摘要：本文在總結內部審計理論和全面風險管理理論的基礎上，對內部審計在企業(yè)全面風險管理中的作用以及改善進行了研究，提出了內部審計在企業(yè)全面風險管理中發(fā)揮認定、評價、指引職能的措施和建議。

　　關鍵詞：內部審計 風險管理 內部審計職能

　　隨著經濟全球化及國際化程度的加深，企業(yè)經營環(huán)境日趨復雜，經營風險大為增加。企業(yè)、行業(yè)之間的競爭日益加劇，如何防范風險，加強風險管理，已成為企業(yè)經營者面臨的重要課題，建立和完善風險管理體系已成為企業(yè)生存發(fā)展的重要而緊迫的任務。作為企業(yè)董事會及其審計委員會和最高管理層控制手段的內部審計，在企業(yè)管理尤其是風險管理、內部控制以及公司治理、組織運營中的地位與作用日趨突出，成為關系企業(yè)成敗興衰的重要因素。內部審計具有相對獨立性，其更能從企業(yè)全局角度，清醒識別與評估風險；與外部審計相比，內部審計更能從企業(yè)利益與實際出發(fā)，積極主動地提出防范風險的有效建議。本文在總結內部審計理論和全面風險管理理論的基礎上，對內部審計如何在企業(yè)全面風險管理中發(fā)揮認定、評價、指引職能進行探討。

　　一、內部審計與企業(yè)風險管理評述

　　（一）內部審計職能內部審計是組織內部的一種獨立客觀的監(jiān)督和評價活動，通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現(xiàn)。內部審計具有認定、評價和指引三項職能。認定職能表現(xiàn)在企業(yè)內部審計人對受托人履行受托管理責任的過程或結果進行核實，并予以認定，認定職能是一切審計結論和審計意見、審計建議的基礎與前提。評價職能表現(xiàn)在審計人對受托人履行受托管理責任的行為和結果的評價，具體來講是對受托人某些方面管理活動的過程、結果與既定目標、決策等一系列標準的符合性進行評價；指引職能是當代企業(yè)內部審計的重要職能，其表現(xiàn)在審計人員針對管理層涉及企業(yè)局部甚至整體的顯現(xiàn)與潛在的管理負偏差，提出糾正和預防等改進管理的建議。

　?。ǘ┢髽I(yè)風險管理框架2004年美國反虛假財務報告委員會管理組織（COSO）針對企業(yè)界頻繁發(fā)生的高層管理人員舞弊現(xiàn)象，頒布了全新的COSO報告，即《企業(yè)風險管理——整合框架》（EnterpriseRiskManagement－Integrated Framework，簡稱ERM）。這個框架是在原《內部控制——整體框架》的基礎上，結合《薩班斯一奧克斯利法案》（Sarbanes－Oxley Act）的相關要求展開研究得到的。根據(jù)ERM框架，“全面風險管理是一個過程，這個過程受董事會、管理層和其他人員的影響，這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，用于識別那些可能影響企業(yè)的潛在事件并管理風險，使之在企業(yè)的風險偏好之內，從而合理確保企業(yè)取得既定的目標”。ERM框架有三個維度：第一維是企業(yè)的目標，包括戰(zhàn)略、經營、報告和合規(guī)性目標；第二維是全面風險管理要素，包括內部環(huán)境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監(jiān)控等要素；第三維是企業(yè)內部各個層次，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司。ERM三個維度的關系是：全面風險管理的各要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從上述方面進行風險管理。企業(yè)風險管理是一個過程，企業(yè)風險管理的有效性是某一時點的一個狀態(tài)或條件。決定一個企業(yè)的風險管理是否有效，是基于對風險管理要素設計和執(zhí)行是否正確的評估基礎上的主觀判斷。企業(yè)的風險管理要有效，其設計必須包括所有的要素并得到執(zhí)行。

　?。ㄈ┪覈髽I(yè)風險管理的規(guī)范近年來我國有關部門和很多企業(yè)也逐步認識到風險管理對企業(yè)經營的重要性，為了指導企業(yè)開展全面風險管理工作，進一步提高企業(yè)管理水平，增強企業(yè)競爭力，促進企業(yè)穩(wěn)步發(fā)展，國務院國有資產監(jiān)督管理委員會2006年6月發(fā)布了《中央企業(yè)全面風險管理指引》。該指引指出，全面風險管理是指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。財政部、證監(jiān)會等部門也于2008年5月發(fā)布了《企業(yè)內部控制基本規(guī)范》。該規(guī)范指出，企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況及時進行風險評估。企業(yè)開展風險評估，應當準確識別與實現(xiàn)控制目標相關的內部風險和外部風險，確定相應的風險承受度。企業(yè)應當根據(jù)風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。上述指引和規(guī)范的發(fā)布將會促進我國企業(yè)實施全面風險管理，使管理層能夠有效地應對不確定性以及由此帶來的風險和機會，增強企業(yè)創(chuàng)造價值能力。

