内部审计与风险管理论文
摘要:内部审计是风险管理的一种方法、手段,而风险管理则是内部审计的一项新的内容、一个新的领域;内部审计参与风险管理既有客观环境要求,也有本身发展渴求;内部审计在风险管理中的作用,体现在对风险的把握和控制,并促进公司治理和内部控制的完善上;内部审计参与风险管理,要评价风险管理过程的充分性和有效性、评价已有风险衡量的恰当性、评估风险防范措施的充分性。
关键词:内部审计;风险管理
一、内部审计与风险管理关系
(一)风险管理。
风险是在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性,它具有客观性、普遍性、必然性、可识别性、可控性等特点。风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据风险管理的定义,可以得出以下结论:风险管理是指识别风险并设计控制风险的方法,其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理,首先要求在组织中发现那些高风险暴露的领域,对高风险暴露点的识别要通过对组织的分析进行。其次,将分析的结果与认为可接受的风险水平相比较。
最后,实施必要的变革,使组织的风险暴露水平与其所设定的目标相一致。
(二)内部审计与风险管理关系。
2004年国际内部审计师协会(IIA)在其修订的《内部审计实务标准》中将内部审计认定为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”这一定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
可见,内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势来看,内部审计不仅越来越关注风险,同时,也是风险管理的重要组织部分。内部审计更强调确认经营风险是否得到有效管理,由对交易事项和政策的遵循的评价,转变为对目标、战略和风险管理程序的关注;内部审计的建议更加强调风险规避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效果和效率。
二、内部审计参与风险管理的必要性
(一)企业面临的风险日益增大。
近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,使企业经营环境变得日趋复杂,企业经营风险也大大增加。因此,减少企业面临的风险是组织实现目标的关键,也是企业的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是企业的管理咨询师,因此,内部审计部门和内部审计人员参与企业的风险管理也就顺理成章了。
(二)内部审计作为内部控制的重要部分,与风险管理密不可分。
内部控制与风险管理的联系日趋紧密。在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理问题进行深入思考。比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益等。执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。内部审计又是企业内部控制的重要一环,实际上是对这些风险控制政策的再监督。
(三)内部审计对发展的渴求。
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。正因如此,内部审计师的职业组织———国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
(四)外部审计的影响。
近年来,注册会计师的业务领域不断扩展,其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这不能不对内部审计界产生影响,因为内部审计部门和审计人员在风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计部门和内部审计人员对企业面临的风险更了解;内部审计部门和内部审计人员对防范企业风险、实现企业目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
三、内部审计在风险管理中的作用
在新的内部审计模式下,内部审计将参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改善风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险专家,通过对风险的把握来评价公司的治理与内部控制,并促进公司治理和内部控制的改善,从而实现对风险的掌握与驾驭。
(一)控制、指导企业的风险策略。
内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配给一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作,因此能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理策略。
(二)管理与协调企业的风险。
内部审计具有相对的独立性。内部审计经过长期的发展已经成为一种专门的职业,它有自己的职责说明,职业道德规范,专门的实务标准,还被誉为内部控制专家和风险管理专家,得到社会的承认。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,克服具体业务部门的片面性,清醒地识别和评价风险,提出防范风险的有效建议。内部审计可以以其对组织全面而深入的了解,客观而开放的视角,以及可以影响管理高层的特殊地位,积极地支持和参与风险管理过程,对风险管理过程进行管理和协调,促进被审计部门经营和管理的改善,赢得他们的信任和尊重。
(三)检查与评价企业的风险。
内部审计可以通过运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层或审计委员会提供帮助。其中包括:
(1)确定风险领域:内部审计通过分析企业所面临的风险,特别是灾害性风险,以及产生新风险的环境因素,在了解风险的基础上,提出防范风险的建议,让董事会识别风险,确认接受风险的程度,制定风险政策,指导企业有效地使用内部资源。
(2)评价风险控制程序的有效性:内部审计通过评价企业高级管理层制定的风险控制程序是否适当和有效,是否满足董事会接受风险的程度,提出改进风险控制程序的建议。
(3)检查风险管理过程的效果:内部审计通过检查和测试财务、经营和合规性控制程序,发现持续存在的风险,评价风险管理过程的效果,提出如何改进风险管理,为企业提出增加价值方面的建议。
(四)风险评估的意见更易引起重视。
有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
四、内部审计如何参与风险管理
与一般的风险管理部门进行的风险管理相比,内部审计部门所进行的风险管理既与其有紧密的联系,又有区别。他们的联系表现在,两者的目的是统一的,都是为了降低企业的风险;两者的'区别在于他们在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计部门进行的风险管理过程与一般风险管理过程具有相同点和不同点。内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括以下三个方面:(一)评价风险管理过程的充分性和有效性。
主要从以下几个方面进行评价:
(1)评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订;
(2)与相关管理层讨论部门的目标,看分解到各部门的目标是否对战略目标提供足够的支持;
(3)评价管理层对风险的识别和评估是否准确;
(4)分析控制措施是否完善,是否可以使企业风险发生的可能性和影响都落在风险容忍度之内;
(5)风险监控是否持续得到执行,监控报告制度是否恰当,风险管理报告是否充分、及时。
(二)评价已有风险衡量的恰当性。
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:调查和专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法等。
(三)评估风险防范措施的充分性,并提出改进措施。
风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,以强化企业的风险管理,降低风险损失。采用的方法有:避免风险、损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等。
综上所述,内部审计涉足风险管理领域有其客观必然性,是环境因素和其本身因素使然。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督。
实践证明,最有效的风险管理是组织内部的自我监督和管理。组织应将事后监督彻底独立于前台业务之外,形成平衡制约的关系,努力提高内部审计的有效性。
【内部审计与风险管理论文】相关文章: