审计与风险管理范文

栏目：文库百科作者：文库宝发布：2023-11-27 17:23:41浏览：334

审计与风险管理

审计与风险管理篇1

关键字:风险导向审计;风险管理;风险管理审计

一、风险导向审计的相关概念及在工作中的初浅应用

笔者面对更多的审计任务为施工建设项目的审计，在实际工作中总结出了自己的一些审计思路与方法。随着企业规模的不断扩大和经营范围的不断拓宽，施工任务在逐年上升，这样被审项目就增加了。由于人力不足，每年不可能对所有的项目都进行审计。首先，将所有项目按业务板块分类，根据不同板块的行业特点、产业政策和单位在该板块的施工技术难度系数及管理经验，以板块为单位按重要性排序。其次，在每个板块中按照项目的投资性质和施工产值及利润空间大小进行排序，并结合企业所确定的战略规划，处于施工中前期的品牌项目、国家重点建设项目加大比重系数。最后，在重点系数排在前15位的项目中再按照项目经理的管理经验、能力、责任感及项目的人员配备并结合基层各方职工所反映的情况确定审计对象。

根据平时所掌握的一些情况，通过职业判断设计有针对性、技巧性的调查问卷，在进驻工作点开见面布置会时，按照职工花名册按业务性质随机抽取一部分职工以无记名形式填写调查问卷。后来为了缓解紧张情绪，获取职工个人邮箱名单后以邮件的形式发出，反馈的问卷真实性、全面性都有了很大提高，实践证明效果很好，为风险的确定及测评获得第一手证据提高了效率及准确度。

二、风险管理的概念及内部审计在风险管理中应发挥的作用及风险规避

iia在其《内部审计实务标准》工作标准2100—工作性质中规定，内部审计活动评价并帮助改进组织的风险管理、控制和治理体系。具体而言，内部审计要监督、评价机构风险管理体系的有效性。内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上起的作用。为了避免参与“风险归属”问题，内部审计师应该要求管理层证实其在确定、防范、监测风险及决定风险“归属”方面的责任。

总之，内部审计师可以促进风险管理过程的建立或使风险管理过程的建立成为可能，但是，不应该“拥有”已确认的风险或负责对这些风险的管理。

随着总公司的整体上市，对全系统的规范管理提出了更为严格的要求，机遇与挑战并存，企业的风险管理也将逐步提到议事日程上来，同时内部审计也面临风险审计的挑战。由于我们所在的企业为国有企业，在公司治理方面还存在很多没有解决的问题，这些都将加大对内部审计的风险。下面就现阶段国有企业风险审计的既有风险与本系统将面临的风险发表一下个人见解。

三、现阶段国有企业风险审计的既有风险与本系统所面临的风险

1.国有企业风险审计的既有风险。现阶段尽管国有企业的公司治理已经取得了一定的成绩，但我们必须清醒地看到，国有企业规范治理，特别是对经营者的有效制衡，还没有得到实质性的解决。（1）所有权“虚置”（2）国有股“一股独大”，对中小股东利益保护不足（3）内部人控制（4）监事会监督不力（5）公司接管市场的形成环境不理想（6）信息披露存在严重漏洞（7）经理人市场不健全（8）经营者的激励机制不足（9）经营者考核指标体系不健全。

2.基于以上国有企业的管理现状，市场化进程的加剧给企业的管理带来了机遇，同时也使企业更加的公开化、透明化，当然企业所面临的风险自然就增加了。像我们这样的大型国有企业经过上市后除了具有如上所说的既有风险外，其自身的一些个性特点在市场经济环境下所面临的风险更应该引起重视。

(1）由于施工企业自身所存在的地域广、人员多的特点，管理难度大，往往存在上面的制度执行不到位的现象，上面风声大、下面基层的雨点小，信息传递的结果不断弱化。这种信息化管理水平低下的后果就存在有令不行管理空缺的风险。

(2)从集团的角度即要遵循总公司一定的战略规划，从资源的整合、优化重组中要走总公司做大做强跨国大企业的路线，这样企业所面临的战略风险的弹性相对就小了。在市场经济中所遵循的竞争规则便是“弱肉强食”，使资源向“强者”中云集，实现资源的优化配置。所以有些集团在总公司的发展壮大过程中就有被“强食”的风险。

(3)从整个总公司系统的角度以纵向来看，即使要求实现扁平化管理，但现在至少还有四级管理，甚至有的地方还存在五级管理，尤其是四五级管理层认为大利益难以裨益于其自家的“小利益”，从而强调自己的小集团利益而不执行上层的指令，并且有些制度不具有强制约束力，从而“各自为政”，很难形成合力。这势必会出现管理执行的弱化，管理失控的风险。

(4)对风险理念的认识程度不足。由于历史的原因，在一些国有企业尤其是中央大型国有企业中长期形成的“瘦死的骆驼比马大”，再怎么着那也是国家的，不会让我们饿死。“春风”不渡“玉门关”，鞭长莫及，再大的风险有上层顶着呢。

(5)管理职责与权限不明晰，责任追究不到位。出了问题造成项目亏损资产流失后给点罚款、来个降职，转随其后换个地方或换个职位仍然大行其道或安然无事。

四、企业风险审计应注意的事项

1.制定审计计划时以被审计单位风险为导向

内部审计机构在制定长期审计规划、年度审计计划时，首先应该识别企业在长期、短期发展中面临的各种风险，包括主要、次要风险；经营风险；财务风险；法律风险等，在此基础上来实行未来审计的规划以及年度计划。

