[硕士论文精品]内部审计在企业风险管理中的作用机制探讨

中文摘要企业风险管理是现代企业管理的重要组成部分，并在现代企业管理中发挥着必不可少的重要作用。COSO于2004年9月提出了企业风险管理整合框架EMERPFISE硒SKMANAGEMEMILLTEGRATEDFRAMEWORK，为企业有效地进行风险管理提供了强有力的理论指导。企业风险管理整合框架中指出，内部审计承担了监督、评价、检查、报告和改进等任务，是企业风险管理不可或缺的组成部分。内部审计如何在企业风险管理中发挥作用来提高企业风险管理的有效性，并为组织增值，已经成为当今理论界和实务界的热点问题。本论文的研究目标是通过对企业风险管理框架和内部审计的研究，得出一套作用机制以指导内部审计在企业风险管理中的活动，为利益相关者增加价值。本文以COSO颁布的企业风险管理整合框架为指导，从研究内部审计在企业风险管理中所发挥作用的指导思想出发，运用审计学、管理学、经济学及统计学的知识，对内部审计在企业风险管理中的作用机制进行了系统的研究。本文首先在分析和比较目前存在的企业风险管理框架的基础上，对企业风险管理概念性框架进行了构建。其次，对全国38家企业就内部审计与ERM的实施现状进行了调查，提出内部审计在企业风险管理中应发挥确认和咨询角色。再次，以本文提出的概念性框架为基础，深入探讨了内部审计在企业风险管理中的作用机制，即内部审计在企业风险管理中通过何种途径发挥确认与咨询作用。企业风险管理概念性框架包含八个组成因素，内部审计对该框架中所列的七个要素实施监控，发挥确认和咨询作用，这七个要素是环境分析、目标设定、事件鉴别、风险评估、风险回应、控制活动、信息与沟通。文章具体指出如何对这七个要素实施监控来实现企业风险管理的有效性。最后提出企业风险管理审计这一概念，将内部审计与企业风险管理进行了有效的融合。本文力图通过建立全方位的内部审计企业风险管理机制，化解企业风险，望能对我国企业风险管理的发展和完善尽绵薄之力。关键词企业风险管理，概念性框架，内部审计，作用机制卜ABSTRACTENTERPRISERISKMANAGEMENTISASIGNIFICANTPARTOFMODERNENTERPRISEMANAGEMENTITPLAYSALLINDISPENSABLEROLEINTHEWHOLECORPORATIONINSEPTEMBEROF2004,COSORELEASEDENTERPRISERISKMANAGEMENTINTEGRATEDFRAMEWORKITPROVIDESGUIDANCEOFTHEORYFORENTERPRISETOMANAGEMENTRISKINTERNALAUDITPLAYSTHEROLEOFSUPERVISING,APPRAISING,INSPECTING，REPORTINGANDIMPROVING,ISANECESSARYPARTOFENTERPRISERISKMANAGEMENTITHASBEENAHOTPOINTBOTHINTHEORYANDINPRACTICENOWTHATHOWINTERNALAUDITPLAYSTHEROLEINENTERPRISERISKMANAGEMENTTOIMPROVEVALIDITYOFITANDPROMOTEVALUEOFORGANIZATIONTHEOBJECTOFTHISPAPERISEDUCINGANOPERATIONALMECHANISMTOINSTRUCTTHEACTIVITYOFINTERNALAUDITTHROUGHSTUDYINGTHEENTERPRISERISKMANAGEMENTFRAMEWORKANDINTERNALAUDIT,PROMOTINGVALUEOFSTAKEHOLDERGUIDEDBYENTERPRISERISKMANAGEMENTINTEGRATEDFRAMEWORKWHICHWASRELEASEDBYCOSOTHEPAPERSTARTSWITHTHEGUIDELINESOFSTUDYINGTHEROLEINTERNALAUDITSHOULDPLAYINENTERPRISERISKMANAGEMENTANDUSESAUDITING，MANAGEMENT，ECONOMICSANDSTATISTICSTHEORY,MAKESASYSTEMATICSTUDYONOPERATIONALMECHANISMOFINTERNALAUDITINENTERPRISERISKMANAGEMENTFIRSTLY,ONTHEBASEOFANALYSISANDCOMPARETHEACTUALENTERPRISERISKMANAGEMENTFRAMEWORK,THEPAPERPUTSFORWARDENTERPRISERISKMANAGEMENTCONCEPTIONFRAMEWORKSECONDLY,SURVEYING38COMPANIESABOUTTHEACTUALITYOFINTERNALAUDITANDENTERPRISERISKMANAGEMENT,THEPAPERINDICATESTHATINTERNALAUDITSHOULDPLAYTHEROLEOFSUPERVISORANDCONSULTANTTHIRDLY,ONTHEBASEOFCONCEPTIONFRAMEWORKPUTTEDFORWARDBYTHISPAPER,THEPAPERDISCUSSESDEEPLYTHEOPERATIONALMECHANISMOFINTERNALAUDITINENTERPRISERISKMANAGEMENTANDTHEWAYINWHICHINTERNALAUDITPLAYTHEROLEENTERPRISERISKMANAGEMENTCONCEPTIONFRAMEWORKCONTAINSEIGHTFACTORS,INTERNALAUDITPLAYSTHEROLEOFSUPERVISINGTHEOTHERSEVENFACTORSOFENTERPRISERISKMANAGEMENTCONCEPTIONFRAMEWORK,WHICHAREENVIRONMENTANALYZING,OBJECTIVESETTING,EVENTIDENTIFICATION,RISKASSESSMENT，RISKRESPONSE,CONTROLACTIVITIES,INFORMATIONANDCOMMUNICATIONTHEPAPERPOINTSOUTCONCRETELYTHATHOWTOSUPERVISETHEOTHERSEVENFACTORSTOPROMOTEVALUEOFENTERPRISERISKMANAGEMENTFINALLY,THEPAPERBRINGSFORWARDACONCEPTIONWHICHISERMAUDITING,BRINGSINTERNALAUDITANDENTERPRISERISKMANAGEMENTTOGETHERTHROUGHBUILDINGACOMPREHENSIVEINTERNALAUDITANDENTERPRISERISKMANAGEMENTMECHANISM,THEPAPERRESOLVESTHERISKSOFENTERPRISEWISHTHISPAPERMAYDEVOTETOTHEDEVELOPMENTOFENTERPRISERISKMANAGEMENTKEYWORDSENTER州SERISKMANAGEMENT，CONCEPTIONFRAMEWORK,INTERNALAUDIT，OPERAFIONALMECHANISM田卜兰州理工大学学位论文原创性声明本人郑重声明所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名两钓日期叫年6月上日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。本学位论文属于1、保密口，在年解密后适用本授权书。2、不保密团。请在以上相应方框内打“4”作者签名两弛导师签名峁昀莨日期“7年6月工ET日期口7年；月2日第1章绪论11选题背景111现实背景第1章绪论在知识经济条件下，在经济全球化、虚拟化、信息化进程加快的今天，为数众多的企业都存在因各种原因面临破产、倒闭的厄运。风险管理已成为理论界和实务界最为关注的问题，风险管理的有效性对企业生存和发展的作用日益突出。20世纪90年代以来，欧美许多大公司的风险管理意识逐渐增强，风险管理被提到了董事会的议事日程公司制定详细的风险管理框架，成立专门的风险管理机构，在董事会上增设风险管理董事甚至设立首席风险官岗位，尽力把风险评估与风险控制的方法综合到公司财务、商业战略和业务运作之中“1。处于领导地位的公司对有效风险管理的期望越来越高，都纷纷放弃他们目前所采取的孤立地管理风险这一传统的风险管理方法，正在采纳ERM美国反虚假财务报告委员会于2004年颁布的ENTERPRISERISKMANAGEMENTINTEGRATEDFRAMEWORK，简称ERM方法。另外，由于内部审计已经参与到对萨班斯一奥克斯法案SARBANESOXLEYACT，以下简称SOX的遵循中来，使得内部审计的环境也发生了变化。因此，内部审计将积极参与到企业风险管理的过程中，将有希望成为企业风险管理过程的一部分。企业内外环境的变化，导致企业内部受托管理责任关系复杂化和受托管理责任领域、内容、重点的变化，使得董事会对最高层管理当局、最高层管理当局对各亚管理层管理当局履行受托风险管理责任的状况实施有效控制的需要日益强化。一系列会计丑闻的出现使得董事会等各利益相关群体不得不关注内部审计，给内部审计提供机会使其在企业风险管理这一重要领域中占据专家的地位，发挥关键的作用为组织增值。现代企业内部审计的使命由查错防弊、绩效审计、内部控制审计己转移到风险管理审计上来，产生企业风险管理审计成为必然的需要。风险管理是企业管理的重要内容。作为董事会及其审计委员会和最高层管理当局控制手段的企业内部审计，在企业管理中的地位与作用日趋突出，成为关系企业兴衰成败的重要因素。对企业风险管理的有效性开展内部审一1一第1章绪论计，是新形势下企业生存与发展的客观需要，也是董事会及其审计委员会和最高层管理当局、利益相关者的内在要求。