現代內部審計與風險管理的協調整合之我見

現代內部審計與風險管理的協調整合之我見

[摘要]內部審計是現代管理和管理控制的重要組成部分。內部審計與風險管理協調整合是其自身獲得發展和增加價值的重要途徑。本文根據COSO企業風險管理框架和IIA內部審計實務標準，分析了內部審計與風險管理的關系及兩者相結合的意義，指出內部審計在企業風險管理過程中可以發揮建議、協調、咨詢和監督四種作用，并探討了在發揮內部審計四種職能作用前提下，其與風險管理整合的程序步驟，及其在中國的應用。
　　[關鍵詞]內部審計；風險管理；IIA；COSO框架
　　　
　　內部審計是現代管理和管理控制的組成部分。IIA在《內部審計實務標準》中將其定義為是一種獨立、客觀的保證工作和咨詢活動，其目的在于為組織增加價值并提高組織的運作效率，采用系統化、現代化的方法來對風險管理、控制和治理程序進行評價和改善，從而幫助組織實現目標。
　　企業風險管理是一個由企業的董事會、管理層和員工共同參與，應用于企業戰略制定和企業內部各個層次和部門，用于識別可能對企業造成潛在影響的事項，并根據風險偏好管理風險，為企業目標的實現提供合理保證的過程。它參與到企業的各項活動之中，是一個過程，是實現結果的一種方式。與傳統的項目風險管理相比，企業風險管理強調戰略導向，覆蓋了組織所有的管理層次和管理領域，方法也更為結構化和規范化。
　　內部審計承擔了監督、分析、評價、檢察、報告和改進等任務，是企業風險管理不可或缺的組成部分。就世界范圍看，風險管理已成為內部審計的主要內容。IIA早就把評價和改善組織的風險作為內部審計的主要內容，其1999年制定的內部審計定義將風險管理和內部控制、公司治理并列作為內部審計的工作對象，2001年修改的《內部審計實務標準》明確要求內部審計參與風險管理和公司治理過程。我國內部審計準則中也充分考慮了風險評估作為內部審計中的一個核心概念。
　　內部審計為什么要與風險管理相整合，在COSO框架下兩者如何結合是需要深入分析的問題。本文將對兩者的關系，兩者結合的意義及兩者結合的方式作進一步探討，并在此基礎上研究中國企業如何將內部審計與風險管理相結合。
　　
　　一、內部審計與風險管理的關系及兩者結合的意義
　　
　　IIA在對美國國會關于《薩班斯——奧克利斯法案》的意見陳述書中表述：內部審計、外部審計、董事會以及高層管理人員被稱為有效的公司治理的四大基石。內部審計師的作用是監控、評估和分析組織的風險，審查信息及公司對法律法規的遵守情況，向董事會、審計委員會以及高層管理人員負責提供保證——風險已被分散、公司治理是有效的。內部審計以企業內部信息使用者為中心，聚焦于控制、風險管理等關鍵問題，通過幫助組織管理風險和提高管理效率，來增加組織的價值和改善公司的經營。
　　公司的治理過程是公司的利益相關主體讓管理層發現風險并對其進行控制的過程，對公司風險的監控及適當地規避此類風險，對實現公司目標和保存公司價值都有直接的貢獻。內部審計參與風險管理的實質就是協助公司的高層管理人員做如下工作：系統鑒別組織所面臨的風險；評估這些風險對組織的潛在影響；制定控制風險的策略；評價風險管理的過程；就風險應對措施的合理性、風險監控的及時性、恰當性、有效性等信息進行有效的交流和溝通。風險管理是管理層的一項主要職責，而對組織的風險管理過程進行評估和報告通常是內部審計工作的一項主要內容。在適當情況下，內部審計師應與管理層審計委員會和董事會就與風險和風險管理實務中的薄弱環節進行討論，當然在該過程中由管理層負責對重大風險采取針對性行動，內部審計機構負責人負責評價這些行動。風險管理作為管理層的一項主要職責，它應當確保組織中有良好的風險管理過程，并使其發揮作用。董事會和審計委員會負責監督、判斷組織是否有適當的風險管理過程，以及是否充分、有效。內部審計師的職責是運用風險管理方法和控制措施，對風險管理過程的充分性和有效性進行檢查、評價和報告，提出改進意見，為管理層和審計委員會提供幫助。
