浅谈内部审计与风险管理
浅谈内部审计与风险管理
浅谈内部审计与风险管理作者:罗有良来源:《中国外资·下半月》2010年第06期摘要:内部审计是基于受托经济责任的需要而产生和发展起来的,是经营管理分权制的产物,内部审计参与企业风险管理工作是其发展的趋势。
在1999年通过的内部审计的最新定义把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。
本文将对此问题进行阐述。
关键词:内部审计原因风险管理企业在运行过程中存在着大量的战略风险、经营管理风险和作业风险,它们很可能导致企业费用和损失的发生,制约企业的生存、发展和获利能力。
风险的存在具有客观性和不确定性,可以被管理人员预测,并加以控制和规避。
在风险的形成过程中,涉及风险因素、风险事故和风险损失三个方面。
风险因素,是能够引起或增加风险事件发生机会或影响损失严重程度的因素。
风险事故,是在风险管理中直接或间接造成损失的事故,它是损失发生的媒介。
风险损失是因不确定性而导致企业经济价值的减少。
风险因素引发风险事故,而风险事故导致风险损失的发生。
产生风险损失的主要根源是企业缺乏风险管理意识,不能及时准确地识别风险因素,内部控制制度不健全。
■一、内部审计涉足风险管理的原因1.1 内部审计对自身发展的渴求内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。
内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
1.2 企业面临的风险日益增大近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。
知识经济的到来,更使企业的风险雪上加霜,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。
内部审计与风险管理
内部审计与风险管理企业经营过程中面临着各种风险,为了降低风险发生的可能性以及减少风险造成的损失,内部审计和风险管理成为一项关键工作。
内部审计是指独立于业务运营管理层的专业检查机构对企业内部控制和运营过程进行全面、系统的审计活动,旨在评估和改善企业风险管理、控制和治理。
本文将探讨内部审计与风险管理之间的关系及其重要性。
一、内部审计对风险管理的支持内部审计作为企业内部控制的第一道防线,在风险管理中发挥着重要作用。
首先,内部审计通过评估和测试内部控制制度的有效性,帮助企业识别和诊断潜在的风险。
通过审计程序,内部审计可以揭示出业务过程中存在的薄弱环节和潜在矛盾,帮助企业及时发现并解决问题。
其次,内部审计通过监督和评估风险管理措施的实施情况,提供改善方案和建议。
内部审计人员具备专业知识和经验,能够从全局的角度出发,审视企业的风险管理策略和措施,发现其中的不足之处,并提出相应的改进建议。
这有助于企业及时调整风险管理策略,提升风险管理水平,降低风险对企业的影响。
最后,内部审计为风险管理提供独立可靠的信息支持。
内部审计人员在独立性和客观性上具备优势,他们可以提供真实客观的信息,为管理层提供对风险管理决策的参考依据。
审计报告中的观点和建议可以帮助企业领导层更好地了解和认识企业风险状况,做出正确的决策。
二、风险管理对内部审计的要求风险管理作为企业的重要管理活动,也对内部审计提出了一系列要求。
首先,风险管理要求内部审计人员具备全面的业务知识和专业技能,能够深入了解和理解企业的风险特征和风险管理需求。
只有具备相应的专业知识和技能,内部审计人员才能了解企业风险管理目标和策略,并从中有效地开展审计工作。
其次,风险管理要求内部审计人员具备独立性和客观性,能够真实地反映企业的风险管理状况。
内部审计人员应该保持独立的审计态度,避免受到利益冲突或其他影响,并提供真实客观的审计意见和建议,为风险管理提供可靠的信息支持。
最后,风险管理要求内部审计人员具备创新思维和问题解决能力,能够灵活应对风险管理中的挑战和问题。
浅谈内部审计如何参与风险管理
查 、评估 、报告和提出改进建 议来帮助管理者和董事会或审
计委员会。
l 资委 《 玉 f 中央企业 伞而风 险管理指 引》第 小条指 出,内 部审计 部¨ 和董 事会 下设的审计 委 员会足企业 风险控制 的 第 ■道防线。囚此 ,内部审计足企业整体风险管理体系的一
险 。并且 由于内部审计在公 司治理机制 中所处 的特殊地位 ,
3企业 的各项 内控制度制定 出来之后要交付执行 , 、 在执
行过程 中要检查 、 监督和纠偏 , 这样 就必须有一个相对独立 的部 ¨来完成这项工作 。『 于内部 审计部 ¨不从事具体业务 1 1 活动 ,独 于业 务管理部 ¨ ,这使得它能以超然的态度 ,从
伞局 出发 、从客观的角度 ,更清醒 、积极 丰动地识 别和评估 风 险 。及 时建议 各部 门及公 司领 导采 取措施 防范和控 制风
7 0
酝 疆 锈 奁
毽强 9一 霍
●
● ●
苜
x 要 震 g 8 a i 鼹 0 i 】
如内部审计 可直接 向董事会 报告 , 也能加强公 司风 险管理 的
