基于内部审计的企业风险管理研究

基于内部审计的企业风险管理研究
摘要:基于笔者从事财务管理的相关工作经验,以企业内部风险管
理为研究对象,探讨了内部审计在企业风险管理中发挥的作用,论文首
先分析了内部审计在企业风险管理中的角色,进而重点研究了内部审
计参与企业风险管理的途径,对从事相关工作的同行有参考和借鉴意
义。

关键词:企业 内部审计 风险管理
1 企业风险管理的含义
IIA考试委员会主席、2003届IIA协会主席伍顿·安德森(Urton
Anderson)博士2004年5月在上海所作的COSO——ERM的报告…1
中指出,企业风险管理可以定义为:通过确认、识别、管理和控制组织
潜在的情况和事件,为实现组织目标而提供适当保证的程序。

提供风险管理服务的机构——普华永道会计师事务所将风险管
理定义为:有效的风险管理可以识别威胁、控制损失(预防损失并减少
损失发生的严重性)、防范未经授权使用资金,并对伤害采取保护措施。
目前,有关企业风险管理的定义比较权威的应该是2004年COSO颁布
的《企业风险管理——整合框架》中的定义。该定义是:企业风险管
理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企
业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成
潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实
现提供合理保证的过程。
2 内部审计在企业风险管理中的角色
内部审计在企业风险管理中的角色主要体现在两个方面:一是针
对管理层的企业风险管理过程予以评价,提供确认服务;二是以咨询顾
问的身份介入企业风险管理过程当中。”随着内部审计参与企业风险
管理的活动越来越多,程度也欲加深入,内部审计职业所要求的客观性
和独立性容易受到威胁,易被削弱。所以就产生了内部审计不应该涉
足的领域和不应该在某些领域发挥独立的作用。

2.1 确认作用
确认是根据客户的标准、要求对特定领域进行评价并提供其需要
的信息,能够用于改善决策,提高其科学性。确认服务定义为,就风险管
理、控制和公司治理过程提供一个独立的评价,包括:财务的经营成果、
对法规等的遵守情况、制度的安全性、预期的勤奋工作等。为了提供
如上所述的确认服务,内部审计应该是独立的和客观的,即:诚实、有能
力、应有的谨慎和道德的行为。

内部审计师应对风险管理过程迸行确认,评估风险管理过程,对主
要风险的管理进行评论,保证风险被正确地评估,并且要对主要风险的
报告进行评估确认。

2.2 咨询作用
咨询是直接作为专家顾问参与经营活动,改善客户的状况。咨询
服务是咨询性的和委托人相关的服务活动,其活动的范围和本质是同
客户达成一致意见,其目的是增加价值和改进公司经营。咨询服务的
例子包括商议、建议、简化、过程设计和培训等。

内部审计师要提供管理工具和技术,分析风险和控制,促进识别和
评估风险;向组织内引入企业风险管理,支持企业风险管理的建立,发
挥在风险管理和控制方面的专长,发挥组织的全部知识;提出建议,促
进组织的学习,训练组织在风险和控制上的能力,提升共同的语言、保
持和发展企业风险管理概念性框架;以协调、监督和汇报风险作为行
动的中心,协调企业风险管理活动,巩固风险报告;指导管理者对风险
做出反应,支持管理者采取最优方案减轻风险,发展董事会赞成的风险
管理策略。

内部审计在风险管理领域的增值产品主要有:作为风险管理顾
问、提供风险管理培训、支持内部风险自我评估等。

(1)风险咨询顾问
《内部审计实务公告》2100-4条中说明道:内部审计师可以以咨
询顾问的身份协助组织确定、评价并实施针对风险的管理方法和控制
措施。特别在组织尚未建立风险管理过程的情况下,内部审计师可以
向管理层提出建立相关风险管理过程的建议。如果有关方面提出要求,
内部审计师可以积极的协助组织风险管理过程的初步建立。内部审计
师更为积极的作用是通过改善基本程序的咨询方式对传统确认服务
迸行补充。

但是,内部审计师作为风险咨询顾问的作用有别于“风险归属”问
题上所起的作用。为避免参与“风险归属”问题,内部审计师应该要求管
理层证实其在确定、防范、监测风险以及决定风险“归属”方面的责任。
内部审计师可以促进风险管理过程的建立和使风险管理过程的建立
成为可能,但是,他们不应该“拥有”己确认的风险或负责对这些风险进
行管理。

(2)风险管理程序培训
由于内部审计师作为风险咨询专家,对风险管理有着丰富经验与
专业知识,在组织内部展开风险管理培训又是内部审计师为组织增加
价值的一个审计产品。

(3)支持内部风险自我评估
和支持内部控制自我评估～样,审计师也可以推进内部风险的自
我评估。内部审计在风险自我评估中主要是帮助组织设计风险自我评
估的程序,然后让各部门去执行,各部门在评估时遇到一些问题,内部
审计师可以充当顾问角色。风险管理是管理层的责任,但是内部审计
师可以通过为管理部门设计一些风险管理程序、规则、技术和方法,
为管理层提高风险管理的效率和效果。
2.3 不应该发挥的作用
内部审计参与企业风险管理的活动越加深,它的客观性和独立性
越易受到威胁。为保证客观性和独立性不被削弱,我们这里列出了内
部审计在企业风险管理中不应该发挥的作用。内部审计必须明白是管
理者对风险管理负责,风险偏好是由管理层来设定。内部审计不应该
代表管理者来对风险进行管理,不应强化风险管理过程。内部审计不
应该对风险反应做出决定,可以支持管理者所做出的决定。当管理者
所做出的风险管理决定与内部审计完全不同时,内部审计应提出质疑
或建议。

3 内部审计参与企业风险管理的途径分析
内部审计参与企业风险管理受到了极大的关注。COSO发布的
ERM框架指出内部审计的职能是“通过检查、评估、报告和建议来帮
助管理层和董事长或审计委员会进行有效的企业风险管理。”企业风
险管理概念性框架包含八个组成因素;环境分析、且标设定、事件鉴
别、风险评估、风险回应、控制活动、信息与沟通、监督与回顾。内
部审计在企业风险管理中的职能角色应该局限在企业风险管理概念
性框架的最后一个组成部分——监督与回顾。本文在这里提出:内部
审计在企业风险管理概念性框架所列的要素中发挥确认和咨询作用。
本文的重点就在于探讨内部审计在企业风险管理概念性框架中通过
何种途径发挥确认与咨询作用。
3.1 将公司目标、战略与风险相联系
企业的目标、实施目标的战略、及实施战略所需的经营模式和经
营过程是由企业的管理者和董事会来决定的,这是管理者和董事会的
责任,而不是内部审计的责任。内部审计负责将企业的战略,实施战略
所需的经营模式和阻碍目标实现的风险系统地加以联系,以保证战略
和经营模式能够应对风险。

内部审计首先要列出所有使目标实现的关键性成功因素和可能
阻碍成功的风险因素清单。将识别的关键性成功因素和可能阻碍成功
的风险因素(内部和外部)逐一列出,从企业目标、组织目标角度分析判
断风险因素对目标实现的影响程度。包括:①列出企业的策略,结合现
实环境分析策略的适当性和竞争强度。②列明所有资产。③列明人员
状况,分析他们的素质及道德水平。④列明其它设施和条件:物质、自
然、法律、政治环境等。

3.2 对环境进行监控
由于信息技术的发展,企业风险的性质和影响程度也发生了变化,
使得对环境的监控越来越重要。

对环境进行监控首先要明确企业的风险偏好。除了决定目标、战
略和经营模式、经营过程之外,管理者和董事会还需决定在实现目标
时愿意承受多大程度的风险。这种风险偏好是企业风险管理环境中的
一个组成部分。内部审计不负责制定风险偏好,但需要明确管理者和
董事会的风险偏好,将风险评估和风险偏好进行定期比较,对企业希望
承受的剩余风险提供限度。内部审计要评价单位的“固有风险”和“剩
余风险”(采取控制行动后可以接受的风险)。

对环境变化和意外环境的持续的监控。当企业所假定的环境与外
部环境和企业经营过程的变化相冲突时,内部审计应及时向管理者和
董事会提供反馈。

通过对所处环境的情况分析,帮助管理者做出重新思考。需要做
如下外部环境分析:第一,评判行业发展现状,预测发展趋势。内部审计
应该通过信息,分析现有企业间竞争程度、新加入企业的威胁及产品
和服务替代等情况;通过对竞争环境的情况分析,对组织在该行业的竞
争地位在空间和时间上予以定位或重新定位。第二,分析客户需要,分
析消费者购买行为是否变动,考虑供应商状态,帮助有关方面找出议价
渠道和空间。

3.3 保证风险事件鉴别的完整性
风险事件的鉴别是整个企业风险管理工作的基础。风险事件的鉴
别是指企业风险管理人员通过对大量来源可靠的信息资料进行系统
了解和分析,认清企业存在的各种风险因素。要充分理解企业的目标、
战略和计划以及当前的内外环境情况,就需要鉴别那些可能对企业目
标实现带来负面影响的所有重要事件,鉴别所有潜在的严重的风险,以
保证风险轮廓勾勒的完整性。对风险事件的鉴别最重要的是风险鉴别
的完整性,保证所有重要的风险都被鉴别出来。风险事件鉴别的完整
性包括:风险识别是否全面;风险各级分类的合理性;可控风险、不可控
风险确定的科学性等。要求内部审计师结合企业战略目标的制定和布
置,通过对有关单位和部门风险的识别进行检查、评估并提出建议,通
过所获得的证据评价企业风险管理流程是否能完成风险管理使命、目
标和目的。通过对经营战略概念和实务进行研究,以此来鉴别一些风
险。内部审计需要创新性地组织具有不同背景和专业知识的人员运用
“头脑风暴法”,利用“方案构建”等活动来产生所有的可能风险的观点。
开发利用各种模板(如:流程图、调查表等),通过这些模板来反映出各
种可能的风险。

(1)取得相关资料:内部审计师如果想要对风险事件的鉴别做出科
学的评价,就需要首先了解相关的资料。①明确企业目标、企业活动
的性质、规模,清楚影响活动的关键人物。②清楚企业内部各部门之
间的依赖程度。③取得相关活动的会计记录信息,分析活动的风险控
制情况,考察活动的效率与效果。

(2)流程图分析:流程图法是用符号和图形将企业经营活动过程反
应出来的方式。内部审计对企业的业务流程进行分析,发现风险事件
鉴别的薄弱环节,分析业务流程中的风险识别是否全面。

(3)编制风险分析调查表:对于内部审计师可以预见到的潜在风险,