内部审计参与风险管理的途径及措施
1.内部审计与风险管理的关系
随着经济、社会和技术的迅猛发展,人们开始面临越来越多、越来越严重的风险。风险管理现已成为世界各国普遍重视和推广的管理学科,并且作为内部审计活动的主要方向,风险管理与内部审计之间建立起了密不可分的联系。 风险管理是内部审计实务准则的重要内容。2001年,国际内部审计师协会(IIA)在其制定并修改的《内部审计实务准则》及《职责说明》中认定:“内部审计是一种独立、客观的保证和咨询活动。其目的在于为企业增加价值和提高企业的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制及治理过程的效率,帮助企业实现其目标。” 这一定义将内部审计的范围延伸到风险管理,认为内部审计是针对风险管理的有效性进行评价和改善所必需的,风险管理已发展成为内部审计的一项重要内容,更为内部审计未来发展指明了努力的方向。 就企业来讲,内部审计是建立于内部的所有审计形式,包括审计委员会和具体审计职能。在企业的内部控制中,内部审计部门负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况及其他相关事宜。 风险管理需要内部审计的参与。对于现代企业来说,风险无处不在,企业要想在市场竞争中处于优势地位,就必须进行有效的风险管理。那么第一步首先要找出企业的主要风险,这是企业的管理人员十分关心的问题,同时也是内部审计的责任,因此内部审计部门及其机构人员参与风险管理也就顺理成章。 2.内部审计参与风 险管理的途径 2.1全过程参与公司管理 为有效发挥内部审计的作用,必须要求内部审计部门参与公司管理的全过程。主要是指内部审计人员按照一定的审计程序,对企业的经营目标、决策程序、投资过程和生产过程、投资结果等进行评价。目的在于明确公司经营过程是否科学、有效,公司经营的结果是否尽如人意,还存在哪些需要改进的地方。同时要实现价值增值、使出资人能尽可能多地获得投资收益的目标,选择合适的风险管理方式尤为关键。 2.2现代风险导向审计 风险导向审计作为过去数十年中内审人员普遍采用的审计方法,是增进内部审计绩效和管理组织风险的主要工具,后来,在以风险评估为基础的现代风险导向审计又在此基础上进行了进一步改进,使审计人员开始关心企业所面临的风险,并根据风险评估的思路开展对内部控制的评估,使审计报告将当前的控制与策略计划和风险评估连接起来,能有效地管理企业风险。 2.3意见建议 内部审计作为公司内部机构,要及时为公司管理层提供意见及建议,提供一定的咨询服务,内部审计机构可以接受公司委托或在提供服务的同时就风险管理有关问题提供咨询及服务。具体的内容和形式取决于企业的内部结构环境、企业现有的资源、企业面临的风险、企业的经营现状和内部审计报告关系,并根据企业风险管理的发展而不断变化。在尚未建立企业风险管理时,内部审计机构在执行审计项目时发现的风险问题,应该提请管理层和董事会注意,并提出相关意见建议。在企业开始建立风险管理体系并雇佣风险管理专家协助的情况下,内部审计机构可以以内部审计的角度提供有价值的咨询意见。当企业风险管理已经成熟以后,内部审计机构可以接受公司委托提供有针对性的专项的风险管理咨询服务,也可以在提供保证服务的同时以管理建议书形式就发现的问题提出管理意见建议,及时发现风险点,实现内部审计价值增值。 2.4协助建立风险管理体系 在一个企业没有建立风险管理体系的情况下,如果董事会提要求,内部审计机构可以协助管理层完成企业风险管理体系的初步建立工作。包括参与制定风险管理机构,建立风险战略,指导风险评估和风险分析,协调实施风险管理措施等。当然必须明确风险管理责任由企业管理层承担,内部审计部门只是协助建立风险管理体系,内部审计协调风险管理的工作计划应经过董事会或审计委员会批准,计划要规定明确的目标及将责任转移给管理层的时间,并且内部审计机构应向董事会或管理层声明其对协调事项因不具有独立性并且无法提供保证服务。 3.内部审计参与风险管理的相关配套措施 3.1建立健全公司治理结构 现代企业,所有权与经营权在公司企业中完全分离,股东作为委托人可以委托职业经理作为代理人负责经营,同时又设置了一个比较庞杂有序的治理结构。股东大会是一个由股东组成的最高权力机构,它选举产生董事会和监事会,再由董事会委托经理人经营企业。由监事会对董事会与经理人实施监督。从这个意义看,公司治理结构是一个多级权力相互制衡的控制系统。风险管理是公司治理和内部控制的核心,因此,内部审计要参与企业的风险管理,企业首先要有 完善的公司治理结构,即包括内部和外部的各种监督制约制度,如董事会、职业道德和行为准则、内部控制和风险管理、薪酬制度、重要信息的沟通等等。 3.2保证内部审计人员的足够素质 随着现代企业制度的建立,内部审计成为企业强化自我约束的重要手段,内部审计部门应树立现代审计理念,围绕加强和完善内部控制、风险管理和治理结构展开工作。内部审计人员不仅要发现问题,还要预防、协助和参与解决问题。内部审计要协助管理层做好事前的内部控制设计、事中内部控制监督和事后内部控制评价,成为企业加强内部控制的得力助手。 由于内部审计工作涉及范围比较广,要求内部审计人员的知识结构和人员素质要足够胜任。面对企业普遍使用的信息技术和日趋复杂的业务环境,内部审计人员要想参与风险管理,提高审计服务的效率和质量,传统的审计技术已经落后。在信息化的条件下,企业的经营离不开计算机和网络,由此造成了审计线索、内部控制、审计内容与技术的改变。如果内部审计人员不掌握一定的信息技术,就会因审计线索的改变而无法跟踪审计;因不懂信息系统的特点和风险而不能审查和评价内部控制;因不会使用计算机和网络系统而无法对经济活动进行审计。 内部审计工作极具挑战性,内部审计人员要想成为风险管理专家,不仅要懂得财务会计及相关法律法规,熟练地应用内部审计标准、程序和技术,还必须具备相应的专业素质。为了与企业的发展战略保持一致,内部审计人员不应局限于会计专业,应优化内部审计人员组合,吸收市场专家、计算机专家、管理顾问、舞弊检查专家等多种专业人才加入审计队伍。 3.3要保证内部审计的独立性 既然内部审计充当着独立评价内部风险和监督内部风险的双重作用。首先要在符合成本效益的原则下,提高内部审计机构的独立性,内部审计的理想企业层级是隶属于董事会或其下设的审计委员会,这样有利于充分发挥内部审计在内部风险控制中的作用。无论选择何种企业层级,都应努力做到:内部审计章程报请董事会批准;内部审计主管有机会直接向内部董事会汇报情况、请示或一起研究问题;内部审计人员有权出席、参加由高层或董事会举行的与内部审计机构职责有关的会议;内部审计主管由董事会任免、考核业绩和决定薪酬;内部审计机构不得置于财会机构的领导之下或者与财会机构合署办公,以增强内部审计的独立性。 风险管理是企业管理的重要内容,内部审计参与风险管理是新形势下企业生存与发展的客观需要,也是管理层的内在要求,是内部审计的最新发展方向,这不仅为内部审计的自身发展提供了契机,而且有利于企业在市场竞争中处于优势地位。