□（淮南师范学院 安徽淮南232001）

近年来，上市公司财务造假和管理层财务舞弊事件频繁发生，企业经营的不确定性大大增加。会计师事务所在对上市公司财务报告审计中不能及时和有效地发现上市公司存在的问题，让人不得不怀疑现行审计模式的有效性，动摇了公众对资本市场的信心，阻碍了经济的健康发展。风险管理内部审计作为一种新的审计模式，已经在欧美等发达国家得到运用。作为企业内部的组织机构，内部审计在防范企业风险和增加企业价值等方面有很多优势。

一、相关文献综述

从第一部内部审计著作 《内部审计——程序的性质、职能和方法》问世以来，内部审计一直被理论界和实务界所关注，但那时的内部审计主要集中在财务审计。1970年以后，内部审计的理论开始有了新的发展，内部审计的职能逐步拓宽，从绩效审计、经济责任审计到3E审计和5E审计，不断丰富的内部审计项目逐渐引起企业管理层的重视。安然事件的爆发，使会计信息使用者对会计信息质量产生了怀疑，2002年 《萨班斯-奥克斯利法案》在这此背景下问世。该法案明确指出在企业风险的确认和评估上，内部审计师要发挥应有职责，并负责对企业风险控制进行修订。2004年9月，COSO委员会颁布了 《企业风险管理——整合框架》，认为ERM框架是一个过程，是由企业的董事会、管理层以及其他人员共同讨论决定的，应用于企业战略制定和不同组织的管理活动，从而更好地识别、计量、分析和应对风险。McEvoy（2007）认为，内部审计是企业内部管理的一个机构，其直接对公司的董事会和高管负责，内部审计部门在公司风险管理和控制中存在着优势，并能够为企业风险管理的改进提出建设性的意见。Gresham（2011）指出，在企业风险识别、风险评估和风险控制方面，内部审计师能够帮助管理层在风险管理上采取有效的措施，他认为内部审计部门对企业的经营目标、企业的风险点以及企业采取的风险控制较为熟悉，能够根据可能存在的风险提出针对性的解决措施。陈瑞敏（2012）从公司治理结构角度出发，认为内部审计能够帮助企业进行全面风险的管理，通过引入内部审计部门可以完善企业的公司治理结构，并对我国内部审计在企业风险管理中存在的问题进行了分析，提出了从全面风险管理角度完善内部审计的建议。张巧红（2015）以原因分析为导向，指出内部审计通过系统的方法，将风险管理贯穿于内部审计的全过程，并对企业现有风险管理进行评价和修正，帮助企业实现其目标。2016年COSO委员会颁布了 《风险管理框架——协调风险、战略以及业绩》（征求意见稿），新的ERM框架将会给企业风险管理带来新的思路。

二、内部审计参与风险管理的动因及途径

（一）内部审计参与风险管理的动因

1.随着市场经济的发展，企业竞争更加激烈，企业面临的风险更大，企业管理层希望内部审计可以参与到风险管理中来，并最大程度保证企业规避和控制风险。这对内部审计而言是一个绝佳的发展时机。内部审计机构需要不断扩大自己的业务领域，在企业中发挥更多作用，为其创造价值，从而防止被边缘化。

2.企业风险管理的需求。经济全球化的发展在给企业带来机遇的同时也使其经营环境变得更加复杂，财务风险和经营风险逐渐增大，企业要想在瞬息万变的市场经济中立于不败之地，就必须考虑企业可能面临的重大风险并采取措施予以应对。从世界500强企业来看，每个企业都很好地控制着经营风险和财务风险。作为企业的管理机构，内部审计能够在企业风险管理中发挥第三道防线功能，减少由于风险可能带来的损失，因此内部审计参与到风险管理中是非常有必要的。

（二）内部审计参与风险管理的途径

企业风险管理框架主要包含以下要素：对环境的具体分析、设定适当的目标、事件的准确鉴别、对风险的评估、采取回应、控制管理活动、信息交流与沟通、监督与回顾风险。笔者就内部审计在企业风险管理框架中通过何种途径来发挥作用进行研究。图1为内部审计参与企业风险管理途径的框架图。

