风险评价的定义范文

序论：在您撰写风险评价的定义时，参考他人的优秀作品可以开阔视野，小编为您整理的7篇范文，希望这些建议能够激发您的创作热情，引导您走向新的创作高度。

第1篇

贾锋的发言如下：

平台性公司一定会出现，只是需要一个发展的过程。目前，华耐也在这个领域尝试，而为搭建这个平台在公司内部也做过多次争论，平台有大有小，对于华耐来讲是在打造一个小平台。

对于消费者来说，装修费其实蛮高的，作为渠道商我也觉得有点高。但是怎么把这个费用降下来，可能大家也在思考，站在各自的利益角度，可能工厂、渠道商、卖场，装饰公司都没有觉得自己挣的多。就我们公司的数据而言，现在装修费用在流通环节里面占了差不多15个百分点。这十几个点根本装不到兜里的，全部消耗掉了。卖场的租金，包括街边店又占十二三个点，我相信像我们经营的规模是比较大的，我们的租金和销售额比例应该还是低的，很多小品类的品牌，租金占销售费用的20%，可能还有25%。人工费差不多要十几个点，仅仅这三项费用，就接近40%，这是我们现实的渠道费用，这个费用是需要消费者买单的。

我拜访过酷家网，觉得互联网技术确实解决了我们很多问题。过去做展厅就是要让人们看见你的东西好不好，效果我喜欢不喜欢。其实目前的互联网技术，陈航已经演示了，未来能解决这种问题的公司会有很多。大家不要有平台恐惧，大家现在最担心会不会出现一个恐龙出来？其实越成熟的东西越廉价，现在互联网技术把我们要装成什么效果，已经提前模拟出来了，你还需要看样板间吗？

刚才陈航演示了一下，两分钟家装效果图就出来了。这种技术以后会跟白纸一样便宜。因为每个人的电脑、手机、软件技术也会越来越成熟。可能将来每个消费者自己在手机上就可以制作演示。技术确实在改变我们的行业，在未来，消费者对于样板间、对于展厅的依赖会下降，就会削减我们刚才说的差不多10-20%的展示费。

第2篇

关键词：重大项目；风险评估；意义

所谓重大项目，是指事关广大人民群众切身利益的重大决策，涉及较多群众切身利益、并被国家或省市拟定为重大工程的重大项目，以及牵涉相当数量群众切身利益的重大改革等。重大项目社会稳定风险评估，即对与民生密切相关的重大决策、重大项目等，在出台或审批前，对可能影响社会稳定的因素进行科学、系统的预测、分析和评估，制定风险应对策略和预案，以有效地规避、预防、降低、控制和应对可能产生的威胁社会稳定的风险。

一、对重大项目进行社会稳定性风险评估的必要性

目前国外项目评估理论和方法大致经历了四个发展阶段：一是项目财务评价阶段，在20世纪50年代以前，财务评价是项目评价的根本内容，其特点是寻求项目利润最大化；二是项目SCBA评价阶段，自20世纪50年代以后，在凯恩斯经济理论的影响下，西方经济学家逐步形成了一种适应评价公共项目的社会费用效益分析方法，它是从国民经济角度出发，站在国家的立场上进行评价的；三是项目环境评价阶段，自20世纪70年代以来，投资项目环境评价的理论与方法就逐步形成并得到发展，但“以物质为中心”的经济评价没有反映分配效果，并不能保证项目的最优选择，而且，环境评价虽然能减轻一些项目的不利影响，但在引导公众参与、促进信息公开、减少负面社会影响等方面仍有所欠缺；四是项目社会评价阶段，随着社会发展观从“以物质为中心”到“以人为中心”，再到20世纪90年代的“以人为中心的可持续发展”，投资项目社会评价在国际社会越来越受到重视，由此可见，项目评价经历了从单一的经济评价发展到经济、技术、环境和社会等方面综合评价的历程，与经济评价和环境评价不同，项目社会评估着力于从全社会的宏观角度，考察项目存在对社会带来的贡献与影响，从而为降低社会风险，并为项目的可持续发展提供保障。而在项目评估方法方面，目前通用的方法主要包括前后对比法、有无对比法、成功度法和模糊综合评价法等，上世纪末兴起的投资项目社会评价方法对我国项目评估理论与实践产生了重要的影响，并已在国内世界银行贷款项目、亚洲发展银行贷款项目中得以广泛运用，此外，近年来由于受到不断产生的因重大项目引起的的影响，不少地方政府也开始借鉴与吸收项目社会评价理论的思路，探索重大项目涉及社会稳定风险的评估，逐步将后置评估转为前置评估，产生了显著的实际成效。

而恰是这些社会稳定风险评估的实践，不仅为逐渐在重大项目中强制性嵌入社会稳定风险评估进行了有益的尝试，而且较大程度地提高了各级部门维护社会稳定的自觉意识，并因为重视民意和及时化解矛盾而在事实上促进了社会的稳定与和谐，但是，就目前而言，不可忽视的是：这些尝试所产生的主要影响仍限于重大项目中维稳理念的植入，其科学性、系统性、有效性以及实际操作的可行性等均有待提高，这主要表现在记下几个方面：一是评估指标不够科学、系统，评估结果难以具有权威性，目前的评估指标选取与设置、评估指标的权重、具体测评技术等大多未经系统论证，评估过于重视“可行性分析”的有效性，而缺乏对“不可行性”的论证，这就使得不少项目评估实际上流于形式，评估过程操作简单，民意表达渠道相对不畅，对利益相关群体的利益诉求了解不够，评估结果难以具有可预测性与权威性，二是评估过程重视静态评估，而忽视动态跟踪监测，当前的评估大多是静态的，即“一评了之”，而忽视了动态跟踪监测的重要性，而重大项目社会稳定风险评估的真正目的在于分析、识别并及时化解可能的社会稳定风险，从而为重大项目的实施保驾护航，如无必要的后续跟踪监测，评估就难以起到实际的效果；三是评估结果对于做决策、出政策、搞改革、上项目并不具有实际的一票否决权，对于不少地方领导而言，发展是第一要务，尚未真正树立“评估不达标即一票否决权”的意识与决心，而这些方面则都需要进一步深化认识。

