审计风险包括固有风险、控制风险和检查风险。
审计风险是对含有重大不实事项的财务报表产生错误判断的可能性。它不包括审计人员可能误认为财务报表含有重要差错的风险,因为在这种情况下,审计人员往往可以重新考虑或增加审计步骤,这些步骤经常使审计人员得出正确的结论。审计风险的大小受内在风险、控制风险和检查风险的影响。被审单位会计处理过程中发生重大不实事项的可能性称为内在风险;被审单位内部控制系统不能发现和改正已发生的重大不实事项的可能性称为控制风险。审计人员在执行审计程序时,不能查出重大不实事项的可能性称为检查风险。审计风险由内在风险、控制风险和检查风险组成,它们之间存在如下关系:审计风险=内在风险×控制风险×检查风险,这就是审计风险模型。审计风险并不能在审计结束时以数学形式加以确定,因为审计人员并不知道实际风险,而要用判断来评价每种相关风险。
一、健全企业风险管理机制的必要性
企业自注册成立的第一天起,就面临着各种各样的风险。比如:国家宏观经济政策调控风险、经营环境风险、组织性失误风险和领导层决策失误风险等。忽视这些风险,现代企业就难以应对突如其来的各种风险因素的冲击,不堪承受难以估量的财务损失和经营困境。亚洲金融风暴是一个非常发人深省的例子。期间,不少发展迅速但长期忽视风险管理的企业的潜在问题集中浮现出来。由于这些企业的决策层事前低估了经营非核心业务的风险、业务扩张所需资金的风险、借贷带来高负债的风险以及国际投机资本市场等多种风险,因而引发巨大的灾难,最终导致许多企业被迫宣告破产或被并购。由于当今现代企业面对着许多隐藏在不同层次的各种风险,使利润的增长变得不稳定,而同时现代企业又要面对投资者不断提高的各种要求,因而迫切需要采取各种方法控制风险,避免损失。
所谓风险管理,就是指现代企业为实现所定目标,对可能发生的各种风险进行一系列防范、控制的管理活动,是一种涉及多层次、多方面的现代企业管理职能。风险管理同时也是一个过程,是由现代企业的董事会、管理层以及利益相关人员共同实施的,应用于制定现代企业战略及各个层面的活动,旨在识别和防范可能影响现代企业的各种潜在危机,并按照现代企业的风险理念健全完善风险管理机制,为现代企业目标的实现提供合理的保证。一般认为它有八个组成要素:企业经营环境、企业目标设定、危机预警识别、风险评估水平、风险因应对策、危机控制活动、信息与沟通、监控能力。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构,它应该能够帮助企业建立并强化应对困难的组织能力,这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力,就是现代企业必须构建一种切实有效的内部控制框架体系。
二、内部控制与内部审计的有机联系
现代企业内部控制体系属于现代企业的内部管理系统之一,包括为保障现代企业正常经营所采取的一系列必要的管理措施。内部控制贯穿于现代企业经营的各个方面,只要存在现代企业的经营管理,只要现代企业的经营管理存在着风险,便需要有相应的内部控制。一个运转良好的内部控制体系能够保证企业经营方针和计划的贯彻与执行;维护现代企业资产的安全与完整;保证所有的交易和事项的真实性、合法性;确保会计报表的编制符合财经法规、财务准则和制度的相关要求;同时能防止、披露和纠正错误与舞弊现象的发生。内部控制是现代企业风险管理的重要内容。
内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、方法程序一起列为内部控制的重要组成部分。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制,进而提高现代企业风险管理水平。美国COSO委员会报告及《萨班尼斯———奥克斯利法》法案为内部审计人员参与和进行风险管理提供了可以借鉴的工作指南和参考依据并得到广泛的认可,这在很大程度上表明:以现代企业风险管理为导向,开展对内部控制审计,将成为内部审计工作发展的主要方向。
三、现代企业风险管理导向下的内部控制审计工作
内部审计是现代企业内部一种独立客观的监督和评价活动,是现代企业风险管理的重要组成部分。它通过审查与评价现代企业本身及所属单位财务收支,经济活动的真实性、合法性及有效性,促进现代企业加强业务管理,实现经济目标。
