风险论文内部审计论文公司风险治理论文内部审计在公司风险治理中的作用.doc

风险论文内部审计论文公司风险治理论文：内部审计在公司风险治理中的作用【摘要】 文章根据美国coso委员会企业风险治理框架的要求，结合实际，阐述风险治理体系及风险治理要素，指出内部审计在公司风险治理中的作用，以促进公司发展目标的实现。【关键词】 风险； 内部审计； 风险治理我国改革开放的不断深入，给公司的发展带来了更多的机遇与挑战，如何在市场的大潮中抓住机遇，规避风险，成为公司面临的重要难题。内部审计作为公司治理的三大基石之一，有效防范风险，为保障公司的安全经营和促进公司的健康发展，发挥着越来越重要的作用。一、风险的概念风险是反映客观事物本质属性的思维形态，是科学研究的成果。风险是对企业目标实现产生影响的事项发生的不确定性，风险和机遇并存，是一个全面的概念。风险不仅包括负面的不确定性，还包括正面效应的不确定性。负面效应专指危险，是损失发生及其程度的不确定性。对于危险需要识别、衡量、防范和控制，即对危险进行管理。正面的效应是指机会，对于机会，需要识别、衡量、选择和获取。因此，要以积极的态度对待企业风险。企业的风险不仅是可以规避的，而且是可以选择和利用的。风险由三要素构成，即风险因素、风险事故和风险损失。风险因素，是对所有可能导致风险发生的各种因素的总称。根据其性质，风险因素一般分为物质风险因素、道德风险因素和心里风险因素。风险事故，是指各种风险因素作用下发生的不利风险事件，可能引起伤亡或财产损失的偶发事件，既是造成风险损失的直接原因，又是直接由风险因素导致的后果。风险损失，是指风险事故一旦发生所造成的损失，一般是指由于自然灾害或意外事故而造成的。由于风险影响着企业的生存能力和竞争能力；影响着企业维持自己财务方面的稳固、正面的公共形象；影响着企业的产品、服务及员工的整体品质，因此，对企业进行风险管理可以积极预防和控制风险，能够在一定程度上消除和减少风险发生对社会资源的浪费，从而提高社会资源的利用效率；能够在一定程度上消除和减少风险发生给社会经济带来的灾害及由此引发的不良后果，有助于社会经济的稳定发展；能够在一定程度上消除和减少对风险的焦虑，增加安全感，从而提高生活质量。从全社会的角度看，全面风险管理的意义有助于维护社会安定团结，构建和谐社会。二、公司目标的实现与风险治理的关系每个组织的存在都有其目标，公司作为组织的一种形式，也同样有其目标。国家电网公司的发展目标是建立“一强三优”现代公司。在公司实现目标的过程中，存在着影响目标实现的不确定性因素，这种不确定性，就是风险。风险是与机遇共存的。公司治理层的一项重要职责就是在抓住机遇的同时，建立一个良好的风险治理体系，来识别、评价和控制风险，为公司目标的实现提供合理的保证。内部审计在风险治理中的作用就是监控、检查、评估、报告公司治理层风险治理过程的充分性和有效性，提出改进意见，帮助公司改进风险治理与控制体系，从而为公司增加价值。在现代内部审计实务中，从项目计划到现场实施以致评价总结，都是围绕着公司目标实现的风险控制这一主题开展的。三、开展风险管理的要素在公司风险治理体系中，要对风险治理过程的充分性和有效性进行评价。根据美国coso委员会企业风险治理框架的要求，建立风险治理体系包括相互关联的八个风险治理要素，这八个要素贯穿在公司风险治理的全过程中，为实现公司目标提供保证。这八个要素分别是：内控环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。（一）内控环境内部环境主要是指在公司管理等活动中树立风险治理理念，营造一种风险治理文化氛围，为其他风险治理要素打下基础。