（工商管理专业论文）对内部审计在企业风险管理中作用的探讨.pdf

摘要 摘要 通过对内部审计产生、发展及概念的演变的回顾、总结，理解国 际内部审计发展己经进入一个以风险管理和公司治理为标志的新的 发展阶段。企业风险的不断增加、内部审计自 身发展的渴望、内部审 计维护自 身在企业中的地位的需求及内部审计在风险管理中的独特 作用等共同促使内部审计积极参与企业的风险管理。企业风险管理是 一个不断发展演变的过程，企业层面的风险管理这一发展阶段需要内 部审计的积极参与。内部审计如何参与风险管理?在阿瑟 安德森公 司的企业层面风险管理模型的基础上，根据建立风险管理过程、制定 共同的风险管理语言、评估企业风险和制作风险图、内部控制评价、 制定风险管理战略、持续提高风险管理能力等企业风险管理过程的不 同阶段，探讨内部审计在企业风险管理过程中的具体作用。 同时分析我国内部审计发展的不足，根据我国的国情从独立性、 法治建设等方面探讨我国内部审计发展在现阶段存在的缺陷，并结合 国际内部审计发展的先进经验，提出对策和发展思路。 关键词:内部审计 风险管理 人b s t r a c t ab s t r a c t r e t r o s p e c t o f t h e d e v e l o p m e n t o f i n t e r n a l a u d i t , w e u n d e r s t a n d t h a t i n t e r n a l a u d i t h a s d e v e l o p e d a n d e n t e r e d o n e s t a g e o f r i s k m a n a g e m e n t a n d c o r p o r a t e g o v e r n a n c e . c o n s t a n t i n c r e a s e o f e n t e r p r i s e s r i s k ， i n t e r n a l a u d i t a s p i r a t i o n o f d e v e l o p m e n t , i n t e r n a l a u d i t u n i q u e f u n c t i o n i n r i s k m a n a g e m e n t i m p e l i n t e r n a l a u d i t t o p a r t i c i p a t e a c t i v e l y i n r i s k m a n a g e m e n t . e n t e r p r i s e r i s k m a n a g e m e n t i s a c o u r s e o f c o n s t a n t d e v e l o p m e n t . t h i s d e v e l o p i n g s t a g e o f e n t e r p r i s e - w i d e r i s k m a n a g e m e n t n e e d s t h e i n t e r n a l a u d i t s p o s i t i v e p a r t i c i p a t i o n . h o w t o p a r t i c i p a t e i n t h e r i s k m a n a g e m e n t ? o n t h e b a s i s o f e w r m p d e v e l o p e d b y a r t h u r a n d e r s e n , w e d i s c u s s t h e f u n c t i o n o f i n t e r n a l a u d i t a t t h e d i f f e r e n t s t a g e s t h a t a r e d e v e l o p i n g t h e i n f r a s t r u c t u r e f o r e s t a b l i s h i n g a n e w r p , i d e n t i f y i n g a n d p r i o r i t i z i n g b u s i n e s s r i s k s , d e v e l o p i n g b u s i n e s s r i s k m a n a g e m e n t s t r a t e g i e s f o r e a c h s i g n i f i c a n t r i s k , d e v e l o p i n g a n d i m p l e m e n t i n g i m p r o v e d r i s k m a n a g e m e n t c a p a b i l i t i e s , m o n i t o r i n g r i s k m a n a g e m e n t p e r f o r m a n c e , c o n t i n u o u s l y i m p