112理论背景1999年6月26日由120多个国家参加的国际内审协会INSTITUTEOFINTERNALAUDITORS，以下简称A理事会对内部审计定义重新作了界定，内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。新定义将内部审计服务的内容明确为评价并改善风险管理。2001年，美国反虚假财务报告委员会COMMITTEEOFSPONSORINGORGANIZATIONSOFTHETREADWAYCOMMISSION，以下简称COSO联合了美国会计学会AMERICANACCOUNTINGASSOCIATION、美国注册会计师协会AMERICANINSTITUTEOFCERTIFIEDPUBLICACCOUNTANTS、国际财务执行官组织FINANCIALEXECUTIVESINTERNATIONAL、美国管理会计协会INSTITUTEOFMANAGEMENTACCOUNTANTS和IIA开始了一个计划，并和普华永道会计公司PRICCWATERHOUSECOOPERS合作，发展一个便于企业使用的企业风险管理框架。最终，于2004年9月提出企业风险管理整合框架ENTERPRISERISKMANAGEMENTINTEGRATEDFRAMEWORK，为企业有效地进行风险管理提供了强有力的理论指导。在企业风险管理整合框架中内部审计承担了监督、评价、检查、报告和改进等任务，是企业风险管理不可或缺的组成部分。内部审计可以通过审查内部控制系统和风险管理过程以及为建立和完善内部控制系统和风险分散战略提供建议来为组织增值。2002年6月国际内部审计英国和爱尔兰机构IIAUKANDIRELAND发表了一篇名为THEROLEOFINTERNALAUDITINRISKMANAGEMENT的意见书指出，采用风险管理的组织已经越来越认识到，内部审计员能在组织的风险管理过程中发挥合适的作用。2003年在美国会计学会的年会上，内部审计的研究机会被作为一项重要议题，由多名知名学者撰写了长达377页的专论RESEARCHOPPORTUNITIESININTERNALAUDITING，从内部审计与公司治理、保证与咨询服务、风险评估与风险管理、内部审计的独立性与客观性等角度提出了内部审计值得关注和研究的问题。2一第1章绪论2004年6月I队第63届国际大会讨论的三个热点问题是公司治理、风险管理和企业文化。内部审计对风险管理的介入，将会使内部审计在企业中成为一个重要角色。在国内，2004年8月，国资委颁布并实施了企业近中期能获得的最低限度的利润是多少，远期能给企业发展提供的机会是什么4是否明确竞争者的产品、市场地位、销售系统、促销活动、财务状况、技术和管理素质、自然资源状况方面的情况一4企业组织1与企业各部门之间是否保持着良好的沟通与合作2本部门对人员的培训、激励、监督和评价的方式方法是否切实可行4风险问卷分析对于内部审计师无法预见的风险，内部审计师则通过再次发放风险问卷，由被调查部门的人员自行填写，汇报部门可能会出现的风险。如表44所示。内部审计师将回收的问卷进行统计分析，根据发放量和回收情况判断收回答案的质量和有效性。然后再对问卷答案进行分析。46第4章内部审计参与企业风险管理的途径分析表44风险调查问卷分析损失估计风风险损失损失损失概内部审损失幅度的险所在时机原因率估计计建议可信度塞最最环地最大预可能最有不节方期损失小损失利利44对风险评估的确认所有潜在的重要的风险被鉴别出来后就要测量这些风险的等级，也就是对这些风险进行评估，内部审计师要在这里对企业风险管理部门做出的风险评估进行确认。在风险评估的确认活动中，内部审计要利用管理工具和技术分析风险，促进识别和评估风险。首先要进行风险因素分析，收集相关资料并对资料进行整理。其次，对己识别的风险事件进行定性分析和定量分析，对风险进行有效的计量。评估要注意与事件相关的不利事件的程度。最后，进行综合评价，内部审计部门与企业风险管理部门的结论进行对比，以对风险评估进行评价。1风险因素分析首先要收集相关资料，建立风险评价指标体系，为建立科学的数学模型。营销风险评价指标体系包括细分市场风险、营销组合风险、营销人员的风险、营销信息沟通中的风险等四大部分，如表45所示。其次要对资料按照定特征或间距进行分类、分组整理。所收集的资料应该具备完整性、统一性、相关性和系统性的特点，并且资料的整理要合理地安排人力、财力和时间。47第4章内部审计参与企业风险管理的途径分析表45营销风险评价指标体系主因素层子因素层市场细分无效的风险细分市场评估失误的风险细分市场的风险目标市场选择的风险市场定位的风险营销组合的整体风险营销产品策略风险风险营销组合风险价格策略风险评价渠道策略风险指标促销策略风险体系营销人员的道德风险营销人员的风险销人员的心理风险营销人员的市场开拓能力风险市场信息失真的风险营销信息沟通中的风险信息渠道不通畅的风险市场信息沟通失败的风险2对风险进行有效的计量风险度风险管理预先设定了风险评价指标体系，企业风险管理部门就可以将测试值与标准值比较并对特定风险进行预警。内部审计师可采用风险度来判断特定风险重要程度，可以用打分的形式来表现。如五级打分法“1分”表示风险最低，“5分”表示风险最高，风险重要性界点的风险度标准值可以定为“3分”或“2分”。