《07现代企业风险管理审计实务研究.docx》由会员分享,可在线阅读,更多相关《07现代企业风险管理审计实务研究.docx(34页珍藏版)》请在三一办公上搜索。
1、现代企业风险管理审计实务研究现代企业风险管理审计实务研究 目 录一、问题的提出二、审计客体和审计流程双轮驱动的风险管理审计三、现代企业风险管理审计路径选择四、案例导入五、与内部控制审计的比较六、内部审计在企业风险管理过程中的角色与责任七、结论、要求与趋势分析【内容摘要】本文从企业风险管理和内部审计理论与实践发展的现实需要出发,结合先进的内部审计理论,架构了风险管理审计框架,从风险管理审计的背景分析入手,探讨了风险管理审计的内容、实现途径、现实困惑等相关问题,充分结合“国际内部审计专业实务框架”和“中国内部审计准则”的规定,设计了企业风险管理审计模型,并对未来进行了预测和展望。风险管理审计是现代
2、企业内部审计未来发展的主题,强化风险管理审计意识,提升风险管理审计专业能力,保持独立性、客观性,是风险管理审计对内部审计人员的基本要求。 【关键词】现代企业 风险管理审计 实务研究一、问题的提出 自从安然事件、世通事件发生后,各大企业和行业监管组织都将关注的视线转向舞弊及舞弊的防范问题,如美国反虚假财务报告委员会(COSO)、国际内部审计师协会(IIA)等。如何防止舞弊?全面推进风险管理,强化内部控制意识,优化公司治理结构成为首要选择。面对国际经济文化环境的变化,我国财政部、证监会、审计署、国资委、银监会和保监会等主要监管部门也纷纷颁布标准和规范,以强化内部控制、风险管理和公司治理。如“五部委
3、”共同制定了企业内部控制基本规范(将于2010年1月1日起在上市公司中施行)、国资委颁布了中央企业全面风险管理指引等。面对上述变化,内部审计如何应对? 国际内部审计师协会(The Institute of Internal Auditors以下简称IIA)在2001年颁发的内部审计专业实务标准中将内部审计定义为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”2007年,IIA开始着手全面修订内部审计专业实务标准,并于2009年1月,颁布了新的国际内部审计专业实务框架“Inter
4、national Professional Practices Framework(IPPF)”,尽管该“实务框架”在结构组成、具体内容等方面与2001年的“实务标准”有较大不同,但关于内部审计的定义,却没有任何变化。 我国内部审计协会于2003年颁发了我国第一套内部审计准则,其内部审计基本准则第二条将内部审计描述为:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审计和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。” 图表1:两组定义的完整内容及比较 不同定义比较项目IIA的定义CIIA的定义审计主体定义中没有明确,但透过定义可以确定:可以设在组织内部,也可
5、以设在组织外部强调由组织内部的机构或人员审计客体风险评估内部控制治理程序经营活动内部控制审计目标帮助组织增加价值改善经营效率适当性、合法性有效性审计职能咨询确认(监督、评价)监督评价审计特征独立性客观性独立性客观性国际内部审计师协会(IIA)成立了一个专门从事内部审计研究的知识共同体组织,该组织英文全称为Common Body of Knowledge,简缩为CBOK。该组织自从成立以来,一直致力于内部审计理论研究和实践状况调查工作,于2006年底,发布了第一份全球内部审计活动状况的调查报告,这份报告在对全球各地内部审计情况调查的基础上,系统地总结了被调查者提供的信息,确定了有效的内部审计活动
