外部审计师与公司治理

1、独立性不同:根据IIA国际内部审计师协会于2011年发布的IPPF内部审计实务框架第1100、1110章节，内部审计的独立性包含两方面，一方面是指内审人员履职时免受威胁，另外一方面指审计组织机构的独立，即与董事会的汇报关系的独立。相比外部审计常用的《独立审计准则》，因两者的目标不同和服务对象不同，导致两者独立性不相同。2、两者的审计目标不同:外部审计的目标常常受到法律和服务合同的限制，如常见业务——财务报表审计的目标是财报的合法性、公允性作出评价，而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实现其目标。3、两者关注的重点领域不同:外部审计的关注重点领域受到法律和合同的指定，例如财务报表审计中，外部审计主要侧重点是会计信息的质量和合规性，也就是对财报的合法性、公允性作出评价。而内部审计主要侧重点是经济活动的合法合规、目标达成、经营效率等方面。4、业务范围不同:外部审计的业务范围受到法律和合同的指定，如财务报表审计、内部控制审计、鉴证审计、尽职调查等业务。而内部审计是以企业经济活动为基础，拓展到以管理领域为主的一种审计活动。5、审计标准不同:内部审计的标准是非法定的公认方针和程序，如IPPF；外部审计的标准是法定的独立审计准则和相关法律法规。6、专业胜任能力要求不同:内部审计要求具备一定的管理知识水平，由于内部审计的目标是帮助企业实现其目的，改善机构运作并增加价值，故要求内部审计人员具备一定的管理知识与水平。

企业是为独立的治理主体

独立性被列为公司治理的关键基础之一，是内部和外部审计师都应具备的关键品质。

在公司治理中，独立性在许多情况下都很重要：

外部审计师应独立于他们的客户

内部审计师应独立于他们正在审计的同事

非执行董事应独立于执行董事

但是，作为一个概念，我们所说的“独立”到底是什么意思？

独立性是专业精神和专业行为的重要组成部分，指的是避免受到既得利益的过度影响，能够在既定问题上做出正确和客观的决定。

例如，如果审计师是客户的老朋友，那么审计师可能不够独立于客户，而审计师的工作是代表股东而不是客户，与客户的友谊可能会导致审计师做出有损股东利益的行动。

独立性的要求同样适用于非执行董事 (NED)，在某些国家，NED被称为独立董事更加体现了这一点。NED由股东任命，在董事会中保护股东的权益不受侵害。因此，NED 的主要受托责任是对公司股东的，这意味着他们不能让自己受到公司其他成员（例如执行董事、工会或中层管理人员）的影响。

独立程度

在现实生活中，友谊和人际网络是经过多年建立起来的，例如，审计合伙人与客户在多年的合作关系中会彼此了解，形成良好的人际关系；而在同一董事会中工作的非执行董事与执行董事之间也会因为长时间的共同工作而产生友谊。那也就意味着，独立性可以分为不同的程度。

如果将独立程度置于一个连续图谱上，其中一个极端点为“完全独立”，在这一点上，关系中的各方彼此之间没有任何联系，甚至不知道彼此的身份，因此，除了独立判断，不受其他任何因素的影响。

而另一个极端点则为 “零独立”端——双方是如此亲密，以至于他们无法在不考虑另一方的情况下做出决定。

当然，在现实生活中，实际的独立程度可能介于两个极端之间，而企业要做的就是尽量往完全独立的方向靠拢。

在某些情况下，公司法或公司治理规定能够帮助增强独立性，例如，萨班斯法案要求每隔5年轮换外部审计师。除此之外，独立性对于 NED 来说同样重要。

独立董事和非执行董事

为了增加 NED 的独立性，有些股东更愿意从公司所处行业之外引进新的 NED。这是因为随着员工在同行业公司之间的流动，会形成行业“保护伞”，而这种非正式的人际网络会威胁其独立性。

