論現(xiàn)代內部審計與風險管理的協(xié)調整合

[摘要]內部審計是現(xiàn)代管理和管理控制的重要組成部分。內部審計與風險管理協(xié)調整合是其自身獲得發(fā)展和增加價值的重要途徑。本文根據(jù)COSO企業(yè)風險管理框架和IIA內部審計實務標準，分析了內部審計與風險管理的關系及兩者相結合的意義，指出內部審計在企業(yè)風險管理過程中可以發(fā)揮建議、協(xié)調、咨詢和監(jiān)督四種作用，并探討了在發(fā)揮內部審計四種職能作用前提下，其與風險管理整合的程序步驟，及其在中國的應用�！　�[關鍵詞]內部審計；風險管理；IIA；COSO框架
　　　
　　內部審計是現(xiàn)代管理和管理控制的組成部分。IIA在《內部審計實務標準》中將其定義為是一種獨立、客觀的保證工作和咨詢活動，其目的在于為組織增加價值并提高組織的運作效率，采用系統(tǒng)化、現(xiàn)代化的方法來對風險管理、控制和治理程序進行評價和改善，從而幫助組織實現(xiàn)目標。
　　企業(yè)風險管理是一個由企業(yè)的董事會、管理層和員工共同參與，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門，用于識別可能對企業(yè)造成潛在影響的事項，并根據(jù)風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理保證的過程。它參與到企業(yè)的各項活動之中，是一個過程，是實現(xiàn)結果的一種方式。與傳統(tǒng)的項目風險管理相比，企業(yè)風險管理強調戰(zhàn)略導向，覆蓋了組織所有的管理層次和管理領域，方法也更為結構化和規(guī)范化。
　　內部審計承擔了監(jiān)督、分析、評價、檢察、報告和改進等任務，是企業(yè)風險管理不可或缺的組成部分。就世界范圍看，風險管理已成為內部審計的主要內容。IIA早就把評價和改善組織的風險作為內部審計的主要內容，其1999年制定的內部審計定義將風險管理和內部控制、公司治理并列作為內部審計的工作對象，2001年修改的《內部審計實務標準》明確要求內部審計參與風險管理和公司治理過程。我國內部審計準則中也充分考慮了風險評估作為內部審計中的一個核心概念。
　　內部審計為什么要與風險管理相整合，在COSO框架下兩者如何結合是需要深入分析的問題。本文將對兩者的關系，兩者結合的意義及兩者結合的方式作進一步探討，并在此基礎上研究中國企業(yè)如何將內部審計與風險管理相結合。
　　
　　一、內部審計與風險管理的關系及兩者結合的意義
　　
　　IIA在對美國國會關于《薩班斯——奧克利斯法案》的意見陳述書中表述：內部審計、外部審計、董事會以及高層管理人員被稱為有效的公司治理的四大基石。內部審計師的作用是監(jiān)控、評估和分析組織的風險，審查信息及公司對法律法規(guī)的遵守情況，向董事會、審計委員會以及高層管理人員負責提供保證——風險已被分散、公司治理是有效的。內部審計以企業(yè)內部信息使用者為中心，聚焦于控制、風險管理等關鍵問題，通過幫助組織管理風險和提高管理效率，來增加組織的價值和改善公司的經營。
　　公司的治理過程是公司的利益相關主體讓管理層發(fā)現(xiàn)風險并對其進行控制的過程，對公司風險的監(jiān)控及適當?shù)匾?guī)避此類風險，對實現(xiàn)公司目標和保存公司價值都有直接的貢獻。內部審計參與風險管理的實質就是協(xié)助公司的高層管理人員做如下工作：系統(tǒng)鑒別組織所面臨的風險；評估這些風險對組織的潛在影響；制定控制風險的策略；評價風險管理的過程；就風險應對措施的合理性、風險監(jiān)控的及時性、恰當性、有效性等信息進行有效的交流和溝通。風險管理是管理層的一項主要職責，而對組織的風險管理過程進行評估和報告通常是內部審計工作的一項主要內容。在適當情況下，內部審計師應與管理層審計委員會和董事會就與風險和風險管理實務中的薄弱環(huán)節(jié)進行討論，當然在該過程中由管理層負責對重大風險采取針對性行動，內部審計機構負責人負責評價這些行動。風險管理作為管理層的一項主要職責，它應當確保組織中有良好的風險管理過程，并使其發(fā)揮作用。董事會和審計委員會負責監(jiān)督、判斷組織是否有適當?shù)娘L險管理過程，以及是否充分、有效。內部審計師的職責是運用風險管理方法和控制措施，對風險管理過程的充分性和有效性進行檢查、評價和報告，提出改進意見，為管理層和審計委員會提供幫助。
