江文

摘要：國際內部審計師協(xié)會對內部審計作了新的定義：“內部審計是一種獨立的、客觀的確認與咨詢活動，它的目的是為機構增加價值并提高機構的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理程序進行評價，提高它們的效率，從而幫助實現(xiàn)機構目標。” 該定義表明了內部審計在企業(yè)風險管理中應該需要發(fā)揮哪些作用和如何發(fā)揮的作用。文章就內部審計在企業(yè)風險管理中應該發(fā)揮的作用進行了簡要分析。

關鍵詞：內部審計；風險管理；作用

每個企業(yè)在經(jīng)營發(fā)展過程中均會發(fā)生各種各樣的風險，如何減少和降低風險及風險帶來的后果是企業(yè)經(jīng)營管理者必須考慮的問題。內部審計的定義明確了內部審計在風險管理中的應該發(fā)揮的作用和如何發(fā)揮作用。應該發(fā)揮的作用：提高企業(yè)的效率，從而幫助企業(yè)實現(xiàn)目標。如何發(fā)揮作用：內部審計要采取系統(tǒng)化、規(guī)范化的方法來對企業(yè)的風險管理、控制及治理程序進行評價，

一、企業(yè)風險管理

風險是指未來事項發(fā)生的不確定性，包含兩個方面的內容：一是未來事項發(fā)生與否不確定，二是事項發(fā)生后的結果如何不確定。在企業(yè)的每一個環(huán)節(jié)、每一個階段、每一個領域均有可能發(fā)生，他具有普遍性、隨機性、突發(fā)性、多變性和可控性等特點。

企業(yè)風險管理是指企業(yè)在充分認識本單位面臨的風險的基礎上，采取的各種科學有效的方式方法和手段，對各種風險進行識別、衡量、評價、控制和治理。COSO風險管理框架將風險管理的要素分為八個：內部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控。由此可見，企業(yè)風險管理貫穿于企業(yè)經(jīng)營管理全過程，貫穿于企業(yè)各個部門和每個員工。

二、內部審計與企業(yè)風險管理的關系

內部審計與企業(yè)風險管理之間的關系是辯證統(tǒng)一的。內部審計機構是企業(yè)的一個內部管理部門，是企業(yè)風險管理體系的一個重要組成部分，而企業(yè)風險管理是內部審計工作的一項重要內容。內部審計是風險管理的有效工具，屬于企業(yè)風險管理的第三道防線。內部審計參與企業(yè)管理的全過程，應更加關注企業(yè)的風險管理體系和效益。

1. 內部審計是企業(yè)風險管理體系的重要組成部分

內部審計為企業(yè)的經(jīng)營管理活動提供獨立客觀的確認和咨詢服務，是企業(yè)內部控制與監(jiān)督的關鍵環(huán)節(jié)，是企業(yè)風險管理體系的一個重要組成部分，貫穿于企業(yè)生產(chǎn)經(jīng)營管理的全過程。但由于內部審計部門的相對獨立性，可以站在獨立的立場去對待和客觀公正的評價企業(yè)生產(chǎn)經(jīng)營過程中的風險管理。

2. 風險管理是內部審計工作的重要內容

隨著內部審計工作業(yè)務的開展，企業(yè)的風險管理已經(jīng)成為內部審計工作的重要內容。在開展內部審計時，需要對企業(yè)管理層的決策進行分析評價，需要對企業(yè)經(jīng)營管理過程中產(chǎn)生的風險進行揭示，需要對企業(yè)某個事項的風險后果進行預測。

3. 內部審計是風險管理的有效工具

企業(yè)風險管理是企業(yè)管理層的職責所在，管理層應該確保企業(yè)具備風險管理能力，能夠對風險進行分析、控制和治理。由于內部審計在企業(yè)內部的相對獨立性，內部審計可以采取系統(tǒng)化、科學化、程序化、規(guī)范化的手段和方法，對企業(yè)的風險管理體系是否建立健全，風險控制措施是否有效恰當，風險治理是否有效等進行評價和測量。

三、內部審計在風險防范中的作用

根據(jù)COSO風險管理框架，將組織風險管理的要素分為八個：分別是內部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控。下面對內部審計在這個八個要素中的作用進行逐一淺析。