r o v i n g b u s i n e s s r i s k m a n a g e m e n t c a p a b i l i t i e s . a t t h i s t i m e , a n a l y z e t h e p r o b l e m o f i n t e r n a l a u d i t d e v e l o p m e n t i n o u r c o u n t r y , d i s c u s s t h e d e f e c t a c c o r d i n g t o o u r c o u n t r y c o n d i t i o n s , i n d e p e n d e n t c h a r a c t e r a n d l a w c o n s t r u c t i o n e t c , c o m b i n e t h e a d v a n c e d e x p e r i e n c e o f i n t e r n a t i o n a l i n t e r n a l a u d i t a n d p u t f o r w a r d c o u n t e r m e a s u r e s a n d d e v e l o p m e n t a d v i c e . k e y w o r d s : i n t e r n a l a u d i t r i s k m a n a g e m e n t 丫 s s e 独创性声明 本人声明，所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽本人所知，除了文中特别加以标注和致谢 的地方外，论文中不包括其他人己经发表或撰写过的研究成果，也不 包含为获得北方交通大学或其他教学机构的学位或证书而使用过的 材料。与我一起工作的同志对本研究所做的任何贡献已在论文中作了 明 确的说明并表示了谢意。 本 人 签 名 : 李,- 日 期: 2 刁 咨 j 年多a g 夕 日 内部审计产生、发展及概念的演变 1 . 内部审计产生、发展及概念的演变 内部审计源远流长， 它的起源可以追溯到公元前5 0 0 0 年迎勒 底人和巴比伦人的帝国， 他们建立的复核系统被认为是人类为排除错 弊， 保护公共财产， 最早建立起来的内部制衡系统。 在圣经中也论述过建立内部制衡机制的必要性。然而只是到了本 世纪30 年代人们才开始认识内 部审计的重要性。那时美国证券交易 委员会规定上市公司要建立内部审计机构。但是， 什么是内部审计? 它 的职责是什么? 则是到了协会成立之后才逐渐认识到的。 1 . 1 . 1 9 4 7 年内部审计的定义 在第二次世界大战之后不久， 备受战争破坏的各国经济正在复苏， 给了未受战争破坏的美国企业一个千载难逢的机会， 美国的企业家希 望充分利用它们的生产力， 增加生产， 降低成本， 提高竞争能力， 最大限 度地占领世界市场。公司希望内 审人员能助他们一臂之力。在这种情 况下， 协会的研究委员会全面检讨了内 部审计工作， 认为有必要根据形 势的 要求对内 部审计的目 标、范围、 职责和责任作出 说明。 于是在1 9 4 7 年7 月颁布了第一部 内部审计人员职责说明 。 在那里对内部 审计下了第一个定义: “ 内部审计是建立在审查财务、 会计和其它经营 活动基础上的独立评价活动。它为管理提供保护性和建设性的服务， 处理财务与会计问题， 有时也涉及经营管理中的问题。 ” 这个定义有三个特点: 1 、 它表明内部审计虽然从会计分离出来成 为一个单独的职业， 但它仍然以财务、 会计为基础。2、 它反映了形势 的要求， 扩展了内部审计的作用， 确认内部审计人员可以处理经营管理 问题。3、它初次提出为管理服务的方向。 但是， 由于那时内部审计人员水平较低， 为管理服务的能力不强， 与这种情况相适应其地位也比较低， 只能向低层管理人员报告， 而不能 参与高层决策。因而职能的扩展还得有一个过程。 北方交通大学硕士学位论文 1 . 2 . 1 9 5 7 年内部审计的定义 经过管理人员和内审人员to 年的努力， 克服了 双方存在的障碍， 于1 9 5 7 年协会根据新的发展， 对定义作了修改。第二次的定义是: “ 内部审计是建立在审查财务、会计和经营活动基础上的独立评价活 动。它为管理提供服务， 是一种衡量、评价其它控制有效性的管理控 制” 。 这个定义明确了为管理服务的方向， 但仍然强调与财务、 会计的关 系， 不过将经营活动与财务、会计并列， 不再用 “ 和其它经营活动”这 样不完全肯定的词来表达了。 1 . 3 . 1 9 7 8 , 1 9 9 3 年内部审计的定义 在以后的10 多年里内部审计职业发生了许多重大的变化， 有更 多的公司让内部审计人员从事经营审计。内部审计人员的地位又有了 提高。 许多协会成员认为有必要再次对 说明 进行修改， 以反映新的 现实。为此1971 年协会主席团任命了一个特别委员会对 说明 作了修改。 在这个 说明中对内部审计定义为: “ 内部审计是建立在 审查经营活动基础上的独立评价活动， 并为管理提供服务， 是一种衡 量、评价其内部控制有效性的管理控制， 。