有效性。
基础 。内控 流程建立后 ,内部审计人员定期对 内控流程中的 关键控 制点进行评估 。通过 内控评估 。 监督 检查公 司各项 内 控 流程 的执 行情 况 ,从而发现潜在风险 。 助企业加 强管控 协
展。
观念下 ,内部审计除了关注传统的内部控制外 ,更关注有效
的风险管理机制 , 审计工作重点不再是控制测试而是评估和
管理风险。这一崭新的定位 已经成为内部审计发展的战略 目
标。
c s( o o 企业风险管理框架 》 ( 评价各管理层在风险管理中 的地位和职责时明确指出 ,内部审计人员在风险管理的监控 中 占有重要地位 ,这一职责作为其正常职责的一部分 。可以 通过对管理者风险管理过程的充分性和有效性进行监控 、 检
浅议内部控制、风险管理与内部审计的关系
基本规范 ( 试行) 及其他规范, 内部控制的定义为: 单位为
了提高 会计信 息质量 , 护资产 的安 全 , 保 完整 , 保有关法 确 律 法规 和规 章 制 度的 贯彻 执行 等 而制 定 和 实施 的一 系列
控制方 法, 施和 程序。 措
2 0 年 , 国审计 准 贝委员会发布 的征求意 见稿 独 04 我 0 一 了解 被审 计单位 及其 环境 并 评 估重大 错报风 险》, 内部控 制的定 义为 : 合 理保证 对 为了 财 务报 告的可靠 性 , 营的效 率和 效果 以及对 法律 法规 的 经
靠 会计人员的详 细论 述以 及诚 恳的 态度 , 与相关部 门人 员 行业 务往来 的过 程中, 不仅要 了解 税收 相关 政 策以及 政 策 变动情 况, 还要 与税务部 门的工作人 员打 交道 , 在与税务人
的思 维 模式 , 从会计 核 算 以及会 计管 理两个方 面来不断 创 新 探究新 的 工作 方法 , 而适 应新 的工作 模式 以及 理财环 从
员交流 过程 中, 互之 间 的工作了解都 是 难 以避 免 的 , 相 这
就需 要 企业 的会 计人 员要 有 较强 的沟 通协调 能力 , 只有这
样才 能顺利地完 成企 业的各项财 务工作 任务。
四、 不断 创新 的意识
创新是知识经济时代的灵魂, 没有创新就没有企业的
发 展, 一个 缺乏创新 意识 的企业 是难 以取得 持续 发展 的。
内部控 制理论 是 随 着企 业 内控实 践 经验 的丰 富而 逐 步发 展起 来的, 大致 经历 了内部 牵制 , 内部 控制制 度, 内部 控 制结 构和 内部 控制 整体 框 架 四个阶 段 。 而在 我 国, 内部 控制 理论的发展相对 起步较 晚 , 相关 的政 策和 文件 如下: 财 政 部 1 9 年发布 的 ( 立 审计具 体 准 则 第9 6 9 ( 独 号… 一 内部 控制 与审计风 险 是我 国最早 的 内部 控制 规
内部审计与风险管理
内部审计与风险管理在当今全球化、竞争激烈的商业环境下,企业面临着来自各个方面的风险。
为了有效预防和应对这些风险,内部审计和风险管理成为了企业管理的重要组成部分。
本文将探讨内部审计与风险管理的关系以及它们在企业中的作用。
一、内部审计的定义和目标内部审计是指独立于企业其他部门的一种内部监管机构,其主要任务是对企业的内部控制、风险管理和合规性进行评估和审查,以提高企业的效率和价值。
内部审计的目标在于帮助企业管理层发现和解决内部控制方面的问题,减少潜在的风险,并确保企业遵守所有相关法规和规定。
二、风险管理的定义和目标风险管理是在企业运营中对潜在风险进行识别、评估和处理的过程。
其目标在于帮助企业做出明智的决策,减少与风险相关的损失,并最大化利益的实现。
风险管理涉及到对风险的识别、评估、控制和监测,通过采取相应的措施来减轻风险的影响。
三、内部审计与风险管理的关系内部审计和风险管理是企业管理中紧密相关的两个概念。
内部审计通过对企业内部控制和风险管理的评估,为企业管理层提供准确的信息和建议,帮助他们在风险规避和决策制定方面做出正确的选择。
内部审计与风险管理紧密合作,相互支持,共同提高企业的运营效率和风险管理水平。
四、内部审计在风险管理中的作用1. 风险评估与监测:内部审计可以通过对企业内部控制和流程的评估,识别和评估潜在的风险,并及时监测风险的变化和发展趋势。
2. 内部控制的改进:内部审计可以发现企业内部控制方面存在的问题和不足,并提出改进建议,帮助企业提高内部控制水平,减少风险的发生。
3. 合规性的保证:内部审计可以对企业遵守法规和规定的情况进行审查和评估,确保企业的运营活动符合法律法规要求,减少合规性风险的发生。
4. 信息披露与透明度:内部审计可以通过对企业的信息披露和透明度进行评估,确保企业的信息披露符合要求,提高企业的信誉和声誉。
五、结语内部审计与风险管理是企业管理中不可或缺的两个方向。
通过内部审计的评估和监测,企业可以及时识别和处理潜在的风险,减少损失并提高效益。
风险管理与内部审计0
风险管理与内部审计引言风险管理和内部审计是组织中至关重要的两个方面。
风险管理旨在识别、评估和应对组织面临的各种风险,以确保组织能够实现其目标和使命。
