体岗位,比较熟悉公司的业务并能够随时深入到生产经营的全过程去了解掌握具体情况。审计人员只有通过周密详细的审前调查,收集到大量的第一手资料,从中发现存在风险的隐患问题,进行风险分析,才能根据重要性和成本效益原则制定出全面而且符合实际的审计工作计划。但是,管理层如果建立了风险管理过程,那么,来自于综合性风险管理过程的信息,则有助于内部审计人员更快地制定审计工作计划,提高工作效率。因此,内部审计人员可以促进风险管理过程的建立或使风险管理过程的建立成为可能。
2、内部审计可以通过咨询服务的方式,积极协助公司风险管理过程的建立。
风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配给一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求,内部审计部门可以协助,但不能超出正常的保证和咨询范围,以免损害独立性。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。
3、内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。
(1)评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查企业的经营战略,了解企业能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与企业风险管理战略不一致,应进行报告。
(2)评价管理层选择的风险管理方式的适当性。由于各个企业的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个企业应根据自身活动来设计风险管理过程。一般说来,规模大的、在市场筹资的企业必须用正式的定量风险管理方法;规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价企业风险管理方式与企业活动的性质是否适当。
4、内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。
在现代企业制度下,企业全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
总之,内部审计人员通过各种各样的方法来确认危及组织的财务政策、经营程序和业务战略目标的风险,以及评估组织的内部控制系统的充分性和有效性。控制与风险自我评估(CRSA)是风险管理的重要方法,有效的自我评估是成功管理风险的关键。内部审计在风险管理方面所起的重要作用是通过对于风险管理的自我评估来实现的。
