内部审计和风险管理 企业管理\内部审计与风险管理关系研究

　　摘要：本文研究了企业管理和内部审计二者与风险管理的关系。研究发现，风险管理与企业现有的管理之间的关系是有机结合、密不可分的。风险管理对现有企业管理起到了提升、整合、强化的作用；而内部审计为了自身发展积极参与企业风险管理，通过参与拓展了内部审计的工作范围，开阔了内部审计人员的视野，提升了内部审计的工作价值，并有效地防范了内部审计工作风险。
　　关键词：企业管理　内部审计　风险管理
　　
　　2004年COSOH布了《企业风险管理――整合框架》，该框架将风险管理和内部审计进行了整合，扩大了内部审计的范围和领域，使内部审计真正参与到企业管理中来。在研究企业管理与内部审计的关系时发现，企业管理与内部审计通过共同参与风险管理，使内部审计将其工作范围扩大到了企业管理的全部领域和过程，巩固和提高了其在组织中的地位和发展。而管理层则通过设定战略和目标有效地应对了不确定性及与之相随的的风险，并在增长收益目标和相关风险之间取得最佳平衡，增强了企业风险应对决策，使企业高效率地配置资源，减少营运意外，降低损失。最终增强企业创造价值的能力并帮助企业实现绩效目标和盈利目标，使企业价值达到最大化。
　　
　　一、企业管理与内部审计的研究现状
　　
　　(一)企业管理研究现状　(1)企业管理现状。在企业经营管理过程中，各个企业都面临不确定性，管理层的挑战在于努力增加利益相关人价值的同时要确定应承受多大的不确定性。这个不确定性即为风险。风险在一定环境和限期内客观存在，它能导致费用损失和损害产生。它具有客观性、普遍性、必然性、可识别性、可控性等特点。近年来，随着社会经济的发展，特别是经济全球化及国际化程度的加深，企业经营环境变得日趋复杂，企业经营风险也大大增加。知识经济的到来，更使企业的风险雪上加霜。因此，减少企业面临的风险成为组织实现目标的关键，也成为企业的管理人员十分关心的问题。这些年来，一系列财务失败事件的发生以及对企业风险的关注，使人们越来越清楚地认识到需要一个强有力的管理框架来有效地识别、评估和控制风险。普华在最近的一份报告中提出了一个GRC(Governance，Risk，Compliance)模型。该报告认为，组织可以把GRC战略性地整合进它们的经营中，以形成一个可以对企业进行管理的道德和经营框架。这个框架包括治理(Governance)、企业风险管理(Enterprise Risk Management)和遵守(Comphanee)三个组成部分。在这个框架中，风险管理活动包括识别和评价那些可能会影响目标实现能力的风险，应用风险管理来获得竞争优势和确定风险应对策略和控制活动。在这个框架中我们看出风险管理可以帮助企业管理层实现组织的绩效目标和盈利目标，防止资源损失；有助于保证有效的信息报告及更好地遵循法律法规，从而避免组织受损及其他相关后果。(2)企业管理中的风险管理。2003年颁布了《内部审计实务准则》，该准则指出风险管理是管理层的主要职责。管理人员应该保证机构拥有健全的风险管理过程并使其发挥作用。2004年9月，COSO发布了《企业风险管理一整合框架》，COSO在界定风险管理时，明确指出企业风险管理是企业管理过程的一个组成部分。所谓风险管理，是对影响公司目标实现的各种不确定事件进行识别和评估，并采取应对措施将其影响控制在可接受范围内的过程，风险管理旨在为公司目标的实现提供合理保证。风险管理活动已经成为国际性大公司管理活动的重点，一些国家和组织也在致力于研究如何防范企业风险。风险管理理念是一套共享的观念和态度，它标志着企业考虑风险时的特征，反映了企业的价值观，影响着企业的文化和经营方式。企业风险管理包括八个相互关联的构成要素，它们源自管理当局的经营方式，并与管理过程整合在一起。其分别是：内部环境，管理当局确立关于风险的理念，并确定风险容量。所有企业的核心都是人(他们的个人品性。包括诚信、道德价值观和胜任能力)以及经营所处的环境，内部环境为主体中的人们如何看待风险和着手控制风险确立了基础；目标设定，必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应；事项识别，必须识别可能对主体产生影响的潜在事?它包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程；风险评估，要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响；风险应对，员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应；控制活动，制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施；信息与沟通，主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动；监控，整个企业风险管理处于监控之下，必要时还会进行修正。这种方式能够动态地反应风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
