摘 要：良好的風險管理體系對企業(yè)的目標實現(xiàn)起著至關(guān)重要的作用，企業(yè)必須建立風險管理體系；內(nèi)部審計部門在風險管理中的作用就是監(jiān)控、檢查、評估、報告管理層風險管理過程的充分性和有效性，提出改進意見，幫助企業(yè)改進風險管理與控制體系，實現(xiàn)企業(yè)價值最大化。

　　關(guān)鍵詞：內(nèi)部審計;風險管理

　　每個組織的存在都有其目標，在實現(xiàn)目標的過程中，存在著影響目標實現(xiàn)的不確定性因素。企業(yè)管理層的一項重要職責就是要建立一個良好的風險管理體系，來識別、評價和控制風險，為企業(yè)目標的實現(xiàn)提供合理的保證。內(nèi)部審計在風險管理中的作用就是監(jiān)控、檢查、評估、報告管理層風險管理過程的充分性和有效性，提出改進意見，幫助企業(yè)改進風險管理與控制體系，從而為企業(yè)增加價值。

　　1 企業(yè)風險管理體系簡介

　　企業(yè)風險管理（Enterprise Risk Management，簡寫為ERM）的實質(zhì)是企業(yè)有效利用各種資源，以戰(zhàn)略的方式管理風險，使企業(yè)在多變的環(huán)境下以穩(wěn)健的方式運作，從而獲得增加價值的機會。在全球競爭激烈的市場中，任何企業(yè)都處于動蕩多變的環(huán)境之中。企業(yè)面臨的風險越來越多，風險引發(fā)的損失規(guī)模也越來越大，這些都促使企業(yè)對風險管理給予高度的關(guān)注。要對風險管理過程的充分性和有效性進行評價，首先要對風險管理體系有一個初步的了解。根據(jù)美國COSO委員會《企業(yè)風險管理框架》的要求，建立風險管理體系包括相互關(guān)聯(lián)的八個風險管理要素，各要素貫穿在企業(yè)管理過程中，為實現(xiàn)企業(yè)目標提供保證。

　?。?）內(nèi)控環(huán)境。主要是在企業(yè)中樹立風險管理理念，營造一種風險管理文化，包括建立企業(yè)的風險文化，制定明晰的戰(zhàn)略、目標，明確企業(yè)的風險責任人和利益相關(guān)者，使用統(tǒng)一的風險語言，為其他風險管理要素打下基礎(chǔ)。

　?。?）目標制定。管理者必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。根據(jù)企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關(guān)的目標并在企業(yè)內(nèi)層層分解和落實。

　?。?）事項識別。下列事情可能給組織帶來風險：因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤；記錄有錯誤、會計核算資料不真實、不完整；資產(chǎn)保護不當；顧客不滿意，組織信譽受損；執(zhí)行組織決策、計劃、程序不力，或有違法違規(guī)行為；不經(jīng)濟地獲取或無效地利用資源；沒有完成組織的任務和目標。需要企業(yè)的管理者對其進行識別、評估和反應。

　?。?）風險評估。評估風險是ERM執(zhí)行中關(guān)鍵的步驟之一。在評估風險的過程中要注意選擇合適的評估技術(shù)，評估風險事件發(fā)生的可能性和頻繁度，風險事件的潛在影響及其成本的高低，最后繪制一張風險地圖。評估風險事件的方法有很多，如定量方法、定性方法，企業(yè)可以根據(jù)自身的具體情況來制定自己的評估方法。

　?。?）風險反應。風險反應可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險，企業(yè)都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業(yè)風險發(fā)生的可能性和影響都在風險容忍度之內(nèi)的風險反應方案。

　　（6）控制活動?？刂拼胧┚褪窃诮邮茱L險的情況下，評估因接受風險所帶來的額外費用和保險費用，評估因控制帶來的管理成本和回報。在降低風險的情況下，明確所需的控制活動，評估這些控制活動所帶來的成本費用?？刂苹顒舆€包括評估目前組織、程序、系統(tǒng)和反饋系統(tǒng)管理風險的能力。最后通過控制行為，調(diào)整風險地圖。風險發(fā)生的可能性和頻率是很難改變的，最有效的就是通過對風險管理成本的控制，將風險盡量降低到企業(yè)可承受范圍以內(nèi)。

