1、内部审计在国有企业风险管理中的作用以国电浙江北仑第一发电有限公司为例【内容摘要】本文认为,内部审计是风险管理的重要组成部分,在企业防范与控制风险方面具有不可替代的作用。但是在我国,关于内部审计在企业风险管理中的作用的理论研究和应用刚处于起步阶段。因此如何利用内部审计在企业风险管理中的优势,借鉴其他发达国家的先进理念,充分发挥内部审计在企业风险管理中的作用,是一个值得审计理论界进一步深入研究的课题。内部审计应该从转变观念、正确定位、健全制度、构建框架等方面在企业风险管理中发挥作用,从而丰富内部审计实践的内容,促进内部审计理论的发展。文中以国有企业的内部审计为例进行了说明,通过这些实例证明了内部审
2、计在企业风险管理中所发挥的作用;同时,通过对内部审计在企业风险管理中的作用的研究,了解风险管理对内部审计过程产生的影响,并提出相应对策,从而对推进内部审计适应新形势、树立新理念、构建新模式、探索新路子,促进内部审计事业发展起到积极的作用。【关 键 词】 内部审计 风险管理 作用目 录前 言 .21.内部审计与风险管理国内外研究现状 .21.1.国际内部审计发展及思维演变 .21.2.我国内部审计发展及思维演变 .42.内部审计在企业风险管理中的现状 .72.1.西方国家内部审计发展过程 .72.2.国电浙江北仑第一发电有限公司内部审计的引入 .92.3.内部审计在企业风险管理中的作用 .122
3、.3.1.企业风险的主要类型 .122.3.2.内部审计在国有企业风险管理中的作用 .132.4.目前企业面临的风险环境及存在的问题 .163.相关对策 .173.1.转变观念,明确目标 .173.2.正确定位,明确作用 .183.3.健全制度,明确方式 .183.4.构建框架,明确职责 .194.结束语 .19参考文献 .1前 言有企业经营,必有风险管理;而有风险管理,则需内部审计。内部审计作为企业风险管理的一个重要环节,在组织运营中的地位日趋突出,已成为关系企业兴衰成败的重要因素。近年来,有些内部审计组织开始介入风险管理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍
4、认可。自国际先进内部审计理念引入以来,我国内部审计在企业风险管理中的地位日趋重要,作用日益显著。然而,目前内部审计在企业风险管理中作用的发挥及其有限,在这方面的知识和经验仍非常匮乏,如何充分发挥内部审计在企业风险管理中的作用是内部审计理论界关注的重大课题。本文选择以风险管理为切入点,着重研究内部审计在企业风险管理中的作用,其动因在于:第一,风险管理审计是目前内部审计理论发展的新兴动向,许多发达国家的知名企业以及我国民营企业内部审计运作模式已经逐步向此方向变革。以风险管理为基础的内部审计理论,提升了内部审计的价值,明确了内部审计在企业风险管理中的作用,对于加速内部审计技术的发展和应用有着积极意义
5、。第二,近些年来风险管理作为一个为更多企业所认可和采纳的新的管理方法及其发展,对内部审计过程产生的影响,改变了人们对内部审计的认识和期望,丰富了内部审计实践的内容,促进了内部审计理论的发展。本文将从企业风险管理的角度分析探讨内部审计在企业风险管理中的作用。第三,我国内部审计理论和实务同国际先进水平相比尚有较大差距,而风险管理审计将是我国内部审计发展的未来趋势,对推进内部审计适应新形势、树立新理念、构建新模式、探索新路子,促进内部审计事业发展起到积极的作用。2一、内部审计与风险管理国内外研究现状(一)国际内部审计发展及思维演变尽管内部审计已经进行了几个世纪,它作为一个现代职业被认识只是过去60
6、年的事。在 1941 年,国际内部审计师协会在纽约成立,当时 25 位内部审计师对要有一个机构来帮助他们发展共同的事业,维护共同的利益达成了一致意见。期间共发表了 7 个内部审计定义,这些定义的修改和发展,记录了内部审计前进的足迹,从中可以得到新的启示。第次 年份 内部审计定义一 1947 年内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题。二 1957 年内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务,是一种衡量、评价其它控制有效性的管理控制。三 1971 年 内
7、部审计是建立在审查经营活动基础上的独立评价活动,并为管理提供服务,是一种衡量、评价其它控制有效性的管理控制。四 1978 年 内部审计是建立在以检查、评价组织为基础的独立评价活动,并为组织提供服务。五 1990 年 内部审计工作是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行审查和评价。六 1993 年 内部审计的目的是协助该组织的管理成员有效地履行他们的职责”七 2001 年内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。II
