- 相关推荐
试论内部审计与风险治理之间的关系
【摘 要】 文章从内部控制与风险治理之间的内在关系进手,探讨了内部审计与风险治理中的互动关系和目标上的一致性。指出内部审计在企业风险治理中的角色是监视者,并提供保证和咨询服务。【关键词】 内部审计; 风险治理; 角色定位
自20世纪90年代起,西方很多大型企业内部审计部分开始对企业的风险治理进行评估与监视,以实现企业经营目标的安全性、效任性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜伏风险,加强风险治理,并在风险治理方案的制定、执行、评估与监视等方面进行公道分工,以保证风险治理的效率。而在整个风险治理过程中又必然涉及多个部分的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部分在企业中的超然地位以及独立评估和监视的特殊职能,正好满足了这一要求。因此,企业风险治理必然要将内部审计纳进自身体系。
随着企业所面临风险的增加,风险治理成为了企业治理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过往只是作为企业财务监视者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险治理、控制和治理程序。这样,企业风险治理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险治理的互动关系
(一)内部审计定义中包含有风险治理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险治理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险治理、控制及监视过程进行评价进而进步它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险治理,比旧定义中提及的控制及经营活动要更为广泛和深进。只有在风险治理框架中实施的内部审计才能称之为风险治理审计。显然,将“评价和改善风险治理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,进步审计服务质量等提出了较高的要求。
(二)风险治理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理职员对风险空前重视,为内部审计发展提供了一个尽好的机会。内部审计对风险治理的参与,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险治理作为内部审计的重要领域直接写进了内部审计的定义。 三、内部审计与风险治理目标上的一致性
风险治理的定义指出:“企业风险治理是一个由企业的董事会、治理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部分的,用于识别可能对企业造成潜伏影响的事项并在其风险偏好范围内治理风险的,为企业目标的实现提供公道保证的过程。”风险治理就是通过对面临的各种风险的熟悉、估测、评价,正确把握各种不确定性,采取恰当的内部方法,以便用最低的本钱获得最高的安全保障,将损失降至最低水平。风险治理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并进步机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、熟悉并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营治理职员。”根据这一解释,增加价值的目标应由企业的各个职能部分来共同完成,而内部审计部分作为企业的职能部分之一,也应该努力增加企业的价值;同时,内部审计部分经过收集资料、识别并评价风险的过程之后,对企业治理层及其他职能部分的见解更为深刻,而且这些见解是富有价值的,而企业治理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营治理活动,从而达到使企业增值的目的。从这个意义上来说,风险治理与内部审计在其目标上是相一致的。
上述种种使企业风险治理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险治理方案时,将内部审计列为风险治理的一道重要防线,由内部审计对整个风险治理流程进行评估和监控;有的企业还特地安排内部审计直接参与风险治理方案的制定和执行全过程,以发挥内部审计在风险治理中的突出作用。与此同时,内部审计也将风险治理作为“为组织增加价值”的重要手段。
四、内部审计在风险治理中的角色定位
COSO在《企业风险治理——整合框架》中的“职能和责任”章节,阐明各治理层在全面风险治理中的地位和职责,并指出组织里的每个人对全面风险治理都有责任。首席执行官承担终极责任,其他治理职员支持全面风险治理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他职员通常承担关键的支持性责任。组织的其他职员负责按照制定的指令和协议执行全面风险治理。这明确表明,内部审计对全面风险治理的建立并没有基本责任,这是高级治理层的责任。内部审计职员的重要角色是,帮助治理层和审计委员会监视、检查、评估、报告、建议全面风险治理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,实在务公告——“内部审计在风险治理中的作用”指出,风险治理是治理职员的关键职责,内部审计职员应该通过检查、评价、报告风险治理过程的充分性和有效性并提出改进建议来协助治理职员和审计委员会的工作。治理层和委员会负责机构的风险治理和控制过程,以咨询顾问身份开展工作的内部审计职员可以协助机构确定、评价并实施针对风险的治理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业治理层,内部审计职员应立足于协助、帮助治理层和审计委员会履行风险治理的职责,主要职责是对整个风险治理过程进行评价,认定并评价治理的充分性与有效性,向治理层和审计委员会报告情况并提出改进治理的建议,以此保证风险治理的有效性。因此,内部审计在企业风险治理框架中首要的角色是监视者,包括对风险治理流程的评估和保证服务、对风险评估正确性的保证服务、对关键风险报告的评估和对关键风险治理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险治理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监视者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险治理活动、加强对风险的报告、保持和发展风险治理框架、支持建立风险治理、参与制定风险治理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1] 刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
[2] 方红星,译.企业风险治理—整合框架[M].大连:东北财经大学出版社,2005(9):109.
[3] 国际内部审计师协会2003年修订:内部审计实务标准[M].北京:中国时代经济出版社,2004.
【试论内部审计与风险治理之间的关系】相关文章:
浅析内部审计新模式-风险导向内部审计06-07
试论我国内部审计职能06-07
浅谈内部审计风险控制(精选7篇)04-26
内部审计风险及应对措施探讨的论文08-23
审计重要性审计风险及审计证据的关系论文(精选5篇)05-12
内部审计论文02-13
试论存货审计中应关注的审计程序05-08
内部审计与ERP初探06-09
浅谈经营失败审计失败与审计风险05-10