整合框架风险基础内部审计管理.doc

整合框架风险根底内部审计管理编者按：本文主要从企业风险管理框架的提出；企业风险管理与内部控制的交融；风险管理对内部审计的影响进展阐述其中，主要包括：企业的内部环境是其他所有风险管理要素的根底、管理层必须基于目的来识别成功的潜在因素、企业风险管理要求区分可能对实现公司目的产生负面影响的所有重要情况或事件、企业对每一个重要的风险及其对应的回报进展评价和平衡、风险区分、评估、反响和控制活动在组织的各个程度层次上产生有关风险的信息、企业风险管理除包括内部控制的三个目的之外，还增加了战略目的，并扩大了报告目的的范畴、风险管理更加针对组织面临的“风险〞、风险根底内部审计不仅关注风险管理，同时也是风险管理的重要组成局部等，详细请详见摘要：2022年9月，COSO委员会正式公布了新的COSO报告：?企业风险管理——整合框架?在对此报告进展研究的根底上，讨论了两方面的问题，一是企业风险管理与内部控制的交融，二是內部审计与风险管理通过比拟认为，首先，企业风险管理与內部控制同样是一个程序，处于不断的调整和变化之中．两者只有互相交融，才能实现最正确效果；其次，对企业风险管理进展监视和评价是现代内部审计开展的结果。

內部控制向风险管理领域扩展，对內部审计的开展产生了深远影响，集中表达在风险根底内部审计的产生关键词：企业风险管理；內部控制；內部审计一、企业风险管理框架的提出2022年，美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的根底上，提出了企业风险管理(EnterpriseRiskManagement，ERM)的概念，使内部控制的研究开展到一个新的阶段COSO这样定义企业风险管理，企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用．旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证COSO认为，ERM为公司董事会提供了有关企业所面临的重要风险，以及如何进展风险管理方面的信息，并进一步提出企业风险管理由内部环境、目的设定、事件区分、风险评估、风险反响、控制活动、信息和交流以及监视等8个方面组成1．内部环境(InternalEnvironment)企业的内部环境是其他所有风险管理要素的根底，为其他要素提供规那么和构造，也为ERM的其他组成因素提供了框架其中特别是管理当局的风险偏好，决定了公司对可能出现的意料之外的事件的态度，管理当局和董事会必须明确战略及其执行过程中的风险和回报。

2．目的设定(ObjectiveSetting)即管理层必须基于目的来识别成功的潜在因素根据企业确定的任务或预期，管理者制定企业的战略目的，选择战略并确定其他与之相关的目的并在企业内层层分解和落实其中，其他相关目的是指除战略目的之外的其他目的，其制定应与企业的战略相联络管理者必须首先确定企业的目的才可以确定对目的的实现有潜在影响的事项，而企业风险管理就是提供应企业管理者一个适当的过程，既可以帮助制定企业的目的，又可以将目的与企业的任务或预期联络在一起，并且保证制定的目的与企业的风险偏好相一致3．事件区分(EventIdentification)在对企业目的、战略和方案以及对企业所处的内部和外部环境都有深入理解的根底上，企业风险管理要求区分可能对实现公司目的产生负面影响的所有重要情况或事件，事件区分的根底是将可能的风险与环境进展比照这一步要求综合运用各种专业知识，尽可能地理解企业当前或将来的环境和经营情况4．风险评估(RiskAssessment)一般用可能性(概率)和影响结果两个维度度量风险，前者是一定的负面影响事件发生的可能性；后者是假设事件发生，对经营、财务报告以及战略产生影响的可能结果，潜在影响一般以对经营、数量、金钱损失以及战略目的可能造成的损失进展计算。

风险评估的过程中根据不同的情况，采用定性、定量以及相结合的方法，假设可以获取充足的数据，一般采用定量的评估方法；假设潜在的可能性及影响结果都较小，或者无法获得数据，那么一般采取定性的评估方法5．风险反响(RiskResponse)企业对每一个重要的风险及其对应的回报进展评价和平衡，结果取决于本钱效益分析以及企业的风险偏好而平衡的反响包括承受、躲避或缓和这些风险，后者又包括风险别离、风险转换或者减少(包括通过控制活动)等形式风险反响是企业风险管理的整体重要组成局部6．控制活动(ControlActivities)控制活动是管理当局设计的政策和程序，为执行特定的风险缓和反响提供合理保证控制活动包括在整个组织中使用的批准、受权、注销、确认、观察、查证以及对经营业绩复核、资产平安、职责别离等方法7．信息和交流(Informationandmunication)风险区分、评估、反响和控制活动在组织的各个程度层次上产生有关风险的信息，与财务信息一样，风险信息必须以一定的形式和框架进展交流，使员工、管理层以及董事履行各自的责任风险评估的信息系统可以产生定期或“例外根底〞的时时报告，报告使用趋势指标、业绩矩阵及运营或财务成果的形式，这些报告可以引导出及时的决策。

