风险管理与内部审计毕业论文.pdf

山东工商学院 2012 届毕业论文 1 2001 年，国际内部审计师协会(IIA)在其制定并修改的内部审计实务标准及 职责说明中认定： “内部审计是一种独立、客观的保证和咨询活动。其目的在于 为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进 风险管理、控制及治理过程的效果，帮助组织实现其目标。 ”这一定义将内部审计的 范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的 有效性进行评价和改善所必需的。风险管理已发展成为内部审计的一项重要内容。从 发展趋势来看， 内部审计不仅越来越关注风险， 同时， 也是风险管理的重要组成部分。 但在我国内部审计工作中，内部审计参与风险管理的程度不高，在执行过程中存在许 多问题，企业应对使内部审计全面参与到风险管理中这项新挑战还需要不懈努力。 一、风险管理与内部审计概述一、风险管理与内部审计概述 (一一)风险及风险管理的界定风险及风险管理的界定 风险在英文词典中的定义是“遭受损失或伤害的机会或可能性” ，与风险相联的 另一个概念是不确定性，即人们事先只知道采取某种行动可能形成的结果，以及这些 结果出现的概率，或两者都不知道，而只能作粗略的估计。所以，就有风险的定义为， 风险指可能对目标的实现产生影响的事件发生的不确定性1。20 世纪以来，风险定义 可分为两类：狭义风险和广义风险。狭义风险是指损失的不确定性；广义风险不仅指 损失的不确定性，还包括盈利的不确定性。从众多风险定义来看，人们往往倾向于狭 义定义，这是因为与收益相比，人们更警惕损失。美国的阿瑟威廉姆斯等在风险 管理与保险一书中，把风险定义为： “在给定的情况下和特定的时间内，那些可能 发生的结果间的差异。如果肯定只有一个结果发生，则差异为零，风险为零；如果有 多种可能结果， 则有风险， 且差异越大， 风险越大。 ” 本文遵循国际内部审计师协会(IIA) 对风险的定义：风险是指发生某种影响目标完成的事件的不确定性2。 风险管理作为一种特殊的管理功能，它是人类为追求安全和幸福的目标，结合前 人的经验和近代的科学成就而发展起来的一门新的管理科学。对什么是风险管理，一 些学者提出了自己的看法，两位美国学者威廉斯和理查德汉斯认为，风险管理是通 过对风险的鉴定、衡量和控制，以最低的成本使风险所造成的损失控制在最低程度的 管理方法；我国的陈佳贵认为，风险管理是企业通过对潜在意外或损失的识别、衡量 和分析，并在此基础上进行有效的控制，用最经济合理的方法处理风险，以实现最大 的安全保障的科学管理方法。COSO 对风险管理作了如下定义： “全面风险管理是一 个过程。这个过程受董事会、管理层和其他人员的影响，从企业战略制定一直贯穿到 企业的各项活动中，用于识别那些可能影响企业的潜在事件和管理风险，使之在企业 的风险偏好之内，从而合理确保企业取得既定的目标” 。根据以上风险管理的定义， 山东工商学院 2012 届毕业论文 2 我们可以得出以下几点认识：第一，风险管理是一个系统过程，包括风险的识别、衡 量和控制等环节；第二，风险管理的目标在于控制和减少损失，提高有关单位或个人 的经济利益或社会效果；第三，风险管理是一种管理方法3。 (二二)内部审计与风险管理的关系内部审计与风险管理的关系 1.内部审计是风险管理系统不可或缺的部分 企业风险管理是一项综合性较强、全员参与的工作，内部审计也是这一管理体系 中的重要组成部分。由于在企业组织结构中具有相对独立的地位，使内部审计发挥的 作用是企业其他部门无法替代的作用。 （1）在风险环境分析中，需要内部审计评价单位的固有风险和剩余风险(采取控 制行动后可接受的风险)。 （2）在风险事件识别活动中，需要内部审计人员采用通用风险分析模式及方法， 包括 COSO 提供的分析方法等，识别单位本身风险和重要合作者的风险。 （3）在风险评估活动中，由于内部审计人员拥有的特殊的独立地位，可以从客 观的角度分析风险的假设条件、计算方法来评价风险，提供专业意见。 （4）在风险反应活动中，内部审计的工作在于分析评价风险回报的合理性、减 少风险的措施的有效性，以及接受风险转移和风险分担的哪一种。 （5）在风险控制活动中，内部审计则是测试控制程序的有效性。 （6）在风险信息沟通活动中，内部审计可通过评价报告系统，证明风险信息是 否准确及时地传给相关人员，内审报告可以向董事会和审计委员会传递风险是否得到 有效管理的信息。 （7）在风险监控活动中，内审人员则可以通过分析环境和风险变化，检查内部 控制是否已更新，是否能控制新的风险。 2.风险管理是内部审计实务准则的重要内容 内部审计实务准则是内部审计人员开展内审活动的业务指南，一般由国际内 部审计师协会(IIA)发布权威标准，各国内审协会再结合本国实际发布本地区的实务标 准。内部审计参与到企业风险管理活动后，为自身行业的业务职能充实了新的内容， 并产生了积极意义。IIA 根据内部审计实务界的实践经验，发现了内部审计参与企业 风险管理的这一趋势，并于 2001 年发布的内部审计实务标准中指出： “首席审计 执行官必须建立以风险为基础的计划来决定审计活动的优先性，并且与公司目标相协 调一致” “内部审计活动的参与计划必须以至少一年一次的风险评估为基础。 ”并对 内部审计重新给出新定义： “内部审计是采用一种系统化、规范化的方法来进行对机 构的风险管理、控制及监督过程进行评价，进而提高过程效率，帮助机构实现目标。 ” 这 IIA 首次将风险管理放在如此重要的地位来作为内部审计的工作内容进行描述。 3.风险管理将主导内部审计的变化 山东工商学院 2012 届毕业论文 3 企业的风险环境在不断的变化，风险管理方式方法也随之不断更新。虽然内部审 计在企业风险管理中占有比较重要的地位，但其职能定位限制了其不能成为风险管理 的主导者。因为内部审计在风险管理的过程中主要承担评价和监督职能，即使参与风 险管理方法和政策的制订过程，也只能是配合企业专门的风险管理部门的工作，或是 向其提出参考意见。风险管理环境的变化一般会发生在内部审计技术变化和更新之 前，即风险管理的变化会主导内部审计的变化。当风险管理迈入了每一新的阶段，将 必然引导内部审计发生新的变革，以适应风险管理的需要。 (三三)内部审计在风险管理中的角色内部审计在风险管理中的角色 内部审计师协会（IIA）在 2004 年 9 月发布的内部审计在企业风险管理中的角 色意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性 向董事会提供客观保证，以帮助确信关键商业风险被正确管理及内控系统有效运转。 因此，内部审计在企业风险管理框架中首要角色是监督者。按 IIA 的标准，内部审计 的服务种类可以划分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提 供建议及咨询的活动。 在企业风险管理中， 内部审计的本质特征并不发生改变， 因而， 它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服 务外，内部审计还可提供咨询服务，包括促进对风险的识别和评估、指导和协调风险 管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与 制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者等角色。 内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过 程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管 理的建议；在组织实施风险管理的初期，内部审计能够发挥很大的协调作用；而当企 业风险管理逐步成熟运作稳定以后，内部审计就从建议者、协调者转化成监督者和咨 询者4。