IIA立场公告-内部审计在企业全面风险管理中的作用

1、IIA立场公告：内部审计在企业全面风险管理中的作用简介风险管理对对于良好好的公司司治理的的重要性性已经越越来越为为人们所所认识。组组织承受受的压力力是识别别所有面面临的风风险，诸诸如社会会、道德德、环境境及财务务和运营营方面的的风险，并并解释如如何管理理风险使使之降低低到可接接受的水水平。同同时，全全面风险险管理框框架具备备的优势势被组织织充分认认识而日日益得到到普及。内内部审计计通过其其确认和和咨询作作用，利利用各种种方式协协助全面面风险管管理的实实现。什么是企业业全面风风险管理理？人们从事风风险管理理活动以以识别、评评估、管管理和控控制各类类事项或或情况。这这些事项项或情况况涵盖单单个项目

2、目或狭义义的风险险类型（如如市场风风险）以以及整个个组织面面临的威威胁和机机遇。本本立场公公告所阐阐述的原原则可以以用于指指导内部部审计对对各类风风险管理理的参与与，但是是我们特特别关注注企业的的全面风风险管理理，因为为这更有有助于改改善组织织的治理理过程。企业全面风风险管理理（ERRM）是是贯穿整整个组织织的具有有结构性性、一致致性和持持续性的的过程，用用以识别别、评估估并确定定如何应应对及报报告影响响组织实实现目标标的机遇遇和威胁胁。企业全面风风险管理理的责任任董事会对确确保风险险得到管管理负全全部责任任。实践践中，董董事会将将风险管管理框架架的运作作授权给给管理团团队来执执行，由由管理团

3、团队负责责完成以以下所列列的各项项活动。可可以设立立一项单单独的职职能协调调和项目目化管理理这些活活动，并并利用专专业技能能和知识识。组织中的每每个人都都在确保保成功的的企业全全面风险险管理中中发挥作作用，但但管理层层对识别别和管理理风险负负主要责责任。企业全面风风险管理理的好处处企业全面风风险管理理框架能能够在协协助组织织管理风风险从而而实现目目标方面面做出重重大贡献献，其好好处包括括：为实实现组织织目标提提供更大大的可能能性；在在董事会会层面综综合报告告不同的的风险；提高对对主要风风险及其其广泛影影响的认认识；识识别和分分担跨业业务风险；对重要要事项集集中管理理；减少少意外或或危机；在组织

4、织内部更更加关注注用正确确的方法法做正确确的事情情；对将将要采取取的行动动增加变变更的可可能性；具备为为获取更更高回报报而承担担更大风风险的能能力；更更有依据据的风险险承受和和决策。企业全面风风险管理理活动企业全面风风险管理理活动包包括：说说明和沟沟通组织织目标；确定组组织的风风险偏好好；建立立适当的的内部环环境，包包括风险险管理框框架；识识别影响响目标实实现的潜潜在威胁胁；评估估风险（如如，威胁胁的影响响和发生生可能性性）；选选择和实实施风险险应对；采取控控制和其其他应对对措施；组织中中所有层层级采用用一致的的方式进进行风险险信息沟沟通；集集中监督督和协调调风险管管理过程程及结果果；为风风险

5、管理理的效果果提供确确认。对企业全面面风险管管理的确确认董事会或同同类机构构的主要要要求之之一是确确保风险险管理过过程有效效运作且且主要风风险被控控制在可可接受的的水平。对对全面风风险管理理的确认认源自不不同的渠渠道，其其中来自自管理层层的确认认是最基基本的，应应当与客客观确认认相结合合，而内内部审计计是客观观确认的的主要来来源；其其它来源源包括外外部审计计师和独独立的专专家检查查。通常常内部审审计师对对以下三三方面提提供确认认：风险险管理过过程，包包括其设设计和运运行情况况；对“主主要”风风险进行行管理，包包括控制制的效果果和其他他应对措措施；可可靠、适适当的风风险评估估及对风风险和控控制情