风险综合分析矩阵风险计量中如果有些风险事件在客观上不能用数字来量化，则要用主观的概念来描述这些可能性。如果事件有可能发生，则称之为“可能”；介于有些可能和可能之间，称之为“相当地可能”。根据风险因素所具备的风险特征可能性、损失额度、发生频率，针对风险诸因素进行综合测量评估。如表4648第4章内部审计参与企业风险管理的途径分析的风险综合分析矩阵，根据风险优先性原则进行排序，以确认科学的风险评估。表46风险综合分析矩阵频后果塞可能性不重要次要中等主要灾难性12345高A几乎是确定的SSHHHB很可能的MSSHH中C可能的LMSHHD不太可能的LLMSH低E很少的LLMSS注H代表高度风险；S代表严重风险；M代表中度风险；L代表低度风险多层次模糊综合评判企业风险评价指标体系除定量指标外，还有大量定性指标，这类指标仅反映人们认识的差异和变化。由于其差异和变化的内涵及外延具有模糊性，因而其评价结论具有模糊性。在指标体系中，评价结论的模糊性会出现难以直接比较的问题，而缺乏可比性使得用经典数学方法难以具体描述。综合评判就是对受各种因素影响的事物或对象，做出一个总的评价。企业风险的综合评价是一个比较典型的涉及到多因素的综合判断问题，针对其多因素、模糊性及主观判断等特点，本文采用多层次模糊综合评价法，是将模糊综合评价法与层次分析法相结合的一种评判方法。A建立具有层次结构的风险评价指标集合。评价指标集合包括主因素层和子因素层。如表45所示。B构造判断矩阵。层次结构模型做出之后，为避免决策受个人业务水平等方面的限制，评价者可以采用专家意见调查法，就要在第一个准则层某元素为准则下，对该层元素的相对重要性进行两两比较，列出判断矩阵。具体比较标准为19标度法，如表47所示，1_9标度法的含义为用L9个阿拉伯数字来表示两个元素之间的重要程度，同时生成判断矩阵C。49第4章内部审计参与企业风险管理的途径分析表7L一9标度含义L两元素相比，具有同等重要性3两元素相比，一个元素比另一个元素稍微重要5两元素相比，一个元素比另一个元素明显重要7两元素相比，一个元素比另一个元素强烈重要9两元素相比，一个元素比另一个元素极端重要2、4、6、8、两元素相比，一元素相对另一元素的重要性介予以上相邻值的中间资料来源许树伯层次分析法原理M天津天津大学出版杜。1998，第10页C计算指标权重。就是计算判断矩阵的特征根和特征向量的问题。首先，计算判断矩阵每一行数值的乘积，并计算其次方根，用形表示。其次，对向量M暇，形，形厂归一化，即Q毒L，所求得的矩彬IL阵4“，A2，1即为判断矩阵C的最大特征向量，亦即为各指标的权数。D计算判断矩阵C的最大特征值K丢杰竖。扛IE一致性检验。若没有通过致性检验，须重新给出判断矩阵。首先，算出一致性指标C，K一”N1，查表得出随机性指标彤的值。其次，计算出一致性比例系数CRC班，。当随机一致性比例系数CRO10时，判断矩阵才有满意的一致性，否则需要调整判断矩阵，直到检验通过。接着，按照以上计算方法和程序对其它专家打分情况进行计算，从而得出全部专家对本指标体系中各指标分别赋予的相对权重，对指标权重值进行加权平均，从而得到一份比较合理的权重均值。F确定评价集并为其赋值。评价集是评价者对评价对象可能做出的各种评价结果所组成的集合，表示为V“，V2，唯，其中唯表示总评判的第K个可能的结果。G建立多层次模糊评价矩阵。请风险评估小组的成员根据给定的基准对当前的风险状况进行评价。评价结果用对第I个因素做出第，种评价尺度的可能程度的大小来表示，这种可能程度称为隶属度，记做兀，一50第4章内部审计参与企业风险管理的途径分析白对第价因素做出第，评价尺度的专家人数参加评价的专家人数由此得到模糊评判矩阵民，I1，I2勃，K。吒吩OH利用模糊评价矩阵，建立风险模糊综合评判模型，度量风险。BA7R“吒，J1，I2RZL勃，2，I。吒M，黼如气当做出了各子因素的风险严重程度评价向量后，再据此构造类似上述的矩阵，并用此模型得出风险严重程度的二级综合评价向量日47占。期望的评价结果为；E日矿。由此可得出风险评价结果。3进行对比内部审计对风险评估进行评价，是通过内部审计人员自身对风险进行测评之后，再与风险管理部门风险分析评价的结果进行对照而实现的。如图46所示图46风险评估确认另外，风险评估中存在的个问题是评估者的偏见。偏见产生于评估者不同的背景、经验、职位和评估者所处的立场等。因此内部审计要注意评估者的偏见，要从客观的角度分析风险的假设条件、计算方法来评价风险，提供专业意见。_5L一第4章内部审计参与企业风险管理的途径分析45对风险应对措施的建议和评价一旦风险被识别和评级，减轻风险的活动就应随之出现，将风险降低到可接受的水平和增加所期望的结果发生的可能性。公司根据组织的风险偏好来采纳风险应对的方法。关于风险应对的方法，风险管理专家经常总结为处理TREAT、规避TERMINATE、转移TRANSFER和接受TAKEORTOLERATE风险，称为4TS。处理风险意味着采取直接的方法减轻潜在的影响或发生的可能性。规避风险就是远离风险。对于风险转移来说，风险可能被转移到其它地方，或者是通过合同转移到保险公司，或经常由外购活动来支撑。内部审计监控风险措施的执行情况，评估应对措施的合理性。