2.审计人员要从更高层次关注风险

内部审计在风险管理的过程中，要纵观全局，有的放矢。不仅要仔细审视企业经营过程中每个风险的节点，更要理清关键性的风险和风险的关键性环节，对风险的估计要有整体的把握，要考虑风险管理对组织的价值具有的前瞻性。

3.风险审计的直接服务对象是企业高级管理层和决策机构

作为市场经济最基本组织，现代企业都是风险自担的实体，风险管理水平将是关系企业成败的最重要的因素，尤其是我国企业今后要面对国内国外两个市场，竞争对手更多的是那些管理科学、机制相对健全的跨国公司，所以企业的风险管理事项一般都是企业最高管理层和决策层需要必须考虑的。

4.企业风险审计要与内审职责匹配

风险管理作为内部审计一个新的涉及领域，内部审计人员要想成为风险管理专家，不仅要懂得财务会计及相关法律法规，熟练地运用内部审计标准、程序和技术，还必须具备相应的风险管理素质和技能。在全球经济一体化，信息化技术飞速展的今天，内部审计人员除了要扎实专业技能外，更应丰富专业风险管理的知识和技能，精通现代管理信息技术和先进的管理技术手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少的风险，改进管理和提高效率。

5.风险审计要求内部审计更多地发挥咨询职能

风险管理是一项事前性的预防工作，风险审计要真正发挥作用也必须走在前面，在监督、评价、咨询职能中，内部审计的咨询职能在风险审计中显得尤为重要。而要发挥好咨询功能，内部审计就需置身于风险管理之中，内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。内部审计要作为风险管理过程的参与者、协调者、要真正融入到企业管理体系中，要真正置身于公司的治理和风险管理过程之中。

6.及时沟通至关重要

风险的不确定性，要求内部审计在风险管理过程中，加强沟通的力度，拓宽沟通的层面，丰富沟通的渠道，更新沟通的手段，加快沟通的进程。内部审计机构与被审计单位、组织管理层之间，应积极沟通彼此意见，充分体现参与式内部审计“以人为本”的理念。

8.分清组织可接受风险和个人可接受风险

内部审计在风险审计中必须关注一个问题是企业所能够接受的风险是否与职员个人风险喜好程度有明确的界限划分。对于那些风险偏好高的个人而言，当其可以控制的资产不是个人资产的时候，如果没有很有效的内部控制来约束，就很有可能其自身的风险投资行为导致企业的毁灭。如中航油巨亏陈久霖事件就是非常典型的，所以内审人员对此应该密切关注，对可疑或相关审计发现要及时向更高机构报告或者披露。

经过以上论理论与实际工作经验的论述得出三者之间的关系：

参考文献：

[1]中国内部审计协会编译《内部审计实务标准》（2001年修订本），中国时代经济出版社.

[2]尹维??《现代企业内部审计精要》，中信出版社.

[3]李金华:《审计理论研究》，中国时代经济出版社.

[4]李三喜:《内部审计规范精要与案例分析》，中国市场出版社.

[5]《审计文摘》2007年第八期、2008年第二期.

审计与风险管理篇2

[关键词]风险导向内部审计;企业风险管理;联系

企业经营环境的不断变化,在成长发展和经营管理过程中的种种不适应都可能导致企业风险的发生。因此。企业必须根据自身特点、不同时期风险的不同状态,抓住重要环节和主要风险。围绕总体经营目标推行企业风险管理。同时,企业面临的风险不断增多,组织机构的重整愈加频繁。对内部审计在参与风险管理、完善治理结构以及加强内部控制等方面的需求也日益高涨。内部审计部门顺应时势,在越来越多的领域发挥着积极的审查、评价和促进作用,工作目标从过去的查错纠弊变为主动地帮助企业增加价值。此时,风险导向内部审计概念的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。而在风险管理实践中,一个机构健全的企业除设置内部审计部门外,往往还专门组建了一个由风险管理专业人员构成的部门,即风险管理职能部门。由于内部审计部门和风险管理职能部门都要关注企业所面临的风险,却又在企业推行风险管理实践中扮演不同的角色,故两部门在开展各自业务时工作职责虽有不同,但必然会有一定的交叉和联系。文章首先对风险导向内部审计在企业风险管理中的作用进行剖析,在此基础上,就内部审计部门在开展风险导向审计业务时如何与风险管理职能部门进行协调与联系进行探讨。

一、风险导向内部审计和企业风险管理的概念

风险导向审计是把风险为导向的思想运用到内部审计领域,即内部审计人员在审计全过程中自始至终地关注风险,根据风险大小选择项目,以降低风险为导向,开展内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,最终提出建设性意见和建议的审计方法。

而在企业风险管理方面,根据2004年9月颁布的ERM框架,“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”

二、实务中风险导向内部审计与企业风险管理的联系

风险导向内部审计既是基于降低内部审计人员的审计风险,同时又是为了降低企业经营风险、进行风险管理的一种有效工具。而企业开展风险管理目的也是全面识别企业风险并及时采取有效控制手段。两者有着十分紧密的联系,下面首先理清风险导向内部审计在企业风险管理中的作用。

(一)帮助企业直接有效地防范与规避风险

风险导向内部审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。在风险导向内部审计实施过程中,内部审计人员首先对企业的经营战略进行分析。确定战略风险和重大交易;之后通过定量和定性结合的方法,进而评价企业风险管理中风险衡量的准确性:最后通过专门程序,审查企业职能部门采取的措施是否已将风险控制在可接受的范围内。对于不同类型的风险,向决策层建议采取风险回避、风险转移、风险降低等不同的策略和措施,从而帮助企业直接有效规避和防范风险。

