内部审计与企业以风险为导向内部控制体系建设.docVIP

内部审计与企业以风险为导向内部控制体系建设 　　【摘要】 中国海油身处风险密集、资金密集、技术密集的行业，随着总公司业务的不断扩大、产业链的快速延伸，特别是从国内走向国际以后，其在管理上面临新领域、新风险的挑战。要顺利实现总公司的战略发展目标，达到国资委等政府部门以及国际、国内资本市场监管的要求，就必须站在战略的高度，优化、完善现有的内部控制体系，并逐步建成符合中国海油特点的全面风险管理体系。 　　【关键词】 风险导向内部控制体系 全面风险管理 内部审计 企业文化 　　一、风险管理与内部控制的关系 　　在实际工作中风险管理与内部控制活动既有不同又有交叉相容。 　　1、风险管理与内部控制活动的区别 　　风险因素，是指能够引起或增加风险事件发生机会或影响损失严重程度的因素，企业经营面对的风险因素基本可以分为四类：宏观风险、商业风险、运作风险、道德风险。风险如此广泛，造成人们认为进行风险管理的一系列具体活动就是内部控制。 　　其实不然，风险管理的一系列具体活动并不都是内控要做的，特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。虽然风险评估首先要注意目标问题，因为没有明确的目标，也谈不上目标实现的风险，但是在目标的制订方面，内部控制并不是目标的制订活动，而是对目标制订的评价工作，特别是对目标和战略计划制订当中风险的评估，风险管理目标的设定为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。 　　内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。 　　然而现实中的风险管理却很实??，巴塞尔委员会指出，风险管理不同于内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。 　　2、风险管理与内部控制的交叉相容 　　现实工作中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些方面上与内控相交叉。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强化过程中的管理活动。 　　二、内部控制与内部审计的关系 　　内审部门对内控的再监督负有极其重要的责任。如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分，那么内部审计工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在经营管理部门和财会部门两道防线之后的第三道防线，每一个公司都应当设立这一战线。对于风险较高的公司机构来说，这第三道防线更是必不可少的，其重要性不仅仅在于内审已经变成了最后一道防线，而是由于内审部门的独立性和应有的权威性，加上其组织系统的垂直性，赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在内审人员在严密的计划和组织之下，能够独立地按照法人要求，有选择地对内控的各方面行使其检查职能，并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人，然后有权督促内审监察建议的落实。为了强化内审部门的监督职能，许多西方的金融机构都成立了独立于经营管理活动之外的内部审计委员会。 　　有人认为内审部门在经营管理部门的内控制度尚不健全的情况下去进行内控检查评价是“皇帝不急，急死太监”。这种认识忽视了审计部门有促进被检查单位完善其内控制度的重要作用。其实，大多数单位都有内控制度，只是其完善程度不同和执行情况不同。虽然内控水平的提高要靠经营管理部门进行大量实实在在的工作，但是，审计人员不能等待被检查单位的内控制度完善之后再去审计，而检查评价本身就是在促进被审计单位完善其内控制度，提高内控水平。 　　现在，越来越多的经营管理者认识到加强内控的重要性，审计人员的任务就是要多在这方面提供咨询服务，以先进有效的内控检评方法，有计划和有重点地对各级经营管理部门（包括人事部门和行政部门）的内控制度及其执行情况进行再监督检查。这里，检查的方法要规范，力求采用先进技术手段，并将检查评价结果独立地和及时地报告有关负责人和部门。同时，审计人员应向被审计单位提出改进内控的建设性意见，督促这些单位改进内控状况。 　　更为重要的是，由于在组织结构上内审部门并非独立于内控的整体框架之外，内审部门也属于控制环境的一部分，其本身也需要对自身的各种内部和外部的风险进行评估，并相应采取认真的自我控制措施，在进行信息与交流的同时加