内部控制\风险管理与审计
来源:用户上传
作者: 陈丽蓉 周曙光
【摘要】 内部控制的本质是一种风险控制机制。风险管理包含内部控制,风险控制是内部控制和风险管理的根本目标。内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域;外部审计依赖于内部控制。对所有者和经营者来说,外部审计是一种风险监督机制。基于内部控制、风险管理和审计之间的密切联系,笔者构建了由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系。
【关键词】 内部控制;风险管理;内部审计;外部审计
风险是一个事项将会发生并给目标实现带来负面影响的可能性(COSO,方红星等译,2005),它实质上是指损失的不确定性。企业风险可以描述为企业目标不能得以实现的可能性(孟焰、潘秀丽,2006)。风险是影响企业经营管理决策的重要因素。如何关注企业风险,实施有效地风险治理措施,是企业必须面对的重要议题。伴随着企业风险意识的不断加强,以及相关理论研究的持续深入,内部控制、风险管理与审计之间的联系逐渐引起理论界与实务界的重视,风险导向成为内部控制和审计的主流思想。鉴于此,本文在梳理内部控制、风险管理与审计之间关系的基础上,试图构建由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。
一、内部控制的本质:风险控制机制
内部控制是指企业为了实现控制目标,由董事会、监事会、经理层和全体员工实施的一系列政策和程序,它是企业加强经营管理的有效工具和手段。内部控制本质上是组织的内部风险控制机制(丁友刚、胡兴国,2007),它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。内部控制源于企业管理中的内部牵制思想,内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。在内部控制的演进过程中,内部控制的目标从最初的确保实物资产安全,到提高经营效率以及财务报告信息的可靠性,再到保证法律法规的遵循性,以至现阶段对企业战略风险的关注,无不体现出风险控制的理念。内部控制就是控制风险,控制风险就是风险管理(谢志华,2007)。在企业风险管理整合框架阶段,风险控制从基础层面上升到战略层面,战略风险控制成为内部控制的首要目标,经营风险控制、财务报告风险控制以及合规性风险控制都服从于战略风险控制。风险整合框架的发布,使内部控制从一般意义上风险控制机制扩展至全面风险控制机制,成为企业加强管理、提高经营效率和效果,从而实现战略目标的有力手段(财政部会计司赴美国考察团,2007)。
二、内部控制、风险管理与内部审计
国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为:“是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”;《企业内部控制应用指引》(征求意见稿)将内部审计定义为:“是指企业内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善企业运行的效率效果、实现企业发展目标”。从其定义可以看出,内部审计具有评价、监督和服务等职能。内部控制、风险管理与内部审计之间的联系日趋紧密,内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域。
(一)内部审计是内部控制体系的组成部分
1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,把组织结构、方法程序和内部审计作为内部控制的要素,内部审计成为内部控制的重要组成部分。内部审计在企业内部天然的监督作用使其自然成为内部控制方式之一,同时又是对内部控制执行情况的一种监督形式,是对内部控制的控制(曹伟、桂友泉,2002)。内部审计是内部监督的主要形式,《企业内部控制基本规范》把内部监督作为内部控制的一个要素。根据《企业内部控制基本规范》的要求,企业应当制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。由此可见,内部审计是内部控制体系的组成部分。
(二)风险管理是内部审计的重要领域
企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价(孟焰、潘秀丽,2006),对组织的风险管理过程进行检查、评价和报告是内部审计人员的重要工作。IIA实务公告2110-1规定:“内部审计师应通过检查、评价、报告与建议改进有关风险管理过程的适当性和有效性,来协助管理层和审计委员会。内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些风险”。我国《内部审计具体准则第16号――风险管理审计》第七条规定:“内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。” 以上规定充分体现了风险管理是内部审计的重要领域,内部审计在企业风险管理过程中起到监督、评价和咨询等作用。
