內(nèi)部審計參與風險管理的作用

□文/陳書麗 王媛媛 邢慶嬌

內(nèi)部審計參與風險管理的作用

□文/陳書麗 王媛媛 邢慶嬌

內(nèi)部審計是企業(yè)自我約束和監(jiān)督機制的重要組成。2008年全球金融危機為世界各國的企業(yè)敲響了警鐘，風險管理已成為內(nèi)部審計的重要領(lǐng)域。本文從內(nèi)部審計和風險管理的關(guān)系入手、重點分析內(nèi)部審計在風險管理過程中的作用。關(guān)鍵詞：內(nèi)部審計；風險管理；關(guān)系；作用

2001年安然公司爆發(fā)財務丑聞；2002年6月，世通公司爆出會計舞弊，這直接導致了2002年7月美國《薩班斯－奧克斯利法案》的出臺，以及2004年美國COSO委員會《企業(yè)風險管理－整合框架》的出臺，將企業(yè)風險管理的研究提到了一個新的高度。2005年我國內(nèi)部審計協(xié)會出臺了《內(nèi)部審計具體準則第16號－風險管理審計準則》，為內(nèi)部審計人員進行企業(yè)風險管理作出了明確的指導。內(nèi)部審計人員根據(jù)該準則能夠更好地對組織風險管理狀況作出評價并提出可行性建議，幫助組織建立并實施適當、有效的風險管理制度，從而發(fā)揮內(nèi)部審計的作用。

一、內(nèi)部審計與風險管理的關(guān)系

根據(jù)《內(nèi)部審計實務標準》規(guī)定，內(nèi)部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證與咨詢活動，它以系統(tǒng)化、專業(yè)化的方法對風險管理、控制及治理過程的有效性進行評估和改善，幫助組織順利實現(xiàn)目標。根據(jù)這一定義，現(xiàn)代內(nèi)部審計的范圍已從傳統(tǒng)上的財務控制擴大到風險管理層次上，有效的風險管理機制已成為現(xiàn)代內(nèi)部審計關(guān)注的焦點。

（一）風險管理是內(nèi)部審計的一項新內(nèi)容。由《內(nèi)部審計實務標準》中對內(nèi)部審計的規(guī)定可知，風險管理歸入到內(nèi)部審計的日?；顒又?，拓寬了內(nèi)部審計的內(nèi)容和領(lǐng)域，強調(diào)內(nèi)部審計是針對風險管理、控制和治理過程的有效性進行評價和改善所必需的。風險管理已成為內(nèi)部審計的重要職責和尋求自身發(fā)展的巨大推動力。

（二）內(nèi)部審計是風險管理系統(tǒng)不可或缺的部分。企業(yè)風險管理是一項綜合性較強、全員參與的工作，內(nèi)部審計也是這一管理體系中的重要組成部分。由于在企業(yè)組織結(jié)構(gòu)中具有相對獨立的地位，使內(nèi)部審計發(fā)揮的作用是企業(yè)其他部門無法替代的。內(nèi)部審計人員可能通過對管理者風險管理過程的充分性和有效性進行監(jiān)控、檢查、評估、報告和提出改進建議來幫助管理者和董事會或?qū)徲嬑瘑T會履行其職責。

（三）內(nèi)部審計與風險管理目標上的一致性。從風險管理的定義看，風險管理就是通過對面臨的各種風險的認識、估測、評價，準確把握各種不確定性，采取恰當?shù)膬?nèi)部方法，以便用最低的成本獲得最高的安全保障，將損失降至最低水平，直接服務于企業(yè)目標的。2005年IIA對內(nèi)部審計的定義做了修訂，即內(nèi)部審計是一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的經(jīng)營。它通過應用系統(tǒng)的、規(guī)范的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現(xiàn)其目標。內(nèi)部審計部門經(jīng)過收集資料、識別并評價風險的過程之后，對企業(yè)管理層及其他職能部門的見解更為深刻，而且這些見解是富有價值的，而企業(yè)管理者采納、利用這些有價值的信息后，一方面可以借此消除各種減值因素，包括風險因素、控制漏洞、治理缺陷等；另一方面可以將這些有價值的信息應用于經(jīng)營管理活動，從而達到使企業(yè)增值的目的。從這個意義上來說，風險管理與內(nèi)部審計在其目標上是相一致的。

（四）風險管理將主導內(nèi)部審計的變化。內(nèi)部審計盡管在企業(yè)風險管理中占有較重要的地位，但因內(nèi)部審計在風險管理系統(tǒng)中主要承擔評估和建議職能，即使參與風險管理方法和政策的制定過程，也只能是配合企業(yè)專業(yè)的風險管理部門，或是向其提出參考意見。這樣，風險管理政策的變化一般會發(fā)生在內(nèi)部審計技術(shù)變化和更新的前面，也就是說，風險管理的變化會主導著內(nèi)部審計的變化。

二、內(nèi)部審計在風險管理中的作用

IIA指出，風險管理是一項重要的管理責任。組織要實現(xiàn)其業(yè)務目標，管理層應該保證組織擁有健全的風險管理過程，并能發(fā)揮作用。內(nèi)部審計作為風險管理的一種手段，在改善組織運營、提高風險管理和公司治理、增加組織價值等方面發(fā)揮著尤為重要的作用。這就是說，內(nèi)部審計師應當通過審查、評價、報告風險管理過程的適當性和有效性并提出改進建議來協(xié)助管理層和審計委員會的工作。

