（工商管理专业论文）现代企业风险管理审计应用研究.pdf

i 摘 要 内部审计是基于受托经济责任的需要而产生和发展起来的 是经营管理分权 制的产物 进入 20 世纪 90 年代以后 随着企业规模的扩大 分支机构和管理层 次逐渐增多 公司面临的经营风险逐渐增多 公司管理当局希望得到更富有建设 性的服务以巩固 提高其组织地位 于是对内部审计工作提出了新的要求 企业对风险管理的空前重视 为内部审计提供了一个增加企业价值的绝好机 会 同时 内部审计参与风险管理工作是其发展的趋势 风险管理审计是对传统 审计方式的突破和创新 是融风险管理 审计为一体的新兴审计模式 是以对整 个组织的风险进行评估与改善为最终目的的一种审计理念 风险管理审计从组织 目标的角度来评估与改善风险 为专业的风险管理部门或专职的风险管理人员提 供咨询与保证服务 从而将内部审计在企业中的作用推向一个新的更高层次 本文以国内外最新审计理念为导引 采用文献研究 比较研究 理论分析方 法 研究了风险管理审计在企业的应用现状 应用中存在的问题及原因并提出了 相应的完善策略 文章首先对企业开展风险管理审计进行了理论分析 然后 通 过对我国企业内部审计工作的观察和分析 找出了风险管理意识及风险管理技能 有待加强 内部控制目标片面 组织架构还不完善等一系列问题 针对上述问题 借鉴美台风险管理审计发展经验 提出了加强风险意识和风险管理技能 引导控 制活动 架构风险保障体系等完善对策 关键词 风险管理审计 现代企业 应用研究 ii abstract internal audit develops due to the need of economic responsibility of the entrusted party in enterprise it is the result of decentralization of management since the 1990 s along with the expansion of enterprise scale and more branches and multiple management levels enterprises nowadays are encountering more and more management risks the concerning authorities expect to consolidate services and improve its position therefore the internal audit work has made new demands the unprecedented emphasis on risk management provides an absolutely excellent chance for internal audit to enhance enterprise value meanwhile it is the inevitable trend to add risk management into internal audit risk management audit is a great breakthrough and innovation of new emerging audit mode which integrates risk management and auditing and embodies a new conception with the ultimate goal of evaluating and improving the organizational risk risk management audit tries to control risk from the organizational goal perspective and provide risk management consulting and assurance service to professional risk management section thus to endow internal audit with a higher status of importance with reference to the latest auditing theories and utilizing the means of literature study comparative study and theoretical study this paper studies the application actuality and present problems of internal audit in enterprises and tries to find the cause of the problems and provide reasonable solutions at the beginning this paper makes a theoretical study of risk management audit in enterprises and then after the further study to internal audit of domestic enterprises there are many useful findings such as lack of risk identification sense and inadequate risk management skill in addition the internal control goal is far from comprehensive and the organizational structure needs to be improved in consideration to these problems in china and risk management audit experience in united states and taiwan the paper finally provides some feasible solutions including strengthening risk identification and risk management skill conducting risk controlling activities and constructing framework for risk security system key words risk management audit modern corporate application study 湘潭大学湘潭大学 学位论文原创性声明学位论文原创性声明 本人郑重声明 所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果 除了文中特别加以标注引用的内容外 本论文不包含任 何其他个人或集体已经发表或撰写的成果作品 对本文的研究做出重要贡 献的个人和集体 均已在文中以明确方式标明 本人完全意识到本声明的 法律后果由本人承担 作者签名 日期 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留 使用学位论文的规定 同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版 允许论文 被查阅和借阅 本人授权湘潭大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索 可以采用影印 缩印或扫描等复制手段保存和汇 编本学位论文 涉密论文按学校规定处理 作者签名 日期 年 月 日 导师签名 日期 年 月 日 1 第 1 章 引 言 1 1 选题背景及意义 企业活动的根本目的是追求企业价值增值 企业管理成功的重要标志是具备 抵抗各种风险的应变能力 企业必须在战略目标 重大投资决策 日常经营活动 和绩效评估等各个方面高度关注风险因素 1 风险管理是企业经营过程中的核 心内容 内部审计作为企业内置的一个职能部门 必然应当成为企业风险管理的 有效组成部分 从组织目标的角度帮助管理层发现 评估重要的风险因素 提出 防范风险的具体措施 从而为企业增加价值 在我国 随着现代企业制度的建立和不断完善 企业内部自我约束机制逐步 形成 内部审计成为企业管理控制的重要组成部分 评价和改善企业的风险管理 和控制的有效性做为内部审计的主要内容 将逐渐拓宽内部审计在企业内部生存 与发展的空间 作为内部审计职业的国际性组织 国际内部审计师协会 the institute of internal auditors 简称 iia 早在 20 世纪末就指出 我们 内部审计 是改善公 司管理水平的力量 2 因此 iia 顺应潮流不遗余力地倡导内部审计师进军风险 管理领域 把风险管理作为内部审计的重要领域直接写入了内部审计的定义 国内外理论研究和实践表明 一方面 自从风险管理引入到企业管理过程中 并逐渐发展为企业管理的核心 使公司目标从决策的科学性转向了实现有效的风 险管理 另一方面 在企业开始注重风险管理的情况下 对公司的风险管理过程 进行评估和报告成为内部审计工作的一项重要内容 内部审计正在公司风险管理 中发挥重要作用 风险管理审计既是风险管理的最后一道防线 又是推动风险管 理向前发展的有效力量 与以往的研究相比 本文的研究侧重于研究风险管理审计在企业的应用现 状 应用中存在的问题及原因并提出相应的完善策略 这些研究对于认识风险管 理与内部审计两者的关系 促进风险管理审计在企业管理中作用的充分发挥 更 好的推动风险管理审计的应用具有十分重要的理论和现实意义 1 2 风险管理审计理论综述 内部审计是在组织内部多层次管理经营分权所形成的内部受托责任的前提 下 基于特定的需要而产生和发展起来的 内部审计的本质是确保受托责任履行 的管理控制机制 内部审计的基本价值又在于代表特定级别的管理者行使监督 2 评价的职能 现代内部审计之父 劳伦斯 索耶说过 内部审计是管理层的 耳目 随着企业管理理论与实践的发展 内部审计受托责任在范围和内容上不 断扩展和充实 内部审计的外延和内涵也日益拓展和丰富 从而不断出现新的导 向阶段 20 世纪 90 年代起 关注利益相关者的价值理念在管理中成为主流思想 企业致力于增加价值 公司治理 内部控制以及风险管理的研究进入了比较成熟 阶段 世界各地相关法规纷纷出台 