浅议内部审计与企业风险管理

一、内部审计与风险管理的关系
    内部审计是组织内部的一种独立客观的监督和评价活动，通过审查和评价经营活动及内部控制的适当性、合法性和有效性，来促进组织目标的实现。
    风险管理是在结合前人的经验和近代科学成就的基础上,对影响到策略或目标达成的风险进行辨识、分析，并做出科学应对的管理科学。企业风险管理是一个系统过程，包括风险的识别、衡量和控制等诸多环节； 其目标是将企业可能遭受的损失降至最低，提高有企业经济效益。
    风险管理部门一直以来都是企业的专职部门， 因其隶属于管理部门，因此其独立性受到一定制约，而企业内部审计部门因其在独立性与权威性方面拥有的独特优势， 参与企业险管理逐渐成为必然趋势。

    具体而言，有以下两方面原因：一方面，参与风险管理是内部审计部门自身发展的需要。内审部门对出资者负有确保资产安全的受托责任， 对企业进行风险管理是其必不可少的工作内容。内部审计通过参与风险管理，可以全面评估企业的机会和风险， 结合其熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等特点， 可以在董事会允许的情况下制定切实可行的风险管理战略，如此一来，不仅可以规避企业的风险，也可以大大提高其在企业中的作用与地位。另一方面， 内部审计部门参与风险管理是现代企业完善内部控制的需要。随着经济全球化及国际化程度的加深，企业面临日渐增多的风险， 减少企业面临的风险是企业实现战略目标的前提和基础。内部审计作为企业中独立于管理部门之外的部门，拥有独立性和全局性的视角， 必然应当成为企业风险管理的主要力量， 风险管理审计可以从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制制度、执行力度、控制薄弱环节的治理、改进措施的可行性等方面提出认定，评价风险管理与控制对企业目标实现的影响程度。
二、风险管理的作用
    风险管理的作用可以概括为以下几个方面：
第一，检查和评价职能。

    内部审计通过运用风险管理方法，对风险管理过程的充分性和有效性进行检查、评价和报告，提出包括确定风险领域、评价风险控制程序的有效性、风险管理过程的效果等方面的意见与建议， 为管理层的科学决策提供参考依据和数据支撑。
第二，管理和协调职能。

    内部审计能切实地从企业的利益和实际出发，客观地识别和评价风险，从全局的角度管理风险，并提出相应的风险防范措施。内部审计在进行风险管理时，凭借其对组织全面而深入的了解优势，能够提出可行性建议，对风险管理过程进行管理和协调，促进被审计部门经营和管理的改善。
第三，顾问与咨询职能。

    内部审计人员对企业有较为全面的了解，不仅掌握企业经营目标，也了解企业的不足之处，同时也能提出相应的改善措施，这是其提供咨询服务的重要前提。
第四，报告与防范职能。

