第4期 闽西职业技术学院学报 No.4 2006年12月 Journal of Minxi Vocational and Technical CoUege December 2o06 没议呐{}P审计与企业风险管理 连红 (新罗区供销社,福建龙岩364000) 摘要:随着经济全球化的发展,企业在经营中的不确定因素增加,面临更加复杂的风险环境。内部审计与风险管 理的有效结合。可以有效提高企业抵御风险的能力。COSO风险管理框架对我国企业在内部审计与风险管理的有效 结合上具有一定的启发和借鍪意义。 关键词:内部审计;企业风险管理:COSO风险管理框架 中图分类号:F239.45 文献标识码:A 文章编号:1673--4823(2006)04—0046-04 Discussion on internal auditing and enterprise risk management LIAN Hong (Supply&Sale Association of Xinluo Distirct,Longyan,Fujian,364000.China) Abstract ̄With the development of economic globalization,the enterprise will face mole complicated risk enviornment due to the increase of uncertain dements in business operation.The effective combination of intemal audiitng and risk management carl enhance the enterprise S ability of withstanding changeble risk.To our country S enterprises,COSO risk management framework has certain signiifcance of inspiirng and using for reference in the effective combination of internal auditing and risk management. Key words:internal auditing;enterprise risk management;COSO risk management ̄amework 美国内部审计协会在2001年修订的《内部审计实务标 测的环境中做出正确的决策。 准》中明确要求内部审计参与风险管理和公司治理过程。 (二)风险管理有利于保护资产的安全与完整 2o04年美国反虚假财务报告委员会(COSO)颁布了《企业风 一般来说.企业的资产不论是有形资产、无形资产还是 险管理——总体框架》(ERM),将内部审计体系与企业风险 人力资源。它们的安全与完整是存在风险的。如企业的人才 管理整合到了一起.标志着两者将共同成为公司治理的强大 是一种人力资源,但如果他离开了企业。企业就不再拥有这 工具。我国内部审计协会也于2005年颁布《内部审计具体准 种资源。不再获得这种资源带来的利润。为了保证有足够的 则第16号——风险管理审计》作为企业将风险管理与内部 资源进行经营生产.使自己的资产不至于遭受损失.企业必 审计结合的规范化要求。内部审计参与风险管理已经成为内 须采取各种有效的措施对风险进行监控。 部审计发展的趋势。随着全球化的发展.市场竞争激烈化程 (三)风险管理有利于实现营运活动的目标 度的提高.这两者的协调与整合也必将成为企业减小风险, 企业营运活动的目标就是要实现股东价值最大化。为了 取得成功的有利武器。 达到这个目标。企业必须以最有效率的方式进行生产经营。利 一、加强企业风险管理的重要性 用有限的资源获得尽可能多的利润.从而达到利润最大化。但 (一)风险管理有利于企业做出正确的决策 是企业在经营管理活动中对资源难免存在使用不当而浪费的 在世界经济全球化发展的时代趋势下.企业经营环境中 情况,这就是企业的一种风险。所以对风险进行有效的管理就 的不确定因素在增加,决策也更加困难。企业只有建立有效 是要减少或控制这种可能产生损失的因素,实现营运活动目标。 的风险管理机制。充分认识到经营中的风险,并且分析各种 二、内部审计与企业风险管理的关系 风险。使风险所带来的损失降低到最小程度.才能在变幻萸 随着时代的发展,内部审计与风险管理正发生着越来越 【收稿日期】2OO6一O5~O8 [作者简介]连红(1967一),士,福建武平人,会计师,主要从事财务会计及审计工作。 维普资讯 http://www.cqvip.com
