关于风险管理审计在我国运用的思考

　　[摘要]本文分析了风险管理审计与传统内部审计模式的区别，并结合我国国情，探讨7目前风险管理审计在我国运用中存在的问题，认为风险管理审计的法规及准则的不完善、企业管理观念落后、内审部门组织地位不合理、审计人员知识结构单一、审计技术简单成为风险管理审计在我国运用的制约因素，并就此提出了相关的解决对策。
　　[关键词]风险管理；内部审计；风险管理审计
　　[中图分类号]G642
　　[文献标识码]A
　　[文章编号]1005-6432(2008)48-0089-03
　　
　　随着经济的全球化和科技的迅猛发展，企业的经营环境变得复杂多变，企业面临着诸多的不确定性，如何开展风险管理成为理论界和实务界的热门话题。风险管理审计正是适应经济发展的要求应运而生。因此，研究风险管理审计在我国的运用，对于企业防范和规避风险，增加企业价值，具有一定的理论和现实意义。
　　
　　1　风险管理审计与传统内部审计模式的区别
　　
　　所谓风险管理审计是指“企业内部审计部门采用一种系统化、规范化的方法来进行以测试企业风险管理信息系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标”。作为新型的内部审计模式，与传统内部审计模式有着明显的区别，主要表现如下：
　　
　　1．1　审计目标不同
　　风险管理审计是采用一种系统化、规范化的方法对企业全面风险管理活动进行监督和评价的一种审计活动，促使企业规避和降低风险，实现各项目标；传统内部审计只注重检查历史业务记录和内部控制系统的健全性、合理性，旨在查错防弊。
　　
　　1．2　审计侧重点不同
　　风险管理审计主要审核企业风险管理设计的适当性、执行的有效性以及风险损失处理的合理性，侧重对风险管理进行鉴证；传统内部审计主要是审核内部控制制度设计的健全性、适当性和执行的有效性，关注的是内部控制体系的完善和健全。
　　
　　1．3　审计路线不同
　　风险管理审计采取的路线先确认企业目标或某项交易的目标，然后分析这些目标风险管理程序，进行风险识别、分析和评价，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制；传统内部审计通常采用的审计路线是直接测试内部控制，考虑内部控制是否充分有效，而风险的大小仅用于表明控制的薄弱与健全环节。
　　可见，风险管理审计是一种新型的内部审计模式，是企业风险管理不可缺少的组成部分j是内部审计的发展方向。
　　
　　2　风险管理审计在我国运用存在的制约因素
　　
　　2．1　有关风险管理审计的法规及准则尚不完善
　　风险管理审计是从西方国家引入我国的，相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中，由内部审计基本准则(1项)、内部审计具体准则(29项)以及内部审计实务指南(3项)组成，关于风险管理审计最主要的法规是2005年5月份开始实施的《内部审计具体准则第16号——风险管理审计》，只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定，比较抽象，缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。这不利于风险管理审计的健康发展，同时也不能很好地规范、589fb012be717a43f36ec4cdead960f5316a287e720719bf81fbd83938b5dcb8约束和保障风险管理审计在各行各业中的开展。
　　
　　2．2　企业管理观念落后，风险意识不足
　　随着企业外部经营环境的复杂化，领导层风险意识大大增强，认识到进行风险管理的重要性，但尚未意识到内部审计机构开展风险管理审计的重大意义。有些企业领导认为内部审计只是受国家领导，服务于国家，对于本单位来讲作用不大，于是不重视内部审计工作的发展，忽视内部审计给企业带来的潜在经济效益；有些企业领导认为只要将企业的风险防范工作做好，降低风险损失发生的可能性，就可以达到风险管理的目的。此外，内审人员缺乏独立性，风险意识淡薄，如在选择审计项目时，根据企业经营计划和企业主要领导人的意志来制定方法，有些甚至完全被动接受管理层的指示和安排。在这样的风险管理观念里，很难有效进行风险管理，降低和避免风险带来的损失只能成为空谈。
　　
　　2．3　内部审计部门组织地位不合理
　　内部审计部门作为企业的一个职能部门，由于它处于一个相对独立的地位，参与企业的风险管理有其独特的优势。目前由于内审部门组织地位不合理，风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下，列于其他职能部门同一级别。在开展风险管理审计项目工作过程中，内部审计人员是为高层管理和各业务层次服务，对其进行鉴定与评价，以达到各个层次的目标。但企业总经理和以上的高层的职权高于内部审计部门，与内部审计部门的特殊权力相抵触，一旦高层发生舞弊或者重大决策失误就不易发现和解决，这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性，还存在着重大的审计风险，无法保证风险管理审计的质量，最终可能导致企业陷入危机。
　　
　　2．4　内审人员综合知识缺乏。业务能力欠缺
　　风险管理工作的复杂性决定了内部审计人员知识的全面性，决定了内部审计人员必须具备复合型人才的素质，不仅要具备会计、审计专业知识，还要熟悉企业经营环境和生产经营过程，具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中，会计、审计专业占绝对统治地位，而其他专业的工作人员在内部审计人员结构中所占的比例相对较小，知识结构单一。这样的知识结构不能适应风险管理审计对知识综合性的需求。