任命具有一定行业经验的 NED 与从行业之外任命 NED 各有利弊。具有行业经验的NED具备专业知识，人际网络，对行业面临的战略问题也有更深刻的认识。但是，更深的行业参与度会降低NED的客观性，使其更容易受到既定观念的影响，换句话说，它们会使NED的独立性降低。

因此，有时从行业外部任命NED更容易体现其独立性，他们能从全新的角度看待行业问题，也不会受到任何以前的联盟或偏见的影响。

在实践中，许多公司聘用了多种 NED，而正是多种人才和专业领域的结合使非执行董事发挥了应有的作用。有些NED可以提供技术投入，而有些NED可以提供更广泛的政治或监管见解。

在大型知名企业中，NED能够将社会或政治观点带入董事会审议可能具有重要的战略意义，退休的前任政府部长或其他大公司的前任董事长能够提供这些见解，他们与公司没有实质性的业务关系，可以在一定程度上确保他们的独立性。

提高 NED 独立性的措施

为加强非执行董事的独立性，公司法及公司治理守则作出了多项规定。

第一：要求在过去几年中（具体年限，不同国家的要求不同），NED与公司没有业务、财务或其他往来。这意味着，NED不能是股东、审计师、员工、供应商或重要客户。

第二：禁止跨企业做交叉董事（即A公司的执行董事在B公司担任NED，同时B公司的执行董事在A公司担任NED），这种关系会使两个董事会关系过于密切，从而降低两个NED的独立性。

第三：限制或者禁止对非执行董事进行股票期权激励，旨在确保非执行董事在提供建议和进行监督时不受既得利益（例如短期内提升公司股价）的影响。

第四：有些国家的公司治理规定允许非执行董事针对他们不满意、不舒服或不确定的问题寻求外部建议（通常是法律建议），而费用由公司负担。

最后：非执行董事的任期长度是有限制的，通常为三年；其最多可以服务的任期也是有限的，通常是连续两个任期。

总之，在公司治理的要求下，独立性是必不可少的品质。法律法规能够在一定程度上起到规范作用，但除此之外，每个专业人士和每个专业会计师都应该保证自己的独立性不受威胁。

内部审计和外部审计的联系：与外部审计相比，共同点为掌握基本的财务审计技术，审计结果可能存在相互借鉴。内部审计和外部审计总体目标是一致的，两者均是审 计监督体系的有机组成部门。

内部审计具有预防性、经常性和针对性,是外部审计的基础,对外部审计能起辅助和补充作用；而外部审计对内部审计又能起到支持和指导作用。由于内部审计机构和外部审计机构所处的地位不同,它们在独立性、强制性、权威性和公证作用方面又有较大的差别。

内部审计和外部审计的区别：

1、独立性不同。内部审计的独立性包含两方面，一方面是指内审人员履职时免受威胁，另外一方面指审计组织机构的独立，即与董事会的汇报关系的独立。相比外部审计常用的《独立审计准则》，因两者的目标不同和服务对象不同，导致两者独立性不相同。

2、两者的审计目标不同。外部审计的目标常常受到法律和服务合同的限制，如常见业务——财务报表审计的目标是财报的合法性、公允性作出评价，而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实现其目标。

3、两者关注的重点领域不同。外部审计的关注重点领域受到法律和合同的指定，例如财务报表审计中，外部审计主要侧重点是会计信息的质量和合规性，也就是对财报的合法性、公允性作出评价。而内部审计主要侧重点是经济活动的合法合规、目标达成、经营效率等方面。

4、业务范围不同。外部审计的业务范围受到法律和合同的指定，如财务报表审计、内部控制审计、鉴证审计、尽职调查等业务。而内部审计是以企业经济活动为基础，拓展到以管理领域为主的一种审计活动。

5、审计标准不同。内部审计的标准是非法定的公认方针和程序，如IPPF；外部审计的标准是法定的独立审计准则和相关法律法规。

6、专业胜任能力要求不同。内部审计要求具备一定的管理知识水平，由于内部审计的目标是帮助企业实现其目的，改善机构运作并增加价值，故要求内部审计人员具备一定的管理知识与水平。