对内部审计提出了新的要求 公司管理当局 也希望从内部审计工作中得到更富有建设性的服务以巩固 提高其组织地位 这 一切都给内部审计带来了压力 风险管理审计就是应对这些压力而产生的 风险管理审计由内部审计始发而来 其产生 或起源 是沿着内部审计和管 理实践两条道路发展而来 早在 1997 年 麦克宁和塞林 mcnamee selim 就提出内部审计在组织中的作用已经从原来的 独立的评价职能 转变为 整合 风险管理和公司治理 虽然麦克宁和塞林没有展开具体分析 但可以说他们的 观点是有前瞻性和洞察力的 严晖 2004 认为 以风险为核心和出发点的内部 审计从事后反应式的评价和反馈转变为更加能动 及时的前馈和实时反应 郑小 荣 2006 认为 现代企业面临的高风险经营环境引起企业对内部审计需求的变 化是风险管理审计产生的内部背景 而审计外部化趋势侵蚀内部审计生存的职业 空间是风险管理审计产生的外部背景 王光远 2007 认为 企业有许多风险点 需要对风险点进行专门审计 这便产生了风险管理审计 有关风险管理审计理论 与实务的研究 从 20 世纪 90 年代兴起 有些团体和个人做了大量的工作 取得 了具有可操作性的结果 1995 年澳大利亚标准委员会和新西兰标准委员会成立 的联合技术委员会制订和出版了世界上第一个企业风险管理标准 s nez4360 标 准 为企业内部审计提供了一个以风险为基础的框架 严复海 2007 澳大利 亚内部审计已较早地走出单纯财务收支审计圈子 步入以内部控制和风险管理为 主要内容的现代审计 澳大利亚内部审计参与风险管理和控制的基本流程已成为 固定模式 3 iia 研究基金 2001 在 企业风险管理 趋势和最佳实践 一文 中建立企业风险管理框架 该框架包括评估风险 整合风险 探究风险和保持向 前四个环节 总部位于纽约的雅芳公司内部审计部门的目标是成为运营部门和公 司管理层的业务伙伴 根据公司战略行为和目标调整审计策略 在新的业务风 险降临时 设法从开始就介入 并通过雇佣有经验的员工执行原本草率行事的初 始检查 内部审计部门通过引导公司改进审计计划来关注公司全面的业务风 险 4 杜邦 du pont 公司内部审计人利用战略经营机构网络进行全球性风险评 估和认定 5 内部审计人利用风险模型的分析结果 与管理当局讨论实际的风险 情况 确定下年的主要风险领域 从本世纪初至今 美国对风险管理审计做了大量的实证研究或经验研究 并 3 取得了丰硕的成果 2004 年美国国家财务报告舞弊委员会 national commission on fraudulent financial reporting i e treadway commission 所发起的内部控制研 究发起组织 committee of sponsoring organization coso 发布了 企业风险 管理框架 enterprise risk management integrated framework erm 该风险 框架是 coso 委托美国普华永道会计公司 pricewaterhouse coopers 组织编写 的 基本上是对在全球跨国公司运用多年的全面风险管理实践进行的系统总结 成为风险管理审计发展史上的经典文献 6 在 erm 框架中 要求内部审计人员在 监督和评价成果方面承担重要任务 评估风险管理要素的内容和运行以及执行质 量 协助管理层和董事会履行其职责 erm 扩大了内部控制的范围 提高了内部 控制的层次 是一个更关注风险的强大的概念体系 7 值得一提的是 2004 年 iia uk and ireland 机构发表的名为 the role of internal udit in enterprise risk management 的意见书中指出 采用 erm 的组织已逐渐认识到 内部审计能在 组织的 erm 过程中发挥最为合适的作用 beasley 等在 coso 发布 erm 框架之 后的经验研究表明 erm 使内部审计对组织风险有了更好的了解 随着内部 审计部门在 erm 方面的经验越来越丰富 erm 对内部审计的积极影响将得到更 多的体现 这表明 erm 对内部审计产生了显著影响 内部审计在 erm 中扮演 着多种不同的角色 compion antita 2000 gerrit sarens ignace de beelde 2005 澳大利亚证券交易所 australian stock exchange 明确提出了风险管 理包含内部控制的观点 英国与爱尔兰内部审计协会 2003 年 8 月颁布了关于 风 险管理审计 的立场公告 position statement 对风险管理审计的作用做出了阐 述 8 2004 年 iia 内部审计实务标准 专业实务框架 的修订对风险管理审 计科学成长意义重大 江苏省内部审计师协会 2004 年印发 江苏省内部风险管 理审计准则 试行 中国内部审计协会 2005 年发布 内部审计具体准则 16 号 企业风险管理审计 9 这些著作和法规代表了管理职业界发展风险管理 审计的尝试 风险管理审计的文献除涉及上述风险管理审计的历史发展外 还涉及了风险 管理审计实施的必要性 风险管理审计的动因等方面内容 内部审计思想 bailey 等 2006 中 herman son 和 rittenberg 将内部审计的治理活动界定为 风 险监控 