内部审计参与企业风险管理的路径分析

作 者:

作者简介:
刘新琳 周兵,西南财经大学会计学院

原文出处:
审计月刊

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2008 年 04 期

关 键 词:

字号:

      企业风险管理(ERM)框架下内部审计的角色

      21世纪以来,风险成为企业经营活动中不可忽视的因素。根据COSO(2004)的定义,ERM是一个过程,它受到企业董事会、管理层和其他职员的影响,应用于战略制定和企业的各个层面,识别潜在可能影响企业的事件,并在企业风险偏好内管理风险,为完成企业目标提供合理的保证。企业风险管理(ERM)由以下8个层面的要素构成:内部环境、目标设定、事件识别、评估风险、风险反应、控制活动、信息与沟通和监督。这八个方面组成要素是一个有机的整体,体现的是一个动态的过程。在企业风险管理框架中,内部审计将扮演非常重要的角色。

      风险管理框架(ERM)下的内部审计关注的核心是企业的风险管理过程和剩余风险的水平。因此,风险管理框架下的内部审计是一种综合审计类型,不同于单纯的财务审计、业务审计及管理审计,是融风险管理、公司治理和内部控制审查于一体,更关注企业在整个治理过程中的决策风险和经营风险。内部审计的职能从监督和评价转变为确证和咨询,有利于促进公司治理与现代内部控制的协同与整合,也有利于各类企业外部受托责任与内部受托责任的统一。

      在企业风险管理框架(ERM)下,内部审计是风险管理的函数,是对风险管理的再管理,有利于促进组织风险管理制度与政策的贯彻执行(王光远,2005)。虽然,风险管理是管理层一项关键责任。但由于内部审计处于企业的董事会、总经理和各职能部门之间的位置,能够客观地、从全局的角度,识别和评价风险,因此内部审计必将成为企业风险管理不可缺少的重要组成部分。风险管理框架(ERM)下的内部审计职责在于定期评价并协助其他部门进行风险管理,对企业风险管理过程的效果和效率方面进行检查、评价、报告和提出审计建议,以提高企业风险管理的效率和效果。

      ERM框架下内部审计参与风险管理的具体路径分析

      如图所示,内部审计参与风险管理有两种具体的路径,第一种路径是开展风险管理审计;第二种路径是开展风险导向审计。

      

      图一 ERM框架下内部审计参与风险管理的路径分析

      (一)开展风险管理审计——风险管理过程

      内部审计部门所进行的风险管理审计是对于运行中的风险管理政策与程序的适当性、执行的有效性进行认定与评价,是在企业相关职能部门所进行的风险管理基础上的再监督。内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。

      1.评价风险管理程序的适当性。主要表现在以下三个方面:(1)评估风险识别的充分性。内部审计师要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来;(2)评价已有风险衡量的恰当性。内部审计师要对已有的风险的衡量结果进行再检验,以确定其是否恰当;(3)评估风险防范措施的有效性。内部审计师对有关部门针对风险所采取的防范措施进行检查,检查措施是否充分、是否能有效减少风险损失。

      2.评价风险管理主要目标的完成情况。主要表现在:(1)与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;(2)评价风险监控报告制度是否恰当;(3)评价风险管理结果报告的充分性和及时性;(4)评价管理层对风险的分析是否全面,防止风险的措施是否完善,建议是否有效;(5)对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;(6)评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。

      (二)开展风险导向审计——剩余风险

      内部审计部门所进行的风险导向审计是对剩余风险的确认并提出咨询建议。所谓剩余风险就是没有被控制住的战略风险或环节风险,或者审计师认为有证据显示这一战略风险或环节风险并没有被控制在可接受的水平范围内(Knechel)。剩余风险是在企业的控制措施失效或没有相关的控制而产生的。内部审计部门所进行的风险导向审计就是企业内部审计以系统的分析、认定和评价被审计对象各个领域的固有风险及其管理状况为基础,根据认定和评价得出的已经量化的剩余风险的大小,选定进一步审计的范围、重点和方法来以实施的一种审计模式。因此,一方面,内部审计部门应对企业原有的已识别的主要风险是否充分进行评价,也即企业所面临的主要风险是否均已被识别出来,并加以控制;另一方面也要找出未被风险管理系统识别和控制的主要风险。通过开展风险导向审计,可以将审计的计划和资源管理同企业经营风险结合起来,发挥内部审计的最大价值。

      剩余风险是风险导向审计需要关注的重点领域。较高的剩余风险很可能意味着较差的控制环境,它一般显示出对特定环节较高的控制风险,或指向某项认定可能被错报的风险。对剩余风险的审计主要目的是将剩余风险降低至可接受水平,具体步骤如下:1.了解管理当局确定可以接受的剩余风险水平;2.确认业务活动领域的剩余风险并进行优先排序,将主要审计资源分配到高风险领域;3.审计师需要将在审计过程中发现企业尚未对某些重要风险采取管理措施,应同企业进行沟通,并向企业提出管理建议,从而协助企业预防或检查将来可能出现的错误。

相关文章: