第10章 内部审计在风险管理中的作用: 公共部门与私营部门对比研究

10章 内部审计在风险管理中的作用:

公共部门与私营部门对比研究

一、内部审计的发展历程

内部审计可谓源远流长,正如维克托·布林克所说:内部审计概念自从有委托关系以来就一直存在。但直到上个世纪30年代,经营性企业和独立审计师才承认它的重要性。那时的内部审计师主要是检查会计记录,发现财务错弊。内部审计师只是外部独立审计的伴随者和附合者[],主要工作包括:单据检查、盘点资产、就过去的事项向各管理层进行报告。[]随着全球经济的发展,来自各方面的力量正在静悄悄地推动着内部审计职业的变革。政府的民主化的进程,要求政府等公共部门承担对公共资金的受托责任,并为公众提供有效的服务。日益庞大和复杂的系统要求内部审计具备更强的专业能力、更加职业化,通过审计工作的开展,使稀缺的资源得到更有效地使用,以降低风险。技术进步使内部审计的技术发展提供了保障,飞速变化的外部环境与风险的不确定性,都使得政府从内部审计那里获得建议变得至关重要。

即使如此,各个国家公共部门内部审计的发展状况差别很大,实现公共部门内部审计现代化是一项巨大的工程。从仅仅保证合法合规的“敲打型”审计真正转变为提供增加价值的服务,要求的不仅仅是组织上的变化,更多的是文化观念上的变化,尤其是在那些内部审计环境不健全的国家中。在许多情况下,职员待遇低下、缺乏激励,道德准则薄弱,许多组织高层管理者和管理机构不支持内部审计,内部审计机构缺乏应有的独立性[]

20043月,世界银行(WB)和国际内部审计师协会(IIA)在肯尼亚首都内罗毕联合召开内部审计发展论坛,核心议题就是探讨和解决上述问题。此前,世界银行在对非洲27个国家进行的一次财务责任状况评估中指出,内部审计面临挑战是一个具有普遍性的问题。论坛认为,为改进公共财政管理,提高公共服务质量和消除贫困,内部控制和审计系统需要变革。早在20 世纪70 年代,随着内部审计及其职业发展对社会影响力的日益提高,内部审计的作用及其地位在相关法律中得以确认,许多国家制定的法律法规都包括了要求企业建立内部审计制度的条款,一些职业组织相继发布了与建立、健全有效的内部控制制度相关的报告,强调了内部审计机构在保证内部控制有效性方面的职能与作用。为适应环境变化的要求,国际内部审计师协会( IIA) 19996月,对内部审计的定义、职业准则以及道德规范等进行了全面回顾,提出了能够适应当代内部审计发展的新定义,将以独立性为基础的“确认”活动和以决策有用性为基础的“咨询”活动并列起来,提高了内部审计的地位,扩大了内部审计的责任和工作范围,将内部审计进一步提升至风险管理和公司治理的高度。在新定义的基础上,IIA 建立了新的内部审计专业实务框架,并特别强调内部审计应通过“参与式”审计活动以体现其“增值”功能。内部审计工作重点领域方面的变化集中在以下三方面:

1)内部审计在内部控制制度方面的职能进一步强化。SOX 法案颁布之后,公司“内部控制的评价”内容成为在美上市的公司年报的强制披露义务,内部审计职能通过内部控制这一领域再次得以强化,尤其是内部审计人员要在保证有效的内部控制和健全的财务报告方面发挥关键作用,内部审计在企业组织的重要性和影响力进一步提升[]

2)内部审计成为改善公司治理的重要基础。在纽约证券交易所要求所有上市公司都要设立内部审计部门的环境下,内部审计部门与董事会、执行管理层、外部审计并列成为有效企业组织治理不可或缺的四大基石。具体表现为: 内部审计应该评价并改进组织的治理过程,为组织的治理作贡献,从而推动组织道德和价值观的良性发展;内部审计在确保实现组织目标和维护组织道德观和价值观的基础上,要树立风险管理与控制观念;要保证董事会、管理层、外部审计和内部审计四个因素在企业组织治理过程中的协调。这些建议和要求为内部审计参与公司治理提供了广阔的发展空间。

3)内部审计活动涉及到整个业务与管理流程。“安然事件”后,内部审计的地位不仅仅表现在独立性和权威性的提高,而且还表现在内部审计活动开始涉及整个业务与管理流程。例如,近年来企业组织广泛开展的内部控制自我评估,将运行和维持内部控制的主要责任赋予企业管理层,但内部审计人员要与管理人员合作共同评估控制程序有效性,共同承担对内部控制评估的责任,并要求从整个业务流程中发现问题、解决问题和进行必要的反馈,促进经营管理目标的实现。国外学者安德鲁等(2005)的研究表明,未来的企业组织将会把内部审计的保证服务与企业总体流程结合起来,成为一种风险评估、管理和控制机制。这些内部审计重点工作领域的变化,将使以往由内部审计机构对控制的适当性及有效性进行独立验证,发展为由企业整体对管理控制和治理负责。内部审计将从以前消极的以“发现和评价”为主要的内部审计活动转向积极地“防范和解决问题”;从事后发现内部控制薄弱环节转向事前防范;从单纯强调内部控制转向积极关注、利用各种方法来改善公司的经营业绩(张玉,2005)

这些变化也在说明了,内部审计部门为提高其在组织中的不可替代性,减弱外部化带来的不利影响,扩展其职业生存空间。内部审计部门逐渐开始为整个组织提供风险方面的咨询与保证服务,与风险管理的关系日益密切。

二、风险管理的新动态

风险管理起源于20世纪30年代的美国,并从美国向世界范围内传播。20世纪中期,一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始,由于环境的不断变化,控制手段和措施的不断丰富,风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高,人们对风险管理也有了更深的理解和判断(董大胜,韩晓梅,2010[]2004年,在COSO出版的《企业风险管理--整合框架》中,对企业风险管理定义如下:“企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。风险管理包括八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督”。总的来讲,整合框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去,也要面向未来;企业的风险管理不仅贯穿于战术层面也贯穿于战略层面(谢志华,2007)。[]

COSO发布的《企业风险管理框架》指出,机构风险管理就是应对影响价值创造和价值保持的风险和机遇,其定义如下:“机构风险管理是一个由决策层、管理层和其他人员共同参与的过程,用于机构战略制定和机构的各个部门及各项活动,用于确认可能影响机构的潜在事项,并在其风险偏好允许的范围内管理风险,从而为机构目标实现提供合理保证。”在公共部门,价值创造和价值保持词语的含义不像在私人部门那里直截了当,坚定扩展定义的目的是使其尽可能涵盖更多的部门和组织类型。照此,用服务创造和服务保持替代定义中的价值创造和价值保持,该定义完全有可能适用于公共部门中的机构。

从国内来看,中央政府已越来越重视风险控制,将风险管理提高到企业管理的重要位置。20066月。国务院国资委发布了《中央企业全面风险管理指引》。对中央企业如何开展全面风险管理工作提出了总体原则,并对企业风险管理的基本流程、组织体系、风险评估等方面进行了比较详细的引导。该《指引》的出台,对国有资产的保值增值和企业的健康发展。将起到一定积极作用,为我国企业应对经济全球化挑战和市场经济条件下的内外风险,提供了指南。 20073月全国工商联发布《关于指导民营企业加强危机管理工作的若干意见》,指导民营企业增强危机意识,建立防范风险的危机预警机制和用于解决危机的应急处理机制,提高危机防范与危机化解的能力和水平。由此可见,我国在企业全面风险管理方面已经迈出了一大步,已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是,全面风险管理在我国企业管理中还属于相对薄弱的环节。许多企业缺乏经验,风险意识不强,风险管理手段相对匮乏。因此。广泛开展企业全面风险管理理论与实践研究。积极借鉴国际上企业全面风险管理技术和经验,努力提高我国企业全面风险管理水平,将是我国政府和企业面临的日益紧迫的重要任务。所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

风险管理由八个紧密相关的要素构成,他们源于管理者的经营方式,并与管理过程融为一体。这些要素包括:内部环境;确立目标;识别事项;评估风险;应对风险;控制活动;信息和沟通;监督。在运用风险管理要素时,机构应当考虑组织所有层面的全部活动范围,管理当局还应考虑机构风险管理框架使用的新创新和新措施。《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作,具体包括:

1)收集风险管理初始信息。收集风险管理初始信息是企业全面风险管理的首要环节,其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。 不同的风险,源于企业内外不同方面,而且随时随地都有可能发生。因此,收集风险管理初始信息应该贯穿于企业所有的业务单位,并且作为一项经常性工作。它要求企业有效地建立风险信息收集管理系统,广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险市场风险运营风险法律风险相关的国内外宏观经济政策经济运行情况、产业政策技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。

2)进行风险评估。企业风险评估,是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估,具体包括风险识别风险分析风险评价三个步骤,其目的在于查找和描述企业风险,评价所识别出的各种风险对企业实现目标的影响程度和风险价值,给出风险控制的优先次序等。风险识别、风险分析和风险评价,是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行,也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何,都要采取定性与定量相结合的方法,如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量效率,还要统一制定各种风险度量单位和风险评估模型,要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系,也要进行必要的相关分析,以便对各种风险进行集中管理。此外,风险评估也是一项经常性工作,需要进行动态管理。

