一、风险审计在经营管理活动中存在的问题
(一)企业战略制定缺乏风险理念
在管理控制总架构内,企业在发展战略、经营战略、管理战略等重大战略的制订过程中都明确了具体的目标、方法和措施,事实上企业在制订发展战略中存在着投资风险和财务风险,在经营战略中存在着营销风险、产品风险和品牌风险,在管理决策中存在组织风险、业务风险、人事风险等。而以上战略中任何一项只要形成风险,都将给企业带来丧失竞争力、陷于经营困境或产生倒闭、破产的结果。这样的例子在企业里比比皆是,其中原因各不相同,但有一点是可以肯定的,未开展风险审计的企业,其失败可能性要大于已开展风险审计的企业。
(二)管理控制中缺乏风险管理设计
(1)缺少对外部风险的设计。对企业经营活动产生重大影响的外部环境因素主要有市场因素、政策因素、法律因素等。企业内部管理控制中如果缺少对以上风险的系统性控制,企业的经营风险必将大大增加。(2)缺乏防范内部风险设计。一是企业在投资、生产、营销、分配等环节中授权不当或失控,使原有的内部控制遭到破坏。二是在人、财、物等价值管理环节中,部分人员利欲熏心,道德丧失,共同贪污、盗窃企业财产,串案、窝案屡有发生,使内部控制失去作用。三是在营销、授权、信息处理、诚信等管理控制方面因缺乏相互牵制,使管理制度的执行出现“无效果”现象。四是企业内部个别部门在执行内部管理制度上出现“应为而不为”或“应不为而为之”的情况,使得舞弊行为和失控现象屡有发生,削弱控制效率,暴露出风险管理设计的薄弱之处。
(三)企业的异常活动超出管理控制的设计范围
(1)与经营活动相关联。主要反映在营销上出现客户以物资抵冲欠款时,物资入账在内部控制上却要经过专业评估作价、验收等环节;在生产上以外购半成品替代自制半成品时,在管理程序上又涉及投资、采购、生产调度等部门的审核权变动;在品牌上实行的贴牌销售不在正常管理控制覆盖范围内;在财务上大额承兑汇票贴现超出正常内部控制范围;涉及企业兼并、重组及破产清算等行为更具有独立操作性。(2)与成本控制相关联。内部控制成本不得大于其预期效益是内部控制的一个基本原则,但实际工作中有的控制成本和效益在设计时需要凭借个人主观判断,具有不确定性,主观判断的失误会使控制的效果不佳。如销售客户比较多的企业,在应收款核对过程中,大部分不采取逐户核对的方法,往往确定一个管理层可接受的风险额度进行核对,但这样势必会增加内部控制的风险。另外,在母子公司授权中,为避免集权带来的内部交易成本过高,母公司一般会采用加大分权、增加内部控制风险的做法。
二、如何有效地对内部控制活动实施风险审计
(一)正确看待风险审计在经营管理活动中的作用
由于企业在不同的时间、空间处于不同的环境,面临各式各样的风险,这些风险对组织目标的实现有着不同程度的影响。以风险为导向的审计正是从组织面临风险的角度来评判内部控制系统的设计和执行,对企业治理方案进行测评,并从影响组织目标实现的各种系统风险和非系统风险出发,就内部控制设计是否健全,关键控制点机制是否有效,控制薄弱环节,治理改进措施的可行性提出认定,评价风险管理与控制对组织目标实现的影响程度。同时,风险审计工作从起点到后续追踪审查,自始至终与组织系统目标协调一致,保证和提高管理效果的审计质量。
(二)要从战略发展的角度建立风险审计框架
1、风险审计架构的建立。现行的风险审计理论的结构模式是:确定范围、识别风险、评价风险、处理风险、沟通与协商、监测和审核。从企业的管理活动及控制过程中的决策看,有战略性的,也有战术性的。但从企业战略发展的角度,对投资、市场、融资等战略性决策需要进行风险管理和审计,也必须在这些领域建立风险审计的架构,最大限度地化解企业各类经营决策风险。