目前,我国大部分大中型现代企业都设置了内部审计部门,但存在着一些突出的问题。比如:内部审计部门不能向股东大会、董事会或监事会独立提交审计报告;内部审计工作范围局限于核实财会方面的交易,较少触及现代企业业务流程方面的风险管理和监测,从而未能就现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确,缺乏独立性;内部审计人员的水平和内审方法有待提高,缺乏一套系统化和科学化的内审程序等等。
在现代企业风险管理进程中,内部控制审计工作是以影响和控制现代企业经营目标实现的各种内部控制制度为依据确定审计项目,以现代企业进行的所有降低和防范风险的活动为测试重点,评价内部控制体系减低和防范风险的充分性和有效性,并提出恰当的完善和健全内部控制体系建议的一种方法。国外许多现代企业成功的内部审计实践证明,以提高企业风险管理水平为目的而实施的以内部控制为导向的内部审计,为内部审计人员参与风险管理提供了基础,促进了内部审计与现代企业风险管理要素的结合,并已经为现代企业管理当局所接受。
1•开展内部控制的自我检测。内部控制自我检测是一种新兴的审计技术,最早是由加拿大公司开始运用的内部控制系统,几年来他们总结了一套系统的技术和方法,大大推动了该公司内部控制的发展和完善。目前这种方法在欧美一些发达国家开展的较多。内部控制自我检测的方法就是内部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对现代企业而言,内部控制自我检测提供了一个风险管理的工具,保证了内部审计人员和管理人员共同对风险进行控制。可以综合地控制现代企业的各方面,包括相关的社会效益,使现代企业对内部控制有一个更全面的了解。不仅要考虑发现的问题如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使企业董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。
2•对现代企业内部控制进行穿行测试审计。此项审计指利用模拟业务将被审计单位的有关数据和业务嵌入被审计单位的内部控制体系当中,进行业务的模拟运行,来获得测试结果,将测试结果与被审计单位的会计信息对比来获得审计证据。此种方法可以对内部控制体系本身的质量和功能进行审计,体系的好坏直接影响企业的抗风险能力,因此体系自身的审计亦是复杂的市场经济环境下必不可少的内容。在设计时可采用平行虚拟业务测试、非正常业务测试、平行运行测试等方法。
3•评价内部控制对现代企业风险的监控能力。内部审计评价内部控制体系对现代企业风险管理的监控能力,是指内部审计部门评估企业内部控制体系的内容和运行以及一段时期的监控质量的一个过程。现代企业的内部控制体系可以通过两种方式对风险管理进行监控———全面监控和个别监控。持续监控和个别监控都是用来保证提高现代企业的风险管理水平的。监控还包括对现代企业风险管理的记录。对现代企业风险管理进行记录的程度根据现代企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当现代企业管理者打算向外部利害方提供关于现代企业风险管理效率的报告时,他们应考虑现代企业内部控制体系的记录模式并保持有关的记录所具有的威慑力。
4•评估现代企业内部控制体系对风险的反应能力。对风险的反应可以分为规避风险、减少风险、抵御风险和遭受风险四类。规避风险是指采取措施退出会给现代企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。抵御风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对现代企业的影响。遭受风险则是在风险来临时未能采取任何行动而被动承受可能发生的风险及其影响。内部审计人员可以在对上述四种风险来临或可能来临时,企业的反应和应对能力上,评估和评价现代企业业已建立的内部控制体系防范和应对现代企业风险的效力,即从现代企业总体的角度或组合风险的角度重新考量内部控制体系的功效。
一、形成审计风险的主观因素
