试论内部审计和风险管理之间的关系
试论内部审计和风险管理之间的关系 自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管 理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十 几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。一、二者互动交融关系形成的现实背景 当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变 得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理 方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。
而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、 独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监 督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入 自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部 审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的 定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控 制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接 近并找到了交点。
二、内部审计与风险管理的互动关系 (一)内部审计定义中包含有风险管理的内容 内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有 不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计 定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企 业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部 建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价 的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、 规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效 率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和 深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然, 将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩 大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修 订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用 为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不 断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空 前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将 会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一 个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余 力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写 入了内部审计的定义。
三、内部审计与风险管理目标上的一致性 风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其 他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别 可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标 的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估 测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最 高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素 来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并 提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》 上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相 互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部 审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和 监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程, 以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作 为“为组织增加价值”的重要手段。四、内部审计在风险管理中的角色定位 COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管 理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都 有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使 组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容 忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性 责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表 明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内 部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、 建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管 理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、 评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审 计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问 身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方 法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的 观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构 和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审 计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并 评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的 建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的 角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保 证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审 计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者 是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改 变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所 提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、 指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持 建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、 协调者、建议者的角色。