6、应具备的属性,包括内部审计人员的知识结构、胜任能力和审计技术、内部审计工具以及日益突出的内部审计功能等。CBOK通过网络等多种渠道,于2006年9月面向全球发放了数万份调查问卷,回收9366份,被调查的对象有首席审计执行官、审计经理、高级审计主管、审计人员以及其他类型被调查者(没有内部审计师相应的技术职称,但却从事内部审计理论研究或实践工作)。调查的主要议题涉及这样几个重要方面:1、内部审计活动的现状;2、人员配备和专业的发展状况;3、内部审计技术与方法;4、内部审计人员的知识结构和胜任能力;5、内部审计实务标准的执行情况;6、内部审计功能及实现情况。在针对内部审计活动线装调查中,有79.5%
7、的被调查者认为风险管理审计在未来三年内将有增长的趋势。图表2: 未来三年内内部审计执行的审计类型的期望变化活动选项样本量增长减少保持不变合计财务过程审核672443.5%14.5%41.9%100%风险管理672879.5%2.3%18.2%100%组织治理670463.2%4.0%32.8%100%规章的执行669846.9%11.7%41.4%100%运营审计671546.2%14.7%39.1%100%资料来源:时现等翻译 全球内部审计概览-基于调查问卷的视角 中国内部审计 2008年4期 为了获得对内部审计活动在一个组织所进行的各种各样的活动中应该扮演或即将扮演的角色的理解,很多组织向
8、被调查者提供了其执行的一系列功能。调查时要求说明他们的IIA 现在是否在活动中扮演一定的角色、或是否可能在未来三年中扮演一定的角色、或者根本不可能发挥任何作用(见图表3、图表4)。图表3 内部审计活动日益突出的地位角色选项样本量目前扮演一定角色三年内扮演一定角色不可能扮演角色根本不会扮演角色合计战略合作和执行策略(平衡记分卡)650023.1%35.2%30.1%11.5%100基准647628.6%35.7%26.0%9.8%100组织治理651152.2%31.1%11.3%5.15100组织社会责任641523.6%31.6%33.8%11.0%100人事组织培训(内部控制、风险管理、规
9、章制度)652246.6%34.4%15.3%3.7%100灾难恢复649034.0%26.1%29.0%10.%9100证据的条目638539.8%23.9%23.5%12.8%100图表4 :内部审计活动日益突出的地位角色选项样本量目前扮演一定角色三年内扮演一定角色不可能扮演角色根本不会扮演角色合计新新市场642611.5%22.5%39.5%26.4%100环境稳定性643614.0%24.7%39.9%21.4%100行政赔偿642916.0%17.7%45.4%20.9%100舞弊防范检查653069.0%22.9%5.7%2.5%100全球化643115.3%21.1%35.2%2
10、8.4%100知识产权和评估639119.2%28.4%35.1%17.3%100IT管理评估645346.1%32.2%16.8%4.9%100知识管理系统发展审核638726.1%38.0%26.9%8.9%100合并和收购643718.4%23.7%30.8%27.1%100项目管理641039.8%27.6%25.1%7.6%100对审计委员会提供培训643631.2%34.4%21.7%12.7%100规范执行的评估监控644264.0%23.0%9.2%3.8%100风险管理650966.6%25.5%5.6%2.3%100战略框架640727.0%36.8%27.7%8.5%10
11、0数据来源:时现等翻译 全球内部审计概览-基于调查问卷的视角 中国内部审计 2008年4期应企业风险管理的要求,内部审计应该将重心转向内部控制审计和风险管理审计开展05审计审计。但是,来自于中国内部审计协会内部审计发展研究中心的研究报告表明,至2007年底,我国国有企业内部审计活动主要包括“财务审计、经济责任审计、投资项目审计、经济效益审计、物资采购审计、专项审计”等,风险管理审计、内部控制审计、舞弊审计、IT审计虽然有所开展,但比例很低。图表5:中国国有企业内部审计活动范围财务审计经济责任审计专项审计投资项目审计经济效益审计内部控制审计物资采购审计合规审计其它审计风险审计舞弊审计IT审计23
