基于内部审计企业全面风险管理研究.doc

1、基于内部审计的企业全面风险管理研究 摘要：本文在总结内部审计理论和全面风险管理理论的基础上，对内部审计在企业全面风险管理中的作用以及改善进行了研究，提出了内部审计在企业全面风险管理中发挥认定、评价、指引职能的措施和建议。 　　关键词：内部审计 风险管理 内部审计职能 　　随着经济全球化及国际化程度的加深，企业经营环境日趋复杂，经营风险大为增加。企业、行业之间的竞争日益加剧，如何防范风险，加强风险管理，已成为企业经营者面临的重要课题，建立和完善风险管理体系已成为企业生存发展的重要而紧迫的任务。作为企业董事会及其审计委员会和最高管理层控制手段的内部审计，在企业管理尤其是风险管理、内部控制

2、以及公司治理、组织运营中的地位与作用日趋突出，成为关系企业成败兴衰的重要因素。内部审计具有相对独立性，其更能从企业全局角度，清醒识别与评估风险；与外部审计相比，内部审计更能从企业利益与实际出发，积极主动地提出防范风险的有效建议。本文在总结内部审计理论和全面风险管理理论的基础上，对内部审计如何在企业全面风险管理中发挥认定、评价、指引职能进行探讨。 　　一、内部审计与企业风险管理评述 　　（一）内部审计职能内部审计是组织内部的一种独立客观的监督和评价活动，通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计具有认定、评价和指引三项职能。认定职能表现在企业内部审

3、计人对受托人履行受托管理责任的过程或结果进行核实，并予以认定，认定职能是一切审计结论和审计意见、审计建议的基础与前提。评价职能表现在审计人对受托人履行受托管理责任的行为和结果的评价，具体来讲是对受托人某些方面管理活动的过程、结果与既定目标、决策等一系列标准的符合性进行评价；指引职能是当代企业内部审计的重要职能，其表现在审计人员针对管理层涉及企业局部甚至整体的显现与潜在的管理负偏差，提出纠正和预防等改进管理的建议。 　　（二）企业风险管理框架2004年美国反虚假财务报告委员会管理组织（COSO）针对企业界频繁发生的高层管理人员舞弊现象，颁布了全新的COSO报告，即《企业风险管理——整合框架》（

4、EnterpriseRiskManagement－Integrated Framework，简称ERM）。这个框架是在原《内部控制——整体框架》的基础上，结合《萨班斯一奥克斯利法案》（Sarbanes－Oxley Act）的相关要求展开研究得到的。根据ERM框架，“全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标”。ERM框架有三个维度：第一维是企业的目标，包括战略、经营、报告和合规性目标；第二维是全面风险管理要素，包括内部环

5、境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监控等要素；第三维是企业内部各个层次，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是：全面风险管理的各要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从上述方面进行风险管理。企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效，是基于对风险管理要素设计和执行是否正确的评估基础上的主观判断。企业的风险管理要有效，其设计必须包括所有的要素并得到执行。 　　（三）我国企业风险管理的规范近年来我国有关部门和很多企业也逐步认识

6、到风险管理对企业经营的重要性，为了指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，国务院国有资产监督管理委员会2006年6月发布了《中央企业全面风险管理指引》。该指引指出，全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会等部门也于2008年5月发布了《企业内部控制基本规范》。该规范指出，企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况及时进行风险评估。企业开展风险评估，

7、应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。上述指引和规范的发布将会促进我国企业实施全面风险管理，使管理层能够有效地应对不确定性以及由此带来的风险和机会，增强企业创造价值能力。 　　二、内部审计在企业风险管理中的作用分析 　　（一）客观全面的识别风险风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一

8、点。内部审计具有相对的独立性，受单位主要负责人的直接领导，这就使其可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。 　　（二）调控和指导企业的风险策略内部审计部门处于企业董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节，可以调控和指导企业的风险管理策略。 　　（三）内部审计部门的建议更易引起企业领导的重视一些企业尽管设立了风险管理部门，但不具有独立性，其意见往往会屈服于管理层的压力，这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门，其风险评估的意见可以直接向

9、董事会汇报，这样可以加强管理层对内部审计部门意见的重视程度。 　　由此可见，内部审计在企业中发挥着重要作用，其更了解企业面临的风险因素，具有丰富的管理经验，有利于将内部审计的资源和成果与企业风险控制相结合，并减少企业内部机构的重复设置，参与企业风险管理已成为内部审计人员义不容辞的责任。 　　三、基于内部审计的企业风险管理 　　（一）改善风险管理的内部审计工作程序内部审计应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理

