(壹)企業戰略制定中缺乏風險觀念
企業在制定發展戰略、經營戰略、管理戰略等重大戰略的過程中,在管理控制的總體框架內,明確了具體的目標、方法和措施。事實上,企業在制定發展戰略上存在投資風險和財務風險,在經營戰略上存在營銷風險、產品風險和品牌風險,在管理決策上存在組織風險、業務風險和人員風險。只要上述任何壹種策略形成風險,都會帶來企業失去競爭力,陷入經營困境或倒閉或破產。這樣的例子在企業中比比皆是,原因各不相同,但有壹點是肯定的:沒有進行風險審計的企業比進行了風險審計的企業更容易失敗。
(二)管理控制中缺乏風險管理設計
(1)缺乏對外部風險的設計。對企業經營活動有重大影響的外部環境因素主要包括市場因素、政策因素和法律因素。如果企業內部管理控制沒有對上述風險進行系統的控制,企業的經營風險肯定會大大增加。(2)缺乏防範內部風險的設計。壹是企業在投資、生產、營銷、分銷等環節的授權不當或失控,破壞了原有的內部控制。二是在人、財、物的價值管理上,有的人貪財失德,* * *涉腐盜竊企業財產,使內部控制形同虛設。第三,在營銷、授權、信息處理、完整性等管理控制方面缺乏相互制約,使得管理體系的實施“形同虛設”。第四,企業內部個別部門在執行內部管理制度時出現“不該做”或“不該做”,使得舞弊和失控現象頻繁發生,削弱了控制效率,暴露了風險管理設計的弱點。
(3)企業的異常活動超出了管理控制的設計範圍。
(1)與業務活動相關聯。主要體現在客戶在營銷中以物料沖抵債務時,物料錄入的內控要經過專業的評估、定價和驗收。當生產中采用外購半成品代替自制半成品時,管理程序還涉及到投資、采購、生產調度等部門審核權的變更;品牌上的OEM銷售不受正常管理控制的覆蓋;財務上,大額承兌匯票貼現超出正常內控範圍;涉及企業兼並、重組和破產清算的行為更具獨立性和可操作性。(2)與成本控制相關聯。內部控制的壹個基本原則是內部控制的成本不應大於其預期收益。但在實際工作中,有些控制成本和收益需要靠個人主觀判斷來設計,這是不確定的,主觀判斷失誤會使控制效果變差。比如,銷售客戶較多的企業在檢查應收賬款的過程中,大多不采取挨家挨戶檢查的方式,往往會確定壹個可接受的風險限額供管理層檢查,但這必然會增加內部控制的風險。此外,在母子公司授權中,為了避免集權帶來的高額內部交易成本,母公司壹般采取加大分權的做法,增加內部控制風險。
二、如何有效實施內部控制活動的風險審計
(壹)正確看待風險審計在企業管理活動中的作用
由於企業處於不同時空的不同環境中,面臨著各種風險,這些風險對組織目標的實現有不同程度的影響。風險導向審計是從組織面臨的風險的角度來判斷內部控制制度的設計和執行情況,評價公司治理方案,識別內部控制設計是否健全,關鍵控制點機制是否有效,薄弱環節是否得到控制,治理改進措施是否可行,評價風險管控對組織目標實現的影響。同時,風險審計工作從開始到後續審查都與組織系統目標相協調,保證和提高管理效果的審計質量。
(二)從戰略發展的角度建立風險審計框架。
1.風險審計框架的建立。當前風險審計理論的結構模型是:確定範圍、識別風險、評估風險、處理風險、溝通協商、監控審計。從管理活動和決策過程中的控制來看,既有戰略的,也有戰術的。但從企業戰略發展的角度來看,需要對投資、市場、融資等戰略決策進行風險管理和審計,也需要在這些領域建立風險審計框架,最大限度地降低企業各項經營決策的風險。