　　（7）信息和溝通。信息系統(tǒng)應當有效地追蹤企業(yè)當前正在發(fā)生的事件以及已經(jīng)避免的事件。同時企業(yè)還要保證有及時的關(guān)于企業(yè)各個層面的ERM報告。在風險活動中發(fā)生的成本費用和控制活動。其次要溝通ERM的有效性和成本費用。保證在企業(yè)中有定期的ERM報告，尤其是包括員工的責任義務完成狀況以及對ERM的檢查情況，CRO和其他重要的執(zhí)行官要對ERM的有效性和成本加以測量和存檔，同時明確向董事會和執(zhí)行官報告的責任和途徑。

　　（8）監(jiān)控。對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及執(zhí)行質(zhì)量的一個過程。企業(yè)可以通過持續(xù)監(jiān)控和個別評估兩種方式，來保證企業(yè)的風險管理在企業(yè)內(nèi)務管理層面和各部門持續(xù)得到執(zhí)行。風險不是靜態(tài)的，風險的數(shù)量和可能性會隨內(nèi)外部環(huán)境的變化而變化，持續(xù)的監(jiān)控對有效地管理風險是最基本的。通過持續(xù)的監(jiān)控可以使企業(yè)明確在下一步的風險管理中應當改進的問題。通過這個環(huán)節(jié)可以明確ERM可以給企業(yè)帶來的利益與價值，了解風險評估的正確性，為下一次的評估提供經(jīng)驗教訓，明確風險回應決策的有效性，同時還有助于控制成本費用。

　　從以上八個風險管理要素可以看出，企業(yè)風險管理是一個過程。是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。

　　2 內(nèi)部審計在風險管理中的作用

　　根據(jù)《內(nèi)部審計實務標準》對內(nèi)部審計的定義：內(nèi)部審計是一種獨立、客觀的保證與咨詢活動，目的是為機構(gòu)增加價值并提高機構(gòu)的運作效率。它采用系統(tǒng)化規(guī)范化的方法來對風險管理、控制及治理程序進行評估和改善，從而幫助機構(gòu)實現(xiàn)其目標。所以在風險管理中，內(nèi)部審計可以發(fā)揮以下作用：

　　(1)內(nèi)部審計人員熟悉公司業(yè)務并能夠隨時深入到生產(chǎn)經(jīng)營的全過程去了解掌握具體情況，收集大量的第一手資料，從中發(fā)現(xiàn)存在風險的隱患問題，進行風險分析，提請管理層注意風險管理和控制等的相關(guān)建議。

　　(2)內(nèi)部審計通過咨詢服務方式積極協(xié)助公司進行風險管理過程的建立。風險管理是一個復雜的系統(tǒng)工程，在一個組織內(nèi)部應當明確職責分工，各司其職。董事會負責制定戰(zhàn)略目標，高層領(lǐng)導各負責一個方面的風險管理責任，其他管理人員由管理層分配一部分工作，操作人員負責日常監(jiān)控，而內(nèi)部審計人員則負責定期評價和保證工作。內(nèi)部審計師可以促進、協(xié)助風險管理過程的建立，但不負風險管理的責任。

　　(3)內(nèi)部審計通過將風險管理評價作為審計工作的重點，以檢查、評價風險管理過程的充分性和有效性。內(nèi)部審計主要從兩個方面評估風險管理過程的充分性和有效性。

　?、僭u價風險管理主要目標的完成情況。主要表現(xiàn)在評價公司以及同行業(yè)的發(fā)展情況和趨勢，確定是否可能存在影響企業(yè)發(fā)展的風險；檢查公司的經(jīng)營戰(zhàn)略，了解公司能夠接受的風險水平；與相關(guān)管理層討論部門的目標、存在的風險，以及管理層采取的降低風險和加強控制的活動，并評價其有效性；評價風險監(jiān)控報告制度是否恰當；評價風險管理結(jié)果報告的充分性和及時性；評價管理層對風險的分析是否全面，為防止風險而采取的措施是否完善，建議是否有效；對管理層的自我評估進行實地觀察、直接測試，檢查自我評估所依據(jù)的信息是否準確，以及其他審計技術(shù)；評估與風險管理有關(guān)的管理薄弱環(huán)節(jié)，并與管理層、董事會、審計委員會討論。如果他們接受的風險水平與公司風險管理戰(zhàn)略不一致，應進行報告。