6、况况的报告告。内部审计在在企业全全面风险险管理中中的确认认作用内部审计是是一种独独立客观观的确认认和咨询询活动，其其与企业业全面风风险管理理相关的的核心功功能是为为董事会会提供关关于风险险管理效效果的客客观确认认。研究究表明，事事实上董董事会成成员和内内部审计计师均认认可内部部审计为为组织增增加价值值的两种种最重要要的方式式是为主主要业务务风险已已得到适适当管理理提供客客观确认认及为风风险管理理和内部部控制框框架正在在有效地地运作提提供确认认。图1表示企企业全面面风险管管理活动动的范围围，指出出有效的的专业内内部审计计活动应应当及不不应当（同同样重要要）承担担的功能能。确定定内部审审计的作作用

7、时需需要考虑虑的主要要因素是是该活动动是否对对内部审审计部门门的独立立性和客客观性产产生任何何威胁，是是否可能能改进组组织的风风险管理理、控制制和治理理过程。图1的左侧侧是所有有确认活活动。这这些活动动从一个个侧面为为风险管管理提供供了更加加客观的的确认。遵遵循标标准的的内部审审计工作作能够并并应当至至少执行行其中的的某些活活动。内部审计在在企业全全面风险险管理中中的咨询询作用内部审计能能为改进进组织的的治理、风风险管理理和控制制过程提提供咨询询服务。内内部审计计师对企企业全面面风险管管理的咨咨询工作作的深入入程度取取决于其其他资源源，包括括董事会会所能够够获取的的内部和和外部的的资源，还还取

8、决于于组织的的风险成成熟度，并并且可能能会随时时间而变变化。内内部审计计师在考考虑风险险、了解解风险和和治理之之间的联联系及推推动方面面的专长长，意味味着内部部审计部部门完全全有能力力作为企企业全面面风险管管理的推推动者，甚甚至项目目的管理理者，特特别是在在引入企企业全面面风险管管理概念念的早期期。随着着组织风风险成熟熟度的增增加和风风险管理理在业务务操作中中的不断断深入，内内部审计计对企业业全面风风险管理理的推动动作用可可能会减减弱。类类似的，如如果组织织雇用了了风险管管理专家家或机构构服务，则则内部审审计更可可能通过过专注于于确认作作用来增增加价值值，而不不是通过过更多地地开展咨咨询活动动

9、。然而而，如果果内部审审计未采采取图11左侧确确认活动动所表明明的以风风险为基基础的方方法，就就不可能能开展图图1中间间的咨询询活动。图1中间部部分说明明了与企企业全面面风险管管理相关关的内部部审计的的咨询作作用。一一般来说说，越偏偏向转盘盘右侧的的内部审审计咨询询活动，越越需要安安全保障障措施以以维护它它的独立立性和客客观性。内内部审计计部门可可以承担担的一些些咨询作作用包括括：将内内部审计计分析风风险和控控制所用用的工具具与技术术提供给给管理层层；作为为将企业业全面风风险管理理引入组组织的倡倡导者，充充分发挥挥其在风风险管理理和控制制方面的的专业知知识及对对组织的的总体认认知方面面的优势势

10、；提供供建议，推推动专题题讨论会会，指导导组织风风险和控控制，促促进共同同语言、框框架和理理解的建建立；作作为协调调、监督督和报告告风险的的中心；协助管管理者确确定降低低风险的的最佳方方式。确定咨询服服务与确确认作用用是否能能够共处处的主要要因素是是确定内内部审计计师是否否承担了了任何的的管理责责任。在在企业全全面风险险管理中中，只要要内部审审计没有有实际管管理风险险的职能能（这是是管理层层的职责责），只只要高级级管理层层积极认认可和支支持企业业全面风风险管理理，内部部审计就就能够提提供咨询询服务。我我们建议议，无论论何时内内部审计计部门都都致力于于帮助管管理层建建立或改改进风险险管理过过程。

11、内部审计参参与企业业全面风风险管理理的前提提条件（安安全措施施）如图1所示示，在满满足某些些条件时时，内部部审计可可能拓展展其对企企业全面面风险管管理的参参与。这这些条件件包括：应当明明确管理理层对风风险管理理的职责责；内部部审计师师职责的的性质应应当写入入内部审审计章程程并由审审计委员员会审批批通过；内部审审计不应应当代表表管理层层管理任任何风险险；内部部审计应应当提供供建议、挑挑战并支支持管理理层作决决定，而而不是他他们自行行做出风风险管理理决定。内内部审计计不能同同时为其其所负责责的风险险管理框框架的任任何一部部分提供供客观确确认。这这种确认认服务应应当由其其他适当当的、有有资格的的人提

