時間:2024-04-19 10:18:50
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇風險評價的定義,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
1 風險管理概念解析
風險管理是組織管理活動的一部分,其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73:2009《風險管理 術語》中曾經指出,風險管理由一系列的活動組成,這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程,其準確的定義為:風險管理(risk management)是指在風險方面,指導和控制組織的協調活動。
與風險管理定義密切相關的,還有“風險管理框架”和“風險管理過程”兩個詞匯。
風險管理框架(risk management framework)是指為設計、執行、監督、評審和持續改進整個組織的風險管理提供基礎和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中給了三個有用的注解,分別為:風險管理框架是要素集合,這個框架并不是單獨存在的,這就體現了風險的特點之一,就是一系列的“點”,這些點是要被嵌入(be embedded)。特別值得指出的是,校準(align))、整合(integrate)和嵌入(embed)是信息管理安全領域,也是整個管理學領域的常見詞匯。其中,在戰略層面一般強調校準,即無論是信息安全的戰略還是信息系統的戰略,都應該與組織的整體戰略保持一致。在更細的策略或流程層次,則強調整合或嵌入。例如,已經有人力資源的管理規程,需要嵌入安全管理的部分,或者已經有事件管理規程,將其與信息安全事件管理進行整合。總之,校準、整合和嵌入是值得深入研究的三種方法。
風險管理過程強調的是系統化的策略、程序和方法。這三者關系如圖1所示。
風險管理過程才體現了信息安全應該如何做(how)的問題。
嚴格講,風險管理不僅僅是過程,是一系列的活動。因此,在下文的圖3中,我們特別指出: 風險管理的階段劃分僅作示意。
2 風險評估及其過程
在GB/T 23694—2013 / ISO Guide 73:2009中,風險評估并不是作為一個單獨的過程定義的。其中定義為:風險評估(risk assessment)包括風險識別、風險分析和風險評價的全過程。
風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中雖然也是類似的定義,但是當時并沒有單獨把“風險識別”作為一個單獨的階段。或者說,在當時的定義中,“風險識別”是作為“風險分析”的一個階段而出現的,詳細定義為:風險評估包括風險分析和風險評價在內的全過程。
為了更好地理解其中的變化,我們在表1中給出了風險評估包括的階段的術語定義。
無論如何劃分,風險評估都要完成下面這些活動:
在上述三個步驟中,步驟一與步驟二較為通用,或者說,截至到風險分析階段,我們需要確定風險的等級,這都可以按照通用的標準或方法提前定義好。步驟三則不同,這個步驟需要結合組織自己定義的風險準則。
3 區分風險評估與風險管理
我們可以簡單地認為,風險評估是風險管理的一個階段,只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程,那么風險評估就是其中的“對癥”過程,只是找到問題所在,并沒有義務解決。而風險管理是在整個組織內把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應對(risk treatment) )。
風險管理是一個持續循環,不斷上升的過程,它被定義為一個持續的周期,每隔一個階段就開始新的循環,這些循環要貫穿組織的始終,是組織管理的一部分。風險評估則更像“搞運動”,其一般按照一定的時間間隔進行,但是如果發生組織業務變化、出理新的漏洞或基礎機構變化等,都可能啟動新的風險評估過程。
風險管理的循環過程不是在原地踏步的,它的每一次新循環都應該上一個新的臺階,呈螺旋上升的形狀。如圖3所示。
這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估,在每一次風險評估中都會發現潛在的問題,并在接下來的風險應對過程中加以解決,從而使組織管理風險的能力得到提升。
4 風險應對概念解析
無論風險評估步驟進行得多么完美,都只是找到了問題,而解決問題應該是組織的最終目的。風險應對的步驟就是評估、選擇并且執行這些改進措施的過程。
風險應對(risk treatment)是指處理8)風險的過程。在GB/T 23694—2013 / ISO Guide 73:2009中,對這個定義也有詳細的注解,包括:
“風險應對”定義的注1較為詳細,其中給出了可能的應對措施,其中1)規避風險,6)分擔或轉移風險以及)接受風險,與ISO/IEC 27001:2005的描述基本類似,)為尋求機會而承擔或增加風險更偏重組織業務角度視角,3)、4)與5)則是降低風險的基本途徑,這三項的任何之一都可以改變目前的風險狀況。
【摘要】文章從內部控制與風險管理之間的內在關系入手,探討了內部審計與風險管理中的互動關系和目標上的一致性。指出內部審計在企業風險管理中的角色是監督者,并提供保證和咨詢服務。
【關鍵詞】內部審計;風險管理;角色定位
自20世紀90年代起,西方許多大型企業內部審計部門開始對企業的風險管理進行評估與監督,以實現企業經營目標的安全性、效率性和效果性。縱觀近十幾年的發展歷程可發現,兩者之間互相融合,存在著密不可分的關系。
一、二者互動交融關系形成的現實背景
當今世界,風險無時不在、無處不在,隨著時代的發展,企業所面臨的風險變得廣泛而復雜。企業必須謹慎地識別各種潛在風險,加強風險管理,并在風險管理方案的制定、執行、評估與監督等方面進行合理分工,以保證風險管理的效率。而在整個風險管理過程中又必然涉及多個部門的溝通和協調,這就需要一個超然、獨立的組織機構予以保障。內部審計部門在企業中的超然地位以及獨立評估和監督的特殊職能,正好滿足了這一要求。因此,企業風險管理必然要將內部審計納入自身體系。
隨著企業所面臨風險的增加,風險管理成為了企業管理的核心。由此,內部審計也借機及時進行了自身的重新定位,改變了過去只是作為企業財務監督者的定位,將自身的目標確定為向企業提供保證和咨詢服務,評估和改善風險管理、控制和治理程序。這樣,企業風險管理和內部審計兩者各自不同的發展路線逐漸接近并找到了交點。
二、內部審計與風險管理的互動關系
(一)內部審計定義中包含有風險管理的內容
內部審計從產生到現在已經歷了幾個世紀,每個時期內部審計的概念都有不同的內涵和外延。國際上,內部審計已有7次定義,至今仍在不斷變化,內部審計定義的發展在內部審計史上具有重要意義。
風險管理改變著內部審計的定義,也就同時改變了內部審計的職能和在企業中的價值。1993年版《標準》的序言中對內部審計的表述是:在一個企業內部建立的一種獨立的評價活動,并作為對該企業的控制及經營活動進行審查和評價的一種服務。而2001年版對內部審計是如下表述的:內部審計是采用一種系統化、規范化的方法來對機構的風險管理、控制及監督過程進行評價進而提高它們的效率,幫助機構實現目標。這個定義與1993年的定義相比較最明顯的變化在于將內部審計的范圍延伸到風險管理,比舊定義中提及的控制及經營活動要更為廣泛和深入。只有在風險管理框架中實施的內部審計才能稱之為風險管理審計。顯然,將“評價和改善風險管理”作為內部審計的重要工作領域,是內部審計的新發展,擴大了內部審計的領域,拓展了內部審計的廣度和深度,對內部審計的重新定位,修訂內部審計準則,重整內部審計流程,提高審計服務質量等提出了較高的要求。
(二)風險管理賦予了內部審計在企業中新的地位和作用
為了在企業中擔當更重要的角色和發揮更重要的作用,內部審計總是在不斷尋找新的對企業十分重要的領域。風險的廣泛存在,使企業經理人員對風險空前重視,為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入,將會使內部審計在企業中成為一個極其重要的角色,并將其在企業中的作用推向一個新高度。正因如此,內部審計師的職業組織——國際內部審計師協會才不遺余力地倡導內部審計師進軍這一領域,把風險管理作為內部審計的重要領域直接寫入了內部審計的定義。