(二)促进企业不断完善风险管理制度

风险导向内部审计是一种系统、规范的方法,对企业的风险管理体系及其运作进行监督和评价。通过定量与定性相结合的方法,就改进管理控制风险向决策层提出具体可行的建议和措施,并对企业生产、经营、管理的体制和机制提出调整,将这些建议和措施系统化、规范化,最终形成企业新的规章制度,进而周而复始地循环,使企业风险管理制度不断完善。

(三)为企业强化和规范风险管理运行机制提供重要支持

风险导向内部审计是企业风险管理运行机制的重要一环。一方面,风险导向内部审计的特定内容和方法有助于全面地识别风险,强化和规范企业风险管理。另一方面,风险导向内部审计关注会计报告的重大错报风险,对企业所处的宏观经济社会环境和行业环境、企业战略目标进行深入地了解和综合评估,落实实质性测试的范围和重点,这些都为企业强化和规范风险管理运行机制提供了重要的支持。

企业风险管理职能部门的主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。反过来,内部审计也是内部控制或者整个风险管理过程中不可或缺的重要组成部分。它既是内部控制的一种特殊形式,也是实现内部控制目标的重要手段。现实中的一些企业,董事会往往下设审计委员会、风险管理委员会,企业内部审计部门对审计委员会负责,风险管理职能部门对风险管理委员会负责。企业其他职能部门及各业务单位在全面风险管理工作中,同时接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。

企业的风险管理职能部门所开展的风险管理实践可简要概括为四个步骤:第一步是风险识别;第二步是风险评估;第三步是风险应对;第四步是风险监察。而内部审计部门在开展风险导向审计业务时,相应的也要经过风险识别、评估、应对和监察阶段。其联系如图1所示。下面就各个阶段分别论述两部门的内在联系。

1　风险识别与评估阶段

根据ERM框架要求,企业风险管理职能部门在风险管理工作中,首先要识别出所有可能发生并对企业目标实现产生不利影响的重要情况;之后对风险发生的可能性及相对重大程度进行评估。而内部审计部门在开展风险导向内部审计业务时,首先要实施风险评估程序,通过分析性程序初步确定企业的风险,建立风险评估框架,对重要性做出初步判断并编制出整个审计计划;之后根据量化的风险水平确定审计项目的优先顺序,合理分配内部审计资源,目的是将有限的资源集中于高风险的领域,找出风险存在的根本原因,以寻求最好的解决方案。因此,内部审计人员为减少工作冗余,避免工作重复,可以先对风险管理职能部门的风险识别与评估报告的有效性和充分性进行审查和评价,并结合自身工作特点,有选择地加以利用。

2　风险应对阶段

在经过对企业风险的识别和评估后,企业风险管理职能部门都要对风险与收益进行权衡。当风险超出了企业的风险偏好,企业不能接受且无法经济有效地加以抑制,则须放弃该项目或计划,

从而避免风险带来的负面影响。对于大部分风险,需要企业采取一定的行动,转移或分散风险,以达到企业可接受的水平。为此。企业风险管理职能部门需要对风险进行控制。即将不可接受的“固有风险转化为可接受的“剩余风险”。而在内部审计部门开展风险导向内部审计业务时,内部审计人员通常要根据风险评估结果,设计与评估的重大错报风险相关联的、进一步的审计程序,开展控制测试与实质性测试,评估控制活动的有效性,使风险得以管理。由此可见,两部门都要在识别与评估风险之后,对重大风险及时做出回应,只是关注点和工作任务有所不同。风险管理职能部门需要根据企业总体目标,衡量风险的成本与收益,运用风险管理方法针对已评估的关键性风险予以控制。而风险导向内部审计要求内部审计人员运用审计抽样等技术,更加关注内部控制的测试与各个交易循环的实质性测试。

3　风险监察阶段

企业的生存发展是处在一个不断变化的竞争环境中的,故其所面临的风险也会不断变化,随时可能会有新的风险出现,也可能预期的风险会消失。根据ERM框架,风险管理职能部门要对风险进行监察,并根据风险变化情况及时采取相应策略进行风险管理。而在开展风险导向审计业务时,出具最终审计报告之后,内部审计人员还要进行后续的风险监控。一是为检查风险管理的效果,通常要开展跟踪审计活动,对需要管理层或风险管理职能部门马上采取纠正措施的事项进行适当的监督,以保证实现业务目标。降低组织风险;二是要对审计业务开始时所进行的风险评估结果持续关注,根据企业不断变化的内、外部环境随时进行调整,以帮助日后制定审计计划,确定审计重点。可见,两部门在风险监察阶段,都要对企业所面临的风险进行不断地监督。在实务操作中,两部门可以针对各自的工作侧重点,相互配合,紧密合作。

三、实务中风险导向审计业务与企业风险管理的协调

通过分析实务中内部审计部门在开展风险导向内部审计业务时与企业风险管理职能部门的联系,可知,无论是风险导向内部审计业务,还是风险管理部门进行风险管理实践,其根本目标都是为降低企业风险,维护企业利益,为企业的总体战略目标而服务。因此,内部审计部门在开展风险导向审计业务时需注意与风险管理职能部门及时协调、相互配合,最终形成合力,共同为企业服务。

