企業風險管理框架在內部審計中的應用

摘要：內部審計即是企業風險管理的一個組成部分，又是企業風險管理的一種特殊形式。內部審計師在審計中應用企業風險管理框架有助于審計師把更多的審計資源放在企業風險上，識別和評估風險，提高審計效率和效果，為企業的董事會和管理層提供更為可靠地審計信息。

關鍵詞：內部審計；企業風險框架

一、企業風險管理框架介紹

1 企業風險管理的定義。2003年7月美國COSO(全美反舞弊性財務報告委員會發起組織)委員會發布的《企業風險管理框架》征求意見稿中對其定義“企業風險管理是4\"由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。這是一個廣義的風險管理定義，適用于各種類型的組織、行業和部門。

2 COSO企業風險管理框架的內容。對于許多企業來說，沒有一個普遍認同的關于風險以及風險管理的定義，也缺乏一個概述風險管理運作程序的全面框架，這使得董事會成員和管理層之間進行風險交流變得異常困難。在這背景下，制定框架有著強烈的驅動力。為了順應企業的呼聲和要求，2003年7月美國COSO委員會頒布了企業風險管理框架的討論稿。討論稿描述了企業風險管理框架包括四類目標：戰略目標、經營目標、報告目標、合規性目標。八大要素：內部環境、目標制定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。

二、以風險導向的內部審計

內部審計是在一個組織內部建立的一種獨立的評價活動，并作為對該組織的活動進行審查和評價的一種服務。內部審計的目的是協助該組織的管理成員有效地履行他們的職責。內部審計的發展趨勢是有財務審計到財務審計與管理審計并重。

現在國內外的審計都推行風險導向審計。審計風險模式為：審計風險=重大錯報風險×檢查風險。在審計過程中，審計師需要實施審計程序，評估重大錯報風險，并依據重大錯報風險的評估水平確定并實施進一步的審計程序，以便把檢查風險降低到一個可以接受的低水平。

站在企業立場的內部審計師更多的把風險導向審計中的“風險”擴大為企業或組織在經營過程中面臨的不能實現其目標的各種風險，所以內部審計領域的風險導向審計是以影響企業經營目標實現的經營風險為依據確定審計項目，以企業進行的所有降低風險的活動為測試重點，評價風險降低的充分性和有效性，并提出恰當的降低風險的建議的一種審計方法。

三、內部審計與企業風險管理的關系

內部審計即是企業風險管理(內部控制)的一個組成部分，又是企業風險管理(內部控制)的一種特殊形式。

企業風險管理體系包括八大要素，其中監控又分為持續監控與個別評價。持續監控的對象是除監控外的七大要素，持續監控的主體是各直接進行風險管理的業務部門。個別評價的對象是除監控外的七大要素和持續監控。個別評價的主題是內部審計部門和業務部門，并且應該以內部審計部門為主，因為業務部門主要負責持續監控，長時間從一個角度看問題容易產生偏差，由內部審計部門介入，能有效地糾正這種偏差。作為個別評價的內部審計是企業風險管理的一部分，評價除自身以外的企業風險管理體系的全部內容。

四、內部審計中企業風險管理框架的應用

在企業風險管理體系中，內部審計是對企業風險管理有效性的評價。本文試圖建立一個風險管理評價體系，以方便地指導內部審計對風險管理體系的評價工作，加強全企業范圍內對風險的識別與控制，完善風險管理體系。

1 評價的目的。內部審計對企業風險管理有效性評價的目的在于完善企業風險管理體系，更好地控制風險、增加價值。需要注意的是，評價本身不是目的，評價過程中內審人員與各部門的溝通以及評價后相應改進措施比評價本身更為重要。

2 評價的內容。內部審計人員對企業風險管理的評價可分為總體和業務兩個層面進行，評價的內容就是企業風險管理框架中的八要素。

3 評價的方法。評價的方法有很多，有很多不同的評價方法和工具，包括一覽表、問券以及流程圖技術等。這里介紹2種模式。(1)風險管理自評。風險管理自評的方法就是要求審計人員與被審計部門管理人員組成一個小組，對本部門風險管理的恰當性和有效性進行評估，然后根據評估提出審計報告，由管理者實施。對于內部審計而言，風險管理自評可以讓管理部門了解到對風險管理的責任，同時還可以提高審計的效率和效果，減少審計人員的工作量，節省審計時間。(2)風險管理矩陣法。風險管理矩陣法是審計人員根據企業經常目標、風險與控制之間的聯系，為確保審計建議能針對重要的風險而建立的一張工作表。

該表包含了下列信息：明確企業的經營目標，審計人員對被審計事項的初步了解，根據初步了解的情況識別風險因素，衡量風險的重要程度，采取適當的控制措施，審計人員的評價和結論。

內部審計人員通常在測試的最后階段來做這個矩陣，其優點是清楚地反映出對每一目標的測試和評價，有助于關注重要風險。

4 評價的報告。評價報告分為兩大類，一類是專項評價報告，一類是總體評價報告。

在對每一個業務模塊評價結束時，內部審計部門出具專項評價報告。報告呈送至改業務模塊涉及部門和風險管理部門，并在審計部門留底備案。

每年度，內部審計部門出具總體評價報告。該報告直接曾送董事會和風險管理部門，并在審計部門留底備案。