内部审计与企业风险管理的全面结合

1、内部审计与企业风险管理的全面结合【摘要】在理论界、监管层和实务界,企业风险管理已引起越来越高程度的重视。文章从内部审计与企业风险管理全面结合出发,设计了包含企业风险管理运行系统和保障系统在内的企业风险管理根底审计形式。在该形式中,内部审计可以实现对企业风险管理运行过程的持续跟踪,实在发挥内部审计在企业风险管理中的作用。【关键词】内部审计;企业风险管理(ER);保证;咨询自美国S委员会于2022年4月公布?企业风险管理框架?(EnterpriseRiskanageentFraerk,以下简称ER框架)后,理论界对ER的研究风起云涌,监管机构对于ER的标准不断推出,实务界对ER的尝试不断增多,如北

2、美、欧洲有11%的组织拥有了完全施行的ER,90%的组织正在建立或者想建立ER(JaesRth,2022);?财富?世界500强企业截至2022年底有近40%施行了ER,30%部分施行了ER;我国2022年针对部分先进企业和ER探究者的一项调查显示,7.89%的企业建立并施行了ER,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏互相约束,5.26%的企业没有建立(王雅婷,2021)。可见,ER受到了越来越多的重视,如何促使企业尽快建立ER,保证企业顺利施行和完善已经建立的ER,成为当务之急。ER的精华之一在于全员参与,如何明晰地界定各参与方的职责决定着ER的施行

3、成效。内部审计作为组织治理构造四大支柱之一,在ER建立和施行中发挥着重要作用。IIA(国际内部审计师协会)在?内部审计在企业全面风险管理中的作用?意见书中将内部审计在ER中可以开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反响;协调风险管理相关活动;加强风险报告;保持和开发ER框架;促进ER的建立;经董事会批准制定ER战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险

4、反响作出决策;以管理层立场做出风险反响;对风险管理承当责任(RussellA.Jaksn,2022)。上述分类对于指导内部审计合理定位、提供适当形式的效劳、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ER脱节,或者重视ER单一环节而无视整体。为此,应设计一种可以将内部审计与ER实现对接的方式,使内部审计可以在ER循环中实现跟踪式全程审计,实现内部审计对于ER的全程监视,为持续审计奠定根底,该种形式称为“ER根底审计。ER根底审计形式以S委员会在企业风险管理框架中设计的内部环境、目的设定、事件识别、风险评估、风险反响、控制活动、信息与沟通以及监控

5、八要素为根底,考虑内部审计在ER中可以开展的活动,将两者进展有机结合,形成了如图1所示的ER根底审计形式(Gergeatyjeiz等,2022)。图示外围各项要素中,以建立和沟通组织目的为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目的实现的风险或事件、评价风险发生的影响和可能性、选择和施行适当的风险反响、施行控制和其他反响活动、进展风险信息一致性沟通、监视和调整风险管理过程和结果八个环节,形成了ER的一个运行系统。在此根底上,由管理层提供对ER过程的首要保证,进而由内部审计施行对ER的独立客观保证和咨询,最终各方履行对董事会效劳的职责,董事会对ER承当最终责任,形成了E

6、R的一个保障系统。该形式将ER与内部审计交融在一个完好的循环中,两者实现了无缝对接;明确了内部审计和管理层在ER中的职责地位;同时,也便于内部审计通过深化各个业务环节开展对ER的全程审计。1.建立和沟通目的。E负责制订组织的整体战略目的,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目的,子目的必须与组织整体目的保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、明晰的解释和正确的理解。内部审计应为以下各个方面提供保证:审查组织目的得到有效建立(如检查目的建立依赖的信息、采用的程序、参与者的素质等);审查子目的与组织整体目的协调一

7、致;审查目的在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、施行控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由答复者进展评论的空间,以便于搜集员工对目的理解情况的软性信息。2.确定风险偏好。组织的风险偏好决定了组织可以承受的风险程度。风险偏好与目的设定有着直接的关系,表达在组织交易形式审批、资本预算限制、职责权限划分、购置事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度程度确实定、量化、沟通,在政策、程序和实务中的有效施行情况提供保证。3.

8、建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化气氛、管理理念、工作目的、组织规模、业务复杂性以及与业务目的和风险容忍度相关的固有风险程度不同,ER框架可能会存在很大差异。例如,信息技术部门因为其工作的性质需要有完好的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ER框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ER框架,而其他一些组织却仅处于ER的方案阶段、萌芽阶段甚至无知阶段。董事会和高级管理层负责建立和管理E

9、R框架。审计人员不能参与设计ER框架,但是需要依赖他们的判断,结合组织的实际对ER框架的适当性做出结论,发现框架构造和功能中的缺陷。详细的审查内容包括:审查ER框架的组成要素;审查在组织政策、治理框架、实务操作中所表达出来的风险观点和价值;审查风险管理政策和指南的实用性、灵敏性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监视和自我评价管理情况。4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪

10、些影响组织目的实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目的和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、无视风险等情况,内部审计应采用特殊审计程序并加以报告。5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的根底上,对风险进展排队,进而施行不同关注。施行风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。详细可以采取两种方式:(1)对管理层的风险评估结果进展再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频