(一)加强部门间合作,有效减少工作冗余

风险导向内部审计之所以要将审计资源集中于高风险的审计领域,对高风险点进行详细的实质性测试,原因在于审计资源是有限的,必须要将其优先使用在高风险领域,这也是它的本质要求。而企业风险管理职能部门的主要职责就是识别企业所面临的各种风险,并运用不同的风险管理策略开展风险控制活动,故内部审计部门在开展风险导向审计业务时,应充分考虑与风险管理部门的合作,积极应用风险管理部门的工作成果和专业意见,注意与其协调。以提高审计业务工作效率、完善审计工作成果。例如,风险管理部门每年组织开展的风险识别和评估可以帮助管理层识别想要实现组织目标所应关注的领域,在开展风险导向审计时,可以对此类信息有选择地加以利用,从而确认高风险领域,进而确定审计重点。此外,风险导向内部审计和企业风险管理根本目标都是要将企业所面临的风险降到最低,维护企业合法利益,故在很多时候,对某些重大风险领域,部门间应加强合作、联合调查。内部审计部门根据风险管理部门提供的风险评估报告进行进一步地分析复核,通过采取控制测试和实质性测试等程序来最终确定风险大小以及所带来的损失;之后。风险管理部门再根据内部审计部门最终出具的审计报告针对风险因素采取相应的措施。这样可以更加有针对性地对风险进行控制,从而将其降低到企业可接受的水平。

(二)要注意结合本部门工作特点对所取得的资料进行分析复核

虽然已经说明内部审计部门在开展风险导向内部审计业务时可以积极应用风险管理职能部门的专业成果,如其每年的风险评估报告,但必须强调的是,内部审计部门在应用其工作成果时必须要对其进行分析复核。对资料有选择地使用。因为风险导向内部审计最本质的要求是内部审计人员对企业的高风险领域进行识别和分析,进而采取有效的控制,而企业的风险多种多样,且随时随刻变化,风险管理职能部门有时难免由于某些原因导致其未能准确地识别企业的某一高风险点。这时如果内部审计部门在开展风险导向审计业务时也没有对其关注,即企业的风险识别出现了“盲点”,则很可能对企业的发展产生极大的冲击。这样,内部审计部门所开展的风险导向审计业务也就没能充分发挥其审计监督的作用。因此,在开展风险导向审计业务时,提倡借鉴风险导向职能部门的工作成果,减少工作冗余,但内部审计人员一定要对其工作成果进行再审查、再评估。

(三)分清职责,到位不越位

首先需要认清风险管理是管理层一项主要职责,通常由企业的风险管理职能部门具体负责实施,而对组织的风险管理过程进行评估和报告才是内部审计部门的工作内容。在企业风险管理框架下,内部审计是对风险管理的再管理,即内部审计人员并不参与风险管理的建立和运行过程,而是在企业已有风险管理的基础上实施再监督,以促进风险管理过程的建立健全或使风险管理的有效性成为可能,但是。不应该“拥有”已确认的风险或负责对这些风险的管理。风险管理的建立和运行过程应由管理层下设置的风险管理部具体负责,而内部审计在这一框架中应作为“监控活动”的角色而存在。此外,IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证。以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理框架中首要角色是监督者。包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,而不是风险管理的创建者或实施者。在开展风险导向内部审计中,内部审计人员一定要在协调、合作的同时分清职责,到位不越位。

(四)交流沟通,促进双方共同进步

内部审计部门所开展的审计业务几乎都是以风险为导向。将有限的审计资源集中到高风险领域,而企业的风险管理职能部门又对企业的风险因素进行专业化的识别、评估、控制和监察。因此,及时建立两个部门之间的交流、沟通机制,促进双方共同进步。可以更加有效地为企业总体战略目标服务。在具体实施过程中,两部门可以通过开展集中讨论会、建立风险信息库等方式进行相互交流。而且。两部门工作所需的知识结构也存在互补关系,可以互相学习。内部审计人员通过学习风险管理知识,可以更加专业地识别和评估企业风险因素,从而更有侧重地设计审计程序;而风险管理部门学习审计知识,也能够了解风险导向审计工作的重点。从而相互配合,减少重复工作,确保风险管理活动的经济性和有效性。

[参考文献]

[1]吴容,风险导向整合型内部审计模式探究[J],中国内部审计,2009(9)

[2]王学龙,郝斯佳,论风险导向型内部审计在企业风险管理中的作用[J],中国内部审计,2010(2)

[3]中国内部审计协会,内部审计在治理、风险和控制中的作用[M],西苑出版社,2008

[4]中国注册会计师协会,公司战略与风险管理[M],经济科学出版社,2009

审计与风险管理篇3

关键词:内部审计;风险管理

Abstract: In modern enterprises’ management, risk management has become a very important field in internal audit. In this article, we will discuss the reason for the involvement, how internal audit to take part in risk management and the basic principle of risk management.

Key words: Internal Audit;Risk Management

一、引言

在现代企业经营管理中,随着内外部环境变化,企业经营环境变得日趋复杂,各种风险日益增多,正确认识风险的特征和风险管理的意义,建立有效的风险管理体制,充分发挥内部审计在风险管理中的作用,将风险控制在一个合理的水平,是内部审计工作今后面临的一个重要问题。

风险是在一定环境和期限内客观存在的,导致费用损失与损害产生的,可以认识与控制的不确定性。因此,在有可能发生使企业的经营目标不能实现的事件时,就存在着经营风险。风险的高低取决于预计损失的大小和发生损失的可能性。

二、内部审计参与风险管理的动因

内部审计人员是企业的管理咨询师,因此,参与企业的风险管理是审计工作开展的必然。审计人员通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现企业的最大的安全保障。从另一方面讲,内部审计部门不从事具体业务活动,独立于业务管理部门,其风险评估的意见可以直接报给单位领导,中间没有经过层层传达,减少了信息的失真和延迟,这会加强管理当局对内部审计部门意见的重视程度,他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。正因为内部审计部门和内部审计人员比外部审计对企业面临的风险更了解;而且对防范企业风险、实现企业目标有着更强烈的责任感,国际内部审计师协会在通过的内部审计的定义时,把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。