内部审计的独立性越强，就越能够从全局和战略角度参与企业风险管理；反 之，只要内部审计执行的任务涉及履行管理职责，就应认为与此领域有关的审计客观 性受到了损害。 特别需要强调的是，为保证独立性和客观性，内部审计并不对建立企业风险管理 体系承担主要责任，风险管理责任应由管理层承担。 二、内部审计参与风险管理的动因二、内部审计参与风险管理的动因 (一一)企业竞争的需要企业竞争的需要 当今世界，风险无时不在、无处不在。一是各种投机产品层出不穷，企业投资欲 望膨胀，促进经济发展的同时，也鼓吹了各种泡沫，并伴生众多精英风险。一方面为 企业的收益途径提供了新的选择，而另一方面也给企业财务带来极大的潜在风险，给 山东工商学院 2012 届毕业论文 4 企业的内部控制增加了巨大的压力。 二是企业技术变革速度加快， 产品生命周期缩短， 企业的规模不断扩大和涉及领域日益分散，导致企业之间的竞争加剧。总之，企业风 险无处不在，加强对风险的控制和管理自然成了企业管理的重中之重。因此，企业经 营者必须树立风险意识，把减少企业面临的风险作为企业实现目标的关键，要求企业 对其自身存在和面临的各种风险以及可能存在与发生的所有风险进行识别、 衡量、 评价，并在此基础上制定和实施对企业最优化的风险处理方案5。内部审计部门作为 企业一个拥有相对独立地位的职能部门，它的根本目的在于增加组织的价值和改善组 织的经营效率，因此，内部审计部门和内部审计人员参与企业的风险管理也就成为必 然的内在需求。 (二二)内部审计自身发展的需要内部审计自身发展的需要 企业经理人员对风险的空前重视，为内部审计发展提供了一个发展的好机会。内 部审计部门为其自身的不断发展，以便在企业中担当更重要的角色和发挥更重要的作 用，不断寻找新的对企业十分重要的服务领域。内部审计对风险管理的介入，将会使 内部审计在企业中成为一个重要的角色，从传统审计所提供的事后对某一领域或事项 的评价，转变为对可能影响组织的潜在事件，进行贯穿于事前、事中、事后并覆盖整 个企业的风险管理。内部审计一旦与风险管理结合，其工作范围自然就扩大到企业管 理的全部领域和过程， 成为一种全局性的管理活动。 而且， 采用关注风险的审计方法， 内部审计的报告更容易接受，更易对管理层的决策产生影响，这不仅使内部审计从应 管理层要求在设定范围内提供鉴证的被动服务方式改变为基于战略和风险评估向管 理层提供保证和咨询的主动服务方式，也让管理部门也更容易理解内部审计存在的价 值。正因如此内部审计师的职业组织内部审计师协会才坚持倡导内部审计师进军这 一领域，把风险管理作为内部审计的重要业务领域直接写入了内部审计的定义6。 (三三)内部审计参与风险管理的独特优势内部审计参与风险管理的独特优势 1.能够客观地、从全局的角度管理风险 风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险 或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终 可能使整个企业陷入困境。正因为如此，有些部门可能会出现过渡道德风险，因为风 险不是由你们来承担(至少不是单独承担)。如采购部门为节约采购成本，就会忽视对 材料规格、型号、质量方面的检查，或者有意购买残次品，这种暗藏的风险会在生产 车间或销售部门反映出来，最终给企业造成巨大损失。因此，风险的认识和防范、控 制需要从全局考虑，而各业务部门又很难做到这一点。内部审计部门不从事具体业务 活动，其职能独立于业务管理部门，这使得它们可以从全局出发、综合客观地对风险 进行识别，及时建议管理部门采取措施控制风险7。 2.内部审计部门的建议更易引起重视 山东工商学院 2012 届毕业论文 5 内部审计部门直接受雇于企业的董事会，独立于各部门之外，其风险评估的意见 不受制于管理层和各职能部门，直接报告给董事会，中间没有经过层层传达，减少了 信息的失真和延迟。所以，内部审计部门的建议更容易引起重视。 3.比外部审计更有优势 内部审计对企业面临的风险更了解，建议更有针对性；对防范企业风险、实现企 业目标有着更强烈的责任感、义务感；在风险管理的经常性和及时性比外部审计更有 优势。