张广青

摘 要 随着企业对于企业风险管理的关注度的不断提高，企业风险管理已经慢慢成为了当今企业管理当中不可或缺的一部分。而内部审计对于企业风险的预估，对于风险条件的鉴别还有对于风险制度的评价等等的活动，为企业风险管理给出相应的解决策略，为现代企业合理的减少管理风险，减少成本风险，提升经济效益起到了非常重要的作用。

关键词 内部审计 企业风险管理 作用 框架思路 构建

任何企业都会在经营壮大的过程当中遭遇到不同的风险，如何避免和减少风险所带来的损失是企业领导者所需要考虑到的问题。想要充分发挥出内部审计的作用需要运用系统的、规范的模式来完成企业对于风险的管理、管控和治理流程的评估，提升企业的工作效能，以此来帮助企业达成目标。

一、企业风险管理的定义

企业风险管理是指企业在意识到自身所要面对风险的情况下，运用各类科学合理的方法与手段，有效地对各类风险所展开的鉴别、衡量、评估、管控和治理。COSO风险管理框架当中对于风险管理的关键点分成了：内在环境、目标确定、事情鉴别、风险评价、风险应对、管控活动、信息和交流、监督控制。从以上着这些不难看出，企业风险管理关系到整个企业管理流程、企业所有部门和所有员工。

二、内审在风险管理中的作用

（一）内在环境

是指企业内在的物质、文化、制度建立和管控手段，是企业日常生产运转管理的根本，内在环境对于企业未来目标的确定、企业计划方案的确定、企业正常业务的制定和实施、企业风险的鉴别、评价和管控都有着十分巨大的影响。内部审计必须要先对企业的现存风险和其他风险（管控之后的风险）进行评估，必须要清楚企业内在环境的真实情况。内部审计还必须要解析内在环境条件的变化，内在环境条件的变化会令风险出现其他的变化，内部审计还必须要关注企业对于不断变化的风险是不是运用了科学合理的处理方法。比如：一些企业为了减少生产的成本和内在管理的风险，把一些业务进行了对外承包，但是如果这样选择企业就必须要面对对外承包的单位是不是可以顺利完成对外承包业务的风险。因此，内部审计就必须解析所产生的相对应的风险的变化状况，还必须要想到企业是不是运用了科学合理的风险管理手段。

（二）目标确定

是指企业通过自身的内在环境和所要完成的目标，企业领导者确定未来的目标以及为了达成目标所确定的相关方案。企业把未来所要实现的目标分成许多个小的目标，每一个小的目标都必须要为达成企业的大目标提供服务，并且必须要和相关的方案匹配。首先，内部审计必须从客观的角度去评估企业的未来目标和所涉及到的小的目标制定的科学性，是不是和企业确定的预期目标相同，所有的小的目标是不是和未来目标方向相同，是不是对于完成未来目标有着一定的作用;其次，内部审计必须要评估企业所确定的未来目标的方案的科学合法性，确定方案是不是有助于达成未来的目标;最后，内部审计必须要对未来的目标完成的情况进行追踪评价，评估相关企业是不是达成了所确定的未来的目标，在相关目标还没有完成的时候，是不是及时运用了改革方法或者是对不合理的相关目标进行及时更正。

（三）事情鉴别

是指企业领导者认识到了企业在生产运营管理的过程当中所存在的风险，但是领导者并不确定这些存在的风险是不是真的会出现、什么时候出现和所带来的结果是什么。在这种时候，企業领导者需要思考那些会造成风险出现的各类相关的事情，不管事情的大小都需要进行鉴别。内部审计可以运用风险解析的方法（包括COSO解析方法）来鉴别企业的风险事情，包括内在的风险和外在的风险;并且对于所鉴别出来的风险进行归类。内部审计通过解析确定企业领导层是不是完全鉴别出全部风险，是不是对于所鉴别出来的风险进行分类管理，假如没有，内部审计人员必须要提醒领导层对没有鉴别出来的风险使用相对应的措施进行管控。

