浅谈内部审计与风险管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈内部审计与风险管理
内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文根据COSO 企业风险管理框架和IIA 内部审计实务标
准,分析了内部审计与风险管理的关系及两者相结合的意义,
指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用,并探讨了在发挥内部审计四种职能作用前提下,其与风险管理整合的程序步骤。
[关键词]内部审计;风险管理;IIA;COSO框架
内部审计是现代管理和管理控制的组成部分。IIA在《内部
审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。
什么是风险?风险是指未来的不确定性及其后果。
什么是危机?风险成为现实就是危机。
对风险毫无知觉,或者不当回事,危机的发生就只是时间问题,无数事件证明了这一点,金融危机再次证明了这一点,金融风险失控转化成金融危机(量变到质变)。
企业风险:指未来的不确定性对企业实现其经营目标的影响。
企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等
企业风险管理是指一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
、、内部审计与风险管理的关系及两者结合的意义
内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程,对公司
— 2 —
风险的监控及适当地规避此类风险,对实现公司目标和保存公司价值都有直接的贡献。
内部审计对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。从防范经营风险入手,通过对重要业务流程持续循环审计,以不断促进高风险业务内部控制持续有效为目的,从内控程序设计的适当性、健全性和业务流程执行的规范性、有效性两个方面加大审查力度,积极促进缺陷改进。在适当情况下,内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论,由管理层负责对重大风险采取针对性行动,内部审计机构负责人负责评价这
些行动。风险管理作为管理层的一项主要职责,它应当确保组织中有良好的风险管理过程,并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程,以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。IIA 多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评
— 3 —
价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计作为内部控制的重要组成部分,其在风险管理中
发挥不可替代的独特作用。主要有以下几个方面:
(一)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑,但各业务部门很难做到这一点。内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(二)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。
(三)内部审计部门的建议更易引起重视。内部审计部门独立
— 4 —
于企业高级管理层,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做出贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。内部审计人员通过对风险的把握来评价公司治理及内部控制,并促进公司治理和内部控制的改善,从而实现对风险的控制。在风险管理这个统一核心下,公司治理与内部控制实现了一定程度整合,为组织增加了价值。
、、内部审计在风险管理中的角色和责任
IIA 在2004 年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按IIA 的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相
— 5 —