随着国际经济和信息技术的发展,世界经济一体化为企业在全球范围内的大市场中开展经营活动提供了机会,同时也使企业生存与发展的环境面临更大的风险。风险已成为影响企业目标实现的重要因素,管理与控制风险变得越来越重要。
企业内部控制系统存在的目的在于对威胁其目标实现的风险进行管理。企业的内部控制能否发挥作用,还必须考虑企业面临的风险的性质、范围、风险可量化程度、控制成本与管理相关风险可获得的收益的对比。
1.风险控制水平
企业管理当局对风险的态度直接影响风险的控制水平。如果企业管理当局喜欢冒险,对面临的风险缺乏预防或控制措施,则会引起巨大损失;如果过分谨慎也会使企业失去发展机会;只有正确地认识风险,并对风险加以控制,才能最大限度地提高企业的利润。这说明风险控制的目的不是为了限制企业的各种经营活动,而是确保它们受到正确的引导,以减少不必要的损失。笔者认为对待风险的策略应该是适当地接受风险,但这并非是盲目地冒险,而是事先合理地预计可能的风险,积极地寻求企业的发展机会。就像一个人不能因为害怕交通事故而不出门或不驾车,而是应该在其出门或驾车时采取必要的防范措施,如遵守交通规则、扣好安全带或避免高速行驶等。就企业而言,可以发展业务组合(有不同风险和回报的业务的组合)或退出高风险低回报的业务领域。
2.比较风险与回报
风险的可接受水平取决于回报的大小。通常人们为了实现高回报才去冒较大的风险,而不会为了低回报去冒较高的风险。最好的商业机会是回报高而风险小的商业机会;而低回报高风险则会对企业构成较大的危险。
3.分析风险控制成本
如果企业没有对风险进行控制,那么就要承担出问题和事故的代价,如一次污染后要支付的处理费,平息一次工伤事故的费用,或收回劣质产品的开支。所有这些费用,都可在图1中用事故费用曲线表示。当企业意识到管理企业风险的必要性后,就开始在预防手段上投资,包括进行预防的支出及为加强控制而增加的人工费用等,这些开支可用预防费用曲线表示。从图1中我们可以看到,随着预防费用的增加,事故的发生率下降,因此事故费用也随着下降,总体开支下降。事故费用曲线与预防费用曲线的交点使企业总体开支最低。如果企业继续投资于预防措施上,寻找进一步减少事故发生的可能性,那么预防费用就会上升。最后总体费用达到了企业开始管理风险以前的水平。图1显示,在风险管理上有一个最优效果的投资水平,投资过多会使企业背上成本的负担,使它失去竞争力,而关注不足会使企业付出高昂的事故费用,中间的某处是最佳的位置。
由此可见,企业为降低总体开支水平,必须识别和评估风险,建立适当的控制制度,采取行动管理风险,并对管理的效果进行监督和检查。
二、内部审计领域的风险导向审计
内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年最高审计机关国际组织在第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、方法程序一起列为内部控制的重要组成部分。1992年,美国的“反虚假财务报告委员会”发起成立的一个赞助组织委员会(简称COSO,Committee of Sponsoring Organization)专门致于内部控制研究,提出了“内部控制——整体框架”的研究报告。该报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通及监控等五个要素,其中的监控就是指对内部控制结构运行质量的监督,它是通过管理控制方法和内部审计的职能来实现的。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制。COSO报告为内部审计人员进行风险管理提供了指南,表明了以风险为导向的审计方法成为审计方法发展的必然趋势。
在内部审计领域,人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险[2],并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种方法。国外的许多企业审计实践证明,在内部审计领域实施风险导向审计,改变了内部审计人员探讨风险和内部控制的方法,为内部审计参与风险管提供了基础,促进了内部审计与其它风险管理要素的结合,并已为企业管理当局所接受。
内部审计领域运用风险导向审计方法,改变了过去那种内部审计人员以检查历史业务记录和内部控制系统的历史运营情况提出建议和意见的方式,变为更加关注企业面临的风险和企业未来的发展及企业为降低风险所进行的一项管理活动[3].在快速发展的时代,企业管理当局需要了解变化过程中可能遇到的风险,而固定的、静态的控制体系只能反映企业的过去。因此,要求内部审计师在风险环境中观察业务过程,提出控制风险的建议,从而为企业增加更多的价值。
采用风险导向审计方法,内部审计的报告更容易被接受,管理部门也更容易理解内部审计存在的价值。在过去的制度基础审计中,内部审计总是以其内部控制为中心,并在审计报告中不断提出增加控制点或增加控制的建议,这样,若干年后审计的结果就是控制点越来越多,业务过程越来越繁杂。同时,也产生了不能为企业增加价值的员工。在风险导向审计中,审计报告中关注的企业当前及未来需要的准备,是企业现行经营活动与战略计划之间的“桥梁”[4].三、风险基础法下内部控制的评价模式
传统的内部控制评价模式主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,审计报告中的建议也是管理当局早已经知道的,缺乏新意[5].有人形象地比喻,内部审计的工作就是“审核数豆子的人是否将豆子数得一粒不差”。风险导向审计法要求内部审计人员改变传统的评价模式,把审计的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。
特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向审计法下,内部审计更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策[6]?只有清楚地了解了这些,内部审计人员才能辨别何处控制环节过多,何处控制环节不充分,何处控制满意,何处控制需要改善。我们以采购为例进行分析,企业采购的目标可概括为:保证采购的物品为企业所需,适当的价格及付款条件,所购物品的质量符合要求,交货的时间、地点等。审计的目的在于评估实现上述目标的风险,并建议增加一些强化控制的措施,长期如此,采购过程就会变得繁杂而无效。这是因为内部审计人员把审计的重点置于所需的控制,而并非企业的目标或其控制环境中存在的风险。理想的方式是从决定所需要的控制,转移到风险的管理,在审计过程中寻找所有可能的管理风险的途径,收集证据,提出建议。例如,采取必要的措施控制企业的战略风险;采取风险回避的方式,回避某些固有风险;以风险分散方式,分散经营过程中存在的风险,如由多个供应商提供原材料以减少原材料供应中断的风险;向其他组织转移风险,如何险等;接受风险,企业在经营过程中不可能没有风险,在合理的程度内,冒点风险是必要的。越过内部控制的某些薄弱环节,这也是风险导向审计方法与其他审计方法的本质区别。但大多数内部审计人员是难以确认管理当局是否能接受这些风险,因此,传统的内部控制评价方法受到挑战,要求内部审计人员采用一个动态的评价模式,通过与企业管理当局的有效沟通,为企业提供增加价值服务。