1审计人员的经验和能力的局限性。由于审计对象的复杂性和审计内容的广泛性,加上近年来人们对审计意见的依赖程度越来越高,社会对审计人员提出了非常高的要求,而在审计过程中,很多方面需要由审计人员作出专业判断,这就要求审计人员必须具有丰富的经验和较高的判断能力。然而经验和能力总是有限的,由于审计人员的审计经验和能力不足,致使审计难以达到社会全部期望,这就无可避免地会在审计过程中发表不恰当的审计意见,产生审计风险。
2审计人员没能保持应有的职业谨慎。审计准则要求审计人员在审计过程中保持应有的职业谨慎态度,进行合理的专业判断。然而由于审计人员的个人素质参差不齐,如果审计人员责任心不强,审计中没有保持应该持有的职业谨慎态度,势必导致不必要的差错或者应当执行的必要的审计程序没有得到执行,进而形成审计风险。
3审计人员的工作失误。如果审计人员能够保证在审计过程中采取恰当的程序和方法,那么风险就会大大降低。然而审计人员的经验有高有低,驾驭审计方法的能力有强有弱,审计人员的差错和失误有时很难避免,它们可能来自于对审计事项的错误判断,也可能来自于对审计程序的错误理解等,这些都会导致审计风险的产生。
4审计方法本身存在的缺陷和不足。现代审计是建立在企业内部控制制度健全的基础之上的抽样审计,所遵循的是成本效益相结合的原则,而这两者本身就是允许一定审计风险存在的。其一,它有些过分依赖被审计单位的内部控制制度测试,虽然内部控制系统的建立可以减少经济活动中的一些错弊,但因为内部控制系统本身固有的一些局限性,使其无法避免所有的错弊。例如审计单位发生未预料的经营状况,或者出现了比较特殊的业务,原有的控制措施无法适用;工作程序上本应相互牵制制约的工作人员串通作弊;管理人员滥用职权或责任心差致使控制系统失效等。所有这些都会使控制系统失灵,产生控制风险。其二,在抽样审计中,审计人员常常为了用有限的成本达到较高预期的效益,放弃了相当一部分的样本资料,这就更加大了给出正确审计结论的难度。以上情况均会造成审计结果出现误差。
二、形成审计风险的客观因素
1审计责任的客观存在。在现代经济生活中,审计意见的影响范围也越来越大,人们的经济决策对审计意见和结论的依赖程度越来越高。如果审计意见有所不适当,与被审计单位的情况有所不符,则对使用者的判断和决策影响将会很大,使得审计风险也随之加大。
2审计对象的复杂性及审计内容的广泛性。随着社会经济的发展,企业规模的不断扩大,生产经营过程越来越复杂,与此相应的会计信息系统也日益复杂,财务报表出现错误的可能性也大大增加;此外,审计范围也呈现不断扩大的趋势,审计范围扩大到今天,已远远超过了传统审计,增加了很多不确定性因素。审计的对象越复杂,审计的内容越广泛,审计的难度就越大,审计风险也就越大。
3被审计单位外部和内部经营背景。经济环境、被审单位经济活动的特点、技术发展趋势、内部控制制度的强度、管理人员的品质和素质等因素都会对企业的经营风险产生影响,进而影响审计风险。这也是审计风险模型中首先要考虑固有风险的主要原因之一,同时也是现代审计首先要对企业内外环境全盘评估的理由。被审单位内外环境对审计风险的影响,可以从审计费用充分表现出来,西方审计职业界确定审计费用时,都考虑了审计风险,特别是固有风险和经营风险。
摘要:文章通过现代企业风险的危害进行分析,阐述现代企业风险管理的构成以及风险控制的方法,强调内部审计在现代企业风险管理中的作用。同时以我国商业银行的风险现状为例,对银行内部审计在风险性监管中如何发挥杠杆作用提出了建议。
关键词:风险管理 内部控制 内部审计 杠杆
犹如没有人愿意得病那样,没有任何企业愿意遭遇风险。然而在经济管理领域,风险不仅种类繁多和无所不在,而且几乎象病毒一样无法回避和防不胜防。风险是不可捉摸的,既可能发生在自己身上,也可能发生在竞争对手身上,还可能发生在全行业;风险又是难以判断的,风险既包含了导致失败的根源,同时又蕴藏着成功的种子,这两者往往让企业体验战略转折意义的“过山车”经历,优秀的企业会因此脱颖而出,平庸的企业却荡然无存,从某种意义上而言,风险是竞争命运最后迎头击下的重锤。
也许能让企业游走于危机边缘的因应之道就是风险管理。
一、 现代企业风险与危机
古典经济学家在19世纪就提出了风险的概念,认为风险是经营活动的副产品;20世纪以来,风险定义可分为两类:狭义风险和广义风险。狭义风险是指损失的不确定性;广义风险不仅指损失的不确定性,还包括盈利的不确定性。风险与收益是共生的,获得收益就必须承担风险。然而从众多风险定义来看,人们倾向于狭义定义,这是因为与收益相比,人们更警惕损失。越来越复杂的环境与激烈竞争,使企业现在面临的风险比以往任何时期更大。因此,如何控制风险成为企业管理层必须考虑并掌握的问题。
