内部审计在风险管理中的职责和作用

　　　　　　　　　　　　　　　　　　　　　　　　　张建明

　　[摘要]　在现代企业经营管理中，随着内外部环境变化，各种风险增多，公司治理加强及内部组织重整、业务流程再造，内部审计工作在改进风险管理和完善企业治理机构等方面将发挥着积极作用，同时，亦赋予内部审计更多的职责和使命。本文从内部审计的定义入手，逐层剖析内部审计在风险管理中职责、作用以及实施保证，以期对企业风险管理有所增值。
　　主题词：内部审计　风险管理　职责与作用　实施保证
　　
　　企业内外部环境的变化，导致企业内部受托管理责任关系复杂化和领域、内容、重点的变化，使得对管理控制的需求日益强化，包括董事会对高层管理当局、高层管理当局对各管理责任中心、管理当局履行受托管理责任和实施有效控制，等等。因此，内部审计作为董事会及其审计委员会和最高层管理当局实施控制的手段，在企业管理尤其是风险管理、内部控制以及公司治理有关方面、组织运营中的地位和作用日趋突出，成为企业兴衰成败的重要因素。
　　一、内部审计与风险管理的关系
　　2001年，国际内部审计师协会（IIA）在其制定并修改的《内部审计实务标准》及《职责说明》中认定："内部审计是一种独立、客观的保证和咨询活动。其目的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。"
　　这一定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。风险管理已发展成为内部审计的一项重要内容。事实上，根据2003年IIA全球审计信息网络调查结果表明，认为未来的审计重点是风险管理系统审计的占63.9%。
　　所谓风险，是指会对实现组织目标产生负面影响的事情，可以说，凡是可能对实现组织目标产生负面影响的事情或活动都是风险。风险要由它造成的后果和可能性来衡量。而风险管理是指识别风险并设计控制风险的方法，其核心是将没有预计到的未来事项的影响控制在最低程度。
　　可见，内部审计是风险管理的一种方法、一种手段，而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势来看，内部审计不仅越来越关注风险，同时，也是风险管理的重要组织部分。内部审计更强调确认经营风险是否得到有效管理，由对交易事项和政策的遵循的评价，转变为对目标、战略和风险管理程序的关注；内部审计的建议更加强调风险的规避、风险转移和风险控制，通过有效的风险管理提高组织整体管理的效果和效率。
　　对于现代企业来说，风险无处不在。内部审计的责任就是找出组织的主要风险。内部审计介入风险管理的主要原因：1.内部审计机构有独特的位置；2.内部审计师更了解组织的高风险领域；3.内部审计师对于组织目标的实现有更强的责任感。IIA将"评价和改进风险管理、控制和治理过程的效果"作为内部审计的重要职责，视风险管理为内部审计的推动力，是国际内部审计几十年苦苦探索的经验总结，更为内部审计未来发展指明了努力的方向。
　　二、内部审计在风险管理中的职责
　　传统的管理将注意力放在个别控制系统和经营机制上，而现代管理则强调总体管理概念，把总体管理控制系统与组织的长远目标联系起来；把一旦达不到目标，与可能发生的风险联系起来。因此，评价和改进风险管理、控制和治理过程，就必然成为内部审计的一项重要职责。
　　拥观大局　内部审计在风险管理的过程中，要总观全局，有的放矢。要站得高，看得远，看得细，看得深。不仅要仔细审视企业经营过程中每个风险的节点，更要理清关键性的风险和风险的关键性环节，对风险的估计要有整体的把握，要考虑风险管理对组织的价值具有前瞻性。同时，既要了解本组织内部的风险，又要关注所处同行业的态势。既要关注本组织、本部门、本业务流程的风险，更要把握组织之间、部门之间、业务流程之间接口的风险。既要分析外在显现的风险因素，更要挖掘隐含潜在的风险因子。要努力协助组织建立起由管理层、流程参与者、存在风险的相关部门、风险管理人员和内部审计人员所使用的各种正式和非正式的流程组成的风险监督框架，以便提供及时和富有前瞻性的风险信息，为组织增值和提高管理效率，作出积极的努力和应有的贡献。