10、的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。具体来说，内部审计能够利用以下工作程序改善企业风险管理：一是检查与评价。内部审计可以对企业风险管理体系的充分性和有效性进行评估，主要包括：评价企业战略目标的制定是否在分析组织及行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自身风险偏好来制订；与相关管理层讨论部门目标，评估分解到各部门的具体目标是否与企业整体战略目标一致并拥有足够的支持；评价管理层对风险的识别与评估是否适当；分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度之内；评估风险监控程序是否得到持续、有效执行，监控报告及风险管理报告是否充分、

11、及时。二是管理与协调。内部审计经过长期发展已成为一种专门职业。在企业组织架构中，内部审计具有相对独立性，能够以客观开放的视角清醒地识别和评价风险，并提出防范风险的有效建议；内部审计凭借对企业全面深入的了解以及能够影响决策层的特殊地位，积极参与企业风险体系建设，对风险控制各要素进行组织、管理和协调，推动各个部门乃至整个企业不断提高风险管理的效率和效果。三是顾问与咨询。内部审计人员以咨询顾问身份协助企业确定、评价并实施针对风险进行管理的方法和控制措施：内部审计对组织的了解以及对风险的洞察，具备他人无法企及的优势，能够以建议或咨询的形式，积极协助企业建设风险管理体系或使风险管理体系的建立成为可能；内

12、部审计在改善企业风险管理流程的效果和效率方面，能够集合企业内外资源，高效地协助管理层或审计委员会进行检查、评价并提出建议；内部审计能够运用专业知识进行风险评估与控制培训，使风险意识贯穿于企业各层面，逐步形成全员、全过程、全方位、全天候的风险管理；内部审计所处地位有助其对企业整体风险进行深入研究，并利用现代技术开发适合本企业的风险识别、评估工具和控制方法。四是报告与防范。内部审计能够在风险控制和改进组织风险管理成效方面发挥关键作用。内部审计通过适时与相关部门就风险管理事项进行沟通，检查、评价并报告风险管理过程的充分性和有效性，并按清晰传递的线路对发现的重大风险进行报告，对整改情况进行后续审计，使

13、风险及时得到有效控制和防范。此外，内部审计在运用技术手段评估风险控制程序的充分性和有效性的同时，能够利用自身优势推动风险管理意识成为企业文化的一部分，从而为企业风险防范构筑意识形态上的屏障。 　　（二）改善风险管理的内部审计评价报告风险管理效果评价是分析、比较已实施的风险管理方法的结果与预期目标的偏离程度，以此来评判风险管理方案的科学性、适应性和收益性。由于风险性质的可变性、人们对风险认识的阶段性以及风险管理技术处于不断完善之中，因此，需要对风险的识别、估测、评价及管理方法进行定期检查、修正，以保证风险管理方法适应变化了的新情况。所以，可将风险管理视为一个周而复始的管理过程。风险管理效益的大

14、小取决于是否能以最小风险成本取得最大安全保障，同时还要考虑与整体管理目标是否一致以及具体实施的可能性、可操作性和有效性。企业内部审计机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。内部审计可以通过对以下方面的实施情况和存在缺陷进行评价并提出改善风险管理的评价报告：风险管理基本流程与风险管理策略；企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；风险管理组织体系与信息系统；全面风险管理总体目标。 　　（三）改善风险管理的内部审计方法与手段由于风险管理涉及企业各个部门和各个环节，仅靠董事会及有关委员会、最高管理层和风险管理、内部审计等职能部门，难以实现

15、对整个企业面临的所有风险进行有效管理，因而还必须组织企业内部各级管理层及每个员工协同进行。在此过程中，内部审计人员通过向有关方面反映风险管理的有效做法和负偏差，提出纠正与预防负偏差、激励与推动优良行为等改进风险管理的建议，可以对有关方面开展风险管理起到一定指引作用。内部审计可以采用以下方法改善风险管理：一是进行风险预测和识别。风险的预测和识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程，以确定企业正在或将要面临哪些风险。内部审计要对企业所面临的主要风险进行预测和识别，并找出未被识别的风险。采用的方法包括决策分析、可行性分析、因果分析和专家调查法等。二是对已经存在和将要发生

16、的风险进行评估。企业的内部审计人员应用各种管理科学技术，采用定性和定量分析相结合的方式，预测风险的大小，找出主要的风险源，合理的评价风险可能产生的影响，以此为依据提出对风险采取的相应对策。常用的风险评估方法主要有：调查和专家打分法、风险报酬法及解析方法等。三是提出改进和防范风险的措施。风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计可以根据不同的情况，提出避免风险、接受风险、还是降低风险的具体措施和建议，以强化企业的风险管理，降低风险损失，并对有关部门所采取的风险防范措施进行监督和检查。采用改进和防范的措施主要有：避免风险、损失控制、分离风险单位、转移风险(包括转