事实上,风险与危机是形影不离的,没有爆发的危机称之为风险,失去控制的风险就是危机。
所谓风险,无非是特定条件下各种可能后果与预期后果之间的差异,尤其是某种损失发生的可能性。对于具有结构化视野的管理者而言,风险是由风险因素、风险事故和风险损失等要素组成。风险因素是引起或增加风险事故发生的机会或扩大损失幅度的条件,是风险事故发生的潜在原因。风险事故是指造成风险损失的偶发事件,是造成损害的直接原因。风险事故意味着风险的可能性转化成了现实性,只有通过风险事故的发生,才能导致损失。风险损失是风险事故所带来的物质上、行为上、关系上和心理上的实际和潜在的利益丧失。
危机就是风险事故,系指组织因内、外环境因素所引起的一种对组织生存具有立即且严重威胁性的情境或事件。风险是危机的母亲,在适当的诱因下(常常是意想不到的)风险从海底浮出水面的部分就是企业眼中看到的危机。
现代企业的运营与风险是一对并蒂莲。现代企业发展的初级阶段风险的管理一般处于次要的地位。现代企业走过发展的萌芽期,进入快速成长阶段,建立和完善风险管理体系便成为重要的工作。
现代企业的重大风险一般包括决策风险、财务风险和与运营风险。很多现代企业试图通过改善内控体系来防范风险的发生而未将风险管理看作一项系统的工程。
现代企业的风险表现主要有以下:
在迅速扩张的过程中,造成财务与业务失控,无法进行风险预警、防范;
缺乏正确的业务流程的指导和风险管理体系的保障,影响管理层对于风险的识别和分析,以及采取相应的决策;
缺乏规范的法人治理结构设置,存在政企不分、职责不清等问题,使企业目标发生偏移;有规范的法人治理结构设置,但运作上存在内部人控制和大股东控制等问题;
缺乏风险意识,没有积极、主动、系统地进行风险管理工作,风险的事前管理缺位、事中和事后管理具有一定的随意性;
缺乏包含决策、管理和具体执行层在内的完整的风险管理组织;
缺乏业务 *** 作手册,导致各部门和岗位的人员对其工作职责和 *** 作程序不清晰,造成部门和岗位间互相推委或业务上的疏漏,从而使现代企业较难控制业务,降低工作的效率和效果;
对现代企业的主要业务缺乏风险识别、评估、管理和监控;内部审计工作限于财务报表审计和经济责任审计,缺乏对现代企业内控程序执行情况的检查和监督;
缺乏对风险进行定期的复核和再评估,降低了企业适应环境变化,管理和规避风险的能力。
二、现代企业风险管理的构成及管理方法
(一)风险管理与内部控制的关系
内部控制最初的思想———内部牵制产生于古埃及的国库管理,目的是防范财产风险。内部控制的现代思想是企业组织规模扩大和资本大众化的产物,在其发展过程中,企业风险管理的思想始终贯穿在内。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。一种观点认为内部控制存在于协助企业进行风险管理的程序之中,是风险管理的方式之一。另一种观点是将风险管理纳入内部控制体系,认为控制包含了风险。
2003年7月COSO委员会颁布了《企业风险管理框架(讨论稿)》,该讨论稿是在1992年COSO委员会颁布的《内部控制—整体框架》基础上,吸收各方风险管理研究成果基础上提出。COSO在其中明确说明,风险管理框架建立在内部控制框架基础上,内部控制是企业风险管理必不可少的一部分。在ERM框架中,企业风险管理被定义为,企业风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业各项活动中,用于识别那些可能影响企业的事件并管理风险,使之在企业风险偏好之内,从而合理确保企业取得既定目标。而在《内部控制———整体框架》中对内部控制的描述是,内部控制是由企业董事会、经理层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。从定义来看,都有以下关键词:(1)是一个过程;(2)受董事会、管理层和其他人员的影响;(3)被设计来提供合理保证。
(二)企业风险管理的其他构成部分
