国际著名的反虚假财务报告委员会(Treaday委员会)鉴于国际企业界频繁发生的高层管理人员舞弊现象,于2004年10月颁布了一个概念全新的COSO报告,即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。 它将企业风险管理定义为:企业风险管理是一种流程,在一个实体进行战略决策和执行决策过程中,由董事会、管理层和其他人员实施,为确定可能影响实体的潜在事件,对风险进行有效管理,使其处于偏好内,以便提供关于实体目标实现的合理保证。国际内部审计师协会也将风险管理进行了最新权威的定义:通过确认、识别、管理和控制组织潜在情况和事件,为组织目标提供合理保证的程序。借鉴上述国际通行的定义,中国内部审计师协会在最新发布的第16号内部审计具体准则中,将风险管理定义为:是对组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。 内部审计参与风险管理的优势 内部审计参与企业风险管理具有外部审计以及其他职能部门无可比拟的优势,体现为以下三个方面: (一)内部审计能够客观地、从全局的角度管理风险 内部审计人员来自于企业内部,对企业的生产、经营过程、组织环境、经营目标、经营方针有深刻理解。较外部审计人员相比,易于收集各种必要的资料,能够更加准确地把握风险环节所在。此外,对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计部门由于不从事具体业务活动,独立于业务管理部门,从而更能从企业的全局出发,从客观的角度,更清醒地、积极主动地识别和评估风险,及时建议管理部门采取措施防范和控制风险。 (二)内部审计能够控制、指导组织的风险策略 由于内部审计机构处于组织的董事会、总经理和各职能部门之间的位置,并且要对企业所有经济业务进行审查、评价,因而它能对企业所面临的风险进行全面的分析与评估。在风险管理过程中,管理层在做出风险管理决策方面负主要责任,而内部审计人员在管理层的风险决策方面可以提供建议、质疑或者支持。内部审计人员能够充当企业长期风险策略与各种决策的协调人,通过对长期计划与短期实现的调节,内部审计人员可以调控、指导企业的风险管理战略。 (三)内部审计部门的建议更易引起重视 有些企业尽管也有风险管理部门,但它属于管理部门的一个职能部门,向总经理报告,不具有独立性,其意见有时会屈服于管理当局的压力。如风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理因好大喜功,可能促成项目的实施。这使得风险管理部门的作用受到限制。内部审计部门独立于管理部门,其风险评估的意见可以直接报给董事会,这会加强管理当局对内部审计部门意见的重视程度。 (四)内部审计对防范组织风险、实现组织目标有更强的责任感 内部审计深入到经营管理的全过程去了解掌握具体情况,及时的发现和处理问题,防范和化解企业所面临的风险是本职工作的要求。内部审计通过经常性的调查、分析、评估和预测,弄清问题产生的原因或未来影响,及时向管理当局提出解决或防范的建议,或随时接受他们的咨询,可以帮助企业改善风险管理,增加企业价值。 内部审计参与风险管理的发展过程 内部审计部门在风险管理过程中的作用有一个发展过程:从不在风险管理过程中起任何作用,到作为内部审计工作计划的一部分对风险管理过程进行审计,再到积极持续地支持并参与风险管理过程。在不同的发展阶段中,内部审计的工作重点有所不同。 (一)内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议 如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计部门的审计工作计划通常是在风险分析的基础上,根据重要性和成本效益原则制定出来的。如果管理层建立了风险管理过程,则来自于综合性风险管理过程的信息,将有助于内部审计人员更快地制定审计工作计划,提高工作效率。 (二)内部审计可以通过咨询服务的方式,积极协助企业风险管理过程的建立 如果管理层提出建立风险管理机制的要求,内部审计人员可以运用自己在风险管理方面的专业知识,从独立客观的角度为管理层和审计委员会提供有价值的保证和咨询服务,提高企业的风险管理水平。内部审计可以通过以下方式协助管理层建立风险管理过程:指导管理层识别与评估风险,并针对风险做出应对。内部审计人员仅以咨询顾问的身份协助风险管理过程的建立,但不负风险管理的责任,企业风险管理的主要责任应由管理层承担。 (三)内部审计通过将风险管理评价作为审计工作的一部分,以检查、评价风险管理过程的 适当性和有效性,并提出改进建议 首先,内部审计人员应该对风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否得到充分、适当的确认;其次,内部审计人员应该对风险评估的方法和结果的恰当性进行评价;最后,内部审计人员要对有关部门针对风险所采取的应对措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计人员应提出改进建议,以强化企业的风险管理,降低风险损失。