另外,企业风险管理框架的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理框架必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理(风控网)只有相融合,才能实现最佳效果。COSO企业风险管理框架概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响 内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点: 第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理框架的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
第四,内部审计在组织中扮演的角色不再是独立的评价者,更是风险管理与公司治理的集合者,内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题,及时、客观、独立地提供咨询。
最后,内部审计的建议不再是强化控制、强调成本效益配比以及提高控制的效率和效果,而是风险规避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效率和效果。
最近更新