试论如何对风险管理过程实施内部审计.doc

试论如何对风险管理过程实施内部审计作者：田岗单位：长城人寿保险股份有限公司风险管理部关键词 风险管理 内部审计 风险管理审计摘 要 随着企业发展壮大和内部审计理论的新发展,风险管理已成为内部审计的主要关注对象。风险管理审计使原内部审计思路和观念发生根本性转变，内部审计在风险管理过程中的职责和作用更加明显，并将帮助机构最终实现目标。一、风险管理审计是企业发展需要（一）风险管理和风险管理审计的概念 1.风险管理的概念风险管理是研究风险发生规律和风险控制技术的新兴管理学科，是各经济管理单位通过风险识别、风险衡量、风险评价，并在此基础上优化组合各种风险管理技术，对风险实施有效的控制和妥善处理风险所致损失的后果，期望达到以最小的成本获得最大保障的目标。风险管理的基本程序包括风险识别、风险衡量、风险管理技术选择和风险管理效果评价等。2. 风险管理审计的概念风险管理审计是指内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。(二) 风险管理审计是企业发展需要风险管理审计逐步在企业发展壮大中出现。在20世纪80年代，内部控制是企业管理的重要内容，检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始，世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。主要原因是：企业实行多样化经营，进入了众多以前未涉及的领域；实施国际化发展战略，控制链大大延长；信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下，企业开始注重风险管理，内部审计的重点也从以制度为基础审计（英国、澳大利亚等国的提法）或称内部控制评审（美国和加拿大的提法）转向以风险为基础审计，或称风险导向审计。到2001年（企业兼并重组改革10年后），许多公司财务丑闻的出现，如美国的安然、世通和意大利的帕玛拉特等公司财务丑闻，使各公司面临了一些灾难性问题。在此情况下，公司的内部审计风险管理职能得到了加强，企业应对风险的能力也面临着前所未有的挑战，风险管理审计逐步在企业发展壮大中出现。(三)风险管理审计特点1审计思路和观念发生根本性转变。账项基础审计注重具体交易事项的审查测试；制度基础审计虽注重内部控制的符合性测试，而风险管理审计则是注重确认和测试风险管理部门为降低风险而采取的方式和方法。2审计工作重心开始转移。审计人员的审计工作由原来的内部控制审计扩展到所有风险管理技术审计，审计范围拓宽了很多。3风险管理审计的方法更科学、更先进。风险管理审计是利用战略和目标分析的结论，确定关键风险点，进行风险评估，采取必要的措施降低或消除风险。风险管理审计还广泛运用数学分析、统计分析和计算机等技术方法，使审计工作更加简单、快捷。4风险管理审计的目的更加明确，在于揭示企业的各种风险因素，降低和防范各种风险，协助企业决策者和管理层达到预期的经营目标。二、风险管理和内部审计的关系（一）内审部门的工作与风险管理工作密不可分1内部审计与风险管理的联系日趋紧密。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会和内审部门应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性；公司减少事故的能力及对已发生风险的影响；实施特殊风险控制的成本，以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策，内部审计部门应在工作中关注公司实际执行风险控制政策的效果。2内部审计理论的新发展。顺应内部审计理论及实务的变化，国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。”这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。同时，审计需要查明审计对象各个不同部门、不同层次的风险，以告诉审计对象加以应对。这使得审计充当了顾问性的工作，以分析各种可能性，必要时，为增加分析的客观性和独立性，可以采用不记名投票方式采集不同专业、不同层次的专家对风险所在多寡的判别，如用电脑匿名投票。这些体现了风险管理的重要原则，因为风险存在是要充分被参与者广泛认同。3风险管理是内部审计的主要关注对象。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险管理分析确保其审计计划与经营计划相一致，通过使用风险管理原则改变审核过程。风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测试控制，而且包括确认风险管理方法及风险管理方法的评估。在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的风险及评估风险管理方法，才是内部审计的焦点。（二）风险管理工作与传统内部审计工作的区别1内部审计与风险管理两者的范畴不一致内部审计仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部审计。2内部审计与风险管理两者的活动不一致风险管理的一系列具体活动并不都是内部审计要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部审计所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部审计不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。