12、供供；确认认活动之之外的任任何工作作应当被被视为一一种咨询询业务，应应当遵循循与此业业务相关关的实施施标准。内部审计参参与企业业全面风风险管理理应具备备的技能能和知识识结构内部审计师师和风险险经理共共享某些些知识、技技能和价价值。例例如，他他们都了了解公司司治理的的要求，具具有项目目管理、分分析和推推进技巧巧，重视视良好的的风险平平衡而不不是极端端地承担担或者逃逃避风险险。然而而，风险险经理只只为组织织的管理理层服务务，不必必为审计计委员会会提供独独立和客客观确认认。内部部审计师师在介入入企业全全面风险险管理时时也不应应该低估估风险经经理的专专业知识识（例如如风险转转移与风风险量化化和建模模技

13、术），这这些知识识对大部部分内部部审计师师来说是是陌生的的。内部部审计师师如果不不能证明明自己拥拥有适当当技能和和知识，就就不应当当承担风风险管理理领域的的工作。另另外，如如果内部部审计部部门没有有充分的的技能和和知识可可以利用用，也无无法从其其他地方方获得，内内部审计计负责人人不应当当提供此此领域的的咨询服服务。结论风险管理是是公司治治理的基基本要素素。管理理层代表表董事会会负责建建立和实实施风险险管理框框架。企企业全面面风险管管理因其其结构性性、一致致性和持持续性的的方法带带来很多多好处。内内部审计计师在企企业全面面风险管管理中的的核心作作用应当当是为管管理层和和董事会会就风险险管理的的有

14、效性性提供确确认，内内部审计计在此核核心作用用之外拓拓展业务务活动时时，应当当采取一一定的安安全措施施，包括括将业务务看作是是咨询服服务并因因此适用用所有相相关的标标准。内内部审计计通过这这种方式式保护其其确认服服务的独独立性和和客观性性。遵从从这些约约束，企企业全面面风险管管理就能能够帮助助提高内内部审计计形象，增增强内部部审计效效果。术语定义确认服务：为独立立评估组组织的治治理、风风险管理理和控制制过程而而对证据据进行的的客观检检查，例例如财务务、绩效效、合规规性、系系统安全全和尽职职调查等等业务。董事会：泛泛指组织织的治理理机构。拥护者：指指支持和和保卫某某人或某某事的人人。因此此，风险

15、险管理拥拥护者将将提升其其优势、教教育组织织的管理理层和职职员如何何执行那那些他们们需要采采取的措措施并将将在这些些措施的的实施过过程中鼓鼓励并支支持他们们。咨询服务：指咨询询及相关关的客户户服务活活动，其其性质和和范围需需与客户户协商确确定，目目的是在在内部审审计师不不承担管管理职责责的前提提下，为为组织增增加价值值并改进进组织的的治理、风风险管理理和控制制过程。顾顾问、建建议、推推动、培培训等均均属于咨咨询服务务。控制：指管管理层、董董事会和和其他方方面为管管理风险险、增加加实现既既定目标标的可能能性而采采取的任任何行动动。管理理层负责责计划、组组织并指指导实施施充分的的行动，为为实现目目

16、标和目目的提供供合理保保证。企业：指为为达成一一定目标标而建立立的组织织。企业全面风风险管理理：指贯贯穿整个个组织的的具有结结构性、一一致性和和持续性性的过程程，以识识别、评评估、决决定如何何应对及及报告影影响组织织目标实实现的机机遇和威威胁。推动：指与与团体（或或个人）合合作使其其更容易易就会议议或活动动的目标标达成一一致。包包括倾听听、质疑疑、观察察、提问问和支持持该团体体及成员员，但不不包括参参与具体体工作或或决策。风险：指对对实现目目标有影影响的事事件实际际发生的的可能性性。风险险通过影影响程度度和发生生的可能能性来衡衡量。风险偏好：指组织织愿意承承受的风风险水平平。风险管理框框架：指指组织所所选的实实施风险险管理过过程的结结构、方方法、程程序和定定义的总总称。风险管理过过程：指指识别、评评估、管管理和控控制潜在在事项或或情况的的