内部审计师判断风险应对措施是否适当，最好结合对经理人风险偏好判断有机进行。1风险处理风险处理是企业采取最多的一种风险管理策略，是界于经理人“风险偏好”可接受风险之上而又不准备转移的风险管理策略，是企业不愿实施外部转移的风险处理措施，通过查找风险因素借助风险事故形成损失的源头，降低损失发生的可能性、频率、缩小损失程度，达到风险控制目的的系统控制措施与方法。风险处理是一种积极的风险管理战略。作为经理人需要承担若干风险，在组织内建立和执行内部控制制度，采用预防性、检查性、纠正性、指导性、补偿性控制方法，实施授权、执行、记录、使用、清查等业务功能，将风险控制在可接受水平下。内部审计师需要对内部控制设计的健全性、执行的有效性进行测试和评价。2风险规避风险规避就是不作为，它是指企业发现从事某种经济活动可能带来风险损失，有意识地采取回避措施。采用风险规避的措施适合以下两种情况第一，某种特定风险所致的损失概率和损失程序相当大；第二，应用其他风险处理技术的成本超过其产生的效益，采用风险规避方法可使企业受损失的可能性等于零。因此，内部审计师判断采用这种方法应该有如下考虑第一，欲避免某种风险也许不可能，即若从事该种经济活动必会遭遇此种风险；第二，采用规避风险方法最经济，未来收益小于控制成本；第三，避免一项风险可能产生另外新的风险如，为拉住客户结果会有很大的坏帐可能。3风险转移一52第4章内部审计参与企业风险管理的途径分析当风险不能通过控制和抑制的方法降低发生的可能性、发生频率、损失额，或采用控制和抑制方法，组织的目标仍然受到威胁，为既得利益，企业可能要考虑风险转移的战略。风险转移分控制性非保险、财务性非保险和保险三种。控制性非保险转移是通过契约、合同将损失的财务负担和法律责任转嫁给他人，从而解脱自身的风险威胁。外包、租赁、出售、回租等方式属于控制性非保险风险转移。财务性非保险转移是利用经济处理手段，转移经营风险。证券化、股份化等方式属于财务性非保险转移。企业对于自身既不能控制抑制也不能转移的风险，或者根据外部与内部环境的变化对控制效果有一定的担忧，可采用投保的方式转移风险。内部审计判断采用哪种转移方法应做如下考虑控制型和财务型的使用条件是，应该是以双赢为目的的合作关系；契约当事人对相关内容必须理解，争取一致；受让人有能力并愿意承担财务和法律责任。保险型的使用条件是保险机构规定的业务事项。4风险接受风险接受是指当某种风险不能避免，或者冒风险可获得厚利时，由自己保留承担的风险。内部审计师可以根据如下条件来判断公司经理人采用这种风险处理方法是否合理处理风险的成本大于承担风险所付出的代价；估计某种风险可能发生的重大损失本身可以安全承担；不可能转移于他人的风险或不可能防止的损失；缺乏处理风险的技术知识，或疏于风险的处理，或因判断失当而不觉察风险存在，以致自己承担风险所造成的损失。风险应对措施得当与否，需要与企业特定环境、风险程度、企业家才干结合起来进行判断。46跟踪与评价风险控制活动选择与实施了风险回应措施之后，管理者就需要实施控制或其它可减轻风险的活动，将风险控制在一定的水平。企业风险控制是对企业整个风险进行控制的活动，企业的内外环境是不断发生变化的，企业面临的风险也是不断变化的，因此企业要定期对企业的风险进行及时准确的控制，明确风险对策的合理性，以便确定新的风险管理方法。53第4章内部审计参与企业风险管理的途径分析企业的风险控制流程包括建立风险控制体系、实施风险控制、跟踪风险控制和评价风险控制效果这么几个步骤。企业风险控制的流程如图47所示。风险控制体系的建立和风险控制的实施由企业的风险管理部门来完成，内部审计对风险控制进行跟踪，并对风险控制的效果进行评价。内部审计要测试这些控制程序的有效性。内部审计通过将测量值与高层管理者限定的目标和限制进行对比来对业务进行监控。内部审计熟悉这一控制活动，如果超出了限度，内部审计就将此背离报告给高层管理者，以决定下一步的行动。L建立风险控制体系上L实施风险控制上L一跟踪风险控制图47企业风险控制流程图内部审计一般采用流程图法和调查表法来对风险控制进行跟踪和评价。从专业技术角度讲，流程图是最为直观、形象描述风险控制的方法，有助于发现风险控制过程的薄弱环节。调查表法又可称作“问卷法”，由审计人员将测试风险控制的问题一一列出，通过座谈、交流或填表等形式取得测试结果。调查表大多采用问答式，以“是”、“否”、“不适用”等作为备选答案，问题按照调查对象分别设计。47确保信息正确及时地传递与沟通与风险有关的信息可在企业内通过信息技术和定期的内部报告表示出来。内部审计应该确保这些信息能正确且及时地传递给董事会、管理者、供应商、消费者等利益相关者，并且与董事会就风险方面的信息进行沟通。风险管理信54第4章内部审计参与企业风险管理的途径分析息的传递与沟通，是实施企业风险管理的必要条件之一，其功能是将企业内外部的相关风险管理信息进行确认和传递，以保证企业成员能有效履行各自的职责。内部审计需要建立企业风险管理信息共享系统。风险管理信息共享系统RISKMANAGEMENTINFORMATIONSHARESYSTEM,RISKMISS则是为更好地实现企业风险信息的共享，降低风险成本所使用的一种工具。