3内部审计与风险管理实施程序的区别传统内部审计的审计过程采用的是一种“自下而上”的审计思路，认为审计人员只要通过被审计单位会计报表及相关资料的各个“认定”的固有风险和控制风险的评估和测试，并加以实质性测试，就可以为审计意见提供充分适当的证据。因此，在传统内部审计的模式下，审计人员实施的基本程序是：了解企业的内部控制制度，决定是否采用符合性测试；根据企业的内控制度的设计及执行情况，对控制结果进行评价；设计实质性测试的性质、时间和范围；以内控制度所产生的会计结果的会计报表和其他会计资料视为审计的最终对象，进行实质性测试。 风险管理要求工作人员首先要了解风险管理的单位及其环境，包括内部控制，尤其是被评估单位已实施的风险识别、风险衡量和采取的风险措施等；其次，工作人员将识别和评估的风险与审查程序相联系，设计和实施进一步的审查程序。故风险管理评估要求必须从被评估单位的风险管理入手，通过整体风险管理偏好和严密逻辑推理，一步一步地推导和落实评估的范围和重点，确定相关的评估目标和评估程序。因此，风险管理评估是一种“自上而下”和“自下而上”相结合的审计方法，在风险管理评估模式下，工作人员的基本程序是：实施风险评估程序，通过实施审计程序了解被审计单位及其环境，包括内部控制；从会计报表等资料评估现存较大风险；针对报表等资料披露认定的风险采取总体应对措施；针对各项流程和报表披露认定的风险实施控制措施和实质性测试。 (三)风险管理为内部审计注入了新的含义 内部审计通过将审计风险管理作为审计工作的重点，以检查、评价风险管理过程的充分性和有效性，风险管理审计主要从两个方面评估风险管理过程的充分性和有效性：1评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标、存在的风险，以及管理层采取的降低风险和加强控制的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论，如果他们接受的风险水平与公司风险管理战略不一致，应进行报告。2评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同，风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、在市场筹资的公司必须用正式的定量风险管理方法；规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责将是评价公司风险管理方式与公司活动的性质是否适当。三、内部审计应在风险管理过程中发挥的职责和作用（一）内部审计应充分发挥在风险管理中的职责传统的管理将注意力放在个别控制系统和经营机制上，而现代管理则强调总体管理概念，把总体管理控制系统与组织的长远目标联系起来；把一旦达不到目标，与可能发生的风险联系起来。因此，评价和改进风险管理、控制和治理过程，就必然成为内部审计的一项重要职责。1拥观大局。内部审计在风险管理的过程中，要综观全局，有的放矢。要站得高，看得远，看得细，看得深。不仅要仔细审视公司经营过程中每个风险的节点，更要理清关键性的风险和风险的关键性环节，对风险的估计要有整体的把握，要考虑风险管理对组织的价值具有前瞻性。同时，既要了解公司内部的风险，又要关注所处同行业的态势。既要关注本组织、本部门、本业务流程的风险，更要把握组织之间、部门之间、业务流程之间接口的风险。既要分析外在显现的风险因素，更要挖掘隐含潜在的风险因子。要努力协助组织建立起由管理层、流程参与者、存在风险的相关部门、风险管理人员和内部审计人员所使用的各种正式和非正式的流程组成的风险监督框架，以便提供及时和富有前瞻性的风险信息，为组织增值和提高管理效率，作出积极的努力和应有的贡献。2置身其中。内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。内部审计要作为风险管理过程的参与者、协调者，要真正融人到公司管理体系中，要真正置身于公司的治理和风险管理过程之中，在风险控制和改进组织机构的效果方面要发挥其领导作用，积极参与和了解组织的各项业务和流程，及时帮助发现问题，及时提出解决措施，不搞秋后算帐。同时，要利用自身的优势积极倡导组织道德文化的建设，积极协助组织规避风险，化解风险，防范舞弊，减少损失。3精通技术。风险管理作为内部审计一个新的涉及领域，内部审计人员要想成为风险管理专家，不仅要懂得财务会计及相关法律法规，熟练地运用内部审计标准、程序和技术，还必须具备相应的风险管理素质和技能。在全球经济一体化，信息化技术飞速发展的今天，内部审计人员除了要扎实专业技能外，更应丰富专业风险管理的知识和技能，精通现代管理信息技术和先进的管理技术手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少风险，改进管理和提高效率。4适时沟通。风险的不确定性，要求内部审计在风险管理过程中，加强沟通的力度，拓宽沟通的层面，丰富沟通的渠道，更新沟通的手段，加快沟通的进程。内部审计机构与被审计单位、组织管理层之间，应积极沟通彼此意见，充分体现参与式内部审计的理念；沟通应力求准确、客观、清晰、简洁、完整、及时、富有建设性，不仅要做到“知己知彼”，有的放矢，更要减少因沟通产生的风险，避免由于信息的不准确、不及时、不完整所造成的决策失误和决策缓慢，以及由于沟通不力，或不能很好地了解信息，致使出现对信息的错误理解，并导致不适当的行动，进而造成机会损失或士气低落以及各种冲突等不利因素的发生。5恪守道德。内部审计要恪守独立、客观、公正的原则，保持应有的职业品质、职业纪律、专业胜任能力及职业责任，避免因道德方面给公司带来风险和损失。内部审计人员应当用正直建立起信用，为其判断的可靠性提供基础；应当诚实、勤奋并负责的完成工作；在收集、评价和沟通有关被检查的活动或过程的信息中，内部审计人员要展示最大的职业客观性；内部审计人员在作出判断的过程中，不应受个人喜欢或他人的不适当影响，对所有的相关环境作出公正的评价；内部审计人员应谨慎使用和保护在职责中获取的信息，避免利用信息做出任何有悖法律或有害公司的行为。