2.嚴格的風險審計操作程序。企業的風險審計項目主要通過風險範圍、風險識別與評估、風險控制和風險報告等程序完成。首先要關註風險的範圍,充分了解和掌握企業的組織結構、業務範圍和經營目標,找出風險點;其次,設計了風險評價體系,通過定量指標和定性指標確定風險程度;第三,積極防範風險,通過風險規避、風險控制和風險轉移,防範環境風險、流程風險和信息風險的發生。
(三)風險審計的關鍵環節
現代企業的風險主要來源於經營環境的變化、新人員的聘用、新的或改進的信息系統的采用、新技術的應用、新行業、新產品或經營活動的開發、企業的重組、海外經營和新會計方法的應用。結合當前企業實際,風險審計應重點關註以下幾個方面:
1,營銷。營銷風險主要來自需求變化、環境變化、競爭對手、營銷人員等。審計首先要識別風險,即哪些外部因素會造成市場份額的下降和客戶不滿的增加;哪些內部因素會影響銷售管理行為,降低內部控制的效果。風險識別後,需要評估風險等級,即如果風險得不到控制和糾正,損失會有多大,損害是致命的還是壹般的。營銷風險審計的重點是控制和報告。對企業造成重大危險的營銷隱患必須及時上報,並提出預防和糾正措施。應提醒管理層壹般風險或壹般風險。
2.資本控制。資金風險主要表現在資金結構不合理,負債大於自有資金,盲目集資,資金使用無計劃,資金積壓沈澱。風險審計是在資金流運作的全過程中提醒企業註意資金風險和潛在誘因,特別是對於負債高、經營不穩定、資金長期短缺的企業,要從本質上識別其風險來源,評估風險程度,提出有針對性的防範措施。即檢查投資是否嚴格控制,資金管理是否實行有償占用制度,應收控制是否明確總額控制和壞賬補償制度,資金日常調度是否執行了資金收支計劃。
3.品牌擴張。目前,有些企業為了擴大產品知名度和銷量,采取貼牌銷售的方式,有些企業在品牌價值和商標價值不對等的情況下,將產品的商標作為品牌進行延伸。品牌延伸的風險來自於品牌創建、品牌市場定位和品牌運營。風險審計的首要任務是客觀評價現有品牌和產品商標在市場上的認知度和客戶的接受度;二是分析市場上品牌與商標之間是否存在沖突或互損;第三,品牌運營中是否建立與產品供應商的質量保證鏈體系和與銷售代理商簽訂的品牌使用約束制度。
4.組織和人力資源。企業的組織結構和員工素質是企業內在動力的重要體現。通過風險審計應達到以下目的:壹是發揮部門職能,主要檢查組織結構設計和管理範圍是否滿足企業集權和分權的需要,部門職能是否重疊、重復或脫節,管理活動是否得到適當授權;二是團隊合作,評價中高層管理者對本部門工作的適應能力、溝通能力、縱橫合作能力等個人素質;檢查各部門的團隊合作和工作能力是否強,整體工作效率如何;評價員工對企業的忠誠度,對企業文化的接受程度和表現程度,對員工的激勵和懲罰手段,員工潛在能力的發揮情況。
5.成本控制。成本是目前企業提升市場競爭力的發展戰略,不同的企業在成本控制上采取不同的控制方法。如標準成本控制法、定額成本控制法、目標成本控制法、作業成本控制法等。無論采用何種方法,風險審計的第壹步都是考察指標設置是否先進合理,與企業日歷、行業先進指標對比後,在成本控制指標上充分體現其先進性和合理性,否則無法達到控制效果;第二,檢查控制指標是否體現科技降本。各種形式的技術改造、工藝創新和材料精制是降低成本的重要途徑,應占降低成本的60%以上;三是考察成本考核是否剛性、及時,任何制度只有嚴格、及時考核才能體現其效果。
