简介

风险管理对于良好的公司治理的重要性已经越来越为人们所认识。组织承受的压力是识别所有面临的风险，诸如社会、道德、环境及财务和运营方面的风险，并解释如何管理风险使之降低到可接受的水平。同时，全面风险管理框架具备的优势被组织充分认识而日益得到普及。内部审计通过其确认和咨询作用，利用各种方式协助全面风险管理的实现。

 

什么是企业全面风险管理？

人们从事风险管理活动以识别、评估、管理和控制各类事项或情况。这些事项或情况涵盖单个项目或狭义的风险类型（如市场风险）以及整个组织面临的威胁和机遇。本立场公告所阐述的原则可以用于指导内部审计对各类风险管理的参与，但是我们特别关注企业的全面风险管理，因为这更有助于改善组织的治理过程。

企业全面风险管理（ERM）是贯穿整个组织的具有结构性、一致性和持续性的过程，用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。

 

企业全面风险管理的责任

董事会对确保风险得到管理负全部责任。实践中，董事会将风险管理框架的运作授权给管理团队来执行，由管理团队负责完成以下所列的各项活动。可以设立一项单独的职能协调和项目化管理这些活动，并利用专业技能和知识。

组织中的每个人都在确保成功的企业全面风险管理中发挥作用，但管理层对识别和管理风险负主要责任。

 

企业全面风险管理的好处

企业全面风险管理框架能够在协助组织管理风险从而实现目标方面做出重大贡献，其好处包括：为实现组织目标提供更大的可能性；在董事会层面综合报告不同的风险；提高对主要风险及其广泛影响的认识；识别和分担跨业务风险；对重要事项集中管理；减少意外或危机；在组织内部更加关注用正确的方法做正确的事情；对将要采取的行动增加变更的可能性；具备为获取更高回报而承担更大风险的能力；更有依据的风险承受和决策。

 

企业全面风险管理活动

企业全面风险管理活动包括：说明和沟通组织目标；确定组织的风险偏好；建立适当的内部环境，包括风险管理框架；识别影响目标实现的潜在威胁；评估风险（如，威胁的影响和发生可能性）；选择和实施风险应对；采取控制和其他应对措施；组织中所有层级采用一致的方式进行风险信息沟通；集中监督和协调风险管理过程及结果；为风险管理的效果提供确认。

 

对企业全面风险管理的确认

董事会或同类机构的主要要求之一是确保风险管理过程有效运作且主要风险被控制在可接受的水平。对全面风险管理的确认源自不同的渠道，其中来自管理层的确认是最基本的，应当与客观确认相结合，而内部审计是客观确认的主要来源；其它来源包括外部审计师和独立的专家检查。通常内部审计师对以下三方面提供确认：风险管理过程，包括其设计和运行情况；对“主要”风险进行管理，包括控制的效果和其他应对措施；可靠、适当的风险评估及对风险和控制情况的报告。

 

内部审计在企业全面风险管理中的确认作用

内部审计是一种独立客观的确认和咨询活动，其与企业全面风险管理相关的核心功能是为董事会提供关于风险管理效果的客观确认。研究表明，事实上董事会成员和内部审计师均认可内部审计为组织增加价值的两种最重要的方式是为主要业务风险已得到适当管理提供客观确认及为风险管理和内部控制框架正在有效地运作提供确认。

图1表示企业全面风险管理活动的范围，指出有效的专业内部审计活动应当及不应当（同样重要）承担的功能。确定内部审计的作用时需要考虑的主要因素是该活动是否对内部审计部门的独立性和客观性产生任何威胁，是否可能改进组织的风险管理、控制和治理过程。

 

 

 

图1的左侧是所有确认活动。这些活动从一个侧面为风险管理提供了更加客观的确认。遵循《标准》的内部审计工作能够并应当至少执行其中的某些活动。

内部审计在企业全面风险管理中的咨询作用

内部审计能为改进组织的治理、风险管理和控制过程提供咨询服务。内部审计师对企业全面风险管理的咨询工作的深入程度取决于其他资源，包括董事会所能够获取的内部和外部的资源，还取决于组织的风险成熟度，并且可能会随时间而变化。内部审计师在考虑风险、了解风险和治理之间的联系及推动方面的专长，意味着内部审计部门完全有能力作为企业全面风险管理的推动者，甚至项目的管理者，特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加和风险管理在业务操作中的不断深入，内部审计对企业全面风险管理的推动作用可能会减弱。类似的，如果组织雇用了风险管理专家或机构服务，则内部审计更可能通过专注于确认作用来增加价值，而不是通过更多地开展咨询活动。然而，如果内部审计未采取图1左侧确认活动所表明的以风险为基础的方法，就不可能开展图1中间的咨询活动。