    一方面，内部审计要与相关部门进行沟通，对风险管理过程的充分性和有效性进行检查、评价并报告，对审计过程中的重大发现要进行及时有效的报告对监督检查结果的落实情况也要进行跟踪并报告， 使风险得到及时防范和控制；另一方面，内部审计可以通过评估相关控制程序的充分性和
有效性来防止舞弊，并对程序中的漏洞进行及时修补，提高程序的实际功效。
三、风险管理的流程
    企业风险管理按照风险环境分析、风险确认、风险评估、风险控制、风险监控、信息沟通等流程，从风险的预测到风险原因的分析及规避措施等进行规范的管理工作。
    风险环境分析指通过对企业的发展战略、经营计划以及国家宏观经济政策的变化等因素给企业所带来的潜在风险的分析，结合具体情况得出综合评价结果并报送相关部门。
    风险确认是指在各种风险发生之前对这些风险的类型及发生的原因进行判断，其中不仅包括明确企业内外部环境中存在什么样的风险，还要找出发生风险的原因。
    风险评估是指对已经识别的潜在风险进行定性分析或定量分析，进而评价风险发生的可能性以及产生的影响。这需要审计人员利用自己的经验并结合概率和统计的方法进行风险估价，从客观的角度分析评价风险，进而提出专业的意见。风险控制是指将风险控制在企业可以接受的范围之内，一旦风险发生，不至于影响企业正常的生产经营。企业可以根据不同的风险情况采取相应的规避措施。同时，也可以借助评价风险回报的合理性以及减少风险的有效性，来检验企业风险控制程序的有效性。
    风险监控是指企业为防止由于环境的变化而导致风险的变动或产生新的风险， 而对内部控制系统运行情况进行的监控，保证风险管理的持续有效。
    信息沟通是指内部审计部门将风险管理的相关信息及时告知管理层和相关部门， 目的是使决策者和监督者及时了解风险管理的情况， 使内部相关部门意识到存在的问题并采取改进的方法，同时使外部利益相关方相信企业的风险管理能力。
四、内部审计参与风险管理的策略
    首先，健全风险管理审计制度体系。健全的风险管理审计制度体系是降低审计风险的基础与前提。企业应树立全面风险管理的新理念，针对各项业务制定全面的、系统的政策、制度和程序，并在全系统范围内保持统一的业务标准和操作要求。内控制度要覆盖所有风险点，贯穿决策、执行、监督的全过程，重点岗位、主要风险环节做到相互制约、相互制衡。对新业务、新产品更要事先制定相关规章制度以准确计算和评估风险，防患于未然。在实际运用中还应对先前的制度体系进一步改进、深化风险管理审计的内容，并随着企业内外环境的变化而做出相应调整，持续不断地保证营造良好的风险管理审计环境。
其次，适应角色的转变。内部审计不再作为企业的监督者，其作用和服务范围大大拓展，如顾问和咨询等，这一转变赋予内部审计更多的内涵，内部审计由监督者逐步转变为控制者、协调者、参与者和服务者。内部审计部门要适应这一新的角色定位，新的定位有利于内部审计部门参与企业风险管理， 进而提供独立的建议和评价。
    再次，创新风险管理技术和方法。由于企业风险管理有别于常规的财务收支审计，因此，不能将运用于财务审计的方法用于风险管理。要加大审计技术办法的创新力度，建立与风险管理相适应的现代审计技术和方法，尤其要注重电子技术的运用，充分发挥其方便、快捷的特点，提高审计质量。
最后，提高审计人员风险管理的素质。审计人员的工作内容大大扩展，不仅包括常规的财务审计，还要做好风险管理审计。
    风险管理工作的复杂性要求内部审计人员必须掌握全面的知识。因为审计人员素质的高低直接决定了风险管理工作的质量。
    企业应加强对审计人员的培养，不仅包括专业技能的培养，还要注重道德修养的培养，使审计人员树立良好的工作态度，掌握高水平的职业技能，保证风险管理工作的质量，降低企业风险。
五、结束语
    现代企业的管理者不仅要有竞争意识，还要具备风险意识，要注重扩展内部审计职能范围， 在实践中有意识地推动企业风险管理与内部审计的结合， 为其进行风险管理创造良好的内部环境。作为内部审计人员，应该善于把握机遇，尽职尽责，充分利用自身的优势，做好风险管理工作，为企业的高效经营保驾护航。

浅议内部审计与企业风险管理

一、内部审计与风险管理的关系
    内部审计是组织内部的一种独立客观的监督和评价活动，通过审查和评价经营活动及内部控制的适当性、合法性和有效性，来促进组织目标的实现。
    风险管理是在结合前人的经验和近代科学成就的基础上,对影响到策略或目标达成的风险进行辨识、分析，并做出科学应对的管理科学。企业风险管理是一个系统过程，包括风险的识别、衡量和控制等诸多环节； 其目标是将企业可能遭受的损失降至最低，提高有企业经济效益。
    风险管理部门一直以来都是企业的专职部门， 因其隶属于管理部门，因此其独立性受到一定制约，而企业内部审计部门因其在独立性与权威性方面拥有的独特优势， 参与企业险管理逐渐成为必然趋势。

    具体而言，有以下两方面原因：一方面，参与风险管理是内部审计部门自身发展的需要。内审部门对出资者负有确保资产安全的受托责任， 对企业进行风险管理是其必不可少的工作内容。内部审计通过参与风险管理，可以全面评估企业的机会和风险， 结合其熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等特点， 可以在董事会允许的情况下制定切实可行的风险管理战略，如此一来，不仅可以规避企业的风险，也可以大大提高其在企业中的作用与地位。另一方面， 内部审计部门参与风险管理是现代企业完善内部控制的需要。随着经济全球化及国际化程度的加深，企业面临日渐增多的风险， 减少企业面临的风险是企业实现战略目标的前提和基础。内部审计作为企业中独立于管理部门之外的部门，拥有独立性和全局性的视角， 必然应当成为企业风险管理的主要力量， 风险管理审计可以从影响企业目标实现的各种系统风险和非系统风险出发，就内部控制制度、执行力度、控制薄弱环节的治理、改进措施的可行性等方面提出认定，评价风险管理与控制对企业目标实现的影响程度。
二、风险管理的作用
    风险管理的作用可以概括为以下几个方面：
第一，检查和评价职能。

    内部审计通过运用风险管理方法，对风险管理过程的充分性和有效性进行检查、评价和报告，提出包括确定风险领域、评价风险控制程序的有效性、风险管理过程的效果等方面的意见与建议， 为管理层的科学决策提供参考依据和数据支撑。
第二，管理和协调职能。

