一、现代内部审计与风险管理的融合 1.将风险管理思想引入现代内部审计。从内部审计产生和发展的历史来看,不同时期的内部审计有不同的内涵和外延。就现代内部审计的发展而言,国际内部审计师协会(IIA)对内部审计的定义就在不断变化。IIA理事会在1990年对《关于内部审计职责的申明》修订后重新定义了内部审计,认为内部审计既是管理的延伸,也是一种独立评价活动,它要对有关活动进行分析、评价,提出建议和咨询意见。1993年,IIA提出的内部审计的定义认为内部审计既是一项综合工作,也是一种独立的评价活动,它要对所审查的活动进行有关的分析、评价,目的是协助组织的管理者有效地履行他们的职责,建立有效的内部控制系统。IIA在1999年对内部审计的定义认为内部审计是一种独立、客观的确认与咨询活动,目的是为组织增加价值和改善组织运营。它通过系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其运营目标。 从内部审计定义的发展可以看出,风险管理不仅是企业的一项职能,更是一种理念。内部审计将帮助企业发现并评价重要的风险因素,促进企业改进风险管理体系。此时的内部审计人员是风险管理专家,通过对风险的把握来评价内部控制,加强内部控制,从而实现对风险的控制与管理。 2.使风险管理的目标与内部审计的目标一致。风险产生的原因是不确定因素的存在。由于企业经营环境的不确定性,导致企业目标的实现具有不确定性。要想确保企业目标的实现,必须对风险进行有效管理。美国反虚假财务报告委员会下属的发起组织委员会(COSO)于1992年提出的《内部控制整体框架》和2004年颁布的《企业风险管理框架》中均有风险评估的内容,规定组织必须认识到其所面临的风险,并能对其加以控制和管理,同时还必须建立确认、分析和管理相应风险的机制。《内部控制整体框架》规定的风险评估内容包括风险识别、风险分析及对变革期间的风险管理;《企业风险管理框架》规定的有关风险管理的内容包括目标设定、事项识别、风险评估及风险应对。从上述两个框架中有关风险管理内容的比较不难看出,《企业风险管理框架》更加注重总体的风险组合。企业风险的管理者是管理层,高级管理者支持并需要承诺在企业中恰当地选择风险管理方案,以确保业务目标能够实现。内部审计执行主管是企业风险管理的倡导者,应当利用与企业目标一致的风险管理审计计划,帮助企业实施风险管理方案。 IIA在1999年对内部审计的定义已明确指出内部审计部门具有帮助组织实现整体目标的责任,其目的是帮助组织管理风险。实现整体目标和增加企业价值的工作应由企业的各个职能部门来共同完成,内部审计部门和企业其他职能部门一样,也应该努力提升企业的价值。内部审计部门通过采取系统化、规范化的方法来开展确认和咨询活动,经过收集资料、识别并评价风险的过程之后,内部审计部门比企业管理层及其他职能部门的见解更为深刻,将这些有价值的见解以咨询、建议等形式反馈给管理层,不仅可以借此适时进行风险管理、弥补控制漏洞、完善治理缺陷,而且可以将这些有价值的信息应用于经营管理活动中,从而创造出超过预期的价值。可见,内部审计部门在帮助高级管理层、董事会等充分了解企业的风险特征方面扮演着重要角色。 3.风险管理离不开内部审计部门。对企业的风险管理进行监督和评价是现代内部审计发展的结果,因此风险管理部门离不开内部审计部门。企业的风险管理组织结构应设置为:内部审计部门与企业的各级风险管理部门相配合,开展企业全面风险管理,既包括企业整体层面的风险管理,也包括各职能部门的风险管理。这要求内部审计部门打破企业内部各职能部门之间的隔膜,从企业整体层面进行全面风险管理。 大多数现代企业在进行风险管理时一般均设立三级风险管理部门,第一级是由企业高级管理层组成的风险管理委员会;第二级是在企业风险管理委员会领导下的内部审计部门及风险管理部门,内部审计部门通过定期、不定期的审计来评估企业风险,对企业风险管理制度的设计以及对各职能部门执行风险管理制度的有效性进行定期检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议,各级职能部门承担一线的风险管理职能,各部门负责人直接负责风险监控;第三级是独立的内部审计部门,内部审计部门对企业总裁负责,其工作主要是对企业风险管理机制的运行进行监管,并对监管结果进行评估。 尽管大多数现代企业的风险管理组织在管理中发挥了一定的作用,但是上述设置在有效防范企业风险方面仍然存在一定的缺陷。首先,将内部审计部门设置在风险管理委员会下不合适,因为企业能否有效控制风险,不仅关系到经营者的业绩,而且更关系到债权人、投资者、企业员工等利益相关者的利益。内部审计部门作为企业的监管部门,应保持充分的独立性,保护企业利益相关者的利益。其次,上述设置没有涉及企业基层员工,基层员工是风险管理制度的具体执行者,企业的风险管理机制设计得是否合理,他们最有发言权。最后,中国内部审计协会于2005年发布的风险管理审计准则第三章规定:内部审计人员应当实施必要的审计程序,对风险识别过程、风险评估过程、管理层所采用的风险评估方法、风险应对措施进行审查与评价;内部审计机构和人员应当充分了解组织的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。基于以上考虑,笔者建议将内部审计部门设置在董事会下设的审计委员会的下面,帮助总裁进行风险管理机制的设计和监督各职能部门、企业员工对风险管理机制的执行情况。以企业整体风险管理为中心的内部审计工作的运作流程可用上图表示。