公司管理的目标在于增值,管理成功的重要标志是具备较强的风险应变能力。内部审计可以帮助管理层发现、评估重要的风险因素,促进建立完善恰当的风险管理过程及程序,推动这些过程和程序充分地运作,保持有效的控制。
一、公司风险管理的必要性与风险管理过程的目标
(一)实行风险管理的必要性
竞争能力关系到公司的生存与发展,竞争必然带来风险。由于未来环境的不确定性,管理层对战略计划预算的决策、组织实施、资源利用效果和效益难以把握,因而实现目标的管理过程客观存在风险,有必要实行风险管理。
“风险”是指某种不利因素产生的可能性,其衡量标准是遭受损失的后果与可能性。“风险”具有双面性,它既可能带来损失(负面影响),也可能带来机会(正面影响)。公司是以盈利为目的的法人实体,目标是维护信誉与价值。公司可能面临的风险有:⑴组织风险。组织结构和战略目标的适应程度。⑵企业文化、人员素质对竞争环境的适应及全员对战略目标和管理政策决策的认同程度。⑶生产经营风险。不经济地获取或无效利用资源。⑷采用新技术风险。包括革新成本高于收益,技术周期过短或运用新技术干扰日常工作。⑸信誉风险。产品或服务不受欢迎,媒体负面宣传等使公司信誉受损。⑹内部控制风险。对记录、计算机程序及数据文件等的接触,缺乏权限控制及会计核算错误和舞弊行为。⑺业绩评价风险。以不适当的标准体系衡量业绩,或未对经营业绩定期进行独立的审查,影响公司的效益、效率和效果。⑻资产安全。因授权和分工不当影响资产的保护。⑼使用错误或片面的信息资料导致决策失误。⑽活动偏离政策、计划、程序,影响目标和任务的完成。
各种风险因素由于客观条件的综合作用,表现为风险征兆,如不及时控制其变化趋势和触发条件,将给公司经营带来损失。实行风险管理,建立风险控制体系,可转化风险影响,争取有利后果。对风险来源、可能的风险事件和风险征兆预测分析后,采取风险应对措施是风险管理过程关键所在,包括通过消除风险起因来规避某一特定威胁,如强化控制降低风险,通过合作者分担或投保转移风险,采取调整投资回报率或其它措施来减轻风险损失。管理层在比较控制、规避风险的成本和预期货币值,权衡利弊后接受剩余风险。
(二)评价公司实现风险管理过程的目标
公司管理层出于了解和处理所面对风险的需要,必须建立机制以识别、分析与管理相关的风险,称之为风险管理过程。内部审计评价风险管理的充分性,应取得审计证据,确认是否达到风险管理过程的五个主要目标,即:⑴找出影响经营战略与业务活动领域的风险,按风险大小排序;⑵管理层和审计委员会已经确定了公司可以接受的剩余风险,包括为实现战略目标而接受的风险;⑶设计和实施了降低风险的内控活动,把风险降低和控制在管理层和审计委员会可以接受的水平上;⑷持续地观测监督活动,定期对风险的控制及有效性进行再评估,降低管理风险;⑸管理层定期听取风险管理过程的结果报告。公司经营管理过程应该包括定期向有相关利益各方传达风险预测、风险战略和控制情况。最后,管理层所应用的特定风险管理过程必须适合该公司的企业文化,管理风格以及工作目标。
二、内部审计在风险管理中的优势
内部审计处于相对独立的地位和在管理过程中特定的职能,在评价内部控制、协助建立健全风险控制过程方面具有诸多优势和重要作用。
首先,内部审计以推进公司规范化运作和管理,优化内控环境,增加公司价值为目的,具备服务内向性的定位优势。相对于国家审计与中介审计,内审始终围绕增加公司价值开展工作,目标定位是“管理,效益”。它与公司的生存发展息息相关。它熟悉管理过程、贴近内部管理,是规范经营管理的助推器。
其二,内部审计是一个持续的内部监督服务过程,是现代企业管理的重要职能,其作用是其它职能部门无法替代的。内部审计处于公司各职能部门或所属分支机构之间,不直接参与经营活动,具有相对的独立性。因此,内审不仅要抓好以评价经营活动及其信息的真实性、合规性为主要内容的基础审计,还要利用基础审计资料,通过开展对各种信息的真实完整、资产安全、资源有效利用的全面审计活动,评价内控制度的健全性、遵循性、科学性;保证战略目标和计划、各种政策、制度、程序得以贯彻执行;检查公司目标的完成情况和运营的效率、效果与效益,提出改进意见,并抓好整改促进规范化管理。