17、移风险源、签订免除责任协议、利用合同中的转移责任条款)和投保等。四是压力测试。压力测试是指在极端情形下，分析评估风险管理模型或内部控制流程的有效性，发现问题，并制定改进措施的方法，目的是防止出现重大损失事件。其具体操作步骤如下：针对某一风险管理模型或内部控制流程，假设可能会发生哪些极端情形。极端情形是指在非正常情况下，发生概率很小，且一旦发生，后果十分严重的事件。假设极端情形时，不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训，还要考虑历史上不曾出现，但将来可能会出现的事件；评估极端情形发生时，该风险管理模型或内部控制流程是否有效，并分析对目标可能造成的损失；制定相应措施，进一步修改和

18、完善风险管理模型或内部控制流程。内部审计还可以通过与外部咨询机构合作以补充内部审计技能的不足；为了对企业所面临的各种风险作出反映，优化内部审计人员组合，吸收市场专家、计算机专家、管理顾问、工程师等多种专业人才加入内部审计队伍；通过网络沟通信息、调阅资料；内部审计人员与各经营单位的负责人建立一对一的合作伙伴关系；内部审计部门为下属经营单位指派“教练”，由经营单位负起全面的风险管理责任，而内部审计部门则扮演平等的顾问角色，其作用主要在于指导和影响；内部审计与风险管理部门合署办公，以促进企业风险管理的不断改进；内部审计人员事前积极参与重大决策的风险评估过程，以便在业务开展前识别风险并提出解决方案。

19、 　　四、企业风险管理中内部审计的对策 　　（一）健全和完善内部审计制度要强化对企业全面风险管理的有效性审计，必须建立健全完善的内部审计组织体系，设置独立的内部审计部门，并根据国家有关的法律法规、中国内部审计协会颁布的内部审计准则和企业发展现状，制定内部审计规范和制度。内部审计人员在企业中应努力取得单位决策层的支持，不断提高自身的业务素质，提高识别风险的能力，以此扩展内部审计工作，使内部审计更具生命力。 　　（二）充分发挥内部审计机构的再监督职能风险管理是企业经营管理的重要组成部分，对企业风险管理的有效性开展内部审计，是新形势下企业生存与发展的客观需要，也是董事会及其审计委员会和最高管理

20、层的内在要求。如果将“监督评审”职能视为全面风险管理“宝塔”上的最高级部分，那么内部审计工作就应处于全面风险管理宝塔的尖顶部位。所谓“再监督”就是在各经营管理部门和财务部门两道防线之后的第三道防线。内部审计部门的独立性和应有的权威性，加上其组织系统的垂直性，赋予了该部门行使对内部控制进行再监督和再评价的特殊重要职能。这种重要性主要表现在内部审计人员在严密计划和组织下，能够独立按照审计委员会的要求，有选择地对全面风险管理的各个方面行使其检查职能，并能够将检查评价结果直接反映到高级管理层，且有权督促内部审计监察建议的落实。为强化内部审计部门的监督职能，许多上市公司都成立了独立于经营管理活动之外的审

21、计委员会。 　　（三）帮助各级管理层加强风险管理意识全面风险管理的建设不能只由公司内部的某一部门完成，也不应当完全依赖于外部中介机构。全面风险管理的建设不仅是对制度、流程的完善过程，也是全体员工参与学习的机会。全面风险管理的完善乃至企业整体竞争力提高的关键，是全体员工素质的稳步提高，并培养出一批优秀管理人才。内部审计可以在这方面充分发挥自身优势，一方面运用先进的方法有效地开展风险管理审计，另一方面通过充当风险管理的教练、顾问和合作伙伴或策划人，增强企业内部各级管理层的风险意识和风险管理能力，促进和帮助更多的员工地参加风险管理，使各部门风险管理潜力得到有效发挥。 　　（四）参与全面风险管理策略的制订内部审计是企业董事会、审计委员会和最高管理层开展风险管理的重要手段，企业内部审计人员开展的风险管理审计工作是公司风险管理系统的子系统。为了更好提高全面风险管理的有效性，发挥内部审计的作用，内部审计的重点应从事后的把关，转变为事前、事中介入，要将问题控制在萌芽状态。内部审计应从企业制订全面风险管理策略时就参与介入，即在全面风险管理的策略制订时已溶入内部审计的监督职能和指引职能，这样才能真正发挥内部审计在风险管理中的作用。