　　
　　(二)内部审计研究现状　(1)企业内部审计的现状。衍生于授权管理需要的企业内部审计，根植于传统企业环境，经过几十年的发展，已经基本形成了固有的模式和完整的体系格局。但当传统企业演变为现代企业时，原有的内部审计理论和实务发生了碰撞。许多既定的内部审计内容和方法，显得难以适应新的企业环境。内部审计的本质和基本功能是对经济活动的监督和控制。20世纪40年代，随着企业规模扩张、管理层次的增多和管理人员经济责任的加重，现代内部审计应运而生。内部审计产生的理论基础源于两权分离下的受托经济责任理论。内部审计最初在财务领域开展，主要是监督、鉴证受托财务责任，审计目的是查错防弊；20世纪60年代至80年代，由于市场竞争加剧和大型跨国公司兴起，企业管理者对于降低成本、提高经济效益的要求更加迫切，迅速发展起经营审计和经济效益审计，以实现帮助组织提高经营效率和经营效果的兴利目标；随着内部审计范围向管理领域的延伸，1993年版的IIA内部审计实务准则将内部审计职能定义为监督和评价；而2001年根据最新版的《内部审计实务标准》规定，内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动，它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善，帮助组织实现目标。根据这一定义，现代内部审计的范围已从传统上的财务收支审计扩大到风险管理和公司治理层次上来，有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的焦点。内部控制与风险是我国《内部审计准则》的两个核心概念，内部审计不仅是内部控制的重要组成部分同时也是风险管理的重要组成部分，它与风险管理的联系日趋紧密。风险管理作为管理层的一项关键责任，企业管理层对其负有不可推卸的责任。内部审计部门则有职责定期评价并协助企业管理层进行风险管理， 在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议，帮助识别、评价和实施风险管理，从而为企业增加价值。(2)内部审计注入风险管理的内容。现代企业风险管理贯穿在企业生产经营的全过程，渗透到企业的各个部门各个环节。内部审计作为现代企业的重要管理部门之一，对企业的风险管理也承担着重要的责任。国家审计署在2003年5月修订生效的《审计署关于内部审计工作的规定》中对内部审计的基本职责作出明确规定，其中就包括“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审”。国际内部审计师协会也在关于内部审计的新定义中明确：“内部审计是一种旨在增值和改善机构运营状况的独立的、客观的保证和咨询活动。它通过引入系统化、严谨方法来评价和改善风险管理、控制和治理程序，帮助所在机构实现其目标。”从这些规定和定义及内部审计的职责和监督服务的基本功能可以看出，内部审计注入了企业风险管理的内容。一是在企业风险管理中担负监督、评价责任。监督、评价是内部审计的一项基本职责，也是内部审计传统的看家本领。企业风险管理过程也存在监督、评价职责，而且监督、评价是风险管理的起始和基础。要管理风险，必先识别风险。企业的风险在哪里，形成风险的相关因素有哪些?内部审计在履行风险管理监督责任时，首先要学会分析判断企业风险所在，在准确识别风险的基础上，要坚持原则，勇于发现反映企业存在的风险，切实体现监督责任，因为许多企业的风险是同各级管理人员甚至领导人员的工作缺陷分不开的。企业风险管理中的监督和风险管理中的各项处置与承受也需要在不同的职能部门间分开，才能使风险得到充分的反映。因此内部审计往往成为体现企业风险管理监督责任的主要部门。企业风险在识别的基础上需要进一步评价。内部审计应当掌握企业风险评价的系统方法，对企业风险形成因素、影响后果、发生频率、损失程度等等作出分析，根据不同的指标对企业的风险级次进行排序，为进一步的风险处置提供决策基础。这里值得强调的是，内部审计要承担好风险评价责任，必须具备专业的系统化严谨评价方法，而不是简单的主观经验判断。无疑这对许多内部审计机构来讲仍然是一个薄弱的环节，需要相应的专业人才配备和学习培训，才能担负起风险评价的责任。二是在企业风险管理中担负咨询服务责任。