紧密的联系。事实证明,内部审计参与风险管理对双方都是 告中供他们作决策时参考。 2、在风险事件识别中的职能 所谓风险识别就是要确定企业正在或将要面临哪些风 互惠互利的。内部审计和风险管理的结合不仅为内部审计自 身提供了发展的契机,而且作为企业内部的一种独立、客观 的保证工作和咨询活动,内部审计能够提高风险管理的效率 和效果。无论是内部审计还是风险管理都能从双方的结合中 险。通过风险识别活动,企业要识别出能够影响企业的所有 风险事件,并将风险轮廓准确、完整地勾勒出来。内部审计部 门和人员在这一活动中的主要工作是判断企业是否已经将 面临的主要风险均识别出来,如果有未被识别的风险.应提 醒管理层引起重视。 提高效率,创造价值。 (一)内部审计参与风险管理的优势 内部审计参与企业风险管理具有外部审计以及其它职 能部门无可比拟的优势.体现在以下四个方面: 1、内部审计能够客观地、从全局的角度来管理风险 内部审计人员是企业的内部人员,他们对企业有更高的 忠诚度,泄露商业秘密的可能性较小。而且他们可以通过对企 业进行日常审计了解公司各个业务环节的情况。较外部审计 人员更易于收集各种必要的资料,能够更加准确地认识到风 险的所在。此外,对风险的认识和防范、控制需要从全局出发. 内部审计部门由于不从事具体业务活动,独立于业务管理部 门,更能从企业的全局出发。从客观的角度,更清醒地识别和 评估风险,从而建议管理部门采取措施防范和控制风险。 2、内部审计能够控制、指导组织的风险策略 在风险管理过程中.管理层对风险管理是负有主要责任 的,但内部审计人员能够在管理层的风险决策方面提供建 议、质疑或者支持,从而对企业的风险策略施加影响。内部审 计自身的特点使他们能够提供更加具有针对性的建议,达到 控制、指导企业的风险管理战略的目的。 3、内部审计部门的建议更容易引起重视 一般来说。企业的风险管理部门属于管理部门的一个职 能部门,对总经理负责,不具有独立性,当它的意见与管理层 不相符时,往往会屈服于管理当局的压力,使企业遭受不必 要的损失。而内部审计部门独立于管理部门,其风险评估的 意见可以直接报给董事会,因此内部审计机构提出的建议更 容易引起重视。 4、内部审计对防范风险、宴现组织的目标有更强的责任感 可以说.内部审计发展到今天。防范和化解企业所面临 的风险已经是其本职工作要求。公司设立内部审计部门,不 仅是要查错防弊,更要求其能够通过日常的调查、分析、评估 和预测,发现公司在经营活动中存在的风险。内部审计应及 时发现风险,向管理当局提出解决或防范的建议.从而帮助 企业更好地管理风险.增加企业价值。 (二)内部审计在风险管理中的职能 1、在风险环境分析中的职能 在国际化的大趋势下.企业面临着越来越复杂的社会环 境,为了更好地识别风险,就必须对存在风险的环境进行分 析。内部审计在风险环境的分析中要评价企业的“固有风险” 和“剩余风险”。内部审计人员要分析风险性质和影响程度的 变化.进一步再考虑组织机构的风险变化和控制措施是否能 与环境的变化相符,并将分析结果反映在给管理层的审计报 3、在风险评估中的职能 企业在风险评估活动中要从风险发生的可能性和影响 两方面对已识别的风险事件进行定量分析和定性分析。风险 评估是一种主观性很强的活动.而内部审计人员由于独特的 独立地位,可以从更加客观的角度对风险进行评估.提供专 业意见。同时,对已有的风险评估结果内部审计人员可以进 行再检验,以确定其是否恰当.对不恰当的评估予以更正。 4、在风险反应中的职能 企业在对风险进行评估后.内部审计人员的主要工作就 在于根据企业的风险容忍度和成本一效益原则分析、评价风 险回报的合理性。帮助企业判断哪些风险是可以接受的。哪 些风险需要被转移和分担,以及采取措施的有效性。 5、在控制活动中的职能 企业在风险管理的过程中要通过设计业务控制程序来 保证风险管理措施的落实,内部审计人员在进行审计活动 时,都要测试这些控制程序的有效性,这本身就是内部审计 工作的重要环节。内部审计部门和内部审计人员可以对有关 部门针对风险所采取的防范措施进行检查.确保风险措施得 到有力的贯彻,取得应有的效果。如果发现存在风险缺乏克 分的控制措施的情况,内部审计部门应提出改进措施和建 议。以帮助企业管理风险,降低风险损失。 6、在风险信息沟通中的职能 内部审计人员提供的评估报告可以证明风险信息被准 确、及时地传达给相关人员。董事会和审计委员会也可以从 内部审计的报告中得到风险是否被有效管理的信息.同样。 内部审计职能的设立对债权人和其他外部利益相关者来说 本身就是企业具备有效风险管理的一个证明,使他们对公司 的风险管理的信任度提高。 7、在风险管理系统监控中的职能 为了保证企业对风险的管理是一直有效的,企业需要对 风险管理进行持续监控。其中包括对内部控制系统的运行的 监控和对定期检蠢结果及意外事项的处理结果的评价。内部 审计人员在日常审计中要分析环境和风险的变化,检查内部 控制系统能否得到更新。是否能控制新的风险,而在后续审 计- 检查发现问题处理情况,检查新的控制措施是否有效. 将分析结果和建议提供给管理层以便改进控制措施。 (三)内部审计在风险管理中的作用 1、监督企业风险管理体系。通过内部审计,可以发现企 47 维普资讯 http://www.cqvip.com
业是否已经建立了风险管理体系;已经建立的风险管理体系 是否涵盖了企业的决策、经营、生产、财务等主要风险方面; 风险管理体系是否在涵盖的几个方面正常运行;风险管理体 系是否发挥了应有的作用等。 2、监督企业风险管理体系管理制度。这是重点监督的内 容,因为没有好的管理制度,所谓风险管理形同虚设。通过部 门审计.可以检验出企业风险管理体系总体管理制度以及各 个分系统的管理制度等是否切实有效、利于执行。 3、对风险管理过程的有效性进行评价。通过内部审计, 可以评价企业战略目标的制定是否是在分析组织和行业的 发展情况和趋势、企业的优势和劣势、外部的机会和威胁的 基础上结合企业风险偏好来制订;评价管理层对风险的识别 和评估是否准确;分析控制措施是否完善,是否可以使企业 风险发生的可能性和影响都落在风险容忍度之内;分析风险 监控是否持续得到执行,监控报告制度是否恰当,风险管理 报告是否充分、及时。 4、对企业风险管理体系中发现的问题进行及时分析和 研究。提出审计建议,作为高层领导改进风险管理的参考意 见。内部审计在该方面的作用包括:进行控制和风险评估培 训。使风险意识贯穿于整个企业的各个层面,并且使每名员 工能够有效识别风险并提出有效控制措施,实施企业全员、 全过程、全方位、全天候的风险管理;针对重大风险隐患,要 集合企业内外部的专家进行专题研讨。审计人员既是组织 者。又是参与者,同时也是学习者;对风险管理进行深入研 究.利用现代技术开发适合本企业的评估工具。 (四)风险管理对内部审计的意义 内部审计也能从与风险管理的结合中得到发展的契机, 体现为以下两个方面: 1、内部审计参与风险管理可以巩固自身地位、获得独特 优势。近年来。内部审计遭遇到了空前的生存危机,企业对内 部审计部门的重视程度降低。现在有许多注册会计师事务所 也为企业提供内部审计服务。而基于成本的考虑,很多企业 倾向于选择将内部审计交给注册会计师。内部审计部门是否 还有存在的必要?这种生存危机使内部审计必须寻求差异化 的存在方式,为组织提供独特的增值服务。参与风险管理正 是这样一条途径。从上面我们可以知道,内部审计在参与企 业风险管理方面还是有着注册会计师无法达到的优势的。由 此内部审计通过参与风险管理获得了独特性,巩固和提高了 在组织中的地位。 2、内部审计参与风险管理扩大了工作范围、改变了在组 织中的行为方式。我们都知道。传统内部审计通常是事后对 某一件事的评价,而风险管理则是对可能影响组织的风险事 件的管理。它贯穿于事前、事中和事后并且对整个企业的活 动都产生影响。内部审计一旦与风险管理结合,其工作范围 自然就扩大到企业管理的全部领域和过程。