8、A 的发展动向和提出的观点,给了本课题的研究更多权威的支撑。亚洲内部审计大会(2001 年马来西亚)的主题是:新经济对内部审计的挑战风险管理与公司治理。国际内审协会第 63 届国际大会(2004 年悉尼)三个热点问题是:公司治理、风险管理和企业文化。发起组织委员会(COSO) 企业风险管理综合框架 (2004 年) ,描述了适用于各类规模组织的企业风险管理的重3要构成要素、原则与概念。框架集中关注风险管理,为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。这些强调树立以全面风险管理为导向的权威理念,体现了内部审计的发展方向。内部审计实务公告 2100-3内部审计在风
9、险管理过程中的作用:为了根据内部审计专业实务标准开展内部审计工作,内部审计师应该在机构的风险管理过程中起关键作用;实务公告 2110风险管理:内部审计活动应帮助机构发现并评价重要的风险因素、帮助改进风险管理与控制体系。国际内部审计协会(IIA)要求,在企业的内部审计章程和审计委员会章程中,应明确规定董事会及其审计委员会和最高层管理当局期望内部审计在风险管理中发挥的作用。亚洲内部审计大会(2008 年印度尼西亚)的主题是:评价和提升风险管理、控制和治理过程的有效性。由此可见,内部审计是企业风险管理体系的重要组成部分。内部审计是围绕风险开展的审计,在制定审计计划、实施审计业务、报告审计结果以及后续
10、审计的内部审计活动全过程中,风险是一个主要的决定因素。这一观点,不仅在 IIA标准 中得到了详细阐述,而且在 中国内部审计基本准则及具体准则(以下简称 CIA准则 )中也进行了规范和要求。如:在制定审计计划时,IIA 标准 要求“审计执行主管应该以风险为基础,根据机构目标制定计划,确定内部审计部门的工作重点” ;“内部审计活动的计划应当至少一年进行一次,并在评估的基础上制定” ;CIA 准则要求“ 内部审计人员应在考虑组织风险、管理需要及审计资源的基础上,制定审计计划,对审计工作做出合理安排” 。在实施审计业务中, IIA标准 要求 “审计业务的目标应是对被评价活动的风险、控制及治理过程提出意
11、见。在制定审计业务计划时,内部审计师应发现、评价与被检查活动相关的风险。审计业务工作的目标应该反映风险评估的结果” ;“内部审计师应考虑到存在严重错误、不合规、违规及其他风险的可能性”并要求“内部审计师应收集、分析、评价并记录足够的信息,实现审计业务目标” 。在审计测试时,IIA标准 要求“用于检测、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率” ;在咨询业务中,IIA 标准要求 “咨询业务的目标是解决风险、控制与治理过程的有关事项,实现程度是以客户达成的协定为准” 。在审计报告中,IIA标准要求“应该传达对风险管理的结论和建议” ;在后续审计中,IIA标准要求4“审计执
12、行主管应规定后续审计过程,以监督保证管理行为能够得到有效落实,或高级管理层已接受了不采取行动所带来的风险。 ” CIA准则要求“内部审计人员应进行后续审计,促进被审计单位对审计发现的问题及时采取合理、有效的纠正措施” 。关于剩余风险问题,IIA标准 要求“在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下,审计执行主管应就此与管理管理层进行讨论。如果无法决定剩余风险问题,审计执行主管与管理管理层应就此事报告董事会加以解决” 。由此可见,风险管理是贯穿内部审计工作的一条主线。(二)我国内部审计发展及思维演变我国从 1983 年恢复内部审计制度以来,大体经历了三个阶段。第
13、一阶段19831994 年,是我国内部审计制度初步建立阶段。主要针对国营企业和大量的行政事业单位制定了一系列法规,基本确立了我国的内部审计制度,使内部审计得到了发展;第二阶段 19952002 年,是我国内部审计立法进一步完善的阶段。1995 年 1 月中华人民共和国审计法的颁布实施;1995 年 7 月审计署发布了审计署关于内部审计工作的规定,对原有的规定做了全面修订,并对内部审计的定义、机构设置、职责、权限、审计任务、工作程序、职业道德等作了全面具体的规定;第三阶段从 2003 年开始,是全面建立健全内部审计法规体系的阶段,将内部审计的对象扩展到国有企业以外的其他企业,并颁布了20 个具体
