颜家英

[提要] 对于内部审计在企业风险管理中的作用这一命题，国内外学者目前比较认同的观点是确认和咨询作用。本文基于这一观点，分析我国内部审计在企业风险管理中发挥作用的现状和成因，并结合我国实际，就强化内部审计在企业风险管理中的作用提出建议。

关键词：内部审计；企业风险管理；作用机制

中图分类号：F239 文献标识码：A

收录日期：2018年8月8日

随着经济的发展和科技的进步，在全球市场中的每一个企业都面临着机遇和风险。近年来，不少知名企业破产倒闭，风险管理成为当今理论界的热点问题，也成为每一个企业不得不面临和重视的问题。我国的企业风险管理和内部审计都处于发展阶段，本文希望通过对内部审计在企业风险管理中作用机制的细致探讨，对完善我国在这一方面的实务工作尽微薄之力。

一、内部审计的概念

2001年1月，国际内部审计师协会（IIA）对内部审计做出了全新的定义：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。根据这个定义，我们不难看出现代内部审计已经将帮助企业管理风险纳入了其职责范围内，并且把审计的目标与组织的目标直接关系起来，帮助企业更好地管理风险，实现组织目标。

二、内部审计在企业风险管理中的作用现状及成因分析

（一）现状

1、企业管理当局没有认识到企业风险管理的重要性，更没有认识到内部审计在企业风险管理中的作用。我国市场经济的兴起不过30多年，计划经济时代的一些思想观念对现在的企业仍然有着巨大的影响。大量企业依然没有认识到风险管理的重要性。有些企业即使意识到了需要进行风险管理，也是被动地对风险做出反应，而不是积极主动地预防控制风险，更不用说全方面地评估风险并系统地管理风险了。能够认识到内部审计可以促进企业风险管理，提高企业风险管理有效性的企业更是凤毛麟角。显然，在风险管理意识不强、内审没有得到企业高层重视和支持的企业中，内审不可能在帮助企业有效控制风险中发挥多大的作用。

2、审计工作权责不明确，审计机构设置不合理。内部审计人员的职责是监督和评价企业已经实现的风险管理，并提供改进的意见与建议。当前，我国大部分企业中，内部审计人员不仅负责建立风险管理机制，而且要负责风险评价与控制。这样不仅加重了内部审计人员的工作负担，而且使其独立客观性受到很大影响，不能有效发挥其在企业风险管理中的监督评价作用。同时，我国大部分企业的内部审计部门是在总经理的领导下开展工作的。很多企业没有设置审计委员会，如此，则内部审计人员无法直接与董事会沟通，其独立性很难得到保证。内部审计人员的工作对总经理负责，审计报告也是递交给总经理，如果内审人员提出的意见没有被采纳，董事会也无从得知，这会严重影响内审人员在企业风险管理中的监督评价以及优化功能。

3、内部审计人员风险管理意识薄弱。风险导向内部审计要求由具有管理资历和具备不同专业和背景的人员组成内部审计部门，当企业内部审计人员不足时，可以聘请相关专业的人员参与审计。然而，目前我国大部分的内部审计部门主要由具备财务知识背景的人员组成，这样审计部门的风险导向意识和识别、解决风险的能力极有可能不足。因而，目前大部分企业的审计人员并没有认识到自身对企业风险管理的职责，对审计工作的认识还停留在账项基础审计和制度导向审计的层面上。他们将大量的精力用在审计企业经营的合法合规、财务数据的准确性和内部控制的有效性上，只有极少数的内部审计人员关注到企业的风险。这种只关注企业过去记录的真实性和内部控制系统过去运行的有效性的审计方法，仅仅就企业已经面临的风险进行评估并提出防范措施，不会主动研究企业未来可能面临的风险，没有将内部审计人员在风险管理方面的积极作用完全发挥出来。

