IIA立场公告_内部审计在企业全面风险管理中的作用

精心整理IIA立场公告：内部审计在企业全面风险管理中的作用

简介

风险管理对于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险，诸如社会、道德、环境及财务和运营方面的风险，并解释如何管理风险使之降低到可接受的水平。同时，全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认和咨询作用，利用各

程。

企业全面风险管理的好处

企业全面风险管理框架能够在协助组织管理风险从而实现目标方面做出重大贡献，其好处包括：为实现组织目标提供更大的可能性；在董事会层面综合报告不同的风险；提高对主要风险及其广泛影响的认识；识别和分担跨业务风险；对重要事项集中管理；减少意外或危机；在组织内部更加关注用正确的方法做正确

的事情；对将要采取的行动增加变更的可能性；具备为获取更高回报而承担更大风险的能力；更有依据的风险承受和决策。

企业全面风险管理活动

企业全面风险管理活动包括：说明和沟通组织目标；确定组织的风险偏好；建立适当的内部环境，包括风险管理框架；识别影响目标实现的潜在威胁；评估风险（如，威胁的影响和发生可能性）；选择和实施风险应对；采取控制和其他应对措施；组织中所有层级采用一致的方式进行风险信息沟通；集中监督和协调

图1

功能。确定内部审计的作用时需要考虑的主要因素是该活动是否对内部审计部门的独立性和客观性产生任何威胁，是否可能改进组织的风险管理、控制和治理过程。

图1的左侧是所有确认活动。这些活动从一个侧面为风险管理提供了更加客观的确认。遵循《标准》的内部审计工作能够并应当至少执行其中的某些活动。

内部审计在企业全面风险管理中的咨询作用

内部审计能为改进组织的治理、风险管理和控制过程提供咨询服务。内部审计师对企业全面风险管理的咨询工作的深入程度取决于其他资源，包括董事会所能够获取的内部和外部的资源，还取决于组织的风险成熟度，并且可能会随时间而变化。内部审计师在考虑风险、了解风险和治理之间的联系及推动方面的专长，意味着内部审计部门完全有能力作为企业全面风险管理的推动者，甚至项目的管理者，特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加和风险管理在业务操作中的不断深入，内部审计对企业全面风险管理的推动作用可能会减弱。类似的，如果组织雇用了风险管理专家或机构服务，则内部审

图1

图1

如图1所示，在满足某些条件时，内部审计可能拓展其对企业全面风险管理的参与。这些条件包括：应当明确管理层对风险管理的职责；内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过；内部审计不应当代表管理层管理任何风险；内部审计应当提供建议、挑战并支持管理层作决定，而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。这

种确认服务应当由其他适当的、有资格的人提供；确认活动之外的任何工作应当被视为一种咨询业务，应当遵循与此业务相关的实施标准。

内部审计参与企业全面风险管理应具备的技能和知识结构

内部审计师和风险经理共享某些知识、技能和价值。例如，他们都了解公司治理的要求，具有项目管理、分析和推进技巧，重视良好的风险平衡而不是极端地承担或者逃避风险。然而，风险经理只为组织的管理层服务，不必为审计委员会提供独立和客观确认。内部审计师在介入企业全面风险管理时也不应该低估风

结论

术语定义

规性、系统安全和尽职调查等业务。

董事会：泛指组织的治理机构。

拥护者：指支持和保卫某人或某事的人。因此，风险管理拥护者将提升其优势、教育组织的管理层和职员如何执行那些他们需要采取的措施并将在这些措施的实施过程中鼓励并支持他们。

咨询服务：指咨询及相关的客户服务活动，其性质和范围需与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。

控制：指管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动，为实现目标和目的提供合理保证。

企业：指为达成一定目标而建立的组织。

推动：

风险：

来源：中审网校