《企业风险管理框架(讨论稿)》和《内部控制———整体框架》相比,风险管理框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。企业风险管理框架中涉及的八个要素,除了包括内部控制的五个要素———内部环境、风险评估、控制活动、信息与沟通和监控以外,还增加了目标设定和风险对策两个要素。内部控制要素之一风险评估在企业风险管理框架中被分为事件识别和风险评估。其它相同要素也有不同程度的扩展。
1目标设定的新发展。内部控制框架将企业的目标分为经营、财务报告和合法性;企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标覆盖了企业编制的所有报告。此外企业风险管理框架还增加一个目标———战略目标。该目标的层次比以上三个目标更高,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现,在企业战略制定阶段就考虑一系列备选方案的风险因素。战略目标的设定,需要董事会和管理层事先识别、评估相关信息。
2事件识别的新发展。事件识别扩展了原有范围,提出潜在事件的概念,指出管理层需要识别那些影响企业战略和目标的潜在事件,并对其中带有负面影响的事件进行风险评估、选择对策。
3风险对策的主要内容。风险对策是在评估了相关风险后,管理层需要考虑对那些带有负面影响的事件采取对策。对策的种类一般有规避、减少、分散和接受风险。作为风险管理的一部分,管理者应在企业风险容忍度范围内的假设下,比较不同方案的潜在影响,评估风险对策方案。在分别考虑了风险对策后,企业管理层应从总体角度考虑企业选择的所有风险对策方案组合对企业的总体影响。
从以上列举的三个要素的内容看,都涉及到识别、评估信息。这一过程仅在内部控制框架中是无法完成的,因为它是只能由人的职业判断完成。例如,在企业采购中货物运输发生意外,调度员了解到此信息后,应该立刻进行材料调拨或采取其它应急策略,保证企业顺利生产。采取怎样的应急措施是由该管理人员识别到风险并评估了风险对策后选择的,这个过程的顺利实施是因为人具有主观能动性,内部控制本身是不具备这种能力的。由此可知,企业进行风险管理,除了完善内部控制和掌握必要的技术以外,还需要管理者识别、评估风险信息的职业判断。
(三)企业风险管理与企业管理的关系。
企业风险管理属于企业管理的一部分,但并不是所有的管理活动都是风险管理。《企业风险管理框架(讨论稿)》中列举了四项不属于风险管理的管理活动,即确定战略、选择相应目标、业绩评价、选择并执行风险对策。根据风险评估,列出各种风险对策是属于风险管理的一部分;而选择特定的风险对策则不是,它应属于决策的职业判断。因此,对企业风险管理进行审计的范围不包括对决策系统进行审计。
(四)现代企业风险管理的方法
建立完善的风险管理体系一般要经过一个较长期和痛苦的过程,经常要涉及到管理结构的调整,权力结构的整合,作业流程和财务流程的重整。建立健全风险管理机制,企业领导层应重视以下环境建设:
1、理顺法人治理结构,建立规范的决策程序,形成规范、良好的治理环境。同时建立起专门的风险管理机构,提供风险管理的组织保证;
2、完善了公司风险管理体系,规范和加强了对风险的事前、事中和事后的管理,提高公司整体抗风险能力,使企业能够适应不断变化复杂的内外环境;
3、有效识别、评价、监控、管理经营风险和财务风险,降低公司失败的可能性和业绩表现的不确定性;
4、建立了合理的业务流程和内部控制制度,明确部门的职责、重要岗位的职责、部门之间的分工和协作关系,提高工作的效率和效果;
5、根据业务流程明确信息的沟通途径,保证了信息的准确性、及时性和有效性;
6、将风险管理和监控融合在具体的业务流程中,落实到每个部门、每个员工,实行全员的风险管理;
7、明确内部审计组织架构和管理体制,完善内部审计流程和具体的 *** 作手册;并确定内部审计在公司的重要地位,定期进行业务及管理稽查,完善和改进风险管理中的不足。
三、内部审计与现代企业风险管理中的关系
(一)公司治理的核心是风险管理。