二、加强重大项目社会稳定风险评估的意义

1、维护了人民群众的合法权益。社会稳定风险评估，把重大事项晾晒在最广大群众的监督之下，督促有关部门依法履行项目审批管理程序，切实落实项目所涉及的环境保护、征地补偿、拆迁安置、社会保障等各项政策，维护了群众的知情权、参与权、监督权及合法利益。

2、促进了决策的民主化、科学化。评估过程中，通过广泛征集民意、集中民智、凝聚民心，在决策层和普通民众之间搭起一个立体的互动桥梁，促进了决策的民主化、科学化，增强了政策透明度，提升了党委、政府的公信力。

3、维护了人民群众的合法权益。社会稳定风险评估，把重大事项晾晒在最广大群众的监督之下，督促有关部门依法履行项目审批管理程序，切实落实项目所涉及的环境保护、征地补偿、拆迁安置、社会保障等各项政策，维护了群众的知情权、参与权、监督权及合法利益。

4、确保了重大项目的顺利推进。社会稳定风险评估报告形成后，有关责任部门根据报告要求进一步完善工作举措，制定详细的工作方案，并有效组织实施。针对部分群众不必要的顾虑，着力加强宣传引导，增强群众对项目的认知度；针对苗头性不良因素，及时采取措施消除其影响，使得工程项目顺利推进。

5、推行重大事项社会稳定风险评估机制是实践科学发展观的新载体。

以人为本是科学发展观的本质与核心，作为最广大人民群众利益的坚决维护者和捍卫者，我们必须把人民的利益作为一切工作的出发点和落脚点，把科学发展观贯彻落实到维稳工作的始终。推行重大事项社会稳定风险评估机制，通过对重大事项是否可能引发危害社会稳定事件进行先期预测、先期研判、先期介入，对涉及群众切身利益的问题做到慎之又慎，不出纰漏，切实维护人民群众的利益，是保稳定、促发展、创和谐的新举措，也是推进科学发展观落实的有效载体。

我们深知，经济向上高速发展时期，政府在经济建设与保障民生、经济增长与事关社会成员基本权利保护之间，有时的确是处于“两难境地”，结果原本是想解决此种社会矛盾，却往往会加重彼种社会矛盾，比如：为保持经济增长，政府投入巨资，上许多项目，原本是为了迅速增加社会财富，提高百姓生活水平，但往往事与愿违，上项目变成了扰民、影响百姓切身利益，给社会稳定带来极大风险，而这种偏离了发展根本目的、损害社会质量的经济增长就需要重新评估，而建立和推行重大项目社会风险评估制度，就可以确保政策的制定和项目的规划充分吸纳群众意见，极大地降低不必要、但目前为了维持社会稳定而必须支付的高额“维稳费用”，真正做到科学决策，从政策上反映民意、传达民声，从制度上保障民权、善利民生，在关键环节体现构建社会主义和谐社会的必然要求。

三、结束语：

总之，建立和推行重大项目社会风险评估制度，可以确保政策的制定和项目的规划充分吸纳群众意见，是真正做到科学决策，从政策上反映民意、传达民声，从制度上保障民权、善利民生，在关键环节体现构建社会主义和谐社会的必然要求。

参考文献：

[1]胡永铨.基于和谐发展观的项目社会评价体系研究.科技进步与对策，2006（1）.

[2]陈超、刘明亮、钟毅.后评价方法在土地整理项目效益后评价上的应用.国土资源，2007（12）.

第3篇

关键词：内部审计 风险管理 综述

一、内部审计定义的演进

国际内部审计定义的制定经历了多次的发展变化，内部审计的第一次定义是在1947年7月，IIA发表《内部审计职责说明书》将内部审计定义为：“内部审计是建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”定义表明内部审计主要是对公司的财务会计进行审计。1971年，IIA对内部审计重新定义为：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其他控制有效性的管理控制。”这次定义注重内部审计的管理服务职能，并对控制有效性进行评价。1999年，IIA对内部审计定义进行了修改。在新定义中，IIA指出：“作为一种客观、独立的确认与咨询服务，内部审计通过采用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，其目的是帮助企业改善经营状况、增加企业价值”。这次定义最大的变化就是将风险管理列入内部审计的范围，定义的注重点是内部审计在公司治理中应发挥的作用，审计的目标变为增加组织的价值和改善组织的营运。2001年1月IIA重新修订《内部审计实务框架》，在新框架中内部审计定义将风险管理在内部审计中的地位提升到了一个更高的层次，同时也强调要围绕风险制定内部审计计划，确定内部审计重点。2004年IIA在其修订的《内部审计实务标准》中将内部审计认定为：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”这一定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性M行评价和改善所必需的。

相比之下，我国的内部审计起步较晚，在我国制定内部审计制度之前，并没有一个权威的完整体系。但从1983年开始，关于内部审计的规定在我国的部分法律中不断地被提及。我国在1985年第一次定义内部审计，“内部审计是部门、单位加强财政、财务监督的重要手段，是国家审计体系的组成部分。”这个定义强调内部审计主要行使监督职能。在1989年和1995年我国对内部审计重新进行定义，定义仍然强调内部审计的监督职能，主要是进行财政财务收支的真实、合法、效益的监督。2003年的《审计署关于内部审计工作的规定》中对内部审计进行重新定义：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。”这个定义增加了内部审计评价的职能，以及增加了内部审计的目的为促进加强经济管理和实现经济目标。2003年《内部审计基本准则》中对内部审计进行了第五次定义，规定：“内部审计通过对经营活动的评价和审计检查，对内部控制适当的把握，并保证其合法性和有效性来促进目标实现，因此它是一种独立又客观的监督评价活动。”这个定义关注的是内部审计的监督和评价职能，而且主要关注经营活动和内控的适当性、合法性和有效性，主要是为组织管理服务。

