论现代内部审计与风险管理的协调整合(3)
2016-12-14 01:18
导读:内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建
内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
为保证其独立性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应该认为与此相关领域的审计客观性受到了损害,内部审计不能就其直接协调和指导的风险管理事项提供保证服务。
三、内部审计与风险管理整合的程序步骤
(一)判明风险类别,分析风险的具体源由
企业风险多种多样,表现的形式与发生影响也是千差万别的,为了管理和控制风险,应对风险进行辨认并予以分类,从中分辨出风险的性质,以确定主要风险、次要风险、关键风险、派生风险。
国外审计界对经营风险提出了多种分类模式,大致可概括为以下九类:外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。
(科教论文网 lw.nSeAc.com编辑发布)
在内部审计工作中,一般先从企业整体的战略目标着手,分析战略目标与企业实践的差距,明确形成差距的风险,进而分析风险的产生部门、风险的类别及其性质。
(二)在组织机构上,内审工作要与企业的各级风险管理组织相配合,开展企业综合风险管理
根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离,实行全体的、综合的和全员的行动进行综合风险管理。
在现代企业的风险控制方面,不少大中型企业一般建立三级风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计;专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查,及时提示和报告潜在风险,并提出防范风险及改进工作的建议。
(三)按风险管理的要求开展内部审计
与经营风险管理相结合的内部审计,其具体要求是在企业的“经营——风险——控制——监督”过程中,内部审计充分发挥其监控实效。亦即内部审计在开展时,先由企业各层次人员明确企业经营风险控制管理的目标,在此基础上广泛收集经营决策信息、情况及风险情况,据此对各个待审项目的风险做出评价,进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险),然后运用“计划——执行——检查——行动”方式,对企业主管层、业务管理层及业务执行层进行审计。
(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查
(科教论文网 lw.NsEac.com编辑整理) 四、内部审计与风险管理结合在中国的应用和实践