《IIA立场公告内部审计在企业全面风险管理中的作用.docx》由会员分享,可在线阅读,更多相关《IIA立场公告内部审计在企业全面风险管理中的作用.docx(7页珍藏版)》请在第一文库网上搜索。
1、IIA立场公告内部审计在企业全面风险管理中的作用简介风险管理关于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险,诸如社会、道德、环境及财务与运营方面的风险,并解释如何管理风险使之降低到可同意的水平。同时,全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认与咨询作用,利用各类方式协助全面风险管理的实现。什么是企业全面风险管理?人们从事风险管理活动以识别、评估、管理与操纵各类事项或者情况。这些事项或者情况涵盖单个项目或者狭义的风险类型(如市场风险)与整个组织面临的威胁与机遇。本立场公告所阐述的原则能够用于指导内部审计对各类风险管理的参与,但
2、是我们特别关注企业的全面风险管理,由于这更有助于改善组织的治理过程。企业全面风险管理(ERM)是贯穿整个组织的具有结构性、一致性与持续性的过程,用以识别、评估并确定如何应对及报告影响组织实现目标的机遇与威胁。企业全面风险管理的责任董事会对确保风险得到管理负全部责任。实践中,黄事会将风险管理框架的运作授权给管理团队来执行,由管理团队负责完成下列所列的各项活动。能够设立一项单独的职能协调与项目化管理这些活动,并利用专业技能与知识。组织中的每个人都在确保成功的企业全面风险管理中发挥作用,但管理层对识别与管理风险负耍紧责任。企业全面风险管理的好处企业全面风险管理框架能够在协助组织管理风险从而实现目标方
3、面做出重大奉献,其好处包含:为实现组织目标提供更大的可能性;在董事会层面综合报告不一致的风险;提高对要紧风险及其广泛影响的认识;识别与分担跨业务风险;对重要事项集中管理:减少意外或者危机;在组织内部更加关注用正确的方法做正确的情况;对将要采取的行动增加变更的可能性;具备为获取更高回报而承担更大风险的能力;更有根据的风险承受与决策。企业全面风险管理活动企业全面风险管理活动包含:说明与沟通组织目标;确定组织的风险偏好;建立适当的内部环境,包含风险管理框架;识别影响目标实现的潜在威胁,;评估风险(如,威胁的影响与发生可能性);选择与实施风险应对;采取操纵与其他应对措施;组织中所有层级使用一致的方式进
4、行风险信息沟通;集中监督与协调风险管理过程及结果;为风险管理的效果提供确认。对企业全面风险管理的确认董事会或者同类机构的要紧要求之一是确保风险管理过程有效运作且要紧风险被操纵在可同意的水平。对全面风险管理的确认源自不一致的渠道,其中来自管理层的确认是最基本的,应当与客观确认相结合,而内部审计是客观确认的要紧来源;其它来源包含外部审计师与独立的专家检查。通常内部审计师对下列三方面提供确认:风险管理过程,包含其设计与运行情况;对“耍紧”风险进行管理,包含操纵的效果与其他应对措施:可靠、适当的风险评估及对风险与操纵情况的报告。内部审计是一种独立客观的确认与咨询活动,其与企业全面风险管理有关的核心功能
5、是为董事会提供关于风险管理效果的客观确认。研究说明,事实上董事会成员与内部审计师均认可内部审计为组织增加价值的两种最重要的方式是为要紧业务风险已得到适当管理提供客观确认及为风险管理与内部操纵框架正在有效地运作提供确认。图1表示企业全面风险管理活动的范围,指出有效的专业内部审计活动应当及不应当(同样重要)承担的功能。确定内部审计的作用时需要考虑的要紧因素是该活动是否对内部审计部门的独立性与客观性产生任何威胁,是否可能改进组织的风险管理、操纵与治理过程。图1内部审计在企业全面风险管理中的作用图1的左侧是所有确认活动。这些活动从一个侧面为风险管理提供了更加客观的确认。遵循标准的内部审计工作能够并应当
6、至少执行其中的某些活动。内部审计能为改进组织的治理、风险管理与操纵过程提供咨询服务。内部审计师对企业全面风险管理的咨询工作的深入程度取决于其他资源,包含董事会所能够获取的内部与外部的资源,还取决于组织的风险成熟度,同时可能会随时间而变化。内部审计师在考虑风险、熟悉风险与治理之间的联系及推动方面的专长,意味着内部审计部门完全有能力作为企业全面风险管理的推动者,甚至项目的管理者,特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加与风险管理在业务操作中的不断深入,内部审计对企业全面风险管理的推动作用可能会减弱。类似的,假如组织雇用了风险管理专家或者机构服务,则内部审计更可能通过专注于确
