□文/陈书丽 王媛媛 邢庆娇

内部审计参与风险管理的作用

□文/陈书丽 王媛媛 邢庆娇

内部审计是企业自我约束和监督机制的重要组成。2008年全球金融危机为世界各国的企业敲响了警钟，风险管理已成为内部审计的重要领域。本文从内部审计和风险管理的关系入手、重点分析内部审计在风险管理过程中的作用。关键词：内部审计；风险管理；关系；作用

2001年安然公司爆发财务丑闻；2002年6月，世通公司爆出会计舞弊，这直接导致了2002年7月美国《萨班斯－奥克斯利法案》的出台，以及2004年美国COSO委员会《企业风险管理－整合框架》的出台，将企业风险管理的研究提到了一个新的高度。2005年我国内部审计协会出台了《内部审计具体准则第16号－风险管理审计准则》，为内部审计人员进行企业风险管理作出了明确的指导。内部审计人员根据该准则能够更好地对组织风险管理状况作出评价并提出可行性建议，帮助组织建立并实施适当、有效的风险管理制度，从而发挥内部审计的作用。

一、内部审计与风险管理的关系

根据《内部审计实务标准》规定，内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动，它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善，帮助组织顺利实现目标。根据这一定义，现代内部审计的范围已从传统上的财务控制扩大到风险管理层次上，有效的风险管理机制已成为现代内部审计关注的焦点。

（一）风险管理是内部审计的一项新内容。由《内部审计实务标准》中对内部审计的规定可知，风险管理归入到内部审计的日常活动中，拓宽了内部审计的内容和领域，强调内部审计是针对风险管理、控制和治理过程的有效性进行评价和改善所必需的。风险管理已成为内部审计的重要职责和寻求自身发展的巨大推动力。

（二）内部审计是风险管理系统不可或缺的部分。企业风险管理是一项综合性较强、全员参与的工作，内部审计也是这一管理体系中的重要组成部分。由于在企业组织结构中具有相对独立的地位，使内部审计发挥的作用是企业其他部门无法替代的。内部审计人员可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。

（三）内部审计与风险管理目标上的一致性。从风险管理的定义看，风险管理就是通过对面临的各种风险的认识、估测、评价，准确把握各种不确定性，采取恰当的内部方法，以便用最低的成本获得最高的安全保障，将损失降至最低水平，直接服务于企业目标的。2005年IIA对内部审计的定义做了修订，即内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的经营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。内部审计部门经过收集资料、识别并评价风险的过程之后，对企业管理层及其他职能部门的见解更为深刻，而且这些见解是富有价值的，而企业管理者采纳、利用这些有价值的信息后，一方面可以借此消除各种减值因素，包括风险因素、控制漏洞、治理缺陷等；另一方面可以将这些有价值的信息应用于经营管理活动，从而达到使企业增值的目的。从这个意义上来说，风险管理与内部审计在其目标上是相一致的。

（四）风险管理将主导内部审计的变化。内部审计尽管在企业风险管理中占有较重要的地位，但因内部审计在风险管理系统中主要承担评估和建议职能，即使参与风险管理方法和政策的制定过程，也只能是配合企业专业的风险管理部门，或是向其提出参考意见。这样，风险管理政策的变化一般会发生在内部审计技术变化和更新的前面，也就是说，风险管理的变化会主导着内部审计的变化。

二、内部审计在风险管理中的作用

IIA指出，风险管理是一项重要的管理责任。组织要实现其业务目标，管理层应该保证组织拥有健全的风险管理过程，并能发挥作用。内部审计作为风险管理的一种手段，在改善组织运营、提高风险管理和公司治理、增加组织价值等方面发挥着尤为重要的作用。这就是说，内部审计师应当通过审查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。

（一）内部审计在已建立风险管理机制企业中的作用。建立、健全风险管理机制并使之有效运行，是组织管理层的责任。在已建立风险管理机制的组织中，内部审计部门和人员应该起关键作用。

1、内部审计部门和人员发挥监督与评价的作用。评价企业风险管理目标的合理性，企业风险管理的目标是指企业通过实施风险管理将风险控制在一个可接受的水平，从而保证企业目标的实现。内部审计在评价企业风险管理目标时，要对本企业的风险状况进行分析，不同企业应对损失的能力有所不同，因而所设定的风险可接受水平是不同的。不同的风险管理目标，决定着具体的损失前目标和损失后目标的不同，实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。具体论述而言，内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督，即监督与评价是其主要职能，而企业风险管理包括三个主要阶段：风险识别、风险评估和风险应对，内部审计要发挥监督与评价作用，就应着重对风险识别、风险评估、风险应对进行审查与评价。

2、内部审计部门和人员发挥咨询与建议的作用。风险管理是一个复杂的系统工程，在一个组织内部应当明确职责分工，各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员由管理层分配给一部分工作，操作人员负责日常监控，而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理机制的要求，内部审计人员可以运用自己在风险管理方面的专业知识，从独立客观的角度为管理层和审计委员会提供有价值的咨询服务，提高企业的风险管理水平，但不能超出正常的保证和咨询范围，以免损害独立性。内部审计可以在改善管理层的风险管理流程的效果和效率方面，协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对本组织的风险管理和控制流程负责。内部审计的职能主要是对风险管理和控制流程进行监督和评价，通过对评价过程中发现的管理上的漏洞，向管理层提出改进建议，可以促进管理水平的提高。

3、内部审计发挥报告与防范的作用。内部审计部门通过及时传递并督促落实风险审计的成果，使各类风险因素得到有效的控制和防范。审计发现如何传递、审计成果如何利用、舞弊风险如何防范等都将直接关系到内部审计在风险管理监督体系中的价值和作用。（1）内部审计通过适时与相关部门就风险管理事项进行沟通，检查、评价并报告风险管理过程的充分性和有效性，并按清晰传递的线路对重大的审计发现进行报告，对整改情况进行后续审计，使风险及时得到有效控制和防范；（2）内部审计在运用技术手段评估风险控制程序的充分性和有效性的同时，能够利用自身优势推动风险管理意识成为企业文化的一部分，从而为企业的风险防范构筑意识形态上的屏障。

（二）内部审计在尚未建立风险管理机制企业中的作用。内部审计是一种独立、客观的监督、评价活动，内部审计的目标是评价并改善风险管理、控制和治理程序的效果，因此对于尚未建立风险管理过程的组织，内部审计师应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。在我国，风险管理是一个新的课题，有些组织刚开始探索风险管理活动，而更多组织的风险管理实务尚未展开，内部审计师更有责任和义务提出改进建议，帮助组织管理层建立、健全适当、有效的风险管理机制。

国内外审计实践表明，对风险管理的审计报告更容易被管理层所接受，管理层也更容易理解内部审计存在的意义。因此，内部审计师应该协助管理层在初步建立风险管理过程的工作中发挥积极的作用。也就是说，内部审计可以促进企业风险管理机制的建立或使风险管理机制的建立成为可能，但是他们不应该“拥有”已确认的风险或负责对这些风险的管理。

（作者单位：河北经贸大学）

[1]高学余，吴婧婷.内部审计与风险管理的融合.国际财务商会，2009.

[2]林丽叶.论内部审计在风险管理中的作用.漳州职业技术学院学报，2008.

[3]李琪.风险管理与内部审计研究.财会·统计，2008.

[4]周融融.现代企业风险管理和内部审计.上海外国语大学，2008.

F239

A