和 控制确认 他们认为 风险监控 控制确认和遵循工作构成内 部审计活动的主要部分 这三个要素一起共同直接勾画出组织治理 内部审计 在公司治理中的作用 包括监控 评价和分析组织的风险与控制 以及检查和确 认信息与政策 程序和法律的遵循 摩根士丹利 morgan stanley 高级经理 卓继民注册会计师的专著 现代企业风险管理审计 中对风险管理审计理念和方 法进行了系统的阐述 他运用工具 模型以及来自实践的案例研究了风险管理审 4 计的概念 对象 准则 报告等一些基本的问题 为风险管理审计的规范化做了 大量基础性工作 陈珊珊对风险管理审计从纵横角度分析了其最新定位和独特优 势 10 陈锦烽认为 内部审计工作从控制扩大为风险管理及公司治理是时势所趋 11 王骥认为风险管理将由一般能力变为核心竞争能力 成为企业管理的重点 12 高东坡在 内部审计如何参与企业的风险管理 中研究了在我国开展风险管理审 计的必要性和可行性 着重强调了由内部审计师执行风险管理审计业务的优势 13 夏丹宁在 推进风险管理审计的思路 中从理论与实践相结合的角度 就风险 管理审计选题 立项 工作方案 审计方法 审计评价等做了初步的探讨 14 刘世谨将风险管理审计动因概括为以下四点 15 其一 企业面临的风险日益增大 减少企业面临的风险是组织实现目标的关键 其二 内部审计对发展的渴求 使 内部审计师把风险管理作为内部审计的重要领域 其三 内部审计能够在风险管 理中发挥独特的作用 包括管理风险 控制指导风险管理策略 加强管理当局对 内部审计部门意见的重视程度 其四 外部审计扩展了风险评估这项新的保证服 务业务 这不能不对内部审计界产生影响 孟焰认为企业风险管理审计应当包括 以下方面的内容 16 1 通过审查风险管理组织机构的健全性 风险管理程序的合 理性 风险预警系统的存在及有效性确定企业风险管理机制的健全性及有效性 2 通过审查风险识别原则的合理性 风险识别方法的适当性确定风险识别的适当性 及有效性 3 实施必要的审计程序 对风险评估过程进行审查与评价 并重点关注 风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素 同时 内部审计人员应当充分了解风险评估的方法 并对管理层所采用的风险评估方法 的适当性和有效性进行审查 本世纪以来 风险管理审计的问题逐渐成为世界范围内普遍关注的问题和会 计 审计科学改革的焦点 独立咨询师 imc 国际注册内部审计师 cia 金融风险管理师 frm 和注册企业风险管理师 cerm 四支力量推动着风险 管理审计的发展 诸如以迈克尔 波特为代表的战略管理理论以及迈克尔 哈默 及詹姆斯 钱皮的企业再造理论等为风险管理审计提供了重要的理论基础 数理 统计学 实证方法 计算机技术等为风险管理审计有关方式和方法的建立和运用 提供了有利的技术方面的支持 1 3 研究方法 本论文主要针对当前形势下的企业风险管理审计存在的问题进行研究 力求 做到理论与实践相结合 动态与静态相结合 个体与整体相结合 通过阅读一些 有关风险管理与内部审计的书籍 获取理论上的知识 并基于上述两个理论进行 思考和总结 5 在论证的资料来源上 一方面结合本人的实际工作获取大量的一手资料 并 通过阅读有关企业的报道 分析获取二手资料 另一方面则阅读了大量有关国外 公司风险管理审计的书籍 报刊杂志获取二手资料 在获取一手资料和二手资料 的基础上进行分析 归纳 总结和演绎 定性地阐述了风险管理审计在企业中的 完善策略 本论文研究的结果对我国企业可能具有一定的参考价值 1 4 研究框架 本文分五个部分 第一部分是引言 第二部分是风险管理审计概述 从风险 管理审计的产生背景以及包括内涵 职能 作用在内的基本理论问题进行概述 并对风险管理审计在企业应用的必要性进行分析 在此基础上 第三部分对风险 管理审计应用存在的问题及原因进行分析 第四部分对美国和台湾地区风险管理 审计发展经验进行借鉴 第五部分提出风险管理审计在企业中的完善策略 6 第 2 章 风险管理审计概述 2 1 风险管理审计的内涵 企业目标是企业期望达到的一种结果状态 但由于经济 行业 企业应当遵 循的规范制度及企业运行条件等因素都会持续不断的变化 企业目标的实现存在 不确定性 因此 iia2001 年对风险 risk 定义为对企业目标的实现产生影响 的事项发生的可能性 风险的衡量标准是后果 consequences 与可能性 likelihood 17 可见 风险既关注积极面 也关注消极面 能促使企业建立用以 有效认知和管理涵盖整个组织的风险的程序 就是全面风险管理 美国学者威廉斯 c arthur williams jr 和理查德 汉斯 richard m heins 在 1964 年出版的 风险管理与保险 中给 风险管理 下了一个基本的定义 即 风险管理是通过对风险的识别 衡量和控制 以最低的成本使风险导致的各 种损失降到最小程度的管理方法 18 这一定义 威廉斯与汉斯做了进一步的解释 企业风险管理的目标是以最小的成本达到最大的安全效果 企业风险管理由风险识别 风险衡量和风险控制几个环节组成 实现风险管理目标的主要手段是控制 2004 年 coso 对风险管理的权威定义为 企业风险管理是一个过程 它由一个主体的董事会 管理当局和其他人员实施 应用于战略制订并贯穿于企 业之中 