二、内部审计与风险管理的关系

（一）内部审计和风险管理二者是一种互动交融关系

风险管理系统是企业的重要预警系统，在对企业进行风险检测、识别和预警方面起着重要的作用。而内部审计作为公司治理的重要工具，可以为企业的健康、持续发展提供保证，风险管理与内部审计的融合能够为企业的发展贡献力量。风险管理与内部审计相互融合是改善企业营运状况，增加企业价值的客观需要，也是使其自身得以发展的有效途径。内部审计通过评价和监督风险管理过程，使其成为企业风险管理的一道重要防线。风险管理与内部审计已逐渐形成了“你中有我、我中有你、相互依存、不断发展”的密切关系（余玉苗，2004）。韩志丽（2005）从价值链着手，阐述内部审计与风险管理之间的互动关系，通过内部审计与风险管理之间的这种互动，使得企业整体风险管理水平不断提升，同时也促进了内部审计的持续发展。刘丽云（2006）分析了内部审计和风险管理之间的关系，指出：“内部审计应在定义上融入风险管理，在目标上和风险管理相互统一，在职能上强调对风险的鉴证与咨询，在服务领域上扩展到评价和改善风险管理流程。”随着企业风险管理水平的提高和内部审计在风险预警和风险管理中发挥作用的职能逐渐增加，内部审计和风险管理之间的联系越来越密切，内部审计应积极转型与企业风险管理相结合（魏文婷，2014）。在企业的经营活动中，风险本身就是内部审计的有效对象，将企业的内部审计与风险管理进行有效的联系与融合，是企业未来发展的必然趋势。

（二）风险管理是内部审计的重要组成部分，将主导内部审计的变化

对企业风险管理进行监督和评价是内部审计发展的必然要求，内部审计的范围已经延伸到企业风险管理和公司治理，风险管理已成为内部审计的一项重要内容。2002年，国际内部审计师协会在《全面风险管理：发展趋势和新的实践总结》一文中指出：“21世纪企业管理过程的重点将会是风险管理，风险管理不仅会影响企业如何委派首席风险官向首席执行官和董事长报告工作，而且也会影响内部审计的执行。”Robert.R.Moeller（2006）在《布林克现代内部审计学》中指出：“风险管理是内部审计计划和评估过程的重要组成部分，内部审计人员需要理解风险，并将审计工作的重点尽量集中在高风险领域。”风险管理的变化主导着内部审计的变化，而内部审计在企业风险管理中的主要职责就是对风险管理过程进行再监督、再评价（王光远，2007）。风险管理是企业管理的核心，需要内部审计的协助，内部审计在企业风险管理控制过程中发挥的作用相当大，现代企业管理应该建立健全内部审计的综合风险管理体系，使之与企业各级风险管理组织系统相配合，企业风险管理工作应当成为企业内部审计工作的一部分和主要内容。

（三）内部审计是风险管理系统不可或缺的部分

内部审计在企业中承担着审查并参与企业的风险管理流程、为风险管理提供确证服务、促进风险的识别与评估等重要职责。内部审计部门和内部审计人员参与企业的风险管理已经成为必然的内在需求。内部审计参与企业的风险管理，将会使内部审计在企业管理中发挥重要的作用，并将其在企业风险管理中的作用推向一个更高的层次（许叶枚，2009）。赵婷婷（2011）提出内部审计是风险管理的一种方法、手段，而风险管理则是内部审计的一项新的内容、一个新的领域，内部审计成为风险管理的重要组成部分。马欢欢（2012）明确阐述了企业风险管理与内部审计之间的关系，内部审计在企业的风险管理活动中扮演着重要的角色，对降低企业经营活动风险、加强企业风险管理具有重要作用。王兵、刘力云、张利民（2013）指出我国加入WTO后，内部审计的重心转变为以内部控制、风险管理为导向的管理审计为主，内部审计在加强风险管理、完善组织治理、建立现代企业制度等方面发挥着越来越重要的作用。在当前市场经济环境下，风险管理的有效性在对企业的生存和发展方面的作用日渐显著。内部审计对企业的财务状况和经营管理情况进行指导和监督，评价并改善企业面临的风险，已成为企业风险管理系统的重要部分。

三、内部审计在企业风险管理中的作用

（一）内部审计在企业风险管理中能够增加企业价值

内部审计能够客观地检查与评价企业整体风险管理状况，指导企业的风险管理策略，对企业风险管理效果进行反馈，以及对企业的风险管理进行预警和监督，能够提升企业价值。Mcnamee & Selim（1999）指出：“在高速发展时期，企业管理者需要了解发展过程中可能遇到的各种风险。因此，内部审计人员要在风险环境中观察企业的业务流程，识别和评估企业面临的风险，提出应对和防范风险的建议，从而为企业增加价值。”贾云洁（2009）探讨了企业内部审计与企业战略的匹配从而形成的增值作用对企业价值的影响，并提出内部审计提升企业价值的主要途径。吕秀芝（2010）分析了内部审计给企业带来增值作用的途径和作用领域，指出内部审计通过内部独立的审核和咨询活动的展开能够帮助企业实现自身价值的最大化，是一种有效的增值手段。沈维成（2011）指出内部审计是企业风险管理的重要组成部分，其通过降低企业运营风险来实现企业价值的增加。在风险管理环境中，内部审计可以为企业风险管理部门提供咨询服务，促进企业价值的提升，风险管理视角下内部审计对实现企业价值增值有重要的现实意义。

（二）内部审计能够从整体上防范和管理风险，有利于减少风险损失

内部审计部门可以从全局出发、从客观的角度对企业面临的风险进行识别，及时建议企业管理部门采取措施防范和控制风险。Masaaki（2012）指出：“内部审计是一种独立、客观的鉴证和咨询活动。在全面风险管理方面，内部审计人员的职责就是向董事会提交有关风险管理充分性和有效性的鉴证。”胡静波、李卜（2012）提出内部审计通过监督活动来有效达到企业经营目标，它帮助企业将风险控制在合理的范围内，评价、防范和控制风险的发生和蔓延，并加以改进和完善。姜洪研（2013）指出内部审计人员能够独立地分析、评估和监控风险，并检查风险防范措施，帮助企业管理风险，降低风险损失。李萍（2014）指出内部审计并不参与企业特定的业务活动，使其能够从全局的视角对企业面临的风险进行防范和控制，从而对企业整体的风险管理进行统筹规划。王晨（2016）指出内部审计可以通过风险管理促进内部控制的完善，能够从全局角度客观地管理风险，控制、引导企业风险策略，减少企业风险。内部审计在企业风险管理和内部控制中扮演着重要的角色，内部审计通过对企业风险管理进行评价、监督并提出改善风险管理和内部控制的建议，从而帮助企业优化风险管理体系，降低风险，提高企业运营效率。