三、內部審計與風險管理目標上的一致性
風險管理的定義指出:“企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。”風險管理就是通過對面臨的各種風險的認識、估測、評價,準確把握各種不確定性,采取恰當的內部方法,以便用最低的成本獲得最高的安全保障,將損失降至最低水平。風險管理通過測試、評價和控制風險因素來降低風險事件發生的概率和造成的損失,直接服務于實現企業目標。21寫作秘書網
而在內部審計新定義中,已明確指出內部審計的目的是為機構增加價值并提高機構的運營效率。IIA在2001年修訂的《內部審計實務標準》中,對“增加價值”一詞作了如下解釋:“機構的設立,是為了其所有者、其他利益方、顧客和客戶創造價值和謀取利益……內部審計是在收集資料、認識并評價風險的過程中,對經營與改良時機產生了深刻的見解,這些見解可能會對機構帶來諸多利益。這些有價值的信息可以咨詢、建議、書面報告或通過其他產品的形式呈現出來,所有這些得傳達給相應的經營管理人員。”根據這一解釋,增加價值的目標應由企業的各個職能部門來共同完成,而內部審計部門作為企業的職能部門之一,也應該努力增加企業的價值;同時,內部審計部門經過收集資料、識別并評價風險的過程之后,對企業管理層及其他職能部門的見解更為深刻,而且這些見解是富有價值的,而企業管理者采納、利用這些有價值的信息后,一方面可以借此消除各種減值因素,包括風險因素、控制漏洞、治理缺陷等;另一方面可以將這些有價值的信息應用于經營管理活動,從而達到使企業增值的目的。從這個意義上來說,風險管理與內部審計在其目標上是相一致的。
上述種種使企業風險管理與內部審計逐漸形成了你中有我、我中有你、相互依存、聯動發展的緊密關系。眾多企業在制定本企業風險管理方案時,將內部審計列為風險管理的一道重要防線,由內部審計對整個風險管理流程進行評估和監控;有的企業還特意安排內部審計直接參與風險管理方案的制定和執行全過程,以發揮內部審計在風險管理中的突出作用。與此同時,內部審計也將風險管理作為“為組織增加價值”的重要手段。
四、內部審計在風險管理中的角色定位
COSO在《企業風險管理——整合框架》中的“職能和責任”章節,闡明各管理層在全面風險管理中的地位和職責,并指出組織里的每個人對全面風險管理都有責任。首席執行官承擔最終責任,其他管理人員支持全面風險管理的理念,促使組織在風險容量內經營,并在各自負責的領域里負責將風險降低到相應的風險容忍度內。首席風險官、首席財務官、內部審計及其他人員通常承擔關鍵的支持性責任。組織的其他人員負責按照制定的指令和協議執行全面風險管理。這明確表明,內部審計對全面風險管理的建立并沒有基本責任,這是高級管理層的責任。內部審計人員的重要角色是,幫助管理層和審計委員會監督、檢查、評估、報告、建議全面風險管理過程的充分性和有效性。
IIA2001年頒布的內部審計實務準則,其實務公告——“內部審計在風險管理中的作用”指出,風險管理是管理人員的關鍵職責,內部審計人員應該通過檢查、評價、報告風險管理過程的充分性和有效性并提出改進建議來協助管理人員和審計委員會的工作。管理層和委員會負責機構的風險管理和控制過程,以咨詢顧問身份開展工作的內部審計人員可以協助機構確定、評價并實施針對風險的管理方法和控制措施。
在充分考慮內部審計的獨立性與客觀性的基礎上,結合相關法規、報告的觀點,可以看出:對整個組織的可持續發展能力,對所有者、利益相關人、監管機構和普通公眾負責的是企業管理層,內部審計人員應立足于協助、幫助管理層和審計委員會履行風險管理的職責,主要職責是對整個風險管理過程進行評價,認定并評價管理的充分性與有效性,向管理層和審計委員會報告情況并提出改進管理的建議,以此保證風險管理的有效性。因此,內部審計在企業風險管理框架中首要的角色是監督者,包括對風險管理流程的評估和保證服務、對風險評估準確性的保證服務、對關鍵風險報告的評估和對關鍵風險管理的評估。按IIA的標準,內部審計的服務種類可以劃分為保證服務和咨詢服務,前者是一種獨立評價的活動,后者是提供建議及咨詢的活動。在企業風險管理中,內部審計的本質特征并不發生改變,因而它可以擔任的角色也是基于這兩種服務衍生而來的。除了作為監督者所提供的保證服務外,內部審計還可提供咨詢服務,包括促進對風險的識別和評估、指導和協調風險管理活動、加強對風險的報告、保持和發展風險管理框架、支持建立風險管理、參與制定風險管理戰略等。與此相適應,內部審計承擔了咨詢者、協調者、建議者的角色。
【參考文獻】
[1]劉德運.內部審計原理與技術[M].北京:中國經濟出版社,2006(6):25.
[關鍵詞]內部審計;內部控制;戰略審計;風險管理
[中圖分類號]F275 [文獻標識碼]A [文章編號]1005-6432(2010)44-0077-02
1 內部審計的發展歷程
1.1 國際內部審計的發展歷程
1978年,國際注冊內部審計師協會(IIA)正式頒布了《內部審計實務準則》,認為“內部審計是建立在以檢查、評價為基礎上的獨立評價活動,并為組織提供服務”。這個定義強調了內部審計為組織提供服務,并且強調了內部審計的獨立性。
國際注冊內部審計師協會(IIA)在1993年頒布的《內部審計實務標準》中提出,“內部審計的目的是協助該組織的管理成員有效地履行他們的職責”。這個定義仍然強調了內部審計對組織管理的服務職能。
國際注冊內部審計師協會(IIA)在2001年出版的《內部審計實務標準》中規定:“內部審計是一種旨在增加組織價值和改善組織價值及經營狀況的客觀的保證和咨詢活動,它通過引入系統化的方法來評價并改進組織風險管理、控制和治理效率,以幫助組織實現目標。”這個定義引入了“風險管理”一詞,內部審計的目標是為組織管理提供服務,但此時它的視角更廣了。
2004年,IIA頒布《國際內部審計專業實務標準》,規定“內部審計是一種獨立、客觀的確認和咨詢活動,旨在增加組織價值和改善組織的運營,它通過引入系統化、規范化的方法來評價并改善風險管理、控制和治理過程的效果,幫助組織實現目標。”這個定義在2001年定義的基礎上,強調采用系統化的方法,也使得內部審計更加科學,反映了內部審計的發展趨勢和客觀要求。更重要的是,這個定義強調了內部審計的職能由管理職能向治理職能的轉變。此時,內部審計的目標可以分為兩類:一是要實現組織價值的增值,改善組織的經營狀況;二是要提供與風險管理、內部控制和公司治理程序相關的確認和咨詢服務。
1.2 國內內部審計的發展歷程
我國于1984年在部門、單位內部成立了審計機構,實行內部審計監督。
1985年我國了《審計署關于內部審計工作的若干規定》,提出“內部審計是部門、單位加強財政、財務監督的重要手段,是國家審計體系的組成部分”。這個定義強調了內部審計主要行使監督職能。
2003年,審計署在《審計署關于內部審計工作的規定》中指出:“內部審計是獨立監督和評價本單位及所屬單位財政收支、財務收支、經濟活動的真實、合法和效益的活動”,這個定義增加了內部審計的評價職能。
2003年,中國內部審計協會頒布的《中國內部審計準則》規定:內部審計是指組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。這個定義強調了監督和評價職能并重,而且關注經營活動和內部控制的適當性、合法性和有效性,主要是為組織管理服務。
通過國內外對內部審計定義的比較,可以發現,內部審計的發展大致上經過了三個階段:第一個階段,內部審計的主要目標是防止組織內部的舞弊行為和檢查組織內部的財務差錯,這是一種比較初級的審計;第二個階段,內部審計的主要目標是加強控制、改善經營,內部審計的職能有所加強;第三個階段,內部審計的主要目標是風險防范和價值增值。內部控制和風險管理也成為了內部審計關注的重點。
2 內部審計在內部控制中的作用
《薩班斯―奧克斯利法案》規定:每份年度報告的文件中都應該包含一份內部控制報告,同時公司管理層在年度報告之日前對內部控制的有效性進行過評估。2006年7月15日,中國內部控制標準委員會成立,標志著我國企業內部控制正式提上日程。由此可見,隨著經濟發展水平的不斷提高和企業管理思想的不斷完善,內部控制也越來越受到企業的利益相關者的關注。那么,內部審計在內部控制中又發揮著什么樣的重要作用呢?