（一）內(nèi)部審計在已建立風險管理機制企業(yè)中的作用。建立、健全風險管理機制并使之有效運行，是組織管理層的責任。在已建立風險管理機制的組織中，內(nèi)部審計部門和人員應該起關(guān)鍵作用。

1、內(nèi)部審計部門和人員發(fā)揮監(jiān)督與評價的作用。評價企業(yè)風險管理目標的合理性，企業(yè)風險管理的目標是指企業(yè)通過實施風險管理將風險控制在一個可接受的水平，從而保證企業(yè)目標的實現(xiàn)。內(nèi)部審計在評價企業(yè)風險管理目標時，要對本企業(yè)的風險狀況進行分析，不同企業(yè)應對損失的能力有所不同，因而所設(shè)定的風險可接受水平是不同的。不同的風險管理目標，決定著具體的損失前目標和損失后目標的不同，實現(xiàn)這些目標所進行的風險管理活動也就不同。內(nèi)部審計人員應當結(jié)合企業(yè)的戰(zhàn)略目標來評價企業(yè)風險管理目標。具體論述而言，內(nèi)部審計部門所進行的風險管理是在一般部門所進行的風險管理基礎(chǔ)上的再監(jiān)督，即監(jiān)督與評價是其主要職能，而企業(yè)風險管理包括三個主要階段：風險識別、風險評估和風險應對，內(nèi)部審計要發(fā)揮監(jiān)督與評價作用，就應著重對風險識別、風險評估、風險應對進行審查與評價。

2、內(nèi)部審計部門和人員發(fā)揮咨詢與建議的作用。風險管理是一個復雜的系統(tǒng)工程，在一個組織內(nèi)部應當明確職責分工，各司其職。董事會負責制定戰(zhàn)略目標，高層領(lǐng)導各負責一個方面的風險管理責任，其他管理人員由管理層分配給一部分工作，操作人員負責日常監(jiān)控，而內(nèi)部審計人員則負責定期評價和保證工作。如果管理層提出建立風險管理機制的要求，內(nèi)部審計人員可以運用自己在風險管理方面的專業(yè)知識，從獨立客觀的角度為管理層和審計委員會提供有價值的咨詢服務，提高企業(yè)的風險管理水平，但不能超出正常的保證和咨詢范圍，以免損害獨立性。內(nèi)部審計可以在改善管理層的風險管理流程的效果和效率方面，協(xié)助管理層和審計委員會進行檢查、評價、報告和提出建議。管理層和董事會對本組織的風險管理和控制流程負責。內(nèi)部審計的職能主要是對風險管理和控制流程進行監(jiān)督和評價，通過對評價過程中發(fā)現(xiàn)的管理上的漏洞，向管理層提出改進建議，可以促進管理水平的提高。

3、內(nèi)部審計發(fā)揮報告與防范的作用。內(nèi)部審計部門通過及時傳遞并督促落實風險審計的成果，使各類風險因素得到有效的控制和防范。審計發(fā)現(xiàn)如何傳遞、審計成果如何利用、舞弊風險如何防范等都將直接關(guān)系到內(nèi)部審計在風險管理監(jiān)督體系中的價值和作用。（1）內(nèi)部審計通過適時與相關(guān)部門就風險管理事項進行溝通，檢查、評價并報告風險管理過程的充分性和有效性，并按清晰傳遞的線路對重大的審計發(fā)現(xiàn)進行報告，對整改情況進行后續(xù)審計，使風險及時得到有效控制和防范；（2）內(nèi)部審計在運用技術(shù)手段評估風險控制程序的充分性和有效性的同時，能夠利用自身優(yōu)勢推動風險管理意識成為企業(yè)文化的一部分，從而為企業(yè)的風險防范構(gòu)筑意識形態(tài)上的屏障。

（二）內(nèi)部審計在尚未建立風險管理機制企業(yè)中的作用。內(nèi)部審計是一種獨立、客觀的監(jiān)督、評價活動，內(nèi)部審計的目標是評價并改善風險管理、控制和治理程序的效果，因此對于尚未建立風險管理過程的組織，內(nèi)部審計師應該提請管理層注意這種情況，并同時提出建立風險管理過程的相關(guān)建議。在我國，風險管理是一個新的課題，有些組織剛開始探索風險管理活動，而更多組織的風險管理實務尚未展開，內(nèi)部審計師更有責任和義務提出改進建議，幫助組織管理層建立、健全適當、有效的風險管理機制。

國內(nèi)外審計實踐表明，對風險管理的審計報告更容易被管理層所接受，管理層也更容易理解內(nèi)部審計存在的意義。因此，內(nèi)部審計師應該協(xié)助管理層在初步建立風險管理過程的工作中發(fā)揮積極的作用。也就是說，內(nèi)部審計可以促進企業(yè)風險管理機制的建立或使風險管理機制的建立成為可能，但是他們不應該“擁有”已確認的風險或負責對這些風險的管理。

（作者單位：河北經(jīng)貿(mào)大學）

[1]高學余，吳婧婷.內(nèi)部審計與風險管理的融合.國際財務商會，2009.

[2]林麗葉.論內(nèi)部審計在風險管理中的作用.漳州職業(yè)技術(shù)學院學報，2008.

[3]李琪.風險管理與內(nèi)部審計研究.財會·統(tǒng)計，2008.

[4]周融融.現(xiàn)代企業(yè)風險管理和內(nèi)部審計.上海外國語大學，2008.

F239

A