3)制定风险管理策略。制定风险管理策略,就是根据内外条件,对所识别出的各种风险,按照所给出的优先次序。围绕企业目标与战略,确定风险偏好、风险承受度和风险管理有效性标准,选择适当的风险承担风险规风险转移、风险转换、风险对冲风险补偿和风险控制等风险管理工具,确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节,决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性,对不适当的风险管理策略进行及时的修正或调整。

4)提出和实施风险管理解决方案。提出和实施风险管理解决方案,就是根据所制定的风险管理策略。针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括:提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条件、手段以及各种内控制度等,以及风险事件发生之前、之中和之后应该采取的具体应对措施(包括外包方案)以及风险管理工具。所制定的风险管理解决方案,应该满足合规性要求,同时要注重成本、质量与效率的平衡,坚持经营战略与风险策略、风险控制与运行效率的统一,保护自身商业秘密,防止自身对外包解决方案产生依赖性风险。

5)风险管理的监督与改进。企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此,企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点,对上述各项风险管理工作实施情况进行监督,并且采取有效的方法对其有效性进行检验。根据监督和检验结果,对所存在的问题或缺陷加以改进。

三、内部审计在企业风险管理的作用

2003IIA发布的《内部审计实务标准》,内容上始终贯穿着风险审计的指导思想,它表明内部审计已经发展成为以风险为导向的内部审计。中国内部审计师协会副会长兼秘书长易仁萍曾说过“参与企业风险管理,更多进行风险导向审计师内部审计发展的方向。”[]

 

1.内部审计与风险管理间的关系[]

IIA对内部审计的定义可以看到内部审计的范围已延伸到企业风险管理,该定义认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的,过去内部审计主要限于财务控制,目的在于保护资产的安全,保证财务会计记录的正确性以及对外提供财务信息的可靠性。现在内部审计范围扩大了,要求内部审计部门对本企业有效经营、遵守法律法规等方而进行检查,并将内部控制的范围与风险管理结合起来,对企业所面临的风险性质和程度进行全面综合的评价。事实表明,风险管理已发展成为内部审计的项重要内容。一是内部审计是实施风险管理的有效手段。从内部审计发展趋势来看,内部审计不仅越来越关注风险,同时也是风险管理的重要组成部分。内部审计更强调确认经营风险是否得到有效管理,根据内部审计部门对ERM各环节进行潜在的风险认定,内审计人员进行相应的单独评价监控程序,这有利于企业加强风险的规避、转移和控制,通过有效的风险管理提高企业整体管理水平。二是内部审计是风险管理的重要组成部分。风险管理是要把可能的错弊或者损失控制在允许的范围之内。风险可以分为内部风险和外部风险,风险管理因此也就分成内部风险控制、内部风险管理和外部的风险管理,内部控制和内部审计也就成为内部风险管理的重要组成部分。内部控制、内部审计应该是外部风险管理的基础和重要手段。所以说内部控制、内部审计是风险管理的重要组成部分,但不是全部,两者是交叉的,但其联系日趋紧密。三是风险管理是内部审计的主要职责。风险管理是内部审计要发挥作用的途径,由于这样种工作方式的变化,决定了内部审计人员在组织内部有了独特的地位,内部审计人员在企业的风险管理和监控中占有重要的地位。特别是在风险导向内部审计的观念下,审计计划与公司最高层的风险战略连接在起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相致,使用风险管理原则改变审核过程。风险管理成为企业管理的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。可以预见,随着风险管理与内部审计交叉融合的程度进步加深,风险管理的内容在《内部审计实务准则》中将会占有更大的比重。

2.内部审计对风险的控制和管理

针对风险管理的各要素,内部审计主要是从以下几方面对风险进行控制和管理[⑨]

1)审查目标制定的合理性。审查并评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订; 与相关管理层讨论部门的目标,看分解到各部门的目标是否对战略目标提供足够的支持。

2)审查风险识别的适当性及有效性。风险识别是指对企业面临的, 以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业进行风险评估乃至风险控制的前提是进行风险识别和分析。风险管理人员应在进行了实地调查研究之后,运用各种方法对潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。

3)审查风险评估方法的适当性及有效性。对风险评估过程进行审查与评价要重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素, 在对风险评估方法进行审查时应重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的考核与衡量等。

4)审查风险应对措施适当性和有效性。在风险反应活动中, 单位要根据不同的风险决定要采取的策略和方法, 决定是避免风险、接受风险还是降低风险。内部审计人员在评价风险应对措施的适当性和有效性时, 要分析和评价风险回报的合理性、减少风险的措施的有效性, 以及接受风险转移和风险分担的那一方的风险。如果对方不能承受该风险, 则这种风险控制的措施是无效的。还应考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险应对措施是否适合本组织的经营、管理特点;成本效益的考核与衡量等。

