论现代内部审计与风险管理的协调整合(1)

[摘要]内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文根据COSO企业风险管理框架和IIA内部审计实务标准，分析了内部审计与风险管理的关系及两者相结合的意义，指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用，并探讨了在发挥内部审计四种职能作用前提下，其与风险管理整合的程序步骤，及其在中国的应用。

[关键词]内部审计；风险管理；IIA；COSO框架

内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。

企业风险管理是一个由企业的董事会、管理层和员工共同参与，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项，并根据风险偏好管理风险，为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中，是一个过程，是实现结果的一种方式。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了组织所有的管理层次和管理领域，方法也更为结构化和规范化。 内部审计为什么要与风险管理相整合，在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系，两者结合的意义及两者结合的方式作进一步探讨，并在此基础上研究中国企业如何将内部审计与风险管理相结合。

一、内部审计与风险管理的关系及两者结合的意义

IIA在对美国国会关于《萨班斯——奥克利斯法案》的意见陈述书中表述：内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险，审查信息及公司对法律法规的遵守情况，向董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心，聚焦于控制、风险管理等关键问题，通过帮助组织管理风险和提高管理效率，来增加组织的价值和改善公司的经营。

公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避此类风险，对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作：系统鉴别组织所面临的风险；评估这些风险对组织的潜在影响；制定控制风险的策略；评价风险管理的过程；就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下，内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论，当然在该过程中由管理层负责对重大风险采取针对性行动，内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责，它应当确保组织中有良好的风险管理过程，并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程，以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。

IIA多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

内部审计与风险管理相结合是将风险作为内部审计的对象，打破了原来的内部审计只关心内部控制有效性的局面，在评价内部控制的基础上，对企业所面临的各种风险进行识别和分析。从另一个角度来讲，内部审计更加注重企业的未来，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定，来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计，侧重对风险管理进行鉴证。

内部审计参与风险管理不仅为内部审计自身提供了发展契机，而且作为企业内的一种独立、客观的保证工作和咨询活动，内部审计是公司治理必要和有价值的组成部分，能够在风险管理中发挥独特的作用，无论是内部审计还是风险管理都能从双方的整合中提高效率，创造价值。 内部控制，并促进公司治理和内部控制的改善，从而实现对风险的控制。在风险管理这个统一核心下，公司治理与内部控制实现了一定程度整合，为组织增加了价值。

二、内部审计在风险管理中的角色和责任

COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动)，并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在，由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证，以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此，内部审计在企业风险管理架中首要角色是监督者，包括对风险管理流程的评估和保证服务，对风险评估准确性的保证服务，对关键风险报告的评估和对关键风险管理的评估。

按IIA的标准，内部审计的服务种类可以分为保证服务和咨询服务，前者是一种独立评价的活动，后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务，其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲，处于信息劣势的服务对象希望内部审计为其提供保证服务，处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中，保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验；咨询服务是咨询性的以及与委托人服务相关的活动，其性质和范围是与委托人达成一致意见，目的是增加价值和改进组织的经营。在企业风险管理中，内部审计的本质特征并不发生改变，因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外，内部审计还提供咨询服务，包括促进对风险的识别和评估、指导和协调风险管理活动，加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应，内部审计承担了咨询者、协调者、建议者角色。

内部审计在企业风险管理中的角色不是一成不变的，而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议；在组织实施风险管理的初期，内部审计能够发挥更大的协调作用，甚至直接担任项目经理；而当企业风险管理逐步成熟，运作稳定以后，内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色，报告关系层次越高，独立性越强，内部审计就越能够从全局和战略角度参与企业风险管理；反之，则从局部和流程角度参与企业风险管理。

为保证其独立性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持，但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动，内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外，在实践中，应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责，就应该认为与此相关领域的审计客观性受到了损害，内部审计不能就其直接协调和指导的风险管理事项提供保证服务。

三、内部审计与风险管理整合的程序步骤

(一)判明风险类别，分析风险的具体源由

企业风险多种多样，表现的形式与发生影响也是千差万别的，为了管理和控制风险，应对风险进行辨认并予以分类，从中分辨出风险的性质，以确定主要风险、次要风险、关键风险、派生风险。

国外审计界对经营风险提出了多种分类模式，大致可概括为以下九类：外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。

在内部审计工作中，一般先从企业整体的战略目标着手，分析战略目标与企业实践的差距，明确形成差距的风险，进而分析风险的产生部门、风险的类别及其性质。

(二)在组织机构上，内审工作要与企业的各级风险管理组织相配合，开展企业综合风险管理

根据COSO的风险管理框架，一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离，实行全体的、综合的和全员的行动进行综合风险管理。

在现代企业的风险控制方面，不少大中型企业一般建立三级风险管理组织，即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构；公司风险控制委员会领导下的内部审计；专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险，对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查，及时提示和报告潜在风险，并提出防范风险及改进工作的建议。

(三)按风险管理的要求开展内部审计

与经营风险管理相结合的内部审计，其具体要求是在企业的“经营——风险——控制——监督”过程中，内部审计充分发挥其监控实效。亦即内部审计在开展时，先由企业各层次人员明确企业经营风险控制管理的目标，在此基础上广泛收集经营决策信息、情况及风险情况，据此对各个待审项目的风险做出评价，进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险)，然后运用“计划——执行——检查——行动”方式，对企业主管层、业务管理层及业务执行层进行审计。

(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查

四、内部审计与风险管理结合在中国的应用和实践

事实上，国内的一些大型企业已经在实践中将内部审计与风险管理进行了初步结合，尽管不够系统规范，但明显提高了内部审计的效率和效果，也证明了与企业风险管理的整合是内部审计发展的主要方向之一。例如，中国石油天然气股份有限公司2000年海外上市以来，为适应各国外资本市场要求，提出了“服务内向型审计”理念。在确定审计计划时，以公司经营战略和目标为依据，注意突出高风险领域及管理层关注的问题，合理分配审计资源。对总部以内部控制审计为主，对地区公司以管理审计为主，对下级单位则以精细审计为主。中石油还倡导审计人员适度介入管理过程，及时对基层单位的工作提出建议和意见，并与被审计单位共同分析管理缺陷，研究改进措施。中石油对西气东输建设实施三年跟踪审计，就其财务管理、物资采购、服务采购等及时提出管理建议并协助整改，促进整个工程优质高效快速建成。与此同时，中石油还大力推进内部审计从手工作业现场审计为主到信息化条件下的远程和现场审计相结合，极大提高了内部审计在信息化条件下提供保证和咨询服务的能力。中石油在战略层、管理层和作业层展开的审计和咨询工作，使内部审计工作从查错纠弊转变到保证服务和咨询服务相结合，从结果审计转变为结果和过程审计并重，并在一定程度上实现了和企业风险管理的整合。这些有益的探索和实践对现阶段中国企业内部审计工作的开展无疑有着很好的示范作用。