12、.7020.2111.4010.978.418.375.613.773.132.601.360.47(数据来源:时现 毛勇08中国国有企业内部审计发展研究报告)现实与准则要求形成了巨大反差,风险管理审计如何有效开展?确实缺乏实践标杆,不仅如此,面对内部审计新旧概念的更迭,诸多专业术语如雨后春笋般出现,如内部控制审计、制度基础审计、风险管理审计、风险导向审计等,内部审计的专业内涵也发生了深刻的变化,如何在实践中界定清楚并推进,以达到现代内部审计帮助组织增加价值的目标,是内部审计人员必须要关注和研究的问题。国际内部审计师协会在2009年最新颁布的国际内部审计专业实务框架中要求内部审计人员应该使用风
13、险评估的方法编制审计计划,同时要积极开展风险管理审计。某油田的内部审计也在积极呼应,但由于刚刚起步,尚无标杆可以参照,本研究则立足于此,从管理审计内容的界定和管理审计流程两个纬度设计风险管理审计框架,丰富风险管理审计内涵,推进风向管理审计实务发展。二、 审计客体和审计流程双轮驱动的风险管理审计 (一)风险来自于不确定性国资委在中央企业全面风险管理指引中将企业风险定义为未来的不确定性对企业实现其经营目标的影响。国际内部审计师协会(IIA)新颁布的国际内部审计专业实务框架(IPPF)将风险定义为:“指对实现目标有影响的事件实际发生的可能性,风险通过影响程度和发生的可能性来衡量。”图表6:不确定性示
14、意风险是风险因素、风险事故和损失三个要素的结合体,三者之间的关系如图表7所示。 实质性风险因素道德性风险因素风 险 因 素风 险 事 故 损失直接损失间接损失心理性风险因素图表 7:风险三要素风险在企业经营活动中有不同的表示,国资委将企业风险分为:战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分,见图表8:图表8:国资委对国有企业风险的分类内部外部战略风险新技术、新产品、购并风险、品牌建立、收益变化市场需求变化、失去主要客户或供应商、竞争对手财务风险现金流、资产流动性经济周期、信用风险市场风险定价 、促销政策股票市场、外汇汇率、贷款利息、期货市场运营风险安全生产、网络安全、环境保护
15、、人力资源、新项目、价格谈判、火灾、车船事故、人身伤亡管理责任、供应链、水灾、偷盗、恐怖袭击法律风险知识产权、员工纠纷合规、法律改变、诉讼 (二)企业风险管理融入企业战略设计和所有经营活动之中企业风险管理是指围绕企业风险去管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。其含义是“识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。”纵览企业风险管理发展路程,如下几个要素需
16、要我们给予足够的关注:1、企业管理目标引导风险管理 (见图表9)图表9:企业管理目标的变化引导企业风险管理重点的转移2、企业管理环境影响风险管理(见图表10)图表10:企业管理环境的变化影响风险管理模式的变化(三)风险管理审计的两个纬度进入21世纪, “风险审计”、“风险管理审计”、“风险导向审计”等类似名词不断出现在审计者的视线中,勿庸质疑,我们对“风险导向审计”比较熟悉,并能够在CPA 审计中熟练应用,但当“风险管理审计”的概念出现之后,部分学者、专家认为它和风险导向审计同义,这是不够恰当的,具体区分如下:第一个纬度:客体主导的风险管理审计。站在内部审计的视角看,风险管理审计与风险导向审计
17、的内涵截然不同。风险管理审计的涵义是“对组织的风险管理进行审计”。对于企业来说,这里的风险,是指“企业风险”,主要涉及“经营风险”。在风险管理审计框架下,“风险管理”是审计的客体和对象。风险导向审计是作为继账项基础审计、制度基础审计之后一种新的审计模式,它适用于所有的审计主体,但CPA更加青睐这种审计模式。风险导向审计框架下,风险指的是“审计风险”,其含义更加倾向于审计主体。国际内部审计专业实务框架的“工作标准:2120”条明确了风险管理审计的内容和相关要求,即:“内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献” (具体规定见图表11)。图表11:国际内部审计专业实务框架对风险管