公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开;风险直接影响目标的实现;而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度;治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外,从解释公司治理问题产生的经济学观点来看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及代理理论中提及的代理问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,因此公司治理中包含一些战略性的风险管理的因素。例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理(CEO)在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此,风险管理是公司治理的核心。
(二)内部审计作为内部控制的重要部分,与风险管理密不可分
1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理问题进行深入思考。比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的可能性;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
2、内部审计理论的新发展。顺应内部审计理论及实务的变化,国际内部审计师协会(IIA)在1999年对内部审计重新定义,即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。” 这一新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
3、风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,年度审计计划与公司层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
(四)内部审计在风险管理中的作用
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:(1)能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理对内部审计部门意见的重视程度。
鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用,纽约证券交易所于2002年8月1日明确规定所有上市公司必须设置和保持有效的内审机构,否则不得上市或将面临退市。内部审计师已被看作是与董事会、高级管理层、外部审计师构成有效公司治理的四大基石之一。内部审计师拥有的风险管理、内部控制的知识与技能,能帮助公司治理实现其核心目标:控制风险以促进组织目标实现。因此,在公司治理中,内部审计是组织内部不容忽视的一支力量。
四、现代商业银行风险述略
银行和贷款者之间有着契约,贷款者到期必须连本带利归还银行。银行和储户之间也有契约,到期之时银行向储户还本付息。可是,银行两边的契约的“硬度”不一样。银行和贷款企业之间的契约比较“软”。企业还不出钱来,银行只能靠法律手段逼债,万一贷款收不回来,只好等这家企业破产之后多少拿回来一些。我国的银行和国有企业之间的关系就更软。国有企业还不出钱来而银行一筹莫展的事情已经司空见惯。可是银行和储户之间的关系就“硬”多了。除非银行破产,否则储户完全有权力拿回属于自己的资金。在某种意义上,银行把许多家企业经营风险集中到了自己身上。
目前我国商业银行主要面临以下几种风险:
(1)信用风险:即交易对象无力履约的风险;
(2)市场风险:是由于市场价格的变动,银行的表内和表外头寸所面临遭受损失的风险;
(3)利率风险:指银行的财务状况在利率出现不利的波动时所面对的风险;
(4)流动性风险:指银行无力为负债的减少或资产的增加提供融资,即当银行流动性不足时,它无法以合理的成本迅速增加负债或变现资产获得足够的资金,从而影响了其盈利水平的情况;
(5) *** 作风险:主要在于内部控制及公司治理机制的失效;
(6)法律风险:包括因不完善、不正确的法律意见、文件而造成同预计情况相比资产价值下降或负债加大的风险;
(7)声誉风险:该风险产生于 *** 作上的失误、违反有关法规和其他问题。
银行不能不发放信贷,可是,只要资金出了银行的大门就有收不回来的风险。从理论上来讲,绝对避免坏帐是不可能的。坏帐是银行经营的风险成本。在正常情况下,银行应当用自身的利润来冲销坏帐损失。只要银行能够保持资金的流动性,资金流通链就不会出现什么大麻烦。可是,如果银行的呆帐、坏帐越来越多,甚至资不抵债,总有一天这个问题会被揭露出来。一旦有一家银行失去了资金流动性,就会导发金融危机。
由于存在金融市场失灵的可能,一旦某个金融机构出现危机,即使政府出面干预也未必能够挽救这个机构破产(例如英国的巴林银行)。当大规模金融危机爆发之后,即使国际力量联合起来也未必能够制止危机的蔓延(例如墨西哥和东南亚的金融危机)。由于金融机构之间的债权、债务关系非常复杂,一家金融机构出现的危机会牵连到其他金融机构,例如,1974年英国由于房地产景气消失而出现银行业危机。日本在90年代由于泡沫经济崩溃而导致整个金融体系的危机。一家金融机构出现危机会损害公众对整个金融体制的信心,发生挤兑。例如,墨西哥和泰国金融危机。这种负的外部性在区域金融危机中表现得非常严重。
银行业务的本质决定了它需要承担各种类型的风险,因此了解这些风险并确保银行能妥善地计量和管理风险是银行监管的重头戏。
尽管我国近年来频频采取诸如向国有商业银行注资、关闭资不抵债的金融机构、加强银行监管等一系列措施,但高风险、低收益仍是国内银行业面临的最主要问题。
中国银监会研究局副局长杨再平在接受新华社记者专访时表示:“中国银行体系的总体风险近年来呈不断下降,但是由于历史和现实的多种原因,积聚的现实风险仍然较大,”这些风险主要表现为不良资产占比高,资本充足率明显偏低,市场风险逐步显现, *** 作风险上升较快等。
2004年,我国主要商业银行不良贷款余额减少3946亿元,下降456个百分点,已降至132%。但银行体系的不良贷款余额和比率仍处于高位,不仅已超过《巴塞尔协议》的要求,而且与国际先进银行不良贷款比率应保持在5%以下的要求相去甚远。
2004年,主要商业银行尽管实现了不良贷款率和不良贷款余额的“双降”,但若剔除政策性剥离因素和新增贷款稀释效果的影响,主要商业银行的不良贷款实际上是“不降反升”。
国内商业银行的资本充足率也明显偏低。到2004年底,中国131家商业银行有110家未达到资本充足率的要求。中国商业银行风险抵御能力与国际先进银行相比存在较大差距,而且,商业银行资本金的补充机制尚未完全建立,银行业资本充足率还有继续降低的趋势。
利率市场化的进一步加快,使商业银行面临的利率风险成倍增长,如果处理不好,将会影响商业银行的稳健经营。同时,国际金融市场汇率变动频繁,特别是日元、马克与美元汇率近年波动剧烈,直接影响外汇资产及负债的市场价值,使拥有大量外汇资产和经营外汇业务的商业银行面临高汇率风险。
2004年以来,一些商业银行对 *** 作风险的识别与控制能力不能适应业务发展的问题比较突出,风险管理和内部控制薄弱,大案、要案频发,造成大量资金损失。专家认为, *** 作风险上升的原因与中国银行业金融机构内部控制及公司治理机制的失效有密切联系。
从盈利能力看,国内各银行与国际大银行相比水平明显偏低。其原因有二:资产质量差,银行大量资产以不良贷款的形式沉淀下来,可以用来盈利的资产很少;盈利渠道单一,中国的银行主要收入来源还是依靠传统的存贷利差,中间业务收入占比非常小。
目前,中国的各家银行市场定位大致相同,客户群体也基本趋同。在竞争中,各商业银行往往并不是靠创新具有特色的金融产品来争取客户,而是竞相放贷或给予大额授信,降低贷款条件,其结果是银行的风险大大增加。即使部分商业银行进行了金融创新,大多也停留在被动模仿和同质竞争阶段。
五、积极采取措施,提高银行内部审计在风险性监管中的杠杆作用
为了保证银行内部审计作用的发挥,巴塞尔银行监管委员会及许多国家的监管部门及银行都采取了相应的措施,风险性监管正在我国逐步实行,我国很多银行内部审计的独立性有了很大加强,但如发挥其在风险性监管中的杠杆作用,银行内部审计还急需发展。
1确立内部审计在银行风险管理中的重要地位。风险管理已经被国内银行提上了重要位置,很多银行都设立了专门的风险管理部门,但内部审计尚没有在风险管理中发挥应有的作用。国外银行内部审计的职能不仅是监督,更重在评价与建设。但我国银行内部审计缺乏评价与建设职能。以一项制度的建立与执行为例,国外银行内部审计在其建立时就可以评价该制度的合理性,而我国银行内部审计只能在该项制度建立后,评价其执行是否合规。审计的层次低,因而在风险管理中作用小。所以当务之急是要通过提高内部审计在风险管理乃至整个银行中的地位,提高内部审计的目标定位,促进其作用的发挥。