（三）内部审计有利于完善公司风险管理流程，提高公司治理水平

在风险管理视角下，内部审计可以有效地监控、改善企业风险管理体系，提高企业的运行效率和治理水平。内部审计在企业风险管理中具有独特的优势，有助于公司治理的M一步完善。Vijayakumar A. N， Nagaraja N（2012）在分析企业运作特点的基础上，指出风险管理视角下的内部审计模式可以有效地监控、改善公共企业风险管理体系，提高公共企业的运行效率。陈瑞敏（2012）分析了内部审计在企业全面风险管理中的重要作用，指出内部审计能够帮助企业完善其法人治理结构，提高公司治理水平。余琛（2013）指出科学的内部审计方式有助于完善企业的组织管理，提高企业的管理水平，有助于企业达到预期的经营目标。徐夏青（2013）指出内部审计参与企业风险管理与公司治理，除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构，即通过全面参与企业风险管理，提升企业的治理水平。张巧红（2015）从企业面临风险特征及风险形成原因入手，探讨了内部审计在风险管理中的作用，通过系统的、规范的方法，将风险导向贯穿内部审计工作，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。内部审计参与企业风险管理，能够促使企业建立更有效的风险管理机制，从而帮助企业提高自身竞争力，实现企业的经营目标。Z

参考文献：

[1]王兵，刘力云，张立民.中国内部审计近30年发展：历程回顾与启示[J].会计研究，2013，（10）.

[2]贾云洁.从战略角度谈内部审计价值增值策略[J].审计与经济研究，2009，（2）.

[3]王晨.企业风险管理中的内部审计研究[J].经济研究导刊，2015，（11）.

作者简介：

第4篇

关键词：IIA内部审计定义演进 启示

一、引言

随着内部审计实践业务的不断发展，国际内部审计师协会（IIA）就内部审计定义几经修改。内部审计职能也由最初的财务审计、经营审计发展到管理审计，直至现在的风险导向审计。2003年中国内部审计协会的《内部审计准则》中将内部审计定义为“在组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”此定义与IIA2004年的定义相比主要有以下区别：我国内部审计的职能是监督和评价，而IIA内部审计的职能是确认和咨询服务；我国内部审计的主要业务是监督和评价内部控制和经济活动，而IIA内部审计的主要业务是评价并改善风险管理、控制和治理过程的效果；我国内部审计目的是促进组织目标的实现，而IIA内部审计的目的是增加价值和改善组织的运营；国际内部审计允许外部化，我国则没有做出明确规定。我国内部审计的定位适应了我国内部审计的发展现状，但从长远看，可能会阻碍内部审计业务的拓展。在理论研究和实践探索上我们应紧随国际内部审计的发展趋势，抓住内部审计的未来发展机遇，保证内部审计人员具备面向未来的职业胜任能力和与时俱进的工作精神，推动我国内部审计的职业化并与国际接轨，促进我国内部审计的发展。

二、IIA内部审计定义的演进

（ 一 ）财务审计阶段 1947年国际内部审计师协会将内部审计定义为：“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”该定义明确了内部审计的工作内容是审查财务会计和其它经营活动，不仅处理财务会计问题，也处理经营管理中的问题。首次将内部审计定位为“独立评价活动”，初次提出为管理服务的方向。但由于当时内部审计人员业务素质和地位较低，致使内部审计停留在财务审计阶段。

（ 二 ）经营审计阶段 随着经济活动的发展，内部审计职能逐步从财务审计过渡到经营审计，1957年IIA对定义修改为：“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。”这一新定义极大地提高了内部审计的地位。该定义虽然仍强调会计与财务审计的主导地位，经营审计也成为内部审计的重要内容，标志着内部审计由会计与财务审计向经营审计的过渡。

（ 三 ）管理审计阶段 （1）1971年定义。1971 年定义：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制”。定义取消了“建立在财务会计基础上”，保留了“建立在审查经营活动基础上”，这标明内部审计从财务审计向经营审计的方向发展。定义还明确指出，内部审计是一种管理控制。这说明内部审计从财务审计到经营审计再到管理审计的范围拓展得到确认。内部审计评价的范围已扩展到组织内部、应由内部审计评价的所有经营活动，已经与组织的重要事务紧密相连。当时的经营实践证明，在定义修改后审计人员用于财务、会计审计的时间不断减少，而用于经营活动审计的时间越来越多。内部审计正在由经营审计向管理审计方向发展。（2）1978 年的定义。1978年定义：“内部审计是建立在以检查、评价组织为基础的独立评价活动，并为组织提供服务。”该定义最重要的变化是将内部审计为管理服务改为为组织服务，为组织服务要求审计人员以整个组织为服务对象，而不是以某一管理部门或其一管理人员为服务对象。内部审计要站在整个组织的立场上观察和评价问题，为组织的长远的和全局的利益服务。次定义扩大了内部审计服务的范围，但是内部审计为组织服务的具体内涵尚未明确。（3）1990 年的定义。1990年定义：“内部审计工作是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。”该定义把内部审计定义为“组织内部的”服务工作，以与外部审计相区别。但为组织服务的具体内涵仍未明确。（4）1993 年的定义。1993年定义“内部审计是在组织内部建立的一种独立的评价职能，目的是作为该组织的一种服务工作，对其活动进行审查和评价，以合理成本促进控制工作的有效开展，以帮助组织成员有效地履行责任。”该定义首次解决了为组织服务的具体含义。本阶段的四次定义修订表明内部审计是管理的延伸，是组织管理活动的重要组成部分，内部审计的职能由经营审计扩大到管理审计阶段；并将管理服务改为为组织服务，使内部审计站在整个组织的立场上观察和评价问题，为组织的长远的和全局的利益服务，扩大了内部审计服务的范围，

