摘要：运用全面风险管理框架（erm）的理论，针对大港油田内部控制与内部审计企业

一、研究背景
2004年coso委员会颁布企业风险管理框架（erm），该框架不仅扩大了原coso内部控制整体架构的范围，建立起一个对风险更加关注的、更强大的内控体系，而且将内部控制与风险管理融为一体。企业全面风险管理已成为21世纪全球企业管理发展的新趋势。近年来，著名企业评级机构如标准普尔和穆迪已将erm列为其对企业评级的基本评价因素，各国的审计标准已将审计的根本任务从审计内部控制逐渐转移到审计风险管理的职能上来。最近的调查显示：80%西方投资者愿为有能力实施全面风险管理的企业支付溢价，越来越多的企业开始从风险管理的角度来考虑寻找商业合作伙伴，以保障自身的品牌、时限、质量及可持续性。因此，无论从管理标准或企业评级的新导向，还是从来自于监管、投资者或客户的压力，实施全面风险管理已成为当今企业发展的必然选择。
iia主席伍顿·安德森博士在2004年5月25日的上海报告中指出：在erm框架下，内部控制与风险管理已经有效融合。风险导向型内部审计[1]通过协助风险估算程序，系统的识别风险事件，衡量和监控业绩，最终促成内部沟通和采取正确行动。基于此，本文提出以风险管理为核心的风险导向型内部审计。
二、构建基于erm的风险导向内部审计
在大港油田公司构建依托erm的风险导向型内部审计是以风险为基础，为实现公司的价值增值目标，由具备复合型才能的职业人员所从事的重在监督和评价公司治理有效性的保证和咨询活动。LOcAlhosT
（一） erm框架下的风险导向内部审计分析
coso委员会在2004年9月发布《企业风险管理——总体框架》，简称erm框架，该框架包括八大要素：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。下面紧密围绕erm框架八要素，对风险导向审计具体内容逐一进行简要阐述：
1.内部环境。内部审计要充分结合企业的外部经营环境（包括本地经营环境和全球经营环境），综合考虑内部环境可能的经营风险来源：不胜任的董事会、内部组织文化的功能缺失、与战略不相适应的风险偏好、高层管理人员知识、经验是否与战略主题目标和时代相和谐。
2.目标设定。战略及经营计划中隐含的整体组织风险为erm其他六个要素的运行提供了一个总体框架，这些目标及风险偏好为erm提供了总体标准。内部审计人员要系统的将组织战略和商业模式与对其实现构成威胁的风险联系起来，评估组织的战略目标、经营目标、财务目标、各个部门目标的合理性。
3.事件识别。内部审计人员通常会利用寿命周期分析法、swot法、ksf法、dccs法、盈亏临界点分析法、财务、 （二）erm框架下风险导向内部审计的实施安排
1.重视以风险为基础的审计计划。制定审计计划[3]是指审计人员完成各项审计业务，达到预期的审计目标，在具体执行审计程序之前编制的工作计划。《内部审计实务标准》第2 010款关于制定审计计划中指出：首席执行官应该制定以风险为基础的计划，以确定内部审计活动的重点。企业风险导向审计计划是对内部审计师的一种指引，也是一种便于审计监督的内部约定，其中说明了将要采取的审计步骤，这些审计步骤旨在收集审计证据和帮助内部审计师对被检查业务中存在的风险、效率、企业是否根据投资比例在相应的会计期间对被投资单位的投资收益按照权益法或成本法进行了正确的核算；再如对石油开发工程项目进行审计，内部审计人员首先在工程项目立项阶段就对可行性报告、初步设计、设计概算、资金来源等进行审查，其次进行工程预算审计，以审核后的预算和工程合同为依据支付工程款，在项目施工时进行阶段性结算审计，主要对项目的设计变更、增减较大项目的预算审计以及对项目进度的审查，最后进行工程决算审计。
（三）erm框架下风险导向内部审计的实现途径
在erm框架下建立和应用现代风险导向内部审计模式，是一个大胆的尝试和创新，是对原有内部审计功能的拓展，而大港油田目前的内部审计现状与之存在一定的距离，因此需要通过以下途径来实现内部审计的转变和发展。
1.拓展集团内部审计的功能定位，确保内部审计的独立性和客观性，提升内部审计人员的职业素质。在保留内部审计原有监督、检查的基础职能的同时，应当赋予内部审计更多参与内部控制、风险管理的职能，拓展集团内部审计的功能定位，体现内部审计“咨询顾问”、“业务伙伴”的角色，明确内部审计的管理体系，确保内部审计的独立性和客观性。市场经济条件下，企业风险无处不在，从事风险导向内部审计的人员必须具备很高的职业素质，需要造就一支具有国际化水平的内部审计队伍。
2.运用现代风险导向审计理论，重视了解和测试，确定审计的重点和范围，提高审计效率，将审计风险减少到最小程度，实现防范风险的目的。企业内部审计人员要根据对被审计单位基本情况的了解和分析性复核的结果，加强审计风险分析，最后根据确定的总体审计风险概率和评估的重大错报风险概率，得出关于剩余审计风险也就是检查风险的概率，据此确定实质性测试的性质和范围。同时以检查内部控制和风险管理作为审计的切入点[5]，通过对内部控制环境的调查和对风险管理、业务审批、职能分离、项目管理等各项业务流程的审查，对内部控制制度的健全性和有效性以及风险管理进行测评，以揭露问题，堵塞漏洞，促进集团完善内部控制机制，加强内部管理和监督，防范风险。
3.实现审计手段信息化，提高审计工作水平随着信息化、网络化的迅速发展，信息资源集中程度较高。在推行信息化平台建设的过程中，要在业务处理系统和管理信息系统中设置审计接口[6]，镶嵌业务流程图，使企业内部审计人员在评估风险、实施审计时能够及时获得必要的审计线索。同时围绕企业的发展目标，构建完整的审计信息系统，推进现代风险导向内部审计与非现场内部审计的有机结合，提高

[1] [2] 下一页