（四）风险评价

是指企业领导层了解隐藏事情对于企业目标的影响完成和所造成的影响的情况。企业领导者需要从风险出现的可能性和所造成的影响这两点对风险进行确定解析和定量解析。风险解析是一件繁杂的工作，在许多的情况之下都需要领导层进行主观判定各种结果出现的可能性和所造成的影响。不同的学识、知识架构、环境、位置还有工作经历，对于相同风险出现的可能性和所造成的影响的判定也是各不相同，其中会掺杂许多个人的想法和偏好。内部审计可以通过风险解析的方法从客观立场出发对风险进行解析和评估，为企业的领导层提供出专业的见解。

（五）风险应对

是指企业领导者对待风险的可承受程度，按照不同的风险可承受程度来确定出不同风险应对方案。风险管理需要企业领导者选择出一个可能会令企业出现风险和造成的影响都在风险可承受程度之内的风险应对方案。一般来说，就是企业在遇到各类风险的时候，确定要使用的方式或者是方案，比如：避开风险、承受风险或者是减少风险。内部审计在开展风险应对评估的时候必须要综合企业领导层的风险侧重点，解析评估风险降低方案的有效性;解析评估风险应对方案的适用性。在评估避开风险的时候，必须要评估避开当前风险是不是会出现其他风险，避开风险的方案是不是适用，避开风险的投入是不是合理。评估承受风险的时候，必须要评估承受风险的方案是不是适合，评估风险的结果企业是不是可以承受。评估减少风险的时候，内部审计必须要对内在制度的完整性、执行的完成性进行测试和评估。

（六）管控活动

是指企业为了达成企业未来的目标和确保风险应对方案可以彻底落实所运用的方法。管控活动连通着企业生产运营管理的整个过程，存在于企业的所有层面和所有部门当中。内部审计必须要解析评估管控活动，这是内部审计工作当中的关键节点，管控活动评估具体分为解析评估是不是建立完善的内部管控制度、解析评估内部管控制度是不是有效落实、解析评估内部管控制度是不是和企业内在环境和生产运营管理相适合、解析评估内部管控制度是不是有效果、风险评估内部管控制度是不是科学合法等等。

（七）信息和交流

是企业及时正确的采集和企业有关的各类信息，并且进行有效交流。信息和交流是开展内部管控的重要前提。采集到的各类信息要严格按照特定的格式和时间段进行确定和传送。审计报告是内部审计结果的重要表达方式，是内部审计和企业领导层进行交流的纽带。内部审计以审计报告或者是审计意见书的方式，向企业领导层传递风险是不是得到管控，并且把解析结果和意见提供给领导层作为参考。

（八）监督控制

企业领导者对于企业风险管理的监督控制，通过风险监督控制可以让企业发现其在生产运营管理的过程当中是不是出现了风险因素，是不是会对企业的未来目标的达成造成影响。企业领导者可以用两种模式对风险管理进行监督控制：持续监督控制和个别评价。持续监督控制是指企业领导者必须要持续的关注企业风险管理是不是出现变化进行评价。个别评价是指企业领导者面对某一时期的某些事情进行评价。内部审计必须要时常检查解析企业内外在的环境变化和可能出现的风险变化，对内外在环境和相关的风险变化进行监督控制;内部审计必须要随时监督控制企业未来目标和小的目标的完成状况，在这个过程当中是不是会出现影响企业未来目标和小的目标完成的因素;内部审计必须要监督控制企业的风险应对是不是适合，是不是在风险可承受程度之内，是不是会影响企业未来目标的完成;内部审计必须要监督控制风险应对预案和风险控制制度是不是适合;内部审计必须要监督控制内在控制部门是不是对新出现的风险进行管理控制。

三、结语

随着世界经济的不断发展，各类不确定因素的不断增多，企业所要面对的风险环境也越发的复杂，企业的风险管理地位就变得更加重要。内部审计在企业风险管理当中的作用也必然会逐渐加大，内部审计人员必须要充分利用相关的风险管理知识，运用系统、合法的手段，以客观的态度为企业领导层提供出更为优质的确定和问询服务，提升企业的风险管理能力。

（作者单位为天瑞集团股份有限公司）

参考文献

[1] 方红星.企业风险管理——整合框架[M].东北财经大学出版社，2005.

[2] 李定安，易沙.浅谈内部审计风险及其防范机制[J].新会计，2003（02）.

[3] 冷琳.浅析内部审计在風险管理中的作用[J].经营管理者，2014（27）.

[4] 中国内部审计协会.国际内部审计专业实务框架[M].西苑出版社，2013.