馬歡歡

2002年美國國會出臺的《薩班斯-奧克斯利法案》，該法案要求所有到美境內上市的企業(yè)必須建立風險內控機制，極大促進了世界范圍內風險管理的普及。企業(yè)內部審計對風險管理至關重要。當企業(yè)將目光轉向風險管理時，內部審計和風險管理在全球經營風險日益凸顯的環(huán)境中共同演進。

一、內部審計在風險管理中的角色

內部審計可以協(xié)助風險估算程序和對風險管理程序進行評價，對風險管理的恰當程度作出保證。COSO的企業(yè)風險管理框架中的“職能和責任”一章中闡明，組織里的每個人對全面風險管理都負有責任。然而，人員職位不同，對風險管理承擔的責任也不同。風險管理是管理人員的關鍵職責。要實現(xiàn)其目標，管理人員應該保證組織機構擁有健全的風險管理過程，并且這些程序正在有效地發(fā)生作用。首席執(zhí)行官承擔最終責任，董事會和審計委員會應該在確定機構是否建立恰當?shù)娘L險管理過程以及這些程序是否有效運作等方面起監(jiān)督作用。而其他管理人員支持全面風險管理的理念，促使組織在風險容量內經營，并在各自負責的領域里負責將風險降低到相應的風險容忍度內。IIA在2004年9月發(fā)布的《內部審計在企業(yè)風險管理中的角色》意見書中認為內部審計關于企業(yè)風險管理的核心角色是就組織風險管理的有效性相董事會提供客觀保證，以幫助確信商業(yè)風險被正確管理及內控系統(tǒng)有效運轉。這些表明，內部審計人員的主要角色是，幫助管理層和審計委員會監(jiān)督、檢查、評估、報告、建議全面風險管理過程的充分性及有效性，其對全面風險管理的建立并沒有基本責任。

實務公告2100-3同時指出內部審計人員以咨詢顧問身份開展工作可以協(xié)助機構確定、評價并實施針對風險的管理方法和控制措施。所以，保證和咨詢也是內部審計的重要角色。

我國長期將內部審計定位于監(jiān)督和評價，尤其以財務監(jiān)督為主，以企業(yè)的“經濟警察”自居?，F(xiàn)在，內審人員必須從單純行使監(jiān)督職責的“經濟警察”角色中轉變過來，將“風險顧問”作為定位，才能在不斷更新的企業(yè)理念中跟進腳步、尋求自身發(fā)展。內審人員對風險管理各環(huán)節(jié)各人員實施監(jiān)督，但監(jiān)督不是目的而是手段。最終目的是規(guī)范企業(yè)成員行為，評價風險管理系統(tǒng)預防程序、風險估算程序、風險管理程序的能力和效果，以幫助企業(yè)實現(xiàn)目標，增進企業(yè)價值。

二、內部審計在風險管理中的作用

內部審計在風險管理中的作用主要體現(xiàn)在兩個方面：一是針對管理的風險評估過程提供確認；二是以咨詢顧問的身份介入風險管理。隨著內部審計參與風險管理的深入，審計職業(yè)所要求的獨立性和客觀性容易受到威脅。因此，內部審計人員應當有所為，有所不為。由此我們可得出內部審計在風險管理中的作用以及內部審計不應當發(fā)揮的作用：

（一）確認作用

確認服務是一種為了對組織的風險管理進行獨立評價而客觀地審查證據(jù)的行為。如，對財務、績效、合規(guī)性、系統(tǒng)安全和應盡責任的審查等。表1針對ERM框架的每個要素分別說明內部審計在風險管理中的確認作用：

（二）咨詢作用

咨詢是指內部審計師不承擔管理層職責，與客戶協(xié)商服務的性質與范圍與客戶，提供建議以及相關的客戶服務，增加價值并改進組織的風險管理。咨詢的例子包括顧問、建議、協(xié)調、培訓等。具體的途徑有：

第一，風險咨詢顧問。《內部審計實務公告》2100—4條中說明內部審計師可以以咨詢顧問的身份協(xié)助組織確定、評價并實施針對風險的管理方法和控制措施。如果組織尚未建立風險管理過程，內部審計師可以在協(xié)助初步建立風險管理過程的工作中發(fā)揮積極作用。但是，應注意的是，內部審計師在建立和管理風險管理過程中所起的作用有別于“風險所有者”，他們不應該“擁有”已確認的風險或負責這些風險的管理。

第二，風險管理程序培訓。由于內部審計師作為風險咨詢專家，對風險管理有著豐富經驗與專業(yè)知識，所以幫助管理層培訓風險管理程序，有助于其識別風險，采取恰當?shù)娘L險應對措施。

（三）不應承擔的作用

管理層對風險管理的建立健全承擔最終責任。內部審計活動應保持獨立性和客觀性，避免獨立性或客觀性在形式上或實質上受到損害。內部審計人員可以在協(xié)助初步建立風險管理過程的工作中發(fā)揮積極作用，可以通過咨詢方式改善基礎過程，作為對傳統(tǒng)確認活動的補充。但是內部審計不應該代表管理層對風險進行管理，對風險負責。否則，審計的獨立性和客觀性會受到損害。

（作者單位為江蘇省疾病預防控制中心）