現代內部審計之父Lawrence Sawyer(2005)認為,控制評價是內部審計人員的“執業秘訣”,內部審計人員要通過評價內部控制制度和指出需要加強的內部控制的弱點,成為有力的管理工具。這反映出了內部審計在內部控制中的評價職能,而且,是內部控制評估的主力。王光遠教授(2005)指出內部審計準則的最核心概念有兩個,即內部控制和風險。內部審計與內部控制之間是相互依存的,內部審計是內部控制的要素之一,而內部控制又是內部審計的直接對象。內部審計在內部控制中的職能包括:評價內部控制;參與重大控制程序的制度與修訂;監督內部控制的運行;提供管理咨詢等。
3 基于內部控制下的內部審計的新發展
3.1 由基礎審計向高層次審計的發展
內部控制強調全過程控制,同樣,內部審計也應該是“全過程審計”。按照內部審計進行的時間,又可以把審計分為事前審計、事中審計和事后審計。事后審計是我國傳統內部審計的方式,側重于事后的監督和評價,起到一個查漏補缺的作用;事中審計實時跟蹤審計內部控制制度建立的執行情況;事前審計是一種“防范于未然”的審計方式,它強調在內部控制制度建立和執行前就進行風險評估。這樣的內部審計貫穿于戰略審計、經營審計和作業審計的全過程。
企業內部控制從控制主體可以分為三個層次:一是以董事會等高層管理者為主體的戰略控制;二是以經營者為主體的經營控制;三是以員工為主體的作業控制。這三個層次對應的內部審計分別為戰略審計、經營審計和作業審計,它們的審計流程、重點與評價內容不同,但三者是緊密相關,相互作用的有機整體。
戰略審計是企業內部審計部門對各層次的戰略管理活動及戰略管理的全過程所作的分析、評價和監督。戰略審計是公司制定戰略前必須完成的工作,主要包括:企業內外部經營環境分析、對已實施的戰略效果進行評估、對現行戰略的適當性和戰略執行的有效性進行評價,這些是事前審計;此外,還要對戰略的執行過程進行監督,監督有關責任人認真履行與戰略管理有關的受托責任,這些屬于事中審計;最后,要對企業的管理績效進行評估、對戰略的執行結果進行總結評估和反思,這就屬于事后審計。
經營審計是內審部門對經營循環的全過程,包括投入、運作、產出、分配等各個環節的效率和效果進行評價、確認和監督。經營審計主要審查經營者是否努力改善和充分利用了企業的物質條件和技術條件,審查利用生產力各要素的具體方式方法的有效性。如審查經營決策的科學性是事前審計;而對決策的落實和執行情況進行審查是事中審計;最后,對決策執行所帶來的結果進行評估總結,形成書面報告則是事后審計。
作業審計是內審部門對內部控制的業務層面和工作環節進行監督檢查,并提交相應的檢查報告、提出有針對性的改進措施。作業審計主要包括對作業控制的評價、確認和監督。在作業審計中,如評估具體業務層次上的可接受風險水平、評價員工的專業勝任能力、為管理層提供實行風險回避還是風險分擔的咨詢建議等這些就屬于事前審計;而監督員工在開展業務活動中沒有非法使用企業資產牟取不當利益、監督員工沒有單獨或者串通舞弊給企業造成損失,則屬于事中審計;對各部門和員工當期業績進行考核和評價等屬于事后審計。
在我國,目前大多數企業的內部審計仍然停留在作業審計和經營審計的階段,內部審計也往往只是在事后進行,這樣的內部審計工作往往難以發揮應有的作用。內部審計由基礎審計向高層次審計發展,由作業審計和經營審計向戰略審計發展,由事后審計向全過程的審計發展,是內部審計的必然趨勢,也是企業加強經營管理的內在要求。
3.2 內部審計職能由監督向風險管理的轉變
IIA在1999年對內部審計的重新定義也提到了,內部審計是用來增加企業組織價值和改善組織運營的獨立、客觀的保證和咨詢活動,它以系統的、專業的方法對風險管理、控制及治理過程的有效性進行評價和改善,幫助組織實現其目標。企業開始注重風險管理,同樣,內部審計的重心也應向風險審計轉移,是企業進行風險管理的重要組成部分,前文所提到的事前審計也正是出于對企業進行風險管理的需要。
根據IIA的定義,基于風險管理的內部審計有兩個目標――增加組織的價值和改善組織的營運狀況。內部審計人員要根據對企業風險管理過程的審查,評價其適當性和有效性,提出建設性的意見和建議,不斷完善企業的風險管理,最終才能實現兩個基本目標。
基于風險管理的內部審計的內容既包括企業風險管理的設計,也包括企業風險管理的實施。首先,內部審計部門要根據企業的行業特征、生產經營的性質、企業規模、企業管理水平和企業文化特征設計出適合企業的規范化風險管理的組織體系。通過風險管理的制度建設,讓企業的每個部門和員工明確風險管理中的權責關系,使企業的風險管理既分工明確,又是一個有機整體。其次,內部審計部門要明確企業的戰略和目標,并且保證其具有合理性。企業的戰略可以分為公司戰略、業務單位戰略和職能戰略,內部審計部門要審查企業的各個層次的戰略是否明確并且合理。只有在明確而合理的戰略指導下,企業的風險管理才能行之有效。最后,內部審計部門要在風險管理的過程中,全面跟蹤審計,做到事前預測風險,事中控制風險,事后對風險管理的過程進行總結,提出更好的改進方案。
關鍵詞:效用理論;投資決策;風險
1、風險效用理論
在工程項目的風險評價中有多種評價模式,這些評價方法所選擇的指標多為期望值。但以期望值作為評價指標的主要缺點是沒有充分考慮到項目決策者的決策偏好和承擔風險的能力。效用理論作為一種投資項目的一種評價方式,其主要的決策依據和標準是效用最大化原則,并且將決策者的主觀決策偏好引入決策中。這一決策方法的理論依據是現代效用理論。在這一理論體系中,把某個具有不確定的建議或決策的效用定義為在偶然事件中獲得標準價值的概率相等。同時引入平衡點的概念,即期望得到某種預期值和接受偶然事件的態度無差異的某個數值,并把預期值和平衡點之間的差異定義為風險費用。效用值具有無量綱的特點,一般將決策者最滿意的方案效用值定義1,最不滿意的方案效用值定義0。即以[0,1]區間來描述和量化對各類待決策方案的效用值。
2、風險效率
由于外界環境可能隨時發生變化,因此項目的投資決策會不可避免的面臨一定程度風險。為便于研究,一般都把這類風險轉化為實際成本的增加來進行量化,即認為未來可能發生的風險事件都可以用追加成本的方式來加以克服。在這種思路下,可將項目的投資風險定義為發生超出能接受的預期成本超支的可能性,與之對應的概率即為項目投資的風險水平。
因此在考慮項目投資的風險評價時,就需要從降低預期成本和降低風險水平這兩個角度來進行分析。顯然,在預期投入成本為定值的前提下,應當使得該項目的風險水平最低;反之,在風險水平確定后,可確定最優的投資計劃所需的預期成本。在這二者之間就存在一個最優組合的問題,實現風險和投資成本同時得到控制,即體現項目投資的效率。這個效率將其定義為風險效率。
3、項目效用的確定
根據前文對于效用的定義,顯然效用可繪制成0-1之間變化的曲線的形式,簡稱為效用曲線。確定效用曲線的方法主要有兩種:直接提問法和對比提問法。直接提問法是通過讓決策者回答和項目有關的一系列問題,并對這些問題做出主觀性的量化,由決策者繪制出讓自己滿意的效用曲線。對比提問法則是通過讓決策者對不同方案間的兩兩比較來確定在何種情況之下這兩類方案具有等效性。當存在多個待考慮因素時,則是固定其他因素,只考慮一個可變因素,以提問的方式來確定該可變因素的效用曲線。在實際應用中,直接提問法因主觀性太強而回答的結果往往比較模糊,因此采用較少,更多的是利用對比提問法。
4、0-1規劃模型
從本質上看,0-1規劃屬于整數規劃的范疇。在實際應用中,0-1規劃既可用于單指標的項目投資決策,也可用于多指標的項目投資決策。這一決策模型的基本步驟和必要的假定為:
(1)同時存在個待決策的投資項目,相應的決策向量為。(2)各待決策的投資項目的效益向量為,其中 為第 個方案的效益。(3)確定各投資項目在資源使用方面的約束條件向量。(4)確定各待決策項目所消耗的資源向量,以矩陣表示。(5)在需要同時進行考慮的 個指標中,有 個屬于越大越優型,其他為越小越優型。(6)令第 個待決策項目的第 個指標的效益為,并將各個待決策方案指標進行歸一化后再帶入模型進行計算。(7)設定各參考指標的權重向量。(8)決策模型:
如在上式中加入約束條件,即可實現從多指標決策模型切換到單指標決策模型。
5、風險與效益綜合平衡模型
上一節的模型中考慮的因素為經濟利益,而在實際操作中還面臨著眾多不可確知的隨機因素,并帶來一定的風險。因此在制定投資決策時還需要將風險因素納入到決策環節中,同時兼顧到投資項目所可能產生的經濟效益和與之伴隨的風險,力求在二者之間達到一種最佳的平衡。先假定以項目的預期投入成本和伴隨的風險的度量作為投資決策的控制性因素。依據風險效率曲線,在追加預期投入成本的前提下,投資項目的風險水平會有所降低。這樣就可能存在兩種具有代表性的投資方案,即預期投入最低,但風險很高方案和預期成本最高但風險水平很低的方案。投資者必然會依據企業對風險的承受能力選擇在這兩個方案之間的某種折中投資方案,從而出于一種本能在風險和效益之間尋求一種平衡。從理論上講,當風險效率曲線是可靠的前提下,可以通過理論求解的方法以精確的方式尋找到一種最優的風險效率組合投資方案。而實際上,由于受到投資者承受風險的能力的限制,只能選擇一種最接近最優解的投資方案。因此投資項目未來的凈收益和風險效用是緊密聯系的,投資者在風險和效益之間做出的選擇實質上反應的是在同等條件下決策者對風險的認知和承受能力。若將風險效用作為正向指標,則可把它作為投資項目利益最大化的一個控制因素。具體講,可建立如下數學模型:
(1)設投資者擁有的資金總量為 ,各待決策的可行投資方案和利潤分別為和。(2)以各可行決策方案中成本最低者作為基準成本,其他投資方案超出該基準成本的部分和風險成本之和為,其下限為,總成,可計算各投資項目的回報率。(3)令風險效用函數和各投資項目的預期效用分別為和,在此基礎上以投資回報率和風險效率均取得最優作為優化目標,建立如下模型:
6算例
本例中有三個可供決策的投資項目,各項目的控制參數分別如下。1項目A 基本成本100萬元,風險概率0.2,風險結果50萬元,預期總利潤138萬元。2項目B 基本成本105萬元,風險概率0.2,風險結果30萬元,預期總利潤130萬元。3項目C 基本成本110萬元,風險概率0.2,風險結果10萬元,預期總利潤135萬元。效用函數為,此處 為投資者為降低成本而投入的費用,表示風險容忍度,此處取為25萬元。
依據效用理論并結合決策樹法,可得到如圖1的決策結果:
由圖1可見,項目C的預期效用最大。再利用效用函數可計算項目C成本與風險的平衡點為12.35萬元,也優于其他投資方案(項目A的平衡點為20.58萬元,項目B的平衡點為14.53萬元)。因此應當選擇項目C作為投資方案。
再用風險與效益綜合平衡模型來求解該問題。可得,,。將以上數據帶入模型,可解得如下結果:
7、結語
項目投資決策是一項復雜的過程,受到很多實際因素的影響。在決策中引入風險因素是讓投資決策更加合理的必然手段。本文引入效用理論的基礎上,構建了0-1規劃模型和考慮風險與效益的綜合平衡模型,給出的實例概要說明了該方法的使用。
參考文獻
【關鍵詞】環境風險;環境風險評價
一、背景
環境風險是指在自然環境中產生的或通過自然傳遞的,對人類健康和幸福產生不利影響同時又具有某些不確定性的危害事件。由于環境風險區別于傳統環境問題,具有巨大的不確定性,逐漸發展出一種新的針對環境風險的環境風險評價制度。環境風險評價是指由一定的機關或組織,對具有不確定性的環境風險可能對人體健康、生態安全等造成的環境后果進行識別、度量、評估的過程或環境管理活動。
從20世紀90年代開始,我國的一些法律規范中提出了環境風險評價的內容。1993年,國家環保局頒布的《環境影響評價技術導則》規定:對于風險事故,在有必要也有條件時,應進行建設項目的環境風險評價或環境風險分析。同年的《基因工程安全管理辦法》要求對基因技術進行安全評價。1996年,《農業生物基因工程安全管理實施辦法》對農業轉基因生物安全評價作了規定。2001年,《職業安全健康管理體系指導意見》對職業安全評價作出規定。2004年的《建設項目環境風險評價技術導則》明確指出:將建設項目環境風險評價納入環境影響評價管理范疇。2011年公布的《外來物種環境風險評估技術導則》規定了外來物種環境風險評估的原則、內容、工作程序、方法和要求。2015年,環保部批準《尾礦庫環境風險評估技術導則(試行)》,要求對運行期間的尾礦庫進行環境風險評估。2014年修訂的新環保法第39條規定“國家建立、健全環境與健康監測、調查和風險評估制度”,雖然只是國家建立、健全相關制度的義務的概括規定,但同時也使得環境健康風險評價制度第一次進入環保基本法。
二、從一個實踐案例看我國環境風險評價制度的實施
(一)湖北榮成紙業有限公司熱電聯產工程簡介
湖北榮成紙業有限公司擬建設一座熱電聯產中心,為公司生產和和臨港工業園區企業供熱,于2015年6月初通過環評。環評報告的環境風險評價包括五個部分。第1部分為環境風險評價的目的:分析和預測建設項目存在的潛在危險、有害因素、建設項目建設和運行期間可能發生的突發性事件或事故(一般不包括人為破壞及自然災害),引起有毒有害和易燃易爆等物質泄漏,所造成的人身安全與環境影響和損害程度,提出合理可行的防范、應急與減緩措施,以使建設項目事故率、損失和環境影響達到可接受水平。
第2部分為環境風險評價程序圖,主要包括風險識別、源項分析、后果計算、風險評價、風險可接受水平、風險管理、應急措施預案。第3部分為環境風險評價,報告指出,擬建工程環境風險主要包括:原煤堆場火災風險事故、燃料油火災爆炸、氨水罐泄露、粉塵爆炸、鍋爐故障導致二f英增加外排。以事故發生原因為基礎,將項目環境風險分為火災爆炸、不可抗力、設備故障和人員管理四類。根據相關規定確定項目環境風險評價工作等級為二級。對項目的主要環境風險進行分析,主要對每類風險的發生原因進行了介紹,僅對二f英的事故排放可能對人體健康造成的影響進行了簡要介紹。第4部分圍繞原煤堆場火災、油庫、氨水罐、粉塵、鍋爐、事故池、事故廢水處理規定了環境風險事故防范措施。第5部分事故應急反映方案規定了預案的啟動、職責與任務、現場警戒與疏散措施、事故上報程序與內容和善后處理。
另外,根據相關規定,建設項目環境風險評價是作為環境影響評價的一部分而存在的,所以環境風險評價部分沒有獨立的公眾參與部分,項目環評的公眾參與主要包括兩種方式,一是媒體公示即兩次在湖北省環保廳網站上進行了項目公示;二是公眾參與調查表,對松滋市陳店鎮全心村的83位居民和附近的3家單位進行了問卷調查。公眾參與的結果顯示,當地公眾對建設項目的了解程度一般,部分人擔心項目的運行會對生活環境和身體健康造成不利影響,大部分人認為該項目可以帶動當地經濟的發展,解決當地農民的就業問題,被調查者全部支持該項目的建設,無人反對該項目的建設。
(二)分析