    内部审计能切实地从企业的利益和实际出发，客观地识别和评价风险，从全局的角度管理风险，并提出相应的风险防范措施。内部审计在进行风险管理时，凭借其对组织全面而深入的了解优势，能够提出可行性建议，对风险管理过程进行管理和协调，促进被审计部门经营和管理的改善。
第三，顾问与咨询职能。

    内部审计人员对企业有较为全面的了解，不仅掌握企业经营目标，也了解企业的不足之处，同时也能提出相应的改善措施，这是其提供咨询服务的重要前提。
第四，报告与防范职能。

    一方面，内部审计要与相关部门进行沟通，对风险管理过程的充分性和有效性进行检查、评价并报告，对审计过程中的重大发现要进行及时有效的报告对监督检查结果的落实情况也要进行跟踪并报告， 使风险得到及时防范和控制；另一方面，内部审计可以通过评估相关控制程序的充分性和
有效性来防止舞弊，并对程序中的漏洞进行及时修补，提高程序的实际功效。
三、风险管理的流程
    企业风险管理按照风险环境分析、风险确认、风险评估、风险控制、风险监控、信息沟通等流程，从风险的预测到风险原因的分析及规避措施等进行规范的管理工作。
    风险环境分析指通过对企业的发展战略、经营计划以及国家宏观经济政策的变化等因素给企业所带来的潜在风险的分析，结合具体情况得出综合评价结果并报送相关部门。
    风险确认是指在各种风险发生之前对这些风险的类型及发生的原因进行判断，其中不仅包括明确企业内外部环境中存在什么样的风险，还要找出发生风险的原因。
    风险评估是指对已经识别的潜在风险进行定性分析或定量分析，进而评价风险发生的可能性以及产生的影响。这需要审计人员利用自己的经验并结合概率和统计的方法进行风险估价，从客观的角度分析评价风险，进而提出专业的意见。风险控制是指将风险控制在企业可以接受的范围之内，一旦风险发生，不至于影响企业正常的生产经营。企业可以根据不同的风险情况采取相应的规避措施。同时，也可以借助评价风险回报的合理性以及减少风险的有效性，来检验企业风险控制程序的有效性。
    风险监控是指企业为防止由于环境的变化而导致风险的变动或产生新的风险， 而对内部控制系统运行情况进行的监控，保证风险管理的持续有效。
    信息沟通是指内部审计部门将风险管理的相关信息及时告知管理层和相关部门， 目的是使决策者和监督者及时了解风险管理的情况， 使内部相关部门意识到存在的问题并采取改进的方法，同时使外部利益相关方相信企业的风险管理能力。
四、内部审计参与风险管理的策略
    首先，健全风险管理审计制度体系。健全的风险管理审计制度体系是降低审计风险的基础与前提。企业应树立全面风险管理的新理念，针对各项业务制定全面的、系统的政策、制度和程序，并在全系统范围内保持统一的业务标准和操作要求。内控制度要覆盖所有风险点，贯穿决策、执行、监督的全过程，重点岗位、主要风险环节做到相互制约、相互制衡。对新业务、新产品更要事先制定相关规章制度以准确计算和评估风险，防患于未然。在实际运用中还应对先前的制度体系进一步改进、深化风险管理审计的内容，并随着企业内外环境的变化而做出相应调整，持续不断地保证营造良好的风险管理审计环境。
其次，适应角色的转变。内部审计不再作为企业的监督者，其作用和服务范围大大拓展，如顾问和咨询等，这一转变赋予内部审计更多的内涵，内部审计由监督者逐步转变为控制者、协调者、参与者和服务者。内部审计部门要适应这一新的角色定位，新的定位有利于内部审计部门参与企业风险管理， 进而提供独立的建议和评价。
    再次，创新风险管理技术和方法。由于企业风险管理有别于常规的财务收支审计，因此，不能将运用于财务审计的方法用于风险管理。要加大审计技术办法的创新力度，建立与风险管理相适应的现代审计技术和方法，尤其要注重电子技术的运用，充分发挥其方便、快捷的特点，提高审计质量。
最后，提高审计人员风险管理的素质。审计人员的工作内容大大扩展，不仅包括常规的财务审计，还要做好风险管理审计。
    风险管理工作的复杂性要求内部审计人员必须掌握全面的知识。因为审计人员素质的高低直接决定了风险管理工作的质量。
    企业应加强对审计人员的培养，不仅包括专业技能的培养，还要注重道德修养的培养，使审计人员树立良好的工作态度，掌握高水平的职业技能，保证风险管理工作的质量，降低企业风险。
五、结束语
    现代企业的管理者不仅要有竞争意识，还要具备风险意识，要注重扩展内部审计职能范围， 在实践中有意识地推动企业风险管理与内部审计的结合， 为其进行风险管理创造良好的内部环境。作为内部审计人员，应该善于把握机遇，尽职尽责，充分利用自身的优势，做好风险管理工作，为企业的高效经营保驾护航。