（ 四 ）风险导向审计阶段 1999年定义“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率，它通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。“这个定义同1993年定义相比，删除了“组织内部”。“组织内部”一词暗示着内部审计工作只能局限于组织内部，不利于外部借助内审工作，也不利于。这一删除预示着内部审计未来的活动空间更为广阔；内部审计可以借助外部力量，但组织内部的事不可能完全依赖外部力量来完成。随着内审在组织中的作用日益增强和影响范围的逐步扩大，用“咨询”取代“评价活动”，“评价和改进风险管理、控制和治理过程的效果”，预示着内部审计的发展进入了更高的层次和阶段，实现了由管理审计向风险评测估转变，由被动查出问题向主动提出解决问题的建议转变，使内部审计更具前瞻性、咨询性。2004年定义：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”该定义与1999年定义相比，服务的对象范围更加广泛，不仅为增加本组织价值提供服务，还为组织的所有利害关系人（如政府、股东、债权人、客户和委托人创造价值或利益）服务。2004年的内部审计定义从以下几个重要方面描绘了这一职业形象：（1）作为一项客观活动，并非必须在组织内部设立，可以通过外包来获得。（2）强调内部审计范围包括确认和咨询活动，内部审计是确认服务与咨询服务的统一体，突出内部审计要积极主动、以客户为中心，并关注内部控制、风险管理和治理过程的关键问题。（3）明确内部审计的目的是增加价值和改善组织运营，强调内部审计对各种组织的重要贡献。（4）新定义认为，控制的唯一目的是为了帮助组织管理风险、促进有效治理。这一观点大大拓宽了内部审计的范围，将其工作领域扩展到包括风险管理、内部控制和治理过程。（5）通过考虑整个组织，内部审计的使命更加广泛，使内部审计承担帮助组织实现整体目标的责任。在此定义中，内部审计关注组织治理，而组织治理也由以往的静态命令控制模式转变为与不断变化的经营风险相适应。传统的管理将注意力放在个别控制系统和经营机制上，而现代管理则强调总体管理理念，把总体管理控制系统与组织的长远目标联系起来，把目标的达成与可能发生的风险联系起来。因此，评价和改进风险管理、控制和治理过程，就必然成为内部审计的一项重要内容，将变化的风险管理模式融入内部审计程序，使内部审计更加关注风险管理，注重组织经营的未来风险。风险分析的方法和风险管理的原则，改变了内部审计计划和报告的方式。其实，风险导向审计也属于管理审计的范畴，只是其更强调关注组织治理框架中风险发现与风险管理，关注管理者及其管理经营行为可能出现的风险，关注组织在整个治理过程中的决策风险与经营风险。以上IIA内部审计定义的演变，体现了60 年来内部审计从会计的秘书，到一种独立的职业；从审查财务、会计，到评价和改进风险管理、控制和治理过程；从建立在组织内部，到对内外开展咨询服务；从为管理服务，到为组织实现其目标服务的转变。人们对内部审计的作用和地位的认识和期望，已经发生了深刻的变化，内部审计的职能己大大拓展。

三、IIA内部审计定义演进对我国内部审计发展的启示

（ 一 ）审计职能由监督评价向确认和咨询服务转变 随着我国市场经济的进一步发展，内部审计由监督型向服务型转变并与国际接轨是其发展的重要方向。确认服务是为独立评价组织的治理、风险管理和控制过程而对证据进行的客观检查，如财务、绩效、合规性、系统安全和尽职调查等；咨询服务是指咨询及相关的客户服务活动，其性质和范围需要与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。确认服务是在独立评价职能基础上发展而来，咨询服务是内部审计职业为了适应环境的需要而提出的。IIA2004年的内部审计定义强调内部审计的终极目标是增加组织价值。新的内审角色定位要求内部审计积极参与价值创造活动，只有不断创造价值才有在组织中存在的必要。内部审计部门有不同的服务群体，其增值形式也不同。经营管理层对内部审计增进其经营效率和效果的方法有兴趣，他们认为审计应通过识别改善经营的机会来增值，他们关心审计报告或审计过程中所提的建议，这更多的体现了定义中的咨询服务。审计委员会（董事会）相对内部控制的适当性、经营数据的可靠程度、法律和法规是否得到遵循、资产是否安全更感兴趣，这一部分增值更多地与确认服务相关。内部审计实现增值，就必须要注意咨询服务与确认服务的平衡。因为提供的咨询服务是否会损害其独立客观地提供确认服务，这是内部审计实现其增值目标所必须要考虑的。

（ 二 ）审计目标由查错防弊向增加价值和改善组织运营转变 传统的内部审计侧重查错防弊和对经营业务层的监督控制，使内部审计工作面临很大阻力，内部审计的监督效果大打折扣。实际上，内部审计和被审计对象的目标应是一致的，都是增加价值和改善组织的运营。在防风险、重控制、强监管的背景下，内部审计必须要转变目标理念，应由过去的查错防弊等一般防护性目标，转变到预测决策、献计献策等高层次的增加组织价值的目标导向上来。IIA颁布的《内部审计实务标准》规定：“内部审计活动应该评价并改进组织的治理过程，为组织的治理作贡献。内部审计师应对运营和项目进行评价，以确保与组织的价值保持一致。”

（ 三 ）审计范围由财务收支领域向经营管理领域转变 内部审计的审计重点应从财务收支领域向经营管理领域延伸，重视风险管理。这些领域既要包括供、产、销等主要经营环节的各种具体业务，又要涵盖人、财、物的管理效率和管理水平。主要包括：（1）风险管理活动。根据COSO委员会（2002）企业风险管理的定义，企业风险管理涵盖了传统的交易事项、资产及营运的内部控制。2004年9月COSO正式的企业风险管理框架包括要素：内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。在瞬息万变、全球性竞争、各种新组织形式及先进的信息技术不断涌现的背景下，企业的经营环境日趋复杂，企业面临的风险大大增加。内部审计部门通过收集生产和销售过程中的资料，查明和评估企业存在的风险，将这些有价值的信息，以建议、忠告、报告或其它方式，通报给管理层，或全体人员，使组织增值。内部审计部门要有高度的职业责任感和敏锐性，努力扩充自己的相关专业知识，紧紧围绕企业风险管理的要素，计划和实施审计工作，促进并协助企业改进整个内部控制系统，避免遭受严重损失。（2）业务活动。通过审查企业材料采购、产品生产、销售等主要经营环节的具体业务活动，评价企业各项决策的正确性和各项管理规章制度的实际执行情况，考察专项业务活动是否达到预定目标，是否做到了高效率、高效益，为进一步提高专项业务活动的开展能力服务。（3）管理活动。通过审查评价各项管理措施是否有效、管理职能是否有效发挥，为改善企业的管理水平服务。（4）通过审查，考核企业领导干部任期经济责任的履行情况以及内部各单位、各责任中心经济责任的履行情况。