特别是在企业兴盛或者企业经济增长受到抑制时都能与企业为一体，保护企业 资产，并且可以对经济事项进行连续的跟踪审计，及时反馈信息，这些都是外部审计 不可比拟的。所以，内部审计更应该参与企业的风险管理8。 三、内部审计参与风险管理的现状及存在问题三、内部审计参与风险管理的现状及存在问题 (一一)内部审计参与风险管理的现状内部审计参与风险管理的现状 IIA 于 2001 年发布的内部审计实务标准中指出： “首席审计执行官必须建立 以风险为基础的计划来决定审计活动的优先性，并且与公司目标相协调一致” “内 部审计活动的参与计划必须以至少一年一次的风险评估为基础。 ”并对内部审计重新 给出新定义： “内部审计是采用一种系统化、规范化的方法来进行对机构的风险管理、 控制及监督过程进行评价，进而提高过程效率，帮助机构实现目标。 ”这 IIA 首次将 风险管理放在如此重要的地位来作为内部审计的工作内容进行描述。但在我国企业内 部审计的实际开展过程中，内部审计参与企业风险管理的程度较低。 1.内部审计人员的风险管理意识单薄 目前，企业内部审计对企业的风险管理意识淡漠。我国企业审计人员是财务人员 占多数， 其他专业背景人员比例很少， 而且还有相当部分是兼职财务人员， 水平有限。 审计人员对审计职业技能知识了解不够，大部分人只是一般了解风险管理的相关知 识；人员流动性差，知识老化，对内部审计的认识还往往停留在财务审计的阶段。 2.内部审计机构隶属决定内部审计人员难以全面参与风险管理 目前，我国企业普遍采用内部审计机构与其他业务部门平行设置的模式，内部审 计直接受企业总会计师或财务主管领导，并向其报告工作，内部审计机构不直接受董 事会等高层领导。内部审计在审计过程中的权限受到管理层的严重制约，严重削弱了 内部审计的独立性和权威性，导致风险审计的开展缺乏权力的保证。 3.内部审计工作尚未以风险管理为导向 企业的内部审计实务中，审计立项往往主观性较强，审计计划的制定机制尚未建 立起来， 有许多企业内部审计完全是由企业领导临时交办的， 审计工作往往仓促行事， 审计需求调查和可行性分析皆不充分。同时，一些内部审计机构为了在年底考核获得 山东工商学院 2012 届毕业论文 6 好评，盲目追求审计项目的数量，审计范围过大，审计质量不断下降，审计风险上升。 4.内部审计过程极少涉及风险管理 内部审计参与风险管理是内部审计自身发展的趋势，它主要以确认和咨询服务为 主要职能，通过对风险管理、控制与公司治理的评价，来实现完善公司治理，为组织 创造价值的目标。但我国企业内部审计工作仍然集中在财务收支审计，主要是评价和 监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法 性，对会计记录和报表分析提供资料真实性和公允性证明。财务审计的主要内容是对 货币资金、 应收账款、 负债及所有者权益等资产负债表项目， 利润表项目等的合法性、 合规性进行审计。 (二二)内部审计参与风险管理存在的问题内部审计参与风险管理存在的问题 1.对内部审计机构人员设置未考虑企业风险管理的要求 企业风险管理对审计人员提出了更高的要求，具备丰富的知识和经验成为关键， 审计人员应该能采用不同的方法来识别各种风险。 除了要掌握财务、 经济方面的知识， 了解基本的数理分析和信息技术处理技能也是必要的。实施风险审计，内审部门不仅 需要内审人员具备经济方面的知识，同时还要信息工程技术和风险管理等方面的人 才。我国很大一部分企业错误的认为，内部审计就是要查错纠弊，所以通常会招聘一 些拥有财务背景的人，而工程、法律方面的人才少之又少9。 在日常工作过程中，内审人员难以接触到最新的审计理念、技术和方法。虽然地 方内部审计协会提供了很多继续教育的机会，但是通常是一些内部审计法律、规范文 件等基础知识，很少能与最新的内部审计形势结合起来，审计人员未能得到提高。审 计人员专业技能缺乏、审计人员配备不足已经成为影响企业内部审计业务发展的重要 因素。 