首页 > 文章中心 > 正文

公司内部审计风险防范思考

前言:本站为你精心整理了公司内部审计风险防范思考范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。

公司内部审计风险防范思考

公司管理的目标在于增值,管理成功的重要标志是具备较强的风险应变能力。内部审计可以帮助管理层发现、评估重要的风险因素,促进建立完善恰当的风险管理过程及程序,推动这些过程和程序充分地运作,保持有效的控制。

一、公司风险管理的必要性与风险管理过程的目标

(一)实行风险管理的必要性

竞争能力关系到公司的生存与发展,竞争必然带来风险。由于未来环境的不确定性,管理层对战略计划预算的决策、组织实施、资源利用效果和效益难以把握,因而实现目标的管理过程客观存在风险,有必要实行风险管理。

“风险”是指某种不利因素产生的可能性,其衡量标准是遭受损失的后果与可能性。“风险”具有双面性,它既可能带来损失(负面影响),也可能带来机会(正面影响)。公司是以盈利为目的的法人实体,目标是维护信誉与价值。公司可能面临的风险有:⑴组织风险。组织结构和战略目标的适应程度。⑵企业文化、人员素质对竞争环境的适应及全员对战略目标和管理政策决策的认同程度。⑶生产经营风险。不经济地获取或无效利用资源。⑷采用新技术风险。包括革新成本高于收益,技术周期过短或运用新技术干扰日常工作。⑸信誉风险。产品或服务不受欢迎,媒体负面宣传等使公司信誉受损。⑹内部控制风险。对记录、计算机程序及数据文件等的接触,缺乏权限控制及会计核算错误和舞弊行为。⑺业绩评价风险。以不适当的标准体系衡量业绩,或未对经营业绩定期进行独立的审查,影响公司的效益、效率和效果。⑻资产安全。因授权和分工不当影响资产的保护。⑼使用错误或片面的信息资料导致决策失误。⑽活动偏离政策、计划、程序,影响目标和任务的完成。

各种风险因素由于客观条件的综合作用,表现为风险征兆,如不及时控制其变化趋势和触发条件,将给公司经营带来损失。实行风险管理,建立风险控制体系,可转化风险影响,争取有利后果。对风险来源、可能的风险事件和风险征兆预测分析后,采取风险应对措施是风险管理过程关键所在,包括通过消除风险起因来规避某一特定威胁,如强化控制降低风险,通过合作者分担或投保转移风险,采取调整投资回报率或其它措施来减轻风险损失。管理层在比较控制、规避风险的成本和预期货币值,权衡利弊后接受剩余风险。

(二)评价公司实现风险管理过程的目标

公司管理层出于了解和处理所面对风险的需要,必须建立机制以识别、分析与管理相关的风险,称之为风险管理过程。内部审计评价风险管理的充分性,应取得审计证据,确认是否达到风险管理过程的五个主要目标,即:⑴找出影响经营战略与业务活动领域的风险,按风险大小排序;⑵管理层和审计委员会已经确定了公司可以接受的剩余风险,包括为实现战略目标而接受的风险;⑶设计和实施了降低风险的内控活动,把风险降低和控制在管理层和审计委员会可以接受的水平上;⑷持续地观测监督活动,定期对风险的控制及有效性进行再评估,降低管理风险;⑸管理层定期听取风险管理过程的结果报告。公司经营管理过程应该包括定期向有相关利益各方传达风险预测、风险战略和控制情况。最后,管理层所应用的特定风险管理过程必须适合该公司的企业文化,管理风格以及工作目标。

二、内部审计在风险管理中的优势

内部审计处于相对独立的地位和在管理过程中特定的职能,在评价内部控制、协助建立健全风险控制过程方面具有诸多优势和重要作用。

首先,内部审计以推进公司规范化运作和管理,优化内控环境,增加公司价值为目的,具备服务内向性的定位优势。相对于国家审计与中介审计,内审始终围绕增加公司价值开展工作,目标定位是“管理,效益”。它与公司的生存发展息息相关。它熟悉管理过程、贴近内部管理,是规范经营管理的助推器。