5)审查风险信息沟通和风险管理系统监控的有效性。在风险信息沟通活动中,风险管理者要将风险信息及时有效地传递给相关人员,以便采取相应的措施。内部审计人员可以通过审查和评价风险报告系统运行情况的来审查信息沟通的有效性。在监控活动中,单位要对风险管理进行持续监控。内部审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计,检查管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效。

3.内部审计与风险管理的整合构架

在促进内部审计与风险管理融合方面,日本经济产业省构建的风险管理的一体化模式值得借鉴,它总结日本先进企业内部审计、内部控制和风险管理的成功经验,并在此基础上融合日本全面质量管理的理念。该模式中,内部控制的评价是指内部控制制度、行为是否契合内部控制总体目标的达成,包括体系构建的完备性(规则、制度是否健全,内容是否合适)和运行状况的遵循性(在具体执行运行过程中,是否遵循既定的内部控制规则)。为了促进风险管理与内部控制间的有机整合,日本经济产业省在对先进企业风险管理经验总结的基础上,归纳并形成了--基于风险分析的内部控制评价方法。该方法通过对企业风险分析,评价内部控制体系是否能够把握特定的经营活动的风险,并对这些风险进行及时地发现和有效地预防。基于风险分析的内部控制评价,首先要确认内部控制的制度、规则的建设情况,在制度、规则完善的基础上进一步确认运行情况。此外,在内部控制评价过程中,还要充分发挥内部审计部门的作用。内部审计部门作为独立的评价机构,对各个层级的内部控制评价的结果进行再评价,确保内部控制评价的客观性,促进内部控制体系完善,让企业的风险得到全面的控制。

1:一体化风险管理整合架构

以采购活动的“预定工作”为例,由于存在着资金支出的购买活动,一般而言发生舞弊行为的可能性更大,所以存在降低发生舞弊风险的必要性。内部控制评价的前提条件是对综合风险评价、对经营活动的把握,具体到购买活动时要考虑如何降低舞弊行为发生的风险。在“采购的预定流程中”,首先要确认内部控制的制度、规则的建设情况(主要确认采购申请填写人与订货负责人是否分离),如果内部控制制度本身不完善,要进行整改。在内部控制制度、规则完善的基础上(采购申请填写人与订货负责人在制度规定上实现了分离),进一步确认运行情况的遵循性(对运行情况的分析,主要关注运行过程是否按照制度与规则执行),如果存在执行不到位的,需要整改。

在“金字塔式的组织中”,企业的各个层级通过PDCA循环,让风险管理与内部控制融入企业经营管理的各个方面。内部控制的评价基于风险分析,实施内部控制评价的人员要能够准确把握流程现状,并对作为控制对象的业务有一定程度理解。如图1,采购流程由采购部经理负责,各个业务流程由其流程的负责人负责。但是,在实际工作中流程负责人(采购部经理)不可能对每一个内部控制进行确认与评价,对于那些更为细化的环节(如采购流程中的“定货”、“验收”环节)要由下一层次的负责人(如作业层负责人)来评价。在内部控制的综合评价中,企业的各个层级不是独立的开展内部控制评价,而是通过“自下而上”的方式开展连贯式内部控制评价,即从作业层(车间负责人,团队负责人)到战术层(各部门经理)再到战略层(股东等)。在这些评价结果的基础上,最终形成综合评价。当发现企业某些业务流程出现问题时,根据问题的风险程度,决定内部控制的改善方案。

四、内部审计在公共部门风险管理中作用

1.政府风险的定义

所谓风险是指影响未来事件及其结果的某种不确定性,它是关于某一事件发生的可能性及其对发展目标的影响的描述。综合而言,国际上一般把政府风险管理(Government  Rich  Management )界定为::政府识别、评估和判断风险,采取行动预测风险和减轻后果、以及陈控和回顾进展的全部过程,从广义上来看,也包括政府的理念、角色和责仟以及组织文化等[]

从过程看,政府风险管理包括两个阶段。第一阶段是风险前( Pre- rich)阶段,旨在通过对风险的识别、判断和预防,尽可能回避和降低风险,推动事态向好的方向发展,即所谓趋利避害,化险为夷;如果回避风险失败导致风险发生,则进入第二阶段一一风险后(Post- risk)阶段,旨在及时妥善地解决危机和突发事件,减轻和消除不良后果,恢复常态。这也是传统危机管理或应急管理所关注的领域,不过前者强调的是后果的严重性和引发的危机状态,后者则更为强调事态的突发性和应对的紧急性,时间意涵更为强烈。

风险管理强调的是事态朝好和坏两个方向发展的双重可能性。研究和实施风险管理的主旨在于,通过风险前阶段的努力,尽量回避和降低风险,使事态朝好的方向发展,从而在源头上避免或减少危机和突发事件的产生。

 

