07现代企业风险管理审计实务研究

现代企业风险管理审计实务研究现代企业风险管理审计实务研究2目录一、问题的提出二、审计客体和审计流程双轮驱动的风险管理审计三、现代企业风险管理审计路径选择四、案例导入五、与内部控制审计的比较六、内部审计在企业风险管理过程中的角色与责任七、结论、要求与趋势分析现代企业风险管理审计实务研究3【内容摘要】本文从企业风险管理和内部审计理论与实践发展的现实需要出发，结合先进的内部审计理论，架构了风险管理审计框架，从风险管理审计的背景分析入手，探讨了风险管理审计的内容、实现途径、现实困惑等相关问题，充分结合“国际内部审计专业实务框架”和“中国内部审计准则”的规定，设计了企业风险管理审计模型，并对未来进行了预测和展望。风险管理审计是现代企业内部审计未来发展的主题，强化风险管理审计意识，提升风险管理审计专业能力，保持独立性、客观性，是风险管理审计对内部审计人员的基本要求。【关键词】现代企业风险管理审计实务研究现代企业风险管理审计实务研究4一、问题的提出自从安然事件、世通事件发生后，各大企业和行业监管组织都将关注的视线转向舞弊及舞弊的防范问题，如美国反虚假财务报告委员会（COSO）、国际内部审计师协会（IIA）等。如何防止舞弊？全面推进风险管理，强化内部控制意识，优化公司治理结构成为首要选择。面对国际经济文化环境的变化，我国财政部、证监会、审计署、国资委、银监会和保监会等主要监管部门也纷纷颁布标准和规范，以强化内部控制、风险管理和公司治理。如“五部委”共同制定了《企业内部控制基本规范》（将于2010年1月1日起在上市公司中施行）、国资委颁布了《中央企业全面风险管理指引》等。面对上述变化，内部审计如何应对？国际内部审计师协会(TheInstituteofInternalAuditors以下简称IIA)在2001年颁发的《内部审计专业实务标准》中将内部审计定义为：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”2007年，IIA开始着手全面修订《内部审计专业实务标准》，并于2009年1月，颁布了新的《国际内部审计专业实务框架》“InternationalProfessionalPracticesFramework（IPPF）”，尽管该“实务框架”在结构组成、具体内容等方面与2001年的“实务标准”有较大不同，但关于内部审计的定义，却没有任何变化。我国内部审计协会于2003年颁发了我国第一套内部审计准则，现代企业风险管理审计实务研究5其《内部审计基本准则》第二条将内部审计描述为：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审计和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”图表1：两组定义的完整内容及比较不同定义比较项目IIA的定义CIIA的定义审计主体定义中没有明确，但透过定义可以确定：可以设在组织内部，也可以设在组织外部强调由组织内部的机构或人员审计客体风险评估内部控制治理程序经营活动内部控制审计目标帮助组织增加价值改善经营效率适当性、合法性有效性审计职能咨询确认（监督、评价）监督评价审计特征独立性客观性独立性客观性国际内部审计师协会（IIA）成立了一个专门从事内部审计研究的知识共同体组织，该组织英文全称为CommonBodyofKnowledge,简缩为CBOK。该组织自从成立以来，一直致力于内部审计理论研究和实践状况调查工作，于2006年底，发布了第一份全球内部审计活动状况的调查报告，这份报告在对全球各地内部审计情况调查的基础上，系统地总结了被调查者提供的信息，确定了有效的内部审计活动应具备的属性，包括内部审计人员的知识结构、胜任能力和审计技术、内部审计工具以及日益突出的内部审计功能等。CBOK通过网络等多种渠道，于2006年9月面向全球发放了数万份调查问卷，回收9366现代企业风险管理审计实务研究6份，被调查的对象有首席审计执行官、审计经理、高级审计主管、审计人员以及其他类型被调查者（没有内部审计师相应的技术职称，但却从事内部审计理论研究或实践工作）。调查的主要议题涉及这样几个重要方面：1、内部审计活动的现状；2、人员配备和专业的发展状况；3、内部审计技术与方法；4、内部审计人员的知识结构和胜任能力；5、《内部审计实务标准》的执行情况；6、内部审计功能及实现情况。在针对内部审计活动线装调查中，有79.5%的被调查者认为风险管理审计在未来三年内将有增长的趋势。图表2：未来三年内内部审计执行的审计类型的期望变化活动选项样本量增长减少保持不变合计财务过程审核672443.5%14.5%41.9%100%风险管理672879.5%2.3%18.2%100%组织治理670463.2%4.0%32.8%100%规章的执行669846.9%11.7%41.4%100%运营审计671546.2%14.7%39.1%100%0%10%20%30%40%50%60%70%80%90%100%财务过程审核风险管理组织管理规章的执行运营审计保持不变减少增长资料来源：时现等翻译全球内部审计概览---基于调查问卷的视角《中国内部审计》2008年4期为了获得对内部审计活动在一个组织所进行的各种各样的活动现代企业风险管理审计实务研究7中应该扮演或即将扮演的角色的理解，很多组织向被调查者提供了其执行的一系列功能。调查时要求说明他们的IIA现在是否在活动中扮演一定的角色、或是否可能在未来三年中扮演一定的角色、或者根本不可能发挥任何作用（见图表3、图表4）。图表3内部审计活动日益突出的地位角色选项样本量目前扮演一定角色三年内扮演一定角色不可能扮演角色根本不会扮演角色合计战略合作和执行策略（平衡记分卡）650023.1%35.2%30.1%11.5%100基准647628.6%35.7%26.0%9.8%100组织治理651152.2%31.1%11.3%5.15100组织社会责任641523.6%31.6%33.8%11.0%100人事组织培训(内部控制、风险管理、规章制度)652246.6%34.4%15.3%3.7%100灾难恢复649034.0%26.1%29.0%10.