旨在识别可能会影响主体的潜在事项 管理风险以使其在该主体的风险 容量之内 并为主体目标的实现提供合理的保证 coso 认为 全面风险管理 是一种结构化的 训练有素的方法 帮助管理层理解和管理可能威胁公司成功的 各种不确定性 中国内部审计协会 2005 年发布的 内部审计具体准则第 16 号 企业风险 管理审计 中指出 风险管理 是对影响组织目标实现的各种不确定性事件进行 识别与评估 并采取应对措施将其影响控制在可接受范围内的过程 风险管理旨 在为组织目标的实现提供合理保证 根据这一定义 凡是对影响组织目标实现 的各种不确定性事项 就应当通过内部审计进行识别与评估 并采取应对措施 减少或消除企业管理 经营之风险 19 根据权威专家的总结 笔者认为 风险管理审计是建立在全面风险管理基础 上的一种系统化 规范化的内部审计技术方法 这种方法作为成功的全面风险规 划的一个重要组成部分 更加关注企业的经营目标 管理层的风险承受度 关键 风险衡量指标 即绩效指标 以及风险管理能力 它以测试企业风险管理信息 系统 各业务循环及相关部门的风险识别 分析 评价 管理及处理等为基础的 7 一系列审核活动 对企业的风险管理 控制及监督过程进行评价进而提高过程效 率 帮助机构实现目标 2 2 风险管理审计的职能 风险管理审计作为一项独立 客观 公正的约束与评价机制 是完善公司治 理的必不可少的重要手段 具有不可替代的独特的功用 其职能有四项 20 1 检查与评价 内部审计可以通过运用风险管理方法和控制措施 对风险管理过程 的充分性和有效性进行检查 评价和报告 提出改进意见 为管理层或审计委员 会提供帮助 其中包括确定风险领域 内部审计通过分析企业所面临的风险 特 别是灾害性风险 以及产生新风险的环境因素 在了解风险的基础上 提出防范 风险的建议 让董事会识别风险 确认接受风险的程度 制定风险政策 指导企 业有效地使用内部资源 评价风险控制程序的有效性 内部审计通过评价企业高 级管理层制定的风险控制程序是否适当和有效 是否满足董事会接受风险的程 度 提出改进风险控制程序的建议 检查风险管理过程的效果 内部审计通过检 查和测试财务 经营和合规性控制程序 发现持续存在的风险 评价风险管理过 程的效果 提出如何改进风险管理 为企业提出增加价值方面的建议 2 管理 与协调 内部审计能够客观地从全局的角度管理风险 能从组织的利益和实际出 发 清醒地识别和评价风险 提出防范风险的有效建议 内部审计可以凭着其对 组织全面而深入的了解 客观而开放的视角 以及可以影响管理高层的特殊地位 积极地支持和参与风险管理过程 对风险管理过程进行管理和协调 促进被审计 部门经营和管理的改善 赢得他们的信任和尊重 有些企业的内部审计人不仅独 立开展风险管理审计 还充当企业风险管理的教练 顾问 合作伙伴或策划人 即开展风险管理审计相关业务 如表 2 1 所示 3 顾问与咨询 由于内审人员 对本组织的情况最为熟悉 对内提供咨询有独特的优势 内部审计可以通过发现 评估并运用风险管理的方法和措施 帮助组织解决风险问题 内部审计在企业尚 未建立风险管理的过程中 可以积极向管理层提出建立风险管理过程的相关建 议 通过咨询的方式 积极协助企业风险管理过程的建立或使风险管理过程的建 立成为可能 内部审计可以在改善管理层的风险管理流程的效果和效率方面 协 助管理层和审计委员会进行检查 评价 报告和提出建议 管理层和董事会对于 本组织的风险管理和控制流程负责 如果有关方面提出要求 内部审计可以积极 协助组织进行风险管理过程的初步建立工作 但更为积极的作用是通过改善组织 基本程序的咨询工作对传统保证业务进行补充 4 报告与防范 审计发现如何 传递 审计成果如何利用 舞弊风险如何防范 所有这一切将直接关系到内部审 计在风险管理监督体系中的存在价值和作用 8 表 2 1 10 家世界知名企业风险管理审计部门促进和帮助的做法 企业名称 风险管理审计实践 备 注 entergy公司 1 内部审计与风险管理部门合署办公 2 将企业面临的 各种风险分为 27 个类别 为每一类风险作出书面定义 在企业内统一风险语言 3 内审部门为下属 22 个经营 单位指派 教练 经营单位负起全面的风险管理责任 评估及识别风险 对风险进行分等排序 制定行动 计划并跟踪执行情况 而内审部门则扮演平等的顾问角 色 作用主要在于指导和影响 4 22 个业务单位的负责 人年初向审计委员会主席及首席执行官提交风险管理责 任书 声明对其自身业务的风险管理负责并且积极采用 综合风险管理战略 5 内审部门主要通过两类信息系统 驱动风险管理过程 企业风险管理信息系统 及 内 部控制信息系统 6 内审部门为下属单位提供风险管 理训练 花费 75 的时间指导这些单位的员工预防及检 查风险 监督及设计适当的控制 美国最大的 电力公司之 一 菲利浦 莫里 斯公司 1 通过与外部咨询机构合作以补充内审技能的不足 2 及早参与重大决策活动 如在计算机系统实施之前识别 风险并提出解决方案 3 为对付舞弊风险 在内审部门 内专门成立 舞弊组 建立舞弊资料库 分析统计数 据 发展预防程序 4 为了对企业所面临的广泛风险作 出反应 优化内审部门人员组合 吸收市场专家 计算 机专家 管理顾问 工程师 化学专家和舞弊检查专家 等多种专业人才加入内审队伍 5 通过内联网沟通信息 调阅资料及分享最好的实践 6 