陈红宇

摘 要：本文基于笔者多年从事财务管理的相关工作经验，以企业内部风险管理为研究对象，探讨了内部审计在企业风险管理中发挥的作用，论文首先分析了内部审计在企业风险管理中的角色，进而重点研究了内部审计参与企业风险管理的途径，全文是笔者长期工作实践基础上的理论升华，相信对从事相关工作的同行有着重要的参考价值和借鉴意义。

关键词：企业 内部审计 风险管理

中图分类号：F239 文献标识码：A 文章编号：1672-3791（2014）09（a）-0138-02

1 企业风险管理的含义

IIA考试委员会主席、2003届IIA协会主席伍顿·安德森（Urton Anderson）博士2004年5月在上海所作的COSO—— ERM的报告1中指出，企业风险管理可以定义为：通过确认、识别、管理和控制组织潜在的情况和事件，为实现组织目标而提供适当保证的程序。提供风险管理服务的机构—— 普华永道会计师事务所将风险管理定义为：有效的风险管理可以识别威胁、控制损失（预防损失并减少损失发生的严重性）、防范未经授权使用资金，并对伤害采取保护措施。目前，有关企业风险管理的定义比较权威的应该是2004年COSO颁布的《企业风险管理—— 整合框架》中的定义。该定义是：企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

2 内部审计在企业风险管理中的角色

内部审计在企业风险管理中的角色主要体现在两个方面：一是针对管理层的企业风险管理过程予以评价，提供确认服务；二是以咨询顾问的身份介入企业风险管理过程当中。”随着内部审计参与企业风险管理的活动越来越多，程度也欲加深入，内部审计职业所要求的客观性和独立性容易受到威胁，易被削弱。所以就产生了内部审计不应该涉足的领域和不应该在某些领域发挥独立的作用。

2.1 确认作用

确认是根据客户的标准、要求对特定领域进行评价并提供其需要的信息，能够用于改善决策，提高其科学性。确认服务定义为，就风险管理、控制和公司治理过程提供一个独立的评价，包括：财务的经营成果、对法规等的遵守情况、制度的安全性、预期的勤奋工作等。为了提供如上所述的确认服务，内部审计应该是独立的和客观的，即：诚实、有能力、应有的谨慎和道德的行为。内部审计师应对风险管理过程迸行确认，评估风险管理过程，对主要风险的管理进行评论，保证风险被正确地评估，并且要对主要风险的报告进行评估确认。

2.2 咨询作用

咨询是直接作为专家顾问参与经营活动，改善客户的状况。咨询服务是咨询性的和委托人相关的服务活动，其活动的范围和本质是同客户达成一致意见，其目的是增加价值和改进公司经营。咨询服务的例子包括商议、建议、简化、过程设计和培训等。内部审计师要提供管理工具和技术，分析风险和控制，促进识别和评估风险；向组织内引入企业风险管理，支持企业风险管理的建立，发挥在风险管理和控制方面的专长，发挥组织的全部知识；提出建议，促进组织的学习，训练组织在风险和控制上的能力，提升共同的语言、保持和发展企业风险管理概念性框架；以协调、监督和汇报风险作为行动的中心，协调企业风险管理活动，巩固风险报告；指导管理者对风险做出反应，支持管理者采取最优方案减轻风险，发展董事会赞成的风险管理策略。内部审计在风险管理领域的增值产品主要有：作为风险管理顾问、提供风险管理培训、支持内部风险自我评估等。

（1）风险咨询顾问。

《内部审计实务公告》2100-4条中说明道：内部审计师可以以咨询顾问的身份协助组织确定、评价并实施针对风险的管理方法和控制措施。特别在组织尚未建立风险管理过程的情况下，内部审计师可以向管理层提出建立相关风险管理过程的建议。如果有关方面提出要求，内部审计师可以积极的协助组织风险管理过程的初步建立。内部审计师更为积极的作用是通过改善基本程序的咨询方式对传统确认服务迸行补充。但是，内部审计师作为风险咨询顾问的作用有别于“风险归属”问题上所起的作用。为避免参与“风险归属”问题，内部审计师应该要求管理层证实其在确定、防范、监测风险以及决定风险“归属”方面的责任。内部审计师可以促进风险管理过程的建立和使风险管理过程的建立成为可能，但是，他们不应该“拥有”己确认的风险或负责对这些风险进行管理。

（2）风险管理程序培训。

由于内部审计师作为风险咨询专家，对风险管理有着丰富经验与专业知识，在组织内部展开风险管理培训又是内部审计师为组织增加价值的一个审计产品。

（3）支持内部风险自我评估。

和支持内部控制自我评估一样，审计师也可以推进内部风险的自我评估。内部审计在风险自我评估中主要是帮助组织设计风险自我评估的程序，然后让各部门去执行，各部门在评估时遇到一些问题，内部审计师可以充当顾问角色。风险管理是管理层的责任，但是内部审计师可以通过为管理部门设计一些风险管理程序、规则、技术和方法，为管理层提高风险管理的效率和效果。

2.3 不应该发挥的作用

内部审计参与企业风险管理的活动越加深，它的客观性和独立性越易受到威胁。为保证客观性和独立性不被削弱，我们这里列出了内部审计在企业风险管理中不应该发挥的作用。内部审计必须明白是管理者对风险管理负责，风险偏好是由管理层来设定。内部审计不应该代表管理者来对风险进行管理，不应强化风险管理过程。内部审计不应该对风险反应做出决定，可以支持管理者所做出的决定。当管理者所做出的风险管理决定与内部审计完全不同时，内部审计应提出质疑或建议。

