試論內部審計與風險治理之間的關系

試論內部審計與風險治理之間的關系

【摘 要】 文章從內部控制與風險治理之間的內在關系進手,探討了內部審計與風險治理中的互動關系和目標上的一致性。指出內部審計在企業風險治理中的角色是監視者,并提供保證和咨詢服務。
　　【關鍵詞】 內部審計; 風險治理; 角色定位
　　
　　自20世紀90年代起,西方很多大型企業內部審計部分開始對企業的風險治理進行評估與監視,以實現企業經營目標的安全性、效任性和效果性。縱觀近十幾年的發展歷程可發現,兩者之間互相融合,存在著密不可分的關系。
　　
　　一、二者互動交融關系形成的現實背景
　　
　　當今世界,風險無時不在、無處不在,隨著時代的發展,企業所面臨的風險變得廣泛而復雜。企業必須謹慎地識別各種潛伏風險,加強風險治理,并在風險治理方案的制定、執行、評估與監視等方面進行公道分工,以保證風險治理的效率。而在整個風險治理過程中又必然涉及多個部分的溝通和協調,這就需要一個超然、獨立的組織機構予以保障。內部審計部分在企業中的超然地位以及獨立評估和監視的特殊職能,正好滿足了這一要求。因此,企業風險治理必然要將內部審計納進自身體系。
　　隨著企業所面臨風險的增加,風險治理成為了企業治理的核心。由此,內部審計也借機及時進行了自身的重新定位,改變了過往只是作為企業財務監視者的定位,將自身的目標確定為向企業提供保證和咨詢服務,評估和改善風險治理、控制和治理程序。這樣,企業風險治理和內部審計兩者各自不同的發展路線逐漸接近并找到了交點。
　　
　　二、內部審計與風險治理的互動關系
　　
　　(一)內部審計定義中包含有風險治理的內容
　　內部審計從產生到現在已經歷了幾個世紀,每個時期內部審計的概念都有不同的內涵和外延。國際上,內部審計已有7次定義,至今仍在不斷變化,內部審計定義的發展在內部審計史上具有重要意義。
　　風險治理改變著內部審計的定義,也就同時改變了內部審計的職能和在企業中的價值。1993年版《標準》的序言中對內部審計的表述是:在一個企業內部建立的一種獨立的評價活動,并作為對該企業的控制及經營活動進行審查和評價的一種服務。而2001年版對內部審計是如下表述的:內部審計是采用一種系統化、規范化的方法來對機構的風險治理、控制及監視過程進行評價進而進步它們的效率,幫助機構實現目標。這個定義與1993年的定義相比較最明顯的變化在于將內部審計的范圍延伸到風險治理,比舊定義中提及的控制及經營活動要更為廣泛和深進。只有在風險治理框架中實施的內部審計才能稱之為風險治理審計。顯然,將“評價和改善風險治理”作為內部審計的重要工作領域,是內部審計的新發展,擴大了內部審計的領域,拓展了內部審計的廣度和深度,對內部審計的重新定位,修訂內部審計準則,重整內部審計流程,進步審計服務質量等提出了較高的要求。
　　(二)風險治理賦予了內部審計在企業中新的地位和作用
　　為了在企業中擔當更重要的角色和發揮更重要的作用,內部審計總是在不斷尋找新的對企業十分重要的領域。風險的廣泛存在,使企業經理職員對風險空前重視,為內部審計發展提供了一個盡好的機會。內部審計對風險治理的參與,將會使內部審計在企業中成為一個極其重要的角色,并將其在企業中的作用推向一個新高度。正因如此,內部審計師的職業組織——國際內部審計師協會才不遺余力地倡導內部審計師進軍這一領域,把風險治理作為內部審計的重要領域直接寫進了內部審計的定義。　　三、內部審計與風險治理目標上的一致性
　　
　　風險治理的定義指出:“企業風險治理是一個由企業的董事會、治理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部分的,用于識別可能對企業造成潛伏影響的事項并在其風險偏好范圍內治理風險的,為企業目標的實現提供公道保證的過程。”風險治理就是通過對面臨的各種風險的熟悉、估測、評價,正確把握各種不確定性,采取恰當的內部方法,以便用最低的本錢獲得最高的安全保障,將損失降至最低水平。風險治理通過測試、評價和控制風險因素來降低風險事件發生的概率和造成的損失,直接服務于實現企業目標。