这已是第三个定义了。 这个定义最突出的一点是， “ 建立在审查财务、 会计基础上” 这 句话被省略了。只保留 “ 建立在审查经营活动基础上”一句。这意味 着内部审计从财务审计向经营审计发展。但这并不是说内部审计从此 不审查财务、会计， 也不意味着内部审计不去解决财务、会计问题， 而 是指内部审计要审查财务、 会计， 要解决财务会计问题， 是不言而喻的， 它已包括在 “ 审查经营活动”这一概念之中了。 其次， 这个定义还表明内部审计评价的范围扩展到发生在组织内 部的、应由内部审计评价的所有经营活动。现代内部审计已经与组织 发生的重要事务联系在一起了。 内部审计的实践与这一定义展示的未来相一致。在定义修改后的 内部审计产生、发展及概念的演变 岁月里内 部审计人员用于财务、 会计审计的时间不断减小， 而用于经营 活动审计的时间越来越多。根据美国燃气协会和爱迪生电器协会的统 计， 1 9 8 0 年内审人员还有4 0 %的工作时间用在财务审计上， 到1 9 8 9 年 己降为19 % ， 更多的时间己 用在合同 审计和经营审计。 在1 9 8 0 年， 只有3 9 %的内部审计主管向董事长报告， 到1 9 8 9 这一比例己 上 升到5 2 % ， 与 此相反， 在同一时期内 ， 内审 主管向 财务主管报告工作的 比 例， 则由10 % 降到4 % . 内 部审计为组织服务的 观点得到协会的肯定。 协会在1 9 7 8 年 签发的 内部审计实务标准中将内部审计定义为: “ 内部审计是建立 在以检查、评价组织为基础的独立评价活动， 并为组织提供服务”， 这 个定义在 1 9 9 0 年第 5 次修改 说明 时予以确认， 即“ 内部审计工 作是在一个组织内部建立的一种独立评价职能， 目的是作为对该组织 的一种服务工作， 对其活动进行审查和评价” 。1 9 9 3 年修订 内部 审计实务标准时在序言中除了确认上述定义之外， 并明确提出: “ 内 部审计的目 的是协助该组织的管理成员有效的履行他们的职责” 。 强调为组织的管理成员服务不是要排斥为管理服务， 而是为了管 理服务的发展。对内部审计来说， 为管理服务仍然是它的主要职责， 正 如维克托. z饰林克所说: 虽然内部审计服务的对象范围迅速扩大了， 但“ 内部审计的主要服务对象依然是管理” 。 因为内部审计人员对董事 会、 股东和一般公众的责任是次要的， 不会超过或减少它对管理服务这 一基本职责。 为组织服务与为管理服务的区别只在于， 它要求内部审计 人员以整个组织和管理成员为服务对象， 而不是以某一管理部门及其 人员为服务对象。要求他们站在整个组织的立场上观察和评价问题， 为组织长远的、全局的利益服务。因为组织的长远利益才是组织的根 本利益， 是解决各种矛盾的基础。 内部审计在半个多世纪中从会计的秘书， 到一种独立的职业; 从建 立在审查财务、会计的基础上， 到建立在审查经营活动的基础上; 从为 管理服务， 到为组织服务， 不含划了一个时代， 人们对内部审计的作用 和地位的认识和期望， 己经发生了深刻的变化。 北方交通大学硕士学位论文 1 . 4 . 1 9 9 7 年内部审计的定义 近年来，随看竟争激烈程度的加剧和竟争手段的增多，一方面人 们的受托管理责任意识越来越强烈，另一方面管理当局的战略意识和 风险意识日 益增强，对促进与经营目 标相一致的管理咨询服务产生了 巨大的需求。这种市场需求的扩大，对于内部审计而言，无疑是天赐 良 机。 但真正在这方面有所作为的， 反而是处于企业外部的独立审计。 今天，一些国际会计公司来自 于管理服务的收入甚至超过了 传统的财 务报表审计。内 部审计之所以 会在具备 “ 地利” 优势的情况下被别人 抢了先机，与其定位没有适应环境变化而及时进行调整有很大关系。 面临着这一威胁整个行业生存和发展的价值危机，旧的定义显然 己不能适应形势发展的需要。于是， 1 9 9 7 年， i i a成立了一个指 南任务工作组( gtf ) 来检查已建立的职业指南， 提出建议以改进和 更新这些指南。gtf 提出的建议及其理论基础由ii a作为专题研 究发布: “ 未来之构想: 内 部审计职业实务框架” ， 其中所提出的内部审 计的新定义， 于1999 年6 月被ii a董事会一致通过。 gtf 提出的内部审计的新定义是: 内 部审计是一项独立、 客观的 保证工作与咨询活动， 它的目的是为机构增加价值并提供机构的运作 效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序 进行评价， 从而帮助实现机构目 标。 通过比较可以发现， “ 保证和咨询活动” 代替了“ 评价职能” 。 “ 保 证”的内涵很广，既包括财务审计、经济性和效率性审计等传统的内 部审计领域，也包括了基于控制和风险管理审计的新的保证形式，它 从实现企业目 标的角度考察受托责任的全面履行。 “ 咨询” 则正式确认 了内部审计的新的发展领域，明确了内部审计的服务导向。对定义的 这一修改， 扩大了内部审计的服务范围， 适应了管理的多方面需求， 新的定义反映了内部审计向风险管理审计和咨询活动扩展的强烈倾 向。