3 内部审计参与企业风险管理的途径分析

内部审计参与企业风险管理受到了极大的关注。COSO发布的ERM框架指出内部审计的职能是“通过检查、评估、报告和建议来帮助管理层和董事长或审计委员会进行有效的企业风险管理。”企业风险管理概念性框架包含八个组成因素；环境分析、且标设定、事件鉴别、风险评估、风险回应、控制活动、信息与沟通、监督与回顾。内部审计在企业风险管理中的职能角色应该局限在企业风险管理概念性框架的最后一个组成部分—— 监督与回顾。本文在这里提出：内部审计在企业风险管理概念性框架所列的要素中发挥确认和咨询作用。本文的重点就在于探讨内部审计在企业风险管理概念性框架中通过何种途径发挥确认与咨询作用。endprint

3.1 将公司目标、战略与风险相联系

企业的目标、实施目标的战略、及实施战略所需的经营模式和经营过程是由企业的管理者和董事会来决定的，这是管理者和董事会的责任，而不是内部审计的责任。内部审计负责将企业的战略，实施战略所需的经营模式和阻碍目标实现的风险系统地加以联系，以保证战略和经营模式能够应对风险。

（1）内部审计首先要列出所有使目标实现的关键性成功因素和可能阻碍成功的风险因素清单。将识别的关键性成功因素和可能阻碍成功的风险因素（内部和外部）逐一列出，从企业目标、组织目标角度分析判断风险因素对目标实现的影响程度。包括：①列出企业的策略，结合现实环境分析策略的适当性和竞争强度。②列明所有资产。③列明人员状况，分析他们的素质及道德水平。④列明其它设施和条件：物质、自然、法律、政治环境等。

（2）建立风险分析矩阵，将企业的目标与潜在的风险联系起来。明确管理者和董事会所确定的企业目标、经营模式和经营过程，对能力因素的评判进行汇总之后得出企业存在的潜在风险，内部审计要建立风险分析矩阵，将企业的战略目标和经营模式与企业潜在风险联系起来。

3.2 对环境进行监控

由于信息技术的发展，企业风险的性质和影响程度也发生了变化，使得对环境的监控越来越重要。对环境进行监控首先要明确企业的风险偏好。除了决定目标、战略和经营模式、经营过程之外，管理者和董事会还需决定在实现目标时愿意承受多大程度的风险。这种风险偏好是企业风险管理环境中的一个组成部分。内部审计不负责制定风险偏好，但需要明确管理者和董事会的风险偏好，将风险评估和风险偏好进行定期比较，对企业希望承受的剩余风险提供限度。内部审计要评价单位的“固有风险”和“剩余风险”（采取控制行动后可以接受的风险）。

对环境变化和意外环境的持续的监控。当企业所假定的环境与外部环境和企业经营过程的变化相冲突时，内部审计应及时向管理者和董事会提供反馈。内部审计要列出实施监控的环境因素，评判企业所处的环境现状，监控环境的变化状况，预测环境发展趋势。通过对所处环境的情况分析，帮助管理者做出重新思考。

3.3 保证风险事件鉴别的完整性

风险事件的鉴别是整个企业风险管理工作的基础。风险事件的鉴别是指企业风险管理人员通过对大量来源可靠的信息资料进行系统了解和分析，认清企业存在的各种风险因素。风险事件鉴别的完整性包括：风险识别是否全面；风险各级分类的合理性；可控风险、不可控风险确定的科学性等。

（1）取得相关资料。

内部审计师如果想要对风险事件的鉴别做出科学的评价，就需要首先了解相关的资料。

①明确企业目标、企业活动的性质、规模，清楚影响活动的关键人物。②清楚企业内部各部门之间的依赖程度。③取得相关活动的会计记录信息，分析活动的风险控制情况，考察活动的效率与效果。④取得资产负债表、损益表、现金流量表、财务状况变动表，分析资产的结构、质量及使用效果，例如：通过损益表分析营销活动完成财务目标的程度及影响因素，通过现金流量表和财务状况变动表分析营销活动对现金流量的影响。

（2）流程图分析。

流程图法是用符号和图形将企业经营活动过程反应出来的方式。内部审计对企业的业务流程进行分析，发现风险事件鉴别的薄弱环节，分析业务流程中的风险识别是否全面。

（3）编制风险分析调查表。

对于内部审计师可以预见到的潜在风险，内部审计师编制风险分析调查表，用来调查企业活动可能遭遇的风险，并对调查结果进行分析。

（4）风险问卷分析。

对于内部审计师无法预见的风险，内部审计师则通过再次发放风险问卷，由被调查部门的人员自行填写，汇报部门可能会出现的风险。内部审计师将回收的问卷进行统计分析，根据发放量和回收情况判断收回答案的质量和有效性。然后再对问卷答案进行分析。

参考文献

[1] 罗露，国俊丽.公司治理视角下内部审计的定位及发展策略[J].科技资讯，2008（11）.

[2] 童怡.浅议企业内部风险管理[J].科技创新导报，2010（8）.

[3] 李波.企业内部审计模式研究[J].科技创新导报，2010（3）.

[4] 蒋延莲.浅企业内部审计内涵建设[J]. 科技资讯，2010（2）.endprint