　　二、內部審計在企業(yè)風險管理中的作用分析

　?。ㄒ唬┛陀^全面的識別風險風險在企業(yè)內部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而是會傳遞到其他部門，最終可能使整個企業(yè)陷入困境。因此對風險的認識、防范和控制需要從全局考慮，而各業(yè)務部門又很難做到這一點。內部審計具有相對的獨立性，受單位主要負責人的直接領導，這就使其可以從全局出發(fā)，從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。

　　（二）調控和指導企業(yè)的風險策略內部審計部門處于企業(yè)董事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調人。通過對長期計劃與短期實現(xiàn)的調節(jié)，可以調控和指導企業(yè)的風險管理策略。

　?。ㄈ﹥炔繉徲嫴块T的建議更易引起企業(yè)領導的重視一些企業(yè)盡管設立了風險管理部門，但不具有獨立性，其意見往往會屈服于管理層的壓力，這使得風險管理部門的作用受到一定程度的限制。而內部審計部門獨立于其他管理部門，其風險評估的意見可以直接向董事會匯報，這樣可以加強管理層對內部審計部門意見的重視程度。

　　由此可見，內部審計在企業(yè)中發(fā)揮著重要作用，其更了解企業(yè)面臨的風險因素，具有豐富的管理經驗，有利于將內部審計的資源和成果與企業(yè)風險控制相結合，并減少企業(yè)內部機構的重復設置，參與企業(yè)風險管理已成為內部審計人員義不容辭的責任。

　　三、基于內部審計的企業(yè)風險管理

　?。ㄒ唬└纳骑L險管理的內部審計工作程序內部審計應以重大風險、重大事件和重大決策、重要管理及業(yè)務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監(jiān)督，采用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據(jù)變化情況和存在的缺陷及時加以改進。具體來說，內部審計能夠利用以下工作程序改善企業(yè)風險管理：一是檢查與評價。內部審計可以對企業(yè)風險管理體系的充分性和有效性進行評估，主要包括：評價企業(yè)戰(zhàn)略目標的制定是否在分析組織及行業(yè)的發(fā)展情況和趨勢、企業(yè)的優(yōu)勢和劣勢、外部的機會和威脅的基礎上結合企業(yè)自身風險偏好來制訂；與相關管理層討論部門目標，評估分解到各部門的具體目標是否與企業(yè)整體戰(zhàn)略目標一致并擁有足夠的支持；評價管理層對風險的識別與評估是否適當；分析風險控制措施是否足以使風險失控的可能性和影響在企業(yè)風險容忍度之內；評估風險監(jiān)控程序是否得到持續(xù)、有效執(zhí)行，監(jiān)控報告及風險管理報告是否充分、及時。二是管理與協(xié)調。內部審計經過長期發(fā)展已成為一種專門職業(yè)。在企業(yè)組織架構中，內部審計具有相對獨立性，能夠以客觀開放的視角清醒地識別和評價風險，并提出防范風險的有效建議；內部審計憑借對企業(yè)全面深入的了解以及能夠影響決策層的特殊地位，積極參與企業(yè)風險體系建設，對風險控制各要素進行組織、管理和協(xié)調，推動各個部門乃至整個企業(yè)不斷提高風險管理的效率和效果。三是顧問與咨詢。內部審計人員以咨詢顧問身份協(xié)助企業(yè)確定、評價并實施針對風險進行管理的方法和控制措施：內部審計對組織的了解以及對風險的洞察，具備他人無法企及的優(yōu)勢，能夠以建議或咨詢的形式，積極協(xié)助企業(yè)建設風險管理體系或使風險管理體系的建立成為可能；內部審計在改善企業(yè)風險管理流程的效果和效率方面，能夠集合企業(yè)內外資源，高效地協(xié)助管理層或審計委員會進行檢查、評價并提出建議；內部審計能夠運用專業(yè)知識進行風險評估與控制培訓，使風險意識貫穿于企業(yè)各層面，逐步形成全員、全過程、全方位、全天候的風險管理；內部審計所處地位有助其對企業(yè)整體風險進行深入研究，并利用現(xiàn)代技術開發(fā)適合本企業(yè)的風險識別、評估工具和控制方法。四是報告與防范。內部審計能夠在風險控制和改進組織風險管理成效方面發(fā)揮關鍵作用。內部審計通過適時與相關部門就風險管理事項進行溝通，檢查、評價并報告風險管理過程的充分性和有效性，并按清晰傳遞的線路對發(fā)現(xiàn)的重大風險進行報告，對整改情況進行后續(xù)審計，使風險及時得到有效控制和防范。此外，內部審計在運用技術手段評估風險控制程序的充分性和有效性的同時，能夠利用自身優(yōu)勢推動風險管理意識成為企業(yè)文化的一部分，從而為企業(yè)風險防范構筑意識形態(tài)上的屏障。