（ 四 ）审计时间由事后审计向全程审计、着眼未来转变 IIA内部审计定义指出内部审计的主要业务范围是“评价并改善风险管理、控制和治理过程的效果”，强调内部审计是对组织风险管理、内部控制和治理活动全过程的效果的评价与改善。我国《企业内部控制基本规范》也指出，“企业建立与实施内部控制应遵循全面性原则。内部控制应当贯穿决策、执行和监督全过程。”内部控制强调全过程控制，对内部控制负有监督、控制之责的内部审计，也将变为全过程审计即由传统的事后审计变为事前审计、事中审计与事后审计相结合。（1）事前审计。对组织的各项计划、预算和决策方案进行审计，以查明其制定的方法是否科学，所依据资料是否翔实，有关保证措施是否可行，并进行经济技术分析和论证，提出建议，作为组织编制各项计划和预算以及进行决策的参考。（2）事中审计。在计划、预算和决策方案的执行过程中，对计划实施、预算落实和决策方案执行情况进行审计，通过审计结果对实际的经济效益和工作业绩进行评价，以便及时纠正实施过程中存在的问题。（3）事后审计。定期对计划、预算和决策方案的完成情况进行全面综合的事后审查，评价实际执行情况，总结经验教训并提出改进意见。（4）预测。内部审计必须对组织面临的潜在风险进行预测，判断组织是否采取了适当的预防和应对措施，是否具有足够的抵御风险的能力。内部审计通过事前、事中和事后审计相结合，把审计工作贯穿生产经营管理全过程，并着眼未来预测，有助于降低组织运营风险、改进控制和治理、提高绩效，实现增值和改善组织运营的目标。

（ 五 ）审计机构由双重领导向审计委员会模式转变 随着现代企业制度的建立和公司治理结构的完善，越来越多的企业内部审计机构转向对董事会直接负责或对董事会下设的审计委员会负责，这种形式能减少股东和经营者之间的信息不对称，使股东利益得到有效保护，符合现代企业制度和完善的公司治理结构的要求，使内部审计机构既能作为企业自我约束的机构又能代表包括政府在内的所有投资者和债权人的利益。

（ 六 ）审计模式由经营层业务导向审计向战略层治理导向审计转变 IIA1999年以来的内部审计定义拓宽了内部审计的范围，将其工作领域扩展到包括风险管理、内部控制和治理过程。IIA颁布的《内部审计实务标准》2130 规定 ：“内部审计活动应该评价并改进组织的治理过程，为组织的治理作贡献。”IIA内部审计定义为我国内部审计由经营层业务导向审计向战略层治理导向审计转变提供了国际借鉴。我国内部控制规范体系的出台，为内部审计由经营层业务导向审计向战略层治理导向审计转变提供了法规和制度保障。《企业内部控制基本规范》明确要求企业应当在董事会下设立审计委员会，构建了内部审计参与公司治理的桥梁和通道。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。《企业内部控制评价指引》指出，内部审计部门对内部控制有再控制和评价之责，有权直接向董事会及其审计委员会报告，内部审计部门必须接受审计委员会的职能监督，并通过审计委员会不受限制地接触董事会。在隶属关系上，内部审计部门不再由经营层领导，而是由董事会下设的审计委员会领导，直接对董事会负责，有较强的独立性和权威性，其工作范围不受管理部门的限制，能够确保审计结果受到足够重视，进而提高内部审计的效率。这种转变体现了内部审计的服务范围和内容从传统的经营层经营业务活动扩大到风险管理、企业文化、社会责任、发展战略等公司治理所关注的内容。

（ 七 ）内部审计外包将成为组织内部审计的新动向 1999年内部审计定义：审计主体既可以是组织内部的职能部门，也可以不是组织内部的职能部门，即内部审计主体可以向外发包，可以由第三方对内部审计工作进行投标，以获得对组织的内部进行内部审计的权利。但不能因此否认内部审计的存在和内部审计的重要性。由与组织的管理层为一体、充分了解组织情况并具有职业胜任能力的内部审计人员，履行内部审计职能是最佳的选择，但也不排除没有内部审计机构或人员的中、小规模组织，由外部审计机构或咨询组织来提供内部审计服务，即便是内部审计部门健全的大型组织中，很多情况下，仍需要具有特殊技能的外部审计人员协助其完成工作。在美国、加拿大等发达国家，内部审计已经开始由外部审计机构或咨询组织来代替，即内部审计外部化。组织选择“内部审计外包”重要标准是成本因素和质量因素。民间审计组织积极扩展服务领域，向组织提供内部审计服务；内部审计外部化，能够克服组织内部审计机构设置上的缺陷， 提供更具独立性和客观性的评价报告，同时降低组织雇佣成本， 实现价值最大化。以上两点是我国内部审计外部化的实现基础。通过合作内审实现内部审计外部化，其主要优势有：合作内审能实现对组织战略目标和组织经营情况的实时控制并保持内审的灵活性；合作内审可以使内部审计过程和结果符合组织的特定情况，使审计的工作结果更加符合组织的特定情况，使之更具针对性。

参考文献：

［1］边琪：《从内部审计定义的演变看内部审计职能的发展》，《商业经济》2006年第3期。

［2］〔美〕贝利、格拉姆林、 拉姆蒂著，王光远等译：《内部审计思想》，中国时代经济出版社2006年版。

第5篇

 

1 风险管理概念解析

 