三、内部审计如何参与风险管理

控制、减少风险,需要企业决策层、管理层和每个员工的共同参与。内部审计的一个重要职责就是对本单位的内部控制制度和风险管理的健全有效性进行评审,内部审计的目的在于增加组织的价值和改善组织的经营,内部审计应通过以下途径参与风险管理:

1、确定风险领域。对企业所面临的、以及潜在的风险加以判断、归类和鉴定,换言之,就是要确定企业正在或将要面临哪些风险,从面确定风险领域。任何风险对企业财务损失的影响,最后都会显示在财务及会计资讯上,但是并不是所有风险的不利影响都能够予以量化,而且有些影响也非短期内就会浮现。由于内部审计人员长期立足于本企业的具体岗位,比较熟悉本企业的业务,从而容易发现存在风险的隐患问题。

2、评价风险。风险衡量是指应用各种管理科学技术,采用定性和定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,从而以此为依据,对风险采取相应对策。

3、提出改进意见。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,清醒地识别和评价风险,提出防范风险的有效建议。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否信当。经过风险分析,提请管理层注意,并同时提出建立风险管理过程的相关建议,促进风险管理系统的建立。内部审计通过发现评估并运用风险管理的方法,帮助组织解决风险问题,评估风险发生的可能性效果。

四、内部审计在风险管理中应坚持的原则

1、独立原则内部审计部门必须具有独立性,这是内审部门开展工作的前提。保证内审部门与领导层之间的直接对话渠道畅通。

2、职业化原则内审人员必须具有丰富的专业知识和具有较高的职业道德、,能够及时地识别风险、评估风险,并提出合理的改进方案。

3、融合性原则内部审计制度作为内部控制制度的重要一环,除了监督各个部门科室的工作情况,还要监督其自我控制的情况,与单位内部控制制度相融合,对内控制度中的不完善之处及时提出改进措施。

4、重要性原则现阶段管理理念还很落后,内部审计部门要积极宣传风险控制的重要性,以及在领导层中普及风险防范和控制的专业技术。

五、结论及建议

在风险管理中,内部审计部门主要是对风险管理部门和其他部门所进行的风险管理进行监督。因此,应将企业风险管理融入内部审计程序,使两者之间协调一致,产生协同增效的作用。内部审计实施管理的具体作法是:

1、在编制计划时,应该在对可能影响企业的风险进行评估的基础上,制定审计计划,确定审计项目。

2、确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映企业的最新战略和方针。

3、编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节。

4、更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化;在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。

5、编制审计报告时应对风险管理状况进行评价,指出风险管理中的漏洞和不足之处,提出加强管理的建议。

6、追踪审计时,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。追踪审计应该将注意力集中于最严重的潜在的问题上,通过持续追踪,确保对于重大的审计发现,要求相关部门采取措施予以纠正。

综上所述,内部审计涉足风险管理领域有其客观必然性,风险评估已成为内部审计的主要内容,存在风险的领域就是内部审计的重点。内部审计部门应积极采取系统化、规范化的方法对风险管理进行评价,促使企业改进管理、防范风险、提高效益,实现企业的发展目标。

参考文献:

[1 ] 谢德仁.上市公司审计委员会制度研究[M].北京:清华大学出版社,2006

[2] 管劲松,张庆,肖典鳌.审计风险管理[M].北京:对外经济贸易出版社,2003

[3] 郭华平.中国审计理论体系发展研究[M].北京:经济管理出版社.2007

[4] 郑石桥.内部控制实证研究[M].北京:经济科学出版社,2006

[5] 王晓霞.企业风险审计[M].北京:中国时代经济出版社,2005

审计与风险管理篇4

关键词：风险；风险管理；内部审计

中图分类号：F830文献标识码：A文章编号：1672-3309（2008）0203-0055-05

一、引言

自从英国巴林银行、美国安然公司、世通公司等相继暴露出财务丑闻后，更多人意识到，公司治理的问题很多出自高层管理者、总经理身上，董事会质疑能力薄弱；管理当局在风险管理方面没有能做到预先防范，风险的控制严重失效。除了对管理层的质疑外，内部审计没有能做到及时评估及改善组织风险管理、控制及治理相关流程，其在组织中的作用也受到了质疑。美国在很短时间内出台的萨班斯法案指出，董事会、高层管理者、外部审计师和内部审计师作为有效公司治理的基石，成为展开公司治理、内部控制必须职责的重要组成部分；COSO组织在2004年了《企业风险管理框架》，表明从内部控制走向全面风险管理是必然趋势。IIA 针对其的以《全面风险管理的内部审计角色》为题的职位说明书指出，为风险管理提供保证、确保风险得到正确评估、评价风险管理流程等是内部审计须具有的核心职能。

在我国，随着中行、建行等国有银行多次重大的贷款舞弊以及新加坡中航油破产案件的发生，如何加强中国企业的全面风险管理也成为国人关注的热点。我国内部审计协会于2005年3月了《内部审计具体准则第16号――风险管理审计》，于2005年5月1日起施行。国务院国资委2006年6月20日公布了《中央企业全面风险管理指引》。上证所和深交所与2006年6月及9月份分别公布了《上市公司内部控制指引》，从而明确了内部控制在公司治理中的地位。从规章制度出台的紧凑程度看，我国在制度的层面上已经开始重视风险管理对企业的作用。但是目前的情况是大多数企业未设专门的风险管理机构及人员；企业内部审计主要属于财务导向内部审计，管理审计包括风险管理审计尚未与公司治理相结合，成为公司治理的有机部分。