　　而在內部審計新定義中,已明確指出內部審計的目的是為機構增加價值并進步機構的運營效率。IIA在2001年修訂的《內部審計實務標準》中,對“增加價值”一詞作了如下解釋:“機構的設立,是為了其所有者、其他利益方、顧客和客戶創造價值和謀取利益……內部審計是在收集資料、熟悉并評價風險的過程中,對經營與改良時機產生了深刻的見解,這些見解可能會對機構帶來諸多利益。這些有價值的信息可以咨詢、建議、書面報告或通過其他產品的形式呈現出來,所有這些得傳達給相應的經營治理職員。”根據這一解釋,增加價值的目標應由企業的各個職能部分來共同完成,而內部審計部分作為企業的職能部分之一,也應該努力增加企業的價值;同時,內部審計部分經過收集資料、識別并評價風險的過程之后,對企業治理層及其他職能部分的見解更為深刻,而且這些見解是富有價值的,而企業治理者采納、利用這些有價值的信息后,一方面可以借此消除各種減值因素,包括風險因素、控制漏洞、治理缺陷等;另一方面可以將這些有價值的信息應用于經營治理活動,從而達到使企業增值的目的。從這個意義上來說,風險治理與內部審計在其目標上是相一致的。
　　上述種種使企業風險治理與內部審計逐漸形成了你中有我、我中有你、相互依存、聯動發展的緊密關系。眾多企業在制定本企業風險治理方案時,將內部審計列為風險治理的一道重要防線,由內部審計對整個風險治理流程進行評估和監控;有的企業還特地安排內部審計直接參與風險治理方案的制定和執行全過程,以發揮內部審計在風險治理中的突出作用。與此同時,內部審計也將風險治理作為“為組織增加價值”的重要手段。
　　
　　四、內部審計在風險治理中的角色定位
　　
　　COSO在《企業風險治理——整合框架》中的“職能和責任”章節,闡明各治理層在全面風險治理中的地位和職責,并指出組織里的每個人對全面風險治理都有責任。首席執行官承擔終極責任,其他治理職員支持全面風險治理的理念,促使組織在風險容量內經營,并在各自負責的領域里負責將風險降低到相應的風險容忍度內。首席風險官、首席財務官、內部審計及其他職員通常承擔關鍵的支持性責任。組織的其他職員負責按照制定的指令和協議執行全面風險治理。這明確表明,內部審計對全面風險治理的建立并沒有基本責任,這是高級治理層的責任。內部審計職員的重要角色是,幫助治理層和審計委員會監視、檢查、評估、報告、建議全面風險治理過程的充分性和有效性。
　　IIA2001年頒布的內部審計實務準則,實在務公告——“內部審計在風險治理中的作用”指出,風險治理是治理職員的關鍵職責,內部審計職員應該通過檢查、評價、報告風險治理過程的充分性和有效性并提出改進建議來協助治理職員和審計委員會的工作。治理層和委員會負責機構的風險治理和控制過程,以咨詢顧問身份開展工作的內部審計職員可以協助機構確定、評價并實施針對風險的治理方法和控制措施。
　　在充分考慮內部審計的獨立性與客觀性的基礎上,結合相關法規、報告的觀點,可以看出:對整個組織的可持續發展能力,對所有者、利益相關人、監管機構和普通公眾負責的是企業治理層,內部審計職員應立足于協助、幫助治理層和審計委員會履行風險治理的職責,主要職責是對整個風險治理過程進行評價,認定并評價治理的充分性與有效性,向治理層和審計委員會報告情況并提出改進治理的建議,以此保證風險治理的有效性。因此,內部審計在企業風險治理框架中首要的角色是監視者,包括對風險治理流程的評估和保證服務、對風險評估正確性的保證服務、對關鍵風險報告的評估和對關鍵風險治理的評估。按IIA的標準,內部審計的服務種類可以劃分為保證服務和咨詢服務,前者是一種獨立評價的活動,后者是提供建議及咨詢的活動。在企業風險治理中,內部審計的本質特征并不發生改變,因而它可以擔任的角色也是基于這兩種服務衍生而來的。除了作為監視者所提供的保證服務外,內部審計還可提供咨詢服務,包括促進對風險的識別和評估、指導和協調風險治理活動、加強對風險的報告、保持和發展風險治理框架、支持建立風險治理、參與制定風險治理戰略等。與此相適應,內部審計承擔了咨詢者、協調者、建議者的角色。
　　
　　【參考文獻】
　　[1] 劉德運.內部審計原理與技術[M].北京:中國經濟出版社,2006(6):25.
　　[2] 方紅星,譯.企業風險治理—整合框架[M].大連:東北財經大學出版社,2005(9):109.
　　[3] 國際內部審計師協會2003年修訂:內部審計實務標準[M].北京:中國時代經濟出版社,2004.

【試論內部審計與風險治理之間的關系】相關文章：

試論審計風險的治理03-20

內部審計與風險治理03-24

關于內部審計與風險治理題目03-20

芻議內部審計參與風險治理03-23

試論公司治理中的內部審計角色03-21

內部審計與企業風險治理的全面結合02-27

內部審計在企業風險治理中的作用03-22

從風險管理談公司治理與內部審計03-18

公司治理框架下的風險治理導向內部審計研究03-22