18、理审计的最新规定来源内容描述备注工作标准2120A1内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:(1)财务和运营信息的可靠性和完整性;(2)运营的效果和效率;(3)资产的安全;(4)法律、法规及合同的遵循情况。工作标准2120A2内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。工作标准2120C1在咨询业务时,内部审计师必须关注与业务的目标相关的风险,并警惕其他重大风险的存在。工作标准2120C2内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。工作标准2120C3协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工
19、作中对风险进行管理,从而承担任何管理层的责任第二个纬度:审计计划牵引,贯穿全部审计流程的风险管理审计。以风险评估为基础,确定内部审计计划,并以审计计划为起点,在内部审计流程中全面推行风险管理审计,这是风险管理审计的第二个纬度。选择被审者风险评估的方法制定审计计划初步调查经营活动描述和分析内部控制制度重估风险扩大内部控制测试的范围修正审计风险认为审计风险可以接受形成审计发现和建议或以风险评估为基础形成审计发现报告后续审计审计评价风险评估的方法图表12:风险管理审计流程 三、企业风险管理审计模型设计(一)以风险为导向制定内部审计计划审计计划是指内部审计机构和人员为完成审计业务,达到预期的审计目的,
20、对一段时期的审计工作任务或具体审计项目做出的事先规划。按照中国内部审计协会“内部审计具体准则第1号: 审计计划”要求,内部审计计划由“年度审计计划、项目审计计划和审计方案构成”。见下图表13:内部审计计划年度审计计划项目审计计划审计方案图表13:内部审计计划构成内部审计计划是组织开展内部审计活动的依据,是考核与评估内部审计质量的重要标准,充分考虑中国内部审计协会和国际内部审计师协会的要求和准则规定,三个层次的审计计划分别包含如下内容,见图表14:图表14:内部审计计划的主要内容内部审计计划构成主要内容年度审计计划1、内部审计年度工作目标;2、需要执行的具体审计项目及其先后顺序;3、各审计项目所
21、分配的审计资源;4、后续审计的必要安排。项目审计计划1、审计目的和审计范围;2、重要性和审计风险的评估;3、审计小组构成和审计时间的分配;4、对专家和外部审计工作结果的利用;5、其他有关内容。审计方案:1、具体审计目的;2、具体审计方法和程序;3、预定的执行人及执行日期;4、其他有关内容。多年来,许多企业都已经习惯了按照如下要求编制审计计划:1、企业的经营计划和经营重点;2、领导交办;3、企业内部审计制度规定。内部审计人员很少使用风险评估的方法确定审计内容和审计范围,制订审计计划。2001年,IIA颁布了内部审计专业实务标准,第一次提出了以风险评估为基础编制审计计划,该规定在2009年颁布的国
22、际内部审计专业实务框架中得到了进一步的确认。其工作标准2010条的描述是:“首席审计执行官必须以风险为基础制定计划,以确定与组织目标相一致的内部审计活动重点。”在审计计划阶段,选择被审计对象是其工作起点。被审计对象指的是在企业内部被审计的某个部分,它可以是某个子公司、某项经营活动或某个方案,也可以是一个独立的过程或活动。虽然风险发生的概率及造成的损失难以确定,但选择被审计者时对风险的考虑却是毋庸置疑的,这也是风险导向内部审计的第一步。内部审计人员应该在评估风险和风险暴露优先次序的基础上安排审计工作,根据风险评估的结果,对企业风险从大到小进行排序,再充分结合审计资源、审计限制条件、审计环境及其他