二、风险、风险管理与风险管理审计

对风险有开拓性研究的是美国经济学家弗兰克・奈特，他在1921年出版的《风险，不确定性和利润》中对风险作了经典的定义――“可测定的不确定性”。即把可以估计概率的不确定性称为风险。但在本文所论述的风险管理中不对风险和不确定性进行区分，这是由于无论是可测定的风险还是不可测定的不确定性都与企业损失的可能性相关联，都会引起经营决策者对风险进行管理的动机，因此将风险定义为: 损失的不确定性。而企业风险管理是指企业通过对潜在的意外或损失的识别、衡量和分析，并在此基础上进行有效的控制，用最经济合理的方法处理风险，以实现最大安全保障的科学管理方法。风险管理作为一种特殊的管理功能，它是为人类追求安全和幸福的目标，结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。美国学者克里斯蒂（James・C・ Cristy）认为风险管理是企业或组织为控制偶然损失的风险，以保全所得能力和资产所做的一切努力；另外两位美国学者威廉斯（C. Arthur Williams Jr.）和理查德・汉斯（Richard ・M・ Heins）认为，风险管理是通过对风险的鉴定、衡量和控制，以最低的成本使风险所造成的损失控制在最低程度的管理方法；我国的陈佳贵认为，风险管理是企业通过对潜在意外或损失的识别、衡量和分析，并在此基础上进行有效的控制，用最经济合理的方法处理风险，以实现最大的安全保障的科学管理方法。根据以上风险管理的定义，我们可以得出以下几点认识：（1）风险管理是一个系统过程，包括风险的识别、衡量和控制等环节；（2）风险管理的目标在于控制和减少损失，提高有关单位或个人的经济利益或社会效果；（3）风险管理是一种管理方法。

企业风险管理的实践和理论起始于20世纪30年代的美国保险业，在20世纪50年代后美国工商企业界发展成为一门管理科学。随着经济技术的迅速发展，到20世纪70年代后，逐渐传播到欧洲、日本及其它地区，兴起了全球性的风险管理运动。至20世纪90年代，发达国家风险管理已普及到许多企业，企业增设了风险管理机构，专门配备风险管理经理、风险管理顾问，由他们负责企业的风险识别、风险测定和风险处理等工作。经济学家彼得・F・德鲁克曾说过，保险和风险管理对促进西方世界经济进步所起的作用与企业和商业起到的作用同等重要。在经营实践中，企业风险管理的好坏对企业的稳健成长至关重要，始终决定企业的生死存亡。风险管理理论于20世纪80年代中期被介绍到我国，首先在金融企业得到运用和发展，但尚未受到其它企业的运用和重视。我国的巨人、爱多、三株等公司，它们陷入困境的原因虽然千差万别，但企业内部缺乏风险管理的专业人员和职能部门，对风险认识不足、管理不力，则是它们受困的重要原因。随着我国加入WTO，企业面临着更加激烈的竞争环境，但是目前我国大多数企业未设专门的风险管理机构及人员。

风险管理审计始于20世纪末21世纪初，随着风险管理导向内部控制时代的来临，风险管理成为内部审计关注的重点。以毕马威为代表的国际大会计事务所联合学术界对审计基本方法进行研究，开发出风险管理审计，这是一种新的审计模式，也有学者称之为风险审计或现代风险导向审计。它不仅关注传统的内部控制，而且更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。

从国际上看，风险管理成为企业组织中的关键流程，促使内部审计的工作重点不再是测试控制，而是确认风险及测试管理风险的方法。顺应于内部审计理论及实务的变化，在1999年IIA对内部审计做出了一个具有变革意义的新定义：“内部审计是一种独立、客观的确认与咨询活动，它的目的是为组织增加价值并提高组织的运营效率。它通过采取系统化、规范化的方法，评价风险管理、风险控制及其治理程序，提高它们的效率，从而帮助实现组织的目标。” 2001年的IIA修订版《内部审计实务标准》对内部审计的界定是：“内部审计是一种独立、客观的保证与咨询活动；其目的是为机构增加价值并提高机构的运作效率，它采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率，帮助机构实现目标”。2004年IIA重新修订的《国际内部审计专业实务标准》中规定内部审计是“一种独立、客观的确认和咨询活动，在增加价值和改善组织的运营，它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。从对2004年与2001年的定义比较可以看出，审计的工作范围扩大为“评价和改进风险管理、控制和治理过程的效果”，反映了内部审计的发展趋势和客观要求。IIA多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

原安达信公司专业人士保罗・J・索贝尔，在其于2003年所著的《审计人员风险管理指南：审计与企业风险管理的结合》一书中的概括，现代审计方法在过去50年中经历了四大阶段，其分别是：控制基础审计；流程基础审计；风险基础审计（又称风险导向审计）；风险管理基础审计，又称风险管理审计。书中对风险管理的涵义归纳为：风险管理审计可以说是风险基础审计的一种延伸，其基本吸收了风险审计各种特点，只是在此基础上扩大审计关注点到企业的主要战略目标（key business objectives），管理层对风险的容忍度，主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业战略目标应如何进行风险优化（optimizing key risk），如企业对哪些固有风险可以实行避免，转移或接受并予以控制的风险管理策略。因此，对企业而言，风险管理审计本身已经成为企业整体风险管理的重要组成要素。他认为，风险管理审计吸收了其他审计模式的优点，同时又关注到企业的战略、绩效等整体风险管理有效性，其不仅考虑到审计师可接受的剩余审计风险，更是从审计固有风险源头，即企业管理层所进行的风险管理活动的角度识别并评价风险，从而才能更进一步地从审计师及企业管理层双方面确保审计资源的分配及审计的有效性。