内部审计人员通过它将企业内外部的相关风险管理信息进行确认和传递。与其他所有管理信息系统一样，风险管理信息系统RISK咄皿SS有四个基本组成部分1风险管理数据库，记录有以往企业和行业的相关风险发生的数据。国际注册内部审计师协会也正努力建设风险管理数据库，为全球内部审计师参与风险管理提供许多共享的重要信息和数据。企业内部审计部门也应结合自身过去的执业经验、行业内外信息，参与建立企业风险数据库。2收集、操作数据产生信息的程序软件。3电脑网络设备。4运用砒SKM【SS的人员。风险管理信息系统从结构上又可以分为风险信息管理者、风险信息用户、风险信息收集、风险信息处理、风险信息运用。见图48图48风险信息共享系统结构图另外，内部审计需要帮助完善风险报告制度和对外信息披露机制。明确风险报告的频度、深度和职责分配，针对不同风险的不同特点，制定差别化的风险信息传导机制。建立纵向报送与横向报送相结合的信息交流线路，保证信息的真实准确，实现信息共享，使风险管理部门制定的风险政策能够得到良好的一55第4章内部审计参与企业风险管理的途径分析贯彻。内部审计帮助制定对外信息披露管理办法，对信息披露的内容、格式、频度及职责等进行规范，按照由内到外逐步公开的原则，建立系统化、透明度高、及时性强的信息披露机制。信息技术的发展，为企业组织内部实现资源共享和信息传递提供了充分条件。风险信息传递与共享不仅在部门与部门之间，同时也还在企业与企业之间，特别是同行业的企业之间进行。内部审计师通过建立风险管理信息共享系统，一方面充实了企业的危机预警管理系统，为自身的危机预警提供依据；另一方面将本企业相关风险信息传递给其他企业，可使所有参与风险评估的内部审计师能获得更充足的本企业之外的风险管理信息，拓宽了风险管理视角，更容易从整体出发，从宏观出发来评估企业风险管理的效率和效果。48本章研究内容的总结与展望内部审计在企业风险管理中如何发挥确认和咨询作用是本章的重点研究内容，内部审计对企业风险管理活动进行检查、评价和咨询，以帮助管理当局避免和降低风险，提高管理水平和获利能力。内部审计在企业风险管理中发挥作用的活动内容可概括如下1协助建立和沟通组织目标。企业管理者识别企业的目标和战略选择，并与企业内部各部门沟通这些目标。内部审计要保证业务目标得到有效的建立并在组织内进行有效的沟通，评论各辅助运作单位、部门或个人的目标是否与企业的全部目标保持一致。2确认组织的风险偏好和容忍度。董事会和管理者制定组织的风险偏好和容忍度，内部审计对风险偏好和容忍度水平提供确认、进行量化和沟通。3帮助建立适当的企业风险管理概念性框架并进行评估。内部审计承担向组织内引入企业风险管理概念性框架的责任，结合本公司的实际状况，帮助企业风险管理部门建立该框架，发挥风险管理方面的专长，向管理者和董事会提供咨询。内部审计评估管理者对企业风险管理概念性框架的支持程度和公司风险文化的培养，同时评价企业的风险管理流程，以发现企业所实施的企业风险管理框架结构和企业风险管理概念性框架流程之间的差距。4对风险事件鉴别的适当性及有效性进行审查。内部审计评价所有与组织目标和战略相连的风险事件鉴别，研究风险领域，识别阻碍管理者目标实现56第4章内部审计参与企业风险管理的途径分析的所有风险事件，保证所有重要的风险都被鉴别出来。5对风险评估进行确认。内部审计利用管理工具和技术，促进对风险评估的确认。首先收集相关资料，建立风险评价指标体系。其次，对己识别的风险事件进行定量分析和定性分析，利用风险度、风险综合分析矩阵和多层次模糊综合评判等方法对风险进行有效的计量。6评价和引导风险回应措施。内部审计评价管理者所实施的减轻风险的计划和决定，也帮助管理者选择风险回应措施。内部审计判断采用何种风险回应措旖基于如下考虑；第一，采用此种方法的成本与承担风险所付出的代价的比较；第二，此风险所致损失的概率和程度的大小；第三，是否具有处理风险的技术。7跟踪与评价风险控制活动。一旦选择实施了风险回应措施，管理者就必须实施控制和其它减轻风险的活动，内部审计要保证控制的合理性和有效性。在企业风险控制流程中内部审计对风险控制进行跟踪并对风险控制的效果进行评价。8确保风险方面的信息正确及时地传递与沟通。内部审计建立企业风险管理信息共享系统，通过它将企业内外部的相关风险管理信息在组织的各个层面进行传递和沟通。内部审计评估企业所有层面的主要风险报告，检查信息、报告和沟通的精确性、适当性和完全性。9对企业风险管理过程和结果进行监督和协调。内部审计监督组织风险管理运作的有效性并向董事会提供客观保证，协调关键商业风险的正确管理及有效控制。内部审计监督风险管理流程、监督风险评估的准确性、加强对风险的报告评估。通过对本章内容的研究可以发现，在企业风险管理框架中，内部审计与工作对象间具有很高的整合性。我们可以把企业风险管理和内部审计结合在一起，以一种有效和紧密的方式整合企业风险管理和内部审计，命名为企业风险管理审计。”21在此给出企业风险管理审计的定义企业内部审计部门采用系统化、规范化的方法来对企业风险管理活动进行审计，对企业的风险管理活动进行独立的、综合的、建设性的、面向未来的检查和评价，目的是帮助管理当局改进决策，避免和降低风险，提高获利能力和经营能力，帮助企业实现目标。