其二,内部审计是一个持续的内部监督服务过程,是现代企业管理的重要职能,其作用是其它职能部门无法替代的。内部审计处于公司各职能部门或所属分支机构之间,不直接参与经营活动,具有相对的独立性。因此,内审不仅要抓好以评价经营活动及其信息的真实性、合规性为主要内容的基础审计,还要利用基础审计资料,通过开展对各种信息的真实完整、资产安全、资源有效利用的全面审计活动,评价内控制度的健全性、遵循性、科学性;保证战略目标和计划、各种政策、制度、程序得以贯彻执行;检查公司目标的完成情况和运营的效率、效果与效益,提出改进意见,并抓好整改促进规范化管理。

其三,实行内部审计是企业风险管理的需要。公司外部环境的快速变化和成本压力、诸多风险因素给管理层危机感,需要建立内部权力制衡机制和激励约束机制,以保证公司控制政策、程序和控制活动的实施。内部审计通过内控制度的评价,对公司经营活动进行风险识别和评价,符合公司市场化经营管理的需要。内审职责是采取系统化、规范化的方法促进建立风险管理过程,强化内部控制,改进风险管理与控制体系,通过审计及时发现风险,报告预测后果,提请管理层关注风险、科学决策,完善管理、提高效率,转化风险负面影响,利用风险机会提升企业竞争能力和应变能力,从而实现公司目标。

三、内部审计在风险管理过程如何发挥作用

(一)内部审计应熟悉公司的经营管理过程,有效识别风险。

内审熟悉公司业务流程和管理过程,因而具备有效识别风险,分析影响的优势。如“中油”是集科研、勘探、开采、生产加工、销售为一体的境外上市公司,业务流程包括资金流、物流、人才流、信息流,能源流等。确定发展目标、资源的取得与配置、生产经营、业绩考核控制等管理多个过程贯穿整个业务流程。总部通过预算管理制度及业绩考核、用人激励机制,将风险压力层层传递,实施各种应对风险的控制活动。如“中油”所属某销售分公司是委托法人,承担的经营管理职能不全面。其经营职能是加快流通速度,完成商品流通,降低费用、实现优良价值,赢得市场与效益最大化。其面临的风险主要有以下几方面:(1)建设投资风险;(2)库存商品风险;(3)推介与促销“双赢”的风险;(4)企业信誉风险;(5)资金管理风险;(6)是业绩评价和用人激励机制风险;(7)内部控制风险;(8)实际活动偏离计划、预算的风险;(9)审计风险。

(二)以风险评估为基础,优选审计项目。

内部审计范围包括检查、评价筹资投资管理、经济运行与资产安全、资金管理及会计核算等管理过程的内部控制效果与效益。审计计划和项目选择,应以风险评估结果确定优先顺序。只要存在风险暴露,不管其表现为实际业务偏离计划预算、资产的潜在损失还是管理与会计信息的错报,都应列为审计重点排序。风险影响类似的选机率较高的,风险机率相近的选征兆明显的。有违规迹象或财务状况不佳,或业绩与预算差距较大、资产或投资额大、审计间隔较长、高层管理人事调整、变更经营预算或业务流程等,都可作为首选审计对象。

(三)内部审计的重点是进行管理过程的内控审计。

内部审计应帮助管理层有效识别风险因素,相应调整经营策略和强化内部控制,进行各项克服风险的活动,适时将“威胁”转化为“机会”。内部控制是保证公司达到目标的有效的控制系统和必要手段,其总体设计应以风险评估为依据,包括控制环境、风险评价、控制活动、信息和沟通。管理层利用内部控制设计公司组织机构、岗位设置与管理运行机制,建立各种控制政策、程序和措施,运营过程授权、操作、监控,岗位责权分离,防止或发现公司职员履行职责时的重大违规行为和虚假信息,保证资产安全和核算真实;了解目标实施情况、适时纠正偏离行为,保证管理各个过程,流程各个环节的活动围绕组织目标进行。

