解读IIA《关于内部审计在企业风险管理中作用的意见》

来源:用户上传      作者: 韩加平

　　摘要：内部审计在企业风险管理中的作用问题一直是内部审计界探讨的重要话题，针对这一问题，2004年国际内部审计委员会发表了《关于内部审计在企业风险管理中作用的意见》，本文作者结合该《意见书》，与目前内部审计在我国企业中的实际情况阐述了自己的观点，重点阐述了内部审计在企业风险管理中的核心作用、保障性作用以及不应该从事的活动，将内部审计在企业风险管理中应当发挥的作用做了比较详细的说明，为内部审计工作的发展方向提供了参考。
　　关键词：内部审计　风险管理　独立性　客观性
　　
　　风险管理作为现代企业管理的一项重要内容，越来越受到企业的重视。而内部审计作为检查监督和服务机构，必然会参与到企业风险管理当中。但是，内部审计应当如何参与到企业风险管理当中。扮演什么样的角色，起到什么作用，这是我们首先要明确地，只有明确了这一前提，才能充分发挥内部审计应有的作用。
　　2004年，国际内部审计协会(IIA)联合英国内部审计协会和爱尔兰分会共同发表了一份《关于内部审计在企业风险管理中作用的意见书》(以下简称《意见书》)，该《意见书》指出企业的首席审计师在决定内部审计在企业风险管理当中扮演的角色和作用时，应当考虑的主要因素是内部审计所从事的活动是否会威胁到内部审计的独立性和客观性，能否促进企业的风险管理和控制程序的完善。基于这一思想，IIA对内部审计在企业风险管理中的作用提出了明确意见。以下是笔者对《意见书》阐述的解读，并结合实际情况，对内部审计在风险管理中的作用进行的分析。
　　
　　一、坚持检查与评价的核JC舴用
　　
　　IIA《意见书》明确提出，内部审计在风险管理过程中的核心作用包括：监督企业风险管理过程的有效实施；保证企业风险得到正确的评价；评价风险控制程序的有效性；分析关键风险的记录：检查关键风险管理的效果。这五点归纳起来的核心思想就是检查与评价。
　　一些企业提出内部审计应当从查错纠弊的传统角色中转变为管理咨询服务。这种提法理论上是正确的，只是目前的客观条件还不具备，所以暂时无法实现。按照IIA的建议，内部审计能够在多大程度上为企业的管理提供咨询服务，依赖于企业内、外部环境和资源，比如，企业是否依法设立了内部审计委员会，审计委员会是否能发挥其应有的作用；内部审计是否具有独立性和客观性；企业预算是否给予内部审计充足的份额；内部审计人员自身的知识和技术水平能否有效的完成对风险的识别、划分和评估等等。大部分企业的实际情况是，审计委员会虽然已经建立，但基本没履行应尽的责任；内部审计机构健全，但还是作为企业的一个职能部门受单位主要负责人领导，无法确保审计的独立性和客观性，这也是内部审计和外部审计的最大不同；还有内部审计在组织中所受到的重视程度不够，审计预算经费不足，审计人员自身的素质和能力有待提高等等，在诸多主、客观条件根本不具备的情况下，内部审计要达到全面开展管理咨询服务是不现实的。在这种情况下。检查与评价仍然是目前内部审计在企业风险管理过程中应当承担的主要责任，也是当前内部审计的工作中心。
　　
　　二、加强指导和建议的保障作用
　　
　　IIA《意见书》指出内部审计围绕企业风险管理有效运行应当提供的保障作用包括：倡导建立企业风险管理；推动风险管理战略获得董事会的批准；协助企业进行风险识别与评价；指导管理层应对风险；协调企业风险管理活动的开展；统一风险报告；促进企业经营管理框架的保持和发展。这些都是内部审计为企业风险管理有效运行而提供的指导和建议活动，为企业风险管理的有效实施提供的保障作用。
　　目前。虽然许多企业强调风险管理，但真正建立了风险管理体系的却非常少，而且，风险管理体系的建立也不是一蹴而就的，是逐步完善起来的，随着企业经营环境的改变，还要不断更新的。内部审计作为企业内部的职能部门，属于组织的一部分，对于其他职能部门的业务流程比较熟悉，同时，由于内部审计并不直接参与企业的经营管理活动，对企业的经营和管理风险并不承担直接责任，这使得内部审计具有相对的独立性，内部审计可以利用这种优势，从全局的角度，客观的对企业风险管理进行指导和建议，保障企业风险管理程序的顺利实施。
　　内部审计如何充分发挥保障作用，一是对尚未建立风险管理系统的企业，积极向管理层提出建立风险管理体系；二是通过咨询指导的方式，积极协助企业管理层完善风险管理系统；三是运用诸如风险导向审计、IT审计等先进的审计方法和技术对企业面临的风险和控制情况进行分析，及时提出完善风险管理体系的建议：四是通过开展专项审计调查，对直接参与风险管理的职能部门的管理情况进行审计。对存在的风险因素进行批露，并提出相关的建议。
　　
　　三、内部审计在企业风险管理中不应当从事的活动
　　
　　IIA的《意见书》提到，内部审计在企业风险管理过程中不应当从事的活动包括：建立企业风险偏好，制定风险管理程序，管理风险保障措施，决定风险应对措施，代表企业实施风险管理应对，对风险管理承担责任。这些活动主要是企业风险管理程序和制度建立以及对风险管理程序进行具体实施方面的活动，内部审计之所以不能直接从事这些制定和具体实施方面的活动，是由内部审计的独立性和客观性决定的，内部审计不能即负责制度的制定同时又负责对制度进行检查，即直接参与风险管理又对其进行评价，内部审计的职能不能扩大到风险管理的所有环节当中，不能直接参与风险管理要素，否则就会失去内部审计的根本作用和价值。
　　综合以上分析，基于目前内部审计在企业中的地位和内、外部环境，坚持以检查和评价为核心作用，积极发挥指导和建议的保障作用，是内部审计在企业风险管理中应当承担的主要责任。当然，内部审计在风险管理中的作用并不是一成不变的，随着企业管理水平的不断提高。内部审计所处的外部环境和资源不断改变。内部审计的核心作用也将会不断地改变。
　　最后，IIA的这份建议书虽然发表于2004年，但对当前企业内部审计参与风险管理仍然具有现实意义和指导意义，内部审计参与风险管理仍然是一个较新的课题，还需要有识之士不断地的探讨和研究。

转载注明来源:https://www.xzbu.com/3/view-1363877.htm