内审为每一经营单位的 每一项职能开发风险评估程序 7 用战略分析矩阵 swot 分析内审部门的优劣势 为内审部门制定五年战 略计划 重点是人力资源计划 世界上最大 的 烟 草 公 司 全球拥 有15万名员 工 clorox公司 1 以控制和自我评估来识别与管理风险 2 内审人员全 由高级审计师和审计经理组成 他们将内审部门作为长 期生涯的跳板和最好的起点 在内审部门停留的时间仅 有 9 30 个月 内审部门不断选调新人 3 内审部门发 展出一个覆盖主要经营过程的风险识别和排序工具 内部控制指导书 训练和帮助经营单位进行风 险管理 4 在 内部控制指导书 的帮助下 内审更多 地执行高水平的顾问工作 集中精力于最重要的风险领 域 从而提高了工作效率 平均单位审计时间削减到 3 个星期以下 5 通过风险与控制自我评估活动 在企业 内普及了风险与控制观念 改善了内部审计形象 太阳微公司 1 从审计委员会 高级执行经理和经营过程负责人等内 审利益相关者那里收集意见和信息 指导内审实践 2 关注战略性风险审计课题 3 内审部门采用网络式而非 等级式组织结构 4 每个审计师都与一个经营单位的负 责人建立一对一的合作伙伴关系 5 内审部门扮演人才 世界最著名 的计算机公 司之一 9 中转站的角色 内审人员工作 2 3 年后即转至其它部门 担任要职 公司成立 15 年已以此种方式更替了 4 任内 审主管 然后再选调新人 6 不超过 73 的内审人员具 有传统的财会背景 75 以上是其他方面的专家 7 为 识别和管理公司最重要的商业风险 成立由各职能领域 最关键雇员组成的 风险评估委员会 内审在其中发 挥重要作用 intel公司 1 在开展风险评估 编制年度审计计划过程中 广泛收 集审计客户的意见 2 审计人员超过 65 的时间出差 3 内审人员在内审部门的平均停留时间约 2 年 新聘内 审人员以工商管理硕士 mba 而非注册会计师 epa 为主 4 内审人员更多地扮演顾问和合作伙伴角色 世界最知名 的计算机公 司之 levi公司 1 内审部门采用综合风险管理办法 将公司面临的关键 商业风险划分为 15 个类别 为全球每一地区的经营单位 发展 风险识别图 2 内审与其他部门积极合作 共 同制定风险审计计划 3 内审事前积极参与重大经营活 动的风险评估过程 4 以风险导向审计计划代替轮流审 计计划 5 多数内审人员在内审部门只工作18 24个月 然后流动到其他部门或经营单位 内审部门再从其他部 门选调新人 世界知名品 牌 列 维 牛仔裤 的生产商 全球最大的 服装企业之 一 ge公司 1 修改内审部门远景声明 以 为支持企业风险管理提 供独立的评价和建议服务 作为其新的定位 2 内审与 公司其他部门充分合作 3 采用电子工作底稿 内部网 互联网及 过程风险管理资料库 等各种类型的自动化 工具 以便更有效地开展风险管理审计工作 4 更多地 开展推进控制与风险自我评估和风险管理咨询活动 而 不是传统的审计工作 5 内审部门擅长于界定过程 分 析风险 评估控制和设计风险管理框架 世界最大的 工业企业 sgi公司 1 内审部门实行三个层次的风险管理框架 第一层次为 最基本的符合性和控制审计 第二层次为经营风险管理 审计 第三层次为战略风险管理审计 2 内审部门提供 两种核心能力 向执行经理与董事会提供风险评估及控 制方面的专家经验 3 作为一个管理能力开发中心 审计人员工作时限 2 3 年 不断从其他部门选调新人 4 实施控制自我评估 引导内审人员走出 象牙塔 5 内审部门在内联网上设置工作站协助开展控制与风险自 我评估工作 著名因特网 公 司 福 布 斯 500 强之 一 在 27 个国家设有 分支机构 ameritech公 司 1 使用 平衡记分卡 管理内审队伍 2 内审人员平均 工作 18 个月后即轮换到其他部门 再从其他部门选调新 人 3 使用自动化的 审计教练 系统收集知识与经验 并用以培训内审人员 4 采用三阶段风险管理审计方法 风险与控制自我评估 修订年度和季度风险管理审计计 划 每季度根据风险评估状况进行调整 依据风险评估 结果开展风险管理审计 世界最大的 电信公司之 一 拥有 1 亿美元年营 业额和 74000 名员 工 10 西尔斯公司 1 为内审人员提供 12 种技能训练 重点是训练其沟通 与领导能力 2 鼓励内审人员考取各类专业资格 公司 总裁为成绩优异者颁布金质奖章 3 建立人才流动机制 内审人员在审计部平均工作时间为 18 24 个月 内审人 员平均每周出席招募面试会议 3 5 次 4 内审部门广 泛使用自动化审计工具 并且在适当时机将之移交给经 营单位 以协助其开展自我审计 5 借助自动化审计工 具对业务进行 100 的测试 世界第二大 零售商 全 球拥有员工 约 30 万人 资料来源 广东省纺织品进出口 集团 公司风险审计课题组 风险基础内部审计 机遇与挑战 2 3 风险管理审计的作用 内部审计作为企业内部的一个职能部门 必然应当成为企业风险管理的有效 组成部分 从组织目标的角度来评估与改善风险 为专业风险管理部门或专职风 险管理人员提供咨询与保证服务 1 风险环境中 内部审计师要分析诸如信息 技术 办公自动化等这些环境因素的变化 才能进一步考虑企业风险变化和控制 是否与形势变化相符 并将分析结果反映给管理层 供他们作决策时参考 2 风险事件识别中 