内部审计要检查内部控制的设置合理性与执行情况、控制效果,特别关注高风险领域和内控不健全区域的潜在威胁,发现、剖析、纠正经营管理缺陷,通过持续监督与评价,达到控制目的,确保目标与预算如期完成。进行基础审计、经营审计进而开展管理审计,都应从与之相关的内部控制找准审计切入点,评价控制系统的充分性和有效性。可将投资、资金、预算管理控制内容作为审计重点范围。(1)固定资产投资内部控制审计。投资管理过程不确定因素多,风险机率较高,风险管理过程要预测分析立项可研、决策、招投标发包、工程概算、预算、决算和资金使用及项目运营后评估各个控制环节存在的风险类型、机率及影响,采取应对措施,实行有效内部控制。(2)资金管理内控制度审计。资金是经营活动的血液,不能及时回收货款或反映债权的信息失真,会严重影响到资源及时配置并增大进货成本,延长商品流转期、延误价值实现,影响资金的周转安全及使用效果。许多审计事例说明,造成资金损失的原因在于资金管理内控的不完善和业务流程授权和监控环节职责不到位,关键岗位缺少相互牵制。完善管理的途径是强化内部控制,对资金、会计信息的接触实行授权与权限管理,优化核算环境,建立健全有关管理规定及责任追究制度,确保信息真实完整,资金运行效益良好。(3)实行预算管理全过程控制审计。实施预算管理审计要测试、评价预算编制、实施、调整纠偏三个过程的内部控制。首先要检查有无预算管理组织,编制是否以销售预算为基础、采用零基方式分项细化及按程序编制与调整预算;二是检查事中控制效果及应变预算方案与例外事项应急措施,确定预算管理机制的有效性和预算完成进度;三是评价内部激励、监督机制的实际效能,加强事中控制,保证公司目标的完成。

为达到内控目标:①实行严格的组织控制,适时修正设计不合理的岗位职责与制度、规程。②强化检查控制。建立信息反馈系统,揭示失控或舞弊及原因,并运用激励机制奖惩。③设立有预警功能的“应急方案”,补救偏离目标行为的负面影响,降低风险损失。④为实现计划目标、遵守政策合同,应评价控制的实施效果和效率,促进系统的完善,优化风险管理环境。

四、推进构建风险管理框架进程,增强企业抗风险能力

在公司持续变革的进程中,审计要相应转型,拓展参与风险管理的深度与广度,科学预测评估风险因素,促进公司建立风险管理框架,帮助管理层化解经营风险,提升企业信誉,维护公司价值。

(一)内部审计发展要多方位转变,营造良好控制环境

内部审计发展到增殖型审计的多方面转变特征:(1)由事后发现检查转向事前防范为主,预测和评估可能发生的风险,检查现行控制的有效性。(2)评价内部控制的科学合理性,应检查控制设计是否包含对“例外”情况的补救措施,降低风险到可接受范围之内。(3)由纯粹依据已有的审计准则(包括政策、计划、程序)开展符合性测试,转向评价现有控制是否能保证实现公司目标。(4)审计领域由仅局限于评价经营管理与会计活动的合规性和真实性,拓展到测试管理信息网络与决策系统的效率与安全。(5)由仅靠内部审计测试评价内控,转向促进并参与管理层的自我评价,将控制的观念植入企业文化,营造良好的控制环境。

(二)构建良好的信息管理网络,帮助机构增强抗风险能力

决策失误是风险损失的开始,依据错误的信息决策,后果必然不利。建立良好的信息管理网络并有效应用,采用科学手段量化风险、预计影响,可推动公司各方面变革,增强应变能力,取得竞争、盈利优势。为保证决策的科学性,确立正确的战略目标与发展方向,所依据信息应全面真实、来源可靠、表达正确,信息管理网络要高效安全。选择良好的媒介进行传递,对敏感信息的接触进行授权限制,维护信息渠道畅通,网络安全统一。信息必须既能涵盖公司全部重要活动,又能满足管理层了解市场状况,掌握与公司有相关利益各方综合情况的要求。决策之前还应作到预测评估风险因素、量化风险影响,准备相应对策。

首先,从经营特点分析,石油商品生产周期长,价格受政治、军事、经济诸多不确定因素影响较大,风险较大。信息流的畅通,对于避免加工与销售企业及用户之间供求脱节的作用不可低估。此外,电子商务与采购设备网上比价,不仅提高交易效率、降低成本,且降低信息不对称的风险,有助于控制物流、资金流过程。其二,内部各环节、各层面保持信息及时交流,是贯彻政策、分享知识和经验,采取正确行动,形成组织合力的关键。沟通民主化是兴建企业文化,避免决策失误,整合各项功能,实现公司目标的安全桥梁。审计对信息管理网络的运行安全和效果的测试与评价,有助于减少决策和操作风险。