韓加平

摘要：內部審計在企業(yè)風險管理中的作用問題一直是內部審計界探討的重要話題，針對這一問題，2004年國際內部審計委員會發(fā)表了《關于內部審計在企業(yè)風險管理中作用的意見》，本文作者結合該《意見書》，與目前內部審計在我國企業(yè)中的實際情況闡述了自己的觀點，重點闡述了內部審計在企業(yè)風險管理中的核心作用、保障性作用以及不應該從事的活動，將內部審計在企業(yè)風險管理中應當發(fā)揮的作用做了比較詳細的說明，為內部審計工作的發(fā)展方向提供了參考。

關鍵詞：內部審計風險管理獨立性客觀性

風險管理作為現(xiàn)代企業(yè)管理的一項重要內容，越來越受到企業(yè)的重視。而內部審計作為檢查監(jiān)督和服務機構，必然會參與到企業(yè)風險管理當中。但是，內部審計應當如何參與到企業(yè)風險管理當中。扮演什么樣的角色，起到什么作用，這是我們首先要明確地，只有明確了這一前提，才能充分發(fā)揮內部審計應有的作用。

2004年，國際內部審計協(xié)會(IIA)聯(lián)合英國內部審計協(xié)會和愛爾蘭分會共同發(fā)表了一份《關于內部審計在企業(yè)風險管理中作用的意見書》(以下簡稱《意見書》)，該《意見書》指出企業(yè)的首席審計師在決定內部審計在企業(yè)風險管理當中扮演的角色和作用時，應當考慮的主要因素是內部審計所從事的活動是否會威脅到內部審計的獨立性和客觀性，能否促進企業(yè)的風險管理和控制程序的完善?；谶@一思想，IIA對內部審計在企業(yè)風險管理中的作用提出了明確意見。以下是筆者對《意見書》闡述的解讀，并結合實際情況，對內部審計在風險管理中的作用進行的分析。

一、堅持檢查與評價的核JC舴用

IIA《意見書》明確提出，內部審計在風險管理過程中的核心作用包括：監(jiān)督企業(yè)風險管理過程的有效實施；保證企業(yè)風險得到正確的評價；評價風險控制程序的有效性；分析關鍵風險的記錄：檢查關鍵風險管理的效果。這五點歸納起來的核心思想就是檢查與評價。

一些企業(yè)提出內部審計應當從查錯糾弊的傳統(tǒng)角色中轉變?yōu)楣芾碜稍兎铡＿@種提法理論上是正確的，只是目前的客觀條件還不具備，所以暫時無法實現(xiàn)。按照IIA的建議，內部審計能夠在多大程度上為企業(yè)的管理提供咨詢服務，依賴于企業(yè)內、外部環(huán)境和資源，比如，企業(yè)是否依法設立了內部審計委員會，審計委員會是否能發(fā)揮其應有的作用；內部審計是否具有獨立性和客觀性；企業(yè)預算是否給予內部審計充足的份額；內部審計人員自身的知識和技術水平能否有效的完成對風險的識別、劃分和評估等等。大部分企業(yè)的實際情況是，審計委員會雖然已經(jīng)建立，但基本沒履行應盡的責任；內部審計機構健全，但還是作為企業(yè)的一個職能部門受單位主要負責人領導，無法確保審計的獨立性和客觀性，這也是內部審計和外部審計的最大不同；還有內部審計在組織中所受到的重視程度不夠，審計預算經(jīng)費不足，審計人員自身的素質和能力有待提高等等，在諸多主、客觀條件根本不具備的情況下，內部審計要達到全面開展管理咨詢服務是不現(xiàn)實的。在這種情況下。檢查與評價仍然是目前內部審計在企業(yè)風險管理過程中應當承擔的主要責任，也是當前內部審計的工作中心。

二、加強指導和建議的保障作用

IIA《意見書》指出內部審計圍繞企業(yè)風險管理有效運行應當提供的保障作用包括：倡導建立企業(yè)風險管理；推動風險管理戰(zhàn)略獲得董事會的批準；協(xié)助企業(yè)進行風險識別與評價；指導管理層應對風險；協(xié)調企業(yè)風險管理活動的開展；統(tǒng)一風險報告；促進企業(yè)經(jīng)營管理框架的保持和發(fā)展。這些都是內部審計為企業(yè)風險管理有效運行而提供的指導和建議活動，為企業(yè)風險管理的有效實施提供的保障作用。

目前。雖然許多企業(yè)強調風險管理，但真正建立了風險管理體系的卻非常少，而且，風險管理體系的建立也不是一蹴而就的，是逐步完善起來的，隨著企業(yè)經(jīng)營環(huán)境的改變，還要不斷更新的。內部審計作為企業(yè)內部的職能部門，屬于組織的一部分，對于其他職能部門的業(yè)務流程比較熟悉，同時，由于內部審計并不直接參與企業(yè)的經(jīng)營管理活動，對企業(yè)的經(jīng)營和管理風險并不承擔直接責任，這使得內部審計具有相對的獨立性，內部審計可以利用這種優(yōu)勢，從全局的角度，客觀的對企業(yè)風險管理進行指導和建議，保障企業(yè)風險管理程序的順利實施。

內部審計如何充分發(fā)揮保障作用，一是對尚未建立風險管理系統(tǒng)的企業(yè)，積極向管理層提出建立風險管理體系；二是通過咨詢指導的方式，積極協(xié)助企業(yè)管理層完善風險管理系統(tǒng)；三是運用諸如風險導向審計、IT審計等先進的審計方法和技術對企業(yè)面臨的風險和控制情況進行分析，及時提出完善風險管理體系的建議：四是通過開展專項審計調查，對直接參與風險管理的職能部門的管理情況進行審計。對存在的風險因素進行批露，并提出相關的建議。

三、內部審計在企業(yè)風險管理中不應當從事的活動

IIA的《意見書》提到，內部審計在企業(yè)風險管理過程中不應當從事的活動包括：建立企業(yè)風險偏好，制定風險管理程序，管理風險保障措施，決定風險應對措施，代表企業(yè)實施風險管理應對，對風險管理承擔責任。這些活動主要是企業(yè)風險管理程序和制度建立以及對風險管理程序進行具體實施方面的活動，內部審計之所以不能直接從事這些制定和具體實施方面的活動，是由內部審計的獨立性和客觀性決定的，內部審計不能即負責制度的制定同時又負責對制度進行檢查，即直接參與風險管理又對其進行評價，內部審計的職能不能擴大到風險管理的所有環(huán)節(jié)當中，不能直接參與風險管理要素，否則就會失去內部審計的根本作用和價值。

綜合以上分析，基于目前內部審計在企業(yè)中的地位和內、外部環(huán)境，堅持以檢查和評價為核心作用，積極發(fā)揮指導和建議的保障作用，是內部審計在企業(yè)風險管理中應當承擔的主要責任。當然，內部審計在風險管理中的作用并不是一成不變的，隨著企業(yè)管理水平的不斷提高。內部審計所處的外部環(huán)境和資源不斷改變。內部審計的核心作用也將會不斷地改變。

最后，IIA的這份建議書雖然發(fā)表于2004年，但對當前企業(yè)內部審計參與風險管理仍然具有現(xiàn)實意義和指導意義，內部審計參與風險管理仍然是一個較新的課題，還需要有識之士不斷地的探討和研究。