　　IIA多年來一直積極倡導內部審計參與風險管理，它認為內部審計為組織提供價值的兩個非常重要的途徑是對風險管理的充分性和對風險管理及內部控制框架的有效性提供保證服務。
　　內部審計與風險管理相結合是將風險作為內部審計的對象，打破了原來的內部審計只關心內部控制有效性的局面，在評價內部控制的基礎上，對企業(yè)所面臨的各種風險進行識別和分析。從另一個角度來講，內部審計更加注重企業(yè)的未來，從影響企業(yè)目標實現(xiàn)的各種系統(tǒng)風險和非系統(tǒng)風險出發(fā)，就內部控制是否健全、關鍵的控制點是否有效控制薄弱的環(huán)節(jié)以及改進措施是否有效提出認定，來評價風險管理與控制對組織目標實現(xiàn)的影響程度。以風險為對象的審計在風險管理基礎上又進了一步。風險審計就是在風險管理基礎上審計主體通過對組織風險識別、風險評價等工作的審計，側重對風險管理進行鑒證。
　　內部審計參與風險管理不僅為內部審計自身提供了發(fā)展契機，而且作為企業(yè)內的一種獨立、客觀的保證工作和咨詢活動，內部審計是公司治理必要和有價值的組成部分，能夠在風險管理中發(fā)揮獨特的作用，無論是內部審計還是風險管理都能從雙方的整合中提高效率，創(chuàng)造價值。
　　內部審計作為內部控制的重要組成部分，其在風險管理中發(fā)揮不可替代的獨特作用。主要有以下幾個方面：(1)內部審計能夠從全局的角度管理風險。對風險的認識、防范和控制需要從全局考慮，但各業(yè)務部門很難做到這一點。內部審計人員從事具體的業(yè)務活動，獨立于業(yè)務管理部門，這使得他們可以從全局出發(fā)，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。(2)控制、指導企業(yè)的風險策略。由于內部審計部門處于企業(yè)的董事會、總經理與各職能部門之間，內部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調人。通過對長期計劃與短期計劃的調節(jié)，內部審計人員可以調控、指導企業(yè)的風險管理策略。(3)內部審計部門的建議更易引起重視。內部審計部門獨立于企業(yè)高級管理層，其風險評估的意見可以直接上報給董事會，這會加強管理當局對內部審計部門意見的重視程度。從內部審計發(fā)揮的上述職能看，內部審計已經參與到公司治理與風險管理中，幫助組織發(fā)現(xiàn)并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做出貢獻；同時繼續(xù)原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。此時的內部審計人員是風險管理專家，通過對風險的把握來評價公司治理及
內部控制，并促進公司治理和內部控制的改善，從而實現(xiàn)對風險的控制。在風險管理這個統(tǒng)一核心下，公司治理與內部控制實現(xiàn)了一定程度整合，為組織增加了價值。
　　
　　二、內部審計在風險管理中的角色和責任
　　
　　COSO報告指出企業(yè)風險管理有四個目標(實現(xiàn)戰(zhàn)略、高效運作、客觀報告、遵守法則)、八個要素(內部環(huán)境、目標設定、事件識別、風險評估、風險反應、控制活動、信息溝通、監(jiān)控活動)，并在企業(yè)的四個層次(企業(yè)級、部門級、事業(yè)單位級、分公司級)展開。內部審計在這一框架中作為監(jiān)控活動存在，由內部機構對企業(yè)風險管理進行獨立評估。IIA在2004年發(fā)表的《內部審計在企業(yè)風險管理中的角色》意見書中也認為內部審計關于企業(yè)風險管理的核心角色是就組織風險管理的有效性向董事會提供客觀保證，以幫助確信關鍵企業(yè)風險被正確管理及內部控制系統(tǒng)有效運行。因此，內部審計在企業(yè)風險管理架中首要角色是監(jiān)督者，包括對風險管理流程的評估和保證服務，對風險評估準確性的保證服務，對關鍵風險報告的評估和對關鍵風險管理的評估。
