论述内部审计与风险管理

论述内部审计与风险管理

作者：于春萍

来源：《中国科技博览》2014年第01期

内部审计是监督财务制度及核算是否健全。是内部控制的重要组成部分。通过对内部控制制度和管理效能进行审计，发现管理方面存在的问题，找出管理中的薄弱环节，促进被审计单位改进管理，提高管理水平，帮助企业更好的实现组织目标 一、内部审计相关的内部环境

公司的治理结构和政策应当反映组织的法律、经营和报告体系及其组成部分，而且必须在各治理事项间清楚地分配相互的责任。在结构和政策方面，内部审计部门可以证实组织是否真正拥有这样一个公司范围的十分完整的治理、风险和合规环境，并评价其有效性，以帮助董事会和高级管理层。内部审计首先评价董事会、执行委员会及其章程的结构，以保证组织具有改善公司治理的恰当政策。这些政策应当一方面保证董事会具有实质上的独立，而不仅仅是名义上的独立。内部审计在公司还没有建立风险管理的过程中，应积极向管理层提出建立风险管理过程的相关建议，提醒建立企业内部风险管理的必要性。内部审计人员长期立足于具体岗位，比较熟悉公司的业务并能够随时深入到生产经营的第一线，通过周密详细的审前调查，收集到大量的关于风险管理的资料，从中发现存在风险的隐患问题，并对其构建以内部审计为基础的全面风险管理体系进行风险分析，从而制定出全面且符合实际的审计工作计划。 二、内部审计评估目标设定的合理性

企业的管理层和董事会决定企业的目标、实现目标的战略、商业模式以及实施战略的经营流程。核心及辅助的经营流程与组织的供应商、员工、资本提供者、内部审计参与风险管理相关问题研究客户及竞争者共同促进了战略的实施。除了决定这些外，管理层要决定为实现其目标愿意接受多大的风险。对于某些组织而言，因为有较高的预期收益，管理层和董事或为组织本身，或为其他相关目标，愿意承担相当大的风险；对于另外一些组织，管理层和董事则不愿意承担过多风险。这种对风险的态度可称为“风险偏好”。这些目标及风险偏好为企业风险管理提供了总体标准。内部审计人员就是要完整的将组织战略和商业模式与对其实现构成威胁的风险联系起来，合理评估组织的经营目标、战略目标、财务目标等相关目标的合理性。 三、内部审计评价风险评估的合理性

经过风险事件的识别后，必须对风险事件量值（货币损失或事件发生可能性带来的负面影响程度）以及给定量值时不利事件发生的概率予以计量，为确定风险管理战略、政策与程序提供更为科学的依据；重要的是，对于以前风险战略决策、政策与程序通过与实际业务的结合的评价，可以检查其设计是否合理、适当，执行是否有效，尤其是要找出需要修正、完善之处；

龙源期刊网 http://www.qikan.com.cn

对于实行风险预警机制的企业，经过风险评估后，能进行合适的预警；对于己经变成现实的风险，需要对风险的处理进行评价，以便检查控制执行的差异，找出原因，明确责任。 四、内部审计评价风险反应措施的恰当性

在风险管理战略方针和策略指导下，风险反应措施有规避、控制与抑制、接受、转移四种，每种措施的实施都经过了风险与收益的权衡。企业风险管理框架中的风险反应将风险划分为三种风险收益类别。一些风险的风险收益关系在现有的量值和概率水平下是可接受的，这类风险可以完全接受。另外一些风险的量值或概率非常大，以至于不能接受且无法经济有效地加以抑制，因而超出了组织的风险容忍度，必须通过放弃有关计划从而避免受风险的影响，或通过在源头上预防风险来消除这类风险。还有一些风险是企业经常遇见的，风险收益的权衡可接受，但如果管理层不采取一定的行动，则不可接受。一些风险可以通过保险、套期保值、衍生工具转移给别人，或通过合营、联盟和定价手段来分摊。内部审计人员判断风险管理措施是否恰当，最好结合对管理层风险偏好判断来进行：第一，欲避免某种风险也许不可能；第二，采用规避风险方法最经济，以使内部审计参与风险管理相关问题研究收益小于控制成本；第三，避免一项风险可能产生另外新的风险。对于风险控制与抑制的评价，内部审计人员需要对内部控制设计的健全性、执行的有效性进行测试而评价。对风险转移措施的评价应当考虑各种风险转移形式的优缺点。如果企业采用风险接受措施，内部审计人员则可根据三个条件来判断企业管理层采用的合理性：处理风险的成本大于承担风险所付出的代价；估计某种风险可能发生的重大损失本身可以安全承担；不可能转移于他人的风险或不可能防止的损失。 五、内部审计评价控制活动合理性

内部控制的时间一般应该针对总体和具体控制而言，因而分为一般（总体）控制和具体（应用）控制。总体控制从控制环境角度对组织业务进行总的控制；而具体控制则针对具体的程序和活动。如对采购业务进行控制，总体控制在设计时将这项业务分为招标、核定供应商名单一览表、对采购发票与合同一一核对、验收入库等具体活动，要求各活动间职责分离，而通过招标选择供应商只针对购货这一业务，这就是具体控制。内部审计人员应该从如下方面评价控制活动的科学性、合理性：一是审查相关交易过程的控制措施。好的内部控制的设计必须保证每项交易都备有证明文件，保证拒绝非法的交易，保证所有合法的交易能够被正确地处理。二是总体控制与具体控制。总体控制的缺乏会使具体控制失效。设计具体控制时，必须同时考虑相关的风险、报告的风险和发生的频率。三是多重控制。为防止一项控制措施不能发现和纠正错误的可能性，应设计多重控制。这里包括授权、职务分离、凭证、接触、实物清查等几个方面同时或交替的控制设计。四是对成本与效益原则的考虑。内部控制的设计应该遵从成本与效益原则，即将缺乏控制导致的损失与建立和实施控制的成本相比较，在寻求内部控制的独立性、有效性的同时，力求简洁与低耗。 六、内部审计评估风险监控的合理性

龙源期刊网 http://www.qikan.com.cn

内部审计对风险管理的监控实际上就是判定高级管理层的风险管理业绩的优劣，在这个过程中，内部审计人员要对风险评估过程进行再次评估，并为企业的风险管理提出改进建议，实现其增值功能。通常，风险监控是对意外情况和情况变化的持续监控，IIA的最新分析工具-分解（decom Positfon）在风险监控方面有很好的作用，并且非常适合管理会计师用于风险评估，以及内部审计人员在监控风险时运用。分解方法将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者进行比较，是监控风险环境变化的一种有效方式。与预期值的差异可以按其原因或“起源”按内部审计参与风险管理相关问题研究来解释，或者用风险分析中所指出的、环境或经营条件的变化超出了限度来加以解释。对原因进行相关、及时地计量和剖析便于管理层及时做出反应，也能更好发挥内部审计咨询方面的增值功能。

内部审计参与风险管理不仅为内部审计自身提供了发展契机，作为企业内的一种独立、客观的保证和咨询活动，能够在风险管理中发挥独特的作用，无论内部审计还是风险管理都能在这一过程中提高效率、创造价值。内部审计参与风险管理是内部审计的最新发展方向，随着企业经营环境的越来越复杂，风险管理技术会不断发展，同时内部审计本身和相应的审计技术也会向前发展，而内部审计参与风险管理的研究将来会有更广阔的前景。同时随着实践的发展，希望有更多的实务工作者加入研究的行列，不仅能丰富这方面的理论研究，更能提高研究结论的可行性。