23、要素确定审计业务数量和审计的先后顺序,如果没有他别原因(如舞弊事项),审计顺序应该按照风险大小来排列,风险大的先审,风险小的后审或不审。以风险评估为基础编制审计计划,要求内部审计人员具备风险识别、风险分析和风险评价的基本能力。风险识别:是识别企业面临的风险,并将风险归类。风险分析:是将辨识出的风险放进统一的模型中进行分析处理,进一步作出定性和定量的分析,包括风险对企业目标实现的可能影响、这些风险物化的多重情境分析和统计特性、可能的影响因素和方式风险评价:是评价风险对企业目标的影响,企业影响最大的风险将成为企业风险管理的重点(二)基于风险矩阵图的审计实施与风险管理审计相对应,我们比较熟悉内部控制
24、审计。在开展内部控制审计时,我们一般通过三种可能的方式描述内部控制情况,即:调查问卷方式、座谈会方式和个别走访的方式。将这三种方式移植到风险管理审计中同样适用,但问卷的重点和内容与内部控制审计要求会有不同。为了保证风险管理情况的描述到位,审计人员必须对企业决策过程、经营活动流程等相关内容十分熟悉,并对主要经营活动的风险点有一定的认识和了解。国资委2004年对我国国有企业经理进行了调查,调查发现,经理门最关心的十大风险是:市场竞争加剧、国家政策导向、战略决策失误、关键人才流失、全球经济一体化、环境保护、成本上升、客户需求发生转变、利率及利率波动、坏账风险。本课题组成员采用现场调查、问卷发放、个别
25、走访及座谈会的方式对我国某能源性企业(石油企业)的公司治理情况、内部控制情况和风险管理情况进行了调查和了解,在此基础上初步确认了其面临的主要风险有: 1、石油资源接替量不足,企业可持续发展受到威胁。勘探数据表明,许多公司的石油储量和可开采量严重不足,这不仅加大了勘探成本,还增加了开采成本和费用,同时对企业以增值为主导的经营目标实现构成了威胁,使之具有不确定性。2、安全风险。近几年中石油连续发生了多起重大安全事故,对我国的经济、文化、政治都造成了重大不良影响。3、环境风险。企业改制、新旧制度交替,受传统观念的束缚与影响,企业员工尚不能很好地适应现代企业制度要求,因此,一方面制度设计增加了成本,另
26、一方面,设计出的制度不能被员工理解和接受,不能有效地执行,由此增加了摩擦成本,使企业经营目标实现具有不确定性。4、信息系统风险。目前企业的人、财、物、供、产、销都离不开系统,如果信息系统的应用程序出错或被非法篡改,其造成的后果将会非常严重。5、研发风险。我国石油企业十分重视研究开发工作,每年预算中都有充足的重大科技专项预算,但是,研发产品的实际效果与预期目标不一致,诸多科研成果不能形成生产力,导致研发的有效性和有用性降低,不仅如此,重大科技专项款在使用中还存在挪用、贪污等舞弊风险及其他的财务风险。6、舞弊风险。能源性企业是典型的国有企业,由于起经营的特殊性(行业垄断性)和真正的所有者缺位,在各
27、种经营活动中都极易出现行贿受贿、拿回扣、贪污盗窃、挪用公款及职务犯罪等舞弊问题。7、成本上升风险。调查结果显示,许多二级单位的经营成本都比较高,在降低成本方面还有很大空间,如影响成本的电费、井下作业费等。充分运用风险评估技术,估计风险严重程度和发生的可能性,形成风险矩阵图(见图图表15)将能源公司的风险表达在矩阵图中,示例如下:可能性极高 7 54 高2 1中等 低 6极低 3极轻微轻微中等重大灾难性影响程度图表15:风险矩阵图如果说以风险评估为基础的审计计划更多地体现了企业整体层面的风险的话,其目的是确定全年审计范围和审计活动项目及先后顺序的话,那么,风险矩阵图的绘制更突出具体经营过程中的风
28、险,是微观层面风险的显示,是审计计划执行的必然环节,是风险管理审计的深入。其目的是进一步确认审计业务本身面临的风险和风险的严重程度,以此为基础进一步明确审计实施阶段的审计内容和审计重点,如果必要的话,需要按照程序调整审计计划。编制审计计划发生在审计准备阶段,绘制风险矩阵图发生在审计实施阶段。(三)数字化的风险测试与风险评价审计测试是审计实施阶段的主要内容,意味着通过将选择的项目变成证据。在风险管理审计中,内部审计师应获得足够的证据,确认企业风险管理目标是否实现。审计测试中通过运用抽样、观察、提问、分析、证实、调查与评估等方法获取有关风险的审计证据,并且揭示出它们的内在品质或特征,目的是为内部审
