试论内部审计与内部控制、风险管理的关系

1、试论内部审计与内部控制、风险管理的关系 摘 要 随着经济的发展，内部审计的对象从内部控制系统扩大到风险管理过程，同时内部审计也是企业风险管理过程中监督环节的重要内容。内部审计已不再是一个孤立的概念，而是与内部控制、风险管理密切相关，本文试对三者的关系进行了分析和论述。关键词 内部审计 内部控制 风险管理国际内部审计师协会(IIA)在1999年出版的内部审计实务标准一书中对内部审计重新进行了表述，它认为，内部审计是一种独立、客观的保证与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。这个

2、描述第一次将内部审计从企业(机构)的普通经营管理活动的阵营中解放出来，第一次将内部审计的视角直接的对准了企业(机构)的内部控制、风险管理及治理程序。这无疑是内部审计理论的重大发展，也为内部审计工作开辟了更广阔的空间，与此同时，重新理解内部审计，特别是正确认识内部审计与内部控制、风险管理的关系也彰显出了重要的意义。一、风险管理与内部控制的关系在分析内部审计与内部控制、风险管理的关系之前，让我们沿着美国COSO委员会所发表的框架理论来回顾一下内部控制、风险管理的历史及两者的关系，这将有助于理解内部审计在其中的职责。美国COSO委员会于1992年发表并于1994年修订的内部控制整体框架报告将内部控制

3、定义为由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程；并设定了三类目标经营的效果和效率、财务报告的可靠性、法律法规的遵循性；阐述了五项构成要素控制环境、风险评估、控制活动、信息与沟通、监督。这个报告很快被世界上许多企业所采用，但同时人们也发现该报告存在着对风险强调不足等问题。COSO委员会针对这些问题，在原报告的基础上，结合萨班斯奥克斯利法案的要求，扩展研究得出企业风险管理整体框架报告（ERM报告），于2004年9月正式颁布。ERM报告是对内部控制框架的新发展，与内部控制框架相比，风险管理框架在内容和范围上都得到了扩大和提高，讨论的范围扩大到包含内部控制系统的风险

4、管理过程，侧重于用风险的理念来看待企业的管理和目标的实现。ERM报告指出，内部控制是企业风险管理不可分割的一部分，ERM报告包含内部控制，是一个更广泛的管理理念和管理工具。但也强调，由于“内部控制整体框架经受了时间的检验，并成为现行许多法律法规和制度的基础”，因此它依然是有效的、可以执行的。二、内部审计与内部控制的关系“现代内部审计之父”劳伦斯B.索耶在其名著现代内部审计实务中指出，(内部)控制对内审人员来说，既是一种机会，也是一种责任。内审人员不可能成为企业生产经营管理各方面的专家，但是，胜任的内审人员有一个“芝麻开门的秘诀”，运用这个秘诀，他们能打开通常只有技术专家才能打开的大门，运用这一

5、秘诀，他们能帮助解决这些大门背后的许多问题。这一秘诀就是(内部)控制。可见，内部控制是内部审计关注的重点，也是实现审计目标的桥梁。事实上，内部审计与内部控制之间的关系是相互依存的，内部审计是内部控制系统的重要组成部分，是对其余内部控制要素的再控制；而内部控制又是内部审计的直接对象，通过内部审计的检查、评价而不断的促进内部控制的健全完善。内部审计对内部控制的关注远远超过了外部审计，可以说“内部审计就是通过对内部控制的审查和评价进而把握整个管理活动的，在我国当前的内部审计实务中尤为如此。”内部审计与内部控制之间的关系也是相互作用的，两者都是企业经营管理的重要组成部分，都具有为企业目标的实现而服务的

6、最终的、相同的目标。从系统论的角度分析，内部审计的有效实施将对内部控制的效率、效果产生积极影响，反之，将使内部控制的运行失去有效监督，产生消极影响；同时，内部审计作为内部控制系统的一部分也会受到整个系统的影响，一个健全、有效的内部控制系统无疑将为内部审计提供一个良好的审计环境，从而促进内部审计质量的提高。 三、内部审计与风险管理的关系内部审计对风险管理的关注是在对传统的内部控制的关注基础上发展起来的，是与企业经营管理在更高层次上的融合，是风险理念与内部审计结合的成果，也是内部审计顺应时代发展的要求，不断发挥自身价值的必然选择。两者之间依然具有依存关系，从ERM报告可见，内部审计作为监督要素的重

7、要内容是风险管理的一部分，随着内部审计范围的扩大，审计的对象不仅仅是内部控制，而是企业的风险管理过程，内审人员通过检查、评价、报告风险管理过程的充分性和有效性，并提出改进建议来协助管理当局将风险控制在可以接受的范围之内。这一点在我国企业界表现的尚不明显，但“许多西方发达国家的优秀企业已充分认识到内部审计对风险管理的重要意义，在继续开展内部控制审计的同时，把关注的重点转向了对企业各个领域风险管理的有效性。如美国通用电器(GE)公司的内部审计部门把为支持企业风险管理提供独立的评价和建议服务作为自己重要的职责。杜邦(Du Pont)公司在全球六大地区设立了20个战略经营机构，其内部审计部门在这六个地

8、区分别派驻一个审计小组，其主要职责是及时、准确的了解业务运做情况，找出固有风险，评估对这些风险所实施管理的有效性程度，进而向内部审计主管提出对哪些领域或项目开展风险审计的建议，以便及时的、有针对性的开展风险管理审计”。内部审计与风险管理也存在着相互作用的关系。内部审计的目标之一是增加企业的价值，而增加价值的前提之一就是企业风险的管理准确的识别、恰当的评估、合理的反映并将风险控制在可接受范围，而这个过程正是企业风险管理过程的核心所在，因此风险管理是否有效将决定着内部审计的目标能否实现。同时内部审计又是企业风险管理过程的重要组成部分，独立的对风险管理过程进行审查、评价和建议，维护着系统的正常、有效

9、运行。此外，风险管理还决定着内部审计的审计计划制定、审计资源配置、审计技术水平和审计报告内容等具体工作。IIA认为，审计执行主管应根据风险制定计划，确定符合机构目标的内部审计工作重点。应使机构的风险管理与内部审计程序之间协调一致，产生协同增效的作用。四、内部审计、内部控制和风险管理三者的关系内部审计、内部控制和风险管理三者之间相互依存，相互作用，形成一个有机的整体，贯串于企业经营管理的始终，共同服务于企业的战略、目标。风险管理为内部控制和内部审计提供了逻辑起点，也为内部审计和内部控制指明了努力的方向；内部控制为风险管理提供了控制机制，也为内部审计提供了审计对象；内部审计不仅直接以风险管理和内部控制作为检查和评价的对象，而且通过咨询服务帮助风险管理和内部控制的完善和优化。下图在要素层面描述了内部审计、内部控制与风险管理之间的关系。从上图可以看出，内部审计已不再是一个孤立的概念，而是与内部控制、风险管理密切相关，三者均是现代企业经营管理活动的重要组成部分，共同为实现企业既定的目标服务，三者关系密不可分，只有彼此的有效融合，才可充分发挥其效用。参考文献:1金彧昉 李若山 徐明磊:COSO报告下的内部控制新发展从中航油事件看企业风险管理.会计研究,2005(2)2国际内部审计师协会，中国内部审计协会编译:内部审计实务标准.2003年修订版，北京:中国时代经济出版社