從上文介紹的環境風險評價實例可以看出:1、我國建設項目環境風險評價將環境風險僅僅簡要的分為火災、爆炸和泄露三類,并局限在項目的突發性事件或事故可能造成的環境風險,并不對項目正常工作過程中的環境風險進行考量;2、環境影響評價對可能造成的人體健康和生態系統的不利影響的闡述不充分,從而環境影響評價的結論即風險是否達到可接受水平讓人產生不信任感;3、環境風險評價的過程缺乏互動,不能體現評價結論對項目實施方案的具體影響,公眾參與形式化、途徑單一,公眾意見對項目實施缺乏影響力;4、環境風險評價中僅規定了一些事前的預防措施,缺乏事中和事后監督和必要措施。
三、美國環境健康風險管理框架及其啟示
(一)美國環境健康風險管理框架的基本內容
環境風險管理框架已成為國際上環境風險評價制度的發展趨勢,在眾多已制定的環境風險管理框架中,美國總統/國會風險評價和風險管理委員會的《環境健康風險管理框架》(1997)是最具影響力的框架,為多國制定框架時參考和借鑒。在1990年的清潔空氣法修正案中,國會要求組成一個風險評價與風險管理委員會,委員會認為,應改變傳統評價與降低風險的方法,以降低風險和改善健康狀況為總體目標。委員會希望框架指導公共部門和私營機構有價值的資源投資在研究、評估、表征和降低風險中。
框架包括六個階段:
1.定義問題并把它放在背景下
對科學的風險管理決策而言,首先需要正確界定問題。通過在復雜背景中識別和表征環境健康風險問題并描述它的特征,仔細考慮問題的背景,確定風險管理的目標和有權或有責任采取行動的風險管理者,并讓利益相關者參與到過程中。
2.聯系問題背景分析風險
闡明問題引起的事實和科學基礎,在數量和質量上處理健康和生態風險,描述負面影響的特性、嚴重性、可逆性或可預防性。把問題引起的風險放在多源頭、多媒介、多種化學物質和多風險背景下。了解利益相關者對問題引起的風險的認識。把問題引起的科學和背景方面的信息結合成問題對人類健康或環境產生的風險進行定性,同時考慮利益相關者的認識和其他社會文化的影響。
3.檢查處理風險的選擇
這一階段包括確定可能的風險管理選擇,評價選擇的效果、可行性、成本收益、非計劃中的結果和文化社會影響。這個過程可以在界定問題和考慮背景之后任何合適的時間開始。風險管理者和利益相關者獲取了關于可行性、成本與效益分析和減少暴露、降低風險對改善人類和生態健康的貢獻的正確評價之后,風險管理目標可能會被重新定義。利益相關者在確定和分析選擇階段發揮重要作用。
4.做出實施何種選擇的決策
在框架的這一階段,決策者基于最佳可得科學、經濟和其它技術信息,確保決策考慮了問題的多種來源、多種媒介、多種化學物質、多種風險背景,做出符合成本收益具有可行性的風險管理選擇。另外,優先預防風險,而不僅僅是控制風險,可能的話,使用命令―控制管理的替代性方案。一個富有成效的利益相關者參與過程可以對決策產生重要指引作用。
5.采取行動來實施決策
傳統上,一直是管理機構的要求推動實施,工廠和市政當局通常是實施者。然而,當其他的利益相關者也能扮演重要角色時,成功的可能性會顯著提高。利益相關者可能會包括:公共健康機構、其他公共機構、社區團體、市民、工廠、人和技術專家等。
6.對行動作出評價
在風險管理的這個階段,決策者和利益相關者評價實施的風險行動以及它們的效果。評價工具包括環境健康監測、研究、疾病監管、成本收益分析和與利益相關者的討論。在大多數情形,應定期評價。就像風險管理過程其他的階段,利益相關者參與會讓評價更有益。另外,評價中可能出現新信息,評價對了解框架的哪一部分需要被重復非常重要。
(二)美國環境健康風險管理框架的主要特點與啟示
1.在更廣泛的背景下定義風險
一個風險問題的背景的全面理解對于有效進行風險管理是非常有必要的,因為問題狹窄的背景無法反映風險情況的真實復雜性,造成風險管理決策和行動相比不是很有成效。
2.基于科學信息和最佳判斷進行風險評價
風險評估者尊重在缺乏充分數據的情況下得到結論時風險和程序的客觀科學基礎非常重要。風險評估者應該向風險管理者和其他利益相關者提供看起來合理的,含有支撐不確定性和供選觀點的具有證明力的評估,從而可以在可得信息的基礎上作出風險結論。
3.利益相關者全過程參與
整個風險管理過程的利益相關方參與被認為是至關重要的。通過全過程參與,不同利益相關方全面溝通與合作,最終平衡各方的意見和觀點以做出體現公眾價值觀的風險決策。
4.重復和評估
公眾評論、協商、信息收集、研究或風險與選擇的分析可能澄清或重新定義問題,使重心改變到一個不同的問題上,由于重要的新信息、觀點和看法出現,風險管理過程會靈活而經常重復。評估對充分地履行職責和理智地利用稀缺資源至關重要。
四、完善建議
(一)在更廣泛的背景下定義環境風險
當前我國環境風險評價制度的規定主要集中在建設項目、外來物種、尾礦庫、基因工程和職業安全領域。其中,建設項目環境風險評價僅適用于涉及有毒有害和易燃易爆物質的項目,排除了有巨大環境風險的核建設項目,而且因為它是以環境風險事故的防范為導向,導致它對環境風險的定義過于狹窄,僅對突發性事件或事故引起的有毒有害、易燃易爆等物質泄漏進行風險評價,排除了非事故情形下,項目正常運營下可能產生的環境風險。《尾礦庫環境風險評估技術導則(試行)》適用于運行期間的尾礦庫,不適用于貯存放射性尾礦、伴有放射性尾礦的尾礦庫環境風險評估,同建設項目環境風險評價,它也只考量尾礦庫可能引發突發環境事件的危險因素。《外來物種環境風險評估技術導則》主要適用于規劃和建設項目可能導致的外來物種造成的生態危害的評估。《基因工程安全管理辦法》和《職業安全健康管理體系指導意見》分別對遺傳工程產品和職業安全風險評估進行了初略的要求性規定。整體來說,從我國環境風險評價的各個分散規定可以看出,我國環境風險的范圍相對狹窄,而且一般孤立地考慮單一的化學物質在單一的環境媒介中引起的單一風險進行評價,從而也限制了我國全面、綜合的環境風險評價。應改變以事故為導向的環境風險定義,逐步擴大我國環境風險評價范圍,在更廣泛的公共健康和生態背景下進行環境風險評價。
(二)明確環境風險評價的目標
環境風險評價的目標不應停留在防范風險層面上,而應進一步把環境風險評價的目標明確為保障人體健康和生態健康。防范風險雖然是環境風險評價的直觀起點,但忽視人體健康和生態健康目標的環境風險評價是有違環境保護的根本宗旨的。實踐中的環境風險評價正是因為缺乏對人體健康和生態健康的要求而導致實施的結果難以讓人滿意。為了配套環境風險評價保障人體健康和生態健康的目標,國家應積極開展環境健康與環境生態監測、調查與研究,為環境風險評價提供科學和數據支撐。
(三)保障利益相關方的參與
我國現有的利益相關者參與主要在建設項目(包括尾礦庫)環境風險評價中得到一定的保障,因為環評對公眾參與的要求,公眾在其中可有享有一定的環境知情權、發表環境意見權和環境監督權等,但是,在實踐中利益相關方的參與有走過場的傾向,處于弱勢的利益相關方的環境知情權常常受到侵害,意見不能被充分的考慮,對環境風險評價的進程與結論不能產生實質影響。在外來物種、基因工程和職業安全領域,沒有要求利益相關方的參與,利益相關方的環境知情權也難以得到保障。環境風險是一個多維的概念,還必須包括受影響方的觀點。環境風險評價只有兼顧各方觀點和需求,考慮不同群體的價值觀、知識和認知,才能做出更好的風險管理決策,而在決策行動的過程中也不易受到利益相關者的反對和抵觸。
(四)構建適合我國的環境風險管理框架和方法
關鍵詞:內部審計;金融企業;改進
伴隨著金融市場的日益一體化進程,金融風險隨之不斷增大,一直以來受到廣泛的關注。金融業的不斷發展和創新使金融企業面臨越來越復雜的風險,金融企業尤其是銀行的風險管理成為日益重要的課題。而內部審計作為一項獨立、客觀、公正的約束與評價機制,在現代企業風險管理中正發揮著越來越重要的作用,而如何針對金融業的特色和特點,完善內部審計機制成為金融業內部審計部門日益重要的課題。