正如工 i a 现任主席杰奎玲 瓦格娜最近指出:环境的变化 “ 给内 部审计师带来增加价值的机会最多的领域是风险管理和公司治理” ， “ 我们正开始认识到风险管理是我们事业的推动力，我们如何去引导 内部审计产生、发展及概念的演变 风险将对我们的成功产生重大的影响” 。当今国际内部审计发展已经 进入一个以风险管理和公司治理为标志的新的发展阶段。 新定义具有三个非常重要的特征: 1 ，增加价值 “ 增加价值并提高机构的运作效率” 的提出， 使得这一职业充满前 所未有的活力。 在传统概念下， 内部审计在很大程度上是为了降低代理 成本而设计的， 人们不关心它对企业经营的贡献， 而且这种贡献往往是 无形的。 而在如今的高度竞争且成本“ 过敏” 的市场上， 各大公司纷纷 将其业务流程分为增值过程和非增值过程， 然后尽可能地压缩非增值 过程， 期望公司内每一个人都为其创造价值。这时， 内部审计如果还固 守过去的阵地， 估计只能被淘汰出 局， 新的角色定位要求内部审计积极 参与价值创造活动， 这样才能为自己的继续存在争得一席之地。 并且在 参与价值创造的同时， 还要向世人昭示其在价值创造过程中的贡献， 让 公司的管理部门， 董事会及其他利害关系人了解其存在的必要性和重 要性， 才能保持和提高职业地位。但有一点仍须明确， 不应把成本降低 的幅度或效率增长的幅度等作为衡量内部审计工作绩效的标准， 因为 内部审计工作对价值创造的贡献往往是间接的， 这样做会削弱其工作 的客观性。 2 .组织目 标 新的定义将内部审计关注的活动提升至组织整体的层次， 而不是 过去针对个人或某一部门的活动， 并将其目 标的核心定位于帮助一个 企业达到其目 标， 还将内部审计与企业的核心业务流程和关键成功因 素联结在一起。 关注层次的提升， 使得内部审计从一个局部职能的“ 功 能性思维” 转向从整体价值链来考虑问题和提出解决方案， 从全局、 长 期着眼， 促成各个部门各个方面的有效合作。 这也就必须在实质上扩展 内部审计的实务框架， 并在内部审计人员的招募、 培训、 团队构建活动 中充分考虑这方面的因素。 3 为风险管理、控制和治理过程提供服务 传统的内部审计关注于系统的控制， 而如今许多集成的管理框架 如coso , coco 等组织的 控制活动与组织的各种目 标以 及达成 北方交通大学硕士学位论文 目标所需承担的风险更紧密地联系在一起， 控制不可能脱离企业的活 动而存在于真空中， 而其存在的意义便是帮助企业管理风险、 改进治理 过程。在全球市场内， 竞争的实质内容不断发生变化， 新形式的资产不 断涌现以及信息技术驱动下的不断创新， 使得企业不再需要一个静态 的控制结构， 而需要灵活、动态的控制， 这种控制应能认识到企业价值 创造过程持续变化， 并不断地做出反应和调整。 内部审计与治理过程的 接触提升了该职业的地位和利益。公司治理结构随着各国对受托责任 的重视而日 益受到重视， 在美国， 有两份有重要影响的关于公司治理结 构的报告， 一份由纽约证交所和全国证券商协会发布， 另一份由全国董 事协会发布， 二者均扩展了审计委员会在整个治理过程中的角色与职 能， 后者尤其强调了内部审计的关键作用。 内部审计准则委员会已着手 根据新的内部审计定义制定新的职业实务框架， 据以制定内部审计准 则及指南， 来指导实务和理论的发展。 内部审计参与风险管理的动因 2 . 内部审计参与风险管理的动因 内部审计之所以 涉足风险管理领域， 主要有以下几个原因: 2 . 1 . 企业面临的风险日益增大 9 0 年代后， 西方企业经营中的各种风险普遍增大。 这主要是因为， 技术变革速度加快， 产品生命周期缩短， 经济国际化程度又进一步加深， 导致企业之间的竞争加剧， 资产证券化趋势加强， 企业经营业绩的波动 扩大; 企业实行多样化经营， 进入了众多以前未涉足的领域，实施国际 化发展战略， 经营地点日 趋分散， 随着信息技术在经营管理中的广泛应 用和电子交易的普及， 控制环节减少， 毁灭性的计算机犯罪增加且更加 隐蔽等。仅以雇员和经理贪污行为为例， 据毕马威国际会计公司 1 9 9 8 年对涉及2 0 个行业的5 0 0 0 家企业和组织的调查显示， 贪污手法多种多 样， 如骗取保险理赔、 伪造报表、 信用卡舞弊、 虚开支票、转移销售、 增加不当费用开支等， 平均每起贪污案金额达 1 1 . 6 万美元。被调查对 象中只有4 3 % 的人指出: 进行内部审计是发现贪污的 有效方法。 而回答 雇员举报是发现贪污的有效方法的人员所占比例则高达 5 8 % 。在这种 背景下， 处于企业生产经营第一线的内部审计部门就要有高度的职业 责任感和敏锐性， 积极行动起来， 努力扩充自己的相关专业知识， 紧紧 围绕企业经营风险的甄别、评估、控制和防范， 计划和实施审计工作， 促使并协助企业改进整个内部控制系统， 以避免遭受严重损失。因此， 减少企业面临的风险是组织实现目 标的关键， 也是企业的管理人员十 分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经 营， 内部审计人员是企业的管理咨询师， 因此， 内部审计部门和内部审 计人员参与企业的风险管理也就顺理成章了。 北方交通大学硕士学位论文 2 . 2 . 内部审计对发展的渴求 内部审计部门为了不断地发展， 为了在企业中担当更重要的角色 和发挥更重要的作用， 总是不断寻找新的对企业又十分重要的领域， 企 业经理人员对风险的空前重视， 为内部审计发展提供了一个绝好的机 会。 