图1 内部审计参与企业风险管理的途径

1.将公司目标战略与环境分析关联起来。企业目标战略的实施和经营过程由企业的管理者及董事会决定，内部审计的职能是对可能阻碍战略实施的风险因素进行评估并加以改善，确保企业有能力应对风险，让公司正常运作。具体表现为：内部审计列出风险因素清单，并判断出它们对公司的影响程度；将企业的战略目标与隐藏的风险联系在一起，建立风险分析矩阵进行分析；内部审计应积极向还未实施风险管理的企业引入风险管理，发挥控制风险的专长。

2.信息技术的迅速发展使得企业的内外环境变幻莫测，对环境进行实时监控就显得特别重要。首先对环境的监控是要明确企业的风险偏好，内部审计需要确认管理人员及董事会对风险的偏好，帮助企业管理层识别风险，并针对可能存在的风险点提出解决措施。其次要对环境进行持续的监控，内部审计需时刻都能判断出企业目前所处的环境状况并预测发展趋势，对可能出现的环境变化，提供风险应对策略，为企业管理层的决策提供支持。

3.企业风险管理工作的基础是对风险事件进行鉴别，风险管理人员需要对搜集而来的大量的可靠信息进行分析总结，实时掌握企业潜在的风险。风险事件鉴别最重要的一点就是要保证企业所有的风险都能被鉴别出来，即保证其完整性。主要包括以下几方面：风险分类层级是否合理；风险识别是否足够全面；风险控制是否科学。内部审计对风险管理事件鉴别确认的方式如图2所示。

图2 风险事件鉴别的确认

4.风险被鉴别出来后就要对风险进行等级评估。内部审计首先需要利用管理工具对风险进行相应评估，特别注意每个风险点将会给企业带来的不利方面及影响程度，然后与收集的有效资料进行对比，对风险评估进行最终确认。内部审计通过判断企业应对风险的措施是否适当、将与风险有关的内部报告信息及时准确地传递给利益相关者以及建立风险管理共享系统等方式参与到企业的风险管理中。

三、内部审计在风险管理中存在的问题

随着公司治理理论研究的深入和其在实践中的运用，对企业内部审计的要求越来越高。目前很多企业正由传统的财务收支审计向风险导向下的现代内部审计转变。在风险管理的环境下，现代内部审计体系呈现出的要求与变化，需要内部审计充分发挥其职能。但是内部审计机构在运行过程中仍存在很多问题，阻碍内部审计职能的发挥，这些问题的解决将有利于内部审计机构的设置和内部审计工作的运行。

（一）企业风险管理体系不健全

2016年COSO发布的《风险管理框架——协调风险、战略以及业绩》（征求意见稿）对企业风险管理进行了重新界定，新版的ERM框架认为企业风险管理是“组织在创造、维护和实现价值的过程中，进行风险管理所赖以依靠的，与战略和执行紧密结合的文化、能力和实践”。传统意义上的企业风险管理更多侧重的是对业务单元风险的管理，很少从企业战略的角度去进行风险管理体系的建设，也很少将企业风险管理与企业价值提升联系在一起。这种只重视业务单元的风险管理体系，导致内部审计在日常工作中只能就企业风险管理中所涉及的经济业务事项进行常规检查，不能站在企业战略角度对企业日常的决策进行独立的裁定。现代内部审计更加重视对企业的增值研究，在增值内部审计的背景下，如何通过健全企业风险管理体系，充分发挥内部审计的增值作用，是值得理论界和实务界关注的。

（二）管理层对内部审计参与风险管理的意识淡薄

在企业风险管理中，管理层认为企业的采购风险、财务风险、研发风险、市场风险等应该由各主管部门对其进行管理，对内部审计参与风险管理的意识不强，认为内部审计主要对公司财务账目进行审核，并没有让内部审计更多地参与企业的管理。由于内部审计没有参与企业风险管理，企业在面对风险时往往由各主管部门制订风险应对措施，并没有充分利用内部审计机构在风险识别和风险应对上的优势。风险的识别和风险控制做得不好，企业很难实现战略目标与经营目标的统一。