（二）原因

1、相关的政策和制度尚不完善。我国关于风险管理方面的比较完善的指引是2006年6月6日出台的《中央企业全面风险管理指引》。该指引借鉴发达国家风险管理方面的法律法规，对我国中央企业的风险管理工作做了比较全面的阐述。该指引要求，有条件的中央企业应设置专门的部门来负责有关风险的各项活动，同时还应设置独立的内部审计部门，负责考评有关部门是否有效地完成了对风险的管控，审计报告直接递交审计委员会。但是，该指引制定得过于原则化，没有强制要求企业必须执行，因而并没有得到很好的落实，企业的风险管理效果并不是很好。

2、企业组织机构及配套制度不健全。健全的组织机构是企业进行风险管理的基础。企业应该设立一个独立的部门，专门负责风险；同时，要让该部门的成员知道他们的权力是什么，他们应该做些什么。企业的风险管理和对风险管理的审计应由独立的部门完成，以保证该工作的客观性。然而，我国大多数公司并没有设置单独的部门管理风险，而是由各个部门自行管理与该部门有关的风险。当风险真正出现时，各个部门又无力承担风险，而是互相推诿，没有部门去应对风险，最终导致风险的发生。由于缺少承担风险的明确的责任人和协调整个公司共同管理风险的机制，又没有内审对最终的风险是否得到有效的管理进行考评，很多企业的风险都没有得到有效的管理。同时，由于企业风险管理意识的缺乏，也没有制定相关的内部审计制度，使企业的内部审计部门形同虚设，无法发挥其在风险管理方面的作用。

3、内部审计人员整体素质不高。据调查，我国从事内部审计的工作人员中，研究生占1.1%，本科生占15.56%，大专生占73.89%，这说明我国内部审计人员的学历高于国民平均教育水平，但从内部审计人员的专业背景来看，绝大部分都来自于会计审计专业。而西方发达国家对内部审计部门的人员构成的要求为：工程技术专业、经管专业、其他专业各占1/3。事实上，内部审计人员专业和背景的多元化有利于发挥其在企业风险管理方面的作用。对于现代企业来说，在内外部环境复杂多变的情况下，多元化的内部审计部门能帮助其更好地识别、应对风险，从而提高企业的风险管理能力。正如前文提到的，当具有财务背景的人员占内部审计部门的大多数时，很容易导致内部审计过分关注财务数据的准确性，从而影响其职能的全面发挥。

三、对策建议

（一）从内部审计部门来说，要提高内审人员的素质，强化风险意识。内部审计人员的胜任能力是其促进企业风险管理的决定性因素。目前，我国内部审计人员的素质普遍较低，且成员知识背景结构不合理。因此，企业在招聘内部审计人员时，一方面要重视其文化水平；另一方面要重视其知识背景，促进内部审计人员知识结构的多元化。

（二）从企业层面来说，要规范和健全组织机构及配套制度。内部审计在企业的风险管理中发挥作用的一个前提条件便是企业已经实施了风险管理。因此，企业首先应设立独立的部门专门负责有关风险的事宜，帮助企业高效地管理风险；其次，要提高内部审计部门的地位，也就是说企业的高层管理人员要重视内部审计。目前，我国大多数企业的内部审计部门是由总经理负责的，这样的做法不利于内部审计发挥风险管理方面的积极作用；最后，为了审计活动能高效、有序地开展，企業应制定完善的内审工作制度，让审计工作规范化，也能免受企业管理层的干扰。

（三）从国家层面来说，要完善相关的法律法规。从第三部分的分析中我们可以发现有关审计和风险管理方面的法律法规不完善，企业无章可循，是我国大量企业面临着巨大风险却无法有效管理的一个重要原因。因此，政府应该借鉴发达国家的做法并结合我国实际，积极建立健全相关的法律法规，不能仅仅停留在原则层面，要让企业的风险管理和内部审计都能有章法可依，敦促企业真正地落实风险管理和内部审计，帮助企业有效地降低最终承担的风险，进而更好地实现企业目标。

主要参考文献：

[1]董望，陈汉文.内部控制、应计质量与盈余反应[J].审计研究，2011（4）.

[2]耿键.风险导向内部审计在企业风险管理中的应用初探[J].经营管理者，2014（1）.

[3]胡为民.中国上市公司内部控制报告（2012）[M].北京：电子工业出版社，2012.

[4]孙双全.论内部审计在公司治理中的增值效应[J].财会研究，2012（12）.