试论内部审计与风险管理之间的关系

1、试论内部审计与风险管理之间的关系【摘要】文章从内部控制与风险管理之间的内在关系入手,讨论了内部审计与风险管理中的互动关系和目的上的一致性。指出内部审计在企业风险管理中的角色是监视者,并提供保证和咨询效劳。【关键词】内部审计;风险管理;角色定位自20世纪90年代起,西方许多大型企业内部审计部门开场对企业的风险管理进展评估与监视,以实现企业经营目的的平安性、效率性和效果性。纵观近十几年的开展历程可发现,两者之间互相交融,存在着密不可分的关系。一、二者互动交融关系形成的现实背景当今世界,风险无时不在、无处不在,随着时代的开展,企业所面临的风险变得广泛而复杂。企业必须慎重地识别各种潜在风险,加强风险管

2、理,并在风险管理方案的制定、执行、评估与监视等方面进展合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监视的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进展了自身的重新定位,改变了过去只是作为企业财务监视者的定位,将自身的目的确定为向企业提供保证和咨询效劳,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的开展道路逐渐接近并找到了交

3、点。二、内部审计与风险管理的互动关系(一)内部审计定义中包含有风险管理的内容内部审计从产生到如今已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的开展在内部审计史上具有重要意义。风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版?标准?的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进展审查和评价的一种效劳。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、标准化的方法来对机构的风险管理、控制及监视过程进展评价进而进步它

4、们的效率,帮助机构实现目的。这个定义与1993年的定义相比拟最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深化。只有在风险管理框架中施行的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理作为内部审计的重要工作领域,是内部审计的新开展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准那么,重整内部审计流程,进步审计效劳质量等提出了较高的要求。(二)风险管理赋予了内部审计在企业中新的地位和作用为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业非常重要的领域。风险的广泛存在,使

5、企业经理人员对风险空前重视,为内部审计开展提供了一个绝好的时机。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。三、内部审计与风险管理目的上的一致性风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目的的实现提供合理保证的过程。风险管理就是

6、通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的本钱获得最高的平安保障,将损失降至最低程度。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接效劳于实现企业目的。而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并进步机构的运营效率。IIA在2001年修订的?内部审计实务标准?中,对“增加价值一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益内部审计是在搜集资料、认识并评价风险的过程中,对经营与改进时机产生了深化的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可

7、以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。根据这一解释,增加价值的目的应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过搜集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深化,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制破绽、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而到达使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目的上是相一致的。上述种种使企业风

8、险管理与内部审计逐渐形成了你中有我、我中有你、互相依存、联动开展的严密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进展评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值的重要手段。四、内部审计在风险管理中的角色定位S在?企业风险管理整合框架?中的“职能和责任章节,说明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承当最终责任,其他管理人员支持全面风险管理的理念,促使组织在

9、风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其别人员通常承当关键的支持性责任。组织的其别人员负责按照制定的指令和协议执行全面风险管理。这明确说明,内部审计对全面风险管理的建立并没有根本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监视、检查、评估、报告、建议全面风险管理过程的充分性和有效性。IIA2001年公布的内部审计实务准那么,其实务公告“内部审计在风险管理中的作用指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委

10、员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询参谋身份开展工作的内部审计人员可以协助机构确定、评价并施行针对风险的管理方法和控制措施。在充分考虑内部审计的独立性与客观性的根底上,结合相关法规、报告的观点,可以看出:对整个组织的可持续开展才能,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进展评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监视者,包括对风险管理流程的评估和保证效劳、对风险评估准确性的保证效劳、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的效劳种类可以划分为保证效劳和咨询效劳,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因此它可以担任的角色也是基于这两种效劳衍生而来的。除了作为监视者所提供的保证效劳外,内部审计还可提供咨询效劳,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和开展风险管理框架、支持建立风险管理、参