而且,内部审计 在参与风险管理的过程中。通过集中全面评估企业的风险和 48 机会可以影响管理层的决策。这就使内部审计由传统的应管 理层要求提供鉴定的被动服务方式,转变为根据审计评估的 结果向管理层提供保证和咨询的主动服务方式。 三、内部审计与企业风险管理结合的方法 内部审计和风险管理间具有很高的整合性。内部审计在 监督、评价企业风险管理有效性,帮助改进风险管理的同时, 其本身就是企业风险管理体系的重要组成部分。内部审计和 风险管理的结合有一些基本的方法,而对于我国企业来说, 还要充分借鉴COSO风险管理框架。尽快建立独立的风险管 ’理流程和机构。以应对激烈市场竞争带来的挑战,求得生存 和发展。 (一)内部审计与企业风险管理结合的基本方法 1、风险管理审计 企业风险管理审计又叫风险管理基础审计.是指企业内 部审计部门采用一种系统化、规范化的方法来进行以测试风 险管理信息系统、各业务循环以及相关部门的风险识别、分 析、评价、管理及处理等为基础的一系列审核活动,对机构的 风险管理、控制及监督过程进行评价进而提高过程效率,帮 助机构实现目标。作为一种9O年代后期出现的审计形式。风 险管理审计已经被许多跨国公司应用在风险管理上。我国内 部审计协会也在2005年发布了<内部审计具体准则第16 号——风险管理审计》作为企业实行风险管理审计的规范化 要求。对企业而言,风险管理审计本身已经成为企业风险管 理的重要组成部分,而且应当和内部审计的其他形式一样, 在企业中定期进行。 内部审计机构实行的风险管理审计。审计目标主要是确 定企业战略目标,风险管理策略和相应的经营风险(固有风 险),并评价企业是如何实施风险管理的有效性从而实现企 业目标。为了达到这个目标,内部审计人员应该从风险管理 活动设计的有效性,风险管理活动执行的有效性,风险责任 人报告的有效性,报告信息的完整性,信息传递的及时性和 风险控制领域的完整性等几个方面对企业的风险管理进行 审计。内部审计师应确认组织的企业风险管理是否满足实现 战略、高效运作、客观报告、遵守法规的目标,从总体上对风 险管理体系的准确、可靠、充分和有效发表审计意见。而在企 业引入新产品和新业务,企业风险管理体系出现重大变动或 者存在严重缺陷的情况下。还应当扩大风险管理审计的范围 和增加审计的频率。 2、自我控制评价 自我控制评价是由管理人员和内部审计师共同合作,评 价企业内的控制程序是否有效进行的方法。这是一系列词查 和探讨的过程,让直接执行工作的管理人员和工作小组与内 部审计部门一起确认风险,评价控制过程,开发行动计划、确 定实现目标的可能性。通过和管理人员的沟通,内部审计师 可以从自我控制评价项目中获得风险管理的相关信息,从而 判断风险控制程序的有效性。为了保持良好的沟通,企业应 维普资讯 http://www.cqvip.com
建立正式成文的规定和程序,使内部审计人员与操作部门的 管理人员和工作小组建立良好的合作关系,顺利得到他们想 要的信息,更好地协助管理人员履行其在企业风险管理框架 中的职责。 3、管理建议 内部审计机构在提供审计服务的同时可以就风险管理 有关问题向管理层提供咨询服务或根据发现的问题提出管 理建议,但要考虑内部审计人员的专业胜任能力。根据不同 企业风险管理的完善情况,内部审计可以提供不同程度的服 务,如在尚未建立企业风险管理时.内部审计机构应该主动 承担起风险管理的责任.就执行审计项目时发现的风险问题 提请管理层和董事会注意,并提出相关建议。而在开始建立 企业风险管理体系的前提下。内部审计要帮助企业建立风险 管理机构,在必要时提供有价值的咨询意见。当企业风险管 理逐步成熟以后,内部审计可以协助风险管理部门提供专项 的风险管理咨询服务,也可以在提供服务的同时以管理建议 书形式就发现的问题提出管理建议。 4、管理协调 在一个组织没有建立风险管理体系的情况下.因为内部 审计与风险管理得天独厚的联系.内部审计师通常要承担管 理协调的责任,协助管理层完成企业风险管理的初步建立工 作。近年来有的企业更是直接将内部审计部门改为了风险管 理部门。内部审计部门的管理协调工作一般是应董事会的要 求,因此本身并不承担风险管理的责任。管理协调的主要工 作包括参与制定风险战略、指导风险评估和风险分析。