2.政府部门面临的主要风险

风险的实质是一种危险的不确定性,随着全球化和信息化的发展,风险因素不断增加,风险的扩散性和变异性日益增强。而政府与私人或商业领域相比,面临着数量更繁多、形式更复杂的风险。(具体风险类型见表1[11]

1:政府部门面临的主要风险

经济形势变化,例如:经济增长低迷,税收收入减少,服务机会减小,或公共服务的可行性和质量受到限制

政府治理不当或法律执行不当,破坏了公共服务环境

公共工程进度慢,超支,达不到质量标准

达不到公共服务计划要求,不能持续地提供公共服务

资源或技术不能满足公共服务的要求

政府部门和机构的合伙人或其它政府部门和机构不能履行公共服务合约

当公共服务方式趋于老化时,在引入新的公共服务方式之前,不能合理地评估项目的可行性,可导致一系列问题发生

忽略技术开发、进步,或投资不合理性,或投资技术不配套

疏忽公共服务监督

公共服务绩效无法测定

政策目标不确定,导致意外问题出现

舞弊和行为不当,导致资金损失和浪费

疏于对公共服务规范的指导、创新

 

3.内部审计与政府风险管理

当风险成为政府不可避免的现实状态,政府处理与风险相关的事物已经成为政府的重要职能和工作环节。政府风险管理越来越成为政府管理的常态。内部审计对于风险管理的作用就日益凸显。政府部门内部审计与企业内部审计不同,它是政府行政管理体制的一部分。随着民主进程的加快和强化政府责任的呼声越来越高,政府部门内部审计作为政府管理改革的一项重要举措,在全世界范围内受到了广泛关注。在我国,随着行政管理体制改革不断深化,公众也对政府部门提出了越来越高的要求,迫使政府部门必须加强内部控制和审计。20043月,世界银行(WB)和国际内部审计师协会(IIA)在肯尼亚首都内罗毕联合召开内部审计发展论坛,重点就是解决上述问题。此次论坛的6个主要议题——认识、组织和治理框架、立法、职业化提升、概念框架、资源——被认为是各国建设有效的内部审计的关键问题。[12]

对于内部审计刚刚开始向增加价值的方向转变的国家,学习这些经验是非常有帮助的。关键的要素包括的道德、政府支持、积极的工作方式和员工发展。文化、观念甚至内部审计自身的变革,需要最高层管理者长期不懈的努力。安然、世通、安德森、帕马拉特等事件提醒人们,仅仅有规则是不够的,即使是美国证券交易所(SEC)的规则,良好的会计和审计制度多么重要。在日益复杂的业务环境下,审计职业面临更多的压力。从上到下的道德气候必须是非常强有力的。

事实上,对改进治理的强有力的积极的领导支持是公共部门内部审计成功转型的首要前提,需要内部审计负责人、高级管理者、审计职员、会计官员和高级经营管理者的积极参与。要进行持续的变革,仅仅是内部合作也是不够的,必须培育外部关系。利益相关者和决策者必须明了内部审计的变化、改革和完善,这样他们就会充分考虑内部审计能够带来的贡献。

改革内部审计的第一步是将其纳入政府改革议程。内部审计必须分析其如何适应这些改革,并将自身作为这种变革的一部分。主要改革者必须乐于进行内部审计的改革,明了内部审计的重要贡献。此外,在政府变革过程中,高层管理当局应该不断声明其对内部审计的支持。这既保证了对内部审计职员的持续支持,又提醒刚加入的团队内部审计的重要性。同时,独立性问题始终非常重要。面对着日益增加的内部审计与管理当局的合作,必须有措施保证内部审计始终立场坚定。

内部审计从警察角色向积极为组织做贡献的理念转变,需要精心培育和良好管理。内部审计是否成功的标志必须重新确定——应该是建议的采纳实施情况,而不是报告自己发现了多少问题。这种变革需要时间,而且常常贯穿于整个转型时期。在转型过渡期,往往需要强调错误发现率的同时,积极倡导改进内部审计。内部审计表明自己提供的服务有效果和效率,将拉动对提高内部审计地位的需求。

培养团队意识对于提升专业层次非常重要。能够在一起很好合作的团队对于不断扎实地变革非常关键。而且,持续的专业发展也很重要,因为审计人员需要具备:较强专业胜任能力和可靠性,以及较强的计算机技术,同时对组织业务、风险及其偏好、控制系统有深入的了解。