内部审计对风险管理的介入， 将会使内部审计在企业中成为一个重 要的角色， 并将其在企业中的作用推向一个新水平。正因如此 内部审 计师的职业组织国际内部审计师协会才不遗余力地倡导内部 审计师进军这一领域， 把风险管理作为内部审计的重要领域直接写入 了内部审计的定义。 2 . 3 . 内部审计部门在企业组织机构中 维系自己的地 位 自 9 0年代起， 西方不少企业特别是大公司为了降低成本， 增强市 场适应性， 进行了内部组织机构的调整和重构， 将部分非核心管理活动 改由外部专业化公司执行， 如解雇内部审计人员， 将日常审计工作完全 或部分转由会计师事务所或管理咨询公司担当。许多企业经理人员和 会计师事务所从业人员认为， 内部审计的这种“ 外包化” 有利于实现内 部审计业务的规模经济性从而降低审计成本， 有利于增强内部审计工 作的专业性从而提高审计质量， 并能为企业带来先进的审计技术和管 理理念。 尽管许多内部审计人员对此持有异议， 但“ 外包化” 事实上己 成为9 0 年代西方内 部审计职业界的一种重要现象， 而且不成功的内部 审计部门首当其冲惨遭淘汰。 据美国内部审计师协会调查， 实行内部审 计外包化的美国企业已占2 1 . 5 % ， 汽车、电 子、 感光材料等行业这一比 例已超过5 0 % ; 而且， 在航空、化工、 信息、 钢铁、 橡胶、汽车、电子、 农林渔和房地产行业， 分别有5 0 % , 5 1 . 7 % , 5 3 . 8 % , 5 4 . 4 % , 5 4 % 、 5 5 . 6 % , 5 7 . 1 % , 5 8 . 3 % , 6 3 . 6 % 的企业， 表示未来要与会计师事务所签订内部审 计外包合约。 这就对企业的内部审计部门构成了前所未有的外在压力， 内部审计参与风险管理的动因 迫使他们想方设法通过改善审计绩效， 提高审计效率来证明自己不单 是一个资源耗费者， 一个成本中心， 而且更是一个价值增加者， 一个利 润中心， 从而增强自己对本企业的吸引力， 维系自己的组织地位和职业 生命。内部审计部门和内部审计人员在风险管理方面拥有注册会计师 无可比拟的优势， 比如: 内部审计部门和内部审计人员对企业面临的风 险更了解; 内部审计部门和内部审计人员对防范企业风险、 实现企业目 标有着更强烈的责任感。 既然外部审计可以从事此项业务， 内部审计就 更可以从事这一工作。 2 . 4 . 内部审计能够在风险管理中发挥独特的作用 2 . 4 . 1 . 能够客观的、从全局的角度管理风险 风险在企业内部具有感染性、 传递性、 不对称性等特征， 即一个部 造成的风险或疏于风险管理所带来的后果往往不是由其直接承担， 而是会传递到其他部门， 最终可能使整个企业陷入困境。正因为如此 有些部门可能会出现过度道德风险， 因为风险不是由他们来承担( 至少 不是单独承担)， 如， 采购部门为节约采购成本， 就会忽视对材料规格、 型号、质量方面的检查， 或者有意购买残次品， 这种暗藏的风险会在生 产车间或销售部门反映出来， 最终给企业造成巨大损失。 因此对风险的 认识和防范、控制需要从全局考虑， 而各业务部门又很难做到这一点。 内部审计部门不从事具体业务活动， 独立于业务管理部门， 这使得它们 可以从全局出发、 从客观的角度对风险进行识别， 及时建议管理部门采 取措施控制风险。 2 . 4 . 2 . 控制、指导企业的风险策略 由于内部审计部门处于企业的董事会、总经理和各职能部门之间 的位置， 内部审计人员能够充当企业长期风险策略与各种决策的协调 人。 通过对长期计划与短期实现的调节， 内部审计人员可以调控、 指导 北方交通大学硕士学位论文 企业的风险管理策略。 2 . 4 . 3 . 内部审计部门的建议更易引起重视 有些企业尽管也有风险管理部门， 但它属于管理部门的一个职能 部门 ， 向总经理报告， 不具有独立性， 其意见有时会屈服于管理当局的 压力。 如风险管理部门对某投资项目 分析后发现风险太大不适合投资， 而总经理好大喜功， 他会力促项目的实施。 这使得风险管理部门的作用 受到限制。 内部审计部门独立于管理部门， 其风险评估的意见可以直接 报给董事会， 这会加强管理当局对内部审计部门意见的重视程度。 内部审计如何参与风险管理 3 . 内部审计如何参与风险管理 与一般的风险管理部门进行的风险管理相比， 内部审计部门所进 行的风险管理既与其有紧密的联系， 又有区别。他们的联系表现在， 两 者的目的是统一的， 都是为了降低企业的风险; 两者的区别在于他们在 风险管理中的角色不同。 正是上述的联系和区别， 导致了内 部审计部门 进行的风险管理过程与一般风险管理过程具有相同点和不同点。 内部审计部门所进行的风险管理是在一般部门所进行的风险管 理基础上的再监督， 其风险管理过程应包括三个方面:( i )评估风险 识别的充分性;( z )评价已有风险衡量的恰当性;( 3)评估风险防 范措施的充分性， 并提出改进措施。 3 . 1 . 