%9100证据的条目638539.8%23.9%23.5%12.8%100图表4：内部审计活动日益突出的地位角色选项样本量目前扮演一定角色三年内扮演一定角色不可能扮演角色根本不会扮演角色合计新新市场642611.5%22.5%39.5%26.4%100环境稳定性643614.0%24.7%39.9%21.4%100行政赔偿642916.0%17.7%45.4%20.9%100舞弊防范／检查653069.0%22.9%5.7%2.5%100全球化643115.3%21.1%35.2%28.4%100知识产权和评估639119.2%28.4%35.1%17.3%100IT管理评估645346.1%32.2%16.8%4.9%100知识管理系统发展审核638726.1%38.0%26.9%8.9%100合并和收购643718.4%23.7%30.8%27.1%100项目管理641039.8%27.6%25.1%7.6%100对审计委员会提供培训643631.2%34.4%21.7%12.7%100现代企业风险管理审计实务研究8规范执行的评估监控644264.0%23.0%9.2%3.8%100风险管理650966.6%25.5%5.6%2.3%100战略框架640727.0%36.8%27.7%8.5%100数据来源：时现等翻译全球内部审计概览---基于调查问卷的视角《中国内部审计》2008年4期应企业风险管理的要求，内部审计应该将重心转向内部控制审计和风险管理审计。但是，来自于中国内部审计协会内部审计发展研究中心的研究报告表明，至2007年底，我国国有企业内部审计活动主要包括“财务审计、经济责任审计、投资项目审计、经济效益审计、物资采购审计、专项审计”等，风险管理审计、内部控制审计、舞弊审计、IT审计虽然有所开展，但比例很低。图表5：中国国有企业内部审计活动范围财务审计经济责任审计专项审计投资项目审计经济效益审计内部控制审计物资采购审计合规审计其它审计风险审计舞弊审计IT审计23.7020.2111.4010.978.418.375.613.773.132.601.360.470%5%10%15%20%25%财务审计风险审计内部控制审计合规审计舞弊审计投资项目审计物资采购审计经济责任审计经济效益审计IT审计专项审计其它审计（数据来源：时现毛勇《08’中国国有企业内部审计发展研究报告》）现实与准则要求形成了巨大反差，风险管理审计如何有效开展？现代企业风险管理审计实务研究9确实缺乏实践标杆，不仅如此，面对内部审计新旧概念的更迭，诸多专业术语如雨后春笋般出现，如内部控制审计、制度基础审计、风险管理审计、风险导向审计等，内部审计的专业内涵也发生了深刻的变化，如何在实践中界定清楚并推进，以达到现代内部审计帮助组织增加价值的目标，是内部审计人员必须要关注和研究的问题。国际内部审计师协会在2009年最新颁布的《国际内部审计专业实务框架》中要求内部审计人员应该使用风险评估的方法编制审计计划，同时要积极开展风险管理审计。某油田的内部审计也在积极呼应，但由于刚刚起步，尚无标杆可以参照，本研究则立足于此，从管理审计内容的界定和管理审计流程两个纬度设计风险管理审计框架，丰富风险管理审计内涵，推进风向管理审计实务发展。二、审计客体和审计流程双轮驱动的风险管理审计（一）风险来自于不确定性国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确定性对企业实现其经营目标的影响。国际内部审计师协会(IIA)新颁布的《国际内部审计专业实务框架》(IPPF)将风险定义为：“指对实现目标有影响的事件实际发生的可能性，风险通过影响程度和发生的可能性来衡量。”现代企业风险管理审计实务研究10图表6：不确定性示意风险是风险因素、风险事故和损失三个要素的结合体，三者之间的关系如图表7所示。图表7：风险三要素风险在企业经营活动中有不同的表示，国资委将企业风险分为：战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分，见图表8：实质性风险因素道德性风险因素风险因素风险事故损失直接损失间接损失心理性风险因素现代企业风险管理审计实务研究11图表8：国资委对国有企业风险的分类内部外部战略风险新技术、新产品、购并风险、品牌建立、收益变化市场需求变化、失去主要客户或供应商、竞争对手财务风险现金流、资产流动性经济周期、信用风险市场风险定价、促销政策股票市场、外汇汇率、贷款利息、期货市场运营风险安全生产、网络安全、环境保护、人力资源、新项目、价格谈判、火灾、车船事故、人身伤亡管理责任、供应链、水灾、偷盗、恐怖袭击法律风险知识产权、员工纠纷合规、法律改变、诉讼（二）企业风险管理融入企业战略设计和所有经营活动之中企业风险管理是指围绕企业风险去管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。其含义是“识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。”纵览企业风险管理发展路程，如下几个要素需要我们给予足够的现代企业风险管理审计实务研究12关注：1、企业管理目标引导风险管理（见图表9）图表9：企业管理目标的变化引导企业风险管理重点的转移2、企业管理环境影响风险管理（见图表10）现代企业风险管理审计实务研究13图表10：企业管理环境的变化影响风险管理模式的变化（三）风险管理审计的两个纬度进入21世纪，“风险审计”、“风险管理审计”、“风险导向审计”等类似名词不断出现在审计者的视线中，勿庸质疑，我们对“风险导向审计”比较熟悉，并能够在CPA审计中熟练应用，但当“风险管理审计”的