内部审计参与企业风险管理的模式研究.docx

内部审计参与企业风险管理的模式研究 摘要：内部审计越来越关注风险，也是风险管理的重要组成部分。针对中国企业风险管理、信息外漏的现状,内部审计与提高企业风险管理的问题研究具有重要现实意义。内部审计与企业风险管理密不可分。完善公司内部审计是防范企业风险管理的关键措施。本文首先分析了内部审计与风险管理的关系,其次指出内部审计参与风险管理的动因、内部审计参与风险管理的独特优势，最后就内部审计参与风险管理的模式提出几点建议。内部审计对我国公司企业的风险管理起着至关重要的作用，为此，我国公司企业当重视这一问题，努力改变公司风险管理的现状，提高内部审计质量。 下载 关键词：审计 风险管理 公司治理 2001年，国际内部审计师协会(IIA)在其制定并修改的内部审计实务标准及职责说明中认定:“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。”这一定义将内部审计的范围延伸到了风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。风险管理已发展成为内部审计的一项重要内容。而2004年6月在悉尼召开的国际内部审计师协会第六十三届大会上，风险管理也与公司治理、企业文化一起成为此次大会的三大议题之一。由此看来，正如众多专家学者所预测的那样，风险管理正成为内部审计发展的重要趋势之一。并且，风险管理与内部审计已发展为你中有我、我中有你、相互依存、联动发展的紧密关系。 从发展趋势来看，内部审计不仅越来越关注风险，同时，也是风险管理的重要组成部分。内部审计更强调确认经营风险是否得到有效管理，由对交易事项和政策遵循的评价，转变为对目标、战略和风险管理程序的关注，内部审计的建议更加强调风险的规避、风险转移和风险控制，通过有效的风险管理提高组织整体管理的效果和效率。IIA将“评价和改进风险管理、控制和治理过程的效果”作为内部审计的重要职责，视风险管理为内部审计的推动力，是国际内部审计几十年苦苦探索的经验总结，更为内部审计未来发展指明了努力的方向。 一、内部审计与风险管理的关系 （一）内部审计是风险管理系统不可或缺的部分 由于风险正逐渐成为企业的核心价值，风险管理便成了企业管理的重要内容。企业风险管理是一项综合性较强、全员参与的工作，内部审计也是这一管理体系中的重要组成部分。由于在企业组织结构中具有相对独立的地位，使内部审计发挥的作用是企业其他部门无法替代的。美国COSO委员会发布的“企业风险管理(ERM)框架”中指出:内部审计人员在企业风险管理的监控中占有重要地位，这一职责是其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。而具体到风险管理的每一步骤，会发现处处都少不了内部审计的身影: 1在风险环境分析中，内部审计要评价单位的固有风险和剩余风险(采取控制行动后可接受的风险)。2.在风险事件识别活动中，内部审计人员采用通用风险分析模式及方法，包括COSO提供的分析方法等，识别单位本身风险和重要合作者的风险。3.在风险评估活动中，内部审计人员由于特有的独立地位，可以从客观的角度分析风险的假设条件、计算方法来评价风险，提供专业意见。4.在风险反应活动中，内部审计的工作在于分析评价风险回报的合理性、减少风险的措施的有效性，以及接受风险转移和风险分担的哪一种。5.在风险控制活动中，内部审计则是测试控制程序的有效性。6.在风险信息沟通活动中，内部审计可通过评价报告系统，证明风险信息是否准确及时地传给相关人员，内审报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。7.在风险监控活动中，内审人员则可以通过分析环境和风险变化，检查内部控制是否已更新，是否能控制新的风险。 （二）风险管理是内部审计实务准则的重要内容 内部审计实务准则是内部审计人员开展内审活动的业务指南，一般由国际内部审计师协会(IIA)发布权威标准，各国内审协会再结合本国实际发布本地区的实务标准。内部审计自参与到企业风险管理活动后，为自身行业的业务职能充实了新的内容，并产生了积极意义。现在许多公司的内部审计通过积极参与企业风险管理活动，给公司的经营带来众多好处:一是内部审计人员通过获取广泛的公司风险信息，提高了自身审计效率;二是通过参与风险管理，使内部审计人员逐渐培养了作为企业管理者的意识，而不仅仅只是监督者，从而使他们在内部审计过程中，更多的是以公司的经营目标为起点，而不再是以预先制定的审计目标为起点。IIA根据内部审计实务界的实践经验，也发现了内部审计逐渐参与企业风险管理的这一趋势，并于2001年发布的内部审计实务准则中指出:“首席审计执行官必须建立以风险为基础的计划来决定审计活动的优先性，并且与公司目标相协调一致”，“内部审计活动的参与计划必须以至少一年一次的风险评估为基础。”并对内部审计重新给出新定义:“内部审计是采用一种系统化、规范化的方法来进行对机构的风险管理、控制及监督过程进行评价，进而提高过程效率，帮助机构实现目标。”