内部审计师需要运用某些分析方法 创造性地进行分析 判断 管理层是否完全识别了单位的所有风险 若有遗漏的风险 要提醒管理层加以考 虑 3 风险评估中 内部审计师要利用其特有的独立地位 从客观角度分析风 险的假设条件 计算方法等来评价风险 提供恰当意见 4 风险反应和控制活 动中 内部审计师要分析风险回报的合理性 减少风险措施的有效性 以及接受 风险转移和风险分担的那一方的风险 5 信息沟通中 内部审计师可以通过评 价报告系统 证明风险信息被准确 及时地传达给相关人员 内部审计报告可以 向董事会传递风险是否得到有效管理的信息 具体作用可以用图 2 1 表示 中国 内部审计协会 2004 内部审计必须明白是管理者对风险管理负责 风险偏好 由管理层设定 内部审计不应代表管理者来对风险进行管理 内部审计不应对风 险反应作出决定 可支持管理者所作出的决定 21 当管理者所作出的风险管理决 定与内部审计不同时 应提出质疑或建议 综上所述 现代内部审计是以识别企 业所面对的战略风险 经营风险和财务风险以及评估由管理层实施的适当控制为 基础的 实现在一个动态变化的环境范围内规避 降低 转移风险等为主要职责 之一 11 图 2 1 内部审计在erm中的作用 2 4 风险管理审计在企业应用的必要性分析 2 4 1 风险管理审计是当今时代发展的潮流 20 世纪末以来 风险管理审计在管理界 企业内部得到发展和应用 这一 做法得到国际内部审计职业界的普遍认可 2001 年亚洲内部审计联合会组织的 亚洲内部审计大会主题是 新经济对内部审计的挑战 风险管理与公司治理 大会提出 在新的经济形势下 内部审计必须继续关注组织管理层的需求 了解 组织的风险 并对风险管理进行评估 iia 在美国华盛顿召开的第 61 届年会传 递的一个重要信息是国际内部审计的发展正实现由管理保障 即我们常说的管理 审计 向风险保障 即我们常说的风险评估 转变 2004 年 6 月 iia 第 63 届国 际大会讨论的三个热点问题之一是风险管理 而这两年来一系列与内部控制 风 险管理相关的政策法规的密集出台及企业内部控制标准委员会的成立 无一不彰 显了各界对内部控制与风险管理制度要求的高起点和高标准 内部审计的目标与 管理当局的目标相同 即加强内部控制 降低成本费用和损失浪费 提高经济效 益 内部审计也以风险管理为主旋律 风险管理已成为当今世界最主要 发展得 最为迅猛的领域之一 在我国 一方面 随着政府 市场监管机制的增强和较为复杂的商业的发展 以及一些新的社会环境的威胁下 管理环境不仅变得日益复杂 而且愈来愈不稳 定 面临的外部风险越来越高 另一方面 为了适应风险日高的外部环境 组织 的规模越来越大 业务翻新越来越快 内部机构变化越来越频繁 这使得其内部 风险也越来越高 这一切使得内部审计工作职能的定位也由监督导向型向风险导 12 向型转变 李金华原审计长指出 内部审计在促进单位风险管理水平和内部控制 建设方面 应该说是大有可为的 中国内部审计协会会长王道成认为 内部审 计正处于从以财务收支审计为主的审计模式向以内部控制和风险管理为主的审 计模式转变 中国内部审计协会副会长兼秘书长易仁萍认为 参与企业风险管 理 更多进行风险导向审计是内审发展方向 中国内部审计协会发布的 内部 审计具体准则第 16 号 风险管理审计 中也提出 内部审计人员对风险管理 的审查和评价是内部控制审计的基本内容之一 这也表明内部审计在为组织创 造价值的功能目标驱动下 其重心由内部控制逐步转向风险管理 利用其在企业 内部独立 权威和信息集成的独特优势 将评价和改善企业风险管理机制作为审 计服务重点 在这一全新的服务领域发挥作用 可以说风险管理审计是历史与现实的必然选择 是环境因素与自然因素使 然 风险管理审计在理论上的发展和实践上的推进 正如一个有利的 助推器 能够努力推进内部审计全面转型与发展 对逐步实现我国内部审计事业法制化 制度化 现代化具有非常重要的意义 2 4 2 风险管理审计是国际内部审计理论发展的最新要求 近年的内部审计理论成果对以风险为核心的内部审计对象 职能等进行了多 方研究 iia 在最新的内部审计实务准则中突出了风险概念的地位 2001 年 iia 在其制定并修改的 内部审计实务标准 及 职责说明 中认定 内部审计是 一种独立 客观的保证和咨询活动 其目的是在于为组织增加价值和提高组织的 运作效率 它通过系统化和规范化的方法 评价和改进风险管理 控制及治理过 程的效果 帮助组织实现其目标 这一定义将风险管理作为内部审计职业的主 要关注点 认为风险是组织活动的驱动力 公司治理是组织对风险的战略反应 根据该定义 推行风险管理审计就是要求内部审计以内部控制作为生存与发展的 基础 以公司治理作为参与风险管理的前提条件 以对组织风险的评估与改善作 为基本目标 22 此时的内部审计 已经由监督者逐步转变为控制者 此时的内部 审计师 成为掌握和驾驭风险的专家 事实上 根据 2003 年 iia 全球审计信息 网络调查结果表明 认为未来的审计重点是风险管理系统审计的占 63 9 iia 要求 在企业的 内部审计章程 和 审计委员会章程 中 应明确规 定董事会及其审计委员会和最高层管理当局期望内部审计在风险管理中发挥的 作用 内部审计人员应当对管理当局风险管理活动的有效性和充分性进行检查 评估 报告并提出改进意见 为管理当局和审计委员会提供帮助 