虽然提升职业的改革是一个相当大的挑战,已经取得的结果无疑已经证明了这种努力都是值得的。努力进取将有助于在全世界建立真正增加价值的公共部门内部审计。

4.发达国家政府风险管理中内部审计

目前我国政府内部审计的发展尚在起步阶段,内部审计还存在一些问题,主要相关立法配套性不强;内部制约、监督和检查不力;内部控制不健全、缺乏有效性。政府部门内部审计是政府部门内部控制体系的重要组成部分。完善政府部门内部审计,不仅有利于预防和纠正预算执行中存在的问题,还适应了未来我国预算管理方式的变革,也为实施绩效预算、权责发生制会计等改革目标奠定基础。世界上许多国家政府部门都建立较为完善的内部审计制度,作为政府部门风险管理的工具发挥了重要作用,“它山之石,可以攻玉”,本文收集与整理了英国政府与加拿大政府在风险管理工作中内部审计所发挥的作用。

1)英国:

 最近,英国政府发布了2010年的《国家风险登记册》、《业务可持续性调查报告:中断与抗逆力》等文件,进一步强化全社会广泛参与的政府整体风险管理建设工作。近年来,英国政府的整体风险管理建设举措受到国际社会的高度关注,其政府整体风险管理的主要目标是对所有的危险事件进行年度评估,从而识别、描述和量化可能对社会产生影响的风险,提高包括政府所有部门在内的全社会的风险管理和应对能力。另外,在整体风险管理建设中,通过英国各部门都参与的风险分析调查、统计、评估等工作,就可以列出一个综合全面的政府风险清单,进而增强对所面临的全球战略风险的认识,提高政府应对国内外各种复杂局面的能力。

 英国政府在整体风险管理建设中,在加强组织内部风险管理机构建设的同时,注重通过建立战略框架、提升风险管理能力、加强与公众的风险沟通、培育政府内部的风险管理文化等措施,以促进公共政策优化,提供更好的公共服务。政府内部风险管理建设的主要内容如下:首先,建立政府风险管理的战略框架。其主要工作包括让各部门了解政府的角色与责任,以及风险管理的目标、原则。英国政府把保障公众安全作为政府的核心工作之一,在风险管理方面承担制定规章、服务照顾、实施管理等三方面的职责。实际上,这三方面职责之间部分存在交叉,同时,英国政府最大的风险之一就是无法了解应扮演的角色与任务,无法取得公众的信任。为此,在确认政府风险管理的目标、原则方面,英国政府严格审查各部门风险管理的现状,总结和参考国内外风险管理的典型案例,设定风险管理目标与原则。

其次,提升政府风险管理的实际能力。具体工作包括五个方面:一是确保决策充分评估风险。风险管理应落实到政府核心决策过程中,包括政策制定、预算执行绩效评估、部门计划、服务管理、项目管理等诸方面,并不断破解风险管理中的难题。二是采用实用的风险管理技术和方法。英国财政部提出了风险管理模型,提供给各级行政管理人员作为风险管理的标准程序。三是管理风险组织化。英国政府风险管理通过与各级部门签订合同分散风险的同时,。央政府还向公共部门和私营部门提供危机管理的帮助,及时追踪和应对跨部门的风险,努力克服政府施政重要目标执行时所遭遇的风险。四是培养风险管理者的实际能力。通过开展风险管理的实际训练、任命专门的风险负责人,负责领导风险管理体系、步骤、技术等方面的建设,以有效管理风险。五是确保风险管理工作质量。应结合风险管理标准、绩效考核等措施,通过管理标杆设定具体的执行情况,确保风险管理工作得到重视,进而提高风险管理工作质量。

再次,加强与公众的风险沟通。为了有效的管理、沟通涉及公众的风险,取得公众的信任,政府必须更开放,尤其在不确定性高的政策制定过程中,决策更应该透明,并且在决策过程前期让利益相关者及社会大众更多参与,以增强公众信任,降低政策风险。英国政府把教育作为公众认识风险的最重要一环,在《国家风险登记册》中,让公民充分了解国家面临的灾害和威胁,并提供相应的防灾避险指导。

最后,培育政府内部的风险管理文化。培育良好的文化是有效管理风险的基础,政府部门的行政首长与高级官员应采取积极有效的措施,通过支持风险管理变革,培养风险管理的理念和意识,提高管理人员风险管理技能,促进管理人员熟练掌握风险管理相关技术和方法,推进风险管理工作的执行等系列措施,促进政府内部的风险管理文化建设[13]