2.内部审计参与风险管理的独立性、权威性差 由于内部审计和被审计部门平行，内部审计不能站在企业高层的立场上，制定 全局性的审计计划和开展审计任务。 内部审计不直接受董事会等高层领导，其他各部门就会干涉其工作，使得内部 审计处处受制，不能了解审计项目存在的问题和可能潜在的风险。 有些企业内部审计人员只能向会计主管或总会计师报告，使得审计提出的观点 和建议的执行缺乏权力的支持，执行缓慢10。 3.审计工作的开展未以风险评估为基础 在内部审计执行过程中，审计人员没有预见到审计过程中可能遇到的风险问题， 对被审计单位的风险认识和评估不够，对被审计单位重大风险的评估和确定重要性水 平的标准不够科学。实质性测试效果不好，难以查出重大的错报，审计基础工作不规 范，倚重于习惯性思维，审计规范次之，重视业绩，基础工作次之 11。这样内部审 山东工商学院 2012 届毕业论文 7 计工作效率极低，要参与风险管理就很困难，还会浪费大量资源，影响审计效果。 4.内部审计活动范围狭窄，极少以风险管理为对象 在当今企业竞争激烈情势下，风险管理已越来越受到企业管理层的青睐。内部审 计的工作包含对风险管理、控制及治理程序进行评价和咨询，内部审计的工作范围要 延伸到整个企业。在企业内部审计实务中，虽然监督职能仍然发挥重要作用，但是其 主要职能已经拓展为咨询职能。由于内审人员活动范围过多集中在过去的记录和内部 控制系统以前的运作情况而不是企业未来的经营风险，内部审计没有发挥出应有的优 点，没有起到防线的作用，各种被忽视的风险袭击也接踵而来。 四、加强内部审计参与风险管理的建议四、加强内部审计参与风险管理的建议 (一一)加强内审人员风险管理理念的培育加强内审人员风险管理理念的培育 1.合理规划内部审计机构人员机构 合理安排内部审计人员结构内部审计人员的结构，包括工作人员的组成结构和工 作人员的知识结构。人员组成方面不必强调内部审计机构完全由审计或会计等经济类 的人士组成，应该站在风险管理的角度，实行灵活的工作人员组合，进行风险专项审 计的时候，可临时雇用生产、营销、质量和专业人士组成“工作组”参与，这将确保 内部审计得到更好的效果。在知识构成方面要求内审人员有较强的综合能力和广阔的 知识面，因此要加强内部审计人员定期培训，包括风险管理技术、金融创新等方面， 不断更新知识。 2.构建学习型内部审计机构 学习型组织模式是指通过培养整个组织的学习气氛，充分发挥员工的创造性思维 能力而建立起来的一种高度柔性的、符合人性的、能持续发展的组织。学习型组织强 调的学习与传统的职工培训有着本质的区别，它强调组织中的每一成员都要使“工作 学习化，学习工作化” ，将每一项工作视为一个学习的机会，从工作中学习新技能、 新方法，并促进专业知识的增长。内部审计部门是典型的智力型部门，内部审计人员 将依靠团队学习和集体智慧在风险管理中发挥作用，帮助组织实现目标。 构建学习型的内部审计机构，首先应建立一个开放的组织环境，采用网络式而非 等级式的组织结构，人人能够畅所欲言，重视其实质性的贡献：其次，要把对风险管 理的学习作为内部审计部门的基本功能，使组织学习能自动地开展并发挥作用。除了 主观重视外，还必须把学习效果纳入到组织的结构中，形成健全而有效的学习机制。 即企业内部审计部门必须比被审计部门掌握更多更精的风险管理知识，才能有立足之 地，发展之基。此外，内部审计部门还应采取激励措施鼓励内部审计人员自觉学习， 提高业务素质12。 山东工商学院 2012 届毕业论文 8 (二二)保证内部审计参与风险管理的独立性和客观性保证内部审计参与风险管理的独立性和客观性 在两权分离的企业中，应在董事会中设立由独立董事组成的审计委员会，审计委 员会应与董事会以及内部审计人员保持直线型沟通，借鉴企业风险管理框架 ，在 企业董事会下可设多种专门委员会，与风险防范相关的主要是风险管理委员会和审计 委员会。日常运作中，企业风险管理委员会下属的风险管理部门通过其在业务单位分 部的分支机构渗透到各业务单元中，进行日常风险管理。