（三）内部审计人员结构单一

在企业组织架构中，内部审计人员大部分是财会专业，这些人员有着过硬的财务技能，但是对于企业风险管理，特别在特殊部门的风险识别上，由于缺乏对具体工作的经历，内部审计人员在特殊业务的风险识别和处理上显得力不从心。从公司治理角度来看，企业的每个部门都对企业的经营产生影响，在日常的经营过程中，每个部门都可能会发生风险，内部审计人员来源的单一也会造成内部审计在发现风险的及时性和准确性上存在一些问题。从全面风险管理角度来看，信息的不对称也会导致企业风险的发生。如何突破内部审计人员结构的单一，做到内部审计人员既熟悉企业经营环节的整个流程，同时又能够识别各经营环节中可能存在的问题，并利用内部审计的职能对可能存在的风险点提出解决措施，是内部审计在风险管理中的突破点。

四、对策研究

从企业风险管理角度出发，内部审计工作需要向深度和广度拓展，不断提高内部审计在识别风险、修正企业风险管理框架上的能力。

（一）建立健全企业风险管理体系

企业的风险管理需要从企业的战略角度出发，并结合企业的经营目标，做到企业战略风险管理目标与企业经营风险目标相一致。内部审计部门要积极加入到企业风险管理体系的建设中来，对企业风险管理提出切实可行的方案，以便在日常风险管理过程中了然于胸，并对可能存在的风险点提出解决措施，健全企业的内部控制制度，借助ERM最新框架建设企业风险管理体系。

（二）加强内部控制环境建设

在风险管理过程中，管理层起到了引导作用。但是管理层对于内部审计参与企业风险管理的漠视，导致企业在风险管理中显得力不从心。根据2004版ERM框架中的内部环境要素，企业在实行内部控制时需要内部员工包括管理层对内部控制有充分的认识，在掌握内部控制的基础上加强对内部审计的认识，要充分认识到内部审计部门参与到企业风险管理中，对于企业发现风险和修正风险管理体系有着积极的作用。企业的所有员工要加强对内部控制理论的学习，企业的管理者要从意识上转变对内部审计的态度，同时动员所有员工积极加入到企业风险管理中来，做到人人参与风险管理，人人都是风险的管理者。只有通过内部控制环境的建设，才能让内部审计更好地开展风险管理工作。

（三）调整内部审计部门人员结构

企业在组建内部审计部门时大部分人员来自于财务部门或者审计部门，对企业其他部门人员的引进缺乏力度，由于人员结构的单一导致内部审计在识别企业经营过程中风险增大。为了降低风险发生的概率，需要调整内部审计部门人员的结构，从各部门抽调人员加入内部审计部门。但是由于人员总数的限制，若企业内部审计部门从其他部门调集人员确有难度，可以通过设立AB岗来达到关键人员既从事本部门工作又从事内部审计工作的目的，在工作中可以及时发现企业经营过程中的风险点，通过修正企业风险管理体系，堵住风险点，达到企业增值的目标。同时积极引导企业所有员工参与到内部审计工作中来，如果员工在工作中发现可能存在的风险点并及时上报内部审计部门，内部审计部门在核查清楚后确认风险的存在并给予奖励，对于既识别了风险又提出合理解释的员工可以给予双重奖励。

总之，内部审计在企业风险管理中的作用不仅仅是发现企业的经营风险和战略风险，更能帮助企业增值，传统的内部审计逐渐向增值型内部审计转变。在公司治理结构中，要想充分发挥内部审计的作用，需要赋予内部审计充分的独立性，内部审计只有在独立的基础上才能有效地发挥其职能。这种独立性既是形式上的独立更是实质上的独立。在内部审计的工作方式上可以引入PDCA循环，加强风险的评估和应对措施。将企业的业绩评价与企业风险管理结合在一起，加强企业内部管理层的沟通，通过公司治理和企业文化的塑造来落实内部审计在风险管理中的作用。通过引入COSO委员会最新的研究成果，从五个要素、二十二个原则着手丰富内部审计在风险管理中的作用，帮助企业实现增值的目的。