企业风险管理是使企业在实现未来战略目标的过程中将各种不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法,主要包括风险评估、风险管理策略制定、风险监控与应对、风险管理监督与改进四个阶段。内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营效益。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。因此,作为现代企业管理的重要内容,内部审计与企业风险管理之间的联系日趋紧密,风险管理为内部审计作业提供逻辑起点和发展方向;内部审计作为风险管理的最后一道防线,通过确认和咨询活动来完善和优化风险管理和内部控制,促进内部控制和风险管理有效性提升。 内部审计与企业风险管理的耦合及互动机理 企业风险管理是企业治理的核心,内部审计是企业治理的监督主体,两者的有机耦合和良性互动(见图),能促进企业治理、风险管理、内部控制合规之间的协同与整合,是企业提高经营管理效率的客观需要和追求自身发展的必然结果。 企业内部审计在风险管理中的具体作用主要有: 一是能够客观全面地管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此,对风险的认识、防范和控制需要从全局考虑。内部审计具有相对独立性,受单位主要负责人的直接领导,这使得它可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。 二是控制和指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控和指导企业的风险管理策略。
三是内部审计部门的建议更易引起企业领导人员的重视。一些企业尽管设立了风险管理部门,但不具有独立性,其意见往往会屈从于管理当局的压力,这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评估的意见可以直接向董事会汇报,这样会加强管理当局对内部审计部门意见的重视程度。 内部审计与企业风险管理的耦合及互动途径 (一)运用风险管理的理念制定内部审计程序 主要遵循以下五个步骤: 一是在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制订内部审计计划,确定审计项目。 二是确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。 三是在编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化;在选择检测、鉴证风险的技术与方法时,应该能够反映出风险发生的可能性及影响程度。 四是在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足,提出加强管理的建议。 五是在跟踪审计时,将风险确定为决定跟踪审计范围的重要因素,风险越大,跟踪审计的范围就越广。跟踪审计应将关注点集中于最严重的潜在问题上,通过持续跟踪,取得重大审计发现,便于相关部门采取措施予以纠正。 因此,内部审计程序应与风险管理之间协调一致、同频共振,使两者产生耦合增效的功效。 (二)开展风险管理审计及内部控制审计 风险管理审计是内部审计机构对组织风险管理流程设计和运行的有效性、关键风险控制的充分性、风险评估和报告数据的准确性进行的独立审查和评价。内部审计人员应从以下两个方面开展审查: 一是审查风险管理主要目标的完成情况。主要表现在审查企业以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查企业的经营战略,了解企业能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当等。 二是评价管理层选择的风险管理方式的适当性。由于各个企业的文化氛围、管理理念和工作目标不同,风险管理的实施有很大差别。每个企业应根据自身活动来设计风险管理过程。内部审计人员的职责是评价企业风险管理方式与企业活动的性质是否适当。 风险管理审计报告应当直接提交给董事会,由董事会督促管理层对审计所发现的问题提出改进方案并采取改进措施。此外,风险管理审计是持续进行的循环过程,内部审计机构要跟踪检查改进措施的实施情况,并向董事会提交有关报告。 (三)内部审计参与风险管理的过程 内部审计的核心职能,是对组织风险管理的有效性向董事会提供客观保证和为组织风险管理部门提供咨询。