在公司的整个组织体系中，包括各环节和部门树立风险治理的理念，使风险管理理念贯穿到每一个员工和岗位，在公司上下营造出风险管理的文化氛围十分重要。在风险管理中，风险管理不是某一个人或部门的事情，而是公司全体员工的事情，只有将风险管理的理念深入到公司全体员工中，为风险管理创造良好的环境，风险管理工作才能开展好。风险管理的内控环境是基础，没有一个良好的内控环境，风险管理将无从谈起。（二）目标制定作为公司风险治理体系的第二个要素是目标制定，即公司的管理当局在风险管理体系中必须首先确定公司的目标，只有确定了公司的目标，在围绕公司目标的实现下，再确定对公司目标的实现有潜在影响的事项。不同的公司有不同的目标追求，电力公司的目标是创建“一强三优”现代公司，围绕这一目标的实现，国家电网公司下属各公司要根据各自的不同情况，确定所需完成的任务，在预定的期限内，在公司内部层层分解和落实。近年来，山西电力公司内部开展了一系列的内部管理活动，这些活动都是围绕国网公司创建“一强三优”现代公司的总体目标，结合山西公司的实际情况而开展的风险治理活动。（三）事项识别在公司的日常经营活动中一些事项会对公司带来风险，这些事项主要有：财务和经营信息的可靠性和完整性；经营的效果和效率；资产的保护；遵循法律、法规及合同的情况；其他事项等。这些事项都需要公司的管理者对其进行识别、评估和反应，其识别、评估和反应就是对风险的识别。识别风险因素之所以重要，不仅在于有利于从风险产生的根源入手识别出企业所面临的风险，更重要的是一旦确定了主要风险因素，有利于抓住主要矛盾，有利于企业管理重要风险。（四）风险评估对风险事项识别后要进行风险评估，风险评估可以使管理者了解潜在事项如何影响公司目标的实现。对风险评估要从两个方面进行，即风险发生的可能性和风险发生的后果。风险发生的可能性是指风险事项发生的概率，即多大程度的风险事项可能成为事实，一定会出现的事情不能称为风险。风险发生的后果是指风险发生后所造成的影响。在风险评估中，风险发生的可能性和风险发生的后果要综合考虑，对于风险的评估要从公司战略和目标的角度进行。开展风险评估，应当准确识别实现与控制目标相关的内部风险和外部风险，确定相应的风险承受度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。（五）风险反应风险反应是对风险的应对措施，可以分为规避风险、减少风险、共担风险和接受风险四种。对于每一个重要的风险，公司都应考虑所有的风险反应方案。有效的风险治理要求管理者选择可以使公司风险发生的可能性和影响都在风险容忍度之内的风险反应方案。规避风险是公司的管理者或公司认为不能承担风险所带来的后果而采取措施进行规避；减少风险是指采取措施将风险发生的可能性和后果降低；共担风险是寻找公司外部合作人共同面对以承担风险发生的后果；接受风险是指独立承担风险发生的后果。由于风险和利益是共存的，在面对风险时采取怎样的风险反应，是根据公司决策者的风险偏好和公司实际能力而确定的。（六）控制活动控制活动是指公司管理层在确定风险反应方式后，为保证风险反应方案得到正确执行而进行的管理活动，这些管理活动包括相关政策和程序。在日常管理工作中遵循的法律法规、规章制度、制定的业务流程，均为风险管理中的控制活动，其目的就是保证公司高层所决定的风险反应而采取的风险应对措施能有效执行。这些管理活动存在于公司的各个层面和各个部门。（七）信息和沟通风险是变动的，这就决定风险治理也是随时变化的，需要在风险治理体系中，对风险治理的相关信息进行确认、捕捉和传递，以随时了解公司面对的风险的变化。信息和沟通在公司风险治理中占有十分重要的地位，没有有效的信息归集处理和充分的沟通，就会使公司的风险治理僵化而没有活力，会造成公司陷于莫大的风险当中。 （八）监控风险治理中的另一个要素是监控。