6.稅務風險。大部分企業每年都要被稅務機關在非主觀因素方面查賬,從幾萬元到幾百萬元不等。防範稅務風險造成的損失是風險審計的“重中之重”。首先,嚴格繳納增值稅。檢查銷項稅繳納是否規範,從形成的銷售收入或實現的銷售行為檢查繳納的稅款是否完整、足額;檢查進項稅抵扣是否準確,是否存在“該抵扣的不抵扣,該抵扣的不抵扣”等現象。其次,規範所得稅行為。審計時可以設計專門的表格,對成本費用要素的項目進行逐項檢查,是否存在不符合國家稅法規定的稅前支出。第三,進行節稅規劃。風險審計除了防範稅收風險,還應積極增加企業節稅收入,在符合稅法的前提下,認真識別經營行為與納稅行為的不壹致之處,合理節稅,降低稅收成本;特別是要認真分析混合銷售行為、合資行為、資產重組等壹些納稅行為,尋求節稅空間。
7.會計信息。虛假、失真的會計信息是困擾企業的“頑疾”,以至於會計報表出現“專家看不懂,領導看數字,外人不信”。會計信息真實性風險審計是對經營成果真實性的審計,主要運用傳統審計方法判斷收入、利潤和成本指標的真實性,客觀反映企業的經營業績;二是審計財務狀況的真實性,企業的資產、負債和股東權益是否真實,有無人為調整行為;三是基礎審計工作的規範性,重點關註運用會計政策、會計估計等技術手段調整成本和利潤,高估或低估資產和負債,會計內部控制制度是否健全,會計業務處理是否堅持不相容職務分離制度。
8.風險和收益。企業在管理控制上有壹個成本效益原則,應該堅持。既不能因為節約成本而削弱內控、增加風險,也不能盲目追求制度完善、增加成本。在以下情況下,必須堅持風險審計第壹,成本效益第二。第壹,社會效益和環保效益大於企業的直接經濟效益。例如,企業在某些原材料資源配置上的投資雖然可以獲得很大的收益,但會破壞國家對這種資源的綜合利用;其他產品利潤很高,但是汙染給國家和群眾造成了很大的損害。在這種情況下,有必要通過風險審計做出註重社會效益和環境效益的評估結論。二是存在“內部人”控制,比如企業異地分支機構的銀行結算賬戶不清晰,混亂。如果僅從成本效益的角度來看,風險審計是可以避免的,只需要嚴格的制度和規範的行為。但從防範深層次風險的角度出發,必須通過風險審計徹底杜絕欺詐或“內部人”控制。三是消除透明度低的經營活動中的重大隱患。目前,在企業的經營活動中,在物資采購招標中,暗箱操作、圍標串標的情況時有發生;員工招聘仍然存在“任人唯親,不唯才是舉”;在資金的審批和使用上,“權錢交易”屢見不鮮,出現了“越透明的地方越不透明”的怪現象。因此,在這些經營活動中,無論成本如何,都要正常進行風險審計,暴露問題,避免重大舞弊,影響企業發展。
(D)風險審計和內部管理控制應形成互補關系。
1.完善管理制度,降低審計風險。雖然每個企業對內部組織架構控制、授權審批控制、人員素質控制、預算控制、風險控制、信息系統控制的側重點不同,但有壹點是相同的,那就是實現企業內部要控制的管理目標。但在市場不斷變化、變量不斷增加的情況下,風險控制應該是企業內部管理制度中的首要內容,因為內控制度越完善,審計測試的範圍就越小,風險也就越小。這種關系決定了企業必須完善各項內部管理制度建設,提高內部控制效果。
2.在它們之間建立壹種“強有力的”互補關系。從功能上看,內部管理控制是企業管理的基礎,風險審計是防範企業風險的預警系統。要逐步建立“管理過程中控制,風險發生前防範”的運營模式,通過內部管理制度的硬“基礎”提供風險管理平臺。同時,通過風險審計發現,各類風險都是可以化解的,內部控制制度中“有章不循”、“該幹嘛幹嘛”的弊端也是可以解決的。使二者在規範企業經營行為、保障經濟安全運行方面發揮“強而有力”的合力作用。
3.風險審計應促進內部管理控制的發展。壹個有效的風險審計體系應該從三個方面促進內部管理控制的發展。壹是在內部管理制度的建立上,通過風險制度來防範可能預期發生的風險;二是揭示內部管理制度執行中的偏差行為並及時糾正;第三,當內部管理制度執行出現錯誤時,及時糾正,減少損失。