29、计师形成审计意见提供基础。对内部控制制度进行测试,需要经过穿行测试和小样本测试两个主要阶段。其中,穿行测试可以通过两种途径达到:一是“凭证穿行测试”,即根据组织的记录来追踪整个活动过程;二是“程序穿行测试”,即由审计人员对活动的每一步进行一到两次的测试。穿行测试是从控制点的分析开始的,审计人员针对项目建设活动中的控制点,对项目建设活动分层进行测试。小样本测试的实质是选择少量的行为活动进行测试,其目的是检查内部控制制度实施的有效性程度,即实际活动效果是否达到了预期的目标。上述两种测试方式依然适用于风险管理审计的测试。这一过程表现在风险管理审计的事实阶段,通过对审计活动风险的实质性测试,得出被审计
30、业务风险情况的真实结论,并形成审计发现,为审计报告的编写奠定基础,提供数据和支撑。(四)前瞻性的风险管理审计报告在实施必要审计程序后,内部审计机构与人员应当整理相关工作底稿并编写审计报告。编写审计报告,是审计人员必需的一个技能,也是完整审计流程中的一个重要环节,我国内部审计协会在其颁布的中国内部审计基本准则、内部审计具体准则第7号:审计报告和内部审计实务指南3号:审计报告中对审计报告的格式、内容、类型、编写过程及相关要求等都有明确规定,本研究不再赘述。但是,与常规业务审计报告不同,因不确定性的存在,风险管理审计报告也存在“风险”。如何突出审计报告的前瞻性和可用性?如何体现不同使用者对风险管理审
31、计报告的不同需求?如何降低风险管理审计报告的风险?诸多问题需要讨论和关注。1、披露风险表现和风险排序。常规业务审计报告主要表达业务执行过程中在真实性、合规性和效益性方面存在的问题及原因分析等内容,而风险管理审计报告的内容应该披露被审计事项的风险点,并按照风险大小的程度进行排列,明确出重要风险和关键风险控制点。比如,采购业务的重要风险是舞弊风险,其后果是“质低价高拿回扣”,关键风险控制点是“供应商的选择环节(如招标投标等)”。2、披露被审计单位对利用风险、防范风险的制度、措施及执行情况。常规业务审计报告一般不涉及这方面内容,但风险管理审计报告要从公司治理、内部控制和全面风险管理的整体系统中寻找与
32、具体的风险防范、风险利用有关的规定,并表达这些规定执行的情况。3、披露风险利用风险、风险防范的效果。重点表达风险转化、风险防范的成本、效率和效果,突出风险管理的绩效。4、披露风险管理审计的方法、风险评价的条件和标准。结合被审计活动特点,使用恰当的方法和标准,是风险管理审计的必然要求。为提高审计信息的对称性,风险管理审计报告应该对这样的内容有所披露,这样也有助于降低审计报告的风险。5、谨慎披露舞弊事项。舞弊是企业面临的主要风险之一,内部审计人员在舞弊审计中的责任是:保持职业警惕性和审慎性,在常规审计过程中注意发现舞弊线索,一旦迹象明朗,则要向组织内合适的部门(一般是纪检监察部门)和高管层、董事会
33、报告。因为舞弊更多地涉及“人”的问题,所以,审计人员在对这部分事项报告时,要注意合法性,最好要咨询法律专家后再做适当披露,以降低越权或违法的风险。6、前瞻性地规划提高风险管理质量的建议。常规业务审计报告的“审计建议”部分比较集中在“就事论事”的微观层面,就审计发现的问题,其审计建议一一对应,更有针对性。与之相比较,风险管理审计报告应该在微观建议的基础上,更加关注战略管理、方案选择等方面的建议,以便于指导被审计单位高管层今后能够更加重视企业风险管理工作,从根本上提高风险管理审计的增值功能。四、案例导入图表16:4家世界知名企业内部审计部门促进和帮助风险管理的做法企业名称风险管理审计实践简述(主要
34、做法)备注Entergy 公司1、内部审计部门与风险管理部门合署办公;2、将企业面临的风险分为27个类别,为每一类风险做出书面定义,在企业内,统一风险语言;3、内部审计部门为下属22个经营单位指派“教练”。经营单位负起全面的风险管理责任,内部审计部门扮演平等的顾问角色,作用主要在于指导和影响;4、22个业务单位的负责人年初向审计委员会主席及首席执行官提交风险管理责任书,声明对其自身业务的风险管理负责,并积极采取风险管理战略;5、内部审计部门主要通过两类信息系统驱动风险管理过程:“企业风险管理信息系统”及“内部控制信息系统”;6、内审部门为下属单位提供风险管理训练,花费75%的时间指导这些单位的
