《内部审计如何在风险管理实施中发挥积极作用》由会员分享,可在线阅读,更多相关《内部审计如何在风险管理实施中发挥积极作用(2页珍藏版)》请在金锄头文库上搜索。
1、内部审计如何在风险管理实施中发挥积极作用一、引言xx 年美国 COSO 在内部控制整体框架基础上,拓展了发布了风险识别、风 险评估和风险应等企业风险管理内容,发布了企业风险管理总体框架 ,在内部控制的基 础上拓展了企业风险管理。xx 年,国资委参考 ERM 框架颁布了中央企业全面风险管理指引 。中国五矿、宝 钢集团和中国海油 xx 年开始试点实施全面风险管理,2016 年完成试点工作,2016 年总结 了风险管理实施案例并汇编为国资委企业全面风险管理辅导手册 。本文将在这些案例基 础上,通过理论分析,探讨内部审计如何在风险管理实施中发挥积极作用。二、内部审计参与风险管理的动因1.内部审计和风险
2、管理的作用和目标相似IIA 对内部审计职能定位为“增加价值和改善组织运营,并帮助组织实现其目标”。即 内部审计具有增值属性,增值的方式是改善组织运营,最终目标是帮助企业实现目标。 COSO 的 ERM 框架对企业风险管理的定位是为实现经营的效率和效果、财务报告的可靠 性以及法规的遵循提供合理保证。即企业风险管理也具有增值属性,增值体现在经营效率 和效果上,最终目的是合理保证企业目标的实现。风险管理通过控制、转移、分散等风险 应对手段,合理减少损失外,还可以通过管理机会性风险直接为企业增加价值。如,三家 试点单位中的中国五矿通过识别关键风险因素,建立风险量化模型,管理大宗商品价格波 动风险,直接
3、增加价值。总之,内部审计和风险管理都具有通过改善运营效率和效果,起 到增加价值的作用,虽然增值方式和途径略有不同;都与企业目标直接相关关联,起到帮 助或合理保证企业目标实现的作用。2.内部审计是风险管理的重要组成部分COSO 风险管理的 ERM 框架由八个要素组成,具体包括内部环境、目标设定、事 件识别、风险评估、风险对策、控制活动、信息与沟通、监督。其中第八个要素“监督”既 包括业务部门对风险自我评估,以及风险管理部门对风险管理工作的全面检查,也包括内 部审计部门对风险管理工作的再检查,即对风险管理工作进行独立、客观地评价、确认, 并提供咨询意见。风险管理作为一项管理职能、一个管理过程,具有
4、“决策执行监督” 和“计划执行检查行动”等常用管理循环的属性。只有内部审计充分参与,发挥监督 作用,这些管理循环才能形成管理闭环,才能持续优化、不断改进。3.风险管理是内部审计的监督对象IIA 关于内部审计定义可以看出内部审计的对象是“风险管理、控制和治理”。我国 内部审计准则强调内部控制和风险两大核心概念,国家审计署修订的关于内部审计 工作的规定对内部审计基本职责的描述是“对本单位及所属单位内部控制制度的健全性有 效性以及风险管理进行评审”。从工作实务角度,风险管理应是内部审计的监督对象。杨应杰经过理论研究认为“内部审计不仅是内部控制的重要组成部分,也是风险管理 的重要组成部分”。部分学者研
5、究认为内部控制和风险管理具有内在一致性,谢志华认为 “内部控制就是控制风险,控制风险就是风险管理”,丁友刚和胡兴国也认为“内部控制本质 上就是企业内部的风险控制机制”。从理论研究角度,风险管理也是内部审计的监督对象。三、内部审计在实施风险管理中作用1.介入风险管理实施过程,发挥咨询作用从三家单位试点经验,可以看出实施企业风险管理的准备,开始于战略目标的风险 评估,经过企业集团业务整合,通过管理架构和业务流程梳理和优化,并借助 ERP、风险 管理、内控体系等信息系统建设和实施,有序实施风险管理,全员参与,将风险管理有效 落实到企业管理全过程。内部审计可以借助自身优势,在以下三个层面发挥咨询作用:
6、第一,审计委员会成员对公司战略目标制定和调整、重大风险的认识全面清晰,内 部审计在业务上向审计委员会汇报工作,接受审计委员会的指导和监督,可以在战略目标 及其风险管理层面提供咨询意见。第二,公司其他职能部门和其他管理职能都是内部审计的监督范围,内部审计不参 与业务经营,具有独立性优势。内部审计在集团业务重组、业务流程梳理和优化、内控体 系建设等工作中,相比业务管理部门更加超脱部门利益,能客观公正地提供综合性的咨询 意见。第三,内部审计长期对内部控制进行持续评价,了解企业管理机制、熟悉业务流程 和内部控制,可以有效地感知和识别风险,对内部控制体系的改进更能提供有价值的咨询 意见。2.开展风险导向
7、内部审计,扩大增值作用万寿义和崔晓钟以价值链理论为研究基础,指出战略审计从企业整体价值链,乃至 整个产业价值链的角度,分析风险类型并评估风险;内部控制审计对价值链上的价值活动 的控制和管理情况进行审查和评价;作业审计对特定作业任务的效益和效率进行评价。可 见,内部审计在战略管理、内部控制和操作作业三个层面如果能作到风险导向,则能通过 改善企业全面风险管理,从而发挥增值作用。实务中,内部审计可以借助风险管理,加强风险导向,增强与企业目标的联系,促 进企业目标的实现,扩大增值作用。第一,内部审计规划充分结合企业战略目标、战略规 划及其重大风险,提高审计业务规划和审计资源配备规划的风险导向;第二,年
8、度审计计 划密切联系年度经营计划,结合年度经营目标和关键风险,以风险为基础,以审计资源为 约束条件,对审计项目和审计领域进行排序,提高年度审计计划的风险导向;第三,通过 企业风险管理报告,考虑具体风险的评估结果和应对措施,从剩余风险大小、风险控制和 减轻措施的有效性和复杂程度等角度综合确定审计重点,提高具体审计项目风险导向。 3.开展风险管理审计,发挥评价作用IIA 发布的实务标准认为内部审计通过评价风险管理程序的效果,对风险管理 的恰当性加以确认。也就是说内部审计具有对企业的风险管理工作进行审计的职责。内部 审计需对风险管理过程进行检查和评价,具体检查和评价目标设定的合理性、风险识别的 充分
9、性、风险评估的合理性、风险应对的恰当性、控制活动的合理性、信息沟通的有效性, 最终对风险管理过程的有效性、风险容忍度和风险偏好与风险文化的拟合度进行评价,确 认风险管理的恰当性。审计结果既能满足管理当局对风险管理机制、制度和程序有效性的 关注,也能给董事会在风险偏好选择、风险容忍度设置等重大方面提供决策支持。四、思考与启示综上所述,内部审计和风险管理的作用和目标相似,内部审计是风险管理的重要组 成部分,风险管理是内部审计的监督对象,内部审计具有参与风险管理的内在动因。内部 审计可以在风险管理实施过程中发挥咨询作用,通过加强风险导向扩大增值作用,甚至对 风险管理进行审计。内部审计要在风险管理中发挥更大作用,还受以下因素制约,需要尽快加以研究和 改进:第一,xx 年浙江内审协会调查表明我国内部审计机构的独立性较差,审计方式落后, 事后审计为主,事前事中审计仅占小部分;第二,我国上市公司、国有企业内部人控制现 象较突出,我国内部审计准则没有要求内部审计介入公司治理领域,影响内部审计职能的 充分发挥;第三,xx 年江苏内审协会的调查结果表明,我国内部审计人员知识结构不合理, 财务背景居多,一线经营管理背景很少,对信息化、计算机技术不熟悉;第四,风险管理 是个新兴管理工具,需要新的理念、方法和工具,给内部审计带来冲击和挑战。
