現(xiàn)代內部審計與風險管理的協(xié)調整合之我見

[摘要]內部審計是現(xiàn)代管理和管理控制的重要組成部分。內部審計與風險管理協(xié)調整合是其自身獲得發(fā)展和增加價值的重要途徑。本文根據(jù)COSO企業(yè)風險管理框架和IIA內部審計實務標準，分析了內部審計與風險管理的關系及兩者相結合的意義，指出內部審計在企業(yè)風險管理過程中可以發(fā)揮建議、協(xié)調、咨詢和監(jiān)督四種作用，并探討了在發(fā)揮內部審計四種職能作用前提下，其與風險管理整合的程序步驟，及其在中國的應用。
　　[關鍵詞]內部審計；風險管理；IIA；COSO框架
　　　
　　內部審計是現(xiàn)代管理和管理控制的組成部分。IIA在《內部審計實務標準》中將其定義為是一種獨立、客觀的保證工作和咨詢活動，其目的在于為組織增加價值并提高組織的運作效率，采用系統(tǒng)化、現(xiàn)代化的方法來對風險管理、控制和治理程序進行評價和改善，從而幫助組織實現(xiàn)目標。
　　企業(yè)風險管理是一個由企業(yè)的董事會、管理層和員工共同參與，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門，用于識別可能對企業(yè)造成潛在影響的事項，并根據(jù)風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理保證的過程。它參與到企業(yè)的各項活動之中，是一個過程，是實現(xiàn)結果的一種方式。與傳統(tǒng)的項目風險管理相比，企業(yè)風險管理強調戰(zhàn)略導向，覆蓋了組織所有的管理層次和管理領域，方法也更為結構化和規(guī)范化。
　　內部審計承擔了監(jiān)督、分析、評價、檢察、報告和改進等任務，是企業(yè)風險管理不可或缺的組成部分。就世界范圍看，風險管理已成為內部審計的主要內容。IIA早就把評價和改善組織的風險作為內部審計的主要內容，其1999年制定的內部審計定義將風險管理和內部控制、公司治理并列作為內部審計的工作對象，2001年修改的《內部審計實務標準》明確要求內部審計參與風險管理和公司治理過程。我國內部審計準則中也充分考慮了風險評估作為內部審計中的一個核心概念。
　　內部審計為什么要與風險管理相整合，在COSO框架下兩者如何結合是需要深入分析的問題。本文將對兩者的關系，兩者結合的意義及兩者結合的方式作進一步探討，并在此基礎上研究中國企業(yè)如何將內部審計與風險管理相結合。
　　
　　一、內部審計與風險管理的關系及兩者結合的意義
　　
　　IIA在對美國國會關于《薩班斯——奧克利斯法案》的意見陳述書中表述：內部審計、外部審計、董事會以及高層管理人員被稱為有效的公司治理的四大基石。內部審計師的作用是監(jiān)控、評估和分析組織的風險，審查信息及公司對法律法規(guī)的遵守情況，向董事會、審計委員會以及高層管理人員負責提供保證——風險已被分散、公司治理是有效的。內部審計以企業(yè)內部信息使用者為中心，聚焦于控制、風險管理等關鍵問題，通過幫助組織管理風險和提高管理效率，來增加組織的價值和改善公司的經營。
　　公司的治理過程是公司的利益相關主體讓管理層發(fā)現(xiàn)風險并對其進行控制的過程，對公司風險的監(jiān)控及適當?shù)匾?guī)避此類風險，對實現(xiàn)公司目標和保存公司價值都有直接的貢獻。內部審計參與風險管理的實質就是協(xié)助公司的高層管理人員做如下工作：系統(tǒng)鑒別組織所面臨的風險；評估這些風險對組織的潛在影響；制定控制風險的策略；評價風險管理的過程；就風險應對措施的合理性、風險監(jiān)控的及時性、恰當性、有效性等信息進行有效的交流和溝通。風險管理是管理層的一項主要職責，而對組織的風險管理過程進行評估和報告通常是內部審計工作的一項主要內容。在適當情況下，內部審計師應與管理層審計委員會和董事會就與風險和風險管理實務中的薄弱環(huán)節(jié)進行討論，當然在該過程中由管理層負責對重大風險采取針對性行動，內部審計機構負責人負責評價這些行動。風險管理作為管理層的一項主要職責，它應當確保組織中有良好的風險管理過程，并使其發(fā)揮作用。董事會和審計委員會負責監(jiān)督、判斷組織是否有適當?shù)娘L險管理過程，以及是否充分、有效。內部審計師的職責是運用風險管理方法和控制措施，對風險管理過程的充分性和有效性進行檢查、評價和報告，提出改進意見，為管理層和審計委員會提供幫助。