风险管理是组织管理活动的一部分，其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73：2009《风险管理 术语》中曾经指出，风险管理由一系列的活动组成，这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程，其准确的定义为：风险管理(risk management)是指在风险方面，指导和控制组织的协调活动。

 

与风险管理定义密切相关的，还有“风险管理框架”和“风险管理过程”两个词汇。

 

风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中给了三个有用的注解，分别为：风险管理框架是要素集合，这个框架并不是单独存在的，这就体现了风险的特点之一，就是一系列的“点”，这些点是要被嵌入(be embedded)。特别值得指出的是，校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域，也是整个管理学领域的常见词汇。其中，在战略层面一般强调校准，即无论是信息安全的战略还是信息系统的战略，都应该与组织的整体战略保持一致。在更细的策略或流程层次，则强调整合或嵌入。例如，已经有人力资源的管理规程，需要嵌入安全管理的部分，或者已经有事件管理规程，将其与信息安全事件管理进行整合。总之，校准、整合和嵌入是值得深入研究的三种方法。

 

风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。

 

风险管理过程才体现了信息安全应该如何做(how)的问题。

 

严格讲，风险管理不仅仅是过程，是一系列的活动。因此，在下文的图3中，我们特别指出： 风险管理的阶段划分仅作示意。

 

2 风险评估及其过程

 

在GB/T 23694—2013 / ISO Guide 73：2009中，风险评估并不是作为一个单独的过程定义的。其中定义为：风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。

 

风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中虽然也是类似的定义，但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说，在当时的定义中，“风险识别”是作为“风险分析”的一个阶段而出现的，详细定义为：风险评估包括风险分析和风险评价在内的全过程。

 

为了更好地理解其中的变化，我们在表1中给出了风险评估包括的阶段的术语定义。

 

无论如何划分，风险评估都要完成下面这些活动：

 

在上述三个步骤中，步骤一与步骤二较为通用，或者说，截至到风险分析阶段，我们需要确定风险的等级，这都可以按照通用的标准或方法提前定义好。步骤三则不同，这个步骤需要结合组织自己定义的风险准则。

 

3 区分风险评估与风险管理

 

我们可以简单地认为，风险评估是风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程，那么风险评估就是其中的“对症”过程，只是找到问题所在，并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。

 

风险管理是一个持续循环，不断上升的过程，它被定义为一个持续的周期，每隔一个阶段就开始新的循环，这些循环要贯穿组织的始终，是组织管理的一部分。风险评估则更像“搞运动”，其一般按照一定的时间间隔进行，但是如果发生组织业务变化、出理新的漏洞或基础机构变化等，都可能启动新的风险评估过程。

 

风险管理的循环过程不是在原地踏步的，它的每一次新循环都应该上一个新的台阶，呈螺旋上升的形状。如图3所示。

 

这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估，在每一次风险评估中都会发现潜在的问题，并在接下来的风险应对过程中加以解决，从而使组织管理风险的能力得到提升。

 

4 风险应对概念解析

 

无论风险评估步骤进行得多么完美，都只是找到了问题，而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。

 

风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73：2009中，对这个定义也有详细的注解，包括：

 

“风险应对”定义的注1较为详细，其中给出了可能的应对措施，其中1)规避风险，6)分担或转移风险以及)接受风险，与ISO/IEC 27001：2005的描述基本类似，)为寻求机会而承担或增加风险更偏重组织业务角度视角，3)、4)与5)则是降低风险的基本途径，这三项的任何之一都可以改变目前的风险状况。

第6篇

【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。

【关键词】内部审计;风险管理;角色定位

自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。

一、二者互动交融关系形成的现实背景

当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。

随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。

二、内部审计与风险管理的互动关系

(一)内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。

风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。

(二)风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

三、内部审计与风险管理目标上的一致性

风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网

而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。

上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。

四、内部审计在风险管理中的角色定位

COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。

IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。

在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。

【参考文献】

[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.

第7篇

[关键词]内部审计;内部控制;战略审计;风险管理

[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)44-0077-02

1 内部审计的发展历程

1.1 国际内部审计的发展历程

1978年,国际注册内部审计师协会(IIA)正式颁布了《内部审计实务准则》,认为“内部审计是建立在以检查、评价为基础上的独立评价活动,并为组织提供服务”。这个定义强调了内部审计为组织提供服务,并且强调了内部审计的独立性。

国际注册内部审计师协会(IIA)在1993年颁布的《内部审计实务标准》中提出,“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。这个定义仍然强调了内部审计对组织管理的服务职能。

国际注册内部审计师协会(IIA)在2001年出版的《内部审计实务标准》中规定:“内部审计是一种旨在增加组织价值和改善组织价值及经营状况的客观的保证和咨询活动,它通过引入系统化的方法来评价并改进组织风险管理、控制和治理效率,以帮助组织实现目标。”这个定义引入了“风险管理”一词,内部审计的目标是为组织管理提供服务,但此时它的视角更广了。

2004年,IIA颁布《国际内部审计专业实务标准》,规定“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营,它通过引入系统化、规范化的方法来评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。”这个定义在2001年定义的基础上,强调采用系统化的方法,也使得内部审计更加科学,反映了内部审计的发展趋势和客观要求。更重要的是,这个定义强调了内部审计的职能由管理职能向治理职能的转变。此时,内部审计的目标可以分为两类:一是要实现组织价值的增值,改善组织的经营状况;二是要提供与风险管理、内部控制和公司治理程序相关的确认和咨询服务。

1.2 国内内部审计的发展历程

我国于1984年在部门、单位内部成立了审计机构,实行内部审计监督。

1985年我国了《审计署关于内部审计工作的若干规定》,提出“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分”。这个定义强调了内部审计主要行使监督职能。

2003年,审计署在《审计署关于内部审计工作的规定》中指出:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的活动”,这个定义增加了内部审计的评价职能。

2003年,中国内部审计协会颁布的《中国内部审计准则》规定:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。这个定义强调了监督和评价职能并重,而且关注经营活动和内部控制的适当性、合法性和有效性,主要是为组织管理服务。

通过国内外对内部审计定义的比较,可以发现,内部审计的发展大致上经过了三个阶段:第一个阶段,内部审计的主要目标是防止组织内部的舞弊行为和检查组织内部的财务差错,这是一种比较初级的审计;第二个阶段,内部审计的主要目标是加强控制、改善经营,内部审计的职能有所加强;第三个阶段,内部审计的主要目标是风险防范和价值增值。内部控制和风险管理也成为了内部审计关注的重点。

2 内部审计在内部控制中的作用

《萨班斯―奥克斯利法案》规定:每份年度报告的文件中都应该包含一份内部控制报告,同时公司管理层在年度报告之日前对内部控制的有效性进行过评估。2006年7月15日,中国内部控制标准委员会成立,标志着我国企业内部控制正式提上日程。由此可见,随着经济发展水平的不断提高和企业管理思想的不断完善,内部控制也越来越受到企业的利益相关者的关注。那么,内部审计在内部控制中又发挥着什么样的重要作用呢?