（二）内部审计应在风险管理中发挥的作用在新的内部审计范式下，内部审计将参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改善风险管理体系；评价并改进组织的治理程序，为组织的治理做贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险专家，通过对风险的把握来评价公司的治理与内部控制，并促进公司治理和内部控制的改善，从而实现对风险的掌握与驾驭。1检查与评价。内部审计可以通过运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层或审计委员会提供帮助。其中包括一是确定风险领域：内审审计通过分析企业所面临的风险，特别是灾害性风险，以及产生新风险的环境因素，在了解风险的基础上，提出防范风险的建议，让董事会识别风险，确认接受风险的程度，制定风险政策，指导企业有效地使用内部资源。二是评价风险控制程序的有效性：内部审计通过评价企业高级管理层制定的风险控制程序是否适当和有效，是否满足董事会接受风险的程度，提出改进风险控制程序的建议。三是检查风险管理过程的效果：内部审计通过检查和测试财务、经营和合规性控制程序，发现持续存在的风险，评价风险管理过程的效果，提出如何改进风险管理，为企业提出增加价值方面的建议。2管理与协调。内部审计具有相对的独立性。内部审计经过长期的发展已经成为一种专门的职业，它有自己的职责说明，职业道德规范，专门的实务标准。内部审计能够客观地从全局的角度管理风险，能从组织的利益和实际出发，清醒地识别和评价风险，提出防范风险的有效建议。内部审计可以以其对组织全面而深入的了解，客观而开放的视角，以及可以影响管理高层的特殊地位，积极地支持和参与风险管理过程，对风险管理过程进行管理和协调，促进被审计部门经营和管理的改善，赢得他们的信任和尊重。3顾问与咨询。由于内审人员对本组织的情况最为熟悉，对内提供咨询有独特的优势。内部审计可以通过发现评估并运用风险管理的方法和措施，帮助组织解决风险问题；内部审计在企业尚未建立风险管理的过程中，可以积极向管理层提出建立风险管理过程的相关建议，通过咨询的方式，积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能；内部审计可以在改善管理层的风险管理流程的效果和效率方面，协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责，如果有关方面提出要求，内部审计可以积极协助组织进行风险管理过程的初步建立工作，同时更为积极的提供发现和评估风险的方法。4报告与防范。审计发现如何传递，审计成果如何利用，舞弊风险如何防范，所有这一切将直接关系到内部审计在风险管理监督体系中的存在价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥领导作用：一方面，内部审计要与相关部门进行风险管理适时的沟通，对风险管理过程的充分性和有效性进行检查、评价并报告，对重大的审计发现要按清晰传递的线路进行报告，对监督检查结果的落实情况要进行跟踪并报告，使风险及时得到控制和防范；另一方面，内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊，可以利用其自身的优势在倡导良好的道德文化建设方面发挥更大的作用，从而有利于舞弊的防范。（三）内部审计在风险管理中的实施保证1观念到位。内部审计在风险管理中不再是单纯财务意义上的账簿、报表审计，其审计内容涉及企业所有领域，包括人事、市场营销、生产、技术、信息技术、商务等环节，内部审计是对企业管理的全过程进行审计评估，及时发现和避免各种风险。在当前市场竞争日趋激烈的情况下，企业面临的风险越来越大，风险管理审计已成为内部审计的主要内容，内部审计已成为企业风险管理的一个重要环节，存在风险的领域就是内部审计的重点。内部审计应从传统的内部财务控制狭窄范围内摆脱出来，扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展，从单一的内部审计向内部审计与外部审计相结合方向转变。内部审计除了要关注传统的内部控制之外，更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点不再是测试控制，而是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”。2制度到位。制度在企业风险管理中常常起着关键性的作用。内部审计组织应该针对各项业务制定全面、系统的政策、制度和程序，并在全系统范围内保持统一的业务标准和操作要求。内控制度要覆盖所有风险点，贯穿决策、执行、监督全过程，重点岗位、主要风险环节做到相互制约、相互制衡。对新业务、新产品更要事先制定相关规章制度以准确计算和评估风险，防患于未然。同时，对现有制度要不断进行评估、修订、补充和整合，确保各项制度在各部门、各层次得到贯彻执行。各级管理层对风险管理要有深刻的认识和高度的重视，要有较强的防范风险意识，这是内部审计成功实施风险管理的必要前提。3角色到位。过去，内部审计被定位于“监督者”或“内部警察”的角色；现在，内部审计的主要作用是“保证和建议”，而不是以往的“监督和复核”。内部审计的角色由监督者逐步转变为控制者、协调者、参与者和服务者。内部审计部门与管理层应该是伙伴的关系，被审计部门应该是内部审计部门的顾客，内部审计应该积极做好为被审计部门的服务工作。具体说，董事会负责制定战略目标，风险的所有权应当赋予高级管理层，剩余风