　　（二）改善風險管理的內部審計評價報告風險管理效果評價是分析、比較已實施的風險管理方法的結果與預期目標的偏離程度，以此來評判風險管理方案的科學性、適應性和收益性。由于風險性質的可變性、人們對風險認識的階段性以及風險管理技術處于不斷完善之中，因此，需要對風險的識別、估測、評價及管理方法進行定期檢查、修正，以保證風險管理方法適應變化了的新情況。所以，可將風險管理視為一個周而復始的管理過程。風險管理效益的大小取決于是否能以最小風險成本取得最大安全保障，同時還要考慮與整體管理目標是否一致以及具體實施的可能性、可操作性和有效性。企業(yè)內部審計機構對企業(yè)全面風險管理工作進行評價，出具風險管理評估和建議專項報告。內部審計可以通過對以下方面的實施情況和存在缺陷進行評價并提出改善風險管理的評價報告：風險管理基本流程與風險管理策略；企業(yè)重大風險、重大事件和重要管理及業(yè)務流程的風險管理及內部控制系統(tǒng)的建設；風險管理組織體系與信息系統(tǒng)；全面風險管理總體目標。

　?。ㄈ└纳骑L險管理的內部審計方法與手段由于風險管理涉及企業(yè)各個部門和各個環(huán)節(jié)，僅靠董事會及有關委員會、最高管理層和風險管理、內部審計等職能部門，難以實現(xiàn)對整個企業(yè)面臨的所有風險進行有效管理，因而還必須組織企業(yè)內部各級管理層及每個員工協(xié)同進行。在此過程中，內部審計人員通過向有關方面反映風險管理的有效做法和負偏差，提出糾正與預防負偏差、激勵與推動優(yōu)良行為等改進風險管理的建議，可以對有關方面開展風險管理起到一定指引作用。內部審計可以采用以下方法改善風險管理：一是進行風險預測和識別。風險的預測和識別是指對企業(yè)所面臨的以及潛在的風險加以判斷、歸類和鑒定風險性質的過程，以確定企業(yè)正在或將要面臨哪些風險。內部審計要對企業(yè)所面臨的主要風險進行預測和識別，并找出未被識別的風險。采用的方法包括決策分析、可行性分析、因果分析和專家調查法等。二是對已經存在和將要發(fā)生的風險進行評估。企業(yè)的內部審計人員應用各種管理科學技術，采用定性和定量分析相結合的方式，預測風險的大小，找出主要的風險源，合理的評價風險可能產生的影響，以此為依據(jù)提出對風險采取的相應對策。常用的風險評估方法主要有：調查和專家打分法、風險報酬法及解析方法等。三是提出改進和防范風險的措施。風險的防范措施是指企業(yè)為降低已識別出的風險可能造成的損失所采取的措施。內部審計可以根據(jù)不同的情況，提出避免風險、接受風險、還是降低風險的具體措施和建議，以強化企業(yè)的風險管理，降低風險損失，并對有關部門所采取的風險防范措施進行監(jiān)督和檢查。采用改進和防范的措施主要有：避免風險、損失控制、分離風險單位、轉移風險(包括轉移風險源、簽訂免除責任協(xié)議、利用合同中的轉移責任條款)和投保等。四是壓力測試。壓力測試是指在極端情形下，分析評估風險管理模型或內部控制流程的有效性，發(fā)現(xiàn)問題，并制定改進措施的方法，目的是防止出現(xiàn)重大損失事件。其具體操作步驟如下：針對某一風險管理模型或內部控制流程，假設可能會發(fā)生哪些極端情形。極端情形是指在非正常情況下，發(fā)生概率很小，且一旦發(fā)生，后果十分嚴重的事件。假設極端情形時，不僅要考慮本企業(yè)或與本企業(yè)類似的其他企業(yè)出現(xiàn)過的歷史教訓，還要考慮歷史上不曾出現(xiàn)，但將來可能會出現(xiàn)的事件；評估極端情形發(fā)生時，該風險管理模型或內部控制流程是否有效，并分析對目標可能造成的損失；制定相應措施，進一步修改和完善風險管理模型或內部控制流程。內部審計還可以通過與外部咨詢機構合作以補充內部審計技能的不足；為了對企業(yè)所面臨的各種風險作出反映，優(yōu)化內部審計人員組合，吸收市場專家、計算機專家、管理顧問、工程師等多種專業(yè)人才加入內部審計隊伍；通過網絡溝通信息、調閱資料；內部審計人員與各經營單位的負責人建立一對一的合作伙伴關系；內部審計部門為下屬經營單位指派“教練”，由經營單位負起全面的風險管理責任，而內部審計部門則扮演平等的顧問角色，其作用主要在于指導和影響；內部審計與風險管理部門合署辦公，以促進企業(yè)風險管理的不斷改進；內部審計人員事前積極參與重大決策的風險評估過程，以便在業(yè)務開展前識別風險并提出解決方案。

