0 引言 当前,随着经济增速减缓、调结构、转变增长方式以及市场竞争加剧,风险管理日益成为企业生存发展的核心课题之一。在此背景下,风险导向内部审计抑或风险管理审计是否足以满足董事会和管理层监督、评价和改进企业风险管理过程的信息需求,成为内部审计理论研究的前沿问题。本文基于风险管理视角,进一步探究内部审计在企业管理中的角色定位及其在我国企业中的实现路径,并提出相应政策建议。 1 内部审计与风险管理的耦合关系 一般认为,国际内部审计师协会(IIA)1999年6月修订的内部审计定义是内部审计介入风险管理理论研究的权威性标志,即内部审计应当评价并改善风险管理、内部控制和治理过程的效果。自此,国际内部审计师协会有关内部审计的思想和理念有了跨越式发展。同时,内部审计步入转型发展阶段,其职能逐渐由监督转向增值服务,工作重点也由以财务、效益为主的财务合规性审计向以内部控制、风险管理和治理为核心的管理审计转移。内部审计与风险管理先天的一致性,促使两者在企业的运营中互相推动、共同发展,为企业创造价值。 1.1 内部审计与风险管理在实务中的协调发展 纵观内部审计与风险管理的实务发展历程,我们可以清晰地看到,二者在互相融合中共同发展。当企业面临的主要风险为会计信息失真、会计差错和舞弊风险时,内部审计的主要职责是财务审计,以期合理保证企业会计信息的真实准确、防止差错和舞弊;当企业面临衡量管理水平和企业效益的困境时,内部审计的主要职责是管理效益审计,以期提高管理水平、加强效益管理;当企业面临内部控制和风险管理是否有效的问题时,内部审计承担起评价内部控制和风险管理的过程和效果的职责。目前企业面临的内外部风险越来越大,风险管理策略不当造成的损失和影响甚至能够决定企业的生存与发展,全面风险管理演变为企业管理的主旋律。因此,风险管理过程中企业需要集风险管理、内部控制、治理等各项专业技能为一体的综合性人才给予一定的指引和协助,内部审计职业特征满足这些需求,同时也堪此重任。 1.2 风险管理推动内部审计的演进 近年,逐渐向企业内部管理扩张的外部审计业务已经与内部审计活动产生交叉。考虑到外部审计专家特长和低成本的优势,企业似乎更趋于将内部审计实施外包。事实上,20世纪90年代内部审计职业“外包化”在西方已经成为一种普遍现象。与此同时处于劣势的内部审计被弃如敝屣。为此,内部审计必须重新定位其在企业舞台中的角色,探索独特的职业生存发展之道。当前企业对风险管理的重视程度空前高涨,内部审计绝处逢生。高级管理层需要复合型风险管理人才协助其评价并完善企业的风险管理流程。董事会则需要一个独立、权威的部门帮助其监督管理层的风险管理活动,实现组织目标。新形势下的内部审计应运而生。他们熟练掌握内部审计的标准、程序、技术及所必需的理论基础,精通先进的风险评估工具,对会计、管理、经济、法律等知识有广泛的理解。相比而言,独立性强、忠诚度高、对企业业务运作和风险管控了如指掌的内部审计比外部审计更适合介入企业的风险管理流程中担任这样的“双重”职责。 1.3 内部审计促进风险管理不断完善 不断加深的经济全球化和国际化,跨步到来的知识经济时代都加大了企业的经营风险,风险管理成为企业管理层关注的焦点。内部审计利用专业优势能够客观地评估企业风险管理的设计是否充分性、执行是否有效性,针对控制薄弱环节和改进措施提供可行的行动建议,评价风险管理与控制对实现组织目标的影响,对风险管理形成持续地监督、检查、评价、报告和修正过程。此外,内部审计部门大多呈现业务向治理层报告,行政上向管理层报告的模式。如此,内部审计的独立性便可使其不受管理层的干预而实现对企业风险管理的全局把握,并从治理层上实现对风险管理过程的完善。传统内部审计被形象地比喻为企业经营管理的“警察”,而风险管理视角下的内部审计使其成为受尊敬的业务顾问,有助于提升内部审计与被审计单位之间建立友好、和谐的氛围,从而进一步实现审计价值,提高风险管理效益,更好地实现企业目标。 2 内部审计在风险管理中的角色定位 不同环境下内部审计的角色相差很大,其角色定位也并非一成不变,而是随着企业风险管理的推进而变动不居。在充分考虑内部审计职业特性的基础上,我们认为,内部审计在风险管理中可以担任协调者、仲裁员、咨询师和宣传员四个角色以充分发挥其在风险管理过程中的作用。 2.1 协调者 在风险管理建设初期,内部审计应主动担任协调者的角色,加快企业全面风险管理完善的步伐。具体而言,内部审计可以协助企业制定通用的风险语言,营造良好的控制环境,制定恰当的风险管理策略。在全面评价各部门风险管理实践的基础上,发表专业意见,协助设计和实施企业内部控制和风险管理方案。特别指出的是,内部审计执行协调角色职能时,必须明确内部审计不承担任何管理职责,风险管理最终责任由企业管理层承担,其协调风险管理的业务计划应报经董事会、审计委员会批准,并应明确规定工作目标及责任转移时点,此外,内部审计应向董事会、审计委员会声明:由于协调业务损害其独立性,故内部审计无法对此相关事项提供合理保证。 2.2 仲裁员 在建立风险管理后,内部审计更多承担仲裁员的角色。内部审计的灵魂是独立性。它使内部审计独立于企业的管理活动,并兼备客观性。此外,内部审计处于企业内部比外部审计更加了解企业。因此,内部审计有能力承担起企业内部相对独立的第三方职责,为企业提供确认业务。需要强调的是,虽然外部审计亦能够从事企业管理审计,对企业的风险管理提供鉴证业务。但在风险管理中,内部审计强调的是“评价”而非“鉴证”职能,其重点着眼于评价风险管理过程。通常,内部审计对以下三方面提供确认:第一,评价设计和运行的风险管理过程的效果;第二,评价企业对关键风险的控制效果及应对措施;第三,评价风险评估过程和结果的可靠性、充分性和适当性以及风险和控制状态的报告。