冯道建
摘 要 以风险为导向的内部审计自实施以来取得了显著成效,与企业风险管理体现出较高的契合度,对两者进行整合可以提高企业风险管理成效。本文将对风险导向内部审计与企业风险管理的整合方式进行探讨,通过内部审计的参与,完善风险管理机制。在此基础上,探讨两者整合的实施途径,主要包括风险管理设计、基础审计、自我控制评价、管理咨询服务等的实施。
关键词 风险导向 内部审计 自我控制评价 管理咨询服务
一、前言
国外对内部审计与风险管理整合的研究起步较早,2004年美国推出的COSO框架继承自内部控制框架,实现了两者的整合,使其成为企业管理的有力工具。美国内部审计协会(IIA)将企业风险管理的评价和改善划分为内部审计的工作内容,揭开了两者整合的序幕。但是对两者的整合方式和实施途径还要进行进一步探索,为国内企业的整合实践提供指导。
二、风险导向内部审计与企业风险管理的整合方式
(一)内部审计参与风险管理寻求创新发展
随着社会审计机构的各项业务向企业延伸,与企业内部审计部门的职能发生重叠。社会审计机构拥有注册会计师等专业优势,而且成本较低,越来越多的企业开始聘请外部审计人员承包审计业务,使企业内部的审计部门面临着生存危机。在这种情况下,内部审计参与风险管理是其自身寻求创新发展的可行路径,可以充分发挥企业内部审计人员对企业经营运作规律熟悉的优势,提供更有针对性的风险管理服务,巩固其在企业组织中的地位。[1]
(二)内部审计参与风险管理扩大工作范围
内部审计与风险管理的整合扩大了内部审计的工作范围,使其在企业中的行为方式也相应发生改变。以往内部审计工作的开展属于事后评价,为企业运行提供内部的保证性服务。而风险管理的主要职能是对可能给企业经营带来威胁的潜在因素进行分析和管理,注重事前管理的成效。因此,内部审计参与风险管理可以使其工作覆盖面得到有效拓展,对企业内部运行和管理行为作出全面的评价。在这种情况下,内部审计可以改变以往的被动工作方式,通过风险评估和风险咨询向企业提供主动服务。
(三)内部审计参与风险管理完善管理框架
内部审计的参与可以对企业的风险框架进行补充和完善,这一点在COSO框架中已经得到了体现,并在实践中被证明是一种行之有效的框架体系。在两者相互整合的框架体系结构中,由企业的首席执行官直接对风险管理负责,并由内部审计人员为相关工作的开展提供支持。以往风险管理框架在执行过程中,可能因存在滥用职权等现象,使风险管理框架失效。在内部审计的参与下,不仅风险管理框架得到了完善,还可以促进风险管理框架的有效落实。审计部门的独立性可以为风险管理框架相对公正的执行作出保障。[2]
三、风险导向内部审计与企业风险管理整合的实施途径
(一)风险管理审计的实施
风险管理审计通过发挥内部审计的作用,对风险管理流程的可行性和充分性进行评估,同时对风险评估结构进行审查,从而保证风险管理工作的开展能够满足企业的管理要求,为企业的发展保驾护航。站在内部审计角度,对风险管理发表审计意见,促进其不断进行自我修正,是目前企業确保风险管理有效性的重要手段。针对风险管理的审计工作涉及企业、部门以及分公司等各个层次,其主要内容包括以下几点:第一,对风险管理的工作内容设计进行审计;第二,对风险管理工作的执行情况进行审计;第三,对风险管理的报告结果进行审计;第四,对管理人员向企业决策者的报告信息进行审计;第五,对风险管理的标准体系进行审计;第六,对风险管理的覆盖范围进行审计。通过上述工作的开展,确保企业风险管理的全面性、有效性和准确性。
(二)风险管理基础审计的实施
风险管理基础审计是一种同时关注经营风险和审计风险的审计方法。通过基础审计工作的开展,可以提高审计资源的利用率和执行效率。风险管理基础审计主要关注以下问题:第一,企业的发展战略目标,以此为基础制定审计策略;第二,企业经营风险,通过对其进行综合评估,确定审计工作的具体程序和覆盖范围;第三,企业风险容忍度,将其纳入审计工作的评判标准体系;第四,特定领域的风险管理工作,并对其进行特殊审计;第五,企业的生存能力,对企业经营计划风险评估。风险管理基础审计是内部审计与风险管理相结合的结果,不同于以往的风险导向内部审计,可以对企业经营发展过程中的固有风险进行准确评估。
(三)自我控制评价的实施
自我控制评价的实施是企业内部审计与风险管理整合的关键,通过开展自我评价以及协调研讨,将审计人员与管理人员紧密联系起来,并找到合作控制评价的有效方法。因此,自我控制评价是审计部门与风险管理部门进行业务整合的桥梁,审计人员可以在自我控制评价过程中,得到风险管理信息,协调风险管理人员开展相关工作,切实履行其风险管理职责。在自我控制评价实施过程中,企业应建立规范的工作流程,确保执行程序的规范性,由审计人员与风险管理人员共同确认风险评价过程,确保风险管理目标能够实现。
(四)管理咨询服务的实施
内部审计在参与风险管理的过程中,可以为风险管理问题提供相关资讯服务,管理资讯服务的开展是风险管理的保障性服务。其服务内容由企业的内部环境和资源分配情况决定,在风险管理工作开展前,审计部门就应提醒企业管理层在审计过程中发现的风险问题,同时给予管理人员有效的参考建议。在风险管理体系的运行过程中,内部审计参与风险管理,可以为企业提供更多有价值的意见。在风险管理体系逐渐成熟后,内部审计可以充分发挥向企业提供专业风险管理咨询服务的作用,并建立标准化的工作流程,以建议书的形式向企业提出专业的风险管理建议。
(五)管理协调措施
在企业风险管理体系不够成熟的情况下,内部审计可以在管理层的允许下,协助风险管理体系的构建工作,参与风险战略制定,并对风险管理措施的实施进行指导。但风险管理的责任应划分明确,由管理层承担,内部审计部门需要发挥管理协调的责任,并向企业董事会声明,因协调事项不具备独立性,所以无法提供保障性服务。内部审计参与风险管理,并在风险管理框架中发挥作用,必须获得企业高级管理层的支持,与其他风险管理机构建立协调的合作关系,并在不受干扰的条件下相对独立地开展工作,才能真正发挥内部审计部门的作用。
四、结语
内部审计与企业风险管理的整合是两者发展的主要方向,应加快两者整合的速度。通过采取有效的整合方式,充分发挥企业内部审计的作用,对风险管理的实施过程和风险评价结果进行审计,提高企业的风险管理能力,促进企业的健康发展。
(作者单位为上海大屯能源股份有限公司监察审计部)
参考文献
[1] 李阳.企业风险管理下的风险导向内部审计模式研究[D].哈尔滨工业大学,2008.
[2] 程永泉,冯义秀.风险导向内部审计及其在企业构建风险管理框架中的应用[J].北京工商大学学报(社会科学版),2009 (02):61-65.endprint