企业风险管理审计是内部审计部门开始介入企业风险管理而产生的一个新概念。内部审计在监督、评价企业风险管理的有效性、帮助改进风险管理的同57第4章内部审计参与企业风险管理的途径分析时，其本身就是企业风险管理体系的重要组成部分，与企业风险管理协调一致。随着企业对有效风险管理的期望越来越高，他们都将逐渐放弃他们目前所采取的孤立地管理风险的传统风险管理方法，采纳企业风险管理概念性框架。所以，对企业风险管理的有效性开展内部审计，是新形势下企业生存与发展的客观需要，也是董事会及其审计委员会和最高层管理当局、利益相关者的内在要求，企业风险管理审计也使内部审计迈向新的审计内容。企业风险管理审计的内容包括协助管理者和董事会建立和沟通组织目标；确认组织的风险偏好和容忍度；帮助建立适当的企业风险管理概念性框架；对风险识别的适当性及有效性进行审查；评估风险发生的影响和可能性；帮助选择和实施风险回应；引导控制并评价风险回应；在企业内就风险进行沟通；对风险管理过程和结果进行监督和协调；提供独立客观的确认和咨询。如图49所示。图49企业风险管理审计内容_5S一结论结论内部审计在企业风险管理中如何有效发挥作用是始终贯穿本文的一条主线，对这一问题的回答构成了本文的全部内容。为此本文从COSO颁布的企业风险管理框架ERM入手，以2003内部审计研究报告为指导，对内部审计在企业风险管理中的作用机制进行了从宏观制度到微观运作的全面的探讨。主要有以下工作和结论值得重视。1本文的主要工作对企业风险管理和内部审计理论，自产生以来所研究发展的主要成果进行了系统性的回顾，是本研究的一项重要的基础性工作，通过对企业风险管理和内部审计理论大量文献的梳理，为深刻领会内部审计在企业风险管理中的作用机制，打下了较为扎实的基础。通过文献的回顾，得出本文研究的重要意义。对企业风险管理框架模型进行了归纳和研究。主要针对目前存在的企业风险管理框架模型的特点进行了系统的归纳，对企业风险管理概念性框架进行了构建。从而，本文以提出的企业风险管理概念性框架为依托来研究内部审计的作用机制。对内部审计机构和ERM的实施现状进行了调查研究。通过网络发放调查问卷的方式，对全国38家企业的内部审计机构进行了调查，此次调查的目的是了解内部审计职能在组织中的合理定位，了解企业风险管理的实施现状，帮助深刻理解内部审计职能在企业风险管理中的作用。2本文的创新点国内关于内部审计在企业风险管理中作用机制的研究还很少，目前还只是简单地指出了内部审计在企业风险管理中的作用。本文突破了以往研究仅仅局限在所发挥的作用，重要的是对内部审计在企业风险管理中的作用机制进行了初步的研究。本文不仅指出了发挥何种作用，而且指出了如何发挥作用，通过何种途径为企业风险管理增值，即内部审计在企业风险管理中如何发挥确认和咨询的作用。对于尚未实施企业风险管理的企业，内部审计有义务帮助其实施企业风险管理，来帮助企业降低风险，为企业增值。对于已经实施企业风险管理的企业，内部审计要一方面帮助其完善企业风险管理的实施，另一方面要对风险管理的实施起到监督确认的作用。_59结论本文在研究内部审计在企业风险管理中的作用机制的基础上，提出一种新的概念，即企业风险管理审计。它与以往的研究不同的是，该概念是基于企业风险管理概念性框架提出来的。虽然仅仅只是提出，但是却迈出了内部审计内容向企业风险管理审计研究的转化。3本文的研究局限本文的局限性在于分析我国内部审计和ERM实施现状时，仅以全国38家企业的内部审计与ERM实施情况的调查结果为例来说明，没有取得更大范围的数据支持。本文主要对作用机制进行了初步的研究，提出的方法对实际操作进行了引导，是作者的一些粗浅看法。但是本文所给出的只是一个范例，一个运作的程式，具体针对不同的企业还有不同的运作方式。另外，对于内部审计的不利可能造成企业风险的发生这一问题，在本文中没有得到阐述，有待以后的进一步研究。_60参考文献参考文献N何玉柱欧美企业风险管理的机构化与启示【J】管理前沿，2003，4462许涤新政治经济学辞典【M】北京人民出版社，1980198199【3】文硕世界审计史M】第二版北京企业管理出版社，1996469470【4】文硕世界审计史M第二版北京企业管理出版社，1996481483【5】王光远消极防弊，积极兴利，价值增值一J】财会月刊，2003，2356】IIA内部审计实务标准2001年修订Z】第一版中国内部审计协会编译北京中国时代经济出版社20027DELOITTEANDTOUCHETOHMALSUACHIEVINGAUDITEXCELLENCEJ。