内部审计则是通过独立、客观的评估和监督,帮助组织改进其运营、风险管理和内部控制。
本文将介绍风险管理和内部审计的概念、目的和重要性,并讨论它们之间的关系和相互作用。
风险管理风险管理是一种系统性和持续的过程,用于识别、评估和应对组织面临的风险。
它涉及以下几个方面:1.风险识别:通过收集和分析相关信息,确定组织可能面临的各种风险。
2.风险评估:评估风险的概率和影响程度,以确定其严重性和优先级。
3.风险应对:采取适当的措施来减轻和控制风险,包括避免、转移、缓解和接受风险。
风险管理的目标是降低组织面临的风险,确保组织能够达到其目标,并保护其利益相关方的利益。
它可以帮助组织更好地应对不确定性和变化,并提供决策的依据。
内部审计内部审计是一种独立和客观的评估和监督过程,旨在帮助组织改进其运营、风险管理和内部控制。
它涉及以下几个方面:1.审计计划:制定审计计划,确定需要审计的领域和目标。
2.审计执行:收集、分析和评估相关信息,以评估组织的运营、风险管理和内部控制的有效性和合规性。
3.审计报告:向管理层提供审计结果和建议,以促进问题的解决和改进。
内部审计的目标是提供独立的保证和咨询服务,帮助组织改进其运营和控制环境。
通过评估和监督,它可以揭示潜在的问题和风险,并提供改进建议和解决方案。
风险管理与内部审计的关系风险管理和内部审计在实践中密切相关并相互支持。
它们之间的关系可以从以下几个方面来理解:1.风险识别:风险管理依赖于内部审计提供的信息和洞察力来识别组织可能面临的风险。
内部审计通过对组织运营和控制环境进行审计,发现潜在的问题和风险。
2.风险评估:内部审计可以提供对组织的风险评估,评估其运营、风险管理和内部控制的有效性和合规性。
这些评估可以帮助风险管理确定风险的严重性和优先级。
企业内部审计与风险管理
企业内部审计与风险管理随着企业规模的不断扩大,企业内部的管理和风险控制也变得日益重要。
在这个背景下,企业内部审计和风险管理的作用逐渐凸显出来。
本文将从以下几个方面探讨企业内部审计和风险管理的重要性和实践经验。
一、审计和风险管理的定义企业内部审计是指由企业内部设立的专业机构对企业的管理制度、运营过程以及内部控制进行评估,目的是发现不合规行为,提出改进建议,保护企业利益。
风险管理是指企业以科学的方法评估和控制内外部风险的过程,以最小化风险对企业经营的影响。
二、企业内部审计和风险管理的重要性1. 发现问题和风险:企业内部审计和风险管理是一种有效手段,可以发现企业内部问题和潜在风险。
及时发现并解决问题可以防止企业损失和避免经济损失。
2. 增强企业信誉度:企业内部审计和风险管理可以提高企业的透明度和诚信度。
企业对内部问题的有效管理和风险的精准控制可以赢得利益相关者的信任,也能提升企业在市场竞争中的优势。
3. 提高企业绩效:企业内部审计和风险管理是一种有效的管理工具,可以帮助企业提高绩效。
通过对内部业务流程的优化和对风险因素的控制,企业能更好地保持竞争力,并稳健地实现业务增长。
三、企业内部审计和风险管理的实践经验1. 制定高效的内部审计和风险管理计划企业在制定内部审计和风险管理计划时,应借助外部专业机构的研究结果和经验,找出企业内部的风险和问题,以确保计划的专业性和科学性。
同时,在计划的执行过程中,应充分利用现代化的技术手段,提高审计和风险管理的效率和准确性。
2. 加强内部控制企业应建立规范化的内部控制制度,加强风险预测和评估,发现和纠正内部风险和事务操作中的错误和缺陷。
为此,企业需要对内部审计机构进行流程重组、制度设计和技术支撑方面的投入,以适应不断变化的环境和需求。
3. 加强内外部沟通企业内部审计和风险管理需要与内外部各方进行有效沟通。
内部对应部门必须积极配合,向审计和风险管理人员提供真实、客观的数据;而对于外部利益相关者,应及时公开企业的审计和风险管理结果,保持透明度和诚信度。
内部审计与风险管理的有效结合
内部审计与风险管理的有效结合内部审计与风险管理的有效结合2023年的今天,随着经济全球化进程的不断加速,企业所面临的金融和业务风险不断增加。
如何在不断变化的环境下提高企业的业务竞争力和稳定性,成为了摆在企业高管面前亟待解决的问题。
而内部审计和风险管理是企业保持稳健发展及长久经营的重要保障措施。
本文将探讨内部审计与风险管理的有效结合,如何为企业提供更加全面、科学的风险防范措施。
一、内部审计的意义内部审计是指所在企业较低层次对高层管理者,独立、客观、全面进行评估,监督、领导公司运营及控制风险的过程。
其重要作用有以下五点:1. 优化企业组织流程,提高运行效率,保持持续发展。
2. 减少商业风险,管理风险,提高经济效益。
3. 防范经济犯罪,捍卫企业的财产安全。
4. 构建高效的风险管理架构,促进公司的管理完善。
5. 维护公司形象,增强客户及大众的信心。
二、风险管理的必要性风险是成功的前提,正如巴菲特所言:“做生意就是为了管理风险,但不是为了制造风险。
” 企业风险管理必须支持战略,保护企业资产、维护声誉,并确保财务透明度。
理解和管理风险是企业持续发展的重要基础。
