论现代内部审计及风险管理协调整合.docVIP

论现代内部审计及风险管理协调整合[收稿日期]2006-11-10 [作者简介]张建刚，男，山东昌乐人，山东财政学院会计学院副教授，研究方向：审计理论。 [摘要]内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文根据COSO企业风险管理框架和IIA内部审计实务标准，分析了内部审计与风险管理的关系及两者相结合的意义，指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用，并探讨了在发挥内部审计四种职能作用前提下，其与风险管理整合的程序步骤，及其在中国的应用。 [关键词]内部审计；风险管理；IIA；COSO框架 [中图分类号]F239.45　[文献标识码]A　[文章编号]1008―2670(2007)01―0054―04 内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动，其目的在于为组织增加价值并提高组织的运作效率，采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善，从而帮助组织实现目标。 企业风险管理是一个由企业的董事会、管理层和员工共同参与，应用于企业战略制定和企业内部各个层次和部门，用于识别可能对企业造成潜在影响的事项，并根据风险偏好管理风险，为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中，是一个过程，是实现结果的一种方式。与传统的项目风险管理相比，企业风险管理强调战略导向，覆盖了组织所有的管理层次和管理领域，方法也更为结构化和规范化。 内部审计承担了监督、分析、评价、检察、报告和改进等任务，是企业风险管理不可或缺的组成部分。就世界范围看，风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容，其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象，2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。 内部审计为什么要与风险管理相整合，在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系，两者结合的意义及两者结合的方式作进一步探讨，并在此基础上研究中国企业如何将内部审计与风险管理相结合。 一、内部审计与风险管理的关系及两者结合的意义 IIA在对美国国会关于《萨班斯――奥克利斯法案》的意见陈述书中表述：内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险，审查信息及公司对法律法规的遵守情况，向董事会、审计委员会以及高层管理人员负责提供保证――风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心，聚焦于控制、风险管理等关键问题，通过帮助组织管理风险和提高管理效率，来增加组织的价值和改善公司的经营。 公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避此类风险，对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作：系统鉴别组织所面临的风险；评估这些风险对组织的潜在影响；制定控制风险的策略；评价风险管理的过程；就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下，内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论，当然在该过程中由管理层负责对重大风险采取针对性行动，内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责，它应当确保组织中有良好的风险管理过程，并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程，以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。 IIA多年来一直积极倡导内部审计参与风险管理，它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。 内部审计与风险管理相结合是将风险作为内部审计的对象，打破了原来的内部审计只关心内部控制有效性的局面，在评价内部控制的基础上，对企业所面临的各种风险进行识别和分析。从另一个角度来讲，内部审计更加注重企业的未来，从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制是否健全、关键的控制点是否