2拓展审计领域,充分发挥银行内部审计在风险管理中的作用。内部审计可以评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施,从而发挥自己在风险管理中的重要作用。在当前市场竞争日趋激烈、市场需求日益复杂的情况下,银行面临的风险越来越大,风险管理的关键在于防范。事前、事中的风险评估已成为国外银行内部审计的重要内容,因为只有这样才能及早确认风险,限度地减少风险。但目前我国银行内部审计尚处在查错防弊、开展合规性审计阶段,局限于对经营部门及营业机构执行各项规章制度、开展各项业务情况的事后审计等,而对于相关决策部门经营战略确立的恰当性、规章制度制订的合理性、新产品新业务设计的完善性缺乏风险评估。例如很多银行往往是先有新产品、新业务,再有风险管理程序和控制方法。甚至是只有出了风险,银行才会制订相应的管理程序。审计的层次低,在风险管理中的作用十分有限。因而今后应积极拓展内部审计领域,强调事中及事前审计,要确保在经营战略的确立、规章制度的制订、新产品及新业务的设计过程中就有适当的风险管理程序和控制方法,使内部审计能够通过风险评估的结果、建议直接影响银行经营政策的制订,确保银行风险管理目标与业务发展目标的一致性,力求从源头上加强银行的风险管理,使银行真正做到“风险先行”。这种工作重心的前移,不但能使内部审计避免出现只重视细枝末节,忽略了主要风险的情况,而且有利于提升其在银行内部风险管理中的重要地位,充分发挥内部审计在风险管理中的作用。
3严格区分内部审计部门与风险管理部门在风险管理中的权限与职责,保持内部审计的相对独立性。从国外的实践来看,随着银行内部审计在银行风险管理中的作用越来越大,银行管理层甚至银行内部审计人员常常会难以区分风险管理部门与内部审计部门的职责,易把银行内部审计部门变成风险管理措施的设计与执行者,从而使其丧失独立性。为了避免出现这种情况,在内部审计程序、审计委员会章程、公司治理等方面应严格区分银行内部审计与风险管理部门的业务范围。
4提高内部审计自身的实力。在方法上,实行风险基础内部审计。风险基础内部审计扩大并重新定位审计的范围从重在监控转向重在评估。同过去的审计方式相比,风险基础内部审计更加关注企业的风险管理活动,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强对风险的控制作用。在风险管理成为银行与监管关心的首要问题时,风险基础内部审计的发展成为必然。在手段上,要充分利用计算机审计,发展非现场审计。在人员素质上,除了需具备会计、审计、计算机、法律的相关知识外,应迫切提高风险管理知识水平。
5内部审计人员要恰当处理与监管者、银行管理层及注册会计师间的关系。内部审计具有服务内向性的特点,内部审计人员既要借助与监管的联系保持自己的独立性与权威性,更要与业务管理部门增进交流,加强理解。只有在得到管理部门理解与支持的基础上才能有效地发挥内部审计的杠杆作用。根据我国的现行规定,上市银行的财务报告需同时接受境内、境外会计师事务所审计,他们在审计方面有很多丰富的经验。内部审计在接受其监督的同时,应积极加强与其交流、合作,学习其先进的审计观念及方法,促进自身的发展。
依照程序内部审查是指企业或相关机构在进行经济活动时,基于自身情况和风险特征,建立一套完整的内部审计、内控和风险管理体系,通过内部监察、自查和评估等方式,对企业内部各项活动进行彻底审核和检查。这种审查方式主要包括内部审计、内控制度、风险管理等方面,强调公司内部标准和要求的严格落实和普及,以确保公司内部管理体系的稳定和稳健发展,并基于检查结果进行及时调整和改进,提高公司的管理效率和运作效益,降低公司的风险和损失。
以上就是关于审计风险包括哪三种风险全部的内容,包括:审计风险包括哪三种风险、内部控制与审计风险之间的关系、审计风险及其防范对策的内部原因有哪些等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)