在公司层次，必须对各种数据和信息流进展加工，形成关于公司风险组合轮廓的统一观点，以利于交流通常存在自上而下式、平行式和自下而上式三种有效的交流形式自上而下式是管理当局向员工传递风险信息；平行式是部门之间的信息交流和传递；自下而上式是一线员工向管理层汇报风险信息员工的风险信息交流方面的意识是风险管理环境的重要组成局部，应鼓励员工就其意识到的重要风险与管理层进展交流，管理当局应当重视员工的意见8．监视(Monitor)与内部控制一样，企业应通过持续的监视和独立的评价活动，监视企业风险管理的有效性持续监视以日常经营中发生的事件和交易为对象，包括管理当局和专门的监视人员的活动独立评价一般以定期检查方案为根底，或者以日常监视中发现的意外为起点，由于在独立调查、风险评估和报告方面具备才能、技巧和经历，内部审计师是提供独立评价的适宜人选二、企业风险管理与内部控制的交融自1992年美国COSO委员会提出?内部控制框架?报告(简称COSO报告)以来，该内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改良建议，强调内部控制框架的建立应与企业的风险管理相结合新的企业风险管理框架就是在1992年的研究成果——?内部控制框架?报告的根底上，结合?SOX法案?在报告方面的要求，进展扩展研究得到的。

通过比拟，我们可以发现，企业风险管理的定义采用了1992年内部控制框架定义的形式，认为企业风险管理与内部控制同样是一个程序，它不是静态的，而是处于不断的调整和变化之中，以适应组织环境的变化企业风险管理除包括内部控制的三个目的之外，还增加了战略目的，并扩大了报告目的的范畴内部控制框架将企业的目的分为经营的效率和效果、财务报告的可靠性和现行法规的遵循企业风险管理框架也包含三个类似的目的，但是比内部控制框架增加了一个目的——战略目的该目的的层次比其他三个目的更高企业的风险管理在应用于实现企业其他三类目的的过程中，也应用于企业的战略制定阶段另外，企业风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目的设定、事件区分和风险反响三个要素，由于对象不同，风险管理更加针对组织面临的“风险〞，增加这三个要素，拓展了概念的深度和广度因此，风险管理框架建立在内部控制框架的根底上，内部控制框架那么是企业风险管理必不可少的一局部内部控制与风险管理的交融很早就引发了人们的关注，经过长期的争论和理论，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相交融，才能实现最正确效果。

COSO企业风险管理概念的提出，将风险管理与内部控制的交融大大地向前推动了一步，这种交融必将极大地推进内部控制和内部审计的开展三、风险管理对内部审计的影响内部控制向风险管理领域扩展，对内部审计的开展产生了深远影响，这种影响集中表达在风险根底内部审计的产生由于各国实务各不一样，尚未形成统一的最正确做法，国际内部审计师协会目前还没有标准的风险根底审计定义，IIA的职业问题委员会认为，风险根底审计关注的焦点是组织对所面临影响其目的实现的风险作出的反响，与其他形式的审计不同，这种审计的出发点是风险，而非控制，其目的在于为风险管理提供独立保证，并在必要时加以引导和改良，审计业务的范围和优先次序应由组织所面临的风险所决定风险根底内部审计的特征可以总结为以下几点：第一，风险根底内部审计不仅关注风险管理，同时也是风险管理的重要组成局部公司针对风险管理功能，设立一个分部，配置一位风险经理，内部审计人员建立风险评估形式，内部审计工作成为企业风险管理的一个组成局部，整个审计工作根植于以将来为导向的风险分析第二，内部审计的方法不再是强调确认和测试控制的完好性，而是强调确认经营风险并测试这些风险是否得到有效管理，由交易事项和对政策的遵循，转变为对目的、战略和风险管理程序的关注，“控制是否适当且有效〞虽然仍被关注，但已不是关键。

第三，内部审计的反响方式不再是反响式的、事后的、不连续的监控，从以交易为根底转变为以过程为根底，对组织战略方案的创新也由观察者转变为参与者第四，内部审计在组织中扮演的角色不再是独立的评价者，更是风险管理与公司治理的集合者，内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题，及时、客观、独立地提供咨询最后，内部审计的建议不再是强化控制、强调本钱效益配比以及进步控制的效率和效果，而是风险躲避、风险转移和风险控制，通过有效的风险管理进步组织整体管理的效率和效果。