　　置身其中　内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。内部审计要作为风险管理过程的参与者、协调者，要真正融入到企业管理体系中，要真正置身于公司的治理和风险管理过程之中。在风险控制和改进组织机构的效果方面要发挥其领导作用，积极参与和了解组织的各项业务和流程，及时帮助发现问题，及时提出解决措施，不搞秋后算帐。同时，要利用自身的优势积极倡导组织道德文化的建设，积极协助组织规避风险，化解风险，防范舞弊，减少损失。
　　精通技术　风险管理作为内部审计一个新的涉及领域，内部审计人员要想成为风险管理专家，不仅要董得财务会计及相关法律法规，熟练地运用内部审计标准、程序和技术，还必须具备相应的风险管理素质和技能。在全球经济一体化，信息化技术飞速发展的今天，内部审计人员除了要扎实专业技能外，更应丰富专业风险管理的知识和技能，精通现代管理信息技术和先进的管理技术手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少的风险，改进管理和提高效率。
　　适时沟通　风险的不确定性，要求内部审计在风险管理过程中，加强沟通的力度，拓宽沟通的层面，丰富沟通的渠道，更新沟通的手段，加快沟通的进程。内部审计机构与被审计单位、组织管理层之间，应积极沟通彼此意见，充分体现参与式内部审计"以人为本"的理念。沟通应力求准确、客观、清晰、简洁、完整、及时、富有建设性。不仅要做到"知自知彼"，有的放矢，更要减少因沟通产生的风险。避免由于信息的不准确、不及时、不完整所造成的决策失误和决策缓慢，以及由于沟通不力，或不能很好地了解信息，致使出现对信息的错误理解，并导致不适当的行动，进而造成的客户丧失、机会损失或士气低落以及各种冲突等不利因素的发生。
　　恪守道德　随着安然、世通等跨国大公司因财务丑闻导致公司破产，以及有着90多年历史的世界级会计事务所安达信退出历史舞台，恪守道德再次引起人们的关注和重视，并被提升到一个较高的层面。内部审计要恪守独立、客观、公正的原则，保持应有的职业品质、职业纪律、专业胜任能力及职业责任。内部审计师要做到正直、客观、保密和胜任，只从事他们具备必要知识、技能、和经验的服务活动，避免因道德层面给组织带来的风险和损失。
　　内部审计人员应当用正直建立起信用，为其判断的可靠性提供基础。应当诚实、勤奋并负责的完成工作；按照法律及其职业要求，遵守法律和作出披露；不参加有损于内部审计职业或机构的行为；遵守并贡献于机构的合法道德目标。在收集、评价和沟通有关被检查的活动或过程的信息中，内部审计人员要展示其最大的职业客观性。在其作出判断的过程中，不应受其个人喜欢或他人的不适当影响，对所有的相关环境作出公正的评价；尊重其收到信息的价值和所有权，除非在合法或职责允许的情况下，不经过授权不披露信息。应谨慎使用和保护在其职责中获取的信息，不应以个人的目的，或者以任何有背于法律或有害于机构的合法道德目标利用信息。
　　三、内部审计在风险管理中的作用
　　在新的内部审计范式下，内部审计将参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改善风险管理体系；评价并改进组织的治理程序，为组织的治理做贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险专家，通过对风险的把握来评价公司的治理与内部控制，并促进公司治理和内部控制的改善，从而实现对风险的掌握与驾驭。