7、认作用来增加价值,而不是通过更多地开展咨询活动。然而,假如内部审计未采取图1左侧确认活动所说明的以风险为基础的方法,就不可能开展图1中间的咨询活动。图1中间部分说明了与企业全面风险管理有关的内部审计的咨询作用。通常来说,越偏向转盘右侧的内部审计咨询活动,越需要安全保障措施以保护它的独立性与客观性。内部审计部门能够承担的一些咨询作用包含:将内部审计分析风险与操纵所用的工具与技术提供给管理层;作为将企业全面风险管理引入组织的倡导者,充分发挥其在风险管理与操纵方面的专业知识及对组织的总体认知方面的优势;提供建议,推动专题讨论会,指导组织风险与操纵,促进共同语言、框架与懂得的建立;作为协调、监督与报告
8、风险的中心;协助管理者确定降低风险的最佳方式。确定咨询服务与确认作用是否能够共处的要紧因素是确定内部审计师是否承担了任何的管理责任。在企业全面风险管理中,只要内部审计没有实际管理风险的职能(这是管理层的职责),只要高级管理层积极认可与支持企业全面风险管理,内部审计就能够提供咨询服务。我们建议,不管何时内部审计部门都致力于帮助管理层建立或者改进风险管理过程。如图1所示,在满足某些条件时,内部审计可能拓展其对企业全面风险管理的参与。这些条件包含:应当明确管理层对风险管理的职责:内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过;内部审计不应当代表管理层管理任何风险;内部审计应当提供建议
9、、挑战并支持管理层作决定,而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。这种确认服务应当由其他适当的、有资格的人提供;确认活动之外的任何工作应当被视为一种咨询业务,应当遵循与此业务有关的实施标准。内部审计参与企业全面风险管理应具备的技能与知识结构内部审计师与风险经理共享某些知识、技能与价值。比如,他们都熟悉公司治理的要求,具有项目管理、分析与推进技巧,重视良好的风险平衡而不是极端地承担或者者躲避风险。然而,风险经理只为组织的管理层服务,不必为审计委员会提供独立与客观确认。内部审计师在介入企业全面风险管理时也不应该低估风险经理的专业知识(比如风
10、险转移与风险量化与建模技术),这些知识对大部分内部审计师来说是陌生的。内部审计师假如不能证明自己拥有适当技能与知识,就不应当承担风险管理领域的工作。另外,假如内部审计部门没有充分的技能与知识能够利用,也无法从其他地方获得,内部审计负责人不应当提供此领域的咨询服务。结论风险管理是公司治理的基本要素。管理层代表董事会负责建立与实施风险管理框架。企业全面风险管理因其结构性、一致性与持续性的方法带来很多好处。内部审计师在企业全面风险管理中的核心作用应当是为管理层与董事会就风险管理的有效性提供确认,内部审计在此核心作用之外拓展业务活动时,应当采取一定的安全措施,包含将业务看作是咨询服务并因此适用所有有关
11、的标准。内部审计通过这种方式保护其确认服务的独立性与客观性。遵从这些约束,企业全面风险管理就能够帮助提高内部审计形象,增强内部审计效果。术语定义确认服务,为独立评估组织的治理、风险管理与操纵过程而对证据进行的客观检查,比如财务、绩效、合规性、系统安全与尽职调查等业务。董事会:泛指组织的治理机构。拥护者:指支持与保卫某人或者某事的人。因此,风险管理拥护者将提升其优势、教育组织的管理层与职员如何执行那些他们需要采取的措施并将在这些措施的实施过程中鼓励并支持他们。咨询服务:指咨询及有关的客户服务活动,其性质与范围需与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治
12、理、风险管理与操纵过程。顾问、建议、推动、培训等均属于咨询服务。操纵:指管理层、董事会与其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动,为实现目标与目的提供合理保证。企业:指为达成一定目标而建立的组织。企业全面风险管理:指贯穿整个组织的具有结构性、一致性与持续性的过程,以识别、评估、决定如何应对及报告影响组织目标实现的机遇与威胁。推动;指与团体(或者个人)合作使其更容易就会议或者活动的目标达成一致。包含倾听、质疑、观察、提问与支持该团体及成员,但不包含参与具体工作或者决策。风险:指对实现目标有影响的事件实际发生的可能性。风险通过影响程度与发生的可能性来衡量。风险偏好:指组织愿意承受的风险水平。风险管理框架:指组织所选的实施风险管理过程的结构、方法、程序与定义的总称。风险管理过程:指识别、评估、管理与操纵潜在事项或者情况的过程,为实现业务目标提供合理确认。风险成熟度:指由管理层按计划所采取与应用的强有力的风险管理方法的内容,在组织中,识别、评价、决定风险反应与报告影响组织目标实现的机遇与挑战。风险反应:指组织管理个别风险所选用的方式。要紧类型:容忍风险:减少风险的影响与可能性;风险转移或者终止产生风险的活动。内部操纵是应对风险的一种方式。
免费区 