　?、谠u價管理層選擇的風險管理方式的適當性。由于各個公司的文化氛圍、管理理念和工作目標不同，風險管理的實施也有很大差別。每個公司應根據(jù)自身活動來設(shè)計風險管理過程。一般說來，規(guī)模大的、在市場籌資的公司必須用正式的定量風險管理方法；規(guī)模小的、業(yè)務不太復雜的，則可以設(shè)置非正式的風險管理委員會定期開展評價活動。內(nèi)部審計人員的職責是評價公司風險管理方式與公司活動的性質(zhì)是否適當。

　　(4)內(nèi)部審計應積極持續(xù)地支持并參與風險管理過程，對風險管理過程進行管理和協(xié)調(diào)。在現(xiàn)代企業(yè)制度下，公司全面建立了風險管理過程，內(nèi)部審計因此能夠擔負起風險管理的職能。首先，內(nèi)部審計從評價各部門的內(nèi)部控制制度入手，在生產(chǎn)、采購、銷售、財務會計、人力資源管理等各個領(lǐng)域查找管理漏洞，識別并防范風險，做出相關(guān)評價。其次，內(nèi)部審計可以深入到企業(yè)管理的極細微的環(huán)節(jié)上查找問題，分析其合理性。內(nèi)部審計人員更多的是以風險發(fā)生可能性大小為依據(jù)，深入到經(jīng)營管理的各個過程，查找并防范風險。再次，內(nèi)部審計在部門風險管理中還起著協(xié)調(diào)作用。不僅各部門有內(nèi)部風險，而且各管理部門還有共同承擔的綜合風險，內(nèi)部審計人員作為獨立的第三方，可協(xié)調(diào)各部門共同管理企業(yè)，以防范宏觀決策帶來的風險。

　　3 將企業(yè)風險管理融入內(nèi)部審計程序

　　在風險管理中，內(nèi)部審計部門主要是對風險管理部門和其他相關(guān)部門所進行的風險管理進行再監(jiān)督。因此內(nèi)部審計程序與機構(gòu)的風險管理之間應該協(xié)調(diào)一致，使這兩項工作產(chǎn)生協(xié)同增效的作用。

　　(1)在編制審計計劃時，應該在對可能影響機構(gòu)的風險進行評估的基礎(chǔ)上，制定內(nèi)部審計部門的審計計劃，確定審計項目。

　　(2)確定審計范圍時，要考慮并反映整個公司的戰(zhàn)略性計劃目標，并每年對審計范圍進行一次評估，以反映機構(gòu)的最新戰(zhàn)略和方針。

　　(3)編制審計方案時，通過風險因素分析來確定審計業(yè)務工作重點；在審計實施過程中，通過評價內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)；在更新審計范圍與計劃的內(nèi)容時，要反映管理層的方針、目標、工作重心出現(xiàn)的變化。在選擇檢測、證實風險的技術(shù)與方法時，應該能夠反映出風險的重大性與發(fā)生的可能性。

　　(4)在編制審計報告時，應對風險管理狀況進行評價，指出風險管理中存在的漏洞和不足之處，提出加強管理的建議。

　　(5)追蹤審計時，將風險確定為決定追蹤審計范圍的重要因素，風險越大，追蹤審計的范圍就越廣。追蹤審計應該將注意力集中于最嚴重的潛在的問題上，通過持續(xù)追蹤，確保對于重大的審計發(fā)現(xiàn)，相關(guān)部門采取措施予以糾正。

　　綜上所述，企業(yè)的內(nèi)部審計部門應該在企業(yè)的風險管理中發(fā)揮起應有的作用，使得企業(yè)能在日趨激烈的市場競爭中將各種可能面臨的風險將到最低水平，從而提升企業(yè)自身的競爭力，以實現(xiàn)長足的發(fā)展。