　　四、企業(yè)風險管理中內部審計的對策

　?。ㄒ唬┙∪屯晟苾炔繉徲嬛贫纫獜娀瘜ζ髽I(yè)全面風險管理的有效性審計，必須建立健全完善的內部審計組織體系，設置獨立的內部審計部門，并根據(jù)國家有關的法律法規(guī)、中國內部審計協(xié)會頒布的內部審計準則和企業(yè)發(fā)展現(xiàn)狀，制定內部審計規(guī)范和制度。內部審計人員在企業(yè)中應努力取得單位決策層的支持，不斷提高自身的業(yè)務素質，提高識別風險的能力，以此擴展內部審計工作，使內部審計更具生命力。

　?。ǘ┏浞职l(fā)揮內部審計機構的再監(jiān)督職能風險管理是企業(yè)經營管理的重要組成部分，對企業(yè)風險管理的有效性開展內部審計，是新形勢下企業(yè)生存與發(fā)展的客觀需要，也是董事會及其審計委員會和最高管理層的內在要求。如果將“監(jiān)督評審”職能視為全面風險管理“寶塔”上的最高級部分，那么內部審計工作就應處于全面風險管理寶塔的尖頂部位。所謂“再監(jiān)督”就是在各經營管理部門和財務部門兩道防線之后的第三道防線。內部審計部門的獨立性和應有的權威性，加上其組織系統(tǒng)的垂直性，賦予了該部門行使對內部控制進行再監(jiān)督和再評價的特殊重要職能。這種重要性主要表現(xiàn)在內部審計人員在嚴密計劃和組織下，能夠獨立按照審計委員會的要求，有選擇地對全面風險管理的各個方面行使其檢查職能，并能夠將檢查評價結果直接反映到高級管理層，且有權督促內部審計監(jiān)察建議的落實。為強化內部審計部門的監(jiān)督職能，許多上市公司都成立了獨立于經營管理活動之外的審計委員會。

　　（三）幫助各級管理層加強風險管理意識全面風險管理的建設不能只由公司內部的某一部門完成，也不應當完全依賴于外部中介機構。全面風險管理的建設不僅是對制度、流程的完善過程，也是全體員工參與學習的機會。全面風險管理的完善乃至企業(yè)整體競爭力提高的關鍵，是全體員工素質的穩(wěn)步提高，并培養(yǎng)出一批優(yōu)秀管理人才。內部審計可以在這方面充分發(fā)揮自身優(yōu)勢，一方面運用先進的方法有效地開展風險管理審計，另一方面通過充當風險管理的教練、顧問和合作伙伴或策劃人，增強企業(yè)內部各級管理層的風險意識和風險管理能力，促進和幫助更多的員工地參加風險管理，使各部門風險管理潛力得到有效發(fā)揮。

　?。ㄋ模﹨⑴c全面風險管理策略的制訂內部審計是企業(yè)董事會、審計委員會和最高管理層開展風險管理的重要手段，企業(yè)內部審計人員開展的風險管理審計工作是公司風險管理系統(tǒng)的子系統(tǒng)。為了更好提高全面風險管理的有效性，發(fā)揮內部審計的作用，內部審計的重點應從事后的把關，轉變?yōu)槭虑?、事中介入，要將問題控制在萌芽狀態(tài)。內部審計應從企業(yè)制訂全面風險管理策略時就參與介入，即在全面風險管理的策略制訂時已溶入內部審計的監(jiān)督職能和指引職能，這樣才能真正發(fā)揮內部審計在風險管理中的作用。