评估风险识别的充分性 所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、 归类和鉴定风险性质的过程， 换言之， 就是要确定企业正在或将要面临 哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行 评价， 即企业所面临的主要风险是否均已 被识别出来， 并找出未被识别 的主要风险。 采用的方法包括决策分析、 可行性分析、 统计预钡 j 分析、 投入产出分析、流程图分析、资产负债分析、因果分析、损失清单分 析、保险调查法和专家调查法等。 3 . 2 . 评价已有风险衡量的恰当性 风险衡量是指应用各种管理科学技术， 采用定性与定量相结合的 方式， 最终定量估计风险大小， 找出主要的风险源， 并评价风险的可能 影响， 以便以此为依据， 对风险采取相应对策。内部审计部门和人员要 对已 有风险的衡量结果进行再检验j 以 确定其是否恰当， 对不恰当的估 计予以更正。 采用的方法主要有: 调查和专家打分法、 风险报酬法 ( 又 北方交通大学硕士学位论文 称调整标准贴现率法) 、 风险当量法、 解析方法、 蒙特卡罗模拟方法等 3 . 3 ， 评估风险防范措施的充分性， 并提出改进措施 风险的防范措施是指为降低己识别出并己衡量的风险所采取的 措施， 也称风险管理工具的选择。 内部审计部门和内部审计人员对有关 部门针对风险所采取的防范措施进行检查， 检查其是否充分、 适当。 对 于风险缺乏充分的控制措施的情况， 内部审计部门和内部审计人员应 提出改进措施和建议， 以强化企业的风险管理， 降低风险损失。采用的 方法有: 避免风险、 损失控制、 分离风险单位、 非保险方式的转移风险 ( 包括转移风险源、签订免除责任协议、利用合同中的转移责任条 款) 、保险等。 风险与风险管理 4 . 风险与风险管理 近年来， 内部审计组织开始介入风险管理， 并将其作为内 部审计的 重要领域， 这一做法得到了国际内部审计职业界的普遍认可， 以至于国 际内部审计师协会在1 9 9 9 年通过的内部审计的最新定义把评价 和改善组织的风险管理和控制的有效性作为内部审计的主要内容. 为 了更进一步探讨内部审计在企业风险管理过程中发挥作用的具体方 式，本部分将对风险与风险管理的概念和理论的演变进行阐述。 4 . 1 . 企业风险的 本质 对风险进行开拓性研究的是美国经济学家弗兰克徐特， 他在1 9 2 1 年出版的 风险， 不确定性和利润 中对风险作了 经典的定义。 奈特认 为， 风险( ri:k ) 是 “ 可测定的不确定性”， 是指经济主体的信息虽 然不充分， 但却难以对未来可能出 现的各种情况给定一个概率值。 与风 险相对应， 奈特把 “ 不可测定的不确定性”定义为不确定性( u n c e r t a i n t y ) 。 奈特进一步指出 ， 企业的 利润主要是企业家处理经 济环境状态中各种不确定性的经济结果。 比如说， 有一个建材生产厂商 要决定明 年是减产、 维持现状还是扩大生产， 而经营决策的收益取决于 明年产品市场的需求情况。 现在， 对厂商来说， 未来的需求状况是不可 知的， 厂商也没有足够的信息和能力推断市场需求的概率分布， 那么这 就是不确定性。 厂商一旦选择了某个方案， 就有可能因 其不利变动而遭 受损失， 当然也可能因其有利变动而获得意外的收益。 我们注意到奈特使用的风险概念与我们所理解的风险概念存在某 些差别。 对一个经济主体而言， 无论是可测定的风险还是不可测定的不 确定性， 都是与企业的损失可能性相关联的， 都会引起经营决策者们风 险管理的动机。 经济学家黄有光( 1 9 7 3 ) 区分了两种风险: 一种是和作决 策相关的风险， 另一种是参与者无法控制的外生的或自 然的风险。 可以 看出， 黄有光对风险的划分更为全面， 与我们所理解的风险含义更为接 北方交通大学硕士学位论文 近。如果一个企业经营决策所遇到的不确定性主要是由外部环境引起 的， 是他完全无法控制的， 那么就是 “ 风险”， 而不是 “ 不确定性” 。 相 反的， 企业生产经营决策所需要的最重要信息， 是有关他人的偏好( 外 部信息) 和他人的资源( 内、外部信息) ， 这两者都是不确定的。由于获 取这类信息的费用太大， 企业家不得不面对某些风险。 这些风险是与企 业家的经营决策相关的，即不确定性。 结合契约经济学的有关理论可对以上结论作进一步的分析。企业 风险一方面来自企业内部交易的不确定性和外部经营环境的复杂和 变化: ( 1 ) 企业内部交易的不确定性是指， 企业内部的劳动雇佣交易、 委 托代理交易的各种状况是不确定的， 比如企业雇佣工人劳动， 付给工人 工资， 但是工人每天的工作性质、 实际工作时间、 努力程度是不一样的， 而这些差异都会给企业的利益带来影响; ( z ) 企业外部经营环境的复杂 变化是指， 与企业经营有关的环境， 比如利率、 汇率、 价格、 政府法律、 宏观政策、 政治环境等处在不断的变化之中。 另一方面。 企业风险来自 企业内部契约的不完备性和经营管理人员知识的有限性: ( 1 ) 企业内部 契约的不完备是指， 企业内部契约难于准确地描述企业未来交易的各 种状况和每种交易状况下契约各方的权利与义务; ( z ) 经营管理人员知 识的有限性是指， 企业的管理人员获取的信息( 关于不确定性的知识) 是有限的， 所以经理人员必须不断学习， 以消除企业所面临的不确定 性。 