2、严格风险审计的运作程序。对企业的风险审计项目主要通过风险范围、风险识别评估、风险控制、风险报告等程序完成。首先,要关注风险范围,全面地了解和掌握企业的组织结构、业务范围、经营目标,寻找风险点;其次,设计风险评价体系,通过定量指标和定性指标确定风险程度的大小;第三,积极防范风险,通过风险规避、风险控制、风险转移等方法防范环境风险、过程风险、信息风险的发生。
(三)风险审计的重点环节
现代企业风险主要来自于经营环境的变化、聘用新的人员、采取新的或改良的信息系统、新技术的应用、新行业、产品或经营活动的开发、企业改组、海外经营、新会计方法的应用等。结合企业当前的实际,风险审计应重点把握以下方面:
1、营销方面。营销上的风险主要来自于需求变化、环境变化、竞争对手、营销人员等。审计必须先做到识别风险,即哪些外部因素会引起市场份额下降和客户不满意程度上升;哪些内部因素会影响销售管理行为,降低内部控制效果等。风险被识别后,要进行风险等级评估,即该项风险不采取控制、纠正措施所带来的损失将有多大,其损害是致命性的,还是一般性的。营销风险审计的重点在控制及报告上。对企业产生重大危险的营销隐患必须及时报告,提出防范纠正的措施,对一般风险或普通风险应提醒管理层注意。
2、资金控制方面。资金风险主要表现在资本结构不合理,债务大于自有资本,盲目筹资,资金使用无计划,积压、沉淀资金多等方面。风险审计就是要提示企业整个资金流运作过程中面临的资金风险和潜在的诱因,特别是对负债高、经营不稳定,资金长期短缺的企业,应从本质上识别其风险源,评估风险程度,提出具有针对性的防范措施。即检查在投资上是否做到严格控制,资金管理上是否实行了有偿占用制度,应收款控制是否明确了总量控制和坏账赔偿制度,资金的日常调度是否执行了资金收支计划等。
3、品牌扩张方面。目前,一部分企业为扩大产品知名度和销售额,采用贴牌销售的方式,还有的企业在品牌价值与商标价值不对等的情况下,以产品的商标作为品牌进行延伸。品牌延伸的风险来自于品牌的创立、品牌的市场定位、品牌的运作等方面。风险审计的任务一是要客观评估现有品牌与产品商标在市场上的认可度及顾客的接受度;二是分析品牌与商标在市场上是否存在冲突或相互受损的情况;三是在品牌运作中是否建立与产品供应商的质量保证连锁制度,与销售代理商签订的品牌使用约束制度。
4、组织及人力资源。企业组织结构及员工素质的优劣是企业内在动力的重要体现。要通过风险审计达到以下目的:一是部门职能作用的发挥,主要是检查组织结构设计、管理幅度是否符合企业集权、分权需要,部门职能有无交叉、重复或脱节现象,管理活动是否经过适当授权等;二是团队合作情况,评价中高层管理人员的个体素质对本部门工作的适应能力及上下与横向的沟通协作能力;检查各部门的团队合作、工作能力是否比较强,整体工作效率如何;评价员工对企业的忠诚度,对企业文化的接受和表现程度,对员工的激励和处罚手段,员工潜在能力的发挥等。
5、成本控制方面。成本领先是当前企业增强市场竞争力的发展战略,在成本控制上不同企业所采用的控制方法不同。如标准成本控制法、定额成本控制法,目标成本控制法、作业成本控制法等。无论采用何种方法,风险审计一是审查指标设置是否先进、合理,通过与企业历史上及行业的先进指标相比较后,在成本控制指标上充分体现其先进性和合理性,否则不能达到控制效果;二是审查控制指标中是否体现科技降本,各种形式的技术改造、工艺创新、材料更精是降低成本的重要途径,应占到成本降低额的60%以上;三是审查成本考核是否具有刚性和及时性,任何制度只有严格及时考核才能体现其效果。
