我国企业内部审计与风险管理现状分析

我国企业内部审计与风险管理现状分析 内部审计与企业风险管理关系密切，但是现阶段我国大部分企业的风险管理理念淡薄，内部审计未能在实务工作中融入风险管理过程，同时本身也存在诸多的问题。 一、我国企业内部审计与风险管理存在的问题 目前我国内部审计与风险管理存在诸多问题。 （一）内部审计法规不健全，现有法规缺乏风险管理的可操作性 虽然我国制定了一系列内部审计的法律、法规和条例，为内部审计开展工作提供了依据。但是，对于风险管理如何开展内部审计，这方面制定的法规不多，更多的停留在呼吁的层面上要求内部审计人员关注企业的风险管理状况。涉及到具体操作规范的，仅有内部审计具体准则第16号风险管理审计，该准则侧重于对风险管理过程进行审查和评价，但是可操作性不强，贯彻的力度也不够。 （二）内部审计部门不受重视，没有从风险管理的角度安排内部审计 我国审计法及有关部门的相关规定都强调了国有企业独立设置内部审计机构的重要性和必要性，所以，我国国有企业基本都设有内部审计机构并不断发展内部审计职能。但是，我国仍有很多单位不设置独立的内部审计机构，而是将内部审计机构设在其他部门，造成内部审计独立性不强，审计监督的职权范围狭窄，无法对企业整体的风险管理活动进行评价和监督。 审计结果表明，内部审计机构只有做到真正意义上的独立，同时得到企业高层的支持和理解，内部审计的职能才能得到充分的发挥，除了履行查错防弊这个基本职能，更重要的是能参与到企业的风险管理，站在企业整个经营战略的高度，履行其赋予的治理职能，从而实现为企业价值增值的目标。 （三）我国内部审计实务中存在的问题 1.内部审计工作结果不被重视 我国企业内部审计机构的组织形式，造成了内部审计缺乏独立性，权威性低，从事的审计工作大多数是一些低层次的稽核，防止舞弊工作，审计范围和工作方法多年不变，审计结论未受到重视，后续审计基本没有。 与发达国家相比，我国内部审计的发展缺乏内在的动力，导致我国大部分企业的管理层不够重视内部审计的工作，更不会及时处理内部审计提出的意见。 2.审计计划制定机制不完善、风险意识薄弱 制定审计计划，实际上就是在分配审计资源，通常，内部审计机构应在对被审项目风险进行评估的基础上，对审计资源、董事会和相关治理机构的整体考虑后确定审计目标和审计计划，同时根据环境的变化做出相应的调整。但我国大部分企业的内部审计机构在制定审计计划时，基本上没有以风险评估结论为依据。同时，一些内部审计机构为了在年底考核获得好评，盲目追求审计项目的数量，审计范围过大，审计质量不断下降，审计风险上升。 调查表明内部审计机构缺乏风险管理方面的知识，风险控制效果不明显。具体表现为，在审计过程中，审计人员没有意识到审计过程中遇到的风险问题，对被审计单位的风险认识和评估不够，对被审计单位重大风险的评估和确定重要性水平的标准不够科学。实质性测试效果不好，难以查出重大的错报，审计基础工作不规范，倚重于习惯性思维，审计规范次之，重视业绩，基础工作次之，所以有必要进一步提高内审人员的风险意识。 3.内部审计活动范围狭窄，极少以风险管理为对象 房良调查了38家单位的内部审计情况，调查发现，33家企业内部审计关注对法律，法规等的遵从，36家企业（95%）关注财务以及与财务有关的活动，22家企业（58%）关注内部控制，只有15家企业（39%）在审计的时候进行了风险评估。这说明我国内部审计范围多数局限于财务审计，而经济责任审计和经济效益审计更多是借鉴政府审计的做法而展开的，其关注的重点在财务会计报表和相关的经济指标，因此在改善企业经营管理、加强对风险的应对、增加企业价值方面还存在欠缺。相比之下，IIA属下的知识共同体（CBOK）的调查显示，国外企业内部审计日益关注的审计类型是风险管理审计，占79.5%，内部控制审计占63.2%，在我国内部审计仍然以经营活动审计为主的情况下，发达国家内部审计业务范围已经完成从传统的财务审计向经营审计的过渡，并开始向风险导向审计、战略审计转变。 