咨询服务是现代企业内部审计体现创新和大力发展的新的功能，也是现代新型内部审计的重要责任。企业风险管理最终的目的是要对风险的相关因素采取措施，规避风险，化解和转移风险，或权衡利弊分担和降低风险损失的影响。内部审计应当对企业风险管理需要采取的措施提出建议，尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见。咨询服务是企业环境变化给内部审计带来增加价值的极好机会，是内部审计提升地位和作用的崭新平台，而风险管理正是提供咨询服务最多机会的重要管理活动。内部审计应抓住这个机遇，作到急企业所急，想企业所想，积极主动地在风险管理中开展帮助、促进健全管理活动，才能履行好咨询服务责任。内部审计要在企业风险管理中尽其责任，是必须通过内部审计的具体工作来体现的，通过涉及风险管理的有关审计活动发挥其作用。在企业风险管理中，内部审计的本质特征并不发生改变。为了保证其独立性和客观性，内部审计并不对建立企业风险管理体系承担主要责任，风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持，但不能设定风险容忍度、强制施行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动，内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。
　　
　　二、企业管理和内部审计及其与风险管理的关系
　　
　　(一)企业管理与内部审计的交叉点――风险管理　风险管理是企业管理的一项职能，更是一种管理理念，它贯穿于企业管理的各个方面。在一个大型企业内，不同部门面临的风险表现和种类存在显著差别。这些来自企业内部的风险常常是由于内部控制系统有缺陷或虽有良好的管理控制系统却未得到认真的贯彻执行而产生。在企业内部，现代企业建立了各级风险管理组织层次，包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门隶属于管理部门，不具有独立性，其意见有时会屈服于管理当局的压力，这使得风险管理部门的作用受到限制。在现代企业中，内部审计部门独立于管理部门，其风险评估的意见可以直接报送给董事会，提出的意见与建议更具权威性。他们以风险发生可能性大小为依据，深入经营管理过程和行为，在业务经营、财务管理、费用控制等各方面查找并防范风险，通过内部视角，敏锐观察经营过程中不断变化的风险因素，快速传递管理中存在的缺陷或失败，促使董事会和高级管理层做出快速反应，及时采取措施，防范和纠正不当行为。(1)企业管理与风险管理的联系。2004年，COSO在内部控制框架概念的基础上，提出了企业风险管理(EnterpriseRiskManagement，ERM)的概念，COSO在界定企业风险管理时，明确了所属关系：企业风险管理是企业管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是，并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理行为中应用的许多判断，尽管是管理过程的组成部分，但不是企业风险管理的组成部分。例如，确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素，而管理层选择的特定目标不是企业风险管理的组成部分；在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分，而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分；确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分，而所选择的特定控制活动不是企业风险管理的组成部分。(2)内部审计与风险管理的联系。从上述企业管理与内部审计的研究中我们发现风险管理是企业管理的一种管理方法，它渗透到管理的各个环节，而内部审计也参与企业风险管理。二者都和风险管理相关，风险管理就是二者的交叉点。在市场经济条件下，风险是普遍存在的，风险是企业的一种特殊资源，可以给企业带来巨大市场商机，也可以给企业带来巨大灾难，关键是企业如何识别风险、评估风险、应对和规避风险(回避风险、防范风险、分散风险和转移风险)，从而实现企业目标。为了实现企业目标，需要制定发展战略、人才战略、营销策略、改革措施等等，同时需要建立内部控制制度，加强企业风险管理。在企业风险管理中，企业管理层负责确定可接受的风险范围，建立健全风险管理机制并使之有效运行。企业管理层对待风险的态度将直接决定企业风险管理的程度，什么情况下采用激进的冒险策略，什么情况下采用稳健的避险策略，是企业管理层的责任。尽管风险管理是全员的，但是风险管理的责任主体是企业管理层。现在风险管理已成为内部审计的重要领域。内部审计涉足风险管理领域是社会发展的客观必然。在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。但这绝不意味着内部审计部门不能作为直接的风险管理人，在必要的情况下，它可以直接进行 风险管理。内部审计介入风险管理是一个崭新的事物，对内部审计如何在风险管理中发挥作用是一个需要进一步深入探讨的课题。