1. 內部環(huán)境，是組織內部物質、文化、制度建設和控制措施的總稱，是企業(yè)生產(chǎn)經(jīng)營管理的基礎，內部環(huán)境影響企業(yè)戰(zhàn)略目標的制定，影響企業(yè)戰(zhàn)略方案的制定，影響企業(yè)業(yè)務活動的組織和開展，影響企業(yè)風險的識別、評估和控制。

內部審計首先需要評價企業(yè)的固有風險和剩余風險（控制后的風險），需要了解企業(yè)內部環(huán)境情況。內部審計還需要分析內部環(huán)境因素的變化，內部環(huán)境因素的變化會導致風險的變化，內部審計就要關注企業(yè)是否根據(jù)風險的變化采取了合適的應對方法。比如企業(yè)為了降低生產(chǎn)成本和內部管理風險，將某項業(yè)務進行外包，但企業(yè)會面臨著外包單位能否完成外包業(yè)務的風險。內部審計就需要對風險變化情況進行分析，并考慮企業(yè)是否采取了恰當?shù)娘L險防范措施。

2. 目標制定是指企業(yè)根據(jù)企業(yè)的內部環(huán)境和企業(yè)確定的想要達到的預期，企業(yè)管理者確定企業(yè)的戰(zhàn)略目標，并制定為了實現(xiàn)戰(zhàn)略目標的戰(zhàn)略方案。企業(yè)將戰(zhàn)略目標分解為若干個子目標，各子目標應該為實現(xiàn)企業(yè)的戰(zhàn)略目標服務，并要與戰(zhàn)略方案相一致。

首先，內部審計需要客觀評價企業(yè)戰(zhàn)略目標以及相關子目標設定的合理性，是否符合企業(yè)確定的想要達到的預期，各子目標是否與戰(zhàn)略目標相一致，是否有利于戰(zhàn)略目標的實現(xiàn)；其次，內部審計需要評價企業(yè)制定的戰(zhàn)略方案的合理性和合法性，戰(zhàn)略方案是否有利于戰(zhàn)略目標的實現(xiàn)；最后，內部審計需要對目標實現(xiàn)情況進行跟蹤評估，評價企業(yè)是否實現(xiàn)了目標，在目標未實現(xiàn)時，是否及時采取了改進措施或對不合理的目標進行修訂。

3. 事項識別是指企業(yè)管理者意識到了企業(yè)生產(chǎn)經(jīng)營管理風險的存在，但管理者不能確切地知道風險是否會發(fā)生、何時發(fā)生和其結果如何。在這個時候，企業(yè)管理者應考慮會影響風險發(fā)生的各種內外部的事項，不論大小均要進行識別。

內部審計可以采用通用的風險分析方法包括COSO提供的分析方法來識別企業(yè)的風險事項，包括內部風險和外部風險；并對識別的風險進行分類別分層級。內部審計通過分析判斷企業(yè)管理層是否完全識別了所有風險，是否對識別的風險進行分類別分層級的進行管理，如果沒有，內部審計人員應該提醒管理層對未識別的風險采取一定的措施加以控制。

4. 風險評估是指企業(yè)管理層了解潛在事項如何影響企業(yè)目標的實現(xiàn)和影響的大小。企業(yè)管理者應該從風險發(fā)生的可能性和影響兩個方面對風險進行定性分析和定量分析。

風險分析是一件復雜困難的工作，在很多情況下需要管理層進行主觀判斷不同結果發(fā)生的可能性和影響。不同的學歷、知識結構、背景、職位以及工作經(jīng)驗，對同一個風險發(fā)生的可能性和影響的判斷均會不同，會有個人的偏見和喜好。內部審計機構作為一個相對客觀獨立的部門，可以采取風險分析方法從客觀獨立的角度分析和評價風險，向企業(yè)的管理層提供專業(yè)意見。

5. 風險反應是指企業(yè)管理者對待風險的容忍度，根據(jù)不同的風險容忍度制定不同風險反應方案。有效的風險管理要求企業(yè)管理者選擇一個可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度范圍之內的風險反應方案。通俗地講，就是企業(yè)在面對不同的風險時，決定要采取策略和方法，是避免風險接受風險還是降低風險。

內部審計人員在進行風險反應評價時需要結合企業(yè)管理層的風險偏好來進行，分析評價風險回報的合理性；分析評價風險減少措施的有效性；分析評價風險反應方案的恰當性。在評價避免風險時，需要評價避免這個風險是否會產(chǎn)生新的風險，避免風險的措施是否恰當，避免風險的成本是否最經(jīng)濟。評價接受風險時，需要評價接受風險的措施是否恰當，評價風險的結果企業(yè)能否承受。評價降低風險時，內部審計人員需要對內部控制制度的健全性、執(zhí)行的有效性進行測試和評價。

