内部审计在企业全面风险管理中运用.docVIP

内部审计在企业全面风险管理中运用 　　在经历全球金融危机冲击之后，越来越多的企业已经认识到全面风险管理在经营管理中发挥的关键作用。根据美国COSO在2004年发布的《企业风险管理――整合框架》的阐释，风险管理框架以内部控制为中心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内部控制体系，完善风险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制。 　　与外部审计师不同，内部审计师在企业中直接与管理层及其独立审计委员会合作，而且其审计范围已经超越了传统的财务基础审计，它包括识别公司面临的最大威胁和风险，并涵盖了公司治理、风险、控制和合规等一系列领域。企业将依赖内部审计为其经营管理提供保障，确保现存的以及新兴风险能够得到识别、监控和管理。本文试图通过分析风险管理的常见误区以及相关对策，探索内部审计在企业风险管理中的具体运用。 　　 　　误区一：不良的公司治理机制 　　 　　有效的治理机制有助提高信息的透明度，促进企业内部治理层、管理层、各级员工之间的公开坦诚有效的沟通，并推动持续改进管理，这些都是风险管理得以有效执行的先决条件。 　　目前，国内企业普遍存在的误区包括：(1)在公司内部没有建立实现风险信息全方位沟通的机制，或沟通机制欠缺成效；(2)管理层并不了解对公司所承担的风险，性质；(3)在考虑是否进军新市场、推出新产品或达成一项复杂的收购或投资交易时，管理层并没有审慎考虑相关的风险；(4)管理层漠视风险管理所发出的警告信号，拒绝接受不利消息或显示其战略不可行的事实；(5)董事会只是偶尔参与风险管理和风险应对，或者对于公司面临的主要业务风险缺乏全面了解。 　　◎审计策略： 　　(1)在管理层的协助下开展治理评估，了解企业内是否建立了有效的风险管理和合规管理流程，确保政策架构、问责机制、直接报告渠道和上报程序存在并得到有效执行。内部审计师可以针对某些流程实施“穿行测试”，评估可能存在的漏洞。该项评估结果及相关改进建议，内部审计师应直接向独立审计委员会或者董事会汇报。 　　(2)在管理层希望开发新的业务领域时，根据其重要性，内部审计师可采取全程跟踪审计策略，作为独立部门或独立人员全程参与决策、运营、评估过程，对管理者的风险偏好与其进行讨论分析，履行监督职责和风险提示职责。 　　(3)在企业中持续应用独立和严谨的评估风险方法，对资金流动性、资本和财务报告进行有效管理，内审部门可以建立基于经营数据或财务数据独立的警示风险体系，及时提醒业务部门、管理层、董事会任何超过预设风险标准的警示信号。 　　(4)为确保董事会能够及时参与相关事宜，内审部门应当定期评估公司的运营环境应当向董事会提供适当的风险报告，有关报告可包括但不限于以下内容：管理层的风险偏好，以及该风险偏好是否与组织的风险特征相一致；企业关键风险汇总，并按运营单位、地域及产品进行风险细分；需要管理层关注的、有关新兴问题或风险的报告；介绍不同业务单元和业务活动存在的大额风险敞口，并对风险敞口的表现进行评估。 　　 　　误区二：风险管理体系先天不足导致执行无效 　　 　　这种状况比较常见，通常企业建立风险管理体系或者内部控制体系，并配置了相应岗位，然而缺乏相应的机制促使其得到有效执行。 　　企业普遍存在的误区包括：(1)企业风险管理实施工作缺乏重点，未充分界定风险管理的职责，相关责任关系不明确；(2)管理层对风险管理人员过度依赖且没有施以任何的限制、相互制衡，又没有制定独立的监察和报告机制；(3)缺少行政管理层的支持以及适当人员的参与、业务目标不清晰；(4)有关风险管理工作被指派给组织内较低级别的人员，导致这些工作缺乏相关指引和指导；(5)风险管理责任存在漏洞及重叠现象。 　　◎审计策略： 　　(1)内部审计师应改变长期以来的事后审计的观念，全面参与企业风险管理。应充分了解企业经营管理中存在的固有风险，识别重大岗位职能(这些岗位职能并不限于与财务风险有关的职能)，协助编写或审核管理手册与内控手册，明确相关责任关系。 　　(2)董事会应对内部审计工作予以更大的重视与放权，授权若干高级内审人员组成监察小组或其他形式的监察组织，并授予一定及时处置权力。 　　(3)评估测试风险管理体系，可以采用压力测试、敏感度分析与情景分析等工具，通过定量与定性评估方法的结合使用，客观地进行审核并解释结果，然后汇报给管理层及董事会。 　　压力测试是审核一个特定的“基本案例”投资组合或预测，并调整其价值以反映一个假设性的、不寻常的及十分不可能出现的情况或事件，该等情况或事件若真的在将来发生，会导致严重的财务压力。压力测试结果旨在考虑收益和现金流因利率急剧波动而面临的风险敞口。 　　敏感度分析