图1中间部分说明了与企业全面风险管理相关的内部审计的咨询作用。一般来说，越偏向转盘右侧的内部审计咨询活动，越需要安全保障措施以维护它的独立性和客观性。内部审计部门可以承担的一些咨询作用包括：将内部审计分析风险和控制所用的工具与技术提供给管理层；作为将企业全面风险管理引入组织的倡导者，充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势；提供建议，推动专题讨论会，指导组织风险和控制，促进共同语言、框架和理解的建立；作为协调、监督和报告风险的中心；协助管理者确定降低风险的最佳方式。

确定咨询服务与确认作用是否能够共处的主要因素是确定内部审计师是否承担了任何的管理责任。在企业全面风险管理中，只要内部审计没有实际管理风险的职能（这是管理层的职责），只要高级管理层积极认可和支持企业全面风险管理，内部审计就能够提供咨询服务。我们建议，无论何时内部审计部门都致力于帮助管理层建立或改进风险管理过程。

 

内部审计参与企业全面风险管理的前提条件（安全措施）

如图1所示，在满足某些条件时，内部审计可能拓展其对企业全面风险管理的参与。这些条件包括：应当明确管理层对风险管理的职责；内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过；内部审计不应当代表管理层管理任何风险；内部审计应当提供建议、挑战并支持管理层作决定，而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。这种确认服务应当由其他适当的、有资格的人提供；确认活动之外的任何工作应当被视为一种咨询业务，应当遵循与此业务相关的实施标准。

 

内部审计参与企业全面风险管理应具备的技能和知识结构

内部审计师和风险经理共享某些知识、技能和价值。例如，他们都了解公司治理的要求，具有项目管理、分析和推进技巧，重视良好的风险平衡而不是极端地承担或者逃避风险。然而，风险经理只为组织的管理层服务，不必为审计委员会提供独立和客观确认。内部审计师在介入企业全面风险管理时也不应该低估风险经理的专业知识（例如风险转移与风险量化和建模技术），这些知识对大部分内部审计师来说是陌生的。内部审计师如果不能证明自己拥有适当技能和知识，就不应当承担风险管理领域的工作。另外，如果内部审计部门没有充分的技能和知识可以利用，也无法从其他地方获得，内部审计负责人不应当提供此领域的咨询服务。

 

结论

风险管理是公司治理的基本要素。管理层代表董事会负责建立和实施风险管理框架。企业全面风险管理因其结构性、一致性和持续性的方法带来很多好处。内部审计师在企业全面风险管理中的核心作用应当是为管理层和董事会就风险管理的有效性提供确认，内部审计在此核心作用之外拓展业务活动时，应当采取一定的安全措施，包括将业务看作是咨询服务并因此适用所有相关的《标准》。内部审计通过这种方式保护其确认服务的独立性和客观性。遵从这些约束，企业全面风险管理就能够帮助提高内部审计形象，增强内部审计效果。

 

术语定义

确认服务：为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查，例如财务、绩效、合规性、系统安全和尽职调查等业务。

董事会：泛指组织的治理机构。

拥护者：指支持和保卫某人或某事的人。因此，风险管理拥护者将提升其优势、教育组织的管理层和职员如何执行那些他们需要采取的措施并将在这些措施的实施过程中鼓励并支持他们。

咨询服务：指咨询及相关的客户服务活动，其性质和范围需与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。

控制：指管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动，为实现目标和目的提供合理保证。

企业：指为达成一定目标而建立的组织。

企业全面风险管理：指贯穿整个组织的具有结构性、一致性和持续性的过程，以识别、评估、决定如何应对及报告影响组织目标实现的机遇和威胁。

推动：指与团体（或个人）合作使其更容易就会议或活动的目标达成一致。包括倾听、质疑、观察、提问和支持该团体及成员，但不包括参与具体工作或决策。

风险：指对实现目标有影响的事件实际发生的可能性。风险通过影响程度和发生的可能性来衡量。

风险偏好：指组织愿意承受的风险水平。

风险管理框架：指组织所选的实施风险管理过程的结构、方法、程序和定义的总称。

风险管理过程：指识别、评估、管理和控制潜在事项或情况的过程，为实现业务目标提供合理确认。

风险成熟度：指由管理层按计划所采取和应用的强有力的风险管理方法的内容，在组织中，识别、评价、决定风险反应和报告影响组织目标实现的机遇和挑战。

风险反应：指组织管理个别风险所选用的方式。主要类型：容忍风险；减少风险的影响和可能性；风险转移或终止产生风险的活动。内部控制是应对风险的一种方式。

（来源：IIA网站，中国内部审计协会准则与学术部 译、北京兆泰投资顾问公司CIA研究中心 校译）