以上四种情况只有两两配合才能产生企业风险: 第一， 企业内部交 易的不确定性和内部契约的不完备使企业产生委托代理问题及 相应的代理费用， 这可以 称为企业制度风险。 第二， 企业外部经营环境 的不确定性和经理人员知识的有限性使得企业面临决策的困难和必 须付出信息搜寻的成本， 这是企业外部经营环境风险。实际上， 两类风 险的共同之处在于都给企业带来生产费用或交易费用的变化， 从而使 得企业的收益成为一个随机变量。 企业风险分类: 风险分类的标准在于对风险本质的认识。 如前所述， 企业风险分为外部经营环境风险和制度风险。 其中， 经营环境风险又可 分为 “ 外生的自然的风险”和 “ 与经营决策有关的风险”两类。前者 风险与风险管理 专指企业风险中的纯粹风险 ， 即只有损失而无收益的 风险， 对这类风险 可以通过保险市场来进行管理， 所以是可保的: 后者属于投机风险， 即 可能带来损失， 也有可能带来收益的不确定性。 这类风险发生的概率是 不可估计的， 所以是不可保的。 消除“ 与经营决策有关的风险” 与企业 经营管理是一个问题的两个方面。 西方学者认为， 企业家( 企业) 利润的 源泉就在于不确定性， 不确定性越大， 企业家获利的可能性也就越大。 企业家通过收集信息， 加强经营管理的过程就是不确定性转化为利润 的过程。既然消除企业外部经营风险与正面的企业经营管理可以归结 为一个问题， 那么， 企业外部风险就可以按照企业管理的内容划分为: 市场营销、 财务、 生产与技术等几个方面。 综上， 企业风险分类图如下: 介盛成， 玲 生 的 由 络 的 风 脸 竹 粗 几 脸) ! ， 工 人 ， 、* ， 。 产 l lk 116lr a * 1lr 、 去泛 金 浪 产 与 往水 风公 翔 决 a 有 头 口 民 脸 怀 可 像 民 脸) 令 拐 份 劝 风 份 时 夯 成 睑脚甘 滋贵 凌.) 图4 -1企业风险分类图 4 . 2 . 风险管理的定义 风险管理作为一种特殊的管理功能， 它是为人类追求安全和幸福 的目 标， 结合前人的经验和近代的科学成就而发展起来的一门新的管 理科学。对什么是风险管理， 一些学者提出了自己的看法， 美国学者克 里斯蒂( j a m e: c.c r i s t y ) 认为风险管理是企业或组 织为控制偶然损失的风险， 以保全所得能力和资产所做的一切努力; 另 外 两 位 美国 学 者 威廉 斯 ( c . ar t hu r wi i 1 i a ms j r . ) 和理查德 汉斯( r i c h a r d m. h e i n s )认为， 风险管理 是通过对风险的鉴定、 衡量和控制， 以最低的成本使风险所造成的损失 控制在最低程度的管理方法; 我国的陈佳贵认为， 风险管理是企业通过 北方交通大学硕士学位论文 对潜在意外或损失的识别、 衡量和分析， 并在此基础上进行有效的控制， 用最经济合理的方法处理风险， 以实现最大的安全保障的科学管理方 法。根据以上风险管理的定义， 我们可以得出以下几点认识:( 1 )风 险管理是一个系统过程， 包括风险的识别、衡量和控制等环节:( 2) 风险管理的目标在于控制和减少损失， 提高有关单位或个人的经济利 益或社会效果:( 3)风险管理是一种管理方法。 4 . 3 . 风险管理的演化 4 . 3 . 1 . 第一阶段 风险管理 大多数企业首先按照传统模式把风险管理视为管理其产品的生产 和交易中产生的某些财务风险暴露或者是进行适当的内部控制。人们 通过类似保险、金融衍生产品那样的金融手段管理风险，不过也有一 些非金融的风险管理操作比如健康或安全保护措施。 由于 “ 风险是坏事”这一思维的指导，传统的风险管理模式通常 是利用衍生产品、嵌入性条款 ( 指合同中规定的作用类似衍生产品的 条款如供货合同中的价格指数化调节条款或外汇风险分摊协议)或相 似的手段，力求减少由于各种相互独立或密切相关的事件带来的潜在 负面影响。这些工具通常是利用与财务风险暴露金额相同、方向相反 的独立交易来平衡暴露在风险下的财务头寸，另一方面，内部控制手 段用来管理企业内部的操作风险，它们的首选目 标是防止风险事件的 出现。 仅仅关注那些特定财务和公害风险的狭隘态度往往导致这样的 观点:风险管理只是一小组人员针对成本问题进行的管理活动，而不 是要求全体人员参与的企业层面的管理活动。 特别是在传统风险管理 方法下，风险管理责任往往是割裂状态。 另一方面，这一传统的风险管理模式建立在这样一种观点基础之 上:无论是风险的类型、出现风险的各业务单位还是产生风险的各种 业务活动，它们之间都是相互隔绝的，这一观点忽视了在企业层面上 风险与风险管理 各种风险相互抵消带来的收益。 4 . 3 . 2 . 第二阶段 商务风险管理 上述狭隘的风险管理方法的缺陷导致许多公司管理者认为传统风 险管理方法的广度和范围明显不足，对于其商务活动中的风险管理采 取更加复杂化的观点。在商务风险管理阶段，风险管理并不在事后考 察风险，也不把风险管理视为应分派给保险、财务或内部审计等部门 的工作。相反，使了解和管理风险成为 “ 每个人工作的一部分 “ 多年来，非金融领域中的严重的风险事件损坏了企业的绩效。