WELLINGTON,2000,568】TIMLEECHGETTINGTOGRIPSWITHERMJINTERNALAUDITINGBUSINESS砌SK，20028119】FOGARTYANDKALBERSANEMPIRICALEVALUATIONOFTHEINTERPERSONALANDORGANISATIONALCORRELATESOFPROFESSIONALISMININTERNALAUDITINGJACCOUNTINGANDBUSINESSROSEMCH,2000，2134【10】KPMGTRANSFORMINGINTERNALAUDITFROMITSCOMPLIANCEROLEINTOASLXATEGICORGANIZATIONALTOOLJKPMG，1999，3111211DELOITTEANDTOUCHETOHMATSUACHIEVINGINTERNALAUDITEXCELLENCEJWELLINGTON，2000，21012】RAADDINGVALUEACROSSTHEBOARDEBOLHTTPWWWTHEIIAORG,2000100413队GUIDANCEFORTHEPROFESSIONEBOL】HITPPVWWTHEIIACRGAOWNLONDELMFILE63322，2003021714苏运法赴英、法内部审计考察报告【髓，OL，HTTPWWW2SCUTEDUCNAUTSJLVYINGFASJKAOCABAOGAOHIM，2003120315AIRMICARISKMANAGEMENTSTANDARDEBOLHTTPWWW,THEIRM,ORGPUBLICATIONSDOCUMANTSRISK_MANAGEMENT_STANDARD030820PDF,2002一LO0116LUCYGAXDNERAQUESTIONWITHNOANSWERJAUDITINGBUSINESSRISK，2002。3414517IIATHEROLEOFINTERNALAUDITINRISKMANAGEMENTEBOLHTTPWWWTHEIIAORG,200209156L一参考文献18COSOENTERPRISERISKMANAGEMENTFRAMEYORKEBOLHTTPWWWCMOORG,20040902【19队APPLYCOSOSENTEQMSERISKMANAGEMENTINTEGRATEFRAMEWORKEBOLHTTPWWWCOSOORG,20040913【20HAINTERNALAUDITINGSROLEINSECTIONS302AND404OFTHEU，SSAFBANESOXLEYACTOF2002EBOLHTTPWWWTHEIIAORGIIADOWNLOADCFMFILE21655，20040512【21WALKER,PL。WGSHENKIRANDZLBARTONENTERPRISERISKMANAGEMENTPUTTINGITALLTOGETHERZINSTITUTEOFINTERNALAUDITORSRESEARCHFOUNDATION,2002【22JAACATTRYSSEREFLECTIONSONCORPORATEGOVERNANCE锄DTHEROLEOFTHEINTERNALAUDITOREBOLHTTPLLPAPERSSSRNCOMSOL3PAPERSCFMABSTRAOT_ID485364，2005011623】DELOITTEOPTIMIZINGTHEROLE0FIMEMAIAUDITINTHESARBANESOXLEYERAEBOLHTTPWWWDELOITTECOMDTTC,DADOC,CONTENTUSELLSINTERNAL20AUDIT20POVPDF,25一052624邓小平文选Z第二卷第二版北京人民出版社，199425时现现代企业内部治理审计研究M】北京中国石化出版社，200426恭兴隆企业风险管理策略J，兰州商学院学报，1999，128385【27】卢才武，孙庆文，栾晓慧企业风险管理应对策略谈J经济论坛，2004，2575S28杨有振，不确定性与风险管理【N】中国财经报，2002917229朱荣恩。贺欣内部控制框架的新发展企业风险管理框架SO委员会新报告企业风险管理框架简介J】审计研究，2003，6111530宋怡萱，张翮COSO企业风险管理整体框架解析J】财会通讯学术版，2006，3272931金或防，李若山，徐明磊COSO报告下的内部控制新发展J会计研究2005，23238【32】刘世谨。张继勋内部审计与风险管理J审计与经济研究，2001，61012【33】田丽云。尹钧惠内部审计参与风险管理的动因及其运作探讨【J现代财经，2004。8404334】于玉林内部审计在企业治理、风险管理和内部控制中的作用J】审计月刊，2005。3111335朱湘忆论企业风险管理与内部审计J管理世界，2005，4152153_62参考文献36钟淼内部审计师在企业风险管理中的角色定位J】商场现代化学术版，2005。1919237张淑慧内部审计与风险管理【J】企业经济，2005，746【38】郭群内部审计在风险管理中面临的挑战J】会计之友，2004，4464739】王玲。贾亚男风险管理框架下的内部审计J】商业经济，2005，67273【40刘秋明论企业风险管理内部控制内部审计J】交通财会，2003，11121441LIEBENBERG,AANDPHOYTTHEDETERMINANTSOFENTERPRISERISKMANAGEMENTEVIDENCEFROMTHEAPPOINTMENTOFCHIEFRISKOFFICERSJRISKMANAGEMENTENDINSURAN,2003，1375242FLINTDPHILOSOPHYANDPRINCI