数字化转型网流程与架构专题将关注流程规划、流程设计、流程优化、流程风险管理、流程再造、流程自动化、流程标准化、流程监控与评估、端到端流程、微服务架构、分布式架构、云架构、数据架构、业务架构、技术架构等相关方面。
一:内部审计在企业风险管理的实施中扮演什么角色?
在企业风险管理的实施中,首席审计执行官和内部审计扮演着以下一种或多种角色:
1:教育者:很多高级管理人员并不懂得企业风险管理,而首席审计执行官可以通过长期的定期培训来帮助他们了解和使用COSO的《企业风险管理框架》。在制定专案审计计划、沟通审计结果和进行汇报演示时,首席审计执行官如果选用了《框架》,那么,他就需要将企业风险管理的各个要素向各位经管人员和董事做介绍。数字化转型网www.szhzxw.cn
2:促进者:实施企业风险管理需要高质量的风险评估。内部审计能够促进风险评估的顺利开展和制定风险应对,因此在公司中扮演着主角的角色。此外,在协助公司将风险评估转化为风险应对的过程中,内部审计也扮演着顾问咨询者的角色。数字化转型网www.szhzxw.cn
3:协调者:只要企业风险管理解决方案采用共同语言和其他一些“促成框架”,内部审计就能发挥增值的协调作用,确保这些“促成框架”在全公司得到一致的运用。同时,首席审计执行官也可能成为共同语言的提议者。数字化转型网www.szhzxw.cn
4:整合者:内部审计能够协助:(1)收集、分析和综合来自全公司各渠道的风险相关的数据;(2)报告整个公司范围内的风险和审计结果。
5:评估者:内部审计能够利用COSO《企业风险管理框架》的8个部分来评估风险管理,评估的对象既可以是整个公司,也可以是某个分支机构、附属公司或者单位。此外,内部审计还能够评估下述内容:
a:内部环境这个部分(定义见COSO《企业风险管理框架》)的效能;数字化转型网www.szhzxw.cn
b:风险评估流程的效能,其中需要考虑COSO《企业风险管理框架》中的目标设定、事件识别、风险评估以及风险应对等部分;数字化转型网www.szhzxw.cn
c:与特定的风险应对相关的控制政策和程序(有关解释请参见控制活动部分)的效能;
d:为公司所选风险应对起支持作用的信息与沟通的质量及可靠性;
e:监督(定义参见监督部分)的效能。数字化转型网www.szhzxw.cn
上述角色与内部审计师学会在内部审计定义中所预想的保障和咨询活动一致。内部审计师学会主张下述观点:公司应当深知管理层仍然负责风险管理。内部审计师应就管理层的决策提出劝告和质疑或表示支持,而不是对风险管理做出决策。有关内部审计职责的性质应在审计章程内予以列明,并经审计委员会批准。
依据上述观点,内部审计师学会还确定了在企业风险管理实施中内部审计的核心角色以及不应承担的角色。其中核心角色包括:
1:为风险管理流程提供保障
2:确保风险得到正确地评估数字化转型网www.szhzxw.cn
3:评估风险管理流程
4:评估关键风险的报告工作
5:检查对关键风险的管理工作数字化转型网www.szhzxw.cn
内部审计师学会指出内部审计不应承担以下职责:
1:设定风险承受能力数字化转型网www.szhzxw.cn
2:批准和命令实施风险管理流程
3:在就风险及风险管理绩效提供保障方面承担管理角色
4:决定风险应对的决策数字化转型网www.szhzxw.cn
5:代表管理层实施风险应对措施
6:接受对风险管理的责任
另外,内部审计师学会特别指出内部审计还可以承担上述两种极端角色之间的其他一些“合理合法的内部审计职责”,但前提是要有适宜的安全保障措施存在:数字化转型网www.szhzxw.cn
1:协助风险的识别和评估
2:指导管理层对风险做出应对
3:协调企业风险管理活动
4:综合对风险的报告数字化转型网www.szhzxw.cn
5:维持和完善企业风险管理框架
6:领导建立企业风险管理
7:制定风险管理战略,呈报董事会审批
二:内部审计应当领导企业风险管理工作吗?
我们并不建议采取这种做法。管理层应将企业风险管理作为公司活动中不可缺少的一部分来实施。正如我们在回答第58个问题中所述,首席审计执行官和内部审计可以履行很多增值职能,包括促进和介绍企业风险管理,激发对此过程的兴趣。从根本上来说,首席审计执行官可以点燃火花,帮助启动企业风险管理的旅程。但是,内部审计不应作为管理层行使职责,归根到底,企业风险管理最终还是要由公司最高管理层来推动。数字化转型网www.szhzxw.cn
三:内部审计应该将COSO《企业风险管理框架》融合到自己的工作中去吗?
《COSO内部控制—综合框架》有些高瞻远瞩的首席审计执行官将它作为制定审计计划、执行审计计划和报告审计结果的框架。虽然当时并未对《框架》的使用做出强制性的要求,但已采用《框架》的首席审计执行官们发现《框架》充实了他们的审计方法,通过向管理层及董事会传达审计结果,增加了他们给公司创造的价值。因此,尽管新的《企业风险管理框架》既不是一项规定,也不是一项命令,但我们预言正如多年前对待《COSO内部控制—综合框架》的做法一样,远见卓识的首席审计执行官们仍会把它作为自己职能部门活动的一部分内容。就像所有此类变革一样,上述做法的目的是为了增加内部审计为公司带来的价值。数字化转型网www.szhzxw.cn
四:内部审计过去没有对企业风险管理在公司中的应用进行过评估吗?
不一定。在COSO发布《企业风险管理框架》之前,企业风险管理从未被正式地定义为一种标准。过去,企业风险管理是由公司自行定义的,而现在向前迈了一步,公司可以对照COSO《框架》来比较自己的风险管理观点。另外,许多内部审计师已经对他们公司风险管理的各个方面进行了评估,现在,COSO《框架》则给了他们一个机会,可以重新审视自己的评估方法。数字化转型网www.szhzxw.cn
五:内部审计师学会支持《COSO企业风险管理—综合框架》吗?
支持。在《框架》的制定过程中,内部审计师学会自始至终都是热切的支持者。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网流程与架构专题包含哪些内容
数字化转型网流程与架构专题将关注流程规划、流程设计、流程优化、流程风险管理、流程再造、流程自动化、流程标准化、流程监控与评估、端到端流程、微服务架构、分布式架构、云架构、数据架构、业务架构、技术架构等相关方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于中智协;编辑/翻译:数字化转型网Jerry。
