内部审计在风险管理中的责任和作用
2009-04-29邱建军
邱建军
摘 要:本文通过阐述内部审计与风险管理的关系,进而分析了以风险为导向的内部审计在风险管理中的责任,并从三个方面论述了内部审计在风险管理中的作用。
关键词:风险管理内部审计作用
一、内部审计与风险管理的关系
随着国际经济和信息技术的发展,世界经济一体化为企业在全球范围内的大市场中开展经营活动提供了机会,同时也使企业生存与发展的环境面临更大的风险。风险已成为影响企业目标实现的重要因素,管理与控制风险变得越来越重要。
1、内部审计与企业风险管理的目标一致。所谓风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。而内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构价值。
2、内部审计与企业风险管理相辅相成。1992年,美国的“反虚假财务报告委员会”发起成立的一个赞助组织委员会(简称COSO)专门致力于内部控制研究,提出了“内部控制——整体框架”的研究报告。该报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通及监控等五个要素,其中风险评估是指内外风险识别和分析,它是风险管理的首要步骤,构成风险管理的基础;而监控就是指对内部控制结构运行质量的监督,它是通过内部控制方法和内部审计的职能来实现的。COSO报告为内部审计人员进行风险管理提供了指南,表明了以风险为导向的审计方法成为审计方法发展的必然趋势。
内部审计与企业风险管理是相辅相成的,二者都是企业内部控制的重要方面。同时内部审计不仅仅是内部控制的一个重要环节和组成部分,它还是对内部控制的再控制,其中自然包括对风险管理系统充分性和有效性的评价。另一方面风险管理渗透到内部控制的各个方面,对审计机构的管理也离不开风险管理。
二、内部审计在风险管理中的责任
确切地说内部审计在风险管理中的责任应该表述为以风险为导向的内部审计在风险管理中的责任。
在内部审计领域,人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种方法。
采用风险导向审计方法,内部审计的报告更容易被接受,管理部门也更容易理解内部审计存在的价值。在过去的制度基础审计中,内部审计总是以其内部控制为中心,并在审计报告中不断提出增加控制点或增加控制的建议,这样,若干年后审计的结果就是控制点越来越多,业务过程越来越繁杂。在风险导向审计中,审计报告中关注的企业当前及未来需要的准备,是企业现行经营活动与战略计划之间的“桥梁”。
三、内部审计在风险管理中的作用
内部审计在风险管理中的作用可以概括为:(1)创造良好的环境,从整体防患于未然;(2)事前风险警示,提供风险管理咨询,监督风险控制措施、程序是否遵照执行;(3)评价风险管理目标、方式、结果的适当性、有效性,改进风险管理。内部审计对风险管理的作用在于:
1、内部审计在风险管理中具有特殊的优势。由于企业内部存在利益冲突与信息不对称,上下级人员活动的信息并不会自动地充分地传递,有关风险的信息也会遭到隐瞒、虚报和错报。另一方面风险中的诱惑会使管理层把持不住立场,从而不顾实际情况去追逐风险利润,而风险的约束功能又会使管理层裹足不前,抑制和阻碍潜在机会的利用。内部审计在处理以上提到的问题时具有特殊的优势,表现在内部审计人员处在不从事具体内部活动的第三者的位置上,按专业标准要求独立客观地从事保证和咨询活动,能够获得企业内部控制、经营管理活动及风险管理等方面的信息,同时内部审计人员直接向管理层负责报告,从而不仅能够克服管理层不了解、不重视风险的局面,帮助管理层获得充分可靠的风险信息,而且能够跳出管理层本身的专业圈子来看待风险,进行创造性思维,提出科学合理的建议,避免高估或低估风险带来的决策失误。
2、内部审计能改善风险管理的内部环境。内部审计从制度层面和精神层面来改善风险管理的环境,例如:内部审计人员通过评价和改进内部控制制度,增强制度对风险的过滤和防范功能,减少内部人员舞弊的可能性。
3、内部审计是风险管理的重要手段。内部审计是辅助风险管理的有效手段,表现在:(1)整个内部审计过程贯穿着对风险的关注。内部审计师的职业审慎性要求其考虑风险管理的充分性和有效性,警惕可能影响目标、运营和资源的重大风险。在制定审计计划时,内部审计人员要考虑被评估活动存在的风险,将风险控制在可接受的水平内,并按照风险大小分配审计资源;在开展具体工作过程中,内部审计师不仅可以通过检查、评价、报告风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节,并提出改进建议,还可以咨询顾问的身份协助确定、评价并实施针对风险管理的方法和控制措施。(2)通过开展内部审计可以帮助管理者控制企业活动中不同环节的风险。由于内部审计的范围覆盖了整个经营内部领域,从而能够利用物资采购、生产工艺、安全生产、合同、基建工程、投资可行性、经济责任等不同内容的审计发现涉及采购、生产、销售、投资等方面的技术、财务和用人等风险。(3)内部审计人员可以从风险管理的识别、估测、控制、效果评价等四个阶段参与风险控制。内部审计人员从评价内部控制制度入手,查找其中的疏漏和薄弱环节,识别并报告潜在的重大风险,提出应对方法,同时通过落实审计建议督促采取有效的风险控制措施。因此,内部审计工作是风险控制程序的有益补充。◆