内部审计参与企业风险管理

　　(一)内部审计在企业风险管理中的定位

　　内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时，应将内部审计作为风险管理的第一道防线，由内部审计对整个风险管理流程进行评估和监控，但内部审计在企业风险管理的建立与防范中，主要责任是对整个风险管理过程进行认定，并评价其充分性与有效性，向管理层报告并提出管理建议，以此来保证风险管理的有效性。因此，内部审计在企业风险管理框架中的首要角色是监督者；其次才是咨询服务者，它承担了咨询者、协调者、建议者的角色。

　　当然，内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下，内部审计可以向管理层提出建立企业风险管理的建议，即建议者；在企业实施风险管理的初期，内部审计能够发挥很大的协调作用，此即协调者；而当企业风险管理逐步成熟、运作稳定以后，内部审计就转化为监督者和咨询者。

　　(二)内部审计在企业风险管理中的作用

　　1.能够客观地对企业风险管理进行检查与评价

　　从风险的形成与影响后果等特性，不难看出风险在企业内部具有感染性、传递性、不对称性等特征，如一个部门造成的风险或者疏于风险管理，可能会传递到其他部门，最终要由整个企业承担。因此，有些部门可能会出现缺失道德风险，而这种风险不是由它们来承担行为责任。又如，采购部门为节约采购成本，会忽视对材料规格、型号、质量方面的检查，这种暗藏的风险会在生产车间或者销售部门反映出来，最终给企业造成损失。因此，对风险的认识、防范和控制等需要从全局考虑。

　　内部审计由于不参与企业经营的具体业务活动，它是独立于业务管理部门的，因而它可以从企业的全局出发、从客观的角度对各种风险进行识别，将风险评估的意见直接报告给董事会或经营管理层，提高管理层对内部审计意见的重视程度，保证其他管理部门及时采取有效措施控制风险，从而达到企业的高效运营。

　　2.能够以咨询顾问身份协助管理层建立企业风险管理制度

　　内部审计在企业尚未建立风险管理的过程中，应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程，内部审计人员应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化，使风险意识贯穿于企业的各个层面；内部审计可以利用其专业优势开发适合企业特点的自我评估工具，以提醒管理层注意到目标、风险、控制的关系，帮助管理层将生产经营与风险管理更好地结合；内部审计可以通过咨询服务的方式协助企业建立风险管理系统。

　　3.能够指导企业风险管理策略，防止控制过度或不足的缺陷

　　内部审计是内部控制的再控制，企业根据目标和所能承受的风险，制定内部控制制度，内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高，控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人，并通过对长期计划与短期实现的调节，指导企业的风险管理策略。

　　4.能够发挥反馈作用，对企业风险管理产生预警作用

　　由于风险是面向未来的，是直接与企业的战略及经营目标相关联的，因此以风险为出发点和核心的内部审计，能够以事后的反馈延伸到事前以及事中，从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标，并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进，帮助管理层对风险管理进行持续改进与完善，产生预警功能，从而达到内部审计在企业管理控制系统中的反馈作用。

　　(三)内部审计参与企业风险管理的方式方法

　　1.转变观念，将企业风险管理作为内部审计的重要工作

　　内部审计应由过去的控制导向审计向现代风险导向审计过渡，由被动地承受审计风险，到主动地控制审计风险，将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度，明确内部审计人员应当关心企业所面临的风险，根据风险评估思路开展对内部控制的评估，使审计报告将目前的控制与策略计划和风险评估连接进来，有效地管理企业风险。

　　2.要把企业风险管理融入日常审计项目中

　　企业风险存在于企业经营管理的各个方面，在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的，因此内部审计须在每一次的日常审计项目中，增强风险意识，引入风险审计的观念和方法，充分揭示和评价企业特定审计范围内存在的风险，使企业管理者对此风险给予重视并采取措施化解和控制。比如，内部审计部门开展的经济责任审计，企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响，任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现，对此，内部审计就应作出必要的风险评价，一方面划清前后任的经济责任，一方面帮助企业采取必要的措施防患于未然。

　　3.要对企业风险管理机制进行监督检查

　　当一个企业建立了风险管理机制，其规章制度是否得到有效执行，是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理，是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查，监督检查企业相关风险管理的各个风险控制点，评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等，从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析，发现和反映企业风险管理中的缺陷，如风险管理责任不清、部门间协调不足、风险防范资源不足等。

　　4.要加强对企业风险管理内部审计人员的督导

　　为提高审计工作质量，内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度，对审计人员的工作进行指导、监督和复核，明确各级人员的责任，同时必须强调督导是贯穿于审计项目的全过程的，它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施，尽可能减少内部审计人员在风险管理工作中的主观判断行为，在督导工作中要遵循重要性、谨慎性和客观性原则。

　　5.要优化内部审计人员结构，培养高素质的应对企业风险管理审计人才

　　风险防范的关键在于人才，只有建立一支与内部审计工作相适应的，具有高思想素质、业务素质和文化素质的审计队伍，才能起到有效防范风险的作用。内部审计人员不仅是一名合格的审计监督管理者，也应是一名合格的风险管理者，既要掌握和了解企业内部的经营管理运作状况，又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等。因此，一方面优化内部审计人员组合，不能局限于财会专业，要吸收外部专家、管理顾问、舞弊检查专家等多种专业人才加入内部审计队伍；另一方面应重点培养一批高素质的内部审计人员，为开展风险管理奠定基础。

　　综上可知，企业风险管理已成为现代企业经营管理中必要的一门管理课程，风险的存在对企业既是一种存在危险的可能性，但也会是一种带来收益的机遇。每一个企业的最高决策者和管理者必须面对现实，重视风险，把风险管理视为日常经营的重要部分。内部审计介入风险管理，是我国企业内部审计发展的方向，作为内部审计人员必须把风险管理意识、风险管理行为融入到日常审计工作中，使内部审计在风险管理中能够发挥更有力的作用。