三、我国实施风险管理审计存在的问题

尽管中国内部审计职业规范体系的框架已基本建立，有些企业在内部审计实务中也已运用西方先进内部审计理论、方法和技术，但是我国大多数企业的内部审计依然存在问题。

（一）审计职业人员的学历层次较低

我国从事内部审计职业人员的学历层次整体不高，审计人员的学历和专业构成了内部审计机构的整体素质。现在我国从事内部审计的人员中研究生的比例为1.1%，本科生为15.56%，大专生为73.89%。这相对于我国整体国民教育情况来看，还是比较高的。但是内部审计人员中真正具有正规院校审计、会计专业的大学本科学历的较少。虽然，有一部分人通过自己刻苦学习审计理论业务，确有一定的真才实学，但也有为数不少的人员，尽管从事审计工作很多年，但审计理论水平、业务技能很一般，对于下基层审计时，不能很好胜任工作，提出问题不能切中要害，使审计工作失去威慑力。

（二）内部审计机构中专业构成单一

在西方发达国家一般认为内部审计人员的理想构成：经济管理专业占1/3，工程技术专业的占1/3，其他专业的占1/3；从我国内部审计人员的专业结构来看:会计（审计）学专业占绝对统治地位大约在70%左右，工程技术专业、法律专业等其他专业比例很小，从现代内部审计的观点来看，这样的专业构成极为不合理。因为这种人员构成只能够适应开展财务审计和其他以企业的会计资料为基础的审计咨询服务，不能适应审计日益发展和扩大的择业范围。结果是限制了内部审计的工作范围，影响了内部审计职能全面发挥。

（三）内部审计机构缺乏独立性

在国际内部审计师协会的《内部审计实务标准》中指出：审计委员会是负责监督机构的审计和控制工作的治理层。评估内审工作是否与最先进的实务保持一致、负责起草日程安排、“审计委员会考核和定期以及评价审计人员的业绩。”内部审计委员会关系到内部审计机构及其人员的独立性问题。所以，内部审计委员会是内部审计工作是否独立的首要屏障。而内部审计委员会的人员构成则是其发挥作用的关键所在。当前，我国内部审计委员会构成层次过于单一，人员之间没有相互制约关系。内部审计委员会人员构成多由企业内部管理层或是大股东把持，没有体现多元治理的理念。所以，审计委员会虽然在上市公司内部已经开展起来，但多是流于形式，没有起到应有的作用。

（四）内部审计人员缺少完整的独立性

内部审计人员作为单位的一名成员，他们的工作、工资、其它福利等受本单位企业有关负责人的支配，这就使得内部审计人员在履行其监督和评价职能时有很多的顾虑，当企业领导授权、批准的经营行为违反有关法律法规，或不符合经济效益原则时，内部审计人员出于自身的利益考虑，往往表现得无能为力，影响了内部审计人员的独立性。而且，目前内部审计机构中的审计人员很大一部分由会计或管理人员兼任，这种状况导致内部审计人员在制定审计计划、实施审计程序、出具审计报告时往往受到各方面利益的牵制，难以开展独立的审计活动。另外，由于领导的重视程度不够，内部审计被不切实际的精简，人员队伍不稳定，从而使内部审计人员认为在审计部门的前途缺乏信心，严重影响了内部审计人员的独立性。

（五）相应的规章制度不详尽

我国内部审计协会于2005年3月了《内部审计具体准则第16号――风险管理审计》，于2005年5月1日起施行。不足的是，该准则仅阐述了风险管理审计的一般原则及对风险管理进行审查和评价的具体准则，怎么实行，如何实行均未给出详细指导。这对于想实施风险管理审计的企业来说，没有较强的指导作用，也不利于其推行。

四、相应的解决建议

（一）明确我国内部审计的定位

作为现代审计体系的两大组成部分――独立审计和内部审计都是基于受托经济责任的需要而产生和发展起来的，是经营管理分权制的产物。目前，企业内部都设置了专门的机构和人员实施内部审计。但我国的内部审计是在政府要求下，在国家审计部门的指导下建立和发展起来的。由于企业自主管理、自我控制的内在动力不足，因而内部审计的建立缺乏内在需要，定位上存在偏差。

企业内部审计定位的偏差，产生了一系列不良后果，导致内部审计缺乏独立性。内部审计地位不明确，而且内部审计工作范围往往局限于财务审计，重在进行财务收支的合法性与合规性审计；在人员配置上，较少重视自身发展的内在要求，行政配置较多，造成人员素质较差，结构不合理。所有这些都严重阻碍了内部审计职能的有效发挥，甚至直接影响了内部审计的发展。我国加入WTO已有几年，内部审计的发展无论是从与国际内部审计接轨，还是从我国内部审计自身作用、地位的提高及领域的拓宽来讲，我国的内部审计事业都面临着大的挑战。而目前最关键的是内部审计的定位尚未明确，只有搞好定位，一系列问题才能得以解决，才能应对国际内部审计和惯例要求的挑战。