14、准则和 2 个实务指南,为所有类型的企业、事业单位、机关、社会团体等各类组织提供了内部审计实务的指导,其中 2005 年 5 月 1 日起内部审计具体准则 第 16 号(2005)风险管理审计的正式施行,标志着我国内部审计实现了从财务收支审计到风险管理审计的转变。在我国,关于内部审计在企业风险管理中的作用的理论研究和应用刚处于起步阶段。中华人民共和国审计署令第 4 号审计署关于内部审计工作的规定(2003)之第九条内部审计机构应履行的职责中规定:内部审计机构应当“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。” 中央企业内部审计管理暂行办法之第三章内部审计机构主要职责中规
15、定,内部审计机构应当“对本企业及其子企业的物资(劳务)采购、产品销售、工5程招标、对外投资及风险控制等经济活动和重要的经济合同等进行审计监督”;“对本企业及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈,对企业有关业务的经营风险进行评估和意见反馈”。中国内部审计协会发布了内部审计具体准则第 16 号(2005)风险管理审计:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。2006 年 6 月 6 日,国务院国有资产监督管理委员会发布了国资发改革2006 年108 号中央企业全面风险管理指引,则标志着中国走上了风险管理的
16、中心舞台,开启了中央企业风险管理历史的新篇章。其中第十条规定:内部审计部门和董事会下设的审计委员会为第三道防线以及第四十条规定:企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。浙江省人民政府令第 258 号浙江省内部审计工作规定(2009年 4 月 9 日公布,自 2009 年 6 月 1 日起施行)之第十条规定:内部审计机构和内部审计人员根据本单位主要负责人或者权力机构的授权,审
17、查和评价下列审计事项:(四)本单位及所属单位的内部控制和风险管理。上述标准和规定,确立了内部审计在国有企业风险管理中的地位,明确了风险管理是内部审计工作的一项重要内容。对内部审计与风险管理的这个课题,许多内部审计专家都有过总结:南京审计学院院长兼党委书记、中国内部审计协会副会长兼秘书长易仁萍认为,风险管理是内部审计的核心内容之一。 1她在主持 2007 年内部控制与风险管理春季高峰论坛时说:随着我国社会主义市场经济体制不断完善,国有企业股份制改革不断深化,现代企业制度逐步建立,公司治理结构不断完善,对内部审计在公司治理、风险管理及控制中的作用提出了更新、更高的要求,为内部审计事业的创新发展提供
18、了广阔的空间。 2 审计署总审计师孙宝厚在 2007 年内部控制与风险管理春季高峰论坛上作题为“内部审计是风险管理的重要组成部分”的演讲。 3 2001 年 CIA 威廉姆斯史密斯金奖获得者、泰康人寿稽核总监、首1 易仁萍,内部控制与风险管理是内部审计的核心内容,3C 框架中国式全面控制。2 易仁萍,融合之道2007 年内部控制与风险管理春季高峰论坛,中国内部审计,2007 年第 6 期。6席风险官兼合规负责人李艳华在 2007 年亚洲内部审计大会上介绍了泰康人寿内部审计的发展,通过多年的实践和探索,建立了公司独具特色的以经济资本和价值风险管理为基础、以合规体系建设和法律服务为主要内容、以独立
19、内控评价和稽核检查为重要手段,各司其责、相互配合、统一协调的“三位一体的全面风险管理体系” ,不仅是中国企业在风险管理方面的一次大胆的探索与实践,而且在世界范围内也是比较先进和具有“创新性的” ,使国际内部审计界对中国企业在内控与风险管理方面的探索与实践有了“新”的认识。 4 湖北省内部审计协会副会长、原任武汉钢铁(集团)审计部部长谭丽丽认为,内部审计报告注重于风险问题,会使高层管理者产生更多的共鸣。 5 审计署科研所副所长崔振龙:内部审计在内部控制和风险管理当中所发挥的作用是以往任何时期都没有的,也是其他组织所不能替代的。 6 中国内部审计协会会长王道成在中国内部审计协会第五届理事会第六次(
20、扩大)会议暨新中国内部审计制度实施 25 周年研讨会上说:开展风险管理和内部控制有效性评价,是内部审计的立足之本,是现代内部审计的主要产品,是发挥审计“免疫系统”功能的路径,是内部审计工作的永恒主题。 7 综上所述,内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。众所周知,传统的内部审计主要是通过财务审计来发挥其职能作用的,其目的主要是查错防弊。财务审计主要是面向过去,其审计范围是历史的财务记录,它所评价的是企业过去的利润或盈余,是企业的控制程序之一,主要起保护作用。然而,现代管理更强调战略管理,管理者的现时观点要面向未来。因此,为适应企业竞争形势的