内审部门作为内部控制和风险管理的牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值(王斌,2009),内部审计既是企业内部控制和风险管理的监督者,又是完善企业内部控制和风险管理的重要推动力量。
三、内部控制、风险管理与外部审计
(一)外部审计依赖于内部控制
内部控制是公司内部治理机制的基石,有效的内部控制,能够保证公司的正常运作和发展;外部审计是现代公司治理不可或缺的组成部分,外部审计治理作用的有效发挥有赖于内部控制的良好运作。内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果(方红星,2002)。现代审计依赖于内部控制。审计人员是内部控制理论研究的发起者和推动者,也是该理论发展至今最大的使用者(张宜霞,2007)。
审计师关注与财务报告相关的内部控制。正是由于资本市场对企业财务会计信息质量的要求,才使得作为经济警察的注册会计师对企业内部控制制度的建立与执行尤为关注(施先旺,2008)。风险导向审计是审计模式发展的最新阶段,根据风险导向审计的要求,审计师首先要了解和评价被审计单位的内部控制,通过对被审计单位的战略及经营风险进行识别和评估,来确定高风险的审计领域,以便进行重点审计,从而有利于提高审计效率,减低审计风险。在现代风险导向审计方法实施过程中,仍然需要用到制度基础审计方法甚至详细审计方法的一些程序,但它已不局限于对传统企业内部控制的分析,而将分析对象扩大到整个企业的风险管理范围(审计理论研究课题组,2009)。但是,应当明确一点,在风险导向审计模式下,审计对内部控制的依赖不是减弱了,而是得到了进一步加强,只是分析范围扩大到整个企业的风险管理领域。
(二)外部审计是一种风险监督机制
代理理论是解释审计需求的主流理论,它是在Jensen和Meckling(1976)所倡导的委托代理理论的基础上发展起来的。在企业的委托代理关系中,委托人和代理人的目标往往是不一致的,代理人为了追求自身利益的最大化,可能会损害委托人的利益。为了使代理人与委托人的利益保持一致,委托人通常会选择适当的激励机制与监督机制,来减少委托人与代理人之间的信息不对称,而外部审计就是一种有效的监督机制。
外部审计作为一种外部监督机制,对于缓解代理冲突,促进资源的优化配置具有重要的作用。由于股东收益因代理关系存在而可能受到损害,因此股东的风险控制愿望一直表现得非常强烈(王斌,2009)。外部审计是所有者(股东)检验经营者经营管理效率和效果的一种方式,它是所有者对经营者实施的一种监督机制。外部审计师需要实施风险评估程序,来了解被审计单位的目标、战略以及相关经营风险。因此,所有者可以从外部审计师那里获得较多的关于企业的风险信息,这样就可以有效地降低所有者和经营者之间的信息不对称,进而所有者可以通过影响经营者的经营管理决策,来降低企业风险。
经济监督是审计的基本职能。审计的经济监督职能,主要是指通过审计、监察和督促被审计单位的经济活动在规定的范围内、在正常的轨道上进行;监察和督促有关经济责任者忠实地履行经济责任,同时借以揭露违法违纪、稽查损失浪费,查明错误弊端,判断管理缺陷和追究经济责任等(李凤鸣,2006)。根据我国《独立审计具体准则第24号――与管理当局的沟通》的要求,注册会计师应当对已发现的重大错误、舞弊或可能性,与管理当局进行沟通。《企业风险管理――整合框架》也指出,在进行财务报表审计时,审计师可以向管理当局提供有关风险管理方面的信息,以便管理当局更好地履行其风险管理职责,这些信息主要包括审计师所注意到的风险管理和控制所存在的缺陷,以及改进的建议。与管理当局进行沟通,有利于管理当局及时发现经营管理中的漏洞,以便采取整改措施,防止风险的扩大。
由此可见,无论是从所有者角度来看,还是从经营者角度来看,外部审计都是一种风险监督机制。
四、企业风险综合治理体系的构建
本文论述了内部控制、风险管理与审计之间的联系,它们在各自的职能领域发挥着风险控制或者风险监督的作用。内部控制的本质是一种风险控制机制,风险管理包含内部控制,内部控制是风险管理不可分割的一部分,风险控制是内部控制和风险管理的根本目标;内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域;外部审计依赖于内部控制,对所有者和经营者来说,外部审计是一种风险监督机制。基于内部控制、风险管理和审计之间的密切联系,笔者构建了由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。图1为企业风险综合治理体系示意图:
(一)经营者是企业风险治理的实施者