　　检查与评价　内部审计可以通过运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层或审计委员会提供帮助。其中包括确定风险领域：内审审计通过分析企业所面临的风险，特别是灾害性风险，以及产生新风险的环境因素，在了解风险的基础上，提出防范风险的建议，让董事会识别风险，确认接受风险的程度，制定风险政策，指导企业有效地使用内部资源。评价风险控制程序的有效性：内审审计通过评价企业高级管理层制定的风险控制程序是否适当和有效，是否满足董事会接受风险的程度，提出改进风险控制程序的建议。检查风险管理过程的效果：内审审计通过检查和测试财务、经营和合规性控制程序，发现持续存在的风险，评价风险管理过程的效果，提出如何改进风险管理，为企业提出增加价值方面的建议。
　　管理与协调　内部审计具有相对的独立性。内部审计经过长期的发展已经成为一种专门的职业，它有自己的职责说明，职业道德规范，专门的实务标准，还有被誉为内部控制专家和风险管理专家，得到社会的承认。内部审计能够客观地从全局的角度管理风险，能从组织的利益和实际出发，清醒地识别和评价风险，提出防范风险的有效建议。内部审计可以以其对组织全面而深入的了解，客观而开放的视角，以及可以影响管理高层的特殊地位，积极地支持和参与风险管理过程，对风险管理过程进行管理和协调，促进被审计部门经营和管理的改善，赢得他们的信任和尊重。
　　顾问与咨询　由于内审人员对本组织的情况最为熟悉，对内提供咨询有独特的优势。内部审计可以通过发现评估并运用风险管理的方法和措施，帮助组织解决风险问题。内部审计在企业尚未建立风险管理的过程中，可以积极向管理层提出建立风险管理过程的相关建议。通过咨询的方式，积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能。内部审计可以在改善管理层的风险管理流程的效果和效率方面，协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。如果有关方面提出要求，内部审计可以积极协助组织进行风险管理过程的初步建立工作，但更为积极的作用是通过改善组织基本程序的咨询工作对传统保证业务进行补充。
　　报告与防范　审计发现如何传递，审计成果如何利用，舞弊风险如何防范，所有这一切将直接关系到内部审计在风险管理监督体系中的存在价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。一方面，内部审计要与相关部门进行风险管理适时的沟通，对风险管理过程的充分性和有效性进行检查、评价并报告，对重大的审计发现要按清晰传递的线路进行报告，对监督检查结果的落实情况要进行跟踪并报告，使风险及时得到控制和防范；另一方面，内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊，可以利用其自身的优势在倡导良好的道德文化建设方面发挥更大的作用，从而有利于舞弊的防范。
　　四、内部审计在风险管理中的实施保证
　　观念到位　 内部审计不再是单纯财务意义上的帐簿、报表审计，审计内容涉及企业所有领域，包括人事、市场营销、生产、技术、工程、信息技术、商务等环节，内部审计对企业管理的全过程进行审计评估，及时发现和避免各种风险。在当前市场竞争日趋激烈的情况下，企业面临的风险越来越大，风险评估已成为内部审计的主要内容，内部审计已成为企业风险管理的一个重要环节，存在风险的领域就是内部审计的重点。企业各级管理层要深刻理解企业所处的环境中各种不确定因素对企业风险的含义，把风险作为重要的决策变量，始终把风险思维贯穿于企业资本经营、资产经营的全过程。
　　内部审计应从传统的内部财务控制狭窄范围内摆脱出来，扩展至通过战略层面参与公司价值创造。内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计为向远程审计和非现场审计方向发展，从单一的内部审计向内部审计与外部审计相结合方向转变。内部审计除了要关注传统的内部控制之外，更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点不再是测试控制，而是分析、确认、揭示和防范关键性的经营风险。内部审计的目标从传统的"查错纠弊"提升为"帮助组织增加价值"。