这是IIA首次将风险管理放在如此重要的地位来做为内部审计的工作内容进行描述。可以预见，随着风险管理与内部审计交叉融合的程度进一步加深，风险管理的内容在内部审计实务准则中将会占有更大的比重。 （三）风险管理将主导内部审计的变化 风险环境是不断变化的，而风险管理方法也随之不断更新。内部审计尽管在企业风险管理中占有较重要的地位，但其职能定位限制了其不能成为风险管理的主导者。因为内部审计在风险管理系统中主要承担评估和建议职能，即使参与风险管理方法和政策的制订过程，也只能是配合企业专业的风险管理部门，或是向其提出参考意见。这样，风险管理政策的变化一般会发生在内部审计技术变化和更新的前面，也就是说，风险管理的变化会主导着内部审计的变化。譬如，内部审计之所以参与到企业风险管理中，并与之互相交叉融合，一方面是自身在风险管理方面的积极探索，更重要的是风险管理正需要内部审计这一评估部门对企业整个风险管理系统的有效性加以监控，是应风险管理需要而产生。当然，随着内部审计职能范围的扩充和强化，内部审计也会在一定程度上反过来影响风险管理体系的改变，但在未来的相当一段时间内，这一反作用还将只会处于从属地位。 二、内部审计参与风险管理的动因 内部审计之所以涉足风险管理领域，我认为主要有以下三个原因： （一）企业面临的风险日益增大 当今世界，风险无时不在，无处不在。近年来，随着社会经济的发展，特别是经济全球化及国际化程度的加深，使企业经营环境变得日趋复杂，企业经营风险也大大增加。知识经济的到来，更使企业的风险雪上加霜。一是科技的进步，给人们带来科技应用好处的同时，也带来的自然环境的日益破坏，使企业在所处的自然环境风险频率和风险程度都急剧上升。二是各种衍生金融工具的诞生，促使经济发展的同时，也鼓吹了各种泡沫，并伴生众多金融风险。因此，加强对风险的控制和管理自然成了企业管理的重中之重。企业经营者必须树立风险意识，把减少企业的风险作为实现企业目标的关键。今天，企业对于防范可能发生的风险与损失以及发生风险后如何采取补救措施，比以往任何时候都更加重视。从而要求企业对其自身存在和所面临的各种风险以及可能存在和发生的重大风险进行识别、衡量、评价，并在此基础上制定和实施对企业最优化的风险处理方案。风险管理是企业管理的重中之重，内部审计部门作为企业一个拥有相对独立地位的职能部门，它的根本目的在于增加组织的价值和改善组织的经营效率，内部审计人员是企业的管理咨询师，因此，内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。 （二）内部审计自身发展的需要 随着民间审计的业务领域不断向企业内部管理扩展，他们的工作已经与内部审计发生了重叠。基于注册会计师的专家优势和成本考虑，越来越多的企业倾向将内部审计业务外包。生存危机使得内部审计必须寻求差异化的生存方式，为了在企业中担当更重要的角色和发挥更重要的作用，为企业提供独特的增值服务，内部审计总是不断寻找新的对企业十分重要的服务领域。企业经理人员对风险的空前重视，为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个重要的角色，并将其在企业中的作用推向一个新水平。正因如此，内部审计师的职业组织国际内部审计师协会，才会不遗余力地倡导内部审计师进军这一领域，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。 （三）外部审计的影响 近年来，注册会计师的业务领域不断扩展，在其所扩展的新的保证服务业务中就包括了风险评估，且是主要业务之一。这不能不对内部审计界产生影响，因为，内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势，比如：内部审计部门和内部审计人员对企业面临的风险更了解；内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务，内部审计就更可以从事这一工作。所以内部审计工作在企业的风险管理方面发挥着越来越重要的作用。 三、内部审计参与风险管理的独特优势 内部审计在风险管理中的独特优势有： （一）能够客观地、从全局的角度管理风险 风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企业陷入困境。正因为如此，企业的有些部门可能会出现过渡风险，因为风险不是由这些部门来承担（至少不是单独承担），如采购部门为节约采购成本，就会忽视对材料规格、型号、质量方面的检查，或者有意购买残次品，这种暗藏的风险会在生产车间或销售部门反映出来，最终给企业造成巨大损失。因此对风险的认识、防范和控制需要从全局考虑，但各业务部门又很难做到这一点。而内部审计具有相对的独立性，受单位主要负责人的直接领导，这使得它们可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。 （二）能够控制、指导企业的风险管理策略 随着信息时代的到来,外部环境风险因素日益多样化、复杂化,识别、衡量、管理新型风险成为外部环境对现代企业提出的新要求。目前许多企业远未从粗放型经营战略中摆脱出来,财务和资金运作未按照法律要求进行。随着现代企业和国际接轨的步伐加大，这些必将给企业的经营带来更多、更大的风险。要保证现代企业在新环境下的合理生存和有效发展,防范风险十分重要。一种完善的内部审计机制将极大地推动内部控制机制,它通过查错纠弊、揭露企业经营活动中的控制薄弱环节、揭示风险概率较大的关键控制点、提出改进建议,达到企业的自我制约、自我改善、自我发展、自我积累。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节，内部审计人员可以调控、指导企业的风险管理策略。 （三）内部审计部门的建议更易引起企业高层领导的重视 有些企业尽管也有风险管理部门，但它属于管理部门的一个职能部门，向总经理报告，不具有独立性，其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资，而总经理好大喜功，他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门，其风险评估的意见可以直接报给董事会，这会加强管理当局对内部审计部门意见的重视程度。 (四)内部审计对防范组织风险、实现组织目标有更强的责任感 国际内部审计师协会对内部审计职能有如下明确定义:“内部审计是一项独立的、客观的保证和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。”可见,内部审计深入到经营管理的全过程去了解掌握具体情况,及时的发现和处理问题,防范和化解企业所面临的风险是其本职工作的要求。内部审计通过经常性的调查、分析、评估和预测,弄清问题产生的原因或未来影响,及时向管理当局提出解决或防范的建议,或随时接受他们的咨询,可以帮助企业改善风险管理,增加企业价值。 四、内部审计参与风险管理的模式 内部审计实务标准对内部审计的定义：内部审计是一种独立、客观的保证咨询活动，目的是为组织增加价值并提高组织的运作效率。它采用系统化规范化的方法对风险管理、控制、及治理程序进行评估和改善，从而帮助组织实现其目标。作为一种独立客观的保证和咨询活动，内部审计在企业风险管理中的主要职能是就风险管理的效率向企业的管理层和董事会提供客观的保证，具体应体现在以下两个方面：一方面评价风险管理程序设计的合理性及执行的有效性；另一方面评价管理层对重大风险所采用的反应方案的合理性及控制的有效性。此外，在保证独立性和客观性的前提下，内部审计可以适当延伸风险管理领域，开展部分咨询活动，如运用管理工具、技术来分析风险和控制，协助管理层选择最佳的风险管理方案等等。 与一般的风险管理部门进行的风险管理相比，内部审计部门所进行的风险管理既与其有紧密的联系，又有区别。他们的联系表现在，两者的目的是统一的，都是为了降低企业的风险，确保企业经营战略目标的实现；两者的区别在于他们在风险管理中的角色不同。正是上述的联系和区别，导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督，所以在内部审计部门参与企业风险管理工作中更应该采取积极有效的措施： （一）参与企业建立风险管理过程 内部审计在企业尚未建立风险管理过程中，应积极向管理层提出建立风险管理过程的相关建议。包括参与制定风险战略,指导风险评估和风险分析,协调实施风险管理措施等。内部审计人员长期立足于本企业的具体岗位，比较熟悉企业的经营业务并能随时深入到生产经营的全过程去了解和掌握具体情况。通过周密的审前调查，收集到大量的第一手资料，从而发现风险存在的隐患问题，并对其进行风险分析。而内部审计部门的审计工作计划通常是在风险分析的基础上，根据重要性和效益性原则制定出来的，所以，内部审计人员的建议比较有建设性。如果管理层建立了风险管理过程,那么来自于综合性风险管理过程的信息，将有助于内部审计人员更快地制定审计工作计划，提高工作效率。 （二)通过咨询服务的方式,积极协助企业风险管理过程的建立 内部审计可以通过咨询服务的方式协助企业建立风险管理系统。风险管理是一个复杂的系统工程，在一个组织的内部各部门应当明确分工，各司其职。内部审计在这方面的作用包括：1.进行控制和风险的评估培训。使风险意识贯穿于企业的各个层面，并使企业的每名员工都能识别风险并提出有效控制措施实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估主题讨论会。针对重大风险隐患，要集合企业内外的专家进行专题讨论，审计人员既是组织者，又是参加者，同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具，内部审计师可以促进，协助风险管理过程的建立，但不负风险管理的责任。 （三）评估风险识别的充分性 所谓风险识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程，换言之，就是要确定企业正在或将要面临哪些风险。内部审计部门和人员应该对风险识别过程进行审查和评价，重点关注企业所面临的内外部风险是否得到充分、适当的确认，即企业所面临的主要风险是否均已被识别出来，并找出未被识别出来的主要风险。一般采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分析、保险调查法和专家调查法等。在不同的时期风险的表现又是多样性的，往往不能被完全识别出来，决策时顾此失彼的现象时有发生，导致企业的最终目标难以实现。审计部门有必要运用专门的方法，把管理者忽视的风险一一找出来，对经营目标的影响程度加以认真的分析，提醒管理者拿出办法，控制风险。 （四）评价已有风险衡量的恰当性 风险评估是指运用各种管理科学技术，采用定性与定量相结合的方法，最终定量风险的大小，找出主要的风险源，并评价风险的可能影响，以便以此为依据，对风险采取相应的对策。内部审计部门和人员应该对风险的评估方法和结果的恰当性做出相应的评价，以确定其恰当性，对不恰当的估计予以更正。企业风险评估中要重点关注两个因素：1.风险发生的可能性。是指影响组织目标实现的不确定事件发生的可能性。这种可能性可以用定性的方法表示，也可以用定量的方法表示。用定性的方法来描述风险发生的可能性比较容易简单，但比较容易受主观因素的影响很大不太精确。而定量方法往往需要借助一些特别的数理统计模型，应用难度较大，但描述相对精确，也相对比较客观。2.风险对组织目标实现产生影响的严重程度。它是指不确定事件发生时对组织目标带来的影响程度。风险的严重程度可以用定量和定性的方法表示，定量一般用金额来估计风险能带来的后果；定性可以用后果严重、中等、不严重来描述。定量的方式比较准确，也容易汇总，但并非适用于所有情况；定性方式相对简单，但是比较粗略，主观。 风险评估必须同时注重以上两个方面的因素，充分考虑各方面的情况选择合适的方法做出评价结论。而风险的大小是由上述两方面的因素结合作用的结果。如果某种风险发生的可能性很大，但后果不是很严重，那么这种风险就不是很严重的风险；如果某种风险虽然后果很严重但是发生的可能性很小，那么这种风险也不是很严重的风险。 内部审计人员还应该对风险评估方法进行审查和评价，审查和评估时应考虑以下因素：1.已识别风险的特征2.相关历史数据的充分性和可靠性3.管理层进行风险评估的技术能力4.成本效益的考核与衡量。 (五)评估风险防范措施的充分性，并提出改进意见 风险的应对措施是指为降低已识别出并已衡量的风险所采取的措施。也称风险管理工具的选择。企业风险管理采取的风险应对措施主要有：1.风险规避，不作为。对与组织经营目标根本不相容的业务，为规避风险，在业务上根本不予涉及。2.保留或承担。当某种风险不可避免，或因敢冒风险可获丰厚利润时，由自己保留承担的风险。有主动和被动之分，被动保留是不知风险的存在而未采取措施，或明知风险存在而没有采取有效措施；主动保留是明知风险存在而无适当办法处理，或因自己承担风险较其他方法更为经济，或因风险较小自己有能力承担。3.预防与抑制。与其他风险处理的方法在性质上稍有不同，是直接面对风险因素而采取措施，以减少损失的发生。预防是消除或减少损失发生的原因；抑制是当预防措施不能充分发挥作用时，力求损失严重程度减轻。4.风险的中和。是将损失机会和获利机会平等看待的方法，比如“套购”（现买现卖）就是风险中和最显著的操作方法。5.风险转移。一般有直接和间接方法，直接的有如转让、转包等方法；间接方法有如租赁，保证、保险等。6.集合或分散，如企业的合并、分立或剥离。 内部审计部门和人员在评价风险应对措施时应考虑如下因素：1.采取的风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内。2.采取的风险应对措施是否适合本企业的经营、管理特点。除了风险应对措施是有效性之外。风险应对措施还应强调适当性。3.风险管理是有成本的，风险应对措施是否适当还应衡量其成本效益性。 (六)积极持续地对风险管理过程进行管理和协调 在现代企业制度下,内部审计被看作是与董事会、管理层、外部审计构成有效公司治理的四大基石之一。内部审计可以在改善管理层的风险管理流程的效果和效率方面，协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理的控制和流程负责。内部审计的主要职能是对风险管理和控制流程进行监督和评价，通过对评价过程中发现的管理上的漏洞，向管理层提出改进意见，可以促进管理水平的提高。内部审计要采取系统化、规范化的方法对风险管理进行评价和改善,从而帮助组织实现其目标。内部审计可以通过监测活动并报告情况的方式确认企业的风险管理过程是否着眼于以下目标: 1.业务战略与活动领域的风险并进行优先排序； 2.董事会和管理层已经确定了公司的战略计划以及可以接受的风险水平； 3.实施了降低风险的活