本文所指的经营者是指企业的经营管理决策人员,主要包括董事会、监事会和经理层等。董事会应当确保风险管理过程的适当性、有效性,并最终对企业的风险管理过程负责;监事会对董事会建立与实施的风险管理政策进行监督;经理层应当树立风险导向的经营管理理念,制定合理的风险管理政策,并且确保其能够发挥应有的作用。企业应当根据不同的管理级层赋予相应的风险责任和职能,并且成立专门机构(如风险委员会)或者指定适当的机构(如审计委员会)来负责组织与协调企业风险治理机制的建立实施以及日常工作。同时,经营者还应当考虑向内部审计师和外部审计师征求风险治理意见,以便能够扩大视野,提高风险治理水平。
(二)所有者是企业风险治理的需求者
所有者(股东)是企业风险的最终承担者,经营者的不当行为所造成的损失要由股东来“买单”。因此,所有者具有强烈的风险控制愿望,他们往往会采取一些措施来控制企业风险。例如,股东大会对企业的经营方针、筹资、投资、利润分配等重大事项享有表决权,所有者可以通过否决潜在风险较大的投资项目、撤换不称职的经营者等方式来规避风险。另外,王斌(2009)提出,要使股东有能力保持对公司风险的持续监控,股东要做的事应当是:追加购买审计师的额外服务,即要求审计师在向股东提供年度审计报告的同时,追加提供“风险提示意见”这项服务功能,并将其与审计报告一起对外披露。笔者认为,股东追加购买审计师的额外服务,并不会增加审计师的负担。因为外部审计师必须对被审计单位的风险进行评估,它只是外部审计师提供年度审计报告业务的“副产品”,并且能够在一定程度上满足股东风险控制的期望。尽管目前尚处于理论探索阶段,但股东向外部审计师购买“风险提示意见”这项额外服务,将具有广阔的发展前景。
(三)内部审计师是企业风险治理的监督者
内部审计机构是企业内部控制和风险管理的监督部门,内部审计师理应成为企业风险治理的监督者。内部审计师通过对企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,能够使董事会和经理层全面、系统地了解企业的风险治理状况,从而有助于董事会和经理层提高风险治理水平,实现对企业风险的有效控制。
(四)外部审计师是企业风险治理的咨询者
现代风险导向审计是以被审计单位的战略风险为导向,审计师需要了解被审计单位及其环境,重点关注被审计单位的目标、战略以及相应的经营风险,根据风险评估的结果来实施进一步的审计程序。注册会计师具有较强的职业判断能力,能够对被审计单位的风险治理状况作出合理的评估。因此,被审计单位的董事会和经理层有必要与外部审计师进行沟通,征求外部审计师的风险治理意见。同时,外部审计师要与内部审计师加强交流与沟通,尤其要针对内部审计师咨询企业在内部控制和风险管理方面所存在的问题,利用内部审计资源,充分识别风险较高的领域,进而提高审计效率。●
【主要参考文献】
[1] 财政部会计司赴美国考察团. 美国会计国际趋同、注册会计师监管和内部控制考察报告[J]. 会计研究,2007(8):3-8.
[2] 曹伟,桂友泉. 内部审计与内部控制[J]. 审计研究,2002(1):27-30.
[3] 丁友刚,胡兴国. 内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007(12):51-54.
[4] 方红星. 内部控制、审计与组织效率[J].会计研究,2002(7):41-44.
[5] COSO.企业风险管理――整合框架[M].方红星,王宏等译. 大连:东北财经大学出版社,2005.
[6] 贺密柱.内部控制理论演进的中外比较及其思考[J].财会通讯(学术版),2008(2):101-103.
[7] 李凤鸣,韩晓梅. 内部控制理论的历史演进与未来展望[J]. 审计与经济研究,2001(7):61-63.
[8] 李凤鸣. 审计学原理(第三版)[M].上海:复旦大学出版社,2006.
[9] 孟焰,潘秀丽. 企业风险管理审计研究[J]. 审计研究,2006(3):61-63.
[10] 施先旺. 内部控制理论的变迁及其启示[J]. 审计研究,2008(6):79-83.
[11] 审计理论研究课题组. 审计基本理论比较:前后一贯的理论结构[M].上海:立信会计出版社,2009.
[12] 王斌. 股东期望、全面风险管理与审计价值[J].会计研究,2009(5):87-93.
[13] 吴水澎,陈汉文,邵贤弟. 内部控制理论的发展与启示[J].会计研究,2000(4):2-8.
[14] 谢志华. 内部控制、公司治理与风险管理:关系与整合[J]. 会计研究,2007(10):37-45.
[15] 张宜霞. 企业内部控制的范围、性质与概念体系――基于系统和整体效率视角的研究[J]. 会计研究,2007(7):36-43.
[16] 国际内部审计师协会.内部审计实务标准――专业实务框架 [M].中国内部审计协会编译.北京:中国时代经济出版社,2005.
转载注明来源:https://www.xzbu.com/3/view-770137.htm
