浅谈内部审计与风险管理.doc

浅谈内部审计与风险管理内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文根据 COSO 企业风险管理框架和 IIA内部审计实务标准， 分析了内部审计与风险管理的关系及两者相结合的意义， 指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用，并探讨了在发挥内部审计四种职能作用前提下，其与风险管理整合的程序步骤。 关键词内部审计；风险管理；IIA；COSO 框架内部审计是现代管理和管理控制的组成部分。IIA 在内部审计实务标准中将其定义为是一种独立、客观的保证工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。 什么是风险？风险是指未来的不确定性及其后果。什么是危机？风险成为现实就是危机。对风险毫无知觉，或者不当回事，危机的发生就只是时间问题，无数事件证明了这一点，金融危机再次证明了这一点，金融风险失控转化成金融危机（量变到质变）。企业风险：指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等企业风险管理是指一个由企业的董事会、管理层和员工共同参与，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项，并根据风险偏好管理风险，为企业目标的实现提供合理保证的过程。 它参与到企业的各项活动之中，是一个过程，是实现结果的一种方式。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了组织所有的管理层次和管理领域。全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。一、 内部审计与风险管理的关系及两者结合的意义 内部审计以企业内部信息使用者为中心，聚焦于控制、风险管理等关键问题，通过帮助组织管理风险和提高管理效率，来增加组织的价值和改善公司的经营。 公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避此类风险， 对实现公司目标和保存公司价值都有直接的贡献。内部审计对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。从防范经营风险入手，通过对重要业务流程持续循环审计，以不断促进高风险业务内部控制持续有效为目的，从内控程序设计的适当性、健全性和业务流程执行的规范性、有效性两个方面加大审查力度，积极促进缺陷改进。在适当情况下， 内部审计师应与管理层审计委员会和董事会就与风 险和风险管理实务中的薄弱环节进行讨论，由管理层负责对重大风险采取针对性行动，内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责， 它应当确保组织中有良好的风险管理过程，并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程，以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。 IIA 多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证 服务。内部审计与风险管理相结合是将风险作为内部审计的对象， 打破了原来的内部审计只关心内部控制有效性的局面， 在评价内部控制的基础上，对企业所面临的各种风险进行识别和分析。从另一个角度来讲，内部审计更加注重企业的未来，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、 关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定，来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计，侧重对风险管理进行鉴证。内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用。主要有以下几个方面：（一）内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑，但各业务部门很难做到这一点。内部审计人员从事具体的业务活动，独立于业务管理部门，这使得他们可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。(二)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、 总经理与各职能部门之间， 内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。(三)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看，内部审计已经参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做出贡献； 同时继续原有的对控制效率和效果的评价作用， 帮助组织保持有效的控制。内部审计人员通过对风险的把握来评价公司治理及内部控制，并促进公司治理和内部控制的改善，从而实现对风险的控制。在风险管理这个统一核心下，公司治理与内部控制实现了一定程度整合，为组织增加了价值。 二、 内部审计在风险管理中的角色和责任IIA 在 2004 年发表的 内部审计在企业风险管理中的角色 意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证， 以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此，内部审计在企业风险管理架中首要角色是监督者， 包括对风险管理流程的评估和保证服务，对风险评估准确性的保证服务，对关键风险报告的评估和对关键风险管理的评估。按 IIA 的标准，内部审计的服务种类可以分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务，其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。 总体来讲，处于信息劣势的服务对象希望内部审计为其提供保证服务，处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中，保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验；咨询服务是咨询性的以及与委托人服务相关的活动， 其性质和范围是与委托人达成一致意见，目的是增加价值和改进组织的经营。在企业风险管理中，内部审计的本质特征并不发生改变，因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外， 内部审计还提供咨询服务，包括促进对风险的识别和评估、指导和协调风险管理活动，加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者角色。 内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计能够发挥更大的协调作用，甚至直接担任项目经理；而当企业风险管理逐步成熟，运作稳定以后， 内部审计就从建议者、 协调者转化为监督者和咨询者。 内部审计的报告关系也会影响其在企 业风险管理中的角色，报告关系层次越高，独立性越强，内部审计就越能够从全局和战略角 度参与企业风险管理；反之，则从局部和流程角度参与企业风险管理。 为保证其独立性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任 应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持，但不能设定风险容 忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管 理职责的行动， 内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批 准。此外，在实践中，应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉 及履行管理职责， 就应该认为与此相关领域的审计客观性受到了损害， 内部审计不能就其直 接协调和指导的风险管理事项提供保证服务。 三、内部审计与风险管理整合的程序步骤 (一)判明风险类别，分析风险的具体源由。企业风险多种多样，表现的形式与发生影响也是千差万别的，为了管理和控制风险，应对风险进行辨认并予以分类，从中分辨出风险的性质，以确定主要风险、次要风险、关键风险、派生风险。 (二)在组织机构上，内审工作要与企业的各级风险管理组织相配合，开展企业综合风险管理。根据 COSO 的风险管理框架，一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离，实行全体的、 综合的和全员的行动进行综合风险管理。在现代企业的风险控制方面，不少大中型企业一般建立三级风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构；公司风险控制委员会领导下的内部审计；专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险， 对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查，及时提示和报告潜在风险，并提出防范风险及改进工作的建议。 (三)按风险管理的要求开展内部审计。与经营风险管理相结合的内部审计，其具体要求是在企业的“经营风险控制 监督”过程中，内部审计充分发挥