而审计委员会下属内部审计 机构的一个重要职责是评价风险管理的适当性，确保风险管理信息的真实性和准确 性，就风险管理的有效性进行评估，通过审计委员会向企业管理当局反馈并提供咨询 服务，促进和帮助管理当局将风险控制在可以接受的范围之内。管理层应要求各部门 在内部审计工作中积极配合审计工作，将审计部门的职责和权力纳入内部控制制度之 中，并有效执行。具备一定职业素质的内部审计机构应在此基础上不断研究，提出可 能出现的风险的应对方案，如:损失控制、分离风险单位、非保险方式的转移风险(包 括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等13。 (三三)以风险评估为基础制定内部审计计划以风险评估为基础制定内部审计计划 企业所处的经营环境存在很多的不确定因素，企业的经营管理者必须清楚认识这 些风险对企业的影响程度，以风险作为决策参考的重要指标，将风险思想渗入到企业 经营和管理的各个阶段。在审计工作开展之前，审计人员应将企业的风险管理战略体 现在内部审计计划里面，内部审计机构应在对被审项目风险进行评估的基础上，对审 计资源、董事会和相关治理机构的整体考虑后确定审计目标、制定审计计划，同时根 据环境的变化做出相应的调整。 1.以全局性为原则确定审计范围 整个企业的风险战略、经营目标应该反映在审计范围中。进行风险评估后，找出 被审计项目的各种风险因素， 这些因素应该与审计事项相关， 以确保审计范围不遗漏。 风险因素包括：目标完成的责任感，工作人员的能力，资产规模，财务状况，资本情 况，竞争条件，业务的复杂程度，客户、供应商的开拓和维持：适当的内部控制制度 和有效性：审计结果确认并采取纠正措施等等。 2.以重要性为原则确定审计重点 对已经确定需要审计的项目根据重要性原则，进行风险评估后，实行优先排序。 对于可能出现风险较大甚至损失的项目：两次审计间隔时间较长、问题较多的项目： 高层要求审计的项目：财务问题涉及金额较大的项目：治理结构和内部控制体系有重 大变动的项目要优先安排审计。 3.根据风险评估结果和管理的需要调整下一步审计工作 审计计划应当根据风险评估结果和管理的需要进行调整，如果风险因素出现了重 大的变化，应当调整审计项目的排序。 山东工商学院 2012 届毕业论文 9 (四四)内部审计部门和人员拓展咨询的职能协助风险管理内部审计部门和人员拓展咨询的职能协助风险管理 内部审计咨询服务的实质是将内部审计在保证活动中发现的问题，对制度、管理 和经营控制等方面有针对性地提供咨询性建议，防止出现重大的经营波动和管理漏 洞。 1.内部审计应积极向管理层提出建立风险管理过程的相关建议 内部审计实务公告2100-4 条中说明：内部审计师可以咨询顾问的身份协助组 织确定、评价并实施针对风险的管理方法和控制措施。特别在组织尚未建立风险管理 过程的情况下，内部审计师可以向管理层提出建立相关风险管理过程的建议。内部审 计人员长期立足于本企业的独立部门，比较熟悉企业的业务并能够随时深入到生产经 营的全过程去了解掌握具体情况，通过周密详细的审前调查，收集到大量的第一手资 料，从中发现存在风险的隐患问题。如果有关方面提出要求，内部审计师应积极的协 助组织风险管理过程的初步建立工作。 2.内部审计可以通过咨询服务的方式协助企业建立风险管理系统 如果管理层提出建立风险管理机制的要求，内部审计人员可以运用自己在风险管 理方面的专业知识，从独立客观的角度为管理层和审计委员会提供有价值的咨询服 务， 提高企业风险管理水平， 但不能超出正常的保证和咨询范围， 以免损害独立性14。 （1）进行控制和风险评估培训。由于专业的内部审计师作为风险咨询专家，对 风险管理有着丰富经验与专业知识，应该在一定程度上可以承担企业风险管理知识的 培训，推广风险文化，使风险意识贯穿于整个企业的各个层面，并且使每名员工能够 有效识别风险并提出有效控制措施，实施企业全员、全过程、全方位、全天候的风险 管理。 （）召开控制和风险评估专题讨论会。针对