在英国政府风险管理中,内部审计以咨询角色提供的“建议”,包括状况分析、风险分析及评估、研究潜在的风险及其解决方案、针对系统提供控制保证以及确认活动等。由于内部审计的咨询服务将由相当熟悉该机构整体风险、控制及治理问题与优先顺序的人员执行,故可为政府管理阶层提供额外的帮助。部分内部审计人员因为拥有内部审计技能以外的其它知识、经验及技能,能够成为政府管理决策提供咨询。例如,内部审计人员如果拥有信息科技、会计或法律问题等方面的特殊训练、经验或资格,若这些技能特别有助于某些政府风险管理职能的改善,这些专业内部审计人员就会被派遣到相关部门执行风险管理的改善,但是在执行任务的协议权限中会明确指出内部审计人员仅负责确保在针对风险及控制问题提供建议时遵循专业自律与注意事项;若政府管理层选择信赖内部审计技能组合以外的技能专业建议,其应自行承担有关专业自律与注意事项的风险。在英国政府风险管理中,还非常明确的指出,内部审计提供咨询服务仅是为协助管理层的工作,而非取代管理层本身解决问题的努力,咨询的角色应提供管理层参与性的建议以及活动支持。内部审计人员执行咨询任务的方法很多:协助管理活动。例如,若管理层希望举办一个研讨会,以针对特定问题的风险及控制集思广益,此时内部审计人员便可担任称职的研讨会主持人,因为他们的技能将有助于引导并激发管理阶层有效确认及分析风险与控制,并将其脑力激荡的结果整理成有结构的观点(研讨会主持技能的特殊训练将有助于接受此类工作的内部审计人员)。更为关键的是:这个角色并不能要求主持人告诉管理层他们的风险、控制以及行动计划为何或应该如何,因为这么做将会侵蚀管理阶层对自己活动的责任。

2)加拿大[14]

    加拿大政府以风险管理方面也有其实行联邦制其独创之处,加拿大政府内部的采购审计和风险管理值得借鉴。

     采购审计在加拿大政府内部审计日益重要。加拿大政府内部审计要求突出纳税人的监督意识。在采购审计中首先审查谁有权授权。厅长作为民选官员,要签字授权,副厅长是公务员,作为采购官员确保不越权。在采购规定上不同层级对应不同的权限。在经费授权框架内,各厅都要执行同一政策,不能例外。在经费权力中要分别明确消费权力和付款权力,并保证消费权力与付款权力的绝对分离。在管理法则审查中,要保证限额以上的货物和服务采购都纳入采购审查范围。在采购原则审查中,查明有无利害冲突、供货来源、采购的公开评估、相关记录等情况。对采购过程坚持物有所值的原则和比价审计。在采购利益审查中,分别对合法指标、评估、合约、服务管理进行审查。内部审计根据一致性原则对采购过程进行评价;同时,根据风险因素的不同和项目的重大程度,在项目运作前即开始分析,跟踪评价。并根据审计对象风险严重性相应地提供顾问、咨询服务。

     加拿大政府在工作业务的优先排位、资源分配、计划实施、辨别问题,要运用风险管理。政府工作不用“利益”这个词来主张审计,而用“货币的价值(VFMValue-For-Money”来主张审计,讲的是“效用”。纳税人的钱花没花到点子上,花得值不值,从这个角度辨别风险的因素、来源、潜在影响。阻止工作目标实现的因素就是风险。风险与控制是相对的。更好的风险管理就是要使重点更加集中,作出更好的决定。风险管理要求突出政府或企业控制,突出组织目标和组织纪律。在安大略省政府内部审计部门对风险的列举包括:战略风险、运作风险、财经风险、法律风险、名誉风险、健康风险、环境风险、服务风险等,也可能出现混合风险。审计需要查明审计对象各个不同部门、不同层次的风险,以告诉审计对象加以应对。这使得审计充当了顾问性的工作,以分析各种可能性,必要时,为增加分析的客观性和独立性,可以采用不记名投票方式采集不同专业、不同层次的专家对风险所在多寡的判别,如用电脑匿名投票。这些体现了风险管理的重要原则,风险所在是要充分被参与者广泛认同。广泛征求意见的工作方式,与独立评估风险的方式显然不同。

内部审计与风险管理评估是两种不同的服务方式。内部审计所做的是审计评价工作,从审计的职能上讲,仍然是不参与决策,保持独立与客观的观察。风险管理及其引致的风险管理评估是决策和决策顾问的工作。针对被审计部门,基于内部审计部门在组织结构中的位置,对风险评估,还包括对风险管理这一工作状况的评审。其评审包括:(1)审计部门评审对象的固有因素;(2)外部因素;(3)内部因素;(4)控制因素;(5)风险的权重。其关系是:[(固有因素+外部因素+内部因素)—控制因素]×风险的权重。

五、我国企业及公共部门风险导向性内部审计开展情况

我们对9287家中国民营企业和113家公立医院的内部审计开展情况进行了调查。被调查企业的注册类型分为:有限责任公司、股份有限公司、合伙企业、个人独资企业、其它等(表2)。企业设定内部审计机构情况的调查,在被调查的9287家企业中,有8950家就“是否设定内部审计机构”进行了回答(表3)。

民营企业注册类型情况

名称

有限责任公司

股份有限公司

合伙企业

个人独资企业

其他

合计

数量

8451

320

216

202

98

9287

比例

91.00%

3.45%

2.33%

2.18%

1.04%

100%

 