　　IIA多年來一直積極倡導內部審計參與風險管理，它認為內部審計為組織提供價值的兩個非常重要的途徑是對風險管理的充分性和對風險管理及內部控制框架的有效性提供保證服務。
　　內部審計與風險管理相結合是將風險作為內部審計的對象，打破了原來的內部審計只關心內部控制有效性的局面，在評價內部控制的基礎上，對企業(yè)所面臨的各種風險進行識別和分析。從另一個角度來講，內部審計更加注重企業(yè)的未來，從影響企業(yè)目標實現(xiàn)的各種系統(tǒng)風險和非系統(tǒng)風險出發(fā)，就內部控制是否健全、關鍵的控制點是否有效控制薄弱的環(huán)節(jié)以及改進措施是否有效提出認定，來評價風險管理與控制對組織目標實現(xiàn)的影響程度。以風險為對象的審計在風險管理基礎上又進了一步。風險審計就是在風險管理基礎上審計主體通過對組織風險識別、風險評價等工作的審計，側重對風險管理進行鑒證。
　　內部審計參與風險管理不僅為內部審計自身提供了發(fā)展契機，而且作為企業(yè)內的一種獨立、客觀的保證工作和咨詢活動，內部審計是公司治理必要和有價值的組成部分，能夠在風險管理中發(fā)揮獨特的作用，無論是內部審計還是風險管理都能從雙方的整合中提高效率，創(chuàng)造價值。
　　內部審計作為內部控制的重要組成部分，其在風險管理中發(fā)揮不可替代的獨特作用。主要有以下幾個方面：(1)內部審計能夠從全局的角度管理風險。對風險的認識、防范和控制需要從全局考慮，但各業(yè)務部門很難做到這一點。內部審計人員從事具體的業(yè)務活動，獨立于業(yè)務管理部門，這使得他們可以從全局出發(fā)，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。(2)控制、指導企業(yè)的風險策略。由于內部審計部門處于企業(yè)的董事會、總經理與各職能部門之間，內部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調人。通過對長期計劃與短期計劃的調節(jié)，內部審計人員可以調控、指導企業(yè)的風險管理策略。(3)內部審計部門的建議更易引起重視。內部審計部門獨立于企業(yè)高級管理層，其風險評估的意見可以直接上報給董事會，這會加強管理當局對內部審計部門意見的重視程度。從內部審計發(fā)揮的上述職能看，內部審計已經參與到公司治理與風險管理中，幫助組織發(fā)現(xiàn)并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做出貢獻；同時繼續(xù)原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。此時的內部審計人員是風險管理專家，通過對風險的把握來評價公司治理及
內部控制，并促進公司治理和內部控制的改善，從而實現(xiàn)對風險的控制。在風險管理這個統(tǒng)一核心下，公司治理與內部控制實現(xiàn)了一定程度整合，為組織增加了價值。
　　
　　二、內部審計在風險管理中的角色和責任
　　
　　COSO報告指出企業(yè)風險管理有四個目標(實現(xiàn)戰(zhàn)略、高效運作、客觀報告、遵守法則)、八個要素(內部環(huán)境、目標設定、事件識別、風險評估、風險反應、控制活動、信息溝通、監(jiān)控活動)，并在企業(yè)的四個層次(企業(yè)級、部門級、事業(yè)單位級、分公司級)展開。內部審計在這一框架中作為監(jiān)控活動存在，由內部機構對企業(yè)風險管理進行獨立評估。IIA在2004年發(fā)表的《內部審計在企業(yè)風險管理中的角色》意見書中也認為內

【現(xiàn)代內部審計與風險管理的協(xié)調整合之我見】相關文章：

論現(xiàn)代內部審計與風險管理的協(xié)調整合03-24

內部審計與風險管理03-19

風險管理內部審計論文11-23

論析風險管理目標下公司治理與內部審計的整合03-20

簡論風險管理中的內部審計12-06

醫(yī)院內部審計與風險管理12-09

風險管理框架下的內部審計03-23

現(xiàn)代企業(yè)風險管理審計框架03-24

內部審計職能轉變中風險管理審計探討12-06