一、內部審計簡介
內部審計是相對于注冊會計師事務所對企業所進行的外部審計而言的,它無論在機構設置上還是在人員配備上都是企業內部的。有關內部審計的定義,國內外有很多種表述。國際內部審計師協會 IIA 最新修訂的《內部審計實務標準》是內部審計的權威標準,其最新的定義為:“內部審計是一種獨立、客觀的保證工作與咨詢活動,它的目的是為組織增加價值并提高組織的運作效率。它采取系統化、規范化的方法對風險管理、控制及治理程序進行評價,提高它們的效率,從而幫助實現組織目標。
中國內部審計師協會于2003 年的《內部審計基本準則》中對內部審計的定義是:“內部審計是指組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性,合法性和有效性來促進組織目標的實現。”
通過對國內外的內部審計定義的介紹,本文認為,國際注冊內部審計師協會的最新定義是較為恰當的,該定義明確了內部審計的原則、內容和目的,它充分體現了內部審計的發展方向。我國內部審計的定義是與我國內部審計的發展狀況緊密相關的。對我國的大多企業來說,風險管理作為一種管理思路尚是一個新鮮事物,如何在企業運行中進行風險管理的運作還處于探索階段,內部審計作為風險控制的一項有效的工具在企業風險管理中發揮的重大作用才逐步被人們所了解,來自企業內部的風險常常是由于內部控制系統有缺陷或雖有較好的管理控制系統卻未得到有效的貫徹、執行。內部審計以企業各運營環節風險評價為起點,以評價內部控制和對內部控制合規性審核為主要手段,在風險識別、風險衡量和風險防范中發揮了積極、重要的作用。
二、金融風險的定義以及表現
(一)金融風險的定義
金融風險有廣義和狹義之分。廣義的金融風險是指金融交易的各種可能值偏離其期望值和幅度。從廣義的金融風險可以知道,可能值可能低于也可能高于期望值,因此風險絕不是虧損的同義詞。風險既包含對市場主體不利的一面,也包含對主體有利的一面,也就是說,風險大的金融資產,其最終實際收益率并不一定比風險小的金融資產低,常常是風險大的收益也大。狹義的金融風險是指金融機構在金融動作的過程中可能遇到的障礙和遭受經濟損失的可能性。狹義的金融風險僅僅表述了金融機構所遭受的損失。
(二)金融風險的類型和表現
在我國,金融風險主要分為:(1)信貸風險。當前部分企業趁兼并、分立等改革之機,采取各種方式逃債、廢債,導致金融業特別是國有商業銀行的資產信貸質量持續下降,成為當前最為突出、最為嚴重的風險;(2)信用風險。該風險是指借款人不能依約償還借款本息的風險。目前銀行信貸資產沉淀多、收益率低、保全難度大。主要表現是不良貸款比重高、收息率低、抵押擔保難以落實,潛伏著巨大的風險;(3)流動性風險是指銀行沒有足夠的現款清償債務和保證客戶提取存款,使銀行信譽遭受損失而形成的風險。目前國有商業銀行的流動性風險雖未顯現,但潛在的支付困難因素日益增多;(4)經營風險。是指由于銀行自身經營管理方面存在的問題而形成的風險;(5)匯率風險。由于宏觀經濟政策環境的變化、市場波動、匯率變動、金融機構自身經營管理不善等諸多原因,金融機構在經營過程中存在著在資金、財產和信譽方面遭受損失的可能性;(6)市場風險。是由于市場價格的變動,銀行的表內和表外頭寸會面臨遭受損失的風險。近兩年,金融業并購重組活動的逐漸增多以及金融業分業經營的模式在實踐中逐步被突破,跨市場、跨行業金融風險正成為我國金融業面臨的新的不穩定因素;(7)法律風險包括因不完善、不正確的法律意見、文件而造成資產價值下降或負債加大的風險;(8)金融國際化風險。
三、內部審計在金融業風險管理中的作用
內部審計與企業風險管理有著緊密的聯系,內部審計是風險信息溝通和監控檢查的重要措施,與風險管理密不可分。在現代金融業經營管理中,隨著內外部環境的變化,各種風險因素增多,內部審計工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用,同時,內部審計也被賦予了更多的職責和使命。
1.內部審計在金融業風險管理中的識別和檢查作用
內部審計人員可以通過分析環境和風險的變化,檢查內部控制系統是否已經更新,是否能控制新的風險;還可以通過后續跟蹤管理層對審計中發現的問題以及對例外事項的整改情況,檢查新采取的控制措施是否奏效,將分析結果和建議提交給管理層以便評估和改進控制措施。內部審計人員可以運用自己在風險管理方面的專業知識和經驗,從獨立、客觀的角度發現問題為管理層和審計委員會提供有價值的信息,從而提高公司整體的風險管理水平。
2.內部審計在金融業風險管理中的管理與協調作用
在金融業的組織架構中,內部審計機構一般都處在金融業的董事會、總經理和各職能部門之間的位置,正是由于這種特殊的位置使得內部審計人員能夠充當金融業長期風險策略和各種戰略決策的協調人。內部審計可以客觀地從企業全局的角度進行分析和管理風險;可以從金融業的利益和實際情況出發,清醒地識別和評價風險,提出防范風險的有效建議,調控、指導企業的風險管理策略。內部審計人員通過評價報告系統證明風險信息被準確、及時地傳遞給相關人員,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息,而內部審計職能的設立對債權人和其他外部利益相關者來說也是公司具備有效的風險管理的一個證明。在監控活動中,公司要對風險管理進行持續監控,通過對內部控制系統運行的監控和定期檢查結果以及意外事項處理結果的評價,確認公司對風險的管理是一直有效的還是控制系統存在一定的問題。內部審計人員從公司整體利益的角度出發積極參與公司的風險管理,有效地與相關部門進行溝通協調,這些工作得到了公司領導層的高度贊賞,內部審計在全公司的地位也得到了大大提高。
3.內部審計在金融業風險管理中的顧問與咨詢作用
由于內部審計人員對本組織的情況了解的比較全面,也比較深入,對提供咨詢服務工作有著獨特的優勢。內部審計可以通過評估并運用風險管理的方法,幫助組織解決風險問題;通過咨詢工作積極協助金融業風險管理過程的建立。在改善管理層的風險管理流程的效果和效率方面,內部審計可以協助管理層和審計委員會進行檢查、評價、報告和提出建議。內部審計機構獨立于管理部門,其風險評估的意見可以直接報給董事會,這會加強管理當局對內部審計機構意見的重視程度。內部審計人員由于特有的獨立地位,可以從客觀的角度分析風險的假設條件、通過科學的計算方法來評價風險,提供專業意見。內部審計的顧問與咨詢作用的及時發揮往往能幫助企業化解極大的經營風險。
4.內部審計在金融業風險管理中的報告與防范作用
審計發現如何傳遞,審計成果如何利用,舞弊風險如何防范,這都將直接關系到內部審計在風險管理監督體系中的價值和作用。內部審計在風險控制和改進組織機構的效果方面要發揮其領導作用。首先,內部審計要與相關部門進行溝通,對重大的審計發現要按清晰傳遞的線路進行報告,對監督檢查結果的落實情況要進行跟蹤并報告,使風險及時得到控制和防范;其次,內部審計可以通過評估相關控制的充分性和有效性來協助防止舞弊,可以利用其自身的優勢在倡導良好的道德文明建設方面發揮更大的作用。公司要根據不同的風險決定需要采取的策略和方法,決定是避免風險、接受風險還是降低風險。對于有相對的風險回報的風險,公司可以考慮接受,但要采取控制措施,才能將風險降到公司可以接受的水平,獲得期望的回報。
參考文獻:
[1]羅伯特.莫勒爾,布林克. 現代內部審計學[M].中國時代徑濟出版社,2006年,p60-110.