3 企业设定内部审计机构情况

设定情况

设定

其中独立设定

未设定

合计

数量

822

400

8128

8950

比例

9.18%

47.96%

90.82%

100%

调查数据显示,有822家企业设定了内部审计机构,仅占总体的9.18%;这822家企业中只有不到50%的企业是独立设定了内部审计机构。对民营企业内部审计人员活动范围的调查,分为财务审计、风险审计、内控审计、合规审计、舞弊审计、投资项目审计、物资采购审计、经济责任审计、经济效益审计、IT审计、专项审计、其他审计(图5-1调查数据显示,目前内部审计人员主要开展内控审计、财务审计、合规审计、物资采购审计和专项审计等多项审计业务。其中,内控审计的比例最高,为26.90%;财务审计的比例次之,为16.70%;合规审计、物资审计、专项审计分别占11.70%10.37%9.61%,而风险审计、舞弊审计、投资项目审计、经济责任审计、经济效益审计、IT审计、其他审计分别为2.01%3.72%2.99%6.42%5.57%3.01%1.49%。表明目前我国企业基于风险控制的内部审计开展的比重很小,问题突出,应提高对企业风险的认识,明确内部审计在风险管理中的作用。提升内部审计在企业中的地位。

5-1 内部审计人员经常开展的审计项目统计图

 

113家被调查的公立医院中,有73家医院设立了内部审计机构,占到了总体的64.6%。这一比例虽明显高于民营企业。但是,进一步分析我们看到(如图5-2):这73家开展内部审计活动的医院,其“风险审计”的业务内容的比重仅占到了3.44%,比重最高的仍然是财务审计,达到了32.74%。这表明,目前我国公共部门的内部审计开展情况还仅在起步阶段,风险导向性的内部审计模式还不成熟。公共部门内部审计制度的建立和完善应该列入重点关注之列。

5-2 医院内部审计人员业务活动及开展情况

5-3中我们可以看出,未来三年风险审计的比重在57.3%的医院会有所增加,但同时也有接近50%的医院在风险管理审计的方面没有变化。表明,长期以来,我国公共部门的内部审计被忽视和边缘化,内部审计的发展任重而道远。尤其是公共部门的内部审计的监督制度仅仅是针对本部门的会计资料进行审查,与现代意义上的公共部门的内部审计制度还有相当的差距。在这种环境下,我国应通过相关立法提升内部审计尤其是风险导向内部审计的地位,通过公共部门的内部审计控制建设与完善,创造好的内部审计环境,以提升我国公共部分内部审计的地位,进而保证更好地发挥其对风险管理的作用。

 

 

 

 

 

 

 

 

 

 

 

5-3 医院内部审计项目未来三年可能变化图

综上数据的分析和对比我们发现,民营企业和公共部门的内部审计开展情况都不容乐观,尤其突出的是,基于风险管理的内部审计业务比重甚微。今后,企业和公共组织的内部审计部门应注重除了对各有关部门和业务单位财务信息等相关合规性进行审计外,还应在风险控制的思想和风险导向审计的理念指导下开展其他内部审计活动。运用风险导向审计的理念,在审计计划的制定、审计对象的选择、审计范围的确定、审计方案的编制、审计方法的选用、审计报告和后续审计等环节,都要体现审计风险管理的意识,从而使组织的风险管理与内部审计活动之间协调一致,产生协同增效的作用,体现内部审计在风险管理中的价值。

 

(本章作者:王旭辉)



[] 齐兴利 剧杰 袁新,从内部审计的历史演变透视现代内部审计发展态势,广东审计》2003年第01 

[] 刘力扬 《内部审计师》 20058):69-73

[] Cecilia Nordin Van Gansberghe Internal Auditing In The Public Sector

[]严国强等. SOX 法案下的内部控制框架思考[J].会计研究.2004

[]《风险基础内部审计理论》董大胜 (作者), 韩晓梅,大连出版社; 1 2010

[]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,(10).

[]杨朝晖 贾若莉《以风险为导向发挥内部审计在企业全面风险管理中的作用》

[] 应益华 许道芳  ERM框架下内部审计在风险管理中的应用 财会通讯 20098):86-87

[]美)贝利,格拉姆林,拉姆蒂《内部审计思想》,王光远等译,中国时代出版社,2006

[] 谢一帆 政府风险管理的国际经验与发展趋势 安庆师范学院学报(社会科学版) 20059):20-23

[11] 审计署科研所 《国外审计动态》第13

[12] 审计署审计科研所《国外审计动态》第5

[13]英国政府的整体风险管理建设新举措,中国应急管理 游志斌 20104):

[14]参考资料:加拿大的采购审计与风险管理——赴加拿大内部审计培训团总结报告作者单位:水利部审计室