（二）高度重视国际内部审计的发展对我国内部审计的影响

中国已经加入WTO，加入到世界的经济链竞争中，因此，企业效益全靠自身努力，在企业竞争中效益不好的就会破产倒闭，竞争的风险不断扩大，从而促使企业经营者重视内部审计的参与作用。为适合企业这一需要，我国内部审计的中心也需要从以内部评审为中心转向以风险管理为中心。我国内部审计参与风险管理，首先需要帮助企业建立起风险管理系统，包括帮助企业建立和健全风险管理组织并就企业经营管理的各个环节制定相应风险管理规章制度。在此基础上，通过对企业风险管理组织活动的评价和监督，帮助企业不断完善其风险管理系统。同时，内部审计要不断识别企业的风险并制定管理措施，这就使得内部审计的服务延伸到企业经营过程中的任何一个领域并以风险管理为中心开展业务活动，如财务风险审计、经营风险审计、生产风险审计、信息系统风险审计等。

（三）对我国内部审计组织及人员提出更高要求

首先，加强职业组织的引导。中国内部审计协会要积极引导和促使我国内部审计部门参与风险管理，积极介绍国际上内部审计参与风险管理的经验和案例，提供可资借鉴和参考的基础；积极制定与参与风险管理有关的准则和指南，以指导内部审计有效地介入风险管理;促进和推进内部审计人员的国际交流，选派具有一定风险管理知识的内部审计人员到内部审计介入风险管理比较成熟的企业去学习。

其次，内部审计的根本出路在于其模式由“监督”向“服务”的转变。内部审计人员首要的身份应该是企业的顾问，而不是警察。内部审计工作只有给企业带来价值才有意义，才能被企业领导所重视。由“监督”导向型向服务导向型转变并接轨是我国内部审计的根本出路。“服务”导向性内部审计只能侧重于服务，内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外，更重要的任务是针对管理和控制的缺陷提出建设性意见和改进措施，协助管理人员更有效地管理和控制各类活动，合理使用资源，以提高经济效益，增加企业的价值。

最后，改善内部审计人员的知识结构，提高其胜任能力，是内部审计实现参与风险管理的关键所在。目前我国内部审计人员知识结构比较单一，严重缺乏风险管理方面的知识，要有效地协助企业进行风险管理，必须改善他们现有的知识结构。通过风险管理的培训，增加内部审计人员的风险管理知识，提高其专业胜任能力。

五、结语

风险与风险管理，已成为现代企业经营管理的现实。风险是一种存在危险的可能性，但也是一种机会。企业最高经营者必须面对现实，重视风险，把风险管理视为日常营运的一部分。内部审计介入风险管理，无论是从国际还是我国来说都是一个新的事物。如何使内部审计能够更有力地在风险管理中发挥作用，则是需要进一步探讨与研究的课题。

参考文献：

［1］安德鲁・D・钱伯斯等著，陈华等译.内部审计（第二版）［M］.中国财政经济出版社，1995.

［2］阿伦斯著，石爱中等译.审计学――整合方法研究［M］.中国时代经济出版社，2001.

［3］保罗・J・索贝尔.审计人员风险管理指南：审计与企业风险管理的结合［M］.中信出版社，2004.

［4］ Beasley M・S, Clune・R・Hermanson.ERM a status report［M］.Internal Auditor,2005,(02).

［5］陈锦烽、苏淑美.内部审计新纪元――风险管理、控制及治理［M］.大连出版社，2006.

［6］ Committee of Sponsoring Organizations of the Treadway Commission(COSO),Enterprise Risk Management――Integrated Framework［M］. USA,2004.

［7］ COSO(2004).Enterprise Risk Management Framework.www.省略

［8］ Deloitte and Touche Tohmastu.Achieving Internal Audit Excellence.Wellington,2000，（6）.

［9］胡春元.风险基础审计［M］.东北财经大学出版社，2001.

［10］何玉柱.欧美企业风险管理的机构化与启示［J］.管理前沿，2003，（4）.

［11］黄兵海.风险管理技术在内部审计中的应用［J］.统计与决策，2004，（8）.

［12］ IIA报告.内部审计师在环境中的作用［J］.审计研究资料，1997.

［13］靳建堂.风险管理审计初探［J］.现代企业风险管理论文汇编,2005，（10）.

［14］ James Patton, John Evans.Barry Lewis AuditA Framework of Evaluating Internal.

［15］［美］罗伯特・莫勒尔.布林克现代内部审计学[M].中国时代经济出版社，2005.

［16］廖洪、陈波.企业战略审计研究的回顾与展望：一个综述［J］.审计研究，2005，（2）

［17］劳伦斯・B・索耶.索耶内部审计（第五版）［M］.中国财政经济出版社，2006.

［18］刘明辉.审计学［M］.东北财经大学出版社，2004.

［19］郦锡文.走进风险管理［M］.中国财政经济出版社，2003.

［20］李三喜等.内部审计准则操作实务［M］.中国时代经济出版社，2003.

［21］李维安.公司治理［M］.南开大学出版社，2001.

［22］李嘉明、刘渝林等.论上市公司监督体系的理论框架――兼论上市公司内部审计机构的作用［J］.审计研究，2004,(4).

［23］李凤鸣.内部控制学［M］.北京大学出版社，2002.

［24］孟焰等.企业风险管理审计研究［J］.审计研究,2006，（3）.

审计与风险管理篇5

【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。

【关键词】内部审计;风险管理;角色定位

自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。

一、二者互动交融关系形成的现实背景

当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。

随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。

二、内部审计与风险管理的互动关系

(一)内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。

风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。

(二)风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

三、内部审计与风险管理目标上的一致性

风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网

而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。

上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。

四、内部审计在风险管理中的角色定位

COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。

IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。

在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。

【参考文献】

[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.

[2]方红星,译.企业风险管理—整合框架[M].大连:东北财经大学出版社,2005(9):109.