基于内部审计的企业风险管理研究

基于内部审计的企业风险管理研究

摘要:基于笔者从事财务管理的相关工作经验,以企业内部风险管理为研究对象,探讨了内部审计在企业风险管理中发挥的作用,论文首先分析了内部审计在企业风险管理中的角色,进而重点研究了内部审计参与企业风险管理的途径,对从事相关工作的同行有参考和借鉴意义。

关键词:企业内部审计风险管理

1 企业风险管理的含义

IIA考试委员会主席、2003届IIA协会主席伍顿.安德森(Urton Anderson)博士2004年5月在上海所作的COSO——ERM的报告 (1)

中指出,企业风险管理可以定义为:通过确认、识别、管理和控制组织潜在的情况和事件,为实现组织目标而提供适当保证的程序。

提供风险管理服务的机构——普华永道会计师事务所将风险管理定义为:有效的风险管理可以识别威胁、控制损失(预防损失并减少损失发生的严重性)、防范未经授权使用资金,并对伤害采取保护措施。目前,有关企业风险管理的定义比较权威的应该是2004年COSO颁布的《企业风险管理——整合框架》中的定义。该定义是:企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实

现提供合理保证的过程。

2 内部审计在企业风险管理中的角色

内部审计在企业风险管理中的角色主要体现在两个方面:一是针对管理层的企业风险管理过程予以评价,提供确认服务;二是以咨询顾问的身份介入企业风险管理过程当中。”随着内部审计参与企业风险管理的活动越来越多,程度也欲加深入,内部审计职业所要求的客观性和独立性容易受到威胁,易被削弱。所以就产生了内部审计不应该涉足的领域和不应该在某些领域发挥独立的作用。

2.1 确认作用

确认是根据客户的标准、要求对特定领域进行评价并提供其需要的信息,能够用于改善决策,提高其科学性。确认服务定义为,就风险管理、控制和公司治理过程提供一个独立的评价,包括:财务的经营成果、对法规等的遵守情况、制度的安全性、预期的勤奋工作等。为了提供如上所述的确认服务,内部审计应该是独立的和客观的,即:诚实、有能力、应有的谨慎和道德的行为。

内部审计师应对风险管理过程迸行确认,评估风险管理过程,对主要风险的管理进行评论,保证风险被正确地评估,并且要对主要风险的报告进行评估确认。

2.2 咨询作用

咨询是直接作为专家顾问参与经营活动,改善客户的状况。咨询服务是咨询性的和委托人相关的服务活动,其活动的范围和本质是同客户达成一致意见,其目的是增加价值和改进公司经营。咨询服务的例子包括商议、建议、简化、过程设计和培训等。

内部审计师要提供管理工具和技术,分析风险和控制,促进识别和评估风险;向组织内引入企业风险管理,支持企业风险管理的建立,发挥在风险管理和控制方面的专长,发挥组织的全部知识;提出建议,促进组织的学习,训练组织在风险和控制上的能力,提升共同的语言、保持和发展企业风险管理概念性框架;以协调、监督和汇报风险作为行动的中心,协调企业风险管理活动,巩固风险报告;指导管理者对风险做出反应,支持管理者采取最优方案减轻风险,发展董事会赞成的风险管理策略。

内部审计在风险管理领域的增值产品主要有:作为风险管理顾问、提供风险管理培训、支持内部风险自我评估等。

(1)风险咨询顾问

《内部审计实务公告》2100-4条中说明道:内部审计师可以以咨询顾问的身份协助组织确定、评价并实施针对风险的管理方法和控制措施。特别在组织尚未建立风险管理过程的情况下,内部审计师可以向管理层提出建立相关风险管理过程的建议。如果有关方面提出要求,内部审计师可以积极的协助组织风险管理过程的初步建立。内部审计

师更为积极的作用是通过改善基本程序的咨询方式对传统确认服务迸行补充。

但是,内部审计师作为风险咨询顾问的作用有别于“风险归属”问题上所起的作用。为避免参与“风险归属”问题,内部审计师应该要求管理层证实其在确定、防范、监测风险以及决定风险“归属”方面的责任。内部审计师可以促进风险管理过程的建立和使风险管理过程的建立成为可能,但是,他们不应该“拥有”己确认的风险或负责对这些风险进行管理。

(2)风险管理程序培训

由于内部审计师作为风险咨询专家,对风险管理有着丰富经验与专业知识,在组织内部展开风险管理培训又是内部审计师为组织增加价值的一个审计产品。

(3)支持内部风险自我评估

和支持内部控制自我评估～样,审计师也可以推进内部风险的自我评估。内部审计在风险自我评估中主要是帮助组织设计风险自我评估的程序,然后让各部门去执行,各部门在评估时遇到一些问题,内部审计师可以充当顾问角色。风险管理是管理层的责任,但是内部审计师可以通过为管理部门设计一些风险管理程序、规则、技术和方法,为管理层提高风险管理的效率和效果。

2.3 不应该发挥的作用

内部审计参与企业风险管理的活动越加深,它的客观性和独立性越易受到威胁。为保证客观性和独立性不被削弱,我们这里列出了内部审计在企业风险管理中不应该发挥的作用。内部审计必须明白是管理者对风险管理负责,风险偏好是由管理层来设定。内部审计不应该代表管理者来对风险进行管理,不应强化风险管理过程。内部审计不应该对风险反应做出决定,可以支持管理者所做出的决定。当管理者所做出的风险管理决定与内部审计完全不同时,内部审计应提出质疑或建议。

3 内部审计参与企业风险管理的途径分析

内部审计参与企业风险管理受到了极大的关注。COSO发布的ERM框架指出内部审计的职能是“通过检查、评估、报告和建议来帮助管理层和董事长或审计委员会进行有效的企业风险管理。”企业风险管理概念性框架包含八个组成因素;环境分析、且标设定、事件鉴别、风险评估、风险回应、控制活动、信息与沟通、监督与回顾。内部审计在企业风险管理中的职能角色应该局限在企业风险管理概念性框架的最后一个组成部分——监督与回顾。本文在这里提出:内部审计在企业风险管理概念性框架所列的要素中发挥确认和咨询作用。本文的重点就在于探讨内部审计在企业风险管理概念性框架中通过