[2]亨利,范,格羅等(美).銀行風險管理與分析[M].中國人民大學出版社,2006年,p 20-120.
[3]王周偉,鄒展宜.銀行內部審計與操作風險管理[J].新全觸,2005年8月.
[4]孔合. 我國金融風險的成因及對策研究[J]. 開放導報,2006年2月.
[論文摘要]內部審計形成于20世紀20至30年代,其產生的真正動因是企業管理的需要。隨著社會的發展,企業管理內外部環境處于不斷的變化之中,內部審計其職能也隨之從最初的監督延伸至咨詢領域,它對公司治理中內部控制和風險管理起到再監督與再管理的作用。
內部審計形成于20世紀20至30年代,其產生的真正動因是企業管理的需要。隨著社會的發展,企業管理內外部環境處于不斷的變化之中。在當前公司價值最大化的目標下,內部審計扮演怎樣的角色,其在公司治理中的功能如何,本文愿做一嘗試性探討。
一、內部審計的涵義及職能拓展
(一)內部審計的涵義
2001年內部審計師協會(IIA)對內部審計的定義為“內部審計是一種獨立、客觀的保證工作與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采取系統化、規范化的方法對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現它的目標。”對于這個定義,我們可以從幾個方面來理解:首先,我們不難發現內部審計最終的目標是幫助企業實現其目標,而企業的目標就是增加價值,結合兩者,內部審計的最終目標就是為增加企業的價值而服務;其次,它所采用的手段主要是保證和咨詢,這里的保證服務是一種為了機構的風險管理、控制或治理過程進行獨立評價而客觀地審查證據的行為,而咨詢則是提供建議以及相關的客戶服務活動;再次,內部審計應以風險管理、內部控制系統、企業治理結構為工作范圍,用系統化、規范化的方法來評價和改進它們;最后,內部審計人員應該以獨立、客觀的工作態度完成其職責,其中獨立性要求內部審計在確定活動范圍、實施審計及報告審計時不應受到任何因素的干擾,客觀性要求內部審計師在執行審計工作時,對他們的工作結果秉持誠信的原則,不與任何方面達成重大質量妥協。
中國內部審計協會在參考了IIA定義后,結合我國的現實情況,于2003年在公布的《內部審計基本準則》中,將內部審計定義為“內部審計師在組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的真實性、合法性和有效性來促進組織目標的實現。”這個定義明確了內部審計是由組織內設的機構所實施的一種獨立、客觀的活動,其目的是通過對組織的經營活動及內部控制的真實性、合法性和有效性進行審查和評價,使組織經營活動及內部控制中存在的問題得到認識和解決,從而促進組織目標的實現。中國內部審計協會的定義在結合我國實際情況基礎上提出,尤其進步意義,但是與IIA的發展相比,還是有局限性。尤其是面對全球化的影響,將內部審計主體封閉在一個組織內將難以滿足企業決策的信息需求。因此,筆者將按照IIA所提出的理念進行后續論述。
(二)內部審計的職能
在內部審計產生和發展早期,以查錯防弊為主的監督職能是其主要職能,但隨著社會經濟的發展和進步,以及內部審計所承擔的角色的增加,筆者認為,企業內部審計包括四個遞進的職能:監督、評價、控制和咨詢。
1.監督職能。內部審計首先是單位內部的一種經濟監督活動,那么監督職能也應是內部審計最基本的一項職能。監督職能是指對被審計對象的財務狀況等經濟活動進行檢查和評價,確定其會計資料是否正確、真實,反映的財務收支和經濟活動是否合法、合規,有無違法違紀和浪費行為,從而督促被審計對象遵守財經紀律,改進經營管理水平,提高經濟效益。
2.評價職能。評價職能是由經濟監督職能派生出來的另一種職能,包括評定和建議兩部分,也是內部審計的一項基本職能。通過內部審計可以全面了解部門、單位的真實的經營管理狀況,并以此來來評價經營決策、計劃、方案的合理性和可行性,評價其規章制度設置是否健全完善,是否正常運行,評價其經營管理水平及效益的優劣。
3.控制職能。現代企業已越來越多元化,層級化,跨國公司業務遍布全球,企業經營管理中的風險隨之而增加,企業的高層管理人員不可能事無巨細地對每一項業務進行監督,必須委托一個獨立于被審計部門的單位進行控制,以保證企業目標的實現。內部審計因其受企業高層的直接領導,對公司的決策層負責,能夠站在企業發展的全局來分析和考慮問題,對企業經營活動的控制活動可以提供直接的技術支持,并檢查控制程度和效果,提出控制中存在的不足和問題。
4.咨詢職能。隨著現代企業制度的建立,企業ERP系統及會計電算化的普及,賬面資料的錯誤會越來越少,內部審計的工作重點必須從傳統的“查錯防弊”轉為內部的管理、決策服務,內部審計的職能作用也已從監督評價向咨詢方面延伸。另外,現代企業所面臨的環境復雜且多變,經營風險增加,市場競爭激烈,這些導致包括各管理者層尤其是高級管理層迫切地需要有人以“顧問”的身份,對其制定的目標、決策、計劃以及在經營過程中出現的錯誤和薄弱環節提出改進建議。內部審計人員熟悉企業整體情況,且獨立于公司的其他部門,使內部審計人員較其他部門更易于提出較全面、客觀、可行的建議。因此,內部審計人員承擔了專業的咨詢服務。咨詢職能更能適應內部審計在現代公司治理中的發展,促進內部審計價值增值。
二、內部審計在公司治理中的作用
(一)內部審計與內部控制
關于內部審計與內部控制的關系,審計學家錢伯斯認為,內部審計所擁有的一套管理理論需要以內部控制概念為中心。1977年美國的《國外反貪污行賄法》確立了內部審計在內部控制方面的法定職責。內部控制已成為現代內部審計的主要產物。審計學家布林克在回首IIA50年時指出,內部審計最應該關注的是“內部控制”。根據《薩班斯-奧克斯利法案》框架中“監督”要素的要求,企業的監督可以分為持續性監督活動和內部審計定期的、相對獨立的評估兩部分。那么,可以將整個內部控制體系劃分為三個相對獨立的控制層次:第一個層次是經濟業務發生部門嚴格按照企業內部設計的要求,相互牽制開展業務活動,建立起第一道監控防線;第二個層次,經濟業務最終的流向都必將反映到財務報表中去,因此財務部門就要在事后建立起第二道監控防線;第三個層次,內部審計部門要建立起以查為主的監督防線,獨立地按照法人要求,有選擇地對內控的各方面行使檢查功能,發現管理流程中的不足和風險,提出改進措施,并能夠將這些評價結果反映到高層,高層同時也要賦權給內審部門督促改進措施的落實,促進內部控制體系建設趨于完善。對于風險較高的組織如金融機構來說,第三道防線更是必不可少。從監督職能來說,盡管內審監督檢查的頻率要比其他部門的自我監督檢查和財會部門的管理監督要低得多,但是內部審計部門的獨立性和在組織內應有的權威性,再加上直接由最高層領導,賦予該部門對內控具有再監督和再評價的特殊而又重要的職能。內部審計是企業內部控制的有效監督者,為了強化內部審計監察部門的監督職能,許多西方金融機構都成立了獨立于經營管理之外的內審稽核部門。
當然,從組織結構上看,內審檢查部門并非獨立于內部控制整體框架之外的,它也屬于控制的一部分,本身也需要對自身的各種內外部風險進行管理,和經營管理部門一樣,也要采取自我控制措施,須注意自我檢查和批評。
(二)內部審計與風險管理
關于風險管理,比較有代表性的說法是威廉與漢斯在1964年出版的《風險管理與保險》中所提出的,他們認為風險管理是通過對風險的識別、衡量和控制,以最低的成本使風險導致的各種損失減到最小程度的管理方法。從這個定義中我們可以得出,實現風險管理目標的主要手段是控制。
在充滿不確定性的市場環境下,企業要實現目標,其管理者應該確保其擁有健全的風險管理過程,且這些過程發揮了應有的效用。高層決策者和審計部門應該在確定企業是否擁有健全的風險管理過程及這些程序是否有效運作等方面起監督作用,在此,內部審計人員作為高層機構下設的獨立機構責無旁貸地承擔起這一工作。正如本文開篇介紹的IIA對內部審計的定義中指出:內部審計需提高風險管理、控制與監管工作的有效性,使企業達到預定的目標。《IIA實物標準》(2001)實務公告2100-3中描述到:內部審計部門應該評價并幫助改進機構的風險管理、控制和治理體系。我國著名內部審計專家王光遠認為:“內部審計人員是風險管理潛在的重要利益相關人和參與者。”“風險管理是內部控制的延伸,內部審計是風險管理的確認者,是對風險管理的再管理。”國內外許多審計實踐表明,對風險管理審計的報告更容易被管理當局所接受,管理部門也容易理解內部審計存在的意義,風險管理可以幫助內部審計度過正在影響企業的價值危機。
那么,內部審計在風險管理中的作用有幾何呢?