协调 实施风险管理措施等。 应该指出,这四种基本方法并不是相互独立、泾渭分明 的,它们是一种互为基础、彼此渗透的关系。风险管理审计是 一种最直接的内部审计参与风险管理的方法。但其作用的发 挥离不开对风险管理信息的有效收集.因此自我控制评价和 管理建议提供的信息可以帮助内部审计师规划审计工作的 重点,合理分配审计资源;而如果内部审计没有采用风险管 理审计方法就不可能担任咨询角色:开展咨询服务时了解到 的风险情况,会帮助内部审计师查找、评价机构的重大风险 因素。内部审计人员应当综合利用这四种方法。积极地参与 企业风险管理。 (二)C0S0风险管理模式在我国的应用 COSO是美国国家反虚假财务报告委员会赞助机构研究 小组Committee of Sponsoring Organization of the Treadway Commission的英文缩写。COSO的研究报告包括《虚假财务报 告:1987—1997上市公司》,《衍生工具使用的内部控制问题》, 《内部控制:整合性框架》和《企业风险管理一一总体框架》等。 《企业风险管理一一总体框架》中的主要内容。即常称COSO风 险管理模式(ERM)。COSO风险管理框架把企业风险管理分 为内部环境、目标制定、事项识别、风险评估、风险反应、控制 活动、信息和沟通、监控等八个相互关联的要素.各要素贯穿 在企业的风险管理过程之中。并明确董事会、管理者、风险管 理员、内部审计人员等相关人员在风险管理中的责任。 COSO模式要求企业建立综合的风险管理框架.这种管 理的核心是内部审计工作要超越企业内部各职能部门之间 的隔阂,实现全员层次的综合的风险管理。因此在现代企业 的风险控制方面,大中型企业一般建立三级风险管理组织. 第一级是由企业高级管理层组成的风险控制委员会.它是公 司风险管理的最高决策机构;内部审计部门作为第二级组织 通过常规审计及专项审计评估公司的风险,对各业务部门执 行风险控制制度的有效性进行定期的检查,针对缺陷和潜在 风险。向管理层提出防范风险及改进工作的建议。第三级业 务部门、业务支持部门和管理部门承担一线的风险控制职 能,各部门负责人直接负责风险监控。 在内部审计与风险管理进行初步结合方面.中国石油天 然气股份有限公司走在了国内许多企业的前面。该公司白 2000年海外上市以来。为适应国外资本市场的要求.提出了 “服务内向型审计”理念。在制定审计计划时以公司经营战略 和目标为依据,注意突出高风险领域和管理层关注的问题. 合理分配审计资源。中石油还提倡审计人员适度介入管理过 程,及时对基层单位的工作提出意见和建议,并与被审计单 位共同分析管理缺陷,研究改进措施。中石油在战略层、管控 层和作业层展开的审计和咨询工作.使内审从查错纠弊转变 到保证服务和咨询服务相结合。并在一定程度上实现了与企 业风险管理的结合。这些有益的探索和实践对现阶段我国内 部审计和风险管理的整合无疑有着很好的示范作用。 参考文献: 【1】邹舂霞,严亚东.论企业风险管理审计 ̄B/OL].[2005—12— 26].http://www,chinaacc.corn/new/2005—7/.5O70409285O72.htm, 2oO5. 【2】卓继民.现代企业风险管理审计【M】.北京:中国财政经济 出版.2005. [3】刘世谨.内部审计与风险管理[EWOLI.[2006—03—16】.http:// www.chinaacc.corn/new/2003—12/3120509381872.htm,2oo3. [4】黄园园.内部审计与企业风险管理的协调和整合[J1.审计 与经济研究,2oo5(5):39-43. 【5]高言芳.内部审计参与风险管理的优势和发展过程【J].内 蒙占财经学院学报,2005(5):108一l1O. 【6】徐德.论现代内部审计的风险管理控制方法【J].审计研究, 2005(2):82—84. 【7】张兆平.内部审计在企业风险管理中的作用【J].中国内部 审计,2003(3):34—36. 【8】杨茁.公司治理中内审与风险管理的定位分析[J1.中国内 部审计,2o04(1):37—39. 责任编辑:林振东 49
因篇幅问题不能全部显示,请点此查看更多更全内容