扩展资料：

内部审计与外部审计的合作方式：

1、内部控制评价：内部控制评价是内部审计的基本内容之一。当外部审计认为内部审计采用了适当的方法进行风险评估并能够提供内部控制健全的肯定的保证时，外部审计可以利用这一信息决定审计程序的程度和范围，从而大大减少重复工作。

2、财务报表审计：财务报表审计是外部审计的主要职能，但由于财务报表审计辐射面广，外部审计人员受成本和时间的限制，很难有效地控制审计风险。内部审计通常会进行一些相关的特定工作以保证编制财务报表的相关系统得到很好的控制，同时在风险评估中还会考虑影响财务报表的重大错误和违规事项。

内部审计的这些工作可以为外部审计对财务报表发表意见所用，外部审计在实施审计程序以形成审计意见时，一定程度上会考虑和依靠内部审计对相关控制的评价意见和所作的特定检查工作。同时，在这方面内外部审计师也有机会进行联合检查，以服务于双方的目标。

3、经营业绩审计：内部审计可以考虑把业绩评价作为日常系统审计工作的组成部分，或者被要求检查业绩评价系统，或检查业绩评价的结果。

外部审计也可能被邀请对报告的业绩评估结果发表意见，如果能保证内部审计相关工作的标准，外部审计在一定范围内会依赖内部审计的活动，以减少所需的新工作量和避免审计活动的重复。

4、揭示和防止舞弊审计：内部审计和外部审计都有责任阻止和发现舞弊。内部审计比外部审计在这点上承担着更广的义务和责任，它可以执行系统审计，包括对阻止和发现舞弊的内部控制的存在性和有效性进行审计，以及像考虑财务经营系统审计的常规风险一样考虑舞弊风险；

内部审计也可以参与任何特定的舞弊的调查。外部审计则更为关注舞弊可能引起财务报表重大错报风险，外部审计在评估财务报表背景下舞弊风险时应考虑内部审计关于舞弊的检查活动。

以上四个领域，存在着内部审计与外部审计合作的实践机会，但内、外部审计能否在这些方面进行有效的合作，还取决于双方开展协调有效的审计服务的积极态度、经常性的磋商机制、正式和非正式的沟通等。因此，要保证内部审计和外部审计的有效合作，还有赖于建立起多维度的战略性协作的方式。

参考资料来源：百度百科-内部审计 （三大类审计之一）

参考资料来源：百度百科-外部审计

导语：风险管理审计是对传统审计方式的突破和创新，是融风险管理、审计为一体的新兴审计模式，本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。

风险管理起源于20世纪60、70年代，20世纪80年代在金融、保险、制造业等行业的大企业有了发展，从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初，随着风险管理导向内部控制时代的来临，风险管理成为内部审计关注的重点。它不仅关注传统的内部控制，更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测评控制，而且包括确认风险及测试管理风险的方法，风险管理审计是内部审计发展的新阶段。

一、银行风险的界定及类型

1.银行风险的界定

关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中，由于各种事先无法预料的不确定因素的影响，使银行的实际收益与预期收益发生背离，有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。

银行风险存在于银行价值链的每一个环节，可以说，银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点：

(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西，是原来不确定事件形成的一种事实。两者的着眼点不同，风险着眼于未来，损失着眼于现在和过去。

(2)风险既是一种挑战又是一种机遇，它具有双重性。

(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。

(4)商业银行风险更多的是经济运行中风险的反映，与经济主体的行为目标、决策方式和经济环境相联系，并不单纯是银行自身的问题。

2.银行风险的类型

我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出，商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。