　　按IIA的標準，內部審計的服務種類可以分為保證服務和咨詢服務，前者是一種獨立評價的活動，后者是提供建議及咨詢的活動。內部審計為整個組織成員以及組織以外的所有利益相關主體服務，其信息服務對象的需求依其所處的位置、環(huán)境及掌握信息的不同而不同�？傮w來講，處于信息劣勢的服務對象希望內部審計為其提供保證服務，處于信息優(yōu)勢的服務對象則更希望內部審計為其提供咨詢服務。其中，保證服務是指為了對風險管理。內部控制或公司的治理過程提供一個獨立的評價而對證物進行的客觀的檢驗；咨詢服務是咨詢性的以及與委托人服務相關的活動，其性質和范圍是與委托人達成一致意見，目的是增加價值和改進組織的經營。在企業(yè)風險管理中，內部審計的本質特征并不發(fā)生改變，因而它可以擔任的角色也是基于這兩種服務衍生的。除了作為監(jiān)督者所提供的保證服務之外，內部審計還提供咨詢服務，包括促進對風險的識別和評估、指導和協(xié)調風險管理活動，加強對風險的報告、保持和發(fā)展風險管理框架、支持建立風險管理、參與制定風險管理戰(zhàn)略等。與此相適應，內部審計承擔了咨詢者、協(xié)調者、建議者角色。
　　內部審計在企業(yè)風險管理中的角色不是一成不變的，而是一個逐步變化和延續(xù)發(fā)展過程。在組織缺乏風險管理程序的情況下，內部審計可以向管理層提出建立企業(yè)風險管理的建議；在組織實施風險管理的初期，內部審計能夠發(fā)揮更大的協(xié)調作用，甚至直接擔任項目經理；而當企業(yè)風險管理逐步成熟，運作穩(wěn)定以后，內部審計就從建議者、協(xié)調者轉化為監(jiān)督者和咨詢者。內部審計的報告關系也會影響其在企業(yè)風險管理中的角色，報告關系層次越高，獨立性越強，內部審計就越能夠從全局和戰(zhàn)略角度參與企業(yè)風險管理；反之，則從局部和流程角度參與企業(yè)風險管理。
　　為保證其獨立性，內部審計并不對建立企業(yè)風險管理體系承擔主要責任，風險管理責任應由管理層承擔。內部審計可以對企業(yè)風險管理提供建議、咨詢和支持，但不能設定風險容忍度、強制實行風險管理流程、對風險提供管理保證、對風險問題進行決策和對風險實施管理職責的行動，內部審計對于企業(yè)風險管理的責任應當在審計章程中寫明并經審計委員會批準。此外，在實踐中，應注意處理保證服務和咨詢服務的關系。只要內部審計執(zhí)行的任務涉及履行管理職責，就應該認為與此相關領域的審計客觀性受到了損害，內部審計不能就其直接協(xié)調和指導的風險管理事項提供保證服務。
　　
　　三、內部審計與風險管理整合的程序步驟
　　
　　(一)判明風險類別，分析風險的具體源由
　　企業(yè)風險多種多樣，表現(xiàn)的形式與發(fā)生影響也是千差萬別的，為了管理和控制風險，應對風險進行辨認并予以分類，從中分辨出風險的性質，以確定主要風險、次要風險、關鍵風險、派生風險。
　　國外審計界對經營風險提出了多種分類模式，大致可概括為以下九類：外部經營風險(經營風險)——業(yè)務風險(經營風險)——職權風險(經營風險)——信息處理與技術風險(經營風險)——誠信度風險(經營風險)�！�—財務風險(投資決策風險)——業(yè)務風險(投資決策風險)——財務風險(投資決策風險)——戰(zhàn)略風險。
　　在內部審計工作中，一般先從企業(yè)整體的戰(zhàn)略目標著手，分析戰(zhàn)略目標與企業(yè)實踐的差距，明確形成差距的風險，進而分析風險的產生部門、風險的類別及其性質。
　　
　　(二)在組織機構上，內審工作要與企業(yè)的各級風險管理組織相配合，開展企業(yè)綜合風險管理
　　根據(jù)COSO的風險管理框架，一些國際會計公司提出了企業(yè)綜合風險管理概念。這種管理是要求內部審計工作超越企業(yè)內部各職能部門的隔離，實行全體的、綜合的和全員的行動進行綜合風險管理。