4.审计方法落后，很少企业采用先进的风险导向审计模式 目前我国内部审计审计技术单一，普遍停留在账账核对、账表核对、账实核对以及对财务会计资料的常规检查上。由于内审人员较多关注过去的一记录和内部控制系统以前的运作情况，而不是企业未来的经营风险，内部审计没有发挥出应有的优点，没有起到防线的作用，导致各种被忽视的风险袭击企业的各项业务。 时现、毛勇对251家国有企业内部审计采用的主要方法调查显示，企业内部审计采用的方法，以“多种方法交叉”、“账项基础审计”为主，所占比例分别为59%，49%；风险导向审计方法使用较少，仅为3%。 5.参与程度低，内部审计未能在企业风险管理过程中发挥积极作用 内部审计人员通常认为发现问题，报告问题是他们的主要工作，但是他们没有职责和权利去解决这些问题。在目前的形势下，内部审计还要能帮忙解决问题。房亮调查结果显示，被调查企业的内部审计机构很少关心风险和风险管理问题。68%的被调查单位认为内部审计在企业风险管理过程中没有起到任何作用。18%的被调查单位认为，内部审计机构有责任在企业不存在风险管理体系的情形下，向高层管理者提出有效建议，并协助建立。有11%的单位（4家）建立了企业风险管理体系，但是却没有得到很好的执行。 6.内部审计人员的素质不高，构成不合理，风险导向审计难以实施 国外先进国家经过实践得出，内部审计人员构成的理想比例是经济管理专业、工程技术专业和其他专业各占三分之一。我国内部审计人员结构中，是财务人员占多数，其他专业背景人员比例很少，还有相当部分是兼职人员，而且水平有限。 时现、毛勇的调查结果显示：（1）内审人员专业技术职称的构成方面，具有会计师职称的人员最多，占56.55%，其次是经济师（16.09%）、审计师（16.92%）、工程师（10.44%），说明我国国有企业内部审计人员的知识结构存在结构性的差异和不均衡。（2）内部审计人员学历方面，拥有专科学历的人员最多，占总数43.53%，本科次之（42.83%），硕士、博士学历最少，分别占3.57%和0.09%，总体上，高学历的内部审计人员比例少。（3）在对企业内部审计人员关于“审计职业技能知识的了解程度的调查”显示，77%的人只是一般了解风险管理的相关知识，难以对企业的风险管理进行有效的监督和评价。 二、我国内部审计与风险管理存在问题的原因分析 无论是理论与实务，我国内部审计均远远落后于西方发达国家，使得风险审计无法得到广泛的推广，究其原因很多，但主要有以下几个方面： （一）企业风险管理意识薄弱，极少采纳ERM框架 内审人员对风险理念的理解程度决定其在风险管理中起到的作用。以公司治理为出发内部审计能有效地倡导和推动风险管理，是公司风险管理正常运行的重要保障。 目前，我国企业的经营管理层对风险认识存在不同程度的误区，没有意识到风险管理与企业生存发展息息相关，导致内部审计机构没有风险的概念和管理风险的相关意识。多数企业的内部审计功能仍然定位在监督的角色上，没有意识到企业需要内部审计成为风险管理的有力推动者。传统的账项审计和制度基础审计仍是工作的重点，财务收支的真实、合法性审计，事后审计仍是主流，内部审计没有认识到风险审计的重要性，缺乏风险审计的知识，导致缺乏风险审计施行的相关概念。 从我国大多数企业看来，对风险管理的认识处于初步阶段，采用ERM框架进行风险管理的企业更少之又少。房良的调查结果显示，有16家企业（42%）认为ERM框架对企业活动有一定的影响，14家（37%）认为影响微乎其微，5家（13%）认为没有任何影响，仅有3家（8%）认为ERM框架对企业经营管理产生重大的影响；当问到是否考虑应用ERM框架来处理风险时，有18家（47%）企业表示正在考虑应用ERM，16家（42%）暂时没有考虑，仅有4家（11%）应用了ERM框架，但是实施起来不尽人意。风险管理技术的落后，不可避免的影响了风险导向内部审计的发展。 （二）风险管理机制不健全，内部审计参与风险管理的程度不够 当今社会竞争日益激烈，企业都要面临着风险这个共同的问题。企业要成功，关键是要懂得识别、管理和利用风险。ERM框架建议企业建立风险管理系统，成立独立的风险管理机构。 实施风险导向内部审计，介入风险管理是基本前提，通过评估企业风险管理的有效性、充分性，开展确认和咨询工作为企业提供增值服务。但是目前，内部审计机构作用不大。学者在包括对制造业、银行金融业、服务业、行政事业单位、院校、医疗、交通、建筑、通讯、能源等120家单位进行调查，发现22家企业（18.29%）认为内部审计机构没有风险管理领域的知识，未能发挥应有作用，仅有少数单位的内部审计机构会采取措施提醒管理层关注风险管理并建立了风险管理机构；48家企业（40.24%）的内部审计机构在没有设立风险管理机构的情况下，提醒高层管理者关注风险，并协助成立防范风险的部门；25家企业（20.73%）的内部审计机构会培训相关的风险管理部门人员；20家企业（17.08%）的内部审计机构设立了风险管理偏好、风险容忍度，同时监督企业的风险管理活动；虽然大部分被调查的内审人员认为内部审计应该在风险管理中起到一定的作用，但仍有6家企业（4.88%）的内审人员认为他们和风险管理没有任何关系。这表明，我国企业整体风险管理意识淡薄，机制不完善，内部审计参与风险管理的程度低。 （三）内部审计机构大多是行政命令的产物，管理层不够重视 内部审计存在的客观原因是企业需要内部审计加强管理。而内部审计在我国不是由于经济的发展而自发形成的，是在经济体制改革深入后出现的，通过行政措施成立的，目的强化内部审计的监督体系和企业的自我约束机制。所以，我国多数企业的内部审计部门，实质上是行政命令的产物，而不是源自于企业加强经营管理、防范风险的需要。 中国内审协会根据对“能够做好内部审计的最重要保证条件”问题的调查数据显示，领导重视是其最重要的保证条件，所占比例为77%，而“内部审计人员业务素质高”、“内部审计人员沟通强”、“内部审计在组织中的组织层级高”、“内部审计方法得当”所占比例相对较小（见下表）。可见，得到领导的重视是顺利开展内部审计工作的先决条件，而由于我国大多数企业的先天不足，和西方发达国家相比，缺乏发展的动力，结果是由于高层的不重视，内审工作举步维艰。 能够做好内部审计的最重要保证条件调查（n=259） （四）内部审计隶属层次较低，独立性、权威性差，审计人员配备不足，缺乏专业技能 在我国，多数企业的内部审计受总经理领导，或是设立在财务部门，或者和其他部门平行，只有在部分上市公司是由审计委员会领导。内部审计机构不直接受董事会等高层领导，严重削弱了内部审计的独立性和权威性，导致风险审计的开展缺乏权力的保证，表现在以下方面： 1.内部审计和被审计部门平行，内部审计不能站在企业高层的立场上，制定全局性的审计计划和开展审计任务； 2.内部审计不直接受董事会等高层领导，其他各部门就会干涉其工作，使得内部审计处处受制，不能了解审计项目存在的问题和可能潜在的风险； 3.有些企业内部审计人员只能向会计主管或总会计师报告，使得审计提出的观点和建议的执行缺乏权力的支持，执行缓慢。内部审计缺乏独立性和权威性，只能履行较低级别的监督、检查功能，而不能评估企业全局性的风险。 内部审计受重视程度不够，管理者通常认为内部审计部门的设置不是必要的，或者只是安排富余人员的地方。长期下来，导致内部审计人员水平低下，知识和实践操作经验不足。 管理者不肯创造良好的环境，让一些优秀的内部审计人员展示才华，结果是有能力的人不会从事内审工作，内部审计队伍的自我更新难以完成。 时现、毛勇调查发现，大中型企业中，审计人员专业技能缺乏、审计人员配备不足已经成为影响企业内部审计业务发展的主要因素。实施风险审计，内审部门不仅需要内审人员具备经济方面的知识，同时还要信息工程技术和风险管理等方面的人才。我国很大一部分企业错误的认为，