从实践来看，对于银行影响比较大的风险主要有四种：信用风险、操作风险、市场风险和流动性风险。

二、内部审计在风险管理中的定位、职责与作用

内部审计是一种独立、客观的确认与咨询活动，它通过应用系统的、规范的方法，评价并改善风险、控制和治理过程的效果，帮助组织实现其目标。由于其自身的特点，内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况，对单位面临的风险更了解;内部审计部门和人员是组织内部成员，其利益同组织发展、兴衰密切相关，对防范各种风险、实现经营目标有着更强烈的责任感;内部审计部门不同于其他部门，不从事具体业务，其职能独立于业务管理部门，可以跳出业务各环节的圈子，从全局出发、综合、客观地对风险进行识别和评价，采取有效的风险控制措施。

1.内部审计在风险管理中的定位

现在我们所说的风险管理越来越趋向于广义的概念，公司治理也好、内部控制也好，实际上都属于风险管理的范畴，只是风险管理所涉及的层次有所不同，而内部审计一直都担任着重要的角色。2002年美国国会通过的'《萨班斯一奥克斯法案》指出，董事会、高层管理者、外部审计师与内部审计师作为有效公司治理的基石，成为开展公司治理、内部控制必须职责的重要组成部分。因此，内部审计在风险管理中扮演的角色对组织机构整体风险控制是至关重要的。现在内部审计在风险管理过程中的定位应该是参与者、协作者和监管者。

2.内部审计在风险管理中的责任

风险管理是内部审计的一条主线。因此，内部审计应当也必须参与风险管理。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。但内部审计不等同于风险管理。IIA指出，内部审计师在建立和管理风险过程中所起的积极作用有别于“风险所有者”的作用。为了避免起到“风险所有者”的作用，内部审计师应该要求管理层证实其在确定、防范、监测风险以及风险“所有者”的责任。2004年9月，IIA针对COSO委员会新发布的全面风险管理框架，以《全面风险管理的内部审计角色》为题发表了一份职位说明书，指出，内部审计的核心职能有五项：为风险管理流程提供保证、确保风险得到正确评价、评估风险管理流程、评估关键风险的报告体系以及审核关键风险的管理活动。其次，职位说明书对内部审计在风险防范方面的职责也进行详细的描述：协助识别和评价风险、培训管群层如何应对风险、协调全面风险管理活动、完善风险报告体系、维护开发全面风险管理框架、支持建立全面风险管理、为决策层拟定风险管理战略。最后，也明确内部审计不应承担以下责任:

(1)设定风险额度;

(2)强加风险管理流程;

(3)向管理层提供风险保证;(4)做出风险应对决策;(5)以管理者名义执行风险应对方案;(6)风险管理的受托责任。

3.内部审计在风险管理中的作用

国内外企业，特别是世界知名企业，如杜邦公司和微软公司的风险管理体系都比较完善，内部审计在企业风险管理体系中发挥了重要的作用。风险管理是一项重要的管理责任。要实现其业务目标，管理层应该保证拥有健全的风险管理过程，并能发挥作用。董事会和审计委员会应该在确定组织是否建立恰当的风险管理过程以及这些程序适当有效地运作等方面起监督作用。内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。还需要指出的是，内部审计部门在组织风险管理过程中的作用可以随着时问的推移而发生变化，并可能有不同的作用：即从无任何作用，到作为内部审计工作计划的一部分对风险管理过程进行审计，到积极持续地支持并参与风险管理过程，到管理和协调对风险的管理过程。

总的来说，内部审计在风险管理中的作用概括为以下四个方面:一是检查与评价，内部审计部门运用审计手段对银行风险管理体系的充分性和有效性进行评估;二是管理与协调，内部审计利用自身优势，积极参与银行风险管理体系建设，对各种风险要素进行识别、分析、协调、管理，并提出控制风险的有效建议;三是顾问与咨询，内部审计师以咨询顾问身份协助企业确定针对风险进行管理的方法和控制措施，并评价其合理性与有效性;四是报告与防范，内部审计部门通过及时传递并督促落实风险审计的成果，使各类风险因素得到有效的控制和防范。