　　在現(xiàn)代企業(yè)的風險控制方面，不少大中型企業(yè)一般建立三級風險管理組織，即由企業(yè)高級管理層組成的風險控制委員會作為公司風險管理的最高決策機構；公司風險控制委員會領導下的內部審計；專職風險監(jiān)管部門。內部審計部門通過常規(guī)審計及專項審計評估公司風險，對公司風險管理制度進行設計以及對各業(yè)務部門執(zhí)行風險控制制度情況進行定期檢查，及時提示和報告潛在風險，并提出防范風險及改進工作的建議。
　　
　　(三)按風險管理的要求開展內部審計
　　與經營風險管理相結合的內部審計，其具體要求是在企業(yè)的“經營——風險——控制——監(jiān)督”過程中，內部審計充分發(fā)揮其監(jiān)控實效。亦即內部審計在開展時，先由企業(yè)各層次人員明確企業(yè)經營風險控制管理的目標，在此基礎上廣泛收集經營決策信息、情況及風險情況，據(jù)此對各個待審項目的風險做出評價，進而確定內部審計控制風險的策略(包括規(guī)避風險、接受風險、轉移風險、運用風險、減少風險)，然后運用“計劃——執(zhí)行——檢查——行動”方式，對企業(yè)主管層、業(yè)務管理層及業(yè)務執(zhí)行層進行審計。
　　
　　(四)對具體項目風險、內部審計要參與事先、事中和事后三個階段的全過程風險審查
　　
　　四、內部審計與風險管理結合在中國的應用和實踐
　　
　　隨著市場經濟體制的建立和市場規(guī)范的不斷健全，中國企業(yè)的內部審計有了很大發(fā)展，絕大多數(shù)企業(yè)設立了獨立的內審機構。但總的來說，中國企業(yè)的內部審計工作滯后于企業(yè)管理，不能很好地滿足經營管理需要，主要表現(xiàn)為：(1)審計職能以查錯糾弊為主，沒有充分發(fā)揮內部審計獨特作用；(2)審計范圍局限于財務會計，沒有擴展到經營管理各個方面；(3)審計方式主要是事后審計，沒有拓展到事前和事中審計。中國企業(yè)的內部審計急需改進完善，應在原來內部審計對象的基礎上引入風險審計，加上對各種影響企業(yè)未來風險因素的認識和分析，借鑒國外先進的風險審計程序，完善整個審計體系，改善企業(yè)經營狀況。
　　事實上，國內的一些大型企業(yè)已經在實踐中將內部審計與風險管理進行了初步結合，盡管不夠系統(tǒng)規(guī)范，但明顯提高了內部審計的效率和效果，也證明了與企業(yè)風險管理的整合是內部審計發(fā)展的主要方向之一。例如，中國石油天然氣股份有限公司2000年海外上市以來，為適應各國外資本市場要求，提出了“服務內向型審計”理念。在確定審計計劃時，以公司經營戰(zhàn)略和目標為依據(jù)，注意突出高風險領域及管理層關注的問題，合理分配審計資源。對總部以內部控制審計為主，對地區(qū)公司以管理審計為主，對下級單位則以精細審計為主。中石油還倡導審計人員適度介入管理過程，及時對基層單位的工作提出建議和意見，并與被審計單位共同分析管理缺陷，研究改進措施。中石油對西氣東輸建設實施三年跟蹤審計，就其財務管理、物資采購、服務采購等及時提出管理建議并協(xié)助整改，促進整個工程優(yōu)質高效快速建成。與此同時，中石油還大力推進內部審計從手工作業(yè)現(xiàn)場審計為主到信息化條件下的遠程和現(xiàn)場審計相結合，極大提高了內部審計在信息化條件下提供保證和咨詢服務的能力。中石油在戰(zhàn)略層、管理層和作業(yè)層展開的審計和咨詢工作，使內部審計工作從查錯糾弊轉變到保證服務和咨詢服務相結合，從結果審計轉變?yōu)榻Y果和過程審計并重，并在一定程度上實現(xiàn)了和企業(yè)風險管理的整合。這些有益的探索和實踐對現(xiàn)階段中國企業(yè)內部審計工作的開展無疑有著很好的示范作用。

【論現(xiàn)代內部審計與風險管理的協(xié)調整合】相關文章：

現(xiàn)代內部審計與風險管理的協(xié)調整合之我見03-18

論析風險管理目標下公司治理與內部審計的整合03-20

內部審計與風險管理03-19

論內部審計風險的存在及防范12-09

風險管理內部審計論文11-23

論現(xiàn)代內部審計的獨立性03-21

論現(xiàn)代風險導向審計在我國的應用03-28

簡論風險管理中的內部審計12-06

醫(yī)院內部審計與風險管理12-09