1.站在全局的角度上審視風險。企業是一個由各個單位有機結合起來的整體,每一個部門之間要么直接相關,要么間接相關,只要有一個單位發生風險就會或多或少傳遞至其他部門,并經常危及企業整體。而各部門都站在本部門的立場上處理風險,難免會一葉障目,考慮不周,內部審計則與之不同,它獨立于企業經營管理部門,使得它可以從全局出發、客觀地管理風險。
2.調控、指導企業的風險策略。內部審計部門處于董事會、總經理和職能部門之間,可在企業風險策略和各部門決策之間進行協調,通過這種協調,內審人員可以調控、指導企業的風險策略。
需要注意的是,內部審計雖然可以促進風險管理過程的建立或提高風險管理的有效性,但是它并不參與風險管理的設計和實施,而是管理層負責ERM的設計,所有員工協助貫徹實施,董事會監督管理層對企業風險管理的設計與實施,內部審計部門通過檢查、評價、報告企業風險管理過程的適當性和有效性,并提出改進建議來協助管理層、董事會或審計委員會,而不是履行風險管理的受托責任(Bailey等,2006),否則將影響內部審計的獨立性(作者單位:深圳紡織集團股份有限公司)。
參考文獻
[1]Bailey,AndrewD,AudreyA.Gramling,SridharRamamoorti:內部審計思想,王光遠等譯[M],中國時代經濟出版社,2006(5)
[2]RobertMoeller,SOA與內部審計新規則,劉霄侖譯,[M],中國時代經濟出版社,2007(1)
[3]張慶龍,內部審計價值[M],中國時代經濟出版社,2006(10)
[關鍵詞] 審計風險 內部控制 控制措施
近些年隨著國內經濟的快速發展,審計環境面臨著較大的變化,同時也不斷涌現出新的現象,而這些新事物的出現勢必會增加審計的難度。所以我們有必要對審計風險進行再研究,不斷加強企業的內部控制建設,以便于將審計風險控制在可以接受的程度。
一、審計風險、內部控制、審計控制風險定義
1、審計風險的定義
我國《獨立審計具體準則第9號―內部控制與審計風險》將審計風險定義為:會計報表中存在重大錯報或漏報,注冊會計師審計后發表不恰當審計意見的可能性。而審計風險又由兩方面風險構成:一方面是審計人員認為會計報表公允可以接受,但實際上會計報表卻存在重大錯報的風險;另一方面是審計人員認為會計報表存在重大錯報而不能接受,但實際上是公允的風險。審計風險的產生既有注冊會計師自身的主觀原因,也存在審計方法的客觀原因。因此,控制審計風險必須從注冊會計師內部和其外部著手,并將兩者有機地結合起來進行,才能取得良好的效果。
2、內部控制的定義
《獨立審計具體準則第9號―內部控制與審計風險》將內部控制定義為:被審單位為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。
3、審計控制風險的定義
審計控制風險是指被審計單位的業務和相應的會計處理發生重大錯弊不能被內部控制防止和糾正的可能性。被審計單位建立內部控制的主要目的之一就是要防止錯誤和舞弊。如果被審計單位的內部控制制度存在重要的缺陷或者不能有效地工作,那么錯誤和舞弊就會進入被審計單位的財務報表系統,由此產生了控制風險。
二、審計風險的防范與控制措施
1、加強審計隊伍建設,提高審計人員素質
審計風險的高低,在很大程度上都取決于審計人員個人素質的高低,因此審計人員應當強化風險意識,堅持實事求是,客觀公正,并樹立嚴謹踏實的工作作風,認真負責的對待每一項審計業務,嚴格按照獨立審計準則進行審計,以確保審計質量,降低審計風險。加強基礎建設,打造管理型、復合型的審計隊伍,建立健全各項規章制度,抓好審計人員學習、培訓工作,提高審計人員的實際應用能力,拓寬視野,更新知識面,掌握新業務的要點和風險點,提高工作效率。同時,加強理論與實踐相結合,積極開展各項調研工作,為內控工作的開展奠定理論基礎。
2、加強內部控制審計
內部控制審計的目的是合理地保證企業遵守國家有關法律法規和企業內部規章制度;信息的真實、可靠;資產的安全、完整;經濟有效的使用資源,提高經濟效率和經營效果等目標。由于被審計單位的內部控制制度存在一定的缺陷,所以被審計單位應從加強經濟業務管理、內部控制制度與內部激勵制度相結合、建立和完善內部控制評價體系三個方面完善內部控制制度,確保其經濟活動經濟資料合法性合理性。會計電算化與它的內部控制系統是相互作用和相互影響的。審計人員應選擇適當的評價標準,實施適當的審查程序,以評價被審計單位的控制環境;評價企業風險管理機制的健全性和有效性;評價控制活動的適當性、合法性、有效性,控制活動對風險的識別和規避;評價企業獲取及處理信息的能力,信息傳遞渠道的便捷與暢通,管理信息系統的安全可靠性。內部審計人員可以采用文字描述、調查問卷、流程圖等方法對內部控制進行描述和評價。內部審計人員應向企業的管理層報告內部控制的審計結果。審計報告應說明審查和評價內部控制的目的、范圍、審計結論、審計決定及對改善內部控制的建議。
3、創新內部審計
隨著現代企業制度的完善,以“查錯糾弊,堵塞漏洞”為主要目標的傳統內部審計,已遠遠不能適應現代經濟體制的要求。在審計思路上,要努力實現由傳統內部審計向現代內部審計的轉變,從事后審計向事前事中審計轉變;在審計模式上,應探索構建從風險分析入手確定審計目標、范圍和程序,以監督和評價財務狀況、經營成果以及風險管理、內部控制和公司治理能力為審計成果,從以財務收支為主的審計,向以管理信息化和計算機審計為技術支撐的效益審計、管理審計轉變;在審計目的上,從重視審計的獨立性、權威性和強調審計監督,轉為強調審計為企業服務,幫助企業實現其目標;在審計內容上,由財務控制向業務控制和信息系統轉變,以審計經營活動為起點,以審計內部控制為主線,以審計會計核算、財務表現為終點,全面覆蓋企業營運活動;在審計行為上,從不規范的隨意性,向規范化、系統化和科學化方向轉變。
4、內部審計要外部化
內審外部化是指審計業務由企業外部的民間審計組織全部或部分承擔,主要有外包與合作兩種形式。前者指企業將其內部審計工作全部或大部分外包給外部審計組織,后者指企業在開展內部審計工作時,根據需要借助外部審計力量,共同完成內部審計工作。內部審計外部化具有一系列優點,可以提高內部審計的獨立性。外部審計工作一般都是由注冊會計師領導完成,它們獨立于企業的所有者和經營者,有一套保證審計準則受到遵循的機制,從而能夠客觀公正地對企業的財務狀況進行審計并報告審計結果。同時,還為企業降低成本,因具有比較高的專業化程度,擁有豐富的經驗和廣闊的知識,可以提高和穩定審計質量。
5、健全組織結構,授權明確
組織結構的好壞直接關系著審計客體的生存,也影響著審汁風險的高低。組織結構中的各個機構、部門都各有自己的職責,明確授權與責任的關系,采取必要的步驟,保證內部控制的有效性,從而降低審計風險。
三、結語