　　IIA多年來一直積極倡導內部審計參與風險管理，它認為內部審計為組織提供價值的兩個非常重要的途徑是對風險管理的充分性和對風險管理及內部控制框架的有效性提供保證服務。
　　內部審計與風險管理相結合是將風險作為內部審計的對象，打破了原來的內部審計只關心內部控制有效性的局面，在評價內部控制的基礎上，對企業所面臨的各種風險進行識別和分析。從另一個角度來講，內部審計更加注重企業的未來，從影響企業目標實現的各種系統風險和非系統風險出發，就內部控制是否健全、關鍵的控制點是否有效控制薄弱的環節以及改進措施是否有效提出認定，來評價風險管理與控制對組織目標實現的影響程度。以風險為對象的審計在風險管理基礎上又進了一步。風險審計就是在風險管理基礎上審計主體通過對組織風險識別、風險評價等工作的審計，側重對風險管理進行鑒證。
　　內部審計參與風險管理不僅為內部審計自身提供了發展契機，而且作為企業內的一種獨立、客觀的保證工作和咨詢活動，內部審計是公司治理必要和有價值的組成部分，能夠在風險管理中發揮獨特的作用，無論是內部審計還是風險管理都能從雙方的整合中提高效率，創造價值。
　　內部審計作為內部控制的重要組成部分，其在風險管理中發揮不可替代的獨特作用。主要有以下幾個方面：(1)內部審計能夠從全局的角度管理風險。對風險的認識、防范和控制需要從全局考慮，但各業務部門很難做到這一點。內部審計人員從事具體的業務活動，獨立于業務管理部門，這使得他們可以從全局出發，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。(2)控制、指導企業的風險策略。由于內部審計部門處于企業的董事會、總經理與各職能部門之間，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期計劃的調節，內部審計人員可以調控、指導企業的風險管理策略。(3)內部審計部門的建議更易引起重視。內部審計部門獨立于企業高級管理層，其風險評估的意見可以直接上報給董事會，這會加強管理當局對內部審計部門意見的重視程度。從內部審計發揮的上述職能看，內部審計已經參與到公司治理與風險管理中，幫助組織發現并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做出貢獻；同時繼續原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。此時的內部審計人員是風險管理專家，通過對風險的把握來評價公司治理及
內部控制，并促進公司治理和內部控制的改善，從而實現對風險的控制。在風險管理這個統一核心下，公司治理與內部控制實現了一定程度整合，為組織增加了價值。
　　
　　二、內部審計在風險管理中的角色和責任
　　
　　COSO報告指出企業風險管理有四個目標(實現戰略、高效運作、客觀報告、遵守法則)、八個要素(內部環境、目標設定、事件識別、風險評估、風險反應、控制活動、信息溝通、監控活動)，并在企業的四個層次(企業級、部門級、事業單位級、分公司級)展開。內部審計在這一框架中作為監控活動存在，由內部機構對企業風險管理進行獨立評估。IIA在2004年發表的《內部審計在企業風險管理中的角色》意見書中也認為內

【現代內部審計與風險管理的協調整合之我見】相關文章：

淺析內部審計新模式-風險導向內部審計06-07

談現代風險導向審計08-28

內部審計風險及應對措施探討的論文08-23

淺談內部審計風險控制（精選7篇）04-26

論現代審計學的風險概念體系06-05

內部審計論文02-13

內部審計與ERP初探06-09

淺談經營失敗審計失敗與審計風險05-10

淺談企業內部管理審計的論文08-27

審計風險模型的演進及應用08-26