内部审计应合 理保证管理当局的风险管理系统是有效的 可见 内部审计是风险管理的一种方法 一种手段 而风险管理则是内部审 13 计的一项新的内容 一个新的领域 从发展趋势来看 内部审计不仅越来越关注 风险 同时 也是风险管理的重要组成部分 内部审计更强调确认经营风险是否 得到有效管理 由对交易事项和政策的遵循的评价 转变为对目标 战略和风险 管理程序的关注 内部审计的建议更加强调风险的规避 风险转移和风险控制 通过有效的风险管理提高组织整体管理的效果和效率 2 4 3 应用风险管理审计是 萨班斯 奥克斯利法案 sarbanes oxley act 以 下简称 sox 法案 实施的必然要求 由于美国最大的能源公司 安然公司突然申请破产保护 此后 公司会计 丑闻不断 特别是 2002 年 6 月的世界通信公司会计丑闻事件 暴露出美国公司 治理结构的不平衡和外部监督缺失 为提高包括美国在内的全球投资者对美国证 券市场及美国政府经济政策的信心 美国国会于 2002 年 7 月 25 日公布了 sox 法案 又名 2002 年公众公司会计改革与保护投资者法案 23 有论者指出 sox 法案是 1930 年以来美国证券立法中最具影响的法案 被 誉为美国乃至全球的 新的上市公司准则 法案敦促企业在一贯实行的财务控 制基础上进一步加强风险管理措施 而 sox 法案对企业的内部控制机制作出的 明确和严格的规定 主要集中在其中的 302 条款和 404 条款 sox 法案对美国上市公司的内部审计人员产生了重要影响 鉴于美国商业 对全球的深刻影响 sox 法案事实上已影响到全球的内部审计人员 促使内部 审计人员由 后台 走向了 前台 sox 法案特别强调了内部审计在企业风 险控制和管理 公司治理中的不可替代的作用 使得内部审计在参与到企业价值 增值活动方面获得了前所未有的良机 内部审计机构必须将工作重点确定在公司 所面临的最大风险 需揭露的重大事项和最严峻的挑战领域 促使公司收益的最 大化 现在内部审计在风险管理过程中的定位应该是参与者 协作者和监管者 2 4 4 应用风险管理审计是企业的必然选择 随着风险管理审计时代的到来 风险管理审计独立 客观 公正的约束与评 价机制在公司管理方面能起到的作用 如客观全面地管理企业风险 控制指导企 业的风险策略 监督和评价风险管理主要目标的完成情况及管理层选择的风险管 理方式的适当性等已越发凸显出来 运用风险管理审计加强管理已成为国内外企 业争相采用的有力措施 2 5 风险管理审计模式 14 首先 围绕经营目标 全面鉴别风险 内部审计人员与各级管理层沟通 充 分了解被审计单位经营目标实施过程中的审计域和相关风险因素 审计域是指被 审计职能确定为可检查和评估的项目 部门或制度 一般包括 1 企业文化 2 政策 程序和惯例 内部控制体系 3 成本中心 利润中心和投资中心 4 合同 项目 生产 服务部门或流水线 5 供应链上的上下游合作伙伴 6 管理职能部门 业务交易系统 财务报表及信息系统 至于相关的风险因 素 应综合世界有关组织或团体内部审计机构的观点 结合被审计单位的情况具 体分析 为实现规范化 应将具有代表性的审计域及其风险因素整理归档 形成 数据库 其次 建立风险评估指标体系 运用数学模型量化和评估各类风险 对每类 业务固有风险的高低进行评估 得到固有风险分值 根据一定时期内某项业务发 现问题的频率 发现重大问题的频率情况 对业务固有风险的分值进行调整 得 出各项业务风险总计值 在严格检查 打分和初步得出评价等级基础上 通过定 量和定性评估 对评价结果实施风险等级管理 并按照风险等级逐步加大审计力 度和监督范围 再次 确定风险评估的范围 通过初步调查 分析性检查 了解 评估等方 法确认审计范围 评估固有风险 审计人员通过检查内部各项经营政策 确定企 业经营战略 风险管理理念和方法 对风险的好恶程度以及对风险的可容忍水平 对已有的风险的衡量结果进行再检验 以确定其是否适当 对不恰当的估计予以 更正 第四 了解和评估重要资料来源 收集 研究企业当前发展情况 趋势等行 业信息 确定可能对经营目标产生重大影响的关键风险 以及行业中对这些风险 的相关控制程序的最佳实务 对已识别的风险事件进行定量分析和定性分析 分 析事件发生的可能性和影响 评估要注意与事件相关的不利事件的程度 内部审 计师可采用风险度来判断特定风险的重要程度 第五 评估风险防范措施的充分性 审计人员就审计对象所采取的风险防范 措施从客观的角度进行检查 提出改进措施和建议 譬如 对企业信息系统开发 过程的风险防范措施的评估 包括审查系统的可行性 系统分析的恰当性 系统 开发 运行过程中的控制流程的恰当性 系统测试的全面性和恰当性 系统文档 资料的完整性 系统安全的维护性 审计人员在评价风险应对措施的适当性和有 效性时 应考虑以下因素 采取风险应对措施后的剩余风险水平是否在公司可接 受范围内 风险应对措施是否适合组织经营 管理特点 成本效益的考核与衡量 等 第六 实施全面评估 对于涉及企业的各项风险点进行测试 评估和评价 15 审计人员通过广泛开展各个业务领域和各个管理层次的访谈活动 了解业务部门 的目标 相关风险以及管理层为降低风险所采取的措施和控制监督活动 与行业 最佳实务比较 分析差异 评估降低风险 风险报告和相关控制活动的有效性和 充分性 对已识别风险是否