6. 控制活動是指企業(yè)為了實現(xiàn)企業(yè)戰(zhàn)略目標和保證風險反應方案得到貫徹落實所采取的措施。控制活動貫穿于企業(yè)生產(chǎn)經(jīng)營管理的全過程，存在于企業(yè)的各個層面和各個部門。所以控制活動是企業(yè)實現(xiàn)其價值和戰(zhàn)略目標的過程的一部分。

內部審計需要分析評價控制活動，這項工作是內部審計工作的重要環(huán)節(jié)，控制活動評價具體包括分析評價是否建立健全內部控制措施、分析評價內部控制措施是否得到有效實施、分析評價內部控制措施是否與企業(yè)環(huán)境以及生產(chǎn)經(jīng)營管理相匹配、分析評價內部控制措施是否有效、風險評價內部控制措施是否合理合法等方面。

7. 信息和溝通通俗地講是企業(yè)及時準確地收集與企業(yè)相關的各種信息，并在企業(yè)內外部進行有效溝通。信息和溝通是實施內部控制的重要條件。收集到的各種信息必須以一定的格式和時間間隔進行確認和傳遞。

審計報告是內部審計工作的成果表達的一種方式，是內部審計機構和企業(yè)管理層進行溝通的橋梁和紐帶。內部審計可以通過審計報告或審計意見書的形式，向企業(yè)管理層傳達風險是否得到有效管理控制，并將分析結果和建議提供給管理層以便改進。內部審計機構的設立也向外部利益相關者提供了企業(yè)進行規(guī)范管理和有效風險管理的保證。

8. 監(jiān)控是企業(yè)管理者對企業(yè)風險管理的監(jiān)控，通過風險監(jiān)控可以發(fā)現(xiàn)企業(yè)在生產(chǎn)經(jīng)營管理過程中是否發(fā)生新的風險因素，這些因素是否會對企業(yè)戰(zhàn)略目標的實現(xiàn)產(chǎn)生影響。企業(yè)管理者可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控是指企業(yè)管理者需要持續(xù)的關注企業(yè)的風險管理是否發(fā)生變化進行評估。個別評估是指企業(yè)管理者針對特殊時期的特殊事項進行評估。

內部審計需要經(jīng)常性的檢查分析企業(yè)的內外部環(huán)境和風險的變化，對內外部環(huán)境和風險變化進行監(jiān)控；內部審計需要時刻監(jiān)控企業(yè)戰(zhàn)略目標和子目標的實現(xiàn)達成情況，在過程中是否會發(fā)生影響企業(yè)戰(zhàn)略目標和子目標實現(xiàn)的因素；內部審計需要監(jiān)控企業(yè)的風險反應是否恰當，是否在風險容忍度范圍之內，是否會影響企業(yè)戰(zhàn)略目標的達成；內部審計需要監(jiān)控風險應對方案和風險控制措施是否恰當；內部審計需要監(jiān)控內部控制部門是否對新產(chǎn)生的風險進行管控。

隨著當今世界經(jīng)濟發(fā)展的瞬息萬變，各種不確定因素越來越多，企業(yè)面臨的風險環(huán)境越來越復雜，企業(yè)的風險管理也就越來越重要。內部審計作為風險管理的重要組成部分，在企業(yè)風險管理中發(fā)揮的作用也將會越來越大，內部審計人員應該充分運用風險管理知識，采取系統(tǒng)化、規(guī)范化的手段和方法，從獨立客觀的角度為企業(yè)管理層提供有質量的確認和咨詢服務，提高企業(yè)風險管理水平。

參考文獻：

[1]方紅星.企業(yè)風險管理——整合框架[M].東北財經(jīng)大學出版社，2005.

[2]李定安，易沙.淺談內部審計風險及其防范機制[J].新會計，2003（02）.

[3]冷琳.淺析內部審計在風險管理中的作用[J].經(jīng)營管理者，2014（27）.

[4]中國內部審計協(xié).國際內部審計專業(yè)實務框架[M].西苑出版社，2013.

[5]中國內部審計協(xié)會.中國內部審計準則[M].中國時代經(jīng)濟出版社，2005.

（作者單位：安徽省煙草公司安慶市公司）