这 些事件的发生，使一部分经理及其董事会认识到有许多传统风险管理 办法应付不了的风险因素也会影响到企业的业绩， 这些管理者同时认 识到这些风险因素的绝大部分能够得到管理但却没有得到有效管理， 因此这些公司通过实施更加系统的风险评估过程改善风险责任的配 置，应用各种验证的管理过程与技术管理所有关键性风险，发展起一 套商务风险管理体系。 在这一阶段，内部审计人员开始成为风险管理的核心。他们自 身 也在经历变革，因为他们过去采用的传统的命令驱动式工作方法既不 是动态的，又没有前瞻性这与当今动荡时代中企业管理风险时需 要的前瞻性态度是不相容的。例如，在通用汽车公司，审计总经理安 吉 泰认为 “ 内部审计部门在关注业务活动的同时，正努力工作，以 求变得更富前瞻性，为企业创造更多价值” 。 4 . 3 . 3 . 第三阶段 企业层面的风险管理 当风险管理发展到商务风险管理这一步时，管理的对象仍然主要 局限于单个风险或各相关风险。 通常在管理、 细节、 报告形式、管理 手段和指导方针上，仍然缺乏全企业范围内的一致性，这使领导层很 难估计各种风险对全企业的整体影响。而且，尽管人们对风险与机遇 之间的联系比传统模式下有了更多了解，但仍需要了解得更清楚，人 北方交通大学硕士学位论文 们需要一种新的战略性风险管理方法以便识别和管理所有的风险和 机遇。 英国著名的咨询公司阿瑟 安德森公司提出了企业层面风险管理 模型 ( e n t e r p r i s e - w i d e r i s k m a n a g e m e n t m o d e l ) . e w r m是一种结构 完整、规则明确的方法: 它将治理、 过程、 人员、技术及 知识与企业 在创造价值的同时估价和管理各种不确定性的目标密切结合起来。所 谓 “ 企业层面”意味着消除各种职能、部门甚至文化之间的障碍，意 味着采用一种真正全局性、一体化、前瞻性的方法去管理所有关键性 的商务风险与机遇，而不仅仅是金融风险，从而使企业全面实现股东 权益最大化的目标。 e w r m 方法具有预见性和前瞻性， 它能帮助企业利用其经营模式创 造价值，将企业风险管理行为和战略管理、业务计划制定过程结合在 一起，从而使企业能够: 1 . 在确切了解企业于外部环境中的真实状况基础上，识别那些具 备最佳风险/ 回报权衡的创造价值的机遇; 2 . 设计出反映上述机遇的经营模式; 3 . 对风险有一个全面的、企业层面的了解，这些风险或是存在于 企业用于执行其经营模式的资产和管理当中; 4 . 具备有效管理公司经营模式中固有风险的能力，包括有知识的 人员、有效的过程以及技术支持; 5 . 收集、分析并综合处理相关的内 容及外部数据以便为企业提供 可靠、及时的风险管理信息; 6 . 通过事先创立一个有力而又得到有效控制的环境，帮助业务单 位实现其业绩目标。 采用e w r m ， 使企业将风险管理提高到战略层次， 通过使用一种复 杂的、高透明度的、连贯而持续的方法将战略、过程、人员、技术和 知识联结在一起，以实现使整个企业的风险、收益、增长与资本都达 到最优化的目 标。同时， e w r m 也为内部审计部门全面参与风险管理提 供了可能。 内 部审计参与风险管理的具休方式 5 . 内部审计参与风险管理的具体方式 内部审计部门在企业风险管理过程中的作用可以随着时间的推 移而发生变化，并可能经历一种延续的发展过程，即 1 .从不在风险管理过程中起任何作用:到 2 .作为内部审计工作计划的一部分对风险管理过程进行审计; 到 3 .积极持续地支持并参与风险管理过程，如:参加监督委员会、 监测活动并报告情况;到 4 . 对风险管理过程进行管理和协调。 以下部分将根据阿瑟 ， 安德森公司提出的企业层面风险管理模 型，探讨内部审计部门全面参与风险管理过程的具体方式。 5 . 1 . 帮助企业建立风险管理过程 在讨论内部审计参与风险管理的具体方式时，首先要明确的一点 是风险管理是管理人员的关键职责。要实现其业务目 标，管理人员应 该保证机构拥有健全的风险管理过程。如果机构尚未建立风险管理过 程，内部审计师应该提请管理层注意这种情况，并同时提出建立风险 管理过程的相关建议。同时，内部审计师要积极参与机构风险管理过 程的初步建立工作。 5 . 1 . 1 . 风险管理过程的目 标 在建立风险管理过程中，内部审计师必须确认机构的风险管理过 程是否着眼于5 个主要目 标，从总体上对风险管理过程充分性发表意 见。风险管理过程的5 个目 标是: 1 . 找出业务战略与活动领域的风险并进行优先排序 北方交通大学硕士学位论文 2 . 管理层和委员会己经确定了机构可以接受的风险水平，包括为 实现机构的战略计划而接受的风险 3 . 设计、实施了降低风险的活动，把风险降低、管理在管理层和 董事会可以接受的水平上 4 . 开展持续的监督活动， 定期对风险和控制的有效性进行再评估， 以管理风险 5 . 董事会和管理层定期收到风险管理过程的结果报告。机构的公 司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情 况。 2 . 风险管理过程的主要步骤 风险管理贯穿于企业的各职能部门，它是所有商务活动的组成部 因此迫切需要协助各部门负责人来识别、量化并管理商务风险。 .0 5.分 这就需要一个完整的框架体系，以实现风险管理的预期效果。图5 -