35、员工预防及检查风险、监督及设计适当的控制;美国最大的电力公司之一菲利浦莫里斯公司1、通过与外部咨询机构合作以补充内审技能之不足;2、及早参与重大决策活动,如在计算机系统实施之前识别风险并提出解决风险的建议;3、为对付舞弊风险,在内审部门内专门成立“舞弊组”,建立舞弊资料库,分析统计数据,发展预防程序;4、为了对企业所面临的风险做出反映,优化内审部门人员组合,吸收许多非财务专业的人员加入内审队伍;5、通过内联网沟通信息、调阅资料及分享最好的实践;6、内审为每一经营单位的每一职能开发风险评估程序;7、用战略分析矩阵(SWOT)分析内审部门的优劣势,为内审部门制定五年战略计划重点是人力资源计划。世界
36、上最大的烟草公司,全球拥有15万名员工。Clorox公司1、以控制和自我评估来识别与管理风险;2、内审人员全部由高级审计师和审计经理组成,他们将内审部门作为长期生涯的跳板和最好的起点,在内审部门停留的时间仅有930个月,内审部门不断选调新人;3、内审部门发展出一个覆盖主要经营过程的风险识别和排序工具“内部控制指导书”,训练和帮助经营单位进行风险管理;4、在“内部控制指导书”的帮助下,内审更多地开展高水平的顾问工作,集中精力于最重要的风险领域,从而提高了工作效率,平均单位审计时间削减到3个星期以下;5通过风险与控制自我评估活动,在企业内普及了风险与控制观念,改善了内部审计形象。 GE公司1修改内
37、部审计远景规划,以“为支持企业风险管理提供独立的评价和建议服务”作为其新的定位;2内审与公司其他部门充分合作;3采用现代计算机审计技术,以便更有效地开展风险管理审计工作;4更多地开展推进控制与风险自我评估和风险管理咨询活动,而不是传统的审计工作;5内审部门更擅长于界定过程,分析风险、评估控制和设计风险框架。世界最大的工业企业五、与内部控制审计的比较研究COSO1992年发布了企业内部控制一体化架构的研究报告,形成了以“控制环境、风险评估、控制活动、信息沟通与监督”五大要素为主体的内部控制体系,并在全球范围内得到普遍认可和应用;2004年,COSO又发布了企业风险管理框架(简称ERM)的研究报告
38、,该报告认为“内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控”这8个要素是风险管理的主要内容。自从这份报告出台,学界和实务界就展开了关于二者之间关系的讨论与争论,至今也没形成统一意见,代表性观点有:1、内部控制和风险管理是截然不同的两回事;2、内部控制包含风险管理;3、风险管理包含内部控制。正因为有这样不同的认识,许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后,又于近期全面推进风险管理,从组织结构改良开始,设立了独立的风险管理机构,建立风险管理体系,刚刚开始尝试执行的内部控制制度戛然而止。与之对应,许多企业的内部审计机构抛弃了刚刚开始的内部控制审计,要么
39、直接进入风险管理审计,要么内部控制审计与风险管理审计并行。为了避免交叉、重复,提高审计的效率和效果,有必要对内部控制审计和风险管理审计进行比较研究。不能单纯地从COSO的“五要素”或“八要素”的角度简单确定二者的关系,对于同一个企业来说,内部控制与风险管理的直接载体都是企业的经营活动,控制与风险管理的边界都是企业的法人边界,从这一点来说,不能简单地将二者截然割裂开来。按照法国著名管理学家亨利法约尔的管理理论,控制是管理的职能,因此,可以推断,内部控制自然也是风险管理的一个职能,内部控制重心在企业的高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策),内部控制主要关注不相容职务是