　　
　　(二)风险管理对企业管理和内部审计的影响　(1)风险管理对企业管理的影响。全面风险管理对现有的企业管理起到的是提升、整合、强化的作用。现有的管理体系基本是对业务流程的管理，而所有的业务流程的管理中都应当有风险管理的内容。也就是说，全面风险管理为现有管理体系提供了基础和操作平台。从全面风险管理的角度审视现有的各种管理体系，可以看到许多应当改进的地方。因此，全面风险管理对现有的各种管理体系有提升的作用。现有的企业中的管理体系往往是互相重叠的、关系不清的。而全面风险管理体系的系统性强，覆盖了企业管理的各个方面，表现了现代企业管理的核心内容。所以，实施全面风险管理能够将现存的管理功能联系起来，协调相互不一致、不连贯的地方，将其去粗取精。因此，在企业现有的管理体系中进行风险管理有利于提高企业的管理水平。在企业中，现有的管理体系中风险管理功能欠缺及整个企业层面上控制风险功能欠缺，我们通过实施全面风险管理来强化企业管理的功能，弥补现有管理体系的缺陷和不足。(2)风险管理对内部审计的影响。内部审计参与企业风险管理，是由企业经营管理环境变化和对内部审计的需求变化决定的。对内部审计而言，选择积极参与企业风险管理，也是内部审计自身发展的需要，这一选择对内部审计带来了深远的影响。一是参与风险管理，对拓展内部审计工作范围的影响。内部审计参与企业风险管理必然会突破传统的财务审计范围，向企业管理的各个重要风险存在领域实施审计检查，审计的对象会发生很大变化，会超越财务会计范畴，更多涉及生产经营业务的操作管理。这为内部审计向更高层次、更大范围的发展提供了广阔的舞台。发达国家的企业内部审计已较早涉足企业的风险管理。内部审计参与企业风险管理涉足的宽广范围，使内部审计人员开阔了视野，丰富了知识，对提升内部审计的综合性管理层次具有重要意义。二是参与风险管理对提升内部审计工作价值的影响。为企业提供增值服务是现代内部审计发展的重要方向之一，而参与企业风险管理就为内部审计实现增值服务创造更多机会。对于一些可以量化的风险，通过审计准确的检查评价，揭示具体的风险并使企业及时采取措施，避免了风险和损失的发生，就可以直接为企业增加价值。对于制度、管理活动中的缺陷可能造成的风险，审计也应发挥建设性作用，帮助改善企业的内控管理系统，这也是一种间接的或难以量化的增值服务。内部审计切实在参与风险管理中为企业提供有效的帮助，它不仅会受到企业高层管理的重视，而且会得到广大被审计单位的欢迎和支持，内部审计的价值就会得到进一步提升和体现。三是参与风险管理对防范内部审计工作风险的影响。风险导向审计方法在现代独立审计业界普遍流行和得到重视，正是因为这种方法可以有效控制审计风险。它以审计风险评估为中心，哪里可能产生较大的审计风险，就在哪里投入较多的审计资源，进行详细的审计检查，使审计结果减少虚假错漏的风险。内部审计参与风险管理也有助于审计在反映问题的方向和准确性方面防范审计风险。因为企业的风险是客观存在的，通过审计如不能准确地反映企业的风险，事后企业的风险暴露造成损失，内部审计也会因失查而承担一定责任，这也是审计的风险所在。再此，企业的风险和审计的风险是密切相关的，关注和化解了企业风险也就减少了审计的风险。现代企业管理是一种系统性社会行为。它必然是一个以领导行为为主导，领导、经营、管理、治理相互交叉、相互统一的行为过程；也一定是一个以绩效为导向，结果、过程和目标相互交叉、相互统一的行为过程；是―个把内部审计作为有机组成部分的大管理系统行为。风险管理是企业管理的重要内容，内部审计参与风险管理是新形势下企业生存与发展的客观需要，也是企业管理层的内在需要。而企业内部审计是企业管理的子系统，企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。
　　
　　参考文献：
　　[1]张健刚等：《论现代内部审计与风险管理的协调整合》，《山东财政学院学报》2007年第1期。
　　[2]刘霞：《关于企业风险管理框架的若干思考》，《经济研究导刊》2007年第7期。
　　[3]张淑彗：《内部审计与风险管理》，《企业经济》2005年第7期。
　　
　　(编辑　聂穗丽)