其三,实行内部审计是企业风险管理的需要。公司外部环境的快速变化和成本压力、诸多风险因素给管理层危机感,需要建立内部权力制衡机制和激励约束机制,以保证公司控制政策、程序和控制活动的实施。内部审计通过内控制度的评价,对公司经营活动进行风险识别和评价,符合公司市场化经营管理的需要。内审职责是采取系统化、规范化的方法促进建立风险管理过程,强化内部控制,改进风险管理与控制体系,通过审计及时发现风险,报告预测后果,提请管理层关注风险、科学决策,完善管理、提高效率,转化风险负面影响,利用风险机会提升企业竞争能力和应变能力,从而实现公司目标。
三、内部审计在风险管理过程如何发挥作用
(一)内部审计应熟悉公司的经营管理过程,有效识别风险。
(二)以风险评估为基础,优选审计项目。
内部审计范围包括检查、评价筹资投资管理、经济运行与资产安全、资金管理及会计核算等管理过程的内部控制效果与效益。审计计划和项目选择,应以风险评估结果确定优先顺序。只要存在风险暴露,不管其表现为实际业务偏离计划预算、资产的潜在损失还是管理与会计信息的错报,都应列为审计重点排序。风险影响类似的选机率较高的,风险机率相近的选征兆明显的。有违规迹象或财务状况不佳,或业绩与预算差距较大、资产或投资额大、审计间隔较长、高层管理人事调整、变更经营预算或业务流程等,都可作为首选审计对象。
(三)内部审计的重点是进行管理过程的内控审计。
内部审计应帮助管理层有效识别风险因素,相应调整经营策略和强化内部控制,进行各项克服风险的活动,适时将“威胁”转化为“机会”。内部控制是保证公司达到目标的有效的控制系统和必要手段,其总体设计应以风险评估为依据,包括控制环境、风险评价、控制活动、信息和沟通。管理层利用内部控制设计公司组织机构、岗位设置与管理运行机制,建立各种控制政策、程序和措施,运营过程授权、操作、监控,岗位责权分离,防止或发现公司职员履行职责时的重大违规行为和虚假信息,保证资产安全和核算真实;了解目标实施情况、适时纠正偏离行为,保证管理各个过程,流程各个环节的活动围绕组织目标进行。
为达到内控目标:①实行严格的组织控制,适时修正设计不合理的岗位职责与制度、规程。②强化检查控制。建立信息反馈系统,揭示失控或舞弊及原因,并运用激励机制奖惩。③设立有预警功能的“应急方案”,补救偏离目标行为的负面影响,降低风险损失。④为实现计划目标、遵守政策合同,应评价控制的实施效果和效率,促进系统的完善,优化风险管理环境。
四、推进构建风险管理框架进程,增强企业抗风险能力
在公司持续变革的进程中,审计要相应转型,拓展参与风险管理的深度与广度,科学预测评估风险因素,促进公司建立风险管理框架,帮助管理层化解经营风险,提升企业信誉,维护公司价值。
(一)内部审计发展要多方位转变,营造良好控制环境
(二)构建良好的信息管理网络,帮助机构增强抗风险能力
决策失误是风险损失的开始,依据错误的信息决策,后果必然不利。建立良好的信息管理网络并有效应用,采用科学手段量化风险、预计影响,可推动公司各方面变革,增强应变能力,取得竞争、盈利优势。为保证决策的科学性,确立正确的战略目标与发展方向,所依据信息应全面真实、来源可靠、表达正确,信息管理网络要高效安全。选择良好的媒介进行传递,对敏感信息的接触进行授权限制,维护信息渠道畅通,网络安全统一。信息必须既能涵盖公司全部重要活动,又能满足管理层了解市场状况,掌握与公司有相关利益各方综合情况的要求。决策之前还应作到预测评估风险因素、量化风险影响,准备相应对策。
首先,从经营特点分析,石油商品生产周期长,价格受政治、军事、经济诸多不确定因素影响较大,风险较大。信息流的畅通,对于避免加工与销售企业及用户之间供求脱节的作用不可低估。此外,电子商务与采购设备网上比价,不仅提高交易效率、降低成本,且降低信息不对称的风险,有助于控制物流、资金流过程。其二,内部各环节、各层面保持信息及时交流,是贯彻政策、分享知识和经验,采取正确行动,形成组织合力的关键。沟通民主化是兴建企业文化,避免决策失误,整合各项功能,实现公司目标的安全桥梁。审计对信息管理网络的运行安全和效果的测试与评价,有助于减少决策和操作风险。