三、银行风险管理审计存在的问题

中国工商银行、中国建设银行等都有针对性地组织了风险管理与审计等课题的研究。但是银行内部审计在风险管理中还存着以下问题：

1.内部审计理念落后

相对于一般的工商业企业来说，银行风险管理在其价值链中占有重要位置，是银行成立以来一直倍受关注的问题。因此，其风险管理相对比较好，这就使得业内外的一些认为银行风险管理是完善的，这也造成了内部审计对风险管理认识的不充分，内审人员不能积极主动地去关注风险，制约了内部审计作用的发挥。

2.内部审计方法手段不能适应银行风险管理的需求

我国银行内部审计尚处于查错防弊、开展合规性审计阶段，局限于对经营部门及营业机构执行各项规章制度的事后审计上，主要进行的还是现场审计，非现场审计开展不够。而银行风险管理系统要求进行系统的、全面的风险管理，不仅要进行事前防范、事中控制、事后管理，还要进行信息处理，大力开展非现场审计。

3.内部审计在风险管理中的作用和地位不明确

商业银行对风险的管理分为风险管理部门和内部审计部门。风险管理部门负责总的风险管理，内部审计部门根据风险管理部门的风险评价结果实施内部审计。而实际上风险管理部门与内部审计部门的关系并未得以明确。

4.风险审计开展力度不够

内部审计部门有责任对业务主管部门所面临的外部和内部风险进行归纳、整理和分析，并向高级管理层提交风险分析报告，为高级管理层的经营决策提供参考。而现在的审计工作基本上是根据总、省行的工作部署来展开，独立开展审计工作不充分，对风险的规避效果不佳。

四、银行风险管理审计的优势

银行风险管理审计是建立在全面风险管理基础之上的一种内部审计技术方法，这种方法作为成功的全面风险管理规划的一个重要组成部分，更加关注企业的经营目标、管理层的风险承受、关键风险衡量指标等。目前银行风险管理审计还具有以下优势：

1.有利于内部审计从全局角度评价风险管理

由于银行是经营货币的特殊的金融企业，决定了银行业务流程上的任一环节都有风险因素存在，并且由于风险具有感染性、传染性、不对称性等特征，链上某一主体造成的风险或疏于风险管理带来的后果有时并不是由其直接承担，而是会通过一定的联系传递到其他主体，最终会导致银行陷入困境。内部审计，可以将每一个环节及周围环境来的风险因素考虑在内，有利于从战略高度全面评价银行风险管理。

2.有利于加强银行风险管理

风险管理审计作为风险管理的组成部分，都是为了实现组织战略目标、实现银行增加价值的目的。但是，二者的责任并不相同。风险管理需要对风险管理的措施和方法进行设计并负责执行，而风险管理审计则是负责对风险管理设计与执行情况进行测试、评价，并为管理层提供有关风险管理信息适度确认的责任。因此，在某种程度上可以说，风险管理审汁是更高层次的风险管理。当局者迷、旁观者清，所以风险管理审计可以从“局外人”的角度，跳出风险管理来对价值实现过程中的风险管理过程进行系统地、客观地评价，有利于银行加强风险管理。

3.更加有利于实现审计的价值

风险管理和风险管理审计的目的都是为了实现战略目标，实现银行价值增加。风险管理审计侧重于风险管理过程的评价，通过评价风险管理过程来减少由于风险造成的经营成本的增加，并且风险管理审汁作为一种内部审计，并不局限于风险管理的审计，因此通过对业务流程及周围环境分析，不仅可以提供一些经营管理等其他方面的建议，起到一举多效的作用，而且也有利于实现内部审计的价值。

4.有利于信息沟通，树立银行风险管理文化

银行内部各部门之间需要及时的信息沟通，才能有效地、及时地解决银行面临的风险问题。但是，各部门之间有时是不能做到这一点的。内部审计的独立地位使得内部审计需要了解所有部门的信息，通过询问、观察、调查问卷等审计技术综合掌握银行信息资料，将信息在不同部门传递、沟通，从而加深了各部门之间的相互了解，有利于各部门从全局角度考虑风险问题，树立良好的风险管理文化。