　　
　　2．5　审计模式落后，审计方法简单
　　内部审计模式在过去五十年中经历了四大阶段，其分别是：控制基础审计、流程基础审计、风险基础审计、风险管理审计。目前，我国有不少企业内部审计模式多数属于控制基础、流程基础审计模式，以保护公司财产和察觉舞弊行为为主要目标，这显然和充满诸多风险的经营环境难以匹配。另外，我国内部审计人员采用的审计方法、审计技术比较简单。审计技术大多数以手工审计为主，而西方国家采用计算机辅助审计的技术已经比较普遍；审计方法以定性分析方法为主，极少数企业采用定量分析方法，而西方国家大量运用数理统计模型、金融工程等先进方法进行风险管理分析。可见我国审计模式落后，审计方法较为简单，已经不能适应复杂多变的经济环境，风险管理审计难以开展。
　　
　　3　风险管理审计在我国有效开展的对策
　　
　　当今世界经济全球化和一体化速度加快，经营环境变得错综复杂，竞争日趋激烈，加强风险管理，对于企业的健康发展，社会经济稳步前进具有重大意义。因此，解决风险管理审计存在的问题刻不容缓，可以从以下几个方面来考虑：
　　
　　3．1　加快风险管理审计相关法律法规和准则的建设
　　完善的法律法规是保证风险管理审计高效运用的有力保障。当前应当加快风险管理审计实务操作方面的建设。我国可以参考COSO委员会2004年发布的《企业风险管理——整合框架》、国际审计准则和中国注册会计师审计准则，依据《内部审计具体准则第16号——风险管理审计》，结合我国国情，对风险管理审计的内容、审计程序、审计方法、审计标准、审计报告作出具体明确的规定和指导，推动风险管理审计健康发展。比如借鉴国际会计师联合会1984年公布的《国际审计准则15——电子数据处理环境下的审计》、《国际审计准则16——计算机辅助审计技术》规范我国风险管理审计技术。
　　
　　3．2　正确树立内部审计部门在风险管理中的地位
　　企业管理层应当在企业及内审章程中明确内审部门在风险管理中地位、作用、职责和权利以保护和规范内部审计的活动。同时改变内部审计机构从属于财务部门或平行于各职能部门的现状。内部审计部门的设置可以借鉴西方发达国家的经验，在设立隶属于董事会的审计委员会的监督下，设置内部审计部门。内部审计部门向审计委员会负责并报告工作，审计委员会指导内部审计部门的业务工作，审计委员会与企业最高层以及内部审计人员保持直线型沟通。通过这种方式，内部审计接受审计委员会的监督，并通过审计委员会不受限制地接触董事会，保证内部审计在企业中地位的相对独立性，使风险管理审计得到有效开展。
　　
　　3．3　提高内部审计部门专业服务能力
　　为了适应复杂多变的经营环境，内部审计部门一方面必须转换思想，树立风险观念，加强风险管理意识；另一方面必须提高本部门专业服务能力。这可以从以下三个方面来开展：
　　首先，依据风险管理审计所需的知识结构设置内部审计工作人员。风险管理涉及整个企业的经营流程，从事风险管理审计的内部审计部门业务也从财务领域向企业其他的经营管理领域拓展，这要求内部审计人员的知识结构必须多元化，除了财务人员，还需要法律、技术、工程、管理学、金融学等方面的人员。因此，内部审计部门应当从单纯的财务人员构成向具有综合知识和能力的多元化高素质人才构成转变。
　　其次，构建学习型的内部审计部门。所谓学习型组织模式，是指通过培养整个组织的学习气氛，充分发挥员工的创造性思维能力而建立起来的一种高度柔性的、符合人性的、能持续发展的组织。构建学习型内部审计部门应当建立一个开放的组织环境，人人得以畅所欲言，每个内审人员把每一次工作当作一次学习机会，从工作中学习，从项目中学习，积累经验，充分发挥内部审计人员置身于单位内部，情况熟，信息灵，便于从事经常性审计工作的优势，这要求内部审计部门采取激励措施鼓励工作人员自觉学习，提高业务素质，最终通过集体智慧得出有针对性的、合适的、准确的结论，帮助企业创造价值。
　　最后，加强内部审计人员后续教育。后续教育是内部审计人员提高自身业务水平的主要途经。各级内部审计协会可以根据内部审计机构负责人、审计项目负责人和审计助理人员三个层次组织培训，培训内容除了涉及内部审计准则及会计准则新变化以外，还可以涉及法律、管理学、金融学、信息技术，组织文化与政策、沟通技巧等各方面的内容，丰富内部审计人员的综合知识。后续教育方式应当多样化，除了授课学习以外，还可以组织考察、经验交流等，学习和探讨现代风险管理审计技术，甚至可以选拔优秀审计人才，出国学习，将国外先进的审计技术和经验引入我国的风险管理审计的实践应用中。
　　
　　3．4　确立风险管理审计模式，优化审计方法
　　风险管理审计是以风险为考虑核心，从企业战略层次到业务层次，对企业风险管理进行鉴定和评价，提出改进意见，以帮助企业实现各项目标的一系列审计活动，这种审计模式能满足企业风险管理的需求，有助于企业应对变幻莫测的经营环境。根据COSO委员会2004年发布的《企业风险管理一整合框架》，企业风险管理由环境、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控这七个要素构成。内部审计部门可以从影响组织目标实现的各种系统风险和非系统风险出发，就环境、风险事件识别、风险评估、风险与收益的权衡、控制活动、信息与沟通、风险监控这几个方面构建风险管理审计框架，确立风险管理审计模式。此外，内部审计部门应当结合企业情况，优化和创新审计方法和技术，如充分借助于计算机辅助审计技术，运用定量分析等先进方法，提高风险管理审计的效