通过持续有效的监控，用以保证风险治理在公司内务治理层面和各部门持续得到执行。监控用于评价公司风险治理活动中风险反应方案是否得到有效执行，同时还可测试风险反应方案是否完善有效，以及发现新的风险。监控应定期和全面，定期是指在持续的公司风险监控中，对某一环节或业务要定期监控；全面是指在公司风险管理环节中，对重要风险管理进行全面监督。在监督中，对所评价的方面要有评价结果。四、内部审计在风险治理中的作用从风险治理的八个要素可以看出，风险治理也就是风险管理的过程，是为有效实现公司目标，降低风险而开展的管理活动。内部审计的定义是：内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织运营。它通过应用系统的、规范的方法，评价和改善风险管理、控制及治理程序的效果，帮助组织实现其目标。所以在风险治理中，内部审计发挥着重要的作用。管理活动分为四个主要环节，分别为：确立目标、建立制度、监督评价和改进。在确立目标环节，要制定切实可行的目标，目标不能期望过高，也不能太低。目标确立太高，难以实现；太低浪费公司资源，不能取得合理收益。在建立制度环节要从简高效，注重风险控制。繁琐的内部控制制度影响了公司运作效率，造成不必要的浪费，太简将会带来较大风险。在有效的公司管理中，要辅以公司文化、道德规范和违规成本等措施来约束管理行为。在监督评价环节，要开展全面有效的监督与评价工作，来监督简约的管理制度有效执行，确保目标的实现。在改进环节要充分重视监督评价的结果，对管理制度乃至目标进行调整，以使公司利益最大化。在这四个管理环节中，内部审计均发挥着十分重要的作用。（一）对风险治理的充分性和有效性进行评价在风险治理中，风险治理的充分性和有效性是十分重要的。首先对公司面临的风险要有充分的认识，才能够进行风险的应对。风险识别贯穿在风险治理的全过程，从目标制定开始到监控，风险治理的每个环节都要充分地识别风险。风险的识别由审计部门和业务部门从内部控制的角度出发共同来进行。审计部门并不直接对业务部门去识别风险，建立风险模型，而是以内部审计的专业方法和手段，从内部控制的角度出发，全面检视业务部门的业务流程，协助或者评价业务部门建立风险模型，制定风险反应方案。风险治理模型确定后，内部审计部门要对风险治理的有效性进行评价，以确定风险反应方案是否能够被实际操作，风险反应方案是否被严格执行，这是风险治理的一个重要环节。在实际操作中，主要从以下几个方面进行评价：1.评价公司战略目标的制定是否科学合理，符合公司的实际；2.评价部门分解目标能否支持整体目标的实现；3.评价治理层对风险的识别和评估是否准确；4.评价风险反应方案是否完善，能否将风险发生的可能性和影响都控制在风险容忍度之内；5.风险监控是否持续有效。（二）提供咨询服务在公司风险治理中，内部审计部门承担的一个主要职责是提供咨询服务。一是要在公司各个层面树立风险意识，使公司的每一个员工都建立起风险的概念。二是对全体员工进行风险识别的培训，使每名员工能够有效识别风险并提出有效控制措施。三是召开风险评估和控制专题讨论会，对公司面临的重大风险进行专题研讨，在讨论会上要召集公司内外部的专家共同进行研讨。四是开发自我评估工具，对风险治理进行深入研究，利用现代技术开发适合本公司的评估工具。（三）发挥协调作用在公司风险治理中，内部审计部门要发挥协调作用。风险治理除了要对本单位、本部门存在的风险进行治理外，同时还要围绕公司整体目标开展治理。在公司风险治理中，某项时间可能不会对本部门本单位带来风险，但可能会对公司其他部门带来风险，这期间内部审计部门就要起到协调的作用，站在公司整体的角度，协调各部门共同管理，以防范由于错误决策带来风险。（四）监督