6、税务风险方面。多数企业每年在非主观因素方面被税务部门稽查的税款从几万至上百万元不等,防范税务风险形成的损失是风险审计的“重中之重”。首先,严格增值税交纳行为。检查销项税交纳是否规范,从形成的销售收入或实现的销售行为中审查该缴的税是否完整、足额;检查在进项税抵扣上是否准确,有无“不该抵的抵扣了,该抵扣的未抵”等现象。其次,规范所得税行为。审计时可通过设计专门表格,按成本费用要素的项目逐一进行审查,有无发生不符合国家税法规定的税前开支费用。第三,开展节税筹划工作。风险审计除了防范税务风险外,还要积极增加企业的节税收益,在遵照税法的前提下,认真鉴别企业经营行为与纳税行为不一致的地方,从而合理节税,减少税收成本;尤其对一些混合销售行为、联营行为、资产重组等方面的纳税行为要仔细分析,寻求节税空间。
7、会计信息方面。会计信息虚假失真是困扰企业的一个“顽疾”,以至于会计报表出现“内行看不懂,领导看数字,外人不相信”的状况。会计信息真实性的风险审计一是审计经营成果的真实性,主要运用传统审计方法判断收入、利润、成本指标完成的真实性,客观反映企业的经营业绩;二是审计财务状况的真实性,企业的资产、负债、股东权益是否真实,有无人为调整行为;三是审计基础工作规范性,重点是对会计运用技术性手段如会计政策、会计估计等调节成本、利润、高估或低估资产、负债,会计核算中的各项内控制度是否健全,会计业务处理是否坚持不相容职务分离制度等。
8、风险与效益方面。企业在管理控制中有一个成本效益原则,应坚持既不能因为节约成本削弱内控,加大风险,也不能一味无节制地追求制度完善而增加成本。在发生下列情况时,必须坚持风险审计第一,成本效益第二,一是社会效益、环保效益大于企业直接经济效益,如企业在某些原料资源配置上的投资尽管可获得很大收益,但会破坏国家对该资源的综合利用;还有的产品利润很高,但产生的污染给国家和群众造成很大的损害。在这种情况下,就必须通过风险审计作出以社会效益和环保效益为重的评估结论。二是出现“内部人”控制情况,如企业在外地的分公司银行结算账目不清,比较混乱。如果单从成本效益角度可不进行风险审计,只需严格制度、规范行为即可。但从防范深层次的风险看,就必须通过风险审计彻底排除舞弊或“内部人”控制现象。三是消除“透明度”不高的经营活动中的重大隐患,当前企业的经营活动中,在物资采购招标中,暗箱操作和陪标、串标时有发生;在员工招聘中仍有“只唯亲不唯贤”;在资金审批使用中“权钱交易”屡见不鲜,出现了“越是透明的地方越不透明”的怪现象。因而,在这些经营活动中无论成本多大,风险审计也要正常进行,揭露问题,避免发生重大舞弊行为,影响企业发展。
(四)风险审计与内部管理控制要形成互补关系
1、完善管理制度,降低审计风险。尽管各个企业在内部组织结构控制、授权批准控制、人员素质控制、预算控制、风险控制、信息系统控制等方面控制的侧重点不一样,但有一点是相同的,即为实现企业内部所要控制的管理目标。而在市场多变、各种变数加大的情况下,企业内部的管理制度中应将风险控制作为首要内容不断完善,因为内控制度越健全,审计测试的范围就越小,风险也越小。这种关系决定了企业必须完善各项内部管理制度建设,提高内控效果。
2、建立两者之间的“强强”互补关系。从作用上看,内部管理控制是企业管理工作的基础,风险审计是防范企业风险的预警系统,要逐步建立一种在“管理过程中控制、在风险发生前防范”的运行模式,通过内部管理制度的硬“基础”来提供风险管理平台。同时,通过风险审计发现化解各类风险,解决内控制度中“循章不力”和“应为而不为”的弊端。使两者在规范企业经营行为,保障经济安全运行上发挥“强强”联合的推动作用。
3、风险审计要推动内部管理控制的发展。一个有效的风险审计系统,要从三个方面促进内部管理控制的发展。一是在内部管理制度的建立上将可能预计发生的风险通过风险系统予以防范;二是对内部管理制度执行过程中的偏移行为予以揭示,及时纠偏;三是在内部管理制度执行结果出现失误时,及时进行更正,减少损失。
查看更多关于审计指导:谈企业经营管理中的风险审计的文章