现代内部审计之父Lawrence Sawyer(2005)认为,控制评价是内部审计人员的“执业秘诀”,内部审计人员要通过评价内部控制制度和指出需要加强的内部控制的弱点,成为有力的管理工具。这反映出了内部审计在内部控制中的评价职能,而且,是内部控制评估的主力。王光远教授(2005)指出内部审计准则的最核心概念有两个,即内部控制和风险。内部审计与内部控制之间是相互依存的,内部审计是内部控制的要素之一,而内部控制又是内部审计的直接对象。内部审计在内部控制中的职能包括:评价内部控制;参与重大控制程序的制度与修订;监督内部控制的运行;提供管理咨询等。

3 基于内部控制下的内部审计的新发展

3.1 由基础审计向高层次审计的发展

内部控制强调全过程控制,同样,内部审计也应该是“全过程审计”。按照内部审计进行的时间,又可以把审计分为事前审计、事中审计和事后审计。事后审计是我国传统内部审计的方式,侧重于事后的监督和评价,起到一个查漏补缺的作用;事中审计实时跟踪审计内部控制制度建立的执行情况;事前审计是一种“防范于未然”的审计方式,它强调在内部控制制度建立和执行前就进行风险评估。这样的内部审计贯穿于战略审计、经营审计和作业审计的全过程。

企业内部控制从控制主体可以分为三个层次:一是以董事会等高层管理者为主体的战略控制;二是以经营者为主体的经营控制;三是以员工为主体的作业控制。这三个层次对应的内部审计分别为战略审计、经营审计和作业审计,它们的审计流程、重点与评价内容不同,但三者是紧密相关,相互作用的有机整体。

战略审计是企业内部审计部门对各层次的战略管理活动及战略管理的全过程所作的分析、评价和监督。战略审计是公司制定战略前必须完成的工作,主要包括:企业内外部经营环境分析、对已实施的战略效果进行评估、对现行战略的适当性和战略执行的有效性进行评价,这些是事前审计;此外,还要对战略的执行过程进行监督,监督有关责任人认真履行与战略管理有关的受托责任,这些属于事中审计;最后,要对企业的管理绩效进行评估、对战略的执行结果进行总结评估和反思,这就属于事后审计。

经营审计是内审部门对经营循环的全过程,包括投入、运作、产出、分配等各个环节的效率和效果进行评价、确认和监督。经营审计主要审查经营者是否努力改善和充分利用了企业的物质条件和技术条件,审查利用生产力各要素的具体方式方法的有效性。如审查经营决策的科学性是事前审计;而对决策的落实和执行情况进行审查是事中审计;最后,对决策执行所带来的结果进行评估总结,形成书面报告则是事后审计。

作业审计是内审部门对内部控制的业务层面和工作环节进行监督检查,并提交相应的检查报告、提出有针对性的改进措施。作业审计主要包括对作业控制的评价、确认和监督。在作业审计中,如评估具体业务层次上的可接受风险水平、评价员工的专业胜任能力、为管理层提供实行风险回避还是风险分担的咨询建议等这些就属于事前审计;而监督员工在开展业务活动中没有非法使用企业资产牟取不当利益、监督员工没有单独或者串通舞弊给企业造成损失,则属于事中审计;对各部门和员工当期业绩进行考核和评价等属于事后审计。

在我国,目前大多数企业的内部审计仍然停留在作业审计和经营审计的阶段,内部审计也往往只是在事后进行,这样的内部审计工作往往难以发挥应有的作用。内部审计由基础审计向高层次审计发展,由作业审计和经营审计向战略审计发展,由事后审计向全过程的审计发展,是内部审计的必然趋势,也是企业加强经营管理的内在要求。

3.2 内部审计职能由监督向风险管理的转变

IIA在1999年对内部审计的重新定义也提到了,内部审计是用来增加企业组织价值和改善组织运营的独立、客观的保证和咨询活动,它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。企业开始注重风险管理,同样,内部审计的重心也应向风险审计转移,是企业进行风险管理的重要组成部分,前文所提到的事前审计也正是出于对企业进行风险管理的需要。

根据IIA的定义,基于风险管理的内部审计有两个目标――增加组织的价值和改善组织的营运状况。内部审计人员要根据对企业风险管理过程的审查,评价其适当性和有效性,提出建设性的意见和建议,不断完善企业的风险管理,最终才能实现两个基本目标。

基于风险管理的内部审计的内容既包括企业风险管理的设计,也包括企业风险管理的实施。首先,内部审计部门要根据企业的行业特征、生产经营的性质、企业规模、企业管理水平和企业文化特征设计出适合企业的规范化风险管理的组织体系。通过风险管理的制度建设,让企业的每个部门和员工明确风险管理中的权责关系,使企业的风险管理既分工明确,又是一个有机整体。其次,内部审计部门要明确企业的战略和目标,并且保证其具有合理性。企业的战略可以分为公司战略、业务单位战略和职能战略,内部审计部门要审查企业的各个层次的战略是否明确并且合理。只有在明确而合理的战略指导下,企业的风险管理才能行之有效。最后,内部审计部门要在风险管理的过程中,全面跟踪审计,做到事前预测风险,事中控制风险,事后对风险管理的过程进行总结,提出更好的改进方案。