21、变化和管理当局的要求,内部审计更应当把重点放在企业风险管理上来,以提升企业价值为目的为管理当局提供服务,这既是我国内部审计发展的结果,更是受托责任关系发展变化的体现。通过以上比较和分析可以看出,中外内部审计理论与实践的发展处于不同阶段和水平。3 孙宝厚,内部审计是风险管理的主要组成部分,中国内部审计,2007 年第 6 期。4 李艳华,全面风险管理的实践与挑战,2007 年亚洲内部审计大会会议资料。5 谭丽丽,现代内部审计实务探索,国资委干部培训中心第十八期国有企业总会计师(审计专题)培训班教学讲义。6 崔振龙,内部审计在内部控制与风险管理中的作用,中国内部审计,2007 年第 6 期。7 王
22、道成,内部审计要充分发挥“免疫系统”功能,中国审计,2009 年第 5 期。7二、内部审计在企业风险管理中的现状内部审计是一种独立的、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。2001 年国际内部审计师协会通过的内部审计新定义,内部审计被界定为“一种独立、客观的确认和咨询活动,旨在增加价值和改善组织
23、的运营。它通过系统的、规范的方法,评价并改善风险管理、控制和治理程序的效果,帮助组织实现其目标。 ”这一新定义对内部审计的定位为“评价并改善风险管理、控制和治理程序的效果,帮助组织实现其目标” 。由此可见,内部审计在风险管理中具有重要地位。内部审计涉足风险管理领域有其客观必然性,是环境因素和其本身因素使然。(一)西方国家内部审计发展过程国际现代内部审计最早始于 20 世纪初期美国的铁道部门,随后得到了迅猛发展,特别是近二三十年以来,内部审计在各种类型的组织中得到了广泛普及。美国内部审计的发展水平就像其经济发展水平一样,处于世界领先地位。它吸收了社会科学和企业文化发展的优秀成果,适应了不断变化的
24、企业经营环境对强化科学管理、增值盈利的要求。美国企业内部审计机构是基于企业自身经营管理的需要而设立的。它是企业内部控制机制的一个重要组成部分,在服务于企业经营管理过程中,显示了丰富的智慧和巨大的潜力。美国最先进行了制定内部审计准则的尝试。1941 年,内部审计师协会成立,随即制定了内部审计职责说明 ,对内部审计人员的职责和工作范围加以规范。1968 年协会通过了第一个道德规则内部审计协会道德规则 ,概括了协会职业行为的标准。1972 年制定并颁布了第二个道德规则注册内部审计师职能道德规则 。1978 年 6 月,内部审计师协会制定了内部审计实务标准 ,对内部审计的含义、职责、独立性、机构人员以
25、及工作范围和工作程序等都作了较具8体的规定,使内部审计的开展有了较完备的行为规范和衡量标准。这是目前世界上有关内部审计影响最大、最具权威性的一份标准。自安然公司财务丑闻发生以来,美国的其他方面的法律加强了对上市公司内部审计的要求,2002 年 8 月份,美国证交会制定了两项新的规定。第一项规定是:任何一家要上市的公司必须设立内部审计部门。第二项规定就是赋予审计委员会新的职能。可见,美国的内部审计制度是从多项法律、规定中加以规范,从而严格保证内部审计制度的有效运行、内部审计监督体制的完善运作。美国内部审计机构的设置在美国由于情况不同有着比较大的区别。许多公司的内部审计至少向副总经理负责,向董事会
26、领导下的审计委员会负责的也为数不少。美国的内部审计可直接向企业最高权利机关负责,从而增强了内部审计的独立性和权威性。按照美国权威性机构证券交易委员会的规定上市公司必须设立内部审计委员会,由不参加经营的外部董事组成,而且任何一个企业必须有内部审计部门,并配备有独立于该公司的审计人员。在美国,内部审计的工作范围也是不断变化的,内部审计早期的工作主要是财务收支审计。随着管理的需要,内部审计的工作范围不断扩展,不再仅仅局限于财务审计上,而是涉及到经济、效益和效果的方方面面,并越来越多的深入到内部控制系统的监督、经济责任的评价、经济项目的评估等领域,审查的范围扩大到公司的所有的业务机能以及一切内部控制制度包括各项业务控制,如采购、销售、开发、质量管理、人员培训等,形成了管理审计、经营审计和综合审计等体系。在美国,内部审计己发展成为一种公认的专业职业,而且内部审计组织具有较高的地位和较强的独立性,主要体现在:一是内部审计组织直属企业领导,遇有重大问题,可直接向审计委员会或董事会报告;二是内部审计机构不受公司其他业务部门,如财会、供销、生产等影响,独立开展工作,对审计事项做出客观的分析、判断和评价。美国内部审计由于企业竞争的加剧迫切需要改善经营管理,因而促使内部审计逐步发展到经营审计。经营审计的开展使美国的内部审计走向更高的层次,同时也标志着现代美国内部审计制度的日益完善。