　　制度到位　"立规矩，成方圆"，制度在企业风险管理中常常起着关键性的作用。企业的竞争力最终体现在内部管理水平和风险控制建设上。组织应该针对各项业务制定全面、系统的政策、制度和程序，并在全系统范围内保持统一的业务标准和操作要求。内控制度要覆盖所有风险点，贯穿决策、执行、监督全过程，重点岗位、主要风险环节做到相互制约、相互制衡。对新业务、新产品更要事先制定相关规章制度以准确计算和评估风险，防患于未然。同时，对现有制度要不断进行评估、修订、补充和整合，确保各项制度在各部门、各层次得到贯彻执行。各级管理层对风险管理要有深刻的认识和高度的重视，要有较强的防范风险意识，这是内部审计成功实施风险管理的必要前提。
　　为此，要把风险管理作为一项"健康工程"和"生命工程"来系统策划，把制度建设作为风险防范的免疫系统进行规划并精心组织实施。力争通过努力，构建起以完善的公司治理结构和先进的内部控制文化为基础，以准确的风险识别和完备的监测评估体系为前提，以健全的内部控制制度和严密的控制措施为核心，以严格的审计监督和客观的评价体系为保障，以强大的信息系统和畅通的沟通交流渠道为支撑的内部控制体系。
　　角色到位　过去，内部审计被定位于"监督者"或"内部警察"的角色。现在，内部审计的主要作用是"保证和建议"，而不是以往的"监督和复核"。这一转变赋予内部审计更多的内涵，推动了内部审计职业角色的转变，也与国际内部审计师协会（IIA）新的内部审计定义相吻合，为内部审计师在组织机构中占据新的位置提供了机遇。内部审计的角色由监督者逐步转变为控制者、协调者、参与者和服务者。内部审计部门与管理层应该是伙伴的关系，而不是通常人们所理解的"警察和小偷"的关系。被审计部门应该是内部审计部门的顾客，二者是一种独立、平等的关系，内部审计应该积极做好为被审计部门的服务工作。具体来说，董事会应当负责制定战略目标，风险的所有权应当赋予高级管理层，剩余风险的接纳应当留给执行管理层，持续的识别、评估、减轻和监督活动应当交与营运层，内部审计机构应当定期评价并协助被审计部门进行风险管理。
　　资源到位　 独立性和客观性，是内部审计的灵魂和生命。面对审计领域、审计对象、审计范围和审计深度不断发生的变化，组织必须确保内部审计在组织中拥有合理的地位，为内部审计配置适宜的资源，包括胜任的人力资源、技术资源和经济资源等。内部审计机构的设置应经董事会、审计委员会和相关治理机构和高级管理层批准或认可的内部审计章程中作出规定，以确保内审机构获得并保持独立性，确保内部审计机构和内部审计人员以一种公正的、不偏不倚的态度独立地开展活动，不受来自管理层和其他方面的干扰和阻挠，不作出重大的质量妥协。人力资源的配置应包括审计人员的数量以及开展工作所需的知识、技巧和其他能力；技术资源主要是指开展内部审计所必需的硬件和软件，而经济资源则是指审计费用方面的考虑。所有这些资源的配置和优化，必须与所开展的内部审计活动相适宜、相匹配，以避免一些主、客观利益的冲突或左右，从而影响审计的效率和效果。
　　监督到位　实践证明，最有效的风险管理是组织内部的自我监督和管理。组织应将事后监督彻底独立于前台业务之外，形成平衡制约的关系。努力提高事后监督和内部审计的有效性。科学地设置内部组织机构，按照相互协调、平衡制约的原则，合理配置业务部门、管理部门和监督部门，充分发挥内部审计部门的监督检查作用。要结合工作实际，建立和完善独立的审计组织体系和规章制度，制定审计规重点和方案，增强审计工作的针对性、有效性，保证内部审计的独立性、专业性、权威性。
　　
　　作者单位：江苏舜天国际集团五金矿产有限公司
　　作者信箱：zjm1354@263.net
　　
　　（感谢作者向江苏财经信息网投稿，其他媒体如要引用转载必须征得作者本人同意，否则责任自负。本站采用的稿件仅出于信息交流的目的，不代表网站的观点，欢迎赐稿，欢迎批评指正。投稿信箱：tougao@jscj.net）

(jscj)