40、否分离,风险管理主要关注经营目标实现过程中的不确定性;内部控制是风险管理的主要机制,但不是全部;合谋舞弊时内部控制无效,需要风险管理辅之。在这样的基础上甄别内部控制审计和风险管理审计,可以得到下表所示之结论:图表17:内部控制审计与风险管理审计的关系比较的内容内部控制审计风险管理审计审计内容整体层面内部控制审计业务层面内部控制审计战略层面风险管理审计业务层面风险管理审计审计计划更多地使用抽样方法确定更多地使用风险评估方法确定审计实施描述内控、符合性测试、实质性测试描述风险、测试风险、评价风险审计报告问题导向,关注牵制风险导向,关注前瞻审计方法定性定量相结合,定量评价为主定性定量相结合,定量评价
41、为主比较而言,风险管理审计与内部控制审计不是两个截然不同的事情,二者在整个审计系统框架中具有诸多相似之处,只是重点和审计角度在一定程度上有所不同而已,可以说,风险管理审计是内部控制审计的发展和延伸。内部审计人员监控风险控制活动时,内部控制活动的符合性和实质性测试的传统审计程序分析性程序与详细测试等也可以运用,还包括运用预警分析、审计专业判断等审计程序监控风险控制活动,分析测试风险反应措施是否合理有效。管理人员与审计人员为了突出对现有风险管理和控制过程进行评价,拓展了原有的评价方式,采用了控制/风险自我评估方法。传统的控制活动可以使风险得到管理,包括制定目标与限额的授权、日常交易的授权、独立的确
42、认和记录、对监控的独立衡量等。评价所开展的内部控制程序或控制活动的有效性,评估采取控制活动前的固有风险与采取控制活动后的剩余风险,判断控制活动是否发挥作用,风险是否得到抑制六、内部审计在企业风险管理过程中的角色和责任需要特别注意的是,内部审计在业务层面主要提供的是确认服务,也可以在提供确认服务的同时就风险管理有关问题提供咨询服务。根据IIA于2004年9月发布的意见书内部审计在企业全面风险管理中的作用,以及2005年10月IIA研究基金会通过IIA全球信息网对7200名IIA会员组织的调查就内部审计在多大程度上发挥了IIA在意见书中提出的风险管理的作用,IIA认为,为保证独立性与客观性,企业在
43、构建风险管理过程时,内部审计不应承担原本属于管理层的风险管理责任。具体包括以下六个方面(Inappropriate Activities): 设置风险偏好; 对风险管理过程施加影响; 为管理层提供风险保证; 就风险作出决策; 以管理层的立场进行风险应对; 对风险管理负责。根据调查反馈的信息,审计人员在这些活动方面承担了相比IIA意见书中更大的责任水平,尤其是在“为管理层提供风险保证”承担的责任水平最高,同时,对“设置风险偏好”承担的责任水平较少。反馈者的意见也表明:内部审计人员在这些领域中负很大的责任,因为审计在进行企业风险管理的初级阶段发挥了主要作用。内部审计在企业风险管理过程中的核心(Co
44、re)作用是就企业风险管理过程的有效性提供确认服务,即监督者的角色,主要包括以下五个方面: 对风险管理过程的确认服务; 对正确识别风险的确认服务; 评估风险管理过程; 评估关键风险因素报告; 评估关键风险因素管理。在这五个“核心活动”中,目前内部审计对“评估关键风险因素管理”和“评估风险管理过程”负有相对较大的责任。而反馈者认为:“评估风险管理过程”和“对风险管理过程的确认服务”,内部审计应负最大责任。相反地,正如反馈者所期望的,对“正确识别风险的确认服务”内部审计应负较小的责任。而在咨询服务方面,IIA认为内部审计应在企业风险管理过程中发挥合理(Legitimate)的作用,即咨询者、建议者
45、、协调者的角色,主要包括以下七个方面: 帮助识别和评估风险; 指导管理层应对风险; 协调风险管理相关活动; 加强对风险的报告与披露; 保持和完善企业风险管理框架; 支持企业风险管理的建设; 在董事会批准的前提下,参与制定风险管理战略。 在这些“合理活动”中, “帮助识别和评估风险” 属于高层次活动,内部审计人员将其视为核心责任,并在目前负较大责任水平。对“在董事会批准的前提下,制定风险管理战略”,现实和IIA意见书的责任水平比较一致,认为这项活动最好由管理层来处理,内部审计尽量少参与。IIA的意见书提醒,当内部审计人员实施合理的咨询活动时,必须采取适当的防范机制,如在审计委员会批准的审计章程中,明确审计者在企业风险管理中的责任