通过风险导向的内部审计活动增加组织价值 在当今不确定性常态化的商业环境中,风险管理已经成为组织机构日常管理不可或缺的工作,其核心是通过识别、评价、管理和控制潜在事件或情况,为组织机构的目标实现提供合理的保证。内部审计之所以介入风险管理领域,主要是因为:内部审计具有独立性、综合性、经常性和及时性等特点,在组织机构达成整个风险管理的各项任务过程中具有独特的优势;相对于组织内部其他部门人员以及外部审计而言,内部审计人员更了解组织机构的高风险领域;内部审计本身也是风险管理的一种方法、一种手段,而辅助组织机构的管理层开展风险管理工作则是内部审计工作的一项新内容,一个新领域。从发展趋势来看,内部审计不仅越来越关注风险,同时也是风险管理过程的重要组成部分。因此,“评价和改进风险管理过程的效果”是内部审计的重要职责。内部审计通过开展风险导向审计和风险管理咨询,为提升组织价值提供了机会。具体从确认活动来看,内部审计强调确认经营风险是否得到有效管理,由对交易事项和政策的遵循评价,转变为对目标、战略和风险管理过程的关注;内部审计建议更加强调风险规避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效率和效果。其职责主要是从以下三个方面运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价、报告:评价风险管理过程主要目标的完成情况;评估风险管理系统预知和识别风险的能力,评价风险管理系统对已确认风险所提出的防范和控制措施的适当性;评价风险控制流程的效果。 从风险管理咨询活动来看,内部审计的价值体现在通过咨询为管理层提高风险管理能力和效果提供服务,具体表现在:在组织机构建立企业风险管理系统时,提供有关的帮助和建议;在组织机构对企业风险管理系统进行评估过程中,帮助管理层找出风险管理体系的薄弱环节,指出存在的风险因素,提出改进建议和措施,帮助完善企业风险管理系统;帮助组织机构开展有关风险管理知识的培训,提高全员风险管理意识等;在风险管理部门进行自我评估时,内部审计部门可给予协助与支援等。 通过业务导向的内部控制评价与咨询活动增加组织价值 内部审计作为保证受托责任履行的一种控制机制,与内部控制形成相互依存、相互促进的“孪生兄弟”关系。在长期发展过程中,对内部控制的评价,推进内部控制的不断改善是内部审计工作的重要组成部分。因此,通过内部控制的评价与咨询是实现内部审计增加价值的途径之一。按照COSO五要素框架,对内部控制的评价与咨询活动,可以针对五要素的每个要素进行。然而,由于控制活动是五要素的载体,业务流程又是控制活动的载体,因此,内部审计对内部控制开展评价与咨询活动时,只有以业务流程为导向才能将价值增值的目标落到实处。 从确认活动看,内部审计可以以业务流程为导向,评价组织的人、财、物、信息等各种资源的配置与使用情况以及各种资源流动的经济性、效率和效果,同时对与之相关的环境、风险、信息沟通与监控情况进行评估,确定内部控制是否以业务控制为载体实现整体有机控制,评价结果再以报告形式提交给企业组织管理层,用于战略规划、资源配置以及运营控制的持续改善等相关决策。 从咨询活动来看,内部审计增值服务可通过内部培训来实现,即在对组织机构内部控制进行整体评价的基础上,寻找内部控制的薄弱环节,向组织机构管理层提出强化内部控制建设的建议,并组织内部控制培训。 从确认与咨询活动的统一来看,也可通过参与内部控制自我评估来实现。应用控制自我评估是加强控制措施的可行途径,有助于管理层履行其控制和风险管理责任。内部审计部门或人员参与到组织机构管理层开展的内部控制自我评估活动中,可以将自己从一个“独立的问题发现者”变成“组织变革的协调者、推动者”,从消极的以“发现和评价”工作为主转向积极地“防范和解决问题”,从事后发现内部控制薄弱环节转为事前防范,从单纯强调完善内部控制转向积极关注、利用各种方法来组织机构公司的经营业绩。由此一来,内部审计不仅可以揭露和制约各种违规行为,发现内部控制漏洞,防止各种不良后果的发生,而且更重要的是内部审计人员要针对管理和控制中的不足和弊端提出改进性建议,不断完善管理过程,提高管理效率和效果,从而实现组织价值增值。 通过保障公司治理的利益平衡机制增加组织价值 公司(组织)治理结构是股东大会、董事会和管理层三方之间在法律、法规和惯例的框架下安排的权利制衡结构。利益平衡是治理的实质,权利制衡是治理机制。内部审计在治理过程中的作用,主要是通过确认和咨询活动,维护和保障这种利益平衡机制的有效性,帮助组织机构改善治理过程与政策,促进组织价值增值。 从确认活动来看,内部审计的增值活动主要有:制定和传达公司目标的程序;监控目标实现情况的程序;确保责任机制的程序,实现组织目标过程中公司治理各方参与人的责任履行有效;维护企业价值观的程序,即对企业文化、治理结构和政策等的治理环境有效性进行确认。 从咨询活动来看,内部审计在公司治理领域中的服务主要有:评价并改进组织机构的治理过程,为组织机构的治理作贡献,提高企业核心竞争力,从而增加组织价值;在确保实现组织目标和维护组织道德观和价值观的基础上,树立风险管理与控制观念;从改善风险管理和控制流程的角度,向董事会提供关于风险管理和内部控制制度运行情况的分析和确认,同时协调对董事会、管理层,外部审计等之间的关系。