企业的风险管理不仅涉及到商业风险、财务风险、监管风险,还应包括环境、健康安全、商业伙伴和网络安全等风险。
风险管理的核心在于发现风险,并制定应对风险的对策,从而减少企业损失。
三、内部审计与风险管理的整合随着国内外经济环境的变化和企业管理层结构的日益复杂,企业所面临的风险变得多样化和复杂化。
在这个背景下,内部审计和风险管理的整合显得尤为重要。
内部审计旨在提升公司治理,保障公司利益;风险管理则旨在帮助企业管理风险,保障企业的发展。
将这两项工作整合在一起可以充分发挥综合作用,能够更加有效地管理公司治理和风险防范。
具体实施方法如下:1. 内部审计和风险管理的沟通协调内部审计部门与风险管理部门应建立良好的信息交流渠道,保持沟通和协调。
内部审计部门可以借助风险管理部门的专业知识,制定和评估风险管理制度,为风险管理提供专业帮助;同时,风险管理部门也应利用内部审计的信息,建立风险与内控的相互搭配,互为支撑的框架,确保企业风险和内部监督及涉及的基本内控要素相协调。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈内部审计与风险管理内部审计是现代管理和管理控制的重要组成部分。
内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。
本文根据COSO 企业风险管理框架和IIA 内部审计实务标准,分析了内部审计与风险管理的关系及两者相结合的意义,指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用,并探讨了在发挥内部审计四种职能作用前提下,其与风险管理整合的程序步骤。
[关键词]内部审计;风险管理;IIA;COSO框架内部审计是现代管理和管理控制的组成部分。
IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。
什么是风险?风险是指未来的不确定性及其后果。
什么是危机?风险成为现实就是危机。
对风险毫无知觉,或者不当回事,危机的发生就只是时间问题,无数事件证明了这一点,金融危机再次证明了这一点,金融风险失控转化成金融危机(量变到质变)。
企业风险:指未来的不确定性对企业实现其经营目标的影响。
企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等企业风险管理是指一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。
它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。
与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
、、内部审计与风险管理的关系及两者结合的意义内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。
公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程,对公司— 2 —风险的监控及适当地规避此类风险,对实现公司目标和保存公司价值都有直接的贡献。
内部审计对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。
从防范经营风险入手,通过对重要业务流程持续循环审计,以不断促进高风险业务内部控制持续有效为目的,从内控程序设计的适当性、健全性和业务流程执行的规范性、有效性两个方面加大审查力度,积极促进缺陷改进。
在适当情况下,内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论,由管理层负责对重大风险采取针对性行动,内部审计机构负责人负责评价这些行动。
风险管理作为管理层的一项主要职责,它应当确保组织中有良好的风险管理过程,并使其发挥作用。
董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程,以及是否充分、有效。
内部审计师的职责是运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。
IIA 多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评— 3 —价内部控制的基础上,对企业所面临的各种风险进行识别和分析。
从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。
以风险为对象的审计在风险管理基础上又进了一步。
风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用。
主要有以下几个方面:(一)内部审计能够从全局的角度管理风险。
对风险的认识、防范和控制需要从全局考虑,但各业务部门很难做到这一点。
内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(二)控制、指导企业的风险策略。
由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。
通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。
(三)内部审计部门的建议更易引起重视。
内部审计部门独立— 4 —于企业高级管理层,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做出贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。
内部审计人员通过对风险的把握来评价公司治理及内部控制,并促进公司治理和内部控制的改善,从而实现对风险的控制。
在风险管理这个统一核心下,公司治理与内部控制实现了一定程度整合,为组织增加了价值。
、、内部审计在风险管理中的角色和责任IIA 在2004 年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。
因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按IIA 的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。
内部审计为整个组织成员以及组织以外的所有利益相— 5 —关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。
总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。
其中,保证服务是指为了对风险管理。
内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。
在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。
除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。
与此相适应,内部审计承担了咨询者、协调者、建议者角色。
内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。
在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。
内部审计的报告关系也会业风险管理中的角色,报告关系层次越高,独立性影响其在企— 6 —越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
为保证其独立性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。
内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。
此外,在实践中,应注意处理保证服务和咨询服务的关系。
只要内部审计执行的任务涉及履行管理职责,就应该认为与此相关领域的审计客观性受到了损害,内部审计不能就其直接协调和指导的风险管理事项提供保证服务。
三、内部审计与风险管理整合的程序步骤(一)判明风险类别,分析风险的具体源由。
企业风险多种多样,表现的形式与发生影响也是千差万别的,为了管理和控制风险,应对风险进行辨认并予以分类,从中分辨出风险的性质,以确定主要风险、次要风险、关键风险、派生风险。
(二)在组织机构上,内审工作要与企业的各级风险管理组织相配合,开展企业综合风险管理。
根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理概念。
这种管理是要求内部审计工作超越企业内部各职能部门的隔离,实行全体— 7 —的、综合的和全员的行动进行综合风险管理。
在现代企业的风险控制方面,不少大中型企业一般建立三级风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计;专职风险监管部门。
内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查,及时提示和报告潜在风险,并提出防范风险及改进工作的建议。
(三)按风险管理的要求开展内部审计。
与经营风险管理相结合的内部审计,其具体要求是在企业的“经营——风险——控制——监督”过程中,内部审计充分发挥其监控实效。
亦即内部审计在开展时,先由企业各层次人员明确企业经营风险控制管理的目标,在此基础上广泛收集经营决策信息、情况及风险情况,据